Integrera Key Vault med Azure Private Link

Med Azure Private Link Service kan du komma åt Azure Services (till exempel Azure Key Vault, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.

En privat Azure-slutpunkt är ett nätverksgränssnitt som ansluter dig privat och säkert till en tjänst som drivs av Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk som effektivt flyttar tjänsten till ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar, eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.

Mer information finns i Vad är Azure Private Link?

Förutsättningar

För att integrera ett nyckelvalv med Azure Private Link behöver du:

• Ett nyckelvalv.
• Ett virtuellt Azure-nätverk.
• Ett undernät i det virtuella nätverket.
• Ägar- eller deltagarbehörigheter för både nyckelvalvet och det virtuella nätverket.

Din privata slutpunkt och ditt virtuella nätverk måste finnas i samma region. När du väljer en region för den privata slutpunkten med hjälp av portalen filtreras endast virtuella nätverk som finns i den regionen automatiskt. Ditt nyckelvalv kan finnas i en annan region.

Din privata slutpunkt använder en privat IP-adress i ditt virtuella nätverk.

Azure-portalen

Upprätta en privat länkanslutning till Key Vault med hjälp av Azure-portalen

Skapa först ett virtuellt nätverk genom att följa stegen i Skapa ett virtuellt nätverk med Hjälp av Azure-portalen

Du kan sedan antingen skapa ett nytt nyckelvalv eller upprätta en privat länkanslutning till ett befintligt nyckelvalv.

Skapa ett nytt nyckelvalv och upprätta en privat länkanslutning

Du kan skapa ett nytt nyckelvalv med Azure-portalen, Azure CLI eller Azure PowerShell.

När du har konfigurerat grunderna för nyckelvalvet väljer du fliken Nätverk och följer dessa steg:

1. Inaktivera offentlig åtkomst genom att växla från alternativknappen.

2. Välj knappen "+ Skapa en privat slutpunkt" för att lägga till en privat slutpunkt.

   

3. I fältet "Plats" på bladet Skapa privat slutpunkt väljer du den region där det virtuella nätverket finns.

4. I fältet "Namn" skapar du ett beskrivande namn som gör att du kan identifiera den här privata slutpunkten.

5. Välj det virtuella nätverk och undernät som du vill att den privata slutpunkten ska skapas i från den nedrullningsbara menyn.

6. Låt alternativet "integrera med DNS i den privata zonen" vara oförändrat.

7. Välj "Ok".

   

Nu kan du se den konfigurerade privata slutpunkten. Nu kan du ta bort och redigera den här privata slutpunkten. Välj knappen Granska + skapa och skapa nyckelvalvet. Det tar 5–10 minuter för distributionen att slutföras.

Upprätta en privat länkanslutning till ett befintligt nyckelvalv

Om du redan har ett nyckelvalv kan du skapa en privat länkanslutning genom att följa dessa steg:

1. Logga in på Azure-portalen.

2. I sökfältet skriver du in "key vaults".

3. Välj nyckelvalvet i listan som du vill lägga till en privat slutpunkt till.

4. Välj fliken Nätverk under Inställningar.

5. Välj fliken Privata slutpunktsanslutningar överst på sidan.

6. Välj knappen "+ Skapa" överst på sidan.

   

7. Under Projektinformation väljer du den resursgrupp som innehåller det virtuella nätverk som du skapade som en förutsättning för den här självstudien. Under "Instansinformation" anger du "myPrivateEndpoint" som Namn och väljer samma plats som det virtuella nätverk som du skapade som en förutsättning för den här självstudien.

   Du kan välja att skapa en privat slutpunkt för valfri Azure-resurs på det här bladet. Du kan antingen använda de nedrullningsbara menyerna för att välja en resurstyp och välja en resurs i din katalog, eller så kan du ansluta till valfri Azure-resurs med hjälp av ett resurs-ID. Låt alternativet "integrera med DNS i den privata zonen" vara oförändrat.

8. Gå vidare till bladet Resurser. För "Resurstyp" väljer du "Microsoft.KeyVault/vaults"; för "Resurs" väljer du det nyckelvalv som du skapade som en förutsättning för den här självstudien. "Målunderresurs" fylls i automatiskt med "valv".

9. Gå vidare till det virtuella nätverket. Välj det virtuella nätverk och undernät som du skapade som en förutsättning för den här självstudien.

10. Gå igenom bladen "DNS" och "Taggar" och acceptera standardvärdena.

11. På bladet "Granska + skapa" väljer du "Skapa".

När du skapar en privat slutpunkt måste anslutningen godkännas. Om resursen som du skapar en privat slutpunkt för finns i din katalog kan du godkänna anslutningsbegäran förutsatt att du har tillräcklig behörighet. Om du ansluter till en Azure-resurs i en annan katalog måste du vänta tills ägaren av resursen godkänner anslutningsbegäran.

Det finns fyra etableringstillstånd:

Tjänståtgärd	Tjänstkonsumentens privata slutpunktstillstånd	Description
None	Väntande	Anslutningen skapas manuellt och väntar på godkännande från Private Link-resursägaren.
Godkänn	Godkänd	Anslutningen godkändes automatiskt eller manuellt och är redo att användas.
Avvisa	Avvisat	Anslutningen avvisades av resursägaren för den privata länken.
Ta bort	Frånkopplad	Anslutningen togs bort av resursägaren för den privata länken, den privata slutpunkten blir informativ och bör tas bort för rensning.

Hantera en privat slutpunktsanslutning till Key Vault med hjälp av Azure-portalen

1. Logga in på Azure Portal.

2. I sökfältet skriver du in "nyckelvalv"

3. Välj det nyckelvalv som du vill hantera.

4. Välj fliken Nätverk.

5. Om det finns några väntande anslutningar visas en anslutning med "Väntar" i etableringstillståndet.

6. Välj den privata slutpunkt som du vill godkänna

7. Välj knappen Godkänn.

8. Om det finns några privata slutpunktsanslutningar som du vill avvisa, oavsett om det är en väntande begäran eller befintlig anslutning, väljer du anslutningen och väljer knappen Avvisa.

   

Azure CLI

Upprätta en privat länkanslutning till Key Vault med hjälp av CLI (inledande installation)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Skapa en privat slutpunkt (godkänn automatiskt)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Skapa en privat slutpunkt (begära godkännande manuellt)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Hantera private link-anslutningar

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Lägga till privata DNS-poster

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Kontrollera att den privata länkanslutningen fungerar

Du bör kontrollera att resurserna i samma undernät för den privata slutpunktsresursen ansluter till ditt nyckelvalv via en privat IP-adress och att de har rätt privat DNS-zonintegrering.

Skapa först en virtuell dator genom att följa stegen i Skapa en virtuell Windows-dator i Azure-portalen

På fliken Nätverk:

1. Ange virtuellt nätverk och undernät. Du kan skapa ett nytt virtuellt nätverk eller välja ett befintligt nätverk. Om du väljer en befintlig kontrollerar du att regionen matchar.
2. Ange en offentlig IP-resurs.
3. I nätverkssäkerhetsgruppen NIC väljer du "Ingen".
4. I "Belastningsutjämning" väljer du "Nej".

Öppna kommandoraden och kör följande kommando:

nslookup <your-key-vault-name>.vault.azure.net

Om du kör ns-uppslagskommandot för att matcha IP-adressen för ett nyckelvalv över en offentlig slutpunkt visas ett resultat som ser ut så här:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Om du kör sökningskommandot ns för att matcha IP-adressen för ett nyckelvalv över en privat slutpunkt visas ett resultat som ser ut så här:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Felsökningsguide

• Kontrollera att den privata slutpunkten är i godkänt tillstånd.

  1. Du kan kontrollera och åtgärda detta i Azure Portal. Öppna Key Vault-resursen och välj alternativet Nätverk.
  2. Välj sedan fliken Privata slutpunktsanslutningar.
  3. Kontrollera att anslutningsstatus är Godkänd och att etableringsstatus är Slutförd.
  4. Du kan också navigera till den privata slutpunktsresursen och granska samma egenskaper där, och dubbelkolla att det virtuella nätverket matchar det du använder.

• Kontrollera att du har en privat DNS-zonsresurs.

  1. Du måste ha en privat DNS-zonresurs med det exakta namnet: privatelink.vaultcore.azure.net.
  2. Mer information om hur du konfigurerar detta finns i följande länk. Privata DNS-zoner

• Kontrollera att den privata DNS-zonen är länkad till det virtuella nätverket. Det här kan vara problemet om du fortfarande får den offentliga IP-adressen returnerad.

  1. Om DNS i den privata zonen inte är länkad till det virtuella nätverket returnerar DNS-frågan från det virtuella nätverket nyckelvalvets offentliga IP-adress.
  2. Gå till den privata DNS-zonresursen i Azure-portalen och välj alternativet länkar till virtuella nätverk.
  3. Det virtuella nätverk som ska utföra anrop till nyckelvalvet måste finnas i listan.
  4. Om det inte finns där måste du lägga till det.
  5. Detaljerade steg finns i följande dokument Länka virtuellt nätverk till privat DNS-zon

• Kontrollera att den privata DNS-zonen inte saknar en A-post för nyckelvalvet.

  1. Gå till sidan Privat DNS-zon.
  2. Välj Översikt och kontrollera om det finns en A-post med det enkla namnet på ditt nyckelvalv (dvs. fabrikam). Ange inget suffix.
  3. Kontrollera stavningen och skapa eller åtgärda A-posten. Du kan använda en TTL på 600 (10 minuter).
  4. Se till att du anger rätt privat IP-adress.

• Kontrollera att A-posten har rätt IP-adress.

  1. Du kan bekräfta IP-adressen genom att öppna den privata slutpunktsresursen i Azure-portalen.
  2. Gå till resursen Microsoft.Network/privateEndpoints i Azure Portal (inte Key Vault-resursen)
  3. På översiktssidan letar du efter Nätverksgränssnitt och väljer den länken.
  4. Länken visar översikten för nätverkskortresursen, som innehåller egenskapen Privat IP-adress.
  5. Kontrollera att det är rätt IP-adress som anges i A-posten.

• Om du ansluter från en lokal resurs till ett Key Vault kontrollerar du att alla nödvändiga villkorliga vidarebefordrare i den lokala miljön är aktiverade.

  1. Granska DNS-konfigurationen för privata Slutpunkter i Azure för de zoner som behövs och se till att du har villkorsstyrda vidarebefordrare för både vault.azure.net och vaultcore.azure.net på din lokala DNS.
  2. Se till att du har villkorsstyrda vidarebefordrare för de zoner som dirigeras till en privat DNS-matchare i Azure eller någon annan DNS-plattform med åtkomst till Azure-matchning.

Begränsningar och designöverväganden

Gränser: Se Gränser för Azure Private Link

Prissättning: Se Priser för Azure Private Link.

Begränsningar: Se Azure Private Link-tjänsten: Begränsningar

Nästa steg

• Läs mer om Azure Private Link
• Läs mer om Azure Key Vault