Integrera Key Vault med Azure Private Link

Artikel
01/30/2024

Azure Private Link Service kan du komma åt Azure-tjänster (till exempel Azure Key Vault, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.

En privat Azure-slutpunkt är ett nätverksgränssnitt som ansluter dig privat och säkert till en tjänst som drivs av Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk som effektivt flyttar tjänsten till ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar, eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.

Mer information finns i Vad är Azure Private Link?

Förutsättningar

Om du vill integrera ett nyckelvalv med Azure Private Link behöver du:

Ett nyckelvalv.
Ett virtuellt Azure-nätverk.
Ett undernät i det virtuella nätverket.
Ägar- eller deltagarbehörigheter för både nyckelvalvet och det virtuella nätverket.

Din privata slutpunkt och ditt virtuella nätverk måste finnas i samma region. När du väljer en region för den privata slutpunkten med hjälp av portalen filtreras endast virtuella nätverk som finns i den regionen automatiskt. Ditt nyckelvalv kan finnas i en annan region.

Din privata slutpunkt använder en privat IP-adress i ditt virtuella nätverk.

Azure-portalen
Azure CLI

Upprätta en privat länkanslutning till Key Vault med hjälp av Azure Portal

Skapa först ett virtuellt nätverk genom att följa stegen i Skapa ett virtuellt nätverk med hjälp av Azure Portal

Sedan kan du antingen skapa ett nytt nyckelvalv eller upprätta en privat länkanslutning till ett befintligt nyckelvalv.

Skapa ett nytt nyckelvalv och upprätta en privat länkanslutning

Du kan skapa ett nytt nyckelvalv med Azure Portal, Azure CLI eller Azure PowerShell.

När du har konfigurerat grunderna för nyckelvalvet väljer du fliken Nätverk och följer dessa steg:

Inaktivera offentlig åtkomst genom att växla från radioknappen.
Välj knappen "+ Skapa en privat slutpunkt" för att lägga till en privat slutpunkt.
I fältet "Plats" på bladet Skapa privat slutpunkt väljer du den region där det virtuella nätverket finns.
I fältet Namn skapar du ett beskrivande namn som gör att du kan identifiera den här privata slutpunkten.
Välj det virtuella nätverk och undernät som du vill att den privata slutpunkten ska skapas i i listrutan.
Lämna alternativet "integrera med den privata zonen DNS" oförändrat.
Välj "Ok".

Nu kan du se den konfigurerade privata slutpunkten. Nu kan du ta bort och redigera den här privata slutpunkten. Välj knappen Granska + skapa och skapa nyckelvalvet. Det tar 5–10 minuter för distributionen att slutföras.

Upprätta en privat länkanslutning till ett befintligt nyckelvalv

Om du redan har ett nyckelvalv kan du skapa en privat länkanslutning genom att följa dessa steg:

Logga in på Azure-portalen.
I sökfältet skriver du in "key vaults".
Välj nyckelvalvet i listan där du vill lägga till en privat slutpunkt.
Välj fliken Nätverk under Inställningar.
Välj fliken Privata slutpunktsanslutningar överst på sidan.
Välj knappen "+ Skapa" längst upp på sidan.
Under Projektinformation väljer du den resursgrupp som innehåller det virtuella nätverk som du skapade som en förutsättning för den här självstudien. Under "Instansinformation" anger du "myPrivateEndpoint" som Namn och väljer samma plats som det virtuella nätverk som du skapade som en förutsättning för den här självstudien.

Du kan välja att skapa en privat slutpunkt för alla Azure-resurser på det här bladet. Du kan antingen använda de nedrullningsbara menyerna för att välja en resurstyp och välja en resurs i katalogen, eller så kan du ansluta till valfri Azure-resurs med hjälp av ett resurs-ID. Lämna alternativet "integrera med den privata zonen DNS" oförändrat.
Gå vidare till bladet "Resurser". För "Resurstyp" väljer du "Microsoft.KeyVault/vaults"; för "Resurs" väljer du nyckelvalvet som du skapade som en förutsättning för den här självstudien. "Underresurs för mål" fylls i automatiskt med "valv".
Gå vidare till "Virtual Network". Välj det virtuella nätverk och undernät som du skapade som en förutsättning för den här självstudien.
Gå igenom bladen "DNS" och "Taggar" och acceptera standardvärdena.
På bladet Granska + skapa väljer du "Skapa".

När du skapar en privat slutpunkt måste anslutningen godkännas. Om resursen som du skapar en privat slutpunkt för finns i din katalog kan du godkänna anslutningsbegäran förutsatt att du har tillräckliga behörigheter. Om du ansluter till en Azure-resurs i en annan katalog måste du vänta tills resursens ägare har godkänt din anslutningsbegäran.

Det finns fyra etableringstillstånd:

Tjänståtgärd	Tjänstkonsumentens privata slutpunktstillstånd	Beskrivning
Ingen	Väntar	Anslutningen skapas manuellt och väntar på godkännande från Private Link resursägare.
Godkänn	Godkända	Anslutningen godkändes automatiskt eller manuellt och är redo att användas.
Avvisa	Avslagen	Anslutningen avvisades av resursägaren för den privata länken.
Ta bort	Frånkopplad	Anslutningen togs bort av resursägaren för den privata länken, den privata slutpunkten blir informativ och bör tas bort för rensning.

Hantera en privat slutpunktsanslutning till Key Vault med hjälp av Azure Portal

Logga in på Azure Portal.
I sökfältet skriver du in "nyckelvalv"
Välj det nyckelvalv som du vill hantera.
Välj fliken Nätverk.
Om det finns några anslutningar som väntar visas en anslutning med "Väntar" i etableringstillståndet.
Välj den privata slutpunkt som du vill godkänna
Välj knappen Godkänn.
Om det finns några privata slutpunktsanslutningar som du vill avvisa, oavsett om det är en väntande begäran eller befintlig anslutning, väljer du anslutningen och väljer knappen Avvisa.

Upprätta en privat länkanslutning till Key Vault med CLI (inledande installation)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Skapa en privat slutpunkt (godkänn automatiskt)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Skapa en privat slutpunkt (begär godkännande manuellt)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Hantera Private Link anslutningar

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Lägga till Privat DNS poster

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Kontrollera att den privata länkanslutningen fungerar

Du bör kontrollera att resurserna i samma undernät för den privata slutpunktsresursen ansluter till nyckelvalvet via en privat IP-adress och att de har rätt privat DNS-zonintegrering.

Skapa först en virtuell dator genom att följa stegen i Skapa en virtuell Windows-dator i Azure Portal

På fliken Nätverk:

Ange Virtuellt nätverk och undernät. Du kan skapa ett nytt virtuellt nätverk eller välja ett befintligt nätverk. Om du väljer en befintlig kontrollerar du att regionen matchar.
Ange en offentlig IP-resurs.
I nätverkssäkerhetsgruppen "NIC" väljer du "Ingen".
I "Belastningsutjämning" väljer du "Nej".

Öppna kommandoraden och kör följande kommando:

nslookup <your-key-vault-name>.vault.azure.net

Om du kör ns-uppslagskommandot för att matcha IP-adressen för ett nyckelvalv över en offentlig slutpunkt visas ett resultat som ser ut så här:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Om du kör kommandot ns lookup för att matcha IP-adressen för ett nyckelvalv över en privat slutpunkt visas ett resultat som ser ut så här:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Felsökningsguide

Kontrollera att den privata slutpunkten är i godkänt tillstånd.
1. Du kan kontrollera och åtgärda detta i Azure Portal. Öppna resursen Key Vault och välj alternativet Nätverk.
2. Välj sedan fliken Privata slutpunktsanslutningar.
3. Kontrollera att anslutningsstatus är Godkänd och att etableringsstatus är Slutförd.
4. Du kan också navigera till den privata slutpunktsresursen och granska samma egenskaper där, och dubbelkolla att det virtuella nätverket matchar det du använder.
Kontrollera att du har en Privat DNS Zone-resurs.
1. Du måste ha en Privat DNS Zone-resurs med det exakta namnet: privatelink.vaultcore.azure.net.
2. Information om hur du konfigurerar detta finns i följande länk. Privat DNS zoner
Kontrollera att Privat DNS Zone är länkad till Virtual Network. Det här kan vara problemet om du fortfarande får den offentliga IP-adressen returnerad.
1. Om DNS för den privata zonen inte är länkad till det virtuella nätverket returnerar DNS-frågan från det virtuella nätverket nyckelvalvets offentliga IP-adress.
2. Gå till resursen Privat DNS Zone i Azure Portal och välj alternativet för länkar till virtuella nätverk.
3. Det virtuella nätverk som ska utföra anrop till nyckelvalvet måste finnas i listan.
4. Om det inte finns där måste du lägga till det.
5. Detaljerade steg finns i följande dokument Länka Virtual Network till Privat DNS Zone
Kontrollera att Privat DNS Zone inte saknar en A-post för nyckelvalvet.
1. Gå till sidan Privat DNS Zon.
2. Välj Översikt och kontrollera om det finns en A-post med det enkla namnet på ditt nyckelvalv (t.ex. fabrikam). Ange inget suffix.
3. Kontrollera stavningen och skapa eller åtgärda A-posten. Du kan använda en TTL på 600 (10 minuter).
4. Se till att du anger rätt privat IP-adress.
Kontrollera att A-posten har rätt IP-adress.
1. Du kan bekräfta IP-adressen genom att öppna den privata slutpunktsresursen i Azure Portal.
2. Gå till resursen Microsoft.Network/privateEndpoints i Azure Portal (inte Key Vault-resursen)
3. På översiktssidan letar du efter Nätverksgränssnitt och väljer den länken.
4. Länken visar översikten för nätverkskortresursen, som innehåller egenskapen Privat IP-adress.
5. Kontrollera att det är rätt IP-adress som anges i A-posten.
Om du ansluter från en lokal resurs till en Key Vault kontrollerar du att alla nödvändiga villkorliga vidarebefordrare i den lokala miljön är aktiverade.
1. Granska DNS-konfigurationen för privata Slutpunkter i Azure för de zoner som behövs och se till att du har villkorsstyrda vidarebefordrare för både vault.azure.net och vaultcore.azure.net för din lokala DNS.
2. Se till att du har villkorsstyrda vidarebefordrare för de zoner som dirigeras till en Azure Privat DNS Resolver eller någon annan DNS-plattform med åtkomst till Azure-lösning.