Azure Private Link gebruiken om servers veilig te verbinden met Azure Arc

  • Artikel

Met Azure Private Link kunt u Azure PaaS-services veilig koppelen aan uw virtuele netwerk met behulp van privé-eindpunten. Voor veel services stelt u een eindpunt per resource in. Dit betekent dat u uw on-premises of multicloudservers kunt verbinden met Azure Arc en al het verkeer via een Azure ExpressRoute- of site-naar-site-VPN-verbinding kunt verzenden in plaats van openbare netwerken te gebruiken.

Vanaf servers met Azure Arc kunt u een Private Link Scope-model gebruiken om meerdere servers of computers te laten communiceren met hun Azure Arc-resources met behulp van één privé-eindpunt.

In dit artikel wordt beschreven wanneer u een Azure Arc Private Link-bereik moet gebruiken en instellen.

Voordelen

Met Private Link kunt u het volgende doen:

  • Verbinding maken privé naar Azure Arc zonder openbare netwerktoegang te openen.
  • Zorg ervoor dat gegevens van de machine of server met Azure Arc alleen toegankelijk zijn via geautoriseerde privénetwerken. Dit omvat ook gegevens van VM-extensies die zijn geïnstalleerd op de computer of server die ondersteuning bieden voor beheer na implementatie en bewaking.
  • Voorkom gegevensexfiltratie van uw privénetwerken door specifieke Servers met Azure Arc en andere Azure-services-resources, zoals Azure Monitor, te definiëren die verbinding maken via uw privé-eindpunt.
  • Verbind uw privé on-premises netwerk veilig met Azure Arc met behulp van ExpressRoute en Private Link.
  • Houd al het verkeer binnen het Backbone-netwerk van Microsoft Azure.

Zie De belangrijkste voordelen van Private Link voor meer informatie.

Hoe het werkt

Azure Arc Private Link Scope verbindt privé-eindpunten (en de virtuele netwerken waarin ze zich bevinden) met een Azure-resource, in dit geval servers met Azure Arc. Wanneer u een van de door Azure Arc ondersteunde VM-extensies inschakelt, zoals Azure Monitor, verbinden deze resources andere Azure-resources. Zoals:

  • Log Analytics-werkruimte, vereist voor Azure Automation Wijzigingen bijhouden en inventaris, Azure Monitor VM-inzichten en Azure Monitor-logboekverzameling met Log Analytics-agent.
  • Azure Automation-account, vereist voor Updatebeheer en Wijzigingen bijhouden en inventaris.
  • Azure Key Vault
  • Azure Blob Storage, vereist voor aangepaste scriptextensie.

Diagram van de basisresourcetopologie

Verbinding maken voor elke andere Azure-resource van een Server met Azure Arc is het configureren van Private Link vereist voor elke service, die optioneel is, maar wordt aanbevolen. Voor Azure Private Link is een afzonderlijke configuratie per service vereist.

Zie de artikelen over Azure Automation, Azure Monitor, Azure Key Vault of Azure Blob Storage voor meer informatie over het configureren van Private Link voor de Azure-services die eerder zijn vermeld.

Belangrijk

Azure Private Link is nu algemeen beschikbaar. Zowel privé-eindpunten als de Private Link-service (service achter standaard load balancer) zijn algemeen beschikbaar. Verschillende Azure PaaS onboarding naar Azure Private Link volgens verschillende planningen. Bekijk de beschikbaarheid van Private Link voor een bijgewerkte status van Azure PaaS op Private Link. Zie Privé-eindpunt en Private Link-service voor bekende beperkingen.

  • Met het privé-eindpunt in uw VNet kan het eindpunten van servers met Azure Arc bereiken via privé-IP's uit de groep van uw netwerk, in plaats van te gebruiken voor de openbare IP-adressen van deze eindpunten. Hiermee kunt u uw azure Arc-serversresource blijven gebruiken zonder uw VNet te openen voor uitgaand verkeer dat niet is aangevraagd.

  • Verkeer van het privé-eindpunt naar uw resources gaat via de Microsoft Azure-backbone en wordt niet doorgestuurd naar openbare netwerken.

  • U kunt elk van uw onderdelen configureren om opname en query's van openbare netwerken toe te staan of te weigeren. Dit biedt een beveiliging op resourceniveau, zodat u verkeer naar specifieke resources kunt beheren.

Beperkingen en limieten

Het Private Link-bereikobject voor Azure Arc-servers heeft een aantal limieten die u moet overwegen bij het plannen van uw Private Link-installatie.

  • U kunt maximaal één Azure Arc Private Link-bereik koppelen aan een virtueel netwerk.
  • Een machine of serverresource met Azure Arc kan alleen verbinding maken met één Private Link-bereik voor Azure Arc-servers.
  • Alle on-premises machines moeten hetzelfde privé-eindpunt gebruiken door de juiste privé-eindpuntgegevens (FQDN-recordnaam en privé-IP-adres) op te lossen met behulp van dezelfde DNS-doorstuurserver. Zie DNS-configuratie van azure-privé-eindpunt voor meer informatie
  • De server met Azure Arc en het Azure Arc Private Link-bereik moeten zich in dezelfde Azure-regio bevinden. Het privé-eindpunt en het virtuele netwerk moeten zich ook in dezelfde Azure-regio bevinden, maar deze regio kan afwijken van die van uw Azure Arc Private Link-bereik en de server met Arc.
  • Netwerkverkeer naar Microsoft Entra ID en Azure Resource Manager gaat niet over het Azure Arc Private Link-bereik en blijft uw standaardnetwerkroute naar internet gebruiken. U kunt desgewenst een privékoppeling voor resourcebeheer configureren om Azure Resource Manager-verkeer naar een privé-eindpunt te verzenden.
  • Voor andere Azure-services die u wilt gebruiken, bijvoorbeeld Azure Monitor, zijn hun eigen privé-eindpunten in uw virtuele netwerk vereist.
  • Externe toegang tot de server met Windows Beheer Center of SSH wordt momenteel niet ondersteund via private link.

Als u uw server via een privékoppeling wilt verbinden met Azure Arc, moet u uw netwerk configureren om het volgende te bereiken:

  1. Maak een verbinding tussen uw on-premises netwerk en een virtueel Azure-netwerk met behulp van een site-naar-site-VPN - of ExpressRoute-circuit.

  2. Implementeer een Azure Arc Private Link-bereik, waarmee wordt bepaald welke machines of servers kunnen communiceren met Azure Arc via privé-eindpunten en deze kunnen koppelen aan uw virtuele Azure-netwerk met behulp van een privé-eindpunt.

  3. Werk de DNS-configuratie op uw lokale netwerk bij om de privé-eindpuntadressen op te lossen.

  4. Configureer uw lokale firewall om toegang tot Microsoft Entra ID en Azure Resource Manager toe te staan.

  5. Koppel de computers of servers die zijn geregistreerd bij servers met Azure Arc met het bereik van private link.

  6. Implementeer eventueel privé-eindpunten voor andere Azure-services die door uw machine of server worden beheerd, zoals:

    • Azure Monitor
    • Azure Automation
    • Azure Blob Storage
    • Azure Key Vault

In dit artikel wordt ervan uitgegaan dat u uw ExpressRoute-circuit of site-naar-site-VPN-verbinding al hebt ingesteld.

Netwerkconfiguratie

Servers met Azure Arc kunnen worden geïntegreerd met verschillende Azure-services om cloudbeheer en governance toe te voegen aan uw hybride machines of servers. De meeste van deze services bieden al privé-eindpunten, maar u moet uw firewall- en routeringsregels configureren om toegang te verlenen tot Microsoft Entra-id en Azure Resource Manager via internet totdat deze services privé-eindpunten bieden.

U kunt dit op twee manieren bereiken:

  • Als uw netwerk is geconfigureerd voor het routeren van al het internetverkeer via het Azure VPN- of ExpressRoute-circuit, kunt u de netwerkbeveiligingsgroep (NSG) configureren die is gekoppeld aan uw subnet in Azure om uitgaande TCP 443-toegang (HTTPS) tot Microsoft Entra ID en Azure toe te staan met behulp van servicetags. De NSG-regels moeten er als volgt uitzien:

    Instelling Microsoft Entra ID-regel Azure-regel
    Bron Virtueel netwerk Virtueel netwerk
    Poortbereiken van bron * *
    Doel Servicetag Servicetag
    Doelservicetag AzureActiveDirectory AzureResourceManager
    Poortbereiken van doel 443 443
    Protocol TCP TCP
    Actie Toestaan Toestaan
    Prioriteit 150 (moet lager zijn dan regels die internettoegang blokkeren) 151 (moet lager zijn dan regels die internettoegang blokkeren)
    Naam AllowAADOutboundAccess AllowAzOutboundAccess

  • Configureer de firewall in uw lokale netwerk om uitgaande TCP 443-toegang (HTTPS) tot Microsoft Entra ID en Azure toe te staan met behulp van de downloadbare servicetagbestanden. Het JSON-bestand bevat alle openbare IP-adresbereiken die worden gebruikt door Microsoft Entra ID en Azure en wordt maandelijks bijgewerkt om eventuele wijzigingen weer te geven. De servicetag van Azure AD is AzureActiveDirectory en de servicetag van Azure is AzureResourceManager. Neem contact op met de netwerkbeheerder en de leverancier van de netwerkfirewall voor meer informatie over het configureren van uw firewallregels.

Zie het visuele diagram onder de sectie How it works for the network traffic flows.

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Een resource maken in Azure Portal en zoek naar Azure Arc Private Link Scope. U kunt ook de volgende koppeling gebruiken om de pagina Azure Arc Private Link Scope te openen in de portal.

    Schermopname van de startpagina voor privébereik met de knop Maken.

  3. Selecteer Maken.

  4. Selecteer op het tabblad Basisbeginselen een abonnement en resourcegroep.

  5. Voer een naam in voor het Azure Arc Private Link-bereik. U kunt het beste een duidelijke en duidelijke naam gebruiken.

    U kunt desgewenst elke machine of server met Azure Arc vereisen die is gekoppeld aan dit Azure Arc Private Link-bereik om gegevens naar de service te verzenden via het privé-eindpunt. Schakel hiervoor het selectievakje openbare netwerktoegang toestaan in, zodat machines of servers die zijn gekoppeld aan dit Azure Arc Private Link-bereik, kunnen communiceren met de service via zowel privénetwerken als openbare netwerken. U kunt deze instelling wijzigen nadat u het bereik hebt gemaakt als u van gedachten verandert.

  6. Selecteer het tabblad Privé-eindpunt en selecteer Vervolgens Maken.

  7. In het venster Privé-eindpunt maken:

    1. Voer een naam in voor het eindpunt.

    2. Kies Ja voor Integreren met een privé-DNS-zone en laat deze automatisch een nieuwe Privé-DNS zone maken.

      Notitie

      Als u Nee kiest en dns-records liever handmatig wilt beheren, voltooit u eerst het instellen van uw Private Link, inclusief dit privé-eindpunt en de configuratie van het privébereik. Vervolgens configureer u uw DNS volgens de instructies in DNS-configuratie van Azure-privé-eindpunt. Zorg ervoor dat u geen lege records maakt als voorbereiding voor het instellen van uw privékoppeling. De DNS-records die u maakt, kunnen bestaande instellingen overschrijven en van invloed zijn op uw connectiviteit met servers met Azure Arc.

    3. Selecteer OK.

  8. Selecteer Controleren + maken.

    Schermopname van het venster Private Link-bereik maken

  9. Laat de validatie slagen en selecteer vervolgens Maken.

On-premises DNS-doorsturen configureren

Uw on-premises machines of servers moeten de DNS-records van de privékoppeling kunnen omzetten in de IP-adressen van het privé-eindpunt. Hoe u dit configureert, is afhankelijk van of u privé-DNS-zones van Azure gebruikt voor het onderhouden van DNS-records of dat u uw eigen DNS-server on-premises gebruikt en hoeveel servers u configureert.

DNS-configuratie met behulp van door Azure geïntegreerde privé-DNS-zones

Als u privé-DNS-zones instelt voor servers met Azure Arc en gastconfiguratie bij het maken van het privé-eindpunt, moeten uw on-premises machines of servers DNS-query's kunnen doorsturen naar de ingebouwde Azure DNS-servers om de privé-eindpuntadressen correct op te lossen. U hebt een DNS-doorstuurserver in Azure nodig (een speciaal gebouwde VM of een Azure Firewall-exemplaar waarvoor DNS-proxy is ingeschakeld), waarna u uw on-premises DNS-server kunt configureren om query's door te sturen naar Azure om IP-adressen van privé-eindpunten op te lossen.

De documentatie over privé-eindpunten bevat richtlijnen voor het configureren van on-premises workloads met behulp van een DNS-doorstuurserver.

Handmatige DNS-serverconfiguratie

Als u zich hebt afgemeld voor het gebruik van privé-DNS-zones van Azure tijdens het maken van een privé-eindpunt, moet u de vereiste DNS-records maken in uw on-premises DNS-server.

  1. Ga naar de Azure Portal.

  2. Navigeer naar de privé-eindpuntresource die is gekoppeld aan het bereik van uw virtuele netwerk en private link.

  3. Selecteer in het linkerdeelvenster DNS-configuratie om een lijst met de DNS-records en de bijbehorende IP-adressen te zien die u moet instellen op uw DNS-server. De FQDN's en IP-adressen worden gewijzigd op basis van de regio die u hebt geselecteerd voor uw privé-eindpunt en de beschikbare IP-adressen in uw subnet.

    DNS-configuratiegegevens

  4. Volg de richtlijnen van de leverancier van uw DNS-server om de benodigde DNS-zones en A-records toe te voegen die overeenkomen met de tabel in de portal. Zorg ervoor dat u een DNS-server selecteert die het juiste bereik heeft voor uw netwerk. Elke computer of server die deze DNS-server gebruikt, lost nu de IP-adressen van het privé-eindpunt op en moet zijn gekoppeld aan het Azure Arc Private Link-bereik, anders wordt de verbinding geweigerd.

Scenario's met één server

Als u van plan bent om alleen privékoppelingen te gebruiken ter ondersteuning van een paar computers of servers, wilt u mogelijk de DNS-configuratie van uw hele netwerk niet bijwerken. In dit geval kunt u de hostnamen en IP-adressen van het privé-eindpunt toevoegen aan het bestand Hosts van besturingssystemen. Afhankelijk van de configuratie van het besturingssysteem kan het hosts-bestand de primaire of alternatieve methode zijn voor het omzetten van hostnaam naar IP-adres.

Windows

  1. Open C:\Windows\System32\drivers\etc\hosts met beheerdersbevoegdheden.

  2. Voeg de IP-adressen en hostnamen van het privé-eindpunt toe, zoals wordt weergegeven in de tabel uit stap 3 onder Handmatige DNS-serverconfiguratie. Het hostbestand vereist eerst het IP-adres, gevolgd door een spatie en vervolgens de hostnaam.

  3. Sla het bestand op met uw wijzigingen. Mogelijk moet u eerst opslaan in een andere map en vervolgens het bestand naar het oorspronkelijke pad kopiëren.

Linux

  1. Open het /etc/hosts hosts-bestand in een teksteditor.

  2. Voeg de IP-adressen en hostnamen van het privé-eindpunt toe, zoals wordt weergegeven in de tabel uit stap 3 onder Handmatige DNS-serverconfiguratie. Het hostbestand vraagt eerst om het IP-adres, gevolgd door een spatie en vervolgens de hostnaam.

  3. Sla het bestand op met uw wijzigingen.

Verbinding maken naar servers met Azure Arc

Notitie

De minimaal ondersteunde versie van de met Azure Arc verbonden machineagent met privé-eindpunt is versie 1.4. Het implementatiescript voor servers met Azure Arc dat in de portal is gegenereerd, downloadt de nieuwste versie.

Wanneer u een machine of server voor het eerst verbindt met servers met Azure Arc, kunt u deze desgewenst verbinden met een Private Link-bereik. De volgende stappen zijn

  1. Ga in een browser naar Azure Portal.

  2. Navigeer naar Machines - Azure Arc.

  3. Selecteer op de pagina Machines - Azure Arc linksboven toevoegen/maken en selecteer vervolgens Een machine toevoegen in de vervolgkeuzelijst.

  4. Selecteer op de pagina Servers toevoegen met Azure Arc de optie Eén server toevoegen of Meerdere servers toevoegen, afhankelijk van uw implementatiescenario en selecteer vervolgens Genereren script.

  5. Selecteer op de pagina Script genereren het abonnement en de resourcegroep waarin u de machine wilt beheren binnen Azure. Selecteer een Azure-locatie waar de metagegevens van de machine worden opgeslagen. Deze locatie kan hetzelfde zijn als, of verschillen van, de locatie van de resourcegroep.

  6. Geef op de pagina Basisinformatie het volgende op:

    1. Selecteer het abonnement en de resourcegroep voor de computer.

    2. Selecteer in de vervolgkeuzelijst Regio de Azure-regio om de metagegevens van de machine of server op te slaan.

    3. Selecteer in de vervolgkeuzelijst Besturingssysteem het besturingssysteem waarop het script is geconfigureerd om te worden uitgevoerd.

    4. Selecteer onder Verbinding maken iviteitsmethode het privé-eindpunt en selecteer het Azure Arc Private Link-bereik dat in deel 1 is gemaakt in de vervolgkeuzelijst.

      Connectiviteitsoptie privé-eindpunt selecteren

    5. Selecteer Volgende: Tags.

  7. Als u meerdere servers toevoegen hebt geselecteerd, selecteert u op de pagina Verificatie de service-principal die is gemaakt voor servers met Azure Arc in de vervolgkeuzelijst. Als u geen service-principal hebt gemaakt voor servers met Azure Arc, controleert u eerst hoe u een service-principal maakt om vertrouwd te raken met de vereiste machtigingen en de stappen om er een te maken. Selecteer Volgende: Tags om door te gaan.

  8. Controleer, op de pagina Tags, de standaard Fysieke locatiecodes die worden voorgesteld. Voer vervolgens een waarde in, of geef één of meer Aangepaste codes op om uw standaarden te ondersteunen.

  9. Selecteer Volgende: Script downloaden en uitvoeren.

  10. Bekijk, op de pagina Het script downloaden en uitvoeren, de overzichtsgegevens. Selecteer vervolgens Downloaden. Als u nog wijzigingen wilt aanbrengen, selecteert u Vorige.

Nadat u het script hebt gedownload, moet u het uitvoeren op uw computer of server met behulp van een bevoegd (administrator- of hoofdaccount). Afhankelijk van uw netwerkconfiguratie moet u de agent mogelijk downloaden van een computer met internettoegang en deze overdragen naar uw computer of server en het script vervolgens wijzigen met het pad naar de agent.

De Windows-agent kan worden gedownload van https://aka.ms/AzureConnectedMachineAgent en de Linux-agent kan worden gedownload van https://packages.microsoft.com. Zoek naar de nieuwste versie van azcmagent onder de distributiemap van het besturingssysteem en geïnstalleerd met uw lokale pakketbeheerder.

Het script retourneert statusberichten die u laten weten of de onboarding is geslaagd nadat het is voltooid.

Tip

Netwerkverkeer van de Azure Verbinding maken ed Machine-agent naar Microsoft Entra ID (login.windows.net, login.microsoftonline.com, pas.windows.net) en Azure Resource Manager (management.azure.com) blijven openbare eindpunten gebruiken. Als uw server moet communiceren via een proxyserver om deze eindpunten te bereiken, configureert u de agent met de URL van de proxyserver voordat u deze verbindt met Azure. Mogelijk moet u ook een proxy-bypass configureren voor de Azure Arc-services als uw privé-eindpunt niet toegankelijk is vanaf uw proxyserver.

Een bestaande server met Azure Arc configureren

Voor servers met Azure Arc die vóór uw private link-bereik zijn ingesteld, kunt u toestaan dat ze het Private Link-bereik van Azure Arc gaan gebruiken door de volgende stappen uit te voeren.

  1. Navigeer in Azure Portal naar uw Azure Arc Private Link Scope-resource.

  2. Selecteer Azure Arc-resources in het linkerdeelvenster en selecteer vervolgens + Toevoegen.

  3. Selecteer de servers in de lijst die u wilt koppelen aan het Private Link-bereik en selecteer vervolgens Selecteren om uw wijzigingen op te slaan.

Azure Arc-resources selecteren

Het kan tot 15 minuten duren voordat het Private Link-bereik verbindingen accepteert van de recent gekoppelde server(s).

Probleemoplossing

  1. Controleer uw on-premises DNS-server(s) om te controleren of deze wordt doorgestuurd naar Azure DNS of is geconfigureerd met de juiste A-records in uw privékoppelingszone. Deze opzoekopdrachten moeten privé-IP-adressen retourneren in uw virtuele Azure-netwerk. Als ze openbare IP-adressen omzetten, controleert u de DNS-configuratie van uw computer of server en netwerk.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com

  2. Als u problemen ondervindt bij het onboarden van een machine of server, controleert u of u de Microsoft Entra ID- en Azure Resource Manager-servicetags hebt toegevoegd aan uw lokale netwerkfirewall. De agent moet communiceren met deze services via internet totdat privé-eindpunten beschikbaar zijn voor deze services.

Volgende stappen