Key Vault'u Azure Özel Bağlantı ile tümleştirme

Makale
01/30/2024

Azure Özel Bağlantı Hizmeti, Azure Hizmetleri'ne (örneğin, Azure Key Vault, Azure Depolama ve Azure Cosmos DB) ve Azure'da barındırılan müşteri/iş ortağı hizmetlerine sanal ağınızdaki Özel Uç Nokta üzerinden erişmenizi sağlar.

Azure Özel Uç Noktası, sizi özel ve güvenli bir şekilde Azure Özel Bağlantı tarafından desteklenen bir hizmete bağlayan bir ağ arabirimidir. Özel uç nokta, sanal ağınızdan bir özel IP adresi kullanarak hizmeti etkili bir şekilde sanal ağınıza getirir. Hizmete giden tüm trafik özel uç nokta üzerinden yönlendirilebilir, bu nedenle ağ geçitleri, NAT cihazları, ExpressRoute veya VPN bağlantıları veya genel IP adresleri gerekmez. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Bir Azure kaynağının örneğine bağlanarak erişim denetiminde en yüksek ayrıntı düzeyini sağlayabilirsiniz.

Daha fazla bilgi için bkz. Azure Özel Bağlantı nedir?

Önkoşullar

Bir anahtar kasasını Azure Özel Bağlantı ile tümleştirmek için şunları yapmanız gerekir:

Bir anahtar kasası.
Bir Azure sanal ağı.
Sanal ağdaki bir alt ağ.
Hem anahtar kasası hem de sanal ağ için sahip veya katkıda bulunan izinleri.

Özel uç noktanız ve sanal ağınız aynı bölgede olmalıdır. Portalı kullanarak özel uç nokta için bir bölge seçtiğinizde, yalnızca o bölgedeki sanal ağlar otomatik olarak filtrelenir. Anahtar kasanız farklı bir bölgede olabilir.

Özel uç noktanız sanal ağınızda özel bir IP adresi kullanır.

Azure portalı
Azure CLI

Azure portal kullanarak Key Vault özel bağlantı kurma

İlk olarak, Azure portal kullanarak sanal ağ oluşturma bölümündeki adımları izleyerek bir sanal ağ oluşturun

Daha sonra yeni bir anahtar kasası oluşturabilir veya var olan bir anahtar kasasına özel bağlantı oluşturabilirsiniz.

Yeni bir anahtar kasası oluşturma ve özel bağlantı bağlantısı kurma

Azure portal, Azure CLI veya Azure PowerShell ile yeni bir anahtar kasası oluşturabilirsiniz.

Anahtar kasası temel bilgilerini yapılandırdıktan sonra Ağ sekmesini seçin ve şu adımları izleyin:

Radyo düğmesini kapatarak genel erişimi devre dışı bırakın.
Özel uç nokta eklemek için "+ Özel uç nokta oluştur" Düğmesini seçin.
Özel Uç Nokta Oluştur Dikey Penceresinin "Konum" alanında sanal ağınızın bulunduğu bölgeyi seçin.
"Ad" alanında, bu özel uç noktayı tanımlamanızı sağlayacak açıklayıcı bir ad oluşturun.
Açılan menüden bu özel uç noktanın oluşturulmasını istediğiniz sanal ağı ve alt ağı seçin.
"Özel bölge DNS'siyle tümleştir" seçeneğini değiştirmeden bırakın.
"Tamam"ı seçin.

Artık yapılandırılan özel uç noktayı görebilirsiniz. Artık bu özel uç noktayı silebilir ve düzenleyebilirsiniz. "Gözden Geçir + Oluştur" düğmesini seçin ve anahtar kasasını oluşturun. Dağıtımın tamamlanması 5-10 dakika sürer.

Mevcut bir anahtar kasasına özel bağlantı kurma

Zaten bir anahtar kasanız varsa, aşağıdaki adımları izleyerek özel bağlantı bağlantısı oluşturabilirsiniz:

Azure portalında oturum açın.
Arama çubuğuna "anahtar kasaları" yazın.
Özel uç nokta eklemek istediğiniz listeden anahtar kasasını seçin.
Ayarlar'ın altındaki "Ağ" sekmesini seçin.
Sayfanın üst kısmındaki "Özel uç nokta bağlantıları" sekmesini seçin.
Sayfanın üst kısmındaki "+ Oluştur" düğmesini seçin.
"Proje Ayrıntıları" altında, bu öğreticinin önkoşulu olarak oluşturduğunuz sanal ağı içeren Kaynak Grubunu seçin. "Örnek ayrıntıları" altında Ad olarak "myPrivateEndpoint" yazın ve bu öğreticinin önkoşulu olarak oluşturduğunuz sanal ağ ile aynı konumu seçin.

Bu dikey pencereyi kullanarak herhangi bir Azure kaynağı için özel uç nokta oluşturmayı seçebilirsiniz. Açılan menüleri kullanarak bir kaynak türü seçebilir ve dizininizdeki bir kaynağı seçebilir veya kaynak kimliği kullanarak herhangi bir Azure kaynağına bağlanabilirsiniz. "Özel bölge DNS'siyle tümleştir" seçeneğini değiştirmeden bırakın.
"Kaynaklar" dikey penceresine ilerleyin. "Kaynak türü" için "Microsoft.KeyVault/vaults" öğesini seçin; "Kaynak" için bu öğreticinin önkoşulu olarak oluşturduğunuz anahtar kasasını seçin. "Hedef alt kaynak", "kasa" ile otomatik olarak doldurulur.
"Sanal Ağ" öğesine ilerleyin. Bu öğreticinin önkoşulu olarak oluşturduğunuz sanal ağı ve alt ağı seçin.
Varsayılanları kabul ederek "DNS" ve "Etiketler" dikey pencerelerinde ilerleyin.
"Gözden Geçir + Oluştur" dikey penceresinde "Oluştur"u seçin.

Özel uç nokta oluşturduğunuzda bağlantının onaylanması gerekir. Özel uç nokta oluşturduğunuz kaynak dizininizdeyse, yeterli izinlere sahip olmanız koşuluyla bağlantı isteğini onaylayabilirsiniz; Başka bir dizindeki bir Azure kaynağına bağlanıyorsanız, bu kaynağın sahibinin bağlantı isteğinizi onaylamasını beklemeniz gerekir.

Dört sağlama durumu vardır:

Hizmet eylemi	Hizmet tüketicisi özel uç nokta durumu	Açıklama
Hiçbiri	Beklemede	Bağlantı el ile oluşturulur ve Özel Bağlantı kaynak sahibinden onay bekliyor.
Onaylama	Onaylandı	Bağlantı otomatik olarak veya el ile onaylandı ve kullanılmaya hazır.
Reddet	Reddedildi	Bağlantı, özel bağlantı kaynağı sahibi tarafından reddedildi.
Kaldır	Bağlantı kesildi	Bağlantı özel bağlantı kaynağı sahibi tarafından kaldırıldı, özel uç nokta bilgilendirici hale gelir ve temizleme için silinmelidir.

Azure portal kullanarak Key Vault özel uç nokta bağlantısını yönetme

Azure portalında oturum açın.
Arama çubuğuna "anahtar kasaları" yazın
Yönetmek istediğiniz anahtar kasasını seçin.
"Ağ" sekmesini seçin.
Bekleyen bağlantılar varsa, sağlama durumunda "Beklemede" ile listelenen bir bağlantı görürsünüz.
Onaylamak istediğiniz özel uç noktayı seçin
Onayla düğmesini seçin.
Reddetmek istediğiniz herhangi bir özel uç nokta bağlantısı varsa (bekleyen bir istek veya mevcut bağlantı) bağlantıyı seçin ve "Reddet" düğmesini seçin.

CLI kullanarak Key Vault özel bağlantı kurma (İlk Kurulum)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Özel Uç Nokta Oluşturma (Otomatik Olarak Onayla)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Özel Uç Nokta Oluşturma (El ile Onay İste)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Özel Bağlantı Bağlantılarını Yönetme

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Özel DNS Kayıtları Ekle

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Özel bağlantı bağlantısının çalıştığını doğrulama

Özel uç nokta kaynağının aynı alt ağı içindeki kaynakların özel BIR IP adresi üzerinden anahtar kasanıza bağlandığını ve doğru özel DNS bölgesi tümleştirmesine sahip olduklarını doğrulamanız gerekir.

İlk olarak, Azure portal Windows sanal makinesi oluşturma bölümündeki adımları izleyerek bir sanal makine oluşturun

"Ağ" sekmesinde:

Sanal ağ ve Alt Ağ'ı belirtin. Yeni bir sanal ağ oluşturabilir veya var olan bir sanal ağı seçebilirsiniz. Mevcut bir bölge seçilirse, bölgenin eşleştiğinden emin olun.
Bir Genel IP kaynağı belirtin.
"NIC ağ güvenlik grubunda" "Yok" seçeneğini belirleyin.
"Yük dengeleme" bölümünde "Hayır" seçeneğini belirleyin.

Komut satırını açın ve aşağıdaki komutu çalıştırın:

nslookup <your-key-vault-name>.vault.azure.net

Ortak uç nokta üzerinden bir anahtar kasasının IP adresini çözümlemek için ns arama komutunu çalıştırırsanız şuna benzer bir sonuç görürsünüz:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Özel uç nokta üzerinden bir anahtar kasasının IP adresini çözümlemek için ns arama komutunu çalıştırırsanız şuna benzer bir sonuç görürsünüz:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Sorun Giderme Kılavuzu

Özel uç noktanın onaylanan durumda olduğundan emin olun.
1. Bunu Azure portalda denetleyebilir ve gerekirse düzeltebilirsiniz. Key Vault kaynağını açın ve Ağ seçeneğini belirleyin.
2. Ardından Özel uç nokta bağlantıları sekmesini seçin.
3. Bağlantı durumunun Onaylanmış, sağlama durumunun da Başarılı olduğundan emin olun.
4. Ayrıca özel uç nokta kaynağına gidip aynı özellikleri burada gözden geçirebilir ve sanal ağın kullandığınız ağ ile eşleşip eşleşmediğini bir kez daha kontrol edebilirsiniz.
Özel DNS Bölgesi kaynağınız olduğundan emin olun.
1. Tam adıyla bir Özel DNS Bölgesi kaynağınız olmalıdır: privatelink.vaultcore.azure.net.
2. Bunun nasıl ayarlandığını öğrenmek için lütfen aşağıdaki bağlantıya bakın. Özel DNS Bölgeleri
Özel DNS Bölgesinin Sanal Ağ bağlı olduğundan emin olun. Genel IP adresini döndürmeye devam ediyorsanız bu sorun olabilir.
1. Özel Bölge DNS'i sanal ağa bağlı değilse, sanal ağdan kaynaklanan DNS sorgusu anahtar kasasının genel IP adresini döndürür.
2. Azure portal Özel DNS Bölgesi kaynağına gidin ve sanal ağ bağlantıları seçeneğini belirleyin.
3. Açılan listede anahtar kasasına çağrı yapacak olan sanal ağ da bulunmalıdır.
4. Yoksa ekleyin.
5. Ayrıntılı adımlar için aşağıdaki Özel DNS Bölgesine bağlantı Sanal Ağ belgesine bakın
Özel DNS Bölgesi'nde anahtar kasası için bir A kaydı eksik olmadığından emin olun.
1. Özel DNS Bölgesi sayfasına gidin.
2. Genel Bakış'ı seçin ve anahtar kasanızın basit adına (fabrikam) sahip bir A kaydı olup olmadığını denetleyin. Sonek belirtmeyin.
3. Yazımı denetleyin ve A kaydını düzeltin veya yeni bir kayıt oluşturun. 600 (10 dakika) TTL kullanabilirsiniz.
4. Doğru özel IP adresini belirttiğinizden emin olun.
A kaydının doğru IP Adresine sahip olduğundan emin olun.
1. Azure portal'de Özel Uç Nokta kaynağını açarak IP adresini onaylayabilirsiniz.
2. Azure portalında Microsoft.Network/privateEndpoints kaynağına (Key Vault kaynağına değil) gidin
3. Genel bakış sayfasında Ağ arabirimi'ni arayın ve bu bağlantıyı seçin.
4. Bağlantıya tıkladığınızda açılan NIC kaynağı Genel Bakış sayfasında Özel IP adresi yer alır.
5. Bunun A kaydında belirtilen doğru IP adresi olduğunu doğrulayın.
Şirket içi bir kaynaktan bir Key Vault bağlanıyorsanız, şirket içi ortamda gerekli tüm koşullu ileticilerin etkinleştirildiğinden emin olun.
1. Gereken bölgeler için Azure Özel Uç Nokta DNS yapılandırmasını gözden geçirin ve hem hem de vault.azure.netvaultcore.azure.net şirket içi DNS'niz için koşullu ileticileriniz olduğundan emin olun.
2. Azure Özel DNS Çözümleyicisi'ne veya Azure çözümlemesine erişimi olan başka bir DNS platformuna yönlendiren bölgeler için koşullu ileticileriniz olduğundan emin olun.