Udostępnij za pośrednictwem


Integrowanie usługi Key Vault z usługą Azure Private Link

Usługa Azure Private Link umożliwia dostęp do usług platformy Azure (na przykład Azure Key Vault, Azure Storage i Azure Cosmos DB) oraz hostowanych przez platformę Azure usług klientów/partnerów za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.

Prywatny punkt końcowy platformy Azure to interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie z usługą obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę do sieci wirtualnej. Cały ruch do usługi może być kierowany przez prywatny punkt końcowy. Nie jest wówczas wymagane użycie bram, urządzeń NAT, połączeń ExpressRoute, połączeń VPN ani publicznych adresów IP. Ruch między siecią wirtualną a usługą odbywa się za pośrednictwem sieci szkieletowej firmy Microsoft, eliminując ekspozycję z publicznego Internetu. Możesz nawiązać połączenie z wystąpieniem zasobu platformy Azure, zapewniając najwyższy poziom szczegółowości kontroli dostępu.

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Private Link?

Wymagania wstępne

Aby zintegrować magazyn kluczy z usługą Azure Private Link, potrzebne są następujące elementy:

  • Magazyn kluczy.
  • Sieć wirtualna platformy Azure.
  • Podsieć w sieci wirtualnej.
  • Uprawnienia właściciela lub współautora zarówno dla magazynu kluczy, jak i sieci wirtualnej.

Prywatny punkt końcowy i sieć wirtualna muszą znajdować się w tym samym regionie. Po wybraniu regionu prywatnego punktu końcowego przy użyciu portalu automatycznie filtruje tylko sieci wirtualne, które znajdują się w tym regionie. Magazyn kluczy może znajdować się w innym regionie.

Prywatny punkt końcowy używa prywatnego adresu IP w sieci wirtualnej.

Najpierw utwórz sieć wirtualną, wykonując kroki opisane w temacie Tworzenie sieci wirtualnej przy użyciu witryny Azure Portal

Następnie możesz utworzyć nowy magazyn kluczy lub ustanowić połączenie łącza prywatnego z istniejącym magazynem kluczy.

Nowy magazyn kluczy można utworzyć za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Po skonfigurowaniu podstaw magazynu kluczy wybierz kartę Sieć i wykonaj następujące kroki:

  1. Wyłącz dostęp publiczny, przełączając przycisk radiowy.

  2. Wybierz przycisk "+ Utwórz prywatny punkt końcowy", aby dodać prywatny punkt końcowy.

    Zrzut ekranu przedstawiający kartę

  3. W polu "Lokalizacja" bloku Utwórz prywatny punkt końcowy wybierz region, w którym znajduje się sieć wirtualna.

  4. W polu "Nazwa" utwórz opisową nazwę, która umożliwi zidentyfikowanie tego prywatnego punktu końcowego.

  5. Wybierz sieć wirtualną i podsieć, w której ma zostać utworzony ten prywatny punkt końcowy z menu rozwijanego.

  6. Pozostaw opcję "integracja z systemem DNS strefy prywatnej" bez zmian.

  7. Wybierz pozycję "OK".

    Zrzut ekranu przedstawiający stronę

Teraz będzie można zobaczyć skonfigurowany prywatny punkt końcowy. Teraz możesz usunąć i edytować ten prywatny punkt końcowy. Wybierz przycisk "Przejrzyj i utwórz" i utwórz magazyn kluczy. Ukończenie wdrożenia potrwa 5–10 minut.

Jeśli masz już magazyn kluczy, możesz utworzyć połączenie łącza prywatnego, wykonując następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.

  2. Na pasku wyszukiwania wpisz ciąg "key vaults".

  3. Wybierz magazyn kluczy z listy, do którego chcesz dodać prywatny punkt końcowy.

  4. Wybierz kartę "Sieć" w obszarze Ustawienia.

  5. Wybierz kartę "Połączenia z prywatnym punktem końcowym" w górnej części strony.

  6. Wybierz przycisk "+ Utwórz" w górnej części strony.

    Zrzut ekranu przedstawiający przycisk Zrzut ekranu przedstawiający kartę

  7. W obszarze "Szczegóły projektu" wybierz grupę zasobów zawierającą sieć wirtualną utworzoną jako wymaganie wstępne dla tego samouczka. W obszarze "Szczegóły wystąpienia" wprowadź wartość "myPrivateEndpoint" jako nazwę i wybierz tę samą lokalizację co sieć wirtualna utworzona jako wymaganie wstępne dla tego samouczka.

    W tym bloku możesz utworzyć prywatny punkt końcowy dla dowolnego zasobu platformy Azure. Możesz użyć menu rozwijanych, aby wybrać typ zasobu i wybrać zasób w katalogu lub połączyć się z dowolnym zasobem platformy Azure przy użyciu identyfikatora zasobu. Pozostaw opcję "integracja z systemem DNS strefy prywatnej" bez zmian.

  8. Przejdź do bloku "Zasoby". W polu "Typ zasobu" wybierz pozycję "Microsoft.KeyVault/vaults"; w polu "Zasób" wybierz magazyn kluczy utworzony jako wymaganie wstępne dla tego samouczka. "Docelowy zasób podrzędny" zostanie automatycznie wypełniony ciągiem "vault".

  9. Przejdź do pozycji "Sieć wirtualna". Wybierz sieć wirtualną i podsieć utworzoną jako wymaganie wstępne dla tego samouczka.

  10. Przejdź do bloków "DNS" i "Tagi", akceptując wartości domyślne.

  11. W bloku "Przeglądanie + tworzenie" wybierz pozycję "Utwórz".

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu, będzie można zatwierdzić żądanie połączenia, pod warunkiem, że masz wystarczające uprawnienia; Jeśli łączysz się z zasobem platformy Azure w innym katalogu, musisz poczekać, aż właściciel tego zasobu zatwierdzi żądanie połączenia.

Istnieją cztery stany aprowizacji:

Akcja w usłudze Stan prywatnego punktu końcowego odbiorcy usługi Opis
None Oczekiwanie Połączenie jest tworzone ręcznie i oczekuje na zatwierdzenie od właściciela zasobu usługi Private Link.
Zatwierdzanie Zatwierdzona Połączenie zostało automatycznie lub ręcznie zatwierdzone i jest gotowe do użycia.
Odrzuć Odrzucona Połączenie zostało odrzucone przez właściciela zasobu łącza prywatnego.
Usuń Odłączony Połączenie zostało usunięte przez właściciela zasobu łącza prywatnego, prywatny punkt końcowy staje się informacyjny i powinien zostać usunięty w celu oczyszczenia.

Jak zarządzać połączeniem prywatnego punktu końcowego z usługą Key Vault przy użyciu witryny Azure Portal

  1. Zaloguj się w witrynie Azure Portal.

  2. Na pasku wyszukiwania wpisz ciąg "key vaults"

  3. Wybierz magazyn kluczy, którym chcesz zarządzać.

  4. Wybierz kartę "Sieć".

  5. Jeśli istnieją oczekujące połączenia, zostanie wyświetlone połączenie z komunikatem "Oczekiwanie" w stanie aprowizacji.

  6. Wybierz prywatny punkt końcowy, który chcesz zatwierdzić

  7. Wybierz przycisk Zatwierdź.

  8. Jeśli istnieją jakieś połączenia prywatnego punktu końcowego, które chcesz odrzucić, niezależnie od tego, czy jest to oczekujące żądanie, czy istniejące połączenie, wybierz połączenie i wybierz przycisk "Odrzuć".

    Obraz

Należy sprawdzić, czy zasoby w tej samej podsieci zasobu prywatnego punktu końcowego łączą się z magazynem kluczy za pośrednictwem prywatnego adresu IP i że mają prawidłową integrację prywatnej strefy DNS.

Najpierw utwórz maszynę wirtualną, wykonując kroki opisane w temacie Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal

Na karcie "Sieć":

  1. Określ sieć wirtualną i podsieć. Możesz utworzyć nową sieć wirtualną lub wybrać istniejącą. Jeśli wybrano istniejący, upewnij się, że region jest zgodny.
  2. Określ zasób publicznego adresu IP.
  3. W obszarze "Sieciowa grupa zabezpieczeń karty sieciowej" wybierz pozycję "Brak".
  4. W obszarze "Równoważenie obciążenia" wybierz pozycję "Nie".

Otwórz wiersz polecenia i uruchom następujące polecenie:

nslookup <your-key-vault-name>.vault.azure.net

Jeśli uruchomisz polecenie wyszukiwania ns, aby rozpoznać adres IP magazynu kluczy za pośrednictwem publicznego punktu końcowego, zobaczysz wynik podobny do następującego:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Jeśli uruchomisz polecenie wyszukiwania ns, aby rozpoznać adres IP magazynu kluczy za pośrednictwem prywatnego punktu końcowego, zobaczysz wynik podobny do następującego:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Przewodnik rozwiązywania problemów

  • Upewnij się, że prywatny punkt końcowy jest w stanie zatwierdzonym.

    1. Można to sprawdzić i poprawić w witrynie Azure Portal. Otwórz zasób usługi Key Vault i wybierz opcję Sieć.
    2. Następnie wybierz kartę Połączenia prywatnego punktu końcowego.
    3. Upewnij się, że stan połączenia to Zatwierdzone, a stan aprowizacji to Powodzenie.
    4. Możesz również przejść do zasobu prywatnego punktu końcowego i przejrzeć tam te same właściwości, a następnie sprawdzić, czy sieć wirtualna jest zgodna z używanym zasobem.
  • Upewnij się, że masz zasób prywatnej strefy DNS.

    1. Musisz mieć zasób strefy Prywatna strefa DNS o dokładnej nazwie: privatelink.vaultcore.azure.net.
    2. Aby dowiedzieć się, jak to skonfigurować, zobacz następujący link. strefy Prywatna strefa DNS
  • Upewnij się, że strefa Prywatna strefa DNS jest połączona z siecią wirtualną. Może to być problem, jeśli nadal jest zwracany publiczny adres IP.

    1. Jeśli usługa DNS strefy prywatnej nie jest połączona z siecią wirtualną, zapytanie DNS pochodzące z sieci wirtualnej zwróci publiczny adres IP magazynu kluczy.
    2. Przejdź do zasobu strefy Prywatna strefa DNS w witrynie Azure Portal i wybierz opcję Łącza sieci wirtualnej.
    3. Musi zostać wyświetlona sieć wirtualna używana do wykonywania wywołań do magazynu kluczy.
    4. Jeśli tak nie jest, dodaj ją.
    5. Aby uzyskać szczegółowe instrukcje, zobacz następujący dokument Łączenie sieci wirtualnej z strefą Prywatna strefa DNS
  • Upewnij się, że w magazynie kluczy nie brakuje rekordu A dla magazynu kluczy, upewnij się, że w strefie Prywatna strefa DNS nie ma rekordu A.

    1. Przejdź do strony strefy Prywatna strefa DNS.
    2. Wybierz pozycję Przegląd i sprawdź, czy istnieje rekord A z prostą nazwą magazynu kluczy (tj. fabrikam). Nie określaj żadnego sufiksu.
    3. Pamiętaj o sprawdzeniu pisowni i utwórz lub popraw rekord A. Możesz użyć czasu wygaśnięcia 600 (10 minut).
    4. Upewnij się, że poprawnie określono prywatny adres IP.
  • Upewnij się, że rekord A ma poprawny adres IP.

    1. Adres IP można potwierdzić, otwierając zasób prywatnego punktu końcowego w witrynie Azure Portal.
    2. Przejdź do zasobu Microsoft.Network/privateEndpoints w witrynie Azure Portal (nie do zasobu usługi Key Vault)
    3. Na stronie przeglądu poszukaj interfejsu sieciowego i wybierz ten link.
    4. Ten link umożliwia wyświetlenie strony Przegląd dla zasobu karty sieciowej, która zawiera właściwość Prywatny adres IP.
    5. Sprawdź, czy jest to poprawny adres IP określony w rekordzie A.
  • Jeśli łączysz się z zasobu lokalnego z usługą Key Vault, upewnij się, że wszystkie wymagane warunkowe usługi przesyłania dalej są włączone w środowisku lokalnym.

    1. Zapoznaj się z konfiguracją dns prywatnego punktu końcowego platformy Azure dla wymaganych stref i upewnij się, że masz warunkowe usługi przesyłania dalej zarówno vault.azure.net dla lokalnego systemu DNS, jak i vaultcore.azure.net dla lokalnego systemu DNS.
    2. Upewnij się, że masz warunkowe usługi przesyłania dalej dla tych stref, które kierują się do usługi Azure Prywatna strefa DNS Resolver lub inną platformę DNS z dostępem do rozpoznawania platformy Azure.

Ograniczenia i zagadnienia dotyczące projektowania

Limity: zobacz Limity usługi Azure Private Link

Cennik: zobacz Cennik usługi Azure Private Link.

Ograniczenia: zobacz Usługa Azure Private Link: Ograniczenia

Następne kroki