Używanie prywatnych punktów końcowych z kontami usługi Azure Batch
Domyślnie konta Azure Batch mają publiczne punkty końcowe i są publicznie dostępne. Usługa Batch oferuje możliwość tworzenia prywatnego punktu końcowego dla kont usługi Batch, co umożliwia dostęp sieci prywatnej do usługi Batch.
Za pomocą Azure Private Link możesz nawiązać połączenie z kontem Azure Batch za pośrednictwem prywatnego punktu końcowego. Prywatny punkt końcowy to zestaw prywatnych adresów IP w podsieci w sieci wirtualnej. Następnie można ograniczyć dostęp do konta Azure Batch za pośrednictwem prywatnych adresów IP.
Private Link umożliwia użytkownikom dostęp do konta Azure Batch z poziomu sieci wirtualnej lub z dowolnej równorzędnej sieci wirtualnej. Zasoby mapowane na Private Link są również dostępne lokalnie za pośrednictwem prywatnej komunikacji równorzędnej za pośrednictwem sieci VPN lub usługi Azure ExpressRoute. Możesz nawiązać połączenie z kontem Azure Batch skonfigurowanym przy użyciu Private Link przy użyciu metody automatycznego lub ręcznego zatwierdzania.
W tym artykule opisano kroki tworzenia prywatnego punktu końcowego w celu uzyskania dostępu do punktów końcowych konta usługi Batch.
Zasoby podrzędne prywatnego punktu końcowego obsługiwane dla konta usługi Batch
Zasób konta usługi Batch ma dwa punkty końcowe obsługiwane do uzyskiwania dostępu za pomocą prywatnych punktów końcowych:
Punkt końcowy konta (podsób: batchAccount): ten punkt końcowy służy do uzyskiwania dostępu do interfejsu API REST usługi Batch (płaszczyzny danych), na przykład do zarządzania pulami, węzłami obliczeniowymi, zadaniami, zadaniami itp.
Punkt końcowy zarządzania węzłem (podsób: nodeManagement): używany przez węzły puli usługi Batch do uzyskiwania dostępu do usługi zarządzania węzłami usługi Batch. Ten punkt końcowy ma zastosowanie tylko w przypadku korzystania z uproszczonej komunikacji węzła obliczeniowego.
Porada
Możesz utworzyć prywatny punkt końcowy dla jednego z nich lub obu tych punktów w sieci wirtualnej, w zależności od rzeczywistego użycia konta usługi Batch. Jeśli na przykład uruchomisz pulę usługi Batch w sieci wirtualnej, ale wywołasz interfejs API REST usługi Batch z innego miejsca, musisz utworzyć tylko węzełZarządzanie prywatnym punktem końcowym w sieci wirtualnej.
Azure Portal
Wykonaj następujące kroki, aby utworzyć prywatny punkt końcowy przy użyciu konta usługi Batch przy użyciu Azure Portal:
- Przejdź do konta usługi Batch w Azure Portal.
- W obszarze Ustawienia wybierz pozycję Sieć i przejdź do karty Dostęp prywatny. Następnie wybierz pozycję + Prywatny punkt końcowy.
- W okienku Podstawowe wprowadź lub wybierz subskrypcję, grupę zasobów, nazwę zasobu prywatnego punktu końcowego i szczegóły regionu, a następnie wybierz pozycję Dalej: Zasób.
- W okienku Zasób ustaw typ zasobu na Wartość Microsoft.Batch/batchAccounts. Wybierz konto usługi Batch, do którego chcesz uzyskać dostęp, wybierz docelowy zasób podrzędny, a następnie wybierz pozycję Dalej: Konfiguracja.
- W okienku Konfiguracja wprowadź lub wybierz następujące informacje:
- W obszarze Sieć wirtualna wybierz sieć wirtualną.
- W obszarze Podsieć wybierz podsieć.
- W obszarze Konfiguracja prywatnego adresu IP wybierz wartość domyślną Dynamicznie przydzielaj adres IP.
- W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak. Aby połączyć się prywatnie z prywatnym punktem końcowym, potrzebny jest rekord DNS. Zalecamy zintegrowanie prywatnego punktu końcowego z prywatną strefą DNS. Możesz również użyć własnych serwerów DNS lub utworzyć rekordy DNS przy użyciu plików hosta na maszynach wirtualnych.
- W obszarze strefa Prywatna strefa DNS wybierz pozycję privatelink.batch.azure.com. Prywatna strefa DNS jest określana automatycznie. Nie można zmienić tego ustawienia przy użyciu Azure Portal.
Ważne
- Jeśli masz istniejące prywatne punkty końcowe utworzone z poprzednią prywatną strefą
privatelink.<region>.batch.azure.com
DNS, postępuj zgodnie z instrukcjami migracji z istniejącymi prywatnymi punktami końcowymi konta usługi Batch. - Jeśli wybrano integrację prywatnej strefy DNS, upewnij się, że prywatna strefa DNS została pomyślnie połączona z siecią wirtualną. Istnieje możliwość, że Azure Portal wybrać istniejącą prywatną strefę DNS, która może nie być połączona z siecią wirtualną i musisz ręcznie dodać łącze sieci wirtualnej.
- Wybierz pozycję Przejrzyj i utwórz, a następnie poczekaj, aż platforma Azure zweryfikuje konfigurację.
- Po wyświetleniu komunikatu Sprawdzanie poprawności zakończone powodzeniem kliknij przycisk Utwórz.
Porada
Prywatny punkt końcowy można również utworzyć z centrum Private Link w Azure Portal lub utworzyć nowy zasób, wyszukując prywatny punkt końcowy.
Korzystanie z prywatnego punktu końcowego
Po aprowizacji prywatnego punktu końcowego można uzyskać dostęp do konta usługi Batch przy użyciu prywatnego adresu IP w sieci wirtualnej:
Prywatny punkt końcowy dla konta batchAccount: może uzyskiwać dostęp do płaszczyzny danych konta usługi Batch w celu zarządzania pulami/zadaniami/zadaniami.
Prywatny punkt końcowy dla węzłaManagement: węzły obliczeniowe puli usługi Batch mogą łączyć się z usługą zarządzania węzłami usługi Batch i zarządzać nimi.
Porada
Zaleca się również wyłączenie dostępu do sieci publicznej przy użyciu konta usługi Batch podczas korzystania z prywatnych punktów końcowych, co ograniczy dostęp tylko do sieci prywatnej.
Ważne
Jeśli dostęp do sieci publicznej jest wyłączony przy użyciu konta usługi Batch, wykonywanie operacji konta (na przykład pul, zadań) poza siecią wirtualną, w której aprowizowany jest prywatny punkt końcowy, spowoduje wyświetlenie komunikatu "AuthorizationFailure" dla konta usługi Batch w Azure Portal.
Aby wyświetlić adresy IP prywatnego punktu końcowego z Azure Portal:
- Wybierz pozycję Wszystkie zasoby.
- Wyszukaj utworzony wcześniej prywatny punkt końcowy.
- Wybierz kartę Konfiguracja DNS , aby wyświetlić ustawienia DNS i adresy IP.
Konfigurowanie stref DNS
Użyj prywatnej strefy DNS w podsieci, w której utworzono prywatny punkt końcowy. Skonfiguruj punkty końcowe, aby każdy prywatny adres IP był mapowany na wpis DNS.
Podczas tworzenia prywatnego punktu końcowego możesz zintegrować go z prywatną strefą DNS na platformie Azure. Jeśli zdecydujesz się zamiast tego używać domeny niestandardowej, musisz ją skonfigurować, aby dodać rekordy DNS dla wszystkich prywatnych adresów IP zarezerwowanych dla prywatnego punktu końcowego.
Migracja z istniejącymi prywatnymi punktami końcowymi konta usługi Batch
Wraz z wprowadzeniem nowego węzła podrzędnego zasobu prywatnego punktu końcowego punktu końcowegoZarządzanie dla punktu końcowego zarządzania węzłami usługi Batch domyślna prywatna strefa DNS dla konta usługi Batch jest uproszczona od privatelink.<region>.batch.azure.com
do privatelink.batch.azure.com
. Aby zachować zgodność z poprzednimi wersjami z wcześniej używaną prywatną strefą DNS, dla konta usługi Batch z dowolnym zatwierdzonym prywatnym punktem końcowym kontaKonto mapowania rekordów CNAME konta zawiera obie strefy (z poprzednią strefą następuje pierwszy), na przykład:
myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>
Kontynuuj korzystanie z poprzedniej prywatnej strefy DNS
Jeśli poprzednia strefa privatelink.<region>.batch.azure.com
DNS była już używana z siecią wirtualną, należy nadal używać jej dla istniejących i nowych prywatnych punktów końcowych usługi BatchAccount i nie jest wymagana żadna akcja.
Ważne
W przypadku istniejącego użycia poprzedniej prywatnej strefy DNS należy używać jej nawet w przypadku nowo utworzonych prywatnych punktów końcowych. Nie używaj nowej strefy z rozwiązaniem integracji DNS, dopóki nie będzie można przeprowadzić migracji do nowej strefy.
Tworzenie nowego prywatnego punktu końcowego usługi BatchAccount z integracją dns w Azure Portal
Jeśli ręcznie utworzysz nowy prywatny punkt końcowy batchAccount przy użyciu Azure Portal z włączoną automatyczną integracją DNS, będzie ona używać nowej prywatnej strefy privatelink.batch.azure.com
DNS na potrzeby integracji DNS: utworzyć prywatną strefę DNS, połączyć ją z siecią wirtualną i skonfigurować rekord DNS A w strefie dla prywatnego punktu końcowego.
Jeśli jednak sieć wirtualna została już połączona z poprzednią prywatną strefą privatelink.<region>.batch.azure.com
DNS, spowoduje to przerwanie rozpoznawania nazw DNS dla konta usługi Batch w sieci wirtualnej, ponieważ rekord DNS A dla nowego prywatnego punktu końcowego jest dodawany do nowej strefy, ale rozpoznawanie nazw DNS sprawdza poprzednią strefę jako pierwszą w celu zapewnienia obsługi zgodności z poprzednimi wersjami.
Ten problem można rozwiązać za pomocą następujących opcji:
Jeśli nie potrzebujesz już poprzedniej prywatnej strefy DNS, odłącz ją od sieci wirtualnej. Nie trzeba wykonywać dalszych akcji.
W przeciwnym razie po utworzeniu nowego prywatnego punktu końcowego:
Upewnij się, że automatyczna prywatna integracja dns ma rekord DNS A utworzony w nowej prywatnej strefie
privatelink.batch.azure.com
DNS . Na przykładmyaccount.<region> A <IPv4 address>
.Przejdź do poprzedniej prywatnej strefy
privatelink.<region>.batch.azure.com
DNS.Ręcznie dodaj rekord CNAME systemu DNS. Na przykład
myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com
.
Ważne
To ręczne ograniczenie ryzyka jest wymagane tylko w przypadku utworzenia nowego prywatnego punktu końcowego usługi BatchAccount z prywatną integracją DNS w tej samej sieci wirtualnej, która została już połączona z poprzednią prywatną strefą DNS.
Migrowanie poprzedniej prywatnej strefy DNS do nowej strefy
Mimo że można nadal używać poprzedniej prywatnej strefy DNS z istniejącym procesem wdrażania, zaleca się przeprowadzenie migracji jej do nowej strefy, aby ułatwić zarządzanie konfiguracją DNS:
- W przypadku nowej prywatnej strefy
privatelink.batch.azure.com
DNS nie trzeba konfigurować różnych stref dla każdego regionu przy użyciu kont usługi Batch i zarządzać nimi. - Po rozpoczęciu korzystania z nowego węzłaZarządzanie prywatnym punktem końcowym , który używa również nowej prywatnej strefy DNS, musisz zarządzać tylko jedną prywatną strefą DNS dla obu typów prywatnych punktów końcowych.
Poprzednią prywatną strefę DNS można migrować, wykonując następujące kroki:
- Utwórz i połącz nową prywatną strefę
privatelink.batch.azure.com
DNS z siecią wirtualną. - Skopiuj wszystkie rekordy DNS A z poprzedniej prywatnej strefy DNS do nowej strefy:
From zone "privatelink.<region>.batch.azure.com":
myaccount A <ip>
To zone "privatelink.batch.azure.com":
myaccount.<region> A <ip>
- Odłącz poprzednią prywatną strefę DNS od sieci wirtualnej.
- Sprawdź rozpoznawanie nazw DNS w sieci wirtualnej, a nazwa DNS konta usługi Batch powinna być nadal rozpoznawana jako adres IP prywatnego punktu końcowego:
nslookup myaccount.<region>.batch.azure.com
- Zacznij używać nowej prywatnej strefy DNS z procesem wdrażania dla nowych prywatnych punktów końcowych.
- Usuń poprzednią prywatną strefę DNS po zakończeniu migracji.
Cennik
Aby uzyskać szczegółowe informacje na temat kosztów związanych z prywatnymi punktami końcowymi, zobacz cennik Azure Private Link.
Bieżące ograniczenia i najlepsze rozwiązania
Podczas tworzenia prywatnego punktu końcowego przy użyciu konta usługi Batch należy pamiętać o następujących kwestiach:
- Zasoby prywatnego punktu końcowego można utworzyć w innej subskrypcji jako konto usługi Batch, ale subskrypcja musi być zarejestrowana u dostawcy zasobów Microsoft.Batch.
- Przenoszenie zasobów nie jest obsługiwane w przypadku prywatnych punktów końcowych z kontami usługi Batch.
- Jeśli zasób konta usługi Batch zostanie przeniesiony do innej grupy zasobów lub subskrypcji, prywatne punkty końcowe mogą nadal działać, ale skojarzenie z kontem usługi Batch przerywa działanie. Jeśli usuniesz zasób prywatnego punktu końcowego, jego skojarzone połączenie prywatnego punktu końcowego nadal istnieje na koncie usługi Batch. Możesz ręcznie usunąć połączenie z konta usługi Batch.
- Aby usunąć połączenie prywatne, usuń zasób prywatnego punktu końcowego lub usuń połączenie prywatne na koncie usługi Batch (ta akcja rozłącza powiązany zasób prywatnego punktu końcowego).
- Rekordy DNS w prywatnej strefie DNS nie są usuwane automatycznie po usunięciu połączenia prywatnego punktu końcowego z konta usługi Batch. Należy ręcznie usunąć rekordy DNS przed dodaniem nowego prywatnego punktu końcowego połączonego z tą prywatną strefą DNS. Jeśli rekordy DNS nie są czyszczone, mogą wystąpić nieoczekiwane problemy z dostępem.
- Po włączeniu prywatnego punktu końcowego dla konta usługi Batch token uwierzytelniania zadania dla zadania usługi Batch nie jest obsługiwany. Obejściem jest użycie puli usługi Batch z tożsamościami zarządzanymi.
Następne kroki
- Dowiedz się, jak tworzyć pule usługi Batch w sieciach wirtualnych.
- Dowiedz się, jak tworzyć pule usługi Batch bez publicznych adresów IP.
- Dowiedz się, jak skonfigurować dostęp do sieci publicznej dla kont usługi Batch.
- Dowiedz się, jak zarządzać połączeniami prywatnego punktu końcowego dla kont usługi Batch.
- Dowiedz się więcej o Azure Private Link.