Usare Collegamento privato di Azure per connettere in modo sicuro le reti ad Automazione di Azure

  • Articolo

L'endpoint privato di Azure è un'interfaccia di rete che connette privatamente e in modo sicuro a un servizio basato su collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato dalla rete virtuale, portando effettivamente il servizio di automazione nella rete virtuale. Il traffico di rete tra i computer nella rete virtuale e l'account di Automazione attraversa la rete virtuale e un collegamento privato sulla rete backbone di Microsoft, eliminando l'esposizione dalla rete Internet pubblica.

Ad esempio, si dispone di una rete virtuale in cui è stato disabilitato l'accesso a Internet in uscita. Tuttavia, si vuole accedere privatamente all'account di Automazione e usare funzionalità di automazione come webhook, State Configuration e runbook nei ruoli di lavoro ibridi per runbook. Si vuole inoltre che gli utenti abbiano accesso all'account di Automazione solo tramite la rete virtuale. La distribuzione di endpoint privati raggiunge questi obiettivi.

Questo articolo illustra quando usare e come configurare un endpoint privato con l'account di Automazione.

Conceptual overview of Private Link for Azure Automation

Nota

collegamento privato supporto con Automazione di Azure è disponibile solo nei cloud Azure Commercial e Azure US Government.

Vantaggi

Con il collegamento privato è possibile:

  • Connessione privatamente per Automazione di Azure senza aprire alcun accesso alla rete pubblica.

  • Connessione privatamente all'area di lavoro Log Analytics di Monitoraggio di Azure senza aprire alcun accesso alla rete pubblica.

    Nota

    È necessario un endpoint privato separato per l'area di lavoro Log Analytics se l'account di Automazione è collegato a un'area di lavoro Log Analytics per inoltrare i dati dei processi e quando sono state abilitate funzionalità come Gestione aggiornamenti, Rilevamento modifiche e Inventario, Configurazione stato o Avvio/Arresto di macchine virtuali durante gli orari di minore attività. Per altre informazioni sulle collegamento privato per Monitoraggio di Azure, vedere Usare collegamento privato di Azure per connettere in modo sicuro le reti a Monitoraggio di Azure.

  • Assicurare che l'accesso ai dati di Automazione avvenga solo tramite reti private autorizzate.

  • Impedire l'esfiltrazione di dati dalle reti private definendo la risorsa Automazione di Azure che si connette tramite l'endpoint privato.

  • Connettere in modo sicuro la rete locale privata a Automazione di Azure usando ExpressRoute e collegamento privato.

  • Mantenere tutto il traffico all'interno della rete backbone di Microsoft Azure.

Per altre informazioni, vedere Vantaggi principali del collegamento privato.

Limiti

  • Nell'implementazione corrente del collegamento privato i processi cloud dell'account di Automazione non possono accedere alle risorse di Azure protette tramite endpoint privato. Ad esempio, Azure Key Vault, Azure SQL, Archiviazione di Azure account e così via. Per risolvere questo problema, usare invece un ruolo di lavoro ibrido per runbook. Di conseguenza, le macchine virtuali locali sono supportate per eseguire ruoli di lavoro ibridi per runbook in un account di Automazione con collegamento privato abilitato.
  • È necessario usare la versione più recente dell'agente di Log Analytics per Windows o Linux.
  • Il gateway di Log Analytics non supporta collegamento privato.
  • L'avviso di Azure (metrica, log e log attività) non può essere usato per attivare un webhook di Automazione quando l'account di Automazione è configurato con l'accesso pubblico impostato su Disabilita.

Funzionamento

Il collegamento privato di Automazione di Azure connette uno o più endpoint privati (e quindi le reti virtuali in cui sono contenuti) alla risorsa dell'account di Automazione. Questi endpoint sono computer che usano webhook per avviare un runbook, computer che ospitano il ruolo di lavoro ibrido per runbook e nodi DSC (Desired State Configuration).

Dopo aver creato endpoint privati per l'automazione, ognuno degli URL di automazione con connessione pubblica viene mappato a un endpoint privato nella rete virtuale. L'utente o un computer può contattare direttamente gli URL di Automazione.

Scenario di webhook

È possibile avviare i runbook eseguendo un POST nell'URL del webhook. Ad esempio, l'URL è simile al seguente: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Scenario di ruolo di lavoro ibrido per runbook

La funzionalità ruolo di lavoro ibrido per runbook di Automazione di Azure consente di eseguire runbook direttamente nel computer Azure o non Azure, inclusi i server registrati con i server abilitati per Azure Arc. Dal computer o dal server che ospita il ruolo, è possibile eseguire runbook direttamente su di esso e sulle risorse nell'ambiente per gestire tali risorse locali.

Un endpoint JRDS viene usato dal ruolo di lavoro ibrido per avviare/arrestare i runbook, scaricare i runbook nel ruolo di lavoro e inviare di nuovo il flusso di log del processo al servizio automazione. Dopo aver abilitato l'endpoint JRDS, l'URL sarà simile al seguente: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net. Ciò garantisce che l'esecuzione del runbook nel ruolo di lavoro ibrido connesso ad Azure Rete virtuale sia in grado di eseguire processi senza la necessità di aprire una connessione in uscita a Internet.

Nota

Con l'implementazione corrente di collegamento privato per Automazione di Azure, supporta solo i processi in esecuzione nel ruolo di lavoro ibrido per runbook connessi a una rete virtuale di Azure e non supporta i processi cloud.

Scenario di ruolo di lavoro ibrido per Gestione aggiornamenti

Il ruolo di lavoro ibrido per runbook di sistema supporta un set di runbook nascosti usati dalla funzionalità Gestione aggiornamenti progettata per installare gli aggiornamenti specificati dall'utente nei computer Windows e Linux. Quando Automazione di Azure Gestione aggiornamenti è abilitato, qualsiasi computer connesso all'area di lavoro Log Analytics viene configurato automaticamente come ruolo di lavoro ibrido per runbook di sistema.

Per comprendere e configurare la revisione gestione aggiornamenti informazioni su Gestione aggiornamenti. La funzionalità Gestione aggiornamenti ha una dipendenza da un'area di lavoro Log Analytics e pertanto richiede il collegamento dell'area di lavoro a un account di Automazione. Un'area di lavoro Log Analytics archivia i dati raccolti dalla soluzione e ospita le ricerche e le visualizzazioni dei log.

Se si vuole che i computer configurati per la gestione degli aggiornamenti si connettano all'area di lavoro Automazione e Log Analytics in modo sicuro tramite collegamento privato canale, è necessario abilitare collegamento privato per l'area di lavoro Log Analytics collegata all'account di Automazione configurato con collegamento privato.

È possibile controllare come raggiungere un'area di lavoro Log Analytics dall'esterno degli ambiti di collegamento privato seguendo la procedura descritta in Configurare Log Analytics. Se si imposta Consenti l'accesso alla rete pubblica per l’inserimento su No, i computer esterni agli ambiti connessi non possono caricare dati in questa area di lavoro. Se si imposta Consenti l'accesso alla rete pubblica per le query su No, i computer esterni agli ambiti non possono accedere ai dati in questa area di lavoro.

Usare la sotto-risorsa di destinazione DSCAndHybridWorker per abilitare collegamento privato per gli utenti e i ruoli di lavoro ibridi di sistema.

Nota

I computer ospitati all'esterno di Azure gestiti da Gestione aggiornamenti e sono connessi alla rete virtuale di Azure tramite peering privato ExpressRoute, tunnel VPN e reti virtuali con peering tramite endpoint privati supportano collegamento privato.

Scenario di State Configuration (agentsvc)

State Configuration offre il servizio di gestione della configurazione di Azure che consente di scrivere, gestire e compilare configurazioni DSC (Desired State Configuration) di PowerShell per i nodi in qualsiasi data center cloud o locale.

L'agente nel computer esegue la registrazione con il servizio DSC e quindi usa l'endpoint del servizio per eseguire il pull della configurazione DSC. L'endpoint del servizio dell'agente è simile al seguente: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

L'URL per l'endpoint pubblico e privato sarà lo stesso, ma verrà mappato a un indirizzo IP privato quando è abilitato il collegamento privato.

Pianificazione basata sulla rete

Prima di configurare la risorsa dell'account di Automazione, prendere in considerazione i requisiti di isolamento della rete. Valutare l'accesso delle reti virtuali a Internet pubblico e le restrizioni di accesso all'account di Automazione( inclusa la configurazione di un ambito di gruppo collegamento privato ai log di Monitoraggio di Azure, se integrati con l'account di Automazione). Includere anche una revisione dei record DNS del servizio automazione come parte del piano per garantire che le funzionalità supportate funzionino senza problemi.

Connettersi a un endpoint privato

Seguire questa procedura per creare un endpoint privato per l'account di Automazione.

  1. Passare al centro collegamento privato in portale di Azure per creare un endpoint privato per connettere la rete.

  2. In collegamento privato Center selezionare Crea endpoint privato.

    Screenshot of how to create a private endpoint.

  3. In Informazioni di base immettere i dettagli seguenti:

    • Abbonamento
    • Gruppo di risorse
    • Nome
    • Nome interfaccia di rete
    • Area geografica e selezionare Avanti: Risorsa.

    Screenshot of how to create a private endpoint in Basics tab.

  4. In Risorsa immettere i dettagli seguenti:

    • Connessione ion, selezionare l'opzione predefinita : Connessione a una risorsa di Azure nella directory.
    • Abbonamento
    • Tipo di risorsa
    • Risorsa.
    • La sotto-risorsa di destinazione può essere Webhook o DSCAndHybridWorker in base allo scenario e selezionare Avanti : Rete virtuale.

    Screenshot of how to create a private endpoint in Resource tab.

  5. In Rete virtuale immettere i dettagli seguenti:

    • Rete virtuale
    • Subnet
    • Abilitare la casella di controllo Abilita criteri di rete per tutti gli endpoint privati in questa subnet.
    • Selezionare Alloca dinamicamente l'indirizzo IP e selezionare Avanti : DNS.

    Screenshot of how to create a private endpoint in Virtual network tab.

  6. In DNS i dati vengono popolati in base alle informazioni immesse nelle schede Informazioni di base, Risorsa Rete virtuale e crea una zona DNS privato. Immetti i dettagli seguenti:

    • Integrazione con la zona DNS privata
    • Abbonamento
    • Gruppo di risorse e selezionare Avanti : Tag

    Screenshot of how to create a private endpoint in DNS tab.

  7. In Tag è possibile classificare le risorse. Selezionare Nome e Valore e selezionare Rivedi e crea.

Si viene reindirizzati alla pagina Rivedi e crea dove Azure convalida la configurazione. Una volta applicate le modifiche all'accesso alla rete pubblica e collegamento privato, possono essere necessari fino a 35 minuti per rendere effettive le modifiche.

Nel centro collegamento privato selezionare Endpoint privati per visualizzare la risorsa collegamento privato.

Screenshot Automation resource private link.

Selezionare la risorsa per visualizzare tutti i dettagli. In questo modo viene creato un nuovo endpoint privato per l'account di Automazione e viene assegnato un indirizzo IP privato dalla rete virtuale. Lo stato di Connessione ion viene visualizzato come approvato.

Analogamente, viene creato un nome di dominio completo (FQDN) univoco per State Configuration (agentsvc) e per il runtime del processo del ruolo di lavoro ibrido per runbook (jrds). A ognuno di essi viene assegnato un indirizzo IP separato dalla rete virtuale e lo stato di Connessione ion viene visualizzato come approvato.

Se il consumer del servizio dispone delle autorizzazioni di Controllo degli accessi in base al ruolo di Azure per la risorsa di Automazione, è possibile scegliere il metodo di approvazione automatica. In questo caso, quando la richiesta raggiunge la risorsa del provider di automazione, non viene richiesta alcuna azione dal provider di servizi e la connessione viene approvata automaticamente.

Impostare i flag di accesso alla rete pubblica

È possibile configurare un account di Automazione per negare tutte le configurazioni pubbliche e consentire solo le connessioni tramite endpoint privati per migliorare ulteriormente la sicurezza di rete. Se si vuole limitare l'accesso all'account di Automazione solo all'interno della rete virtuale e non consentire l'accesso da Internet pubblico, è possibile impostare la publicNetworkAccess proprietà su $false.

Quando l'impostazione Accesso alla rete pubblica è impostata su $false, sono consentite solo le connessioni tramite endpoint privati e tutte le connessioni tramite endpoint pubblici vengono negate con un messaggio di errore non autorizzato e lo stato HTTP 401.

Lo script di PowerShell seguente illustra come e Set la proprietà Accesso alla Get rete pubblica a livello di account di Automazione:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false -Force
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

È anche possibile controllare la proprietà di accesso alla rete pubblica dal portale di Azure. Nell'account di Automazione selezionare Isolamento rete nel riquadro a sinistra nella sezione Account Impostazioni. Quando l'impostazione Accesso alla rete pubblica è impostata su No, sono consentite solo le connessioni sugli endpoint privati e tutte le connessioni sugli endpoint pubblici vengono negate.

Public Network Access setting

Configurazione del DNS

Quando ci si connette a una risorsa Collegamento privato usando un nome di dominio completo (FQDN) come parte della stringa di connessione, è importante configurare correttamente le impostazioni DNS per la risoluzione nell'indirizzo IP privato allocato. I servizi di Azure esistenti potrebbero avere già una configurazione DNS da usare per la connessione tramite un endpoint pubblico. La configurazione DNS deve essere esaminata e aggiornata per connettersi usando l'endpoint privato.

L'interfaccia di rete associata all'endpoint privato contiene il set completo di informazioni necessarie per configurare il DNS, inclusi FQDN e indirizzi IP privati allocati per una determinata risorsa Collegamento privato.

Per configurare le impostazioni DNS per gli endpoint privati si può procedere nei modi seguenti:

  • Usare il file host (soluzione consigliata solo per il test) . È possibile usare il file host in una macchina virtuale per eseguire prima l'override usando DNS per la risoluzione dei nomi. La voce DNS dovrebbe essere simile all'esempio seguente: privatelinkFQDN.jrds.sea.azure-automation.net.

  • Usare una zona DNS privata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato specifico. Una zona DNS privato può essere collegata alla rete virtuale per risolvere domini specifici. Per abilitare l'agente nella macchina virtuale per comunicare tramite l'endpoint privato, creare un record DNS privato come privatelink.azure-automation.net. Aggiungere un nuovo mapping di record DNS A all'indirizzo IP dell'endpoint privato.

  • Usare il server d'inoltro DNS (facoltativo) . È possibile usare il server d'inoltro DNS per eseguire l'override della risoluzione DNS per una determinata risorsa di collegamento privato. Se il server DNS è ospitato in una rete virtuale, si può creare una regola di invio DNS in modo da usare una zona DNS privato per semplificare la configurazione per tutte le risorse Collegamento privato.

Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Passaggi successivi

Per altre informazioni sull'endpoint privato, vedere Che cos'è l'endpoint privato di Azure?.