Integrar o Key Vault no Azure Private Link

Azure Private Link Service permite-lhe aceder aos Serviços do Azure (por exemplo, Key Vault do Azure, Armazenamento do Azure e Azure Cosmos DB) e serviços de cliente/parceiro alojados no Azure através de um Ponto Final Privado na sua rede virtual.

Um Ponto Final Privado do Azure é uma interface de rede que o liga de forma privada e segura a um serviço com tecnologia Azure Private Link. O ponto final privado utiliza um endereço IP privado da VNet, para que possa aceder ao serviço de forma eficaz através da VNet. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN nem endereços IP públicos. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Pode ligar-se a uma instância de um recurso do Azure, o que lhe dá o nível mais elevado de granularidade no controlo de acesso.

Para obter mais informações, consulte O que é Azure Private Link?

Pré-requisitos

Para integrar um cofre de chaves com Azure Private Link, precisará de:

• Um cofre de chaves.
• Uma rede virtual do Azure.
• Uma sub-rede na rede virtual.
• Permissões de proprietário ou contribuidor para o cofre de chaves e a rede virtual.

O ponto final privado e a rede virtual têm de estar na mesma região. Quando seleciona uma região para o ponto final privado através do portal, esta filtrará automaticamente apenas as redes virtuais nessa região. O cofre de chaves pode estar numa região diferente.

O ponto final privado utiliza um endereço IP privado na sua rede virtual.

Portal do Azure

Estabelecer uma ligação de ligação privada para Key Vault com o portal do Azure

Em primeiro lugar, crie uma rede virtual ao seguir os passos em Criar uma rede virtual com o portal do Azure

Em seguida, pode criar um novo cofre de chaves ou estabelecer uma ligação de ligação privada a um cofre de chaves existente.

Criar um novo cofre de chaves e estabelecer uma ligação de ligação privada

Pode criar um novo cofre de chaves com o portal do Azure, a CLI do Azure ou Azure PowerShell.

Depois de configurar as noções básicas do cofre de chaves, selecione o separador Rede e siga estes passos:

1. Desative o acesso público ao desativar o botão de opção.

2. Selecione o Botão "+ Criar um ponto final privado" para adicionar um ponto final privado.

   

3. No campo "Localização" do Painel Criar Ponto Final Privado, selecione a região na qual a rede virtual está localizada.

4. No campo "Nome", crie um nome descritivo que lhe permita identificar este ponto final privado.

5. Selecione a rede virtual e a sub-rede na qual pretende que este ponto final privado seja criado a partir do menu pendente.

6. Deixe a opção "integrar com o DNS da zona privada" inalterada.

7. Selecione "Ok".

   

Agora, poderá ver o ponto final privado configurado. Agora pode eliminar e editar este ponto final privado. Selecione o botão "Rever + Criar" e crie o cofre de chaves. A implementação demorará entre 5 a 10 minutos a concluir.

Estabelecer uma ligação de ligação privada a um cofre de chaves existente

Se já tiver um cofre de chaves, pode criar uma ligação de ligação privada ao seguir estes passos:

1. Inicie sessão no portal do Azure.

2. Na barra de pesquisa, escreva "cofres de chaves".

3. Selecione o cofre de chaves na lista à qual pretende adicionar um ponto final privado.

4. Selecione o separador "Rede" em Definições.

5. Selecione o separador "Ligações de ponto final privado" na parte superior da página.

6. Selecione o botão "+ Criar" na parte superior da página.

   

7. Em "Detalhes do Projeto", selecione o Grupo de Recursos que contém a rede virtual que criou como pré-requisito para este tutorial. Em "Detalhes da instância", introduza "myPrivateEndpoint" como o Nome e selecione a mesma localização que a rede virtual que criou como pré-requisito para este tutorial.

   Pode optar por criar um ponto final privado para qualquer recurso do Azure com este painel. Pode utilizar os menus pendentes para selecionar um tipo de recurso e selecionar um recurso no diretório ou pode ligar a qualquer recurso do Azure com um ID de recurso. Deixe a opção "integrar com o DNS da zona privada" inalterada.

8. Avance para o painel "Recursos". Para "Tipo de recurso", selecione "Microsoft.KeyVault/vaults"; para "Recurso", selecione o cofre de chaves que criou como pré-requisito para este tutorial. "Sub-recurso de destino" será preenchido automaticamente com "cofre".

9. Avance para o "Rede Virtual". Selecione a rede virtual e a sub-rede que criou como pré-requisito para este tutorial.

10. Avance pelos painéis "DNS" e "Etiquetas", aceitando as predefinições.

11. No painel "Rever + Criar", selecione "Criar".

Quando cria um ponto final privado, a ligação tem de ser aprovada. Se o recurso para o qual está a criar um ponto final privado estiver no seu diretório, poderá aprovar o pedido de ligação desde que tenha permissões suficientes; Se estiver a ligar a um recurso do Azure noutro diretório, tem de aguardar que o proprietário desse recurso aprove o pedido de ligação.

Existem quatro estados de aprovisionamento:

Ação do serviço	Estado do ponto final privado do consumidor do serviço	Descrição
Nenhum	Pendente	A ligação é criada manualmente e está pendente da aprovação do proprietário do recurso Private Link.
Aprovar	Aprovado	A ligação foi aprovada automaticamente ou manualmente e está pronta para ser utilizada.
Rejeitar	Rejeitado	A ligação foi rejeitada pelo proprietário do recurso de ligação privada.
Remover	Desligado	A ligação foi removida pelo proprietário do recurso de ligação privada, o ponto final privado torna-se informativo e deve ser eliminado para limpeza.

Como gerir uma ligação de ponto final privado para Key Vault com o portal do Azure

1. Inicie sessão no portal do Azure.

2. Na barra de pesquisa, escreva "cofres de chaves"

3. Selecione o cofre de chaves que pretende gerir.

4. Selecione o separador "Rede".

5. Se existirem ligações pendentes, verá uma ligação listada com "Pendente" no estado de aprovisionamento.

6. Selecione o ponto final privado que pretende aprovar

7. Selecione o botão aprovar.

8. Se existirem ligações de ponto final privado que pretenda rejeitar, seja um pedido pendente ou uma ligação existente, selecione a ligação e selecione o botão "Rejeitar".

   

CLI do Azure

Estabelecer uma ligação de ligação privada para Key Vault com a CLI (Configuração Inicial)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Criar um Ponto Final Privado (Aprovar Automaticamente)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Criar um Ponto Final Privado (Pedir Aprovação Manualmente)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Gerir Ligações Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Adicionar DNS Privado Registos

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Validar que a ligação de ligação privada funciona

Deve validar que os recursos na mesma sub-rede do recurso de ponto final privado estão a ligar-se ao cofre de chaves através de um endereço IP privado e que têm a integração de zona DNS privada correta.

Primeiro, crie uma máquina virtual ao seguir os passos em Criar uma máquina virtual do Windows no portal do Azure

No separador "Rede":

1. Especifique Rede virtual e Sub-rede. Pode criar uma nova rede virtual ou selecionar uma existente. Se selecionar uma existente, certifique-se de que a região corresponde.
2. Especifique um recurso ip público.
3. No "grupo de segurança de rede NIC", selecione "Nenhum".
4. No "Balanceamento de carga", selecione "Não".

Abra a linha de comandos e execute o seguinte comando:

nslookup <your-key-vault-name>.vault.azure.net

Se executar o comando de pesquisa ns para resolver o endereço IP de um cofre de chaves através de um ponto final público, verá um resultado semelhante ao seguinte:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Se executar o comando de pesquisa ns para resolver o endereço IP de um cofre de chaves através de um ponto final privado, verá um resultado semelhante ao seguinte:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Guia de Resolução de Problemas

• Verifique se o ponto final privado está no estado aprovado.

  1. Pode verificar e corrigir esta situação no portal do Azure. Abra o recurso Key Vault e selecione a opção Rede.
  2. Em seguida, selecione o separador Ligações de ponto final privado.
  3. Confirme se o estado da ligação é Aprovado e se o estado de aprovisionamento é Com êxito.
  4. Também pode navegar para o recurso de ponto final privado e rever as mesmas propriedades e verificar novamente se a rede virtual corresponde à que está a utilizar.

• Verifique se tem um recurso DNS Privado Zone.

  1. Tem de ter um recurso DNS Privado Zone com o nome exato: privatelink.vaultcore.azure.net.
  2. Para saber como configurar esta configuração, veja a seguinte ligação. Zonas de DNS Privado

• Verifique se a Zona de DNS Privado está ligada à Rede Virtual. Este poderá ser o problema se ainda estiver a receber o endereço IP público devolvido.

  1. Se o DNS da Zona Privada não estiver ligado à rede virtual, a consulta DNS originária da rede virtual devolverá o endereço IP público do cofre de chaves.
  2. Navegue para o recurso zona de DNS Privado no portal do Azure e selecione a opção de ligações de rede virtual.
  3. A rede virtual que executará chamadas para o cofre de chaves tem de estar listada.
  4. Se não estiver, adicione-a.
  5. Para obter passos detalhados, veja o seguinte documento Ligar Rede Virtual à Zona de DNS Privado

• Verifique se a Zona de DNS Privado não tem um registo A em falta para o cofre de chaves.

  1. Navegue para a página zona de DNS Privado.
  2. Selecione Descrição geral e verifique se existe um registo A com o nome simples do cofre de chaves (ou seja, fabrikam). Não especifique nenhum sufixo.
  3. Verifique a ortografia e crie ou corrija o registo A. Pode utilizar um TTL de 600 (10 minutos).
  4. Confirme que especifica o endereço IP privado correto.

• Verifique se o registo A tem o Endereço IP correto.

  1. Pode confirmar o endereço IP ao abrir o recurso do Ponto Final Privado no portal do Azure.
  2. Aceda ao recurso Microsoft.Network/privateEndpoints, no portal do Azure (não no recurso do Key Vault)
  3. Na página de descrição geral, procure Interface de rede e selecione essa ligação.
  4. A ligação mostrará a Descrição geral do recurso NIC, que contém o Endereço IP privado da propriedade.
  5. Verifique se esse é o endereço IP correto que é especificado no registo A.

• Se estiver a ligar a partir de um recurso no local a um Key Vault, certifique-se de que tem todos os reencaminhadores condicionais necessários no ambiente no local ativados.

  1. Reveja a configuração do DNS do Ponto Final Privado do Azure para as zonas necessárias e certifique-se de que tem reencaminhadores condicionais para o vault.azure.net DNS no local e vaultcore.azure.net no local.
  2. Certifique-se de que tem reencaminhadores condicionais para as zonas que encaminham para um Azure DNS Privado Resolver ou outra plataforma DNS com acesso à resolução do Azure.

Limitações e Considerações de Conceção

Limites: veja limites de Azure Private Link

Preços: veja preços de Azure Private Link.

Limitações: Veja Azure Private Link serviço: Limitações

Passos Seguintes

• Saiba mais sobre Azure Private Link
• Saiba mais sobre o Azure Key Vault