Безопасное подключение сетей к службе автоматизации Azure с помощью Приватного канала Azure

Частная конечная точка Azure — это сетевой интерфейс, который защищенно и надежно подключается к службе через Приватный канал Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, фактически перемещая службу автоматизации Azure в виртуальную сеть. Сетевой трафик между компьютерами из виртуальной сети и учетной записью службы автоматизации проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, что позволяет избежать рисков общедоступного Интернета.

Например, имеется виртуальная сеть, в которой отключен исходящий доступ к Интернету. Однако вы хотите получить доступ к учетной записи службы автоматизации в частном порядке и использовать такие функции автоматизации, как веб-перехватчики, конфигурация состояния и задания Runbook в гибридных рабочих ролях Runbook. Кроме того, требуется, чтобы пользователи имели доступ к учетной записи службы автоматизации только через виртуальную сеть. Развертывание частной конечной точки позволяет выполнить все эти условия.

В этой статье описывается, когда использовать и как настроить частную конечную точку с учетной записью службы автоматизации.

Примечание.

Поддержка Приватных каналов в службе автоматизации Azure доступна только в коммерческих облаках Azure и в облаках для государственных организаций США.

Достоинства

Приватный канал предоставляет следующие возможности:

• Частное подключение к службе автоматизации Azure без открытия доступа к общедоступной сети

• Частное подключение к рабочей области Log Analytics Azure Monitor без открытия доступа к общедоступной сети.

  Примечание.

  Отдельная частная конечная точка для рабочей области Log Analytics требуется, если учетная запись службы автоматизации связана с рабочей областью Log Analytics для пересылки данных задания, а также при включении таких функций, как Управление обновлениями, Отслеживание изменений и инвентаризация, State Configuration или Запуск и остановка виртуальных машин в нерабочее время. Дополнительные сведения о Приватном канале для Azure Monitor см. в разделе Безопасное подключение сетей к Azure Monitor с помощью Приватного канала Azure.

• обеспечить доступ к данным службы автоматизации только через разрешенные частные сети;

• Предотвращение кражи данных из частных сетей путем определения ресурсов службы автоматизации Azure, подключающихся через вашу частную конечную точку.

• Безопасное подключение частной локальной сети к службе автоматизации Azure с помощью ExpressRoute и Приватного канала.

• Удержание всего трафика внутри магистральной сети Microsoft Azure.

Дополнительные сведения см. в разделе Основные преимущества Приватного канала.

Ограничения

• В текущей реализации Приватного канала облачные задания учетной записи службы автоматизации не могут получить доступ к ресурсам Azure, защищенным с помощью частной конечной точки. Например, Azure Key Vault, Azure SQL, учетная запись хранения Azure и т. д. Чтобы решить эту проблему, используйте гибридную рабочую роль Runbook. Поэтому локальные виртуальные машины поддерживаются для запуска гибридных рабочих ролей Runbook в учетной записи службы автоматизации с поддержкой Приватный канал.
• Необходимо использовать последнюю версию агента Log Analytics для Windows или Linux.
• Шлюз Log Analytics не поддерживает Приватный канал.
• Оповещение Azure (метрика, журнал и журнал действий) нельзя использовать для активации веб-перехватчика службы автоматизации, если учетная запись службы автоматизации настроена с общедоступным доступом для отключения.

Как это работает

Приватный канал службы автоматизации Azure подключает одну или несколько частных конечных точек (и, соответственно, виртуальных сетей, в которых они содержатся) к ресурсу учетной записи службы автоматизации. Конечные точки состоят из компьютеров, использующих веб-перехватчики для запуска модуля Runbook, компьютеров, на которых размещена гибридная рабочая роль Runbook, и узлов Desired State Configuration (DSC).

После создания частных конечных точек для службы автоматизации каждый из общедоступных URL-адресов автоматизации сопоставляется с одной частной конечной точкой в виртуальной сети. Вы или компьютер можете напрямую обратиться по URL-адресам службы автоматизации.

Сценарий веб-перехватчика

Вы можете запускать модули Runbook, выполняя POST по URL-адресу веб-перехватчика. Например, пусть URL-адрес выглядит так: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Сценарий гибридной рабочей роли Runbook

Функция гибридной рабочей роли Runbook пользователя служба автоматизации Azure позволяет запускать модули Runbook непосредственно на компьютере Azure или не в Azure, включая серверы, зарегистрированные на серверах с поддержкой Azure Arc. С компьютера или сервера, на котором размещается эта роль, можно напрямую запускать модули runbook для ресурсов в среде, чтобы управлять этими локальными ресурсами.

Конечная точка JRDS используется гибридной рабочей ролью для запуска и остановки модулей Runbook, скачивания модулей Runbook в рабочую роль и отправки потока журнала заданий обратно в службу автоматизации. После включения конечной точки JRDS URL-адрес будет выглядеть следующим образом: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net. Это обеспечит возможность выполнения runbook в гибридной рабочей роли, подключенной к виртуальной сети Azure, для выполнения заданий без необходимости открывать исходящее подключение к Интернету.

Примечание.

Текущая реализация частных ссылок для службы автоматизации Azure поддерживает только выполнение заданий в гибридной рабочей роли runbook, подключенной к виртуальной сети Azure и не поддерживающей облачные задания.

Сценарий гибридной рабочей роли для Управления обновлениями

Гибридная рабочая роль Runbook системы поддерживает набор скрытых модулей runbook, используемых компонентом "Управление обновлениями", предназначенным для установки указанных пользователем обновлений на компьютерах под управлением Windows и Linux. Если включена функция управления обновлениями службы автоматизации Azure, любой подключенный к рабочей области Log Analytics компьютер будет автоматически настроен в качестве системной гибридной рабочей роли Runbook.

Чтобы узнать больше о настройке Управления обновлениями, см. раздел Управление обновлениями. Функция "Управление обновлениями" зависит от рабочей области Log Analytics и поэтому требует связывания рабочей области с учетной записью службы автоматизации. Рабочая область Log Analytics хранит данные, собранные решением, и размещает поиск и представления журнала.

Если вы хотите, чтобы компьютеры, настроенные для управления обновлениями, могли безопасно подключаться к службе автоматизации и рабочей области Log Analytics по Приватному каналу, необходимо включить закрытую ссылку для рабочей области Log Analytics, которая связана с учетной записью службы автоматизации, настроенной с помощью частного канала.

С помощью действий, описанных в разделе Настройка Log Analytics, можно управлять доступом к рабочей области Log Analytics за пределами области приватного канала. Если задать значение Нет для параметра Allow public network access for ingestion (Разрешить доступ из общедоступных сетей для приема), то компьютеры за пределами подключенных областей не смогут отправлять данные в эту рабочую область. Если задать значение Нет для параметра Allow public network access for queries (Разрешить доступ из общедоступных сетей для запросов), то компьютеры за пределами областей не смогут обращаться к данным в этой рабочей области.

Используйте целевой вспомогательный подресурс DSCAndHybridWorker, чтобы включить Приватный канал для пользовательских и системных гибридных рабочих ролей.

Примечание.

Компьютеры, размещенные за пределами Azure, которые управляются функцией "Управление обновлениями" и подключены к виртуальной сети Azure через частный пиринг ExpressRoute, VPN-туннели и одноранговые виртуальные сети, использующие частные конечные точки, поддерживают закрытую ссылку.

Сценарий State Configuration (agentsvc)

State Configuration — это служба управления конфигурацией Azure, которая позволяет создавать и компилировать конфигурации PowerShell Desired State Configuration (DSC) и управлять ими для узлов в любом облаке или локальном центре обработки данных.

Агент на компьютере регистрируется в службе DSC, а затем использует конечную точку службы для извлечения конфигурации DSC. Конечная точка службы агента выглядит следующим образом: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

URL-адрес общедоступной и частной конечной точки будет таким же, но он будет сопоставлен с частным IP-адресом, если включен Приватный канал.

Планирование с учетом сети

Перед настройкой ресурса учетной записи службы автоматизации примите во внимание требования к изоляции сети. Оцените доступ виртуальных сетей к общедоступному Интернету и ограничение доступа к учетной записи службы автоматизации (включая настройку области группы Приватного канала для журналов Azure Monitor, если они интегрированы с учетной записью службы автоматизации). Включите также проверку записей DNS службы автоматизации в рамках плана, чтобы обеспечить бесперебойную работу поддерживаемых функций.

Подключение к частной конечной точке

Выполните приведенные ниже действия, чтобы создать частную конечную точку для учетной записи службы автоматизации.

1. Перейдите в центр Приватный канал в портал Azure, чтобы создать частную конечную точку для подключения к нашей сети.

2. В центре Приватный канал выберите "Создать частную конечную точку".

   

3. В разделе "Основы" введите следующие сведения:

   • Подписка
   • Группа ресурсов
   • Имя
   • Имя сетевого интерфейса
   • Регион и нажмите кнопку "Далее: ресурс".

   

4. В поле "Ресурс" введите следующие сведения:

   • метод Подключение ion, выберите параметр по умолчанию — Подключение ресурсу Azure в моем каталоге.
   • Подписка
   • Тип ресурса
   • Ресурс.
   • Целевой вложенный ресурс может быть веб-перехватчик или DSCAndHybridWorker в рамках вашего сценария и нажмите кнопку "Далее: виртуальная сеть".

   

5. В виртуальная сеть введите следующие сведения:

   • Виртуальная сеть
   • Подсеть
   • Включите проверка box для включения политик сети для всех частных конечных точек в этой подсети.
   • Выберите динамически выделить IP-адрес и нажмите кнопку "Далее: DNS".

   

6. В DNS данные заполняются согласно сведениям, введенным на вкладках "Основы", "Ресурс", виртуальная сеть и создает зону Частная зона DNS. Введите следующие сведения:

   • Интеграция с частной зоной DNS
   • Подписка
   • Группа ресурсов и нажмите кнопку "Далее" : теги

   

7. В тегах можно классифицировать ресурсы. Выберите имя и значение и нажмите кнопку "Проверить и создать".

Вы будете перенаправлены на страницу Просмотр и создание, где Azure проверит вашу конфигурацию. После применения изменений в общедоступном сетевом доступе и Приватный канал может потребоваться до 35 минут, чтобы они вступили в силу.

В центре Приватный канал выберите частные конечные точки, чтобы просмотреть ресурс приватного канала.

Выберите ресурс, чтобы просмотреть все сведения. При этом создается частная конечная точка для учетной записи службы автоматизации и назначается частный IP-адрес из виртуальной сети. Для параметра Состояние подключения отображается значение Утверждено.

Аналогичным образом создается уникальное полное доменное имя (FQDN) для State Configuration (agentsvc) и для среды выполнения задания гибридной рабочей роли Runbook (jrds). Каждому из них назначается отдельный IP-адрес из виртуальной сети, а для параметра Состояние подключения отображается значение Утверждено.

Если потребитель службы имеет разрешения RBAC Azure для ресурса службы автоматизации, потребитель может выбрать метод автоматического утверждения. В этом случае, когда запрос достигает ресурса поставщика службы автоматизации, не требуется никаких действий от поставщика услуг, а подключение автоматически утверждается.

Установка флагов доступа из общедоступных сетей

Чтобы еще больше повысить безопасность сети, вы можете настроить учетную запись службы автоматизации для запрета всех общедоступных конфигураций и разрешить подключения только через частные конечные точки. Если вы хотите ограничить доступ к учетной записи службы автоматизации только в пределах виртуальной сети и запретить доступ из Интернета, можно задать для свойства publicNetworkAccess значение $false.

Если для параметра Доступ к общедоступной сети задано значение $false, разрешаются только подключения через частные конечные точки, а все подключения через общедоступные конечные точки отклоняются с сообщением об ошибке HTTP 401.

Следующий скрипт PowerShell показывает, как Get и Set свойство Public Network Access (Доступ из общедоступной сети) на уровне учетной записи службы автоматизации:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false -Force
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

Можно также управлять свойством доступа к общедоступной сети на портале Azure. В учетной записи службы автоматизации выберите Сетевая изоляция в области слева в разделе Параметры учетной записи. Если для параметра доступа к общедоступной сети задано значение Нет, разрешены только соединения через частные конечные точки, а все соединения через общедоступные конечные точки отклоняются.

DNS configuration (Настройка DNS)

При подключении к ресурсу Приватного канала с использованием полного доменного имени (FQDN) в строке подключения важно правильно настроить параметры DNS, чтобы разрешить доступ к выделенному частному IP-адресу. Возможно, существующие службы Azure уже используют конфигурацию DNS для подключения через общедоступную конечную точку. Конфигурацию DNS следует проверить и обновить для подключения с помощью частной конечной точки.

Сетевой интерфейс, связанный с частной конечной точкой, содержит полный набор сведений, необходимых для настройки DNS, включая полное доменное имя и частные IP-адреса, выделенные для конкретного ресурса Приватного канала.

Чтобы настраивать параметры DNS для частных конечных точек, можно использовать следующие варианты.

• Используйте файл узла (рекомендуется только для тестирования). Для переопределения DNS можно использовать файл узла на виртуальной машине. Полученный результат должен выглядеть примерно так: privatelinkFQDN.jrds.sea.azure-automation.net.

• Используйте частную зону DNS. Чтобы переопределить разрешение DNS для определенной частной конечной точки, можно использовать частные зоны DNS. Частная зона DNS может быть связана с вашей виртуальной сетью для разрешения конкретных доменов. Чтобы агент на виртуальной машине мог взаимодействовать через частную конечную точку, создайте запись частной зоны DNS как privatelink.azure-automation.net. Добавьте новое сопоставление записи DNS A с IP-адресом частной конечной точки.

• Используйте DNS-сервер пересылки (необязательно). Чтобы переопределить разрешение DNS для определенного ресурса Приватного канала, можно использовать DNS-сервер пересылки. Если DNS-сервер размещен в виртуальной сети, можно создать правило переадресации DNS, чтобы использовать частную зону DNS для упрощения настройки для всех ресурсов частной связи.

Дополнительные сведения см. в статье Конфигурация DNS для частной конечной точки Azure.

Следующие шаги

Дополнительные сведения о частных конечных точках см. в разделе Что такое частная конечная точка Azure?.