Sleutelkluis integreren met Azure Private Link

Met Azure Private Link hebt u via een privé-eindpunt in uw virtuele netwerk toegang tot Azure-services (bijvoorbeeld Azure Key Vault, Azure Storage en Azure Cosmos DB) en in Azure gehoste services van klanten of partners.

Een privé-eindpunt in Azure is een netwerkinterface waarmee u privé en veilig verbinding maakt met een service die door Azure Private Link mogelijk wordt gemaakt. Het privé-eindpunt maakt gebruik van een privé-IP-adres van uw VNet, waardoor de service feitelijk in uw VNet wordt geplaatst. Al het verkeer naar de service kan worden gerouteerd via het privé-eindpunt, zodat er geen gateways, NAT-apparaten, ExpressRoute of VPN-verbindingen of openbare IP-adressen nodig zijn. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt verbinding maken met een exemplaar van een Azure-resource, zodat u het hoogste granulariteit krijgt in toegangsbeheer.

Zie Wat is een Azure Private Link? voor meer informatie.

Vereisten

Als u een sleutelkluis wilt integreren met Azure Private Link, hebt u het volgende nodig:

• Een sleutelkluis.
• Een Azure Virtual Network.
• Een subnet binnen het virtueel netwerk.
• Eigenaar- of inzendermachtigingen voor zowel de sleutelkluis als het virtueel netwerk.

Uw privé-eindpunt en het virtueel netwerk moeten zich in dezelfde regio bevinden. Wanneer u een regio voor het privé-eindpunt selecteert met behulp van de portal, worden er automatisch alleen virtuele netwerken gefilterd die zich in die regio bevinden. Uw sleutelkluis kan zich in een andere regio bevinden.

Uw privé-eindpunt maakt gebruik van een privé IP-adres in uw virtueel netwerk.

Azure-portal

Een verbinding met een Private Link tot stand brengen met Key Vault met behulp van de Azure Portal

Maak eerst een virtueel netwerk aan de hand van de stappen in Een virtueel netwerk maken met behulp van de Azure Portal

U kunt vervolgens een nieuwe sleutelkluis maken of een verbinding met een Private Link tot stand brengen met een bestaande sleutelkluis.

Een nieuwe sleutelkluis maken en een verbinding met een Private Link tot stand brengen

U kunt een nieuwe sleutelkluis maken met de Azure Portal, Azure CLI of Azure PowerShell.

Nadat u de basisbeginselen van de sleutelkluis hebt geconfigureerd, selecteert u het tabblad Netwerken en voert u de volgende stappen uit:

1. Schakel openbare toegang uit door het keuzerondje uit te schakelen.

2. Selecteer de knop +Een privé-eindpunt maken om een privé-eindpunt toe te voegen.

   

3. Selecteer in het veld “Locatie” van de blade Privé-eindpunt maken de regio waarin uw virtueel netwerk zich bevindt.

4. Maak in het veld “Naam” een beschrijvende naam waarmee dit privé-eindpunt kan worden geïdentificeerd.

5. Selecteer het virtueel netwerk en het subnet waarvoor u dit privé-eindpunt wilt maken in de vervolgkeuzelijst.

6. Laat de optie “integreren met de privézone DNS” ongewijzigd.

7. Selecteer “OK”.

   

U kunt nu het geconfigureerde privé-eindpunt zien. U kunt dit privé-eindpunt nu verwijderen en bewerken. Selecteer de knop “Beoordelen + maken” en maak de sleutelkluis. Het duurt 5-10 minuten voordat de implementatie is voltooid.

Verbinding met een Private Link tot stand brengen met een bestaande sleutelkluis

Als u al een sleutelkluis hebt, kunt u een verbinding met een Private Link maken door de volgende stappen uit te voeren:

1. Meld u aan bij Azure Portal.

2. Typ 'sleutelkluizen' in de zoekbalk.

3. Selecteer de sleutelkluis in de lijst waaraan u een privé-eindpunt wilt toevoegen.

4. Selecteer het tabblad Netwerken onder Instellingen.

5. Selecteer het tabblad Privé-eindpuntverbindingen bovenaan de pagina.

6. Selecteer de knop +Maken bovenaan de pagina.

   

7. Selecteer onder Projectdetails de resourcegroep met het virtuele netwerk dat u hebt gemaakt als vereiste voor deze zelfstudie. Voer onder Exemplaardetails 'myPrivateEndpoint' in als naam en selecteer dezelfde locatie als het virtuele netwerk dat u hebt gemaakt als vereiste voor deze zelfstudie.

   U kunt kiezen voor het maken van een privé-eindpunt voor elke Azure-resource in het gebruik van deze blade. U kunt de vervolgkeuzemenu's gebruiken om een resourcetype te selecteren en een resource in uw directory te selecteren, of u kunt verbinding maken met elke Azure-resource met een bron-id. Laat de optie “integreren met de privézone DNS” ongewijzigd.

8. Ga naar de blade Resources. Selecteer bij Resourcetype de optie Microsoft.KeyVault/vaults; voor 'Resource' selecteert u de sleutelkluis die u hebt gemaakt als een vereiste voor deze zelfstudie. 'Doelsubresource' wordt automatisch ingevuld met 'kluis'.

9. Ga naar de 'Virtual Network'. Selecteer het virtuele netwerk en subnet dat u hebt gemaakt als een vereiste voor deze zelfstudie.

10. Doorloop de blades 'DNS' en 'Tags' en accepteer de standaardwaarden.

11. Selecteer op de blade Beoordelen en maken de optie Maken.

Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt, kunt u de verbindingsaanvraag goedkeuren op voorwaarde dat u over voldoende machtigingen beschikt. Als u verbinding maakt met een Azure-resource in een andere map, moet u wachten totdat de eigenaar van die resource uw verbindingsaanvraag heeft goedgekeurd.

Er zijn vier inrichtingsstatussen:

Serviceactie	Status privé-eindpunt serviceconsument	Beschrijving
Geen	In behandeling	De verbinding wordt handmatig gemaakt en in afwachting van goedkeuring door de resource-eigenaar van de Private Link.
Goedkeuren	Goedgekeurd	De verbinding werd automatisch of handmatig goedgekeurd en is klaar om te worden gebruikt.
Afwijzen	Afgewezen	De verbinding werd afgewezen door de resource-eigenaar van de private link.
Verwijderen	Ontkoppeld	De verbinding is verwijderd door de resource-eigenaar van de private link, het privé-eindpunt wordt informatief en moet worden verwijderd voor opschoning.

Een verbinding met een privé-eindpunt beheren met Key Vault met behulp van de Azure Portal

1. Meld u aan bij Azure Portal.

2. Typ “sleutelkluizen” in de zoekbalk

3. Selecteer de sleutelkluis die u wilt beheren.

4. Selecteer het tabblad “Netwerken”.

5. Als er verbindingen in behandeling zijn, ziet u een verbinding met 'In behandeling' in de inrichtingsstatus.

6. Selecteer het privé-eindpunt dat u wilt goedkeuren

7. Selecteer de knop goedkeuren.

8. Als er privé-eindpuntverbindingen zijn die u wilt weigeren, of het nu een aanvraag in behandeling is of een bestaande verbinding, selecteert u de verbinding en selecteert u de knop Weigeren.

   

Azure-CLI

Een verbinding met een Private Link tot stand brengen met Sleutelkluis met behulp van CLI (initiële installatie)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Een privé-eindpunt maken (automatisch goedkeuren)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Een privé-eindpunt maken (handmatig goedkeuring aanvragen)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Private Link-verbindingen beheren

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Privé-DNS-records toevoegen

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Controleren of de verbinding van de Private Link werkt

U moet controleren of de resources binnen hetzelfde subnet van het privé-eindpunt verbinding maken met uw sleutelkluis via een privé-IP-adres en dat ze de juiste integratie van de persoonlijke DNS-zone hebben.

Maak eerst een nieuwe virtuele machine door de instructies te volgen in Een virtuele Windows-machine in de Azure Portal maken

In het tabblad “Netwerken”:

1. Specificeer Virtueel netwerk en Subnet. U kunt een nieuw virtueel netwerk maken of een bestaand gebruiken. Als u een bestaand selecteert, moet u ervoor zorgen dat de regio overeenkomt.
2. Specificeer een openbare IP-resource.
3. Selecteer “Geen” in de “NIC-netwerkbeveiligingsgroep”.
4. Selecteer “Nee” in de “Taakverdeling”.

Voer de volgende opdracht uit via de opdrachtregel:

nslookup <your-key-vault-name>.vault.azure.net

Als u de opdracht ns lookup uitvoert om het IP-adres van een sleutelkluis op te lossen via een openbaar eindpunt, ziet u een resultaat dat er als volgt uitziet:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Als u de opdracht ns lookup uitvoert om het IP-adres van een sleutelkluis op te lossen via een privé-eindpunt, ziet u een resultaat dat er als volgt uitziet:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Handleiding voor het oplossen van problemen

• Controleer of het privé-eindpunt is goedgekeurd.

  1. U kunt dit controleren en oplossen in de Azure-portal. Open de resource Key Vault en selecteer de optie Netwerken.
  2. Selecteer vervolgens het tabblad Verbindingen met privé-eindpunt.
  3. Controleer of de verbindingsstatus Goedgekeurd is, en de inrichtingsstatus Geslaagd.
  4. U kunt ook naar de privé-eindpuntresource navigeren en daar dezelfde eigenschappen bekijken en controleren of het virtuele netwerk overeenkomt met het netwerk dat u gebruikt.

• Controleer of u een privé-DNS-zoneresource hebt.

  1. U moet een privé-DNS-zoneresource hebben met de exacte naam: privatelink.vaultcore.azure.net.
  2. Zie de volgende koppeling voor meer informatie over het instellen hiervan. Privé-DNS-zones

• Controleer of de Privé-DNS zone is gekoppeld aan de Virtual Network. Dit kan het probleem zijn als het openbare IP-adres nog steeds wordt geretourneerd.

  1. Als de privézone-DNS niet is gekoppeld aan het virtuele netwerk, retourneert de DNS-query die afkomstig is van het virtuele netwerk het openbare IP-adres van de sleutelkluis.
  2. Navigeer naar de Privé-DNS Zone-resource in de Azure Portal en selecteer de optie virtuele netwerkkoppelingen.
  3. Het virtuele netwerk waarmee aanroepen van de sleutelkluis worden uitgevoerd, moet worden weergegeven.
  4. Als dat niet het geval is, voegt u het toe.
  5. Zie het volgende document voor gedetailleerde stappen: Het virtuele netwerk koppelen aan de privé-DNS-zone

• Controleer of in de Privé-DNS zone geen A-record voor de sleutelkluis ontbreekt.

  1. Navigeer naar de pagina Privé-DNS-zone.
  2. Selecteer Overzicht en controleer of er een A-record is met de eenvoudige naam van uw sleutelkluis (bijvoorbeeld fabrikam). Geef geen achtervoegsel op.
  3. Controleer de spelling en maak of corrigeer de A-record. U kunt een TTL van 600 (10 minuten) gebruiken.
  4. Zorg ervoor dat u het juiste privé-IP-adres opgeeft.

• Controleer of de A-record het juiste IP-adres heeft.

  1. U kunt het IP-adres controleren door de resource van het privé-eindpunt te openen in de Azure-portal.
  2. Navigeer naar de resource Microsoft.Network/privateEndpoints in de Azure-portal (niet de resource in de sleutelkluis)
  3. Zoek op de overzichtspagina naar Netwerkinterface en selecteer die koppeling.
  4. De koppeling toont het overzicht van de NIC-resource, met de eigenschap Privé-IP-adres.
  5. Controleer of dit het juiste IP-adres is dat is opgegeven in de A-record.

• Als u vanuit een on-premises resource verbinding maakt met een Key Vault, moet u ervoor zorgen dat alle vereiste voorwaardelijke doorstuurservers in de on-premises omgeving zijn ingeschakeld.

  1. Controleer de DNS-configuratie van azure-privé-eindpunten voor de benodigde zones en zorg ervoor dat u voorwaardelijke doorstuurservers hebt voor zowel vault.azure.netvaultcore.azure.net als op uw on-premises DNS.
  2. Zorg ervoor dat u voorwaardelijke doorstuurservers hebt voor de zones die worden doorgestuurd naar een Azure Privé-DNS Resolver of een ander DNS-platform met toegang tot Azure-resolutie.

Beperkingen en overwegingen bij het ontwerp

Limieten: zie Azure Private Link limieten

Prijzen: zie Azure Private Link prijzen.

Beperkingen: Zie Azure Private Link service: Beperkingen

Volgende stappen

• Meer informatie over Azure Private Link
• Meer informatie over Azure Key Vault