Partilhar via


Integrar o Key Vault no Azure Private Link

O Serviço de Link Privado do Azure permite que você acesse os Serviços do Azure (por exemplo, Azure Key Vault, Armazenamento do Azure e Azure Cosmos DB) e os serviços de cliente/parceiro hospedados pelo Azure em um Ponto de Extremidade Privado em sua rede virtual.

Um Ponto de Extremidade Privado do Azure é uma interface de rede que o conecta de forma privada e segura a um serviço desenvolvido pelo Azure Private Link. O ponto final privado utiliza um endereço IP privado da VNet, para que possa aceder ao serviço de forma eficaz através da VNet. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN nem endereços IP públicos. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, oferecendo o mais alto nível de granularidade no controle de acesso.

Para obter mais informações, consulte O que é o Azure Private Link?

Pré-requisitos

Para integrar um cofre de chaves com o Azure Private Link, você precisará:

  • Um cofre de chaves.
  • Uma rede virtual do Azure.
  • Uma sub-rede na rede virtual.
  • Permissões de proprietário ou colaborador para o cofre de chaves e a rede virtual.

O ponto final privado e a rede virtual têm de estar na mesma região. Quando você seleciona uma região para o ponto de extremidade privado usando o portal, ele filtra automaticamente apenas as redes virtuais que estão nessa região. Seu cofre de chaves pode estar em uma região diferente.

Seu ponto de extremidade privado usa um endereço IP privado em sua rede virtual.

Primeiro, crie uma rede virtual seguindo as etapas em Criar uma rede virtual usando o portal do Azure

Em seguida, você pode criar um novo cofre de chaves ou estabelecer uma conexão de link privado com um cofre de chaves existente.

Você pode criar um novo cofre de chaves com o portal do Azure, a CLI do Azure ou o Azure PowerShell.

Depois de configurar as noções básicas do cofre de chaves, selecione a guia Rede e siga estas etapas:

  1. Desative o acesso público desativando o botão de opção.

  2. Selecione o botão "+ Criar um ponto de extremidade privado" para adicionar um ponto de extremidade privado.

    Captura de ecrã que mostra o separador 'Rede' na página 'Criar cofre de chaves'.

  3. No campo "Local" da folha Criar ponto final privado, selecione a região na qual sua rede virtual está localizada.

  4. No campo "Nome", crie um nome descritivo que lhe permita identificar este ponto de extremidade privado.

  5. Selecione a rede virtual e a sub-rede em que você deseja que esse ponto de extremidade privado seja criado no menu suspenso.

  6. Deixe inalterada a opção "integrar com o DNS da zona privada".

  7. Selecione "Ok".

    Captura de ecrã que mostra a página 'Criar ponto de extremidade privado' com as definições selecionadas.

Agora você poderá ver o ponto de extremidade privado configurado. Agora você pode excluir e editar esse ponto de extremidade privado. Selecione o botão "Rever + Criar" e crie o cofre de chaves. Levará de 5 a 10 minutos para que a implantação seja concluída.

Se você já tiver um cofre de chaves, poderá criar uma conexão de link privado seguindo estas etapas:

  1. Inicie sessão no portal do Azure.

  2. Na barra de pesquisa, digite "cofres de chaves".

  3. Selecione o cofre de chaves na lista à qual você deseja adicionar um ponto de extremidade privado.

  4. Selecione a guia "Rede" em Configurações.

  5. Selecione a guia "Private endpoint connections" na parte superior da página.

  6. Selecione o botão "+ Criar" na parte superior da página.

    Captura de ecrã que mostra o botão '+ Ponto Final Privado' na página 'Rede'.Captura de ecrã que mostra o separador 'Noções básicas' na página 'Criar um ponto final privado (Pré-visualização).

  7. Em "Detalhes do Projeto", selecione o Grupo de Recursos que contém a rede virtual que você criou como pré-requisito para este tutorial. Em "Detalhes da instância", digite "myPrivateEndpoint" como o Nome e selecione o mesmo local da rede virtual que você criou como pré-requisito para este tutorial.

    Você pode optar por criar um ponto de extremidade privado para qualquer recurso do Azure usando essa folha. Você pode usar os menus suspensos para selecionar um tipo de recurso e selecionar um recurso em seu diretório ou pode se conectar a qualquer recurso do Azure usando uma ID de recurso. Deixe inalterada a opção "integrar com o DNS da zona privada".

  8. Avance para a folha "Recursos". Para "Tipo de recurso", selecione "Microsoft.KeyVault/vaults"; para "Recurso", selecione o cofre de chaves que você criou como pré-requisito para este tutorial. O "subrecurso de destino" será preenchido automaticamente com "vault".

  9. Avance para a "Rede Virtual". Selecione a rede virtual e a sub-rede que você criou como pré-requisito para este tutorial.

  10. Avance pelas lâminas "DNS" e "Tags", aceitando os padrões.

  11. Na folha "Rever + Criar", selecione "Criar".

Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório, você poderá aprovar a solicitação de conexão desde que tenha permissões suficientes; se você estiver se conectando a um recurso do Azure em outro diretório, deverá aguardar que o proprietário desse recurso aprove sua solicitação de conexão.

Há quatro estados de provisionamento:

Ação do serviço Estado do ponto de extremidade privado do consumidor do serviço Description
None Pendente A conexão é criada manualmente e está pendente de aprovação do proprietário do recurso Link Privado.
Aprovar Aprovado A conexão foi aprovada automática ou manualmente e está pronta para ser usada.
Rejeitar Rejeitado A conexão foi rejeitada pelo proprietário do recurso de link privado.
Remover Desligado A conexão foi removida pelo proprietário do recurso de link privado, o ponto de extremidade privado torna-se informativo e deve ser excluído para limpeza.

Como gerenciar uma conexão de ponto de extremidade privado com o Cofre da Chave usando o portal do Azure

  1. Inicie sessão no portal do Azure.

  2. Na barra de pesquisa, digite "cofres de chaves"

  3. Selecione o cofre de chaves que deseja gerenciar.

  4. Selecione a guia "Rede".

  5. Se houver conexões pendentes, você verá uma conexão listada com "Pendente" no estado de provisionamento.

  6. Selecione o ponto de extremidade privado que deseja aprovar

  7. Selecione o botão aprovar.

  8. Se houver alguma conexão de ponto de extremidade privada que você deseja rejeitar, seja uma solicitação pendente ou uma conexão existente, selecione a conexão e selecione o botão "Rejeitar".

    Image

Você deve validar se os recursos dentro da mesma sub-rede do recurso de ponto de extremidade privado estão se conectando ao seu cofre de chaves por meio de um endereço IP privado e se eles têm a integração de zona DNS privada correta.

Primeiro, crie uma máquina virtual seguindo as etapas em Criar uma máquina virtual do Windows no portal do Azure

No separador "Rede":

  1. Especifique Rede virtual e Sub-rede. Você pode criar uma nova rede virtual ou selecionar uma existente. Se selecionar um existente, certifique-se de que a região corresponde.
  2. Especifique um recurso IP público.
  3. No "grupo de segurança de rede NIC", selecione "Nenhum".
  4. Em "Balanceamento de carga", selecione "Não".

Abra a linha de comando e execute o seguinte comando:

nslookup <your-key-vault-name>.vault.azure.net

Se você executar o comando ns lookup para resolver o endereço IP de um cofre de chaves em um ponto de extremidade público, verá um resultado semelhante a este:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Se você executar o comando ns lookup para resolver o endereço IP de um cofre de chaves em um ponto de extremidade privado, verá um resultado semelhante ao seguinte:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Guia de Resolução de Problemas

  • Verifique se o ponto de extremidade privado está no estado aprovado.

    1. Pode verificar e corrigir esta situação no portal do Azure. Abra o recurso do Key Vault e selecione a opção Rede.
    2. Em seguida, selecione a guia Private endpoint connections.
    3. Confirme se o estado da ligação é Aprovado e se o estado de aprovisionamento é Com êxito.
    4. Você também pode navegar até o recurso de ponto de extremidade privado e revisar as mesmas propriedades lá, e verificar se a rede virtual corresponde à que você está usando.
  • Verifique se tem um recurso de Zona DNS Privado.

    1. Você deve ter um recurso de Zona DNS Privada com o nome exato: privatelink.vaultcore.azure.net.
    2. Para saber como configurar isso, consulte o link a seguir. Zonas DNS privadas
  • Verifique se a Zona DNS Privada está vinculada à Rede Virtual. Esse pode ser o problema se você ainda estiver retornando o endereço IP público.

    1. Se o DNS da Zona Privada não estiver vinculado à rede virtual, a consulta DNS originada da rede virtual retornará o endereço IP público do cofre de chaves.
    2. Navegue até o recurso Zona DNS Privada no portal do Azure e selecione a opção de links de rede virtual.
    3. A rede virtual que executará chamadas para o cofre de chaves tem de estar listada.
    4. Se não estiver, adicione-a.
    5. Para obter etapas detalhadas, consulte o seguinte documento Vincular rede virtual à zona DNS privada
  • Verifique se a Zona DNS Privada não está faltando um registro A para o cofre de chaves.

    1. Navegue até a página Zona DNS Privada.
    2. Selecione Visão geral e verifique se há um registro A com o nome simples do cofre de chaves (ou seja, fabrikam). Não especifique nenhum sufixo.
    3. Verifique a ortografia e crie ou corrija o registo A. Você pode usar um TTL de 600 (10 minutos).
    4. Confirme que especifica o endereço IP privado correto.
  • Verifique se o registro A tem o endereço IP correto.

    1. Você pode confirmar o endereço IP abrindo o recurso Ponto de Extremidade Privado no portal do Azure.
    2. Aceda ao recurso Microsoft.Network/privateEndpoints, no portal do Azure (não no recurso do Key Vault)
    3. Na página de visão geral, procure por Interface de rede e selecione esse link.
    4. A ligação mostrará a Descrição geral do recurso NIC, que contém o Endereço IP privado da propriedade.
    5. Verifique se esse é o endereço IP correto que é especificado no registo A.
  • Se você estiver se conectando de um recurso local a um Cofre de Chaves, verifique se todos os encaminhadores condicionais necessários no ambiente local estão habilitados.

    1. Analise a configuração do DNS do Ponto de Extremidade Privado do Azure para as zonas necessárias e verifique se você tem encaminhadores condicionais para ambos e vault.azure.net vaultcore.azure.net em seu DNS local.
    2. Certifique-se de ter encaminhadores condicionais para as zonas que encaminham para um Resolvedor de DNS Privado do Azure ou alguma outra plataforma DNS com acesso à resolução do Azure.

Limitações e considerações de design

Limites: Consulte Limites do Azure Private Link

Preços: consulte Preços do Link Privado do Azure.

Limitações: Consulte Serviço de Link Privado do Azure: Limitações

Passos Seguintes