Använd privata slutpunkter med Azure Batch-konton

Som standard har Azure Batch konton offentliga slutpunkter och är offentligt tillgängliga. Batch-tjänsten erbjuder möjligheten att skapa en privat slutpunkt för Batch-konton, vilket ger privat nätverksåtkomst till Batch-tjänsten.

Med hjälp av Azure Private Link kan du ansluta till ett Azure Batch-konto via en privat slutpunkt. Den privata slutpunkten är en uppsättning privata IP-adresser i ett undernät i ditt virtuella nätverk. Du kan sedan begränsa åtkomsten till ett Azure Batch-konto över privata IP-adresser.

Private Link tillåter användare att komma åt ett Azure Batch konto inifrån det virtuella nätverket eller från ett peer-kopplat virtuellt nätverk. Resurser som mappas till Private Link är också tillgängliga lokalt via privat peering via VPN eller Azure ExpressRoute. Du kan ansluta till ett Azure Batch konto som konfigurerats med Private Link med hjälp av metoden för automatiskt eller manuellt godkännande.

I den här artikeln beskrivs stegen för att skapa en privat slutpunkt för åtkomst till Batch-kontoslutpunkter.

Underresurser för privata slutpunkter som stöds för Batch-konto

Batch-kontoresursen har två slutpunkter som stöds för åtkomst med privata slutpunkter:

• Kontoslutpunkt (underresurs: batchAccount): Den här slutpunkten används för åtkomst till Batch Service REST API (dataplan), till exempel hantering av pooler, beräkningsnoder, jobb, uppgifter osv.

• Slutpunkt för nodhantering (underresurs: nodeManagement): används av Batch-poolnoder för att få åtkomst till batchnodhanteringstjänsten. Den här slutpunkten gäller endast när du använder förenklad beräkningsnodkommunikation.

Tips

Du kan skapa en privat slutpunkt för en av dem eller båda i ditt virtuella nätverk, beroende på den faktiska användningen för ditt Batch-konto. Om du till exempel kör Batch-poolen i det virtuella nätverket, men anropar Batch-tjänstens REST-API från någon annanstans, behöver du bara skapa den privata nodeManagement-slutpunkten i det virtuella nätverket.

Azure Portal

Använd följande steg för att skapa en privat slutpunkt med batchkontot med hjälp av Azure Portal:

1. Gå till batchkontot i Azure Portal.
2. I Inställningar väljer du Nätverk och går till fliken Privat åtkomst. Välj sedan + Privat slutpunkt.
3. I fönstret Grundläggande anger eller väljer du prenumerationen, resursgruppen, resursnamnet för den privata slutpunkten och regioninformationen och väljer sedan Nästa: Resurs.
4. I fönstret Resurs anger du Resurstyp till Microsoft.Batch/batchAccounts. Välj det Batch-konto som du vill komma åt, välj målunderresursen och välj sedan Nästa: Konfiguration.
5. I fönstret Konfiguration anger eller väljer du den här informationen:
   • För Virtuellt nätverk väljer du ditt virtuella nätverk.
   • För Undernät väljer du ditt undernät.
   • För Privat IP-konfiguration väljer du standardinställningen För dynamisk allokering av IP-adress.
   • För Integrera med privat DNS-zon väljer du Ja. Om du vill ansluta privat till din privata slutpunkt behöver du en DNS-post. Vi rekommenderar att du integrerar din privata slutpunkt med en privat DNS-zon. Du kan också använda dina egna DNS-servrar eller skapa DNS-poster med hjälp av värdfilerna på dina virtuella datorer.
   • För Privat DNS Zon väljer du privatelink.batch.azure.com. Den privata DNS-zonen bestäms automatiskt. Du kan inte ändra den här inställningen med hjälp av Azure Portal.

Viktigt

• Om du har befintliga privata slutpunkter som skapats med en tidigare privat DNS-zon privatelink.<region>.batch.azure.comföljer du Migrering med befintliga privata Slutpunkter för Batch-konto.
• Om du har valt privat DNS-zonintegrering kontrollerar du att den privata DNS-zonen är länkad till det virtuella nätverket. Det är möjligt att Azure Portal låter dig välja en befintlig privat DNS-zon, som kanske inte är länkad till ditt virtuella nätverk och du måste lägga till länken för det virtuella nätverket manuellt.

6. Välj Granska + skapa och vänta sedan tills Azure verifierar konfigurationen.
7. När du ser ett meddelande som anger att valideringen har slutförts klickar du på Skapa.

Tips

Du kan också skapa den privata slutpunkten från Private Link Center i Azure Portal eller skapa en ny resurs genom att söka i den privata slutpunkten.

Använda den privata slutpunkten

När den privata slutpunkten har etablerats kan du komma åt Batch-kontot med hjälp av den privata IP-adressen i det virtuella nätverket:

• Privat slutpunkt för batchAccount: kan komma åt batchkontots dataplan för att hantera pooler/jobb/uppgifter.

• Privat slutpunkt för nodeManagement: Batch-poolens beräkningsnoder kan ansluta till och hanteras av batchnodhanteringstjänsten.

Tips

Vi rekommenderar att du även inaktiverar åtkomsten till det offentliga nätverket med ditt Batch-konto när du använder privata slutpunkter, vilket begränsar åtkomsten till det privata nätverket.

Viktigt

Om åtkomst till offentligt nätverk är inaktiverat med Batch-konto resulterar kontoåtgärder (till exempel pooler, jobb) utanför det virtuella nätverk där den privata slutpunkten etableras i ett "AuthorizationFailure"-meddelande för Batch-kontot i Azure Portal.

Så här visar du IP-adresserna för den privata slutpunkten från Azure Portal:

1. Välj Alla resurser.
2. Sök efter den privata slutpunkt som du skapade tidigare.
3. Välj fliken DNS-konfiguration för att se DNS-inställningar och IP-adresser.

Konfigurera DNS-zoner

Använd en privat DNS-zon i undernätet där du har skapat den privata slutpunkten. Konfigurera slutpunkterna så att varje privat IP-adress mappas till en DNS-post.

När du skapar den privata slutpunkten kan du integrera den med en privat DNS-zon i Azure. Om du i stället väljer att använda en anpassad domän måste du konfigurera den för att lägga till DNS-poster för alla privata IP-adresser som är reserverade för den privata slutpunkten.

Migrering med befintliga privata slutpunkter för Batch-konto

Med introduktionen av den nya underresursnoden för den privata slutpunktenHantera batchnodhanteringsslutpunkten förenklas den privata DNS-standardzonen för Batch-kontot från privatelink.<region>.batch.azure.com till privatelink.batch.azure.com. För att hålla bakåtkompatibilitet med den tidigare använda privata DNS-zonen innehåller kontoslutpunktens DNS CNAME-mappningar för ett Batch-konto med en godkänd privat batchAccount-slutpunkt båda zonerna (med den föregående zonen först), till exempel:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Fortsätt att använda den tidigare privata DNS-zonen

Om du redan har använt den tidigare DNS-zonen privatelink.<region>.batch.azure.com med ditt virtuella nätverk bör du fortsätta att använda den för befintliga och nya privata batchAccount-slutpunkter och ingen åtgärd krävs.

Viktigt

Med befintlig användning av tidigare privat DNS-zon fortsätter du att använda den även med nyligen skapade privata slutpunkter. Använd inte den nya zonen med DNS-integreringslösningen förrän du kan migrera till den nya zonen.

Skapa en ny privat batchAccount-slutpunkt med DNS-integrering i Azure Portal

Om du manuellt skapar en ny privat batchAccount-slutpunkt med hjälp av Azure Portal med automatisk DNS-integrering aktiverad kommer den att använda den nya privata DNS-zonen privatelink.batch.azure.com för DNS-integreringen: skapa den privata DNS-zonen, länka den till ditt virtuella nätverk och konfigurera DNS A-post i zonen för din privata slutpunkt.

Men om ditt virtuella nätverk redan har länkats till den tidigare privata DNS-zonen privatelink.<region>.batch.azure.combryts DNS-matchningen för batchkontot i ditt virtuella nätverk eftersom DNS A-posten för din nya privata slutpunkt läggs till i den nya zonen, men DNS-matchningen kontrollerar den föregående zonen först för bakåtkompatibilitetsstöd.

Du kan åtgärda det här problemet med följande alternativ:

• Om du inte längre behöver den tidigare privata DNS-zonen avlänkar du den från det virtuella nätverket. Ingen ytterligare åtgärd krävs.

• I annat fall när den nya privata slutpunkten har skapats:

  1. kontrollera att den automatiska privata DNS-integreringen har en DNS A-post som skapats i den nya privata DNS-zonen privatelink.batch.azure.com. Till exempel myaccount.<region> A <IPv4 address>.

  2. Gå till den tidigare privata DNS-zonen privatelink.<region>.batch.azure.com.

  3. Lägg till en DNS CNAME-post manuellt. Till exempel myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Viktigt

Den här manuella åtgärden behövs bara när du skapar en ny privat batchAccount-slutpunkt med privat DNS-integrering i samma virtuella nätverk som redan har länkats till den tidigare privata DNS-zonen.

Migrera tidigare privat DNS-zon till den nya zonen

Även om du kan fortsätta att använda den tidigare privata DNS-zonen med din befintliga distributionsprocess rekommenderar vi att du migrerar den till den nya zonen för enkelhetens skull i DNS-konfigurationshanteringen:

• Med den nya privata DNS-zonen privatelink.batch.azure.combehöver du inte konfigurera och hantera olika zoner för varje region med dina Batch-konton.
• När du börjar använda den nya privata nodenHantera privat slutpunkt som också använder den nya privata DNS-zonen behöver du bara hantera en enda privat DNS-zon för båda typerna av privata slutpunkter.

Du kan migrera den tidigare privata DNS-zonen med följande steg:

1. Skapa och länka den nya privata DNS-zonen privatelink.batch.azure.com till ditt virtuella nätverk.
2. Kopiera alla DNS A-poster från den tidigare privata DNS-zonen till den nya zonen:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Ta bort länken till den tidigare privata DNS-zonen från det virtuella nätverket.
4. Kontrollera DNS-matchningen i det virtuella nätverket så ska DNS-namnet för Batch-kontot fortsätta att matchas till IP-adressen för den privata slutpunkten:

nslookup myaccount.<region>.batch.azure.com

5. Börja använda den nya privata DNS-zonen med distributionsprocessen för nya privata slutpunkter.
6. Ta bort den tidigare privata DNS-zonen när migreringen har slutförts.

Prissättning

Mer information om kostnader för privata slutpunkter finns i Azure Private Link prissättning.

Aktuella begränsningar och metodtips

Tänk på följande när du skapar en privat slutpunkt med ditt Batch-konto:

• Privata slutpunktsresurser kan skapas i en annan prenumeration som Batch-kontot, men prenumerationen måste vara registrerad hos Microsoft.Batch-resursprovidern.
• Resursflytt stöds inte för privata slutpunkter med Batch-konton.
• Om en Batch-kontoresurs flyttas till en annan resursgrupp eller prenumeration kan de privata slutpunkterna fortfarande fungera, men associationen till Batch-kontot bryts. Om du tar bort den privata slutpunktsresursen finns dess associerade privata slutpunktsanslutning fortfarande i batchkontot. Du kan ta bort anslutningen manuellt från batchkontot.
• Ta bort den privata anslutningen genom att antingen ta bort den privata slutpunktsresursen eller ta bort den privata anslutningen i Batch-kontot (den här åtgärden kopplar från den relaterade privata slutpunktsresursen).
• DNS-poster i den privata DNS-zonen tas inte bort automatiskt när du tar bort en privat slutpunktsanslutning från Batch-kontot. Du måste ta bort DNS-posterna manuellt innan du lägger till en ny privat slutpunkt som är länkad till den här privata DNS-zonen. Om du inte rensar DNS-posterna kan oväntade åtkomstproblem inträffa.
• När privat slutpunkt är aktiverad för Batch-kontot stöds inte aktivitetsautentiseringstoken för Batch-aktiviteten. Lösningen är att använda Batch-pool med hanterade identiteter.

Nästa steg

• Lär dig hur du skapar Batch-pooler i virtuella nätverk.
• Lär dig hur du skapar Batch-pooler utan offentliga IP-adresser.
• Lär dig hur du konfigurerar offentlig nätverksåtkomst för Batch-konton.
• Lär dig hur du hanterar privata slutpunktsanslutningar för Batch-konton.
• Läs mer om Azure Private Link.