Integrowanie usługi Key Vault z usługą Azure Private Link

Artykuł
01/30/2024

usługa Azure Private Link Service umożliwia dostęp do usług platformy Azure (na przykład Azure Key Vault, Azure Storage i Azure Cosmos DB) oraz hostowanych przez platformę Azure usług klientów/partnerów za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.

Prywatny punkt końcowy platformy Azure to interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie z usługą obsługiwaną przez Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę do sieci wirtualnej. Cały ruch do usługi może być kierowany przez prywatny punkt końcowy. Nie jest wówczas wymagane użycie bram, urządzeń NAT, połączeń ExpressRoute, połączeń VPN ani publicznych adresów IP. Ruch między siecią wirtualną a usługą odbywa się za pośrednictwem sieci szkieletowej firmy Microsoft, eliminując ekspozycję z publicznego Internetu. Możesz nawiązać połączenie z wystąpieniem zasobu platformy Azure, zapewniając najwyższy poziom szczegółowości kontroli dostępu.

Aby uzyskać więcej informacji, zobacz Co to jest Azure Private Link?

Wymagania wstępne

Aby zintegrować magazyn kluczy z Azure Private Link, potrzebne są następujące elementy:

Magazyn kluczy.
Sieć wirtualna platformy Azure.
Podsieć w sieci wirtualnej.
Uprawnienia właściciela lub współautora zarówno dla magazynu kluczy, jak i sieci wirtualnej.

Prywatny punkt końcowy i sieć wirtualna muszą znajdować się w tym samym regionie. Po wybraniu regionu prywatnego punktu końcowego przy użyciu portalu program automatycznie filtruje tylko sieci wirtualne, które znajdują się w tym regionie. Magazyn kluczy może znajdować się w innym regionie.

Prywatny punkt końcowy używa prywatnego adresu IP w sieci wirtualnej.

Witryna Azure Portal
Interfejs wiersza polecenia platformy Azure

Ustanawianie połączenia łącza prywatnego z Key Vault przy użyciu Azure Portal

Najpierw utwórz sieć wirtualną, wykonując kroki opisane w temacie Tworzenie sieci wirtualnej przy użyciu Azure Portal

Następnie możesz utworzyć nowy magazyn kluczy lub ustanowić połączenie łącza prywatnego z istniejącym magazynem kluczy.

Tworzenie nowego magazynu kluczy i nawiązywanie połączenia za pomocą łącza prywatnego

Nowy magazyn kluczy można utworzyć przy użyciu Azure Portal, interfejsu wiersza polecenia platformy Azure lub Azure PowerShell.

Po skonfigurowaniu podstaw magazynu kluczy wybierz kartę Sieć i wykonaj następujące kroki:

Wyłącz dostęp publiczny, przełączając przycisk radiowy.
Wybierz przycisk "+ Utwórz prywatny punkt końcowy", aby dodać prywatny punkt końcowy.
W polu "Lokalizacja" bloku Tworzenie prywatnego punktu końcowego wybierz region, w którym znajduje się twoja sieć wirtualna.
W polu "Nazwa" utwórz opisową nazwę, która umożliwi zidentyfikowanie tego prywatnego punktu końcowego.
Wybierz sieć wirtualną i podsieć, w której ma zostać utworzony ten prywatny punkt końcowy z menu rozwijanego.
Pozostaw opcję "Integracja z systemem DNS strefy prywatnej" bez zmian.
Wybierz przycisk "OK".

Teraz będzie można zobaczyć skonfigurowany prywatny punkt końcowy. Teraz możesz usunąć i edytować ten prywatny punkt końcowy. Wybierz przycisk "Przejrzyj i utwórz" i utwórz magazyn kluczy. Ukończenie wdrożenia potrwa 5–10 minut.

Ustanawianie połączenia łącza prywatnego z istniejącym magazynem kluczy

Jeśli masz już magazyn kluczy, możesz utworzyć połączenie łącza prywatnego, wykonując następujące kroki:

Zaloguj się w witrynie Azure Portal.
Na pasku wyszukiwania wpisz "magazyny kluczy".
Wybierz magazyn kluczy z listy, do którego chcesz dodać prywatny punkt końcowy.
Wybierz kartę "Sieć" w obszarze Ustawienia.
Wybierz kartę "Połączenia z prywatnym punktem końcowym" w górnej części strony.
Wybierz przycisk "+ Utwórz" w górnej części strony.
W obszarze "Project Details" wybierz grupę zasobów zawierającą sieć wirtualną utworzoną jako wymaganie wstępne dla tego samouczka. W obszarze "Szczegóły wystąpienia" wprowadź wartość "myPrivateEndpoint" jako nazwę i wybierz tę samą lokalizację co sieć wirtualna utworzona jako wymaganie wstępne dla tego samouczka.

W tym bloku możesz utworzyć prywatny punkt końcowy dla dowolnego zasobu platformy Azure. Możesz użyć menu rozwijanych, aby wybrać typ zasobu i wybrać zasób w katalogu lub połączyć się z dowolnym zasobem platformy Azure przy użyciu identyfikatora zasobu. Pozostaw opcję "Integracja z systemem DNS strefy prywatnej" bez zmian.
Przejdź do bloku "Zasoby". W polu "Typ zasobu" wybierz pozycję "Microsoft.KeyVault/vaults"; w polu "Zasób" wybierz magazyn kluczy utworzony jako wymaganie wstępne dla tego samouczka. "Docelowy zasób podrzędny" zostanie automatycznie wypełniony ciągiem "vault".
Przejdź do "Virtual Network". Wybierz sieć wirtualną i podsieć utworzoną jako wymaganie wstępne dla tego samouczka.
Przejdź do bloków "DNS" i "Tagi", akceptując wartości domyślne.
W bloku "Przeglądanie + tworzenie" wybierz pozycję "Utwórz".

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu, będzie można zatwierdzić żądanie połączenia, pod warunkiem, że masz wystarczające uprawnienia; Jeśli łączysz się z zasobem platformy Azure w innym katalogu, musisz poczekać, aż właściciel tego zasobu zatwierdzi żądanie połączenia.

Istnieją cztery stany aprowizacji:

Akcja w usłudze	Stan prywatnego punktu końcowego odbiorcy usługi	Opis
Brak	Oczekiwanie	Połączenie jest tworzone ręcznie i oczekuje na zatwierdzenie od właściciela zasobu Private Link.
Zatwierdzenie	Approved (Zatwierdzono)	Połączenie zostało automatycznie lub ręcznie zatwierdzone i jest gotowe do użycia.
Reject	Odrzucone	Połączenie zostało odrzucone przez właściciela zasobu łącza prywatnego.
Usuń	Odłączony	Połączenie zostało usunięte przez właściciela zasobu łącza prywatnego, prywatny punkt końcowy staje się informacyjny i powinien zostać usunięty w celu oczyszczenia.

Jak zarządzać połączeniem prywatnego punktu końcowego w celu Key Vault przy użyciu Azure Portal

Zaloguj się w witrynie Azure Portal.
Na pasku wyszukiwania wpisz "magazyny kluczy"
Wybierz magazyn kluczy, którym chcesz zarządzać.
Wybierz kartę "Sieć".
Jeśli istnieją oczekujące połączenia, zostanie wyświetlone połączenie z komunikatem "Oczekiwanie" w stanie aprowizacji.
Wybierz prywatny punkt końcowy, który chcesz zatwierdzić
Wybierz przycisk Zatwierdź.
Jeśli istnieją jakiekolwiek połączenia prywatnego punktu końcowego, które chcesz odrzucić, niezależnie od tego, czy jest to oczekujące żądanie, czy istniejące połączenie, wybierz połączenie i wybierz przycisk "Odrzuć".

Ustanawianie połączenia łącza prywatnego z Key Vault przy użyciu interfejsu wiersza polecenia (konfiguracja początkowa)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Tworzenie prywatnego punktu końcowego (automatycznie zatwierdzanie)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Tworzenie prywatnego punktu końcowego (ręczne żądanie zatwierdzenia)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Zarządzanie połączeniami Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Dodawanie rekordów Prywatna strefa DNS

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Sprawdzanie, czy połączenie łącza prywatnego działa

Należy sprawdzić, czy zasoby w tej samej podsieci zasobu prywatnego punktu końcowego łączą się z magazynem kluczy za pośrednictwem prywatnego adresu IP i że mają prawidłową integrację prywatnej strefy DNS.

Najpierw utwórz maszynę wirtualną, wykonując kroki opisane w temacie Tworzenie maszyny wirtualnej z systemem Windows w Azure Portal

Na karcie "Sieć":

Określ sieć wirtualną i podsieć. Możesz utworzyć nową sieć wirtualną lub wybrać istniejącą. W przypadku wybrania istniejącego, upewnij się, że region jest zgodny.
Określ zasób publicznego adresu IP.
W obszarze "Sieciowa grupa zabezpieczeń karty sieciowej" wybierz pozycję "Brak".
W obszarze "Równoważenie obciążenia" wybierz pozycję "Nie".

Otwórz wiersz polecenia i uruchom następujące polecenie:

nslookup <your-key-vault-name>.vault.azure.net

Jeśli uruchomisz polecenie wyszukiwania ns, aby rozpoznać adres IP magazynu kluczy za pośrednictwem publicznego punktu końcowego, zobaczysz wynik podobny do następującego:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Jeśli uruchomisz polecenie wyszukiwania ns, aby rozpoznać adres IP magazynu kluczy za pośrednictwem prywatnego punktu końcowego, zobaczysz wynik podobny do następującego:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Przewodnik rozwiązywania problemów

Upewnij się, że prywatny punkt końcowy jest w stanie zatwierdzonym.
1. Można to sprawdzić i poprawić w witrynie Azure Portal. Otwórz zasób Key Vault i wybierz opcję Sieć.
2. Następnie wybierz kartę Połączenia prywatnego punktu końcowego.
3. Upewnij się, że stan połączenia to Zatwierdzone, a stan aprowizacji to Powodzenie.
4. Możesz również przejść do zasobu prywatnego punktu końcowego i przejrzeć tam te same właściwości, a następnie dokładnie sprawdzić, czy sieć wirtualna jest zgodna z używanym zasobem.
Upewnij się, że masz zasób strefy Prywatna strefa DNS.
1. Musisz mieć zasób strefy Prywatna strefa DNS o dokładnej nazwie: privatelink.vaultcore.azure.net.
2. Aby dowiedzieć się, jak to skonfigurować, zobacz następujący link. strefy Prywatna strefa DNS
Upewnij się, że strefa Prywatna strefa DNS jest połączona z Virtual Network. Może to być problem, jeśli nadal jest zwracany publiczny adres IP.
1. Jeśli system DNS strefy prywatnej nie jest połączony z siecią wirtualną, zapytanie DNS pochodzące z sieci wirtualnej zwróci publiczny adres IP magazynu kluczy.
2. Przejdź do zasobu strefy Prywatna strefa DNS w Azure Portal i wybierz opcję łącza sieci wirtualnej.
3. Musi zostać wyświetlona sieć wirtualna używana do wykonywania wywołań do magazynu kluczy.
4. Jeśli tak nie jest, dodaj ją.
5. Aby uzyskać szczegółowe instrukcje, zobacz następujący dokument Łączenie Virtual Network ze strefą Prywatna strefa DNS
Upewnij się, że w strefie Prywatna strefa DNS nie brakuje rekordu A dla magazynu kluczy.
1. Przejdź do strony strefa Prywatna strefa DNS.
2. Wybierz pozycję Przegląd i sprawdź, czy istnieje rekord A z prostą nazwą magazynu kluczy (tj. fabrikam). Nie określaj żadnego sufiksu.
3. Pamiętaj o sprawdzeniu pisowni i utwórz lub popraw rekord A. Możesz użyć czasu wygaśnięcia 600 (10 minut).
4. Upewnij się, że poprawnie określono prywatny adres IP.
Upewnij się, że rekord A ma poprawny adres IP.
1. Adres IP można potwierdzić, otwierając zasób prywatnego punktu końcowego w Azure Portal.
2. Przejdź do zasobu Microsoft.Network/privateEndpoints w witrynie Azure Portal (nie do zasobu usługi Key Vault)
3. Na stronie przeglądu wyszukaj pozycję Interfejs sieciowy i wybierz ten link.
4. Ten link umożliwia wyświetlenie strony Przegląd dla zasobu karty sieciowej, która zawiera właściwość Prywatny adres IP.
5. Sprawdź, czy jest to poprawny adres IP określony w rekordzie A.
Jeśli łączysz się z zasobu lokalnego z Key Vault, upewnij się, że wszystkie wymagane usługi przesyłania dalej warunkowego są włączone w środowisku lokalnym.
1. Zapoznaj się z konfiguracją dns prywatnego punktu końcowego platformy Azure dla wymaganych stref i upewnij się, że masz warunkowe usługi przesyłania dalej zarówno vault.azure.net dla lokalnego systemu DNS, jak i vaultcore.azure.net lokalnego.
2. Upewnij się, że masz warunkowe usługi przesyłania dalej dla tych stref, które kierują do usługi Azure Prywatna strefa DNS Resolver lub inną platformę DNS z dostępem do rozpoznawania platformy Azure.