Использование частных конечных точек с учетными записями пакетной службы Azure

По умолчанию учетные записи пакетной службы Azure имеют общедоступную конечную точку и открыты для всех. Пакетная служба позволяет создать частую конечную точку для учетных записей пакетной службы, чтобы частная сеть получила доступ к пакетной службе.

Используя Приватный канал Azure, вы можете подключиться к учетной записи пакетной службы Azure с помощью частной конечной точки. Частная конечная точка — это набор частных IP-адресов в подсети в виртуальной сети. Затем можно ограничить доступ к учетной записи пакетной службы Azure только через частные IP-адреса.

Приватный канал позволяет пользователям получать доступ к учетной записи пакетной службы Azure из виртуальной сети или из любой одноранговой виртуальной сети. Ресурсы, сопоставленные с Приватным каналом, также доступны локально по частному пирингу через VPN или Azure ExpressRoute. Вы можете подключиться к учетной записи пакетной службы Azure, настроенной с помощью автоматического или ручного метода утверждения.

В этой статье описываются действия по созданию частной конечной точки пакетной службы для доступа к конечным точкам учетных записей пакетной службы.

Подресурсы частной конечной точки, поддерживаемые для учетной записи пакетной службы

Ресурс учетной записи пакетной службы включает две поддерживаемые конечные точки для доступа к частным конечным точкам:

• Конечная точка учетной записи (подресурс batchAccount): эта конечная точка используется для доступа к REST API пакетной службы (плоскости данных), например для управления пулами, вычислительными узлами, заданиями, задачами и т. д.

• Конечная точка управления узлами (подресурс nodeManagement): используется узлами пула пакетной службы для доступа к службе управления узлами пакетной службы. Применяется только при использовании упрощенного взаимодействия с вычислительными узлами.

Совет

Вы можете создать частную конечную точку для одной из них или обеих в виртуальной сети в зависимости от фактического использования учетной записи пакетной службы. Например, если вы запускаете пул пакетной службы в виртуальной сети, но вызываете REST API пакетной службы из другого места, вам потребуется только создать частную конечную точку nodeManagement в виртуальной сети.

Портал Azure

Для создания частной конечной точки с использованием учетной записи пакетной службы на портале Azure выполните следующие действия:

1. Войдите в свою учетную запись пакетной службы на портале Azure.
2. В разделе Параметры выберите Сеть и откройте вкладку Частный доступ. Нажмите + Добавить частную конечную точку.
3. На панели Основные сведения введите или выберите подписку, группу ресурсов, имя ресурса частной конечной точки и сведения о регионе, а затем щелкните Далее: Ресурс.
4. В области Ресурс для параметра Тип ресурса задайте значение Microsoft.Batch/batchAccounts. Выберите учетную запись пакетной службы, к которой требуется получить доступ, а затем целевой подресурс и нажмите Далее: конфигурация.
5. В области Конфигурация введите или выберите следующие сведения:
   • Для параметра Виртуальная сеть выберите свою виртуальную сеть.
   • Для параметра Подсеть выберите свою подсеть.
   • Для параметра Конфигурация частного IP-адреса оставьте значение по умолчанию — Динамически выделять IP-адрес.
   • Для параметра Интеграция с частной зоной DNS выберите Да. Для частного подключения к частной конечной точке требуется запись DNS. Рекомендуем интегрировать частную конечную точку с частной зоной DNS. Вы также можете использовать собственные DNS-серверы или создать записи DNS с использованием файлов узлов на своих виртуальных машинах.
   • Для параметра Частная зона DNS выберите значение privatelink.batch.azure.com. Частная зона DNS определяется автоматически. Изменить этот параметр на портале Azure нельзя.

Важно!

• Если у вас есть частные конечные точки, созданные с использованием предыдущей частной зоной DNS privatelink.<region>.batch.azure.com, выполните инструкции из раздела Миграция с использованием существующих частных конечных точек учетной записи пакетной службы.
• Если вы выбрали интеграцию частной зоны DNS, убедитесь, что частная зона DNS успешно связана с виртуальной сетью. На портале Azure можно выбрать существующую частную зону DNS, которая не связана с виртуальной сетью, и в этом случае вам потребуется вручную добавить такую связь.

6. Выберите Проверка + создание, а затем подождите, пока Azure проверит вашу конфигурацию.
7. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

Совет

Вы также можете создать частную конечную точку в Центре приватного канала на портале Azure или новый ресурс, выполнив поиск частной конечной точки.

Использование частной конечной точки

После подготовки частной конечной точки вы можете получить доступ к учетной записи пакетной службы, используя частный IP-адрес в виртуальной сети:

• Частная конечная точка для batchAccount: может получать доступ к плоскости данных учетной записи пакетной службы для управления пулами, заданиями и задачами.

• Частная конечная точка для nodeManagement: вычислительные узлы пула пакетной службы могут подключаться к службе управления узлами пакетной службы и управляться этой службой.

Совет

Рекомендуется также отключить доступ к общедоступной сети с помощью учетной записи пакетной службы при использовании частных конечных точек, что ограничит доступ только к частной сети.

Важно!

Если доступ к общедоступной сети в учетной записи пакетной службы отключен, то при выполнении операций с учетной записью (например, пулов или заданий) за пределами той виртуальной сети, где подготовлена частная конечная точка, в учетной записи пакетной службы на портале Azure будет отображаться сообщение AuthorizationFailure.

Чтобы увидеть IP-адреса для частной конечной точки на портале Azure, выполните следующие действия:

1. Щелкните Все ресурсы.
2. Найдите частную конечную точку, созданную ранее.
3. Перейдите на вкладку Конфигурация DNS, чтобы посмотреть параметры DNS и IP-адреса.

Настройка зон DNS

Используйте частную зону DNS в подсети, в которой была создана частная конечная точка. Настройте конечные точки таким образом, чтобы каждый частный IP-адрес был сопоставлен с записью DNS.

При создании частной конечной точки ее можно интегрировать с частной зоной DNS в Azure. Если вместо этого вы используетеличный домен , необходимо настроить его для добавления записей DNS для всех частных IP-адресов, зарезервированных для частной конечной точки.

Миграция с использованием существующих частных конечных точек учетной записи пакетной службы

С появлением нового подресурса частной конечной точки nodeManagement для конечной точки управления узлами пакетной службы частная зона DNS по умолчанию для учетной записи пакетной службы была упрощена с privatelink.<region>.batch.azure.com до privatelink.batch.azure.com. Чтобы обеспечить обратную совместимость с ранее использовавшейся частной зоной DNS, в учетной записи пакетной службы с утвержденной частной конечной точкой batchAccount сопоставление DNS CNAME конечной точки содержит обе зоны (предыдущая зона указывается первой). Пример:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Дальнейшее использование предыдущей частной зоне DNS

Если вы уже использовали предыдущую зону DNS privatelink.<region>.batch.azure.com со своей виртуальной сетью, продолжайте ее использование для существующих и новых частных конечных точек batchAccount: никаких дополнительных действий не требуется.

Важно!

Если вы уже используете предыдущую частную зону DNS, продолжайте делать это даже для новых частных конечных точек. Не используйте новую зону с решением для интеграции DNS, пока не сможете перейти на новую зону.

Создание частной конечной точки batchAccount с интеграцией DNS на портале Azure

Если вы вручную создадите частную конечную точку batchAccount с помощью портала Azure с включенной автоматической интеграцией DNS, она будет использовать новую частную зону privatelink.batch.azure.com DNS для интеграции: создайте частную зону DNS, свяжите ее со своей виртуальной сетью и настройте в зоне запись DNS A для частной конечной точки.

Однако если виртуальная сеть уже связана с предыдущей частной зоной privatelink.<region>.batch.azure.comDNS, то разрешение DNS для учетной записи пакетной службы в вашей виртуальной сети будет нарушено: запись DNS A для новой частной конечной точки будет добавлена в новую зону, но разрешение DNS сначала проверяет предыдущую зону в целях обратной совместимости.

Этой проблемы можно избежать следующими способами:

• Если вам больше не нужна предыдущая частная зона DNS, отсоедините ее от своей виртуальной сети. Дополнительные действия не требуются.

• В противном случае после создания новой частной конечной точки выполните следующие действия:

  1. Убедитесь, что автоматическая интеграция частной зоны DNS содержит запись DNS A, созданную в новой частной зоне DNS privatelink.batch.azure.com. Например, myaccount.<region> A <IPv4 address>.

  2. Перейдите к предыдущей частной зоне DNS privatelink.<region>.batch.azure.com.

  3. Добавьте запись CNAME DNS вручную. Например, myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Важно!

Решать эту проблему вручную нужно только при создании новой частной конечной точки batchAccount с интеграцией частной зоны DNS в виртуальной сети, которая уже связана с предыдущей частной зоной DNS.

Перенос предыдущей частной зоны DNS в новую зону

Хотя вы можете использовать предыдущую частную зону DNS с существующим процессом развертывания, рекомендуется перевести ее на новую зону, чтобы упростить управление конфигурацией DNS:

• При использовании новой частной зоны DNS privatelink.batch.azure.com вам не потребуется настраивать и администрировать разные зоны для каждого региона в учетных записей пакетной службы.
• Когда вы приступите к работе с новой частной конечной точкой nodeManagement, которая также использует новую частную зону DNS, вам потребуется управлять только одной частной зоной DNS для обоих типов частных конечных точек.

Чтобы выполнить миграцию с предыдущей частной зоны DNS, выполните указанные ниже действия.

1. Создайте новую частную зону DNS privatelink.batch.azure.com и свяжите ее со своей виртуальной сетью.
2. Скопируйте все записи DNS A из предыдущей частной зоны DNS в новую зону:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Отмените связь предыдущей частной зоной DNS со своей виртуальной сетью.
4. Проверьте разрешение DNS в виртуальной сети; DNS-имя учетной записи пакетной службы должно продолжать разрешаться в IP-адрес частной конечной точки:

nslookup myaccount.<region>.batch.azure.com

5. Приступайте к использованию новою частной зоны DNS с процессом развертывания для новых частных конечных точек.
6. Удалите предыдущую частную зону DNS после завершения миграции.

Цены

Дополнительные сведения о затратах, связанных с частными конечными точками, см. в разделе Цены на Приватный канал Azure.

Текущие ограничения и рекомендации

При создании частной конечной точки с использованием учетной записи пакетной службы необходимо учитывать следующее:

• Ресурсы частной конечной точки можно создавать в другой подписке, в качестве учетной записи пакетной службы, но подписка должна быть зарегистрирована в поставщике ресурсов Microsoft.Batch.
• Перемещение ресурсов для частных конечных точек с учетными записями пакетной службы не поддерживается.
• Если ресурс учетной записи пакетной службы перемещается в другую группу ресурсов или подписку, частные конечные точки могут работать по-прежнему, но связь с учетной записью пакетной службы будет прервана. Если удалить ресурс частной конечной точки, соответствующее подключение частной конечной точки сохранится в учетной записи пакетной службы. Подключение можно удалить из учетной записи пакетной службы вручную.
• Чтобы удалить подключение частной конечной точки, удалите ресурс частной конечной точки или подключение частной конечной точки в учетной записи пакетной службы (это действие отключает связанный ресурс частной конечной точки).
• Записи DNS в частной зоне DNS при удалении подключения частной конечной точки из учетной записи пакетной службы автоматически не удаляются. Перед добавлением новой частной конечной точки, связанной с этой частной зоной DNS, необходимо вручную удалить записи DNS. Если не очистить записи DNS, могут возникнуть непредвиденные проблемы с доступом.
• Если для учетной записи пакетной службы включена частная конечная точка, маркер проверки подлинности задачи для задачи пакетной службы не поддерживается. Обходной путь — использовать пул пакетной службы с управляемыми удостоверениями.

Дальнейшие действия

• Узнайте, как создавать пулы пакетной службы в виртуальных сетях.
• Узнайте, как создавать пулы пакетной службы без общедоступных IP-адресов
• Узнайте, как настроить доступ к общедоступной сети для учетных записей пакетной службы.
• Узнайте, как управлять подключениями к частной конечной точке для учетных записей пакетной службы
• Узнайте о Приватном канале Azure.