Yönetilen HSM'yi Azure Özel Bağlantı ile tümleştirme

  • Makale

Azure Özel Bağlantı Hizmeti, Azure Hizmetleri'ne (yönetilen HSM, Azure Depolama ve Azure Cosmos DB gibi) ve Azure tarafından barındırılan müşteri/iş ortağı hizmetlerine sanal ağınızdaki özel uç nokta üzerinden erişmenizi sağlar.

Azure Özel Uç Noktası, sizi Azure Özel Bağlantı tarafından desteklenen bir hizmete özel ve güvenli bir şekilde bağlayan bir ağ arabirimidir. Özel uç nokta, sanal ağınızdan bir özel IP adresi kullanarak hizmeti etkili bir şekilde sanal ağınıza getirir. Hizmete giden tüm trafik özel uç nokta üzerinden yönlendirilebilir, bu nedenle ağ geçitleri, NAT cihazları, ExpressRoute veya VPN bağlantıları veya genel IP adresleri gerekmez. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Bir Azure kaynağının örneğine bağlanarak erişim denetiminde en yüksek ayrıntı düzeyini sağlayabilirsiniz.

Daha fazla bilgi için bkz. Azure Özel Bağlantı nedir?

Dekont

Yönetilen HSM şu anda IP kurallarını veya Sanal Ağ Hizmet Uç Noktalarını desteklemiyor

Önkoşullar

Yönetilen bir HSM'yi Azure Özel Bağlantı ile tümleştirmek için aşağıdakiler gerekir:

  • Yönetilen HSM. Daha fazla ayrıntı için bkz . Azure CLI kullanarak yönetilen HSM sağlama ve etkinleştirme.
  • Bir Azure sanal ağı.
  • Sanal ağdaki bir alt ağ.
  • Hem yönetilen HSM hem de sanal ağ için sahip veya katkıda bulunan izinleri.
  • Azure CLI sürüm 2.25.0 veya üzeri. Sürümü bulmak için az --version komutunu çalıştırın. Yükleme veya yükseltme yapmanız gerekirse bkz. Azure CLI'yı yükleme.

Özel uç noktanız ve sanal ağınız aynı bölgede olmalıdır. Portalı kullanarak özel uç nokta için bir bölge seçtiğinizde, yalnızca bu bölgedeki sanal ağlar otomatik olarak filtrelenir. HSM'niz farklı bir bölgede olabilir.

Özel uç noktanız sanal ağınızda özel bir IP adresi kullanır.

az login                                                                   # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                            # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                            # Create a new Resource Group
az provider register -n Microsoft.KeyVault                                 # Register KeyVault as a provider
az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny # Turn on firewall

az network vnet create -g {RG} -n {vNet NAME} --location {REGION}           # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.managedhsm.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.managedhsm.azure.net --name {dnsZoneLinkName} --registration-enabled true

Güvenilen hizmetlerin Yönetilen HSM'ye erişmesine izin ver

Güvenlik duvarı açıldığında, genel İnternet ve Azure hizmetleri de dahil olmak üzere özel uç nokta bağlantısı kullanmayan herhangi bir konumdan HSM'ye tüm erişim reddedilir. Microsoft hizmetleri Yönetilen HSM'nizdeki anahtarlarınıza erişmesine izin vermek istiyorsanız seçeneği kullanın--bypass AzureServices. Tek tek varlıkların (Azure Depolama hesabı veya Azure SQL Server gibi) bir anahtara erişebilmesi için belirli rol atamalarına sahip olması gerekir.

Dekont

Yalnızca belirli güvenilen hizmetler kullanım senaryoları desteklenir. Daha fazla ayrıntı için güvenilen hizmet kullanım senaryoları listesine bakın.

az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny --bypass AzureServices

Özel Uç Nokta Oluşturma (Otomatik Olarak Onayla)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION}

Dekont

Bu HSM'yi silerseniz özel uç nokta çalışmayı durdurur. Bu HSM'yi daha sonra kurtarırsanız (geri alırsanız), yeni bir özel uç noktayı yeniden oluşturmanız gerekir.

Özel Uç Nokta Oluşturma (El ile Onay İste)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --hsm-name {HSM NAME} --name {PRIVATE LINK CONNECTION NAME}

Özel DNS Kayıtları Ekle

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.managedhsm.azure.net" -n {HSM NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.managedhsm.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {HSM NAME}.managedhsm.azure.net
nslookup {HSM NAME}.privatelink.managedhsm.azure.net

Özel uç nokta kaynağının aynı alt ağındaki kaynakların özel bir IP adresi üzerinden HSM'nize bağlandığını ve doğru özel DNS bölgesi tümleştirmesine sahip olduklarını doğrulamanız gerekir.

İlk olarak, Azure portalında Windows sanal makinesi oluşturma adımlarını izleyerek bir sanal makine oluşturun

"Ağ" sekmesinde:

  1. Sanal ağ ve Alt ağ belirtin. Yeni bir sanal ağ oluşturabilir veya var olan bir sanal ağı seçebilirsiniz. Mevcut bir bölge seçiyorsanız, bölgenin eşleştiğinden emin olun.
  2. Genel IP kaynağı belirtin.
  3. "NIC ağ güvenlik grubunda" "Yok" seçeneğini belirleyin.
  4. "Yük dengeleme" bölümünde "Hayır" seçeneğini belirleyin.

Komut satırını açın ve aşağıdaki komutu çalıştırın:

nslookup <your-HSM-name>.managedhsm.azure.net

Yönetilen HSM'nin IP adresini genel uç nokta üzerinden çözümlemek için ns arama komutunu çalıştırırsanız şuna benzer bir sonuç görürsünüz:

c:\ >nslookup <your-hsm-name>.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-hsm-name>.managedhsm.azure.net

Özel uç nokta üzerinden yönetilen HSM'nin IP adresini çözümlemek için ns arama komutunu çalıştırırsanız şuna benzer bir sonuç görürsünüz:

c:\ >nslookup your_hsm_name.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-hsm-name>.managed.azure.net
          <your-hsm-name>.privatelink.managedhsm.azure.net

Sorun Giderme Kılavuzu

  • Özel uç noktanın onaylanan durumda olduğundan emin olun.

    1. Özel uç nokta bağlantısının durumunu görmek için alt komutu kullanın az keyvault private-endpoint-connections show .
    2. Bağlantı durumunun Onaylanmış, sağlama durumunun da Başarılı olduğundan emin olun.
    3. Sanal ağın kullandığınız ağ ile eşleştiğinden emin olun.

  • Özel DNS Bölgesi kaydına sahip olduğunuzdan emin olun.

    1. Tam adıyla bir Özel DNS Bölgesi kaynağınız olmalıdır: privatelink.managedhsm.azure.net.
    2. Bunun nasıl ayarlandığını öğrenmek için lütfen aşağıdaki bağlantıya bakın. Özel DNS Bölgeleri

  • Özel DNS Bölgesinin Sanal Ağ bağlı olduğundan emin olun. Genel IP adresi döndürülüyorsa sorun bu olabilir.

    1. Özel Bölge DNS'i sanal ağa bağlı değilse, sanal ağdan kaynaklanan DNS sorgusu HSM'nin genel IP adresini döndürür.
    2. Azure portalında Özel DNS Bölgesi kaynağına gidin ve sanal ağ bağlantıları seçeneğine tıklayın.
    3. HSM'ye çağrı yapacak sanal ağ listelenmelidir.
    4. Yoksa ekleyin.
    5. Ayrıntılı adımlar için aşağıdaki Sanal Ağ Özel DNS Bölgesine bağlama belgesine bakın

  • Özel DNS Bölgesi'nde HSM için bir A kaydı eksik olmadığından emin olun.

    1. Özel DNS Bölgesi sayfasına gidin.
    2. Genel Bakış'a tıklayın ve HSM'nizin basit adına sahip bir A kaydı olup olmadığını denetleyin. Herhangi bir son ek belirtmeyin.
    3. Yazımı denetleyin ve A kaydını düzeltin veya yeni bir kayıt oluşturun. TTL değeri olarak 3600 (1 saat) belirtebilirsiniz.
    4. Doğru özel IP adresini belirttiğinizden emin olun.

  • A kaydının doğru IP Adresine sahip olduğundan emin olun.

    1. Azure portalında Özel Uç Nokta kaynağını açarak IP adresini onaylayabilirsiniz.
    2. Azure portalında Microsoft.Network/privateEndpoints kaynağına gidin
    3. Genel bakış sayfasında Ağ arabirimi'ni arayın ve bu bağlantıya tıklayın.
    4. Bağlantıya tıkladığınızda açılan NIC kaynağı Genel Bakış sayfasında Özel IP adresi yer alır.
    5. Bunun A kaydında belirtilen doğru IP adresi olduğunu doğrulayın.

Sınırlamalar ve TasarımLa İlgili Dikkat Edilmesi Gerekenler

Dekont

Abonelik başına özel uç noktaların etkinleştirildiği yönetilen HSM sayısı ayarlanabilir bir sınırdır. Aşağıda gösterilen sınır varsayılan sınırdır. Aboneliğiniz için bir sınır artışı talep etmek istiyorsanız lütfen bir Azure desteği bileti oluşturun. Bu istekleri servis talebi temelinde onaylarız.

Fiyatlandırma: Fiyatlandırma bilgileri için bkz. fiyatlandırma Azure Özel Bağlantı.

Yönetilen HSM başına En Fazla Özel Uç Nokta Sayısı: 64.

Abonelik başına Özel Uç Nokta içeren Varsayılan Yönetilen HSM Sayısı: 400.

Daha fazla bilgi için bkz. Azure Özel Bağlantı hizmeti: Sınırlamalar

Sonraki Adımlar