Ağları Azure Otomasyonu'na güvenle bağlamak için Azure Özel Bağlantı'yı kullanma

  • Makale

Azure Özel Uç Noktası sizi Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlayan bir ağ arabirimidir. Özel Uç Nokta, sanal ağınızdaki özel bir IP adresini kullanarak Otomasyon hizmetini etkin bir şekilde sanal ağınıza getirir. Sanal ağdaki makinelerle Otomasyon hesabı arasındaki ağ trafiği sanal ağın ve Microsoft omurga ağındaki bir özel bağlantının üzerinden geçtiğinden genel İnternet'te kullanıma sunulma durumu ortadan kalkar.

Örneğin, giden İnternet erişimini devre dışı bırakmış olduğunuz bir sanal ağınız var. Ancak, Otomasyon hesabınıza özel olarak erişmek ve Karma Runbook Çalışanlarında Web Kancaları, Durum Yapılandırması ve runbook işleri gibi Otomasyon özelliklerini kullanmak istiyorsunuz. Ayrıca, kullanıcıların otomasyon hesabına yalnızca sanal ağ üzerinden erişebilmesini istiyorsunuz. Özel uç nokta dağıtmak bu hedeflere ulaşır.

Bu makalede, Otomasyon hesabınızla özel uç noktanın ne zaman kullanılacağı ve nasıl ayarlanacağı açıklanır.

Conceptual overview of Private Link for Azure Automation

Dekont

Azure Otomasyonu ile Özel Bağlantı desteği yalnızca Azure Ticari ve Azure ABD Kamu bulutlarında kullanılabilir.

Avantajlar

Özel Bağlantı ile:

  • Bağlan genel ağ erişimi açmadan özel olarak Azure Otomasyonu.

  • Genel ağ erişimi açmadan Azure İzleyici Log Analytics çalışma alanına özel olarak Bağlan.

    Dekont

    Otomasyon hesabınız iş verilerini iletmek için bir Log Analytics çalışma alanına bağlıysa ve çalışma saatleri dışında Güncelleştirme Yönetimi, Değişiklik İzleme ve Envanter, Durum Yapılandırması veya VM'leri Başlatma/Durdurma gibi özellikleri etkinleştirdiğinizde Log Analytics çalışma alanınız için ayrı bir özel uç nokta gereklidir. Azure İzleyici Özel Bağlantı hakkında daha fazla bilgi için bkz. Ağları Azure İzleyici'ye güvenli bir şekilde bağlamak için Azure Özel Bağlantı kullanma.

  • Otomasyon verilerinize yalnızca yetkili özel ağlar üzerinden erişildiğinden emin olun.

  • Özel uç noktanız üzerinden bağlanan Azure Otomasyonu kaynağınızı tanımlayarak özel ağlarınızdan veri sızdırmayı önleyin.

  • ExpressRoute ve Özel Bağlantı kullanarak özel şirket içi ağınızı Azure Otomasyonu güvenli bir şekilde bağlayın.

  • Tüm trafiği Microsoft Azure omurga ağı içinde tutun.

Daha fazla bilgi için bkz. Özel Bağlantı Temel Avantajları.

Sınırlamalar

  • Geçerli Özel Bağlantı uygulamasında, Otomasyon hesabı bulut işleri, özel uç nokta kullanılarak güvenliği sağlanan Azure kaynaklarına erişemez. Örneğin, Azure Key Vault, Azure SQL, Azure Depolama hesabı vb. Bu soruna geçici bir çözüm olarak bunun yerine karma runbook çalışanı kullanın. Bu nedenle, şirket içi VM'ler Karma Runbook Çalışanlarını Özel Bağlantı etkin bir Otomasyon Hesabında çalıştırmak için desteklenir.
  • Windows veya Linux için Log Analytics aracısının en son sürümünü kullanmanız gerekir.
  • Log Analytics Ağ Geçidi Özel Bağlantı desteklemez.
  • Otomasyon hesabı Genel erişim devre dışı olarak ayarlandığında Azure uyarısı (ölçüm, günlük ve etkinlik günlüğü) Otomasyon web kancasını tetikleme amacıyla kullanılamaz.

Nasıl çalışır?

Azure Otomasyonu Özel Bağlantı bir veya birden fazla özel uç noktayı (ve dolayısıyla içinde yer aldıkları sanal ağları) Otomasyon Hesabı kaynağınıza bağlar. Bu uç noktalar, bir runbook başlatmak için web kancaları kullanan makineler, Karma Runbook Çalışanı rolünü barındıran makineler ve İstenen Durum Yapılandırması (DSC) düğümleridir.

Otomasyon için özel uç noktalar oluşturduktan sonra, genel kullanıma yönelik Otomasyon URL'lerinin her biri sanal ağınızdaki bir özel uç noktaya eşlenir. Siz veya bir makine otomasyon URL'lerine doğrudan başvurabilirsiniz.

Web kancası senaryosu

Web kancası URL'sinde POST yaparak runbook'ları başlatabilirsiniz. Örneğin, URL şöyle görünür: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Karma Runbook Çalışanı senaryosu

Azure Otomasyonu kullanıcı Karma Runbook Çalışanı özelliği, Azure Arc özellikli sunuculara kayıtlı sunucular da dahil olmak üzere runbook'ları doğrudan Azure'da veya Azure dışı makinede çalıştırmanıza olanak tanır. Rolü barındıran makineden veya sunucudan, runbook'ları doğrudan bu yerel kaynakları yönetmek için ortamdaki kaynaklara karşı çalıştırabilirsiniz.

JRDS uç noktası, karma çalışan tarafından runbook'ları başlatmak/durdurmak, runbook'ları çalışana indirmek ve iş günlüğü akışını Otomasyon hizmetine geri göndermek için kullanılır. JRDS uç noktası etkinleştirildikten sonra URL şöyle görünür: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net. Bu, Azure'a bağlı karma çalışanda runbook yürütmenin Sanal Ağ İnternet'e giden bir bağlantı açmaya gerek kalmadan işleri yürütebilmesini sağlar.

Dekont

Azure Otomasyonu için geçerli Özel Bağlantı uygulamasıyla, yalnızca Azure sanal ağına bağlı Karma Runbook Çalışanı'nda çalışan işleri destekler ve bulut işlerini desteklemez.

Güncelleştirme Yönetimi için Karma Çalışan senaryosu

Sistem Karma Runbook Çalışanı, Windows ve Linux makinelerine kullanıcı tarafından belirtilen güncelleştirmeleri yüklemek için tasarlanmış Güncelleştirme Yönetimi özelliği tarafından kullanılan bir dizi gizli runbook'u destekler. Azure Otomasyonu Güncelleştirme Yönetimi etkinleştirildiğinde Log Analytics çalışma alanınıza bağlı tüm makineler otomatik olarak sistem Karma Runbook Çalışanı olarak yapılandırılır.

Güncelleştirme Yönetimi'nin anlaşılması ve yapılandırılması için Güncelleştirme Yönetimi Hakkında'ya bakın. Güncelleştirme Yönetimi özelliğinin Log Analytics çalışma alanına bağımlılığı vardır ve bu nedenle çalışma alanının bir Otomasyon hesabıyla ilişkilendirilmesi gerekir. Log Analytics çalışma alanı, çözüm tarafından toplanan verileri depolar ve günlük aramalarını ve görünümlerini barındırmaktadır.

Makinelerinizin Güncelleştirme yönetimi için yapılandırılmasını istiyorsanız otomasyon ve Log Analytics çalışma alanına Özel Bağlantı kanal üzerinden güvenli bir şekilde bağlanacak şekilde, Özel Bağlantı ile yapılandırılan Otomasyon Hesabına bağlı Log Analytics çalışma alanı için Özel Bağlantı etkinleştirmeniz gerekir.

Log Analytics'i Yapılandırma başlığı altında açıklanan adımları izleyerek log analytics çalışma alanına Özel Bağlantı kapsamların dışından nasıl ulaşıldığını denetleyebilirsiniz. Alma için genel ağ erişimine izin ver seçeneğini Hayır olarak ayarlarsanız, bağlı kapsamların dışındaki makineler bu çalışma alanına veri yükleyemez. Sorgular için genel ağ erişimine izin ver seçeneğini Hayır olarak ayarlarsanız kapsamların dışındaki makineler bu çalışma alanında verilere erişemez.

Kullanıcı ve sistem karma çalışanları için Özel Bağlantı etkinleştirmek için DSCAndHybridWorker hedef alt kaynağını kullanın.

Dekont

Azure dışında barındırılan ve Güncelleştirme Yönetimi tarafından yönetilen ve ExpressRoute özel eşlemesi, VPN tünelleri ve özel uç noktaları kullanan eşlenmiş sanal ağlar üzerinden Azure sanal ağından bağlanan makineler Özel Bağlantı destekler.

Durum Yapılandırması (agentsvc) senaryosu

Durum Yapılandırması, herhangi bir bulut veya şirket içi veri merkezinde bulunan düğümler için PowerShell İstenen Durum Yapılandırması (DSC) yapılandırmalarını yazmanıza, yönetmenize ve derlemenize olanak tanıyan Azure yapılandırma yönetimi hizmeti sağlar.

Makinedeki aracı DSC hizmetine kaydolup DSC yapılandırmasını çekmek için hizmet uç noktasını kullanır. Aracı hizmet uç noktası şöyle görünür: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

Genel ve özel uç noktanın URL'si aynı olacaktır, ancak Özel bağlantı etkinleştirildiğinde özel bir IP adresine eşlenir.

Ağınıza göre planlama

Otomasyon hesabı kaynağınızı ayarlamadan önce ağ yalıtımı gereksinimlerinizi göz önünde bulundurun. Sanal ağlarınızın genel İnternet erişimini ve Otomasyon hesabınıza yönelik erişim kısıtlamalarını değerlendirin (Otomasyon hesabınızla tümleştirilmişse Azure İzleyici Günlüklerine Özel Bağlantı Grup Kapsamı ayarlama dahil). Ayrıca, desteklenen özelliklerin sorunsuz çalıştığından emin olmak için planınızın bir parçası olarak Otomasyon hizmeti DNS kayıtlarının gözden geçirilmesini de ekleyin.

Özel uç noktaya Bağlan

Otomasyon hesabınız için özel bir uç nokta oluşturmak için aşağıdaki adımları izleyin.

  1. Ağımızı bağlamak üzere özel bir uç nokta oluşturmak için Azure portalında Özel Bağlantı merkezine gidin.

  2. Özel Bağlantı Center'da Özel uç nokta oluştur'u seçin.

    Screenshot of how to create a private endpoint.

  3. Temel Bilgiler'de aşağıdaki ayrıntıları girin:

    • Abonelik
    • Kaynak grubu
    • Adı
    • Ağ Arabirimi Adı
    • Bölge'yi seçin ve İleri: Kaynak'ı seçin.

    Screenshot of how to create a private endpoint in Basics tab.

  4. Kaynak'ta aşağıdaki ayrıntıları girin:

    • Bağlan ion yönteminde varsayılan seçeneği belirleyin- dizinimdeki bir Azure kaynağına Bağlan.
    • Abonelik
    • Kaynak türü
    • Kaynak.
    • Hedef alt kaynağı senaryonuza göre Web kancası veya DSCAndHybridWorker olabilir ve İleri : Sanal Ağ'ı seçin.

    Screenshot of how to create a private endpoint in Resource tab.

  5. Sanal Ağ aşağıdaki ayrıntıları girin:

    • Sanal ağ
    • Alt ağ
    • Bu alt ağdaki tüm özel uç noktalar için ağ ilkelerini etkinleştir onay kutusunu etkinleştirin.
    • IP adresini dinamik olarak ayır'ı ve ardından İleri : DNS'yi seçin.

    Screenshot of how to create a private endpoint in Virtual network tab.

  6. DNS'de veriler Temel Bilgiler, Kaynak, Sanal Ağ sekmelerine girilen bilgilere göre doldurulur ve Özel DNS bir bölge oluşturur. Aşağıdakileri ayrıntıları girin:

    • Özel DNS Bölgesi ile tümleştirme
    • Abonelik
    • Kaynak grubu ve İleri: Etiketler'i seçin

    Screenshot of how to create a private endpoint in DNS tab.

  7. Etiketler'de kaynakları kategorilere ayırabilirsiniz. Ad ve Değer'i seçin ve Gözden geçir + oluştur'u seçin.

Azure'ın yapılandırmanızı doğruladığı Gözden Geçir ve oluştur sayfasına yönlendirilirsiniz. Genel Ağ Erişimi ve Özel Bağlantı değişiklikleriniz uygulandıktan sonra bunların geçerlilik kazanması 35 dakika kadar sürebilir.

özel bağlantı kaynağınızı görüntülemek için Özel Bağlantı Merkezi'nde Özel uç noktalar'ı seçin.

Screenshot Automation resource private link.

Tüm ayrıntıları görmek için kaynağı seçin. Bu, Otomasyon hesabınız için yeni bir özel uç nokta oluşturur ve sanal ağınızdan özel bir IP atar. Bağlan durumu onaylandı olarak gösterilir.

Benzer şekilde, Durum Yapılandırması (agentsvc) ve Karma Runbook Çalışanı iş çalışma zamanı (jrds) için benzersiz bir tam etki alanı adı (FQDN) oluşturulur. Her birine sanal ağınızdan ayrı bir IP atanır ve Bağlan ion durumu onaylandı olarak gösterilir.

Hizmet tüketicisinin Otomasyon kaynağı üzerinde Azure RBAC izinleri varsa otomatik onay yöntemini seçebilir. Bu durumda, istek Otomasyon sağlayıcısı kaynağına ulaştığında, hizmet sağlayıcısından herhangi bir eylem gerekmez ve bağlantı otomatik olarak onaylanır.

Genel ağ erişim bayraklarını ayarlama

Otomasyon hesabını tüm genel yapılandırmaları reddedecek ve ağ güvenliğini daha da geliştirmek için yalnızca özel uç noktalar üzerinden bağlantılara izin verecek şekilde yapılandırabilirsiniz. Otomasyon hesabına erişimi yalnızca sanal ağ içinden kısıtlamak ve genel İnternet'ten erişime izin vermek istemiyorsanız, özelliğini olarak $falseayarlayabilirsinizpublicNetworkAccess.

Genel Ağ Erişimi ayarı olarak $falseayarlandığında, yalnızca özel uç noktalar üzerinden bağlantılara izin verilir ve genel uç noktalar üzerinden yapılan tüm bağlantılara yetkisiz hata iletisi ve HTTP durumu 401 ile reddedilir.

Aşağıdaki PowerShell betiği, Otomasyon hesabı düzeyinde nasıl yapılacağını Get ve SetGenel Ağ Erişimi özelliğini gösterir:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false -Force
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

Azure portalından genel ağ erişim özelliğini de denetleyebilirsiniz. Otomasyon Hesabınızdan, Hesap Ayarlar bölümünün altındaki sol bölmeden Ağ Yalıtımı'nı seçin. Genel Ağ Erişimi ayarı Hayır olarak ayarlandığında, yalnızca özel uç noktalar üzerinden bağlantılara izin verilir ve genel uç noktalar üzerinden yapılan tüm bağlantılar reddedilir.

Public Network Access setting

DNS yapılandırması

bağlantı dizesi bir parçası olarak tam etki alanı adı (FQDN) kullanarak özel bağlantı kaynağına bağlanırken, DNS ayarlarınızı ayrılmış özel IP adresine çözüm olacak şekilde doğru şekilde yapılandırmanız önemlidir. Mevcut Azure hizmetlerinin genel uç nokta üzerinden bağlanırken kullanılacak bir DNS yapılandırması zaten olabilir. DNS yapılandırmanız gözden geçirilmeli ve özel uç noktanızı kullanarak bağlanacak şekilde güncelleştirilmelidir.

Özel uç noktayla ilişkilendirilmiş ağ arabirimi, FQDN ve belirli bir özel bağlantı kaynağı için ayrılan özel IP adresleri de dahil olmak üzere DNS'nizi yapılandırmak için gereken tüm bilgileri içerir.

Özel uç noktalar için DNS ayarlarınızı yapılandırmak için aşağıdaki seçenekleri kullanabilirsiniz:

  • Ana bilgisayar dosyasını kullanın (yalnızca test için önerilir). Önce ad çözümlemesi için DNS kullanarak geçersiz kılmak üzere sanal makinedeki konak dosyasını kullanabilirsiniz. DNS girdiniz aşağıdaki örneğe benzer olmalıdır: privatelinkFQDN.jrds.sea.azure-automation.net.

  • Özel bir DNS bölgesi kullanın. Belirli bir özel uç nokta için DNS çözümlemesini geçersiz kılmak için özel DNS bölgeleri kullanabilirsiniz. Bir özel DNS bölgesi belirli etki alanlarını çözümlemek için sanal ağınıza bağlanabilir. Sanal makinenizdeki aracının özel uç nokta üzerinden iletişim kurmasını sağlamak için olarak privatelink.azure-automation.netbir Özel DNS kaydı oluşturun. Özel uç noktanın IP'sine yeni bir DNS A kaydı eşlemesi ekleyin.

  • DNS ileticinizi kullanın (isteğe bağlı). DNS ileticinizi kullanarak belirli bir özel bağlantı kaynağının DNS çözümlemesini geçersiz kılabilirsiniz. DNS sunucunuz bir sanal ağda barındırılıyorsa, tüm özel bağlantı kaynaklarının yapılandırmasını basitleştirmek üzere özel DNS bölgesi kullanmak üzere bir DNS iletme kuralı oluşturabilirsiniz.

Daha fazla bilgi için bkz. Azure Özel Uç Nokta DNS yapılandırması.

Sonraki adımlar

Özel Uç Nokta hakkında daha fazla bilgi edinmek için bkz . Azure Özel Uç Noktası nedir?.