Key Vault'un Azure Özel Bağlantı ile tümleştirilmesi

Azure Özel Bağlantı Hizmeti, sanal ağınızdaki Özel Uç Nokta üzerinden Azure Hizmetleri'ne (örneğin Azure Key Vault, Azure Depolama ve Azure Cosmos DB) ve Azure tarafından barındırılan müşteri/iş ortağı hizmetlerine erişmenizi sağlar.

Azure Özel Uç Noktası, sizi Azure Özel Bağlantı tarafından desteklenen bir hizmete özel ve güvenli bir şekilde bağlayan bir ağ arabirimidir. Özel uç nokta, sanal ağınızdaki bir özel IP adresini kullanarak hizmeti sanal ağınıza etkili bir şekilde getirir. Hizmete giden tüm trafik özel uç nokta üzerinden yönlendirilebilir, bu nedenle ağ geçitleri, NAT cihazları, ExpressRoute veya VPN bağlantıları veya genel IP adresleri gerekmez. Sanal ağınız ile hizmet arasındaki trafik Microsoft omurga ağı üzerinden geçiş yaparak genel İnternet'ten etkilenmeyi ortadan kaldırır. Bir Azure kaynağının örneğine bağlanarak erişim denetiminde en yüksek ayrıntı düzeyini sağlayabilirsiniz.

Daha fazla bilgi için bkz. Azure Özel Bağlantı nedir?

Önkoşullar

Anahtar kasasını Azure Private Link ile birleştirmek için ihtiyacınız olacak:

• Anahtar kasası.
• Bir Azure sanal ağı.
• Sanal ağdaki bir alt ağ.
• Her iki anahtar kasası ve sanal ağ için sahip veya katkıda bulunan izinler.

Özel uç noktanız ve sanal ağınız aynı bölgede olmalıdır. Portalı kullanarak özel uç nokta için bir bölge seçtiğinizde, yalnızca bu bölgedeki sanal ağlar otomatik olarak filtrelenir. Anahtar kasanız, farklı bir bölgede olabilir.

Özel uç noktanız sanal ağınızda özel bir IP adresi kullanır.

Azure Key Vault, kasa başına özel uç nokta sayısı için sınırlar uygular. Bu sınırlar hakkında bilgi için bkz. Azure Key Vault hizmet sınırları.

Azure portalı

Azure portalını kullanarak Key Vault'a özel bağlantı oluşturma

İlk olarak, Azure portalını kullanarak sanal ağ oluşturma bölümünde yer alan adımları izleyerek bir sanal ağ oluşturun

Daha sonra yeni bir anahtar kasası oluşturabilir veya mevcut bir anahtar kasasına özel bağlantı oluşturabilirsiniz.

Yeni bir anahtar kasası oluşturma ve özel bağlantı kurulumu yapma

Azure portalı, AzureCLI veya Azure PowerShell ile yeni bir anahtar kasası oluşturabilirsiniz.

Anahtar kasası temel bilgilerini yapılandırdıktan sonra Ağ sekmesini seçin ve şu adımları izleyin:

1. Radyo düğmesini kapatarak genel erişimi devre dışı bırakın.

2. Özel uç nokta eklemek için "+ Özel uç nokta oluştur" Düğmesini seçin.

   

3. Özel Uç Nokta Oluştur Dikey Penceresinin "Konum" alanında, sanal ağınızın bulunduğu bölgeyi seçin.

4. "Ad" alanında, bu özel uç noktayı tanımlamanızı sağlayacak açıklayıcı bir ad oluşturun.

5. Açılan menüden bu özel uç noktanın oluşturulmasını istediğiniz sanal ağı ve alt ağı seçin.

6. "Özel bölge DNS'siyle tümleştir" seçeneğini değiştirmeden bırakın.

7. "Tamam" seçeneğini belirleyin.

   

Artık yapılandırılmış özel uç noktayı görebilirsiniz. Artık bu özel uç noktayı silebilir ve düzenleyebilirsiniz. "Gözden Geçir + Oluştur" düğmesini seçin ve anahtar kasasını oluşturun. Dağıtımın tamamlanması 5-10 dakika sürer.

Halihazırda mevcut olan bir anahtar kasasına özel bağlantı kurun

Zaten bir anahtar kasanız varsa, aşağıdaki adımları izleyerek özel bağlantı bağlantısı oluşturabilirsiniz:

1. Azure portalında oturum açın.

2. Arama çubuğuna 'key vaults' yazın.

3. Listeden bir özel uç nokta eklemek istediğiniz anahtar kasasını seçin.

4. Ayarlar'ın altındaki "Ağ" sekmesini seçin.

5. Sayfanın üst kısmındaki "Özel uç nokta bağlantıları" sekmesini seçin.

6. Sayfanın üst kısmındaki "+ Oluştur" düğmesini seçin.

   

7. "Proje Ayrıntıları" altında, bu öğreticinin önkoşulu olarak oluşturduğunuz sanal ağı içeren Kaynak Grubunu seçin. "Örnek ayrıntıları" altında, Ad olarak "myPrivateEndpoint" yazın ve bu öğretici için önkoşul olarak oluşturduğunuz sanal ağ ile aynı konumu seçin.

   Bu paneli kullanarak herhangi bir Azure kaynağı için özel bir uç nokta oluşturmayı seçebilirsiniz. Açılan menüleri kullanarak bir kaynak türü seçebilir ve dizininizdeki bir kaynağı seçebilir veya kaynak kimliği kullanarak herhangi bir Azure kaynağına bağlanabilirsiniz. "Özel bölge DNS'siyle tümleştir" seçeneğini değiştirmeden bırakın.

8. "Kaynaklar" paneline ilerleyin. "Kaynak türü" için "Microsoft.KeyVault/vaults" öğesini seçin; "Kaynak" için, bu öğretici için önkoşul olarak oluşturduğunuz anahtar kasasını seçin. "Hedef alt kaynak" "vault" ile otomatik olarak doldurulacak.

9. "Sanal Ağ"a ilerleyin. Bu öğreticinin önkoşulu olarak oluşturduğunuz sanal ağı ve alt ağı seçin.

10. Varsayılan ayarları kabul ederek "DNS" ve "Etiketler" menülerinde ilerleyin.

11. "Gözden Geçir + Oluştur" sayfasında "Oluştur"u seçin.

Özel uç nokta oluşturduğunuzda bağlantının onaylanması gerekir. Özel uç nokta oluşturduğunuz kaynak dizininizdeyse, yeterli izinlere sahip olmanız koşuluyla bağlantı isteğini onaylayabilirsiniz; Başka bir dizindeki bir Azure kaynağına bağlanıyorsanız, bu kaynağın sahibinin bağlantı isteğinizi onaylamasını beklemeniz gerekir.

Dört sağlama durumu vardır:

Hizmet eylemi	Hizmet tüketicisi özel uç nokta durumu	Açıklama
Hiç kimse	Beklemede	Bağlantı el ile oluşturulur ve Özel Bağlantı kaynak sahibinden onay bekliyor.
Onaylamak	Onaylandı	Bağlantı otomatik olarak veya el ile onaylandı ve kullanılmaya hazır.
Reddet	Reddedildi	Bağlantı, özel bağlantı kaynağı sahibi tarafından reddedildi.
Kaldır	Bağlantısı kesilmiş	Bağlantı özel bağlantı kaynağı sahibi tarafından kaldırıldı, özel uç nokta bilgilendirici hale geldi ve temizleme için silinmelidir.

Azure portalını kullanarak Key Vault'a özel uç nokta bağlantısını yönetme

1. Azure portalında oturum açın.

2. Arama çubuğuna "key vaults" yazın

3. Yönetmek istediğiniz anahtar kasasını seçin.

4. "Ağ Bağlantıları" sekmesini seçin.

5. Bekleyen herhangi bir bağlantı varsa, durumu "Beklemede" olarak listelenmiş bir bağlantı görürsünüz.

6. Onaylamak istediğiniz özel uç noktayı seçin

7. Onayla düğmesini seçin.

8. Reddetmek istediğiniz herhangi bir özel uç nokta bağlantısı varsa (bekleyen bir istek veya mevcut bağlantı) bağlantıyı seçin ve "Reddet" düğmesini seçin.

   

Azure CLI

CLI kullanarak Key Vault'a özel bağlantı kurma (İlk Kurulum)

az login                                                         # Login to Azure CLI
az account set --subscription <subscription-id>                  # Select your Azure Subscription
az group create -n <resource-group> -l <location>                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n <vault-name> -g <resource-group> -l <location> --enable-rbac-authorization true --enable-purge-protection true           # Create a Key Vault
az keyvault update -n <vault-name> -g <resource-group> --default-action deny # Turn on Key Vault Firewall
az network vnet create -g <resource-group> -n <vnet-name> -location <location> # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g <resource-group> --vnet-name <vnet-name> --name <subnet-name> --address-prefixes <address-prefix>

    # Disable Virtual Network Policies
az network vnet subnet update --name <subnet-name> --resource-group <resource-group> --vnet-name <vnet-name> --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group <resource-group> --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group <resource-group> --virtual-network <vnet-name> --zone-name privatelink.vaultcore.azure.net --name <dns-zone-link-name> --registration-enabled true

Özel Uç Nokta Oluşturma (Otomatik Olarak Onayla)

az network private-endpoint create --resource-group <resource-group> --vnet-name <vnet-name> --subnet <subnet-name> --name <private-endpoint-name>  --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>" --group-ids vault --connection-name <private-link-connection-name> --location <location>

Özel Uç Nokta Oluşturma (El ile Onay İste)

az network private-endpoint create --resource-group <resource-group> --vnet-name <vnet-name> --subnet <subnet-name> --name <private-endpoint-name>  --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>" --group-ids vault --connection-name <private-link-connection-name> --location <location> --manual-request

Özel Bağlantı Bağlantılarını Yönet

# Show Connection Status
az network private-endpoint show --resource-group <resource-group> --name <private-endpoint-name>

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description "<optional-description>" --resource-group <resource-group> --vault-name <vault-name> –name <private-link-connection-name>

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description "<optional-description>" --resource-group <resource-group> --vault-name <vault-name> –name <private-link-connection-name>

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group <resource-group> --vault-name <vault-name> --name <private-link-connection-name>

Özel DNS Kayıtları Ekleme

# Determine the Private Endpoint IP address
az network private-endpoint show -g <resource-group> -n <private-endpoint-name>      # look for the property networkInterfaces then id; the value must be placed on <pe-nic> below.
az network nic show --ids <pe-nic>                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on <nic-ip> below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g <resource-group>
az network private-dns record-set a add-record -g <resource-group> -z "privatelink.vaultcore.azure.net" -n <vault-name> -a <nic-ip>
az network private-dns record-set list -g <resource-group> -z "privatelink.vaultcore.azure.net"

# From home/public network, you will get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup <vault-name>.vault.azure.net
nslookup <vault-name>.privatelink.vaultcore.azure.net

Özel bağlantı bağlantısının çalıştığını doğrulayın

Özel uç nokta kaynağının aynı alt ağı içindeki kaynakların özel bir IP adresi üzerinden anahtar kasanıza bağlandığını ve doğru özel DNS bölgesi tümleştirmesine sahip olduklarını doğrulamanız gerekir.

İlk olarak, Azure portalında Windows sanal makinesi oluşturma adımlarını izleyerek bir sanal makine oluşturun

"Ağ" sekmesinde:

1. Sanal ağ ve Alt ağ belirtin. Yeni bir sanal ağ oluşturabilir veya var olan bir sanal ağı seçebilirsiniz. Mevcut bir seçeneği seçiyorsanız, bölgenin uyuştuğundan emin olun.
2. Genel IP kaynağı belirtin.
3. "NIC ağ güvenlik grubunda" "Yok" seçeneğini belirleyin.
4. "Yük dengeleme" bölümünde "Hayır" seçeneğini belirleyin.

Komut satırını açın ve aşağıdaki komutu çalıştırın:

nslookup <vault-name>.vault.azure.net

Genel uç nokta üzerinden bir anahtar kasasının IP adresini çözümlemek için ns arama komutunu çalıştırırsanız şuna benzer bir sonuç görürsünüz:

c:\ >nslookup <vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <vault-name>.vault.azure.net

Özel uç nokta üzerinden bir anahtar kasasının IP adresini çözümlemek için ns arama komutunu çalıştırırsanız şuna benzer bir sonuç görürsünüz:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <vault-name>.vault.azure.net
          <vault-name>.privatelink.vaultcore.azure.net

Sorun Giderme Kılavuzu

• Özel uç noktanın onaylanan durumda olduğundan emin olun.

  1. Bunu Azure portalda denetleyebilir ve gerekirse düzeltebilirsiniz. Key Vault kaynağını açın ve Ağ seçeneğini belirleyin.
  2. Ardından Özel uç nokta bağlantıları sekmesini seçin.
  3. Bağlantı durumunun Onaylandığını ve sağlama durumunun Başarılı olduğunu kontrol edin.
  4. Ayrıca, özel uç nokta kaynağına gidip aynı özellikleri burada gözden geçirebilir ve sanal ağın kullandığınız ağ ile eşleşip eşleşmediğini bir kez daha kontrol edebilirsiniz.

• Özel DNS Bölgesi kaynağınız olduğundan emin olun.

  1. Tam adıyla bir Özel DNS Bölgesi kaynağınız olmalıdır: privatelink.vaultcore.azure.net.
  2. Bunun nasıl ayarlandığını öğrenmek için lütfen aşağıdaki bağlantıya bakın. Özel DNS Bölgeleri

• Özel DNS Bölgesinin Sanal Ağa bağlı olduğundan emin olun. Genel IP adresini döndürmeye devam ediyorsanız bu sorun olabilir.

  1. Özel Bölge DNS'i sanal ağa bağlı değilse, sanal ağdan kaynaklanan DNS sorgusu anahtar kasasının genel IP adresini döndürür.
  2. Azure portalında Özel DNS Bölgesi kaynağına gidin ve sanal ağ bağlantıları seçeneğini belirleyin.
  3. Anahtar kasasına çağrı yapacak sanal ağ listelenmelidir.
  4. Eğer orada değilse, ekleyin.
  5. Ayrıntılı adımlar için aşağıdaki Sanal Ağı Özel DNS Bölgesine Bağlama belgesine bakın

• Özel DNS Bölgesi'nde Key Vault için bir A kaydı bulunduğundan emin olun.

  1. Özel DNS Bölgesi sayfasına gidin.
  2. Genel Bakış'ı seçin ve anahtar kasanızın basit adına (örneğin fabrikam) sahip bir A kaydı olup olmadığını denetleyin. Herhangi bir ek belirtmeyin.
  3. Yazımı denetlediğinizden emin olun ve ardından A kaydını düzeltin veya yeni bir kayıt oluşturun. 600 (10 dakika) TTL kullanabilirsiniz.
  4. Doğru özel IP adresini belirttiğinizden emin olun.

• A kaydının doğru IP Adresine sahip olduğundan emin olun.

  1. Azure portalında Özel Uç Nokta kaynağını açarak IP adresini onaylayabilirsiniz.
  2. Azure portalında Microsoft.Network/privateEndpoints kaynağına (Key Vault kaynağına değil) gidin
  3. Genel bakış sayfasında Ağ arabirimi'ni arayın ve bu bağlantıyı seçin.
  4. Bağlantı, NIC kaynağının Genel Bakış'ını gösterir ve bu genel bakışta Özel IP adresi özelliği yer alır.
  5. Bunun A kaydında belirtilen doğru IP adresi olduğunu doğrulayın.

• Şirket içi kaynaktan Key Vault'a bağlanıyorsanız, şirket içi ortamda gerekli tüm koşullu ileticilerin etkinleştirildiğinden emin olun.

  1. Gereken bölgeler için Azure Özel Uç Nokta DNS yapılandırmasını gözden geçirin ve hem vault.azure.net hem de vaultcore.azure.net için şirket içi DNS'nizde koşullu ileticileriniz olduğundan emin olun.
  2. Azure Özel DNS Çözümleyicisi'ne veya Azure çözümlemesine erişimi olan başka bir DNS platformuna yönlendiren bölgeler için koşullu ileticileriniz olduğundan emin olun.

Sınırlamalar ve TasarımLa İlgili Dikkat Edilmesi Gerekenler

Sınırlar: Bkz. Azure Özel Bağlantı sınırları

Fiyatlandırma: Bkz. Azure Özel Bağlantı fiyatlandırması.

Sınırlamalar: Bkz. Azure Özel Bağlantı hizmeti: Sınırlamalar

Sonraki Adımlar

• Azure Özel Bağlantı hakkında daha fazla bilgi edinin
• Azure Key Vault hakkında daha fazla bilgi edinin
• Özel bağlantı yapılandırma sorunlarını tanılama
• Azure Key Vault için ağ güvenliğini yapılandırma
• Azure Key Vault'unuzun güvenliğini sağlama