使用私人端點搭配 Azure Batch 帳戶

  • 發行項

根據預設,Azure Batch 帳戶具有公用端點且可公開存取。 Batch 服務可讓您為 Batch 帳戶建立私人端點,讓私人網路能夠存取 Batch 服務。

使用 Azure Private Link,即可透過私人端點連線至 Azure Batch 帳戶。 私人端點是虛擬網路內子網路中的一組私人 IP 位址。 您可接著限制透過私人 IP 位址存取 Microsoft Azure Batch 帳戶。

Private Link 可讓使用者從虛擬網路內或從任何對等互連的虛擬網路存取 Azure Batch 帳戶。 對應至 Private Link 的資源也可透過 VPN 或 Azure ExpressRoute,以私人對等互連方式在內部部署環境存取。 您可使用自動或手動核准方法來連線到設定 Private Link 的 Azure Batch 帳戶。

本文說明建立私人端點以存取 Batch 帳戶端點的步驟。

Batch 帳戶支援的私人端點子資源

Batch 帳戶資源有兩個支援透過私人端點存取的端點:

  • 帳戶端點 (子資源:batchAccount):這個端點用於存取 Batch 服務 REST API (資料平面),例如管理集區、計算節點、作業、工作等。

  • 節點管理端點 (子資源:nodeManagement):用於存取 Batch 節點管理服務的 Batch 集區節點。 這個端點僅適用於使用簡化的計算節點通訊時。

Diagram that shows sub-resources for Batch private endpoints.

提示

您可以根據 Batch 帳戶的實際使用量,為其中之一或兩者在虛擬網路內建立私人端點。 例如,如果您在虛擬網路內執行 Batch 集區,但從其他地方呼叫 Batch 服務 REST API,則只需要在虛擬網路中建立 nodeManagement 私人端點即可。

Azure 入口網站

使用下列步驟,透過 Azure 入口網站為現有的 Azure Batch 帳戶建立私人端點:

  1. 在 Azure 入口網站中前往您的 Batch 帳戶。
  2. 在 [設定] 中,選取 [網路],然後前往 [私人存取] 索引標籤。 然後選取 [+ 私人端點]Screenshot of private endpoint connections.
  3. 在 [基本] 窗格中,輸入或選取訂用帳戶、資源群組、私人端點資源名稱和區域詳細資料,然後選取 [下一步:資源]Screenshot of creating a private endpoint - Basics pane.
  4. 在 [資源] 窗格中,將 [資源類型] 設定為 Microsoft.Batch/batchAccounts。 選取您想要存取的 Batch 帳戶、選取目標子資源,然後選取 [下一步:設定]Screenshot of creating a private endpoint - Resource pane.
  5. 在 [設定] 窗格中,輸入或選取這項資訊:
    • 在 [虛擬網路] 中,選取您的虛擬網路。
    • 在 [子網路] 中,選取您的子網路。
    • 在 [私人 IP 設定] 中,選取預設的 [動態配置 IP 位址]
    • 在 [與私人 DNS 區域整合] 中,選取 [是]。 若要私下與您的私人端點連接,您需要 DNS 記錄。 我們建議您將私人端點與私人 DNS 區域整合。 您也可以使用自己的 DNS 伺服器,或藉由使用虛擬機器上的主機檔案來建立 DNS 記錄。
    • 在 [私人 DNS 區域] 中,選取 privatelink.batch.azure.com。 系統會自動決定私人 DNS 區域。 您無法使用 Azure 入口網站來變更此設定。

重要

  • 如果您有使用之前的私人 DNS 區域 privatelink.<region>.batch.azure.com 建立的現有私人端點,請遵循使用現有的 Batch 帳戶私人端點進行移轉
  • 如果您已選取私人 DNS 區域整合,請確定私人 DNS 區域已順利連結到您的虛擬網路。 Azure 入口網站可能讓您選擇可能未連結至虛擬網路的現有私人 DNS 區域,而且您必須手動新增虛擬網路連結
  1. 選取 [檢閱 + 建立],然後等候 Azure 驗證您的設定。
  2. 當您看到 [驗證成功] 訊息時,請選取 [建立]

提示

您也可以在 Azure 入口網站中的 Private Link 中心建立私人端點,或透過搜尋私人端點來建立新的資源。

建立私人端點

佈建私人端點後,您可以在虛擬網路中使用私人 IP 位址,以存取 Batch 帳戶:

  • batchAccount 的私人端點:可以存取 Batch 帳戶資料平面來管理集區/作業/工作。

  • nodeManagement 的私人端點:Batch 集區的計算節點可以連線,並由Batch 節點管理服務來管理。

提示

當您使用私人端點時,建議也使用 Batch 帳戶停用公用網路存取權,這麼做會限制僅對私人網路的存取權。

重要

如果使用 Batch 帳戶停用公用網路存取,在私人端點佈建的虛擬網路外執行帳戶作業 (例如集區、作業) 將導致 Azure 入口網站中的 Batch 帳戶出現 "AuthorizationFailure" 訊息。

若要在 Azure 入口網站檢視私人端點的 IP 位址:

  1. 選取所有資源
  2. 搜尋稍早建立的私人端點。
  3. 選取 [DNS 設定] 索引標籤,以查看 DNS 設定和 IP 位址。

Private endpoint DNS settings and IP addresses

設定 DNS 區域

在已建立私人端點的子網路內使用私人 DNS 區域。 設定端點,讓每個私人 IP 位址對應至 DNS 項目

建立私人端點之後,即可在 Azure 中將其與私人 DNS 區域整合。 如果您選擇改用自訂網域,則必須將其設定為針對所有保留給私人端點的私人 IP 位址新增 DNS 記錄。

使用現有的 Batch 帳戶私人端點進行移轉

引進 Batch 節點管理端點的新私人端點子資源 nodeManagement 後,Batch 帳戶的預設私人 DNS 區域會從 privatelink.<region>.batch.azure.com 簡化為 privatelink.batch.azure.com。 為了與先前使用的私人 DNS 區域保持回溯相容性,對於具有任何已核准 batchAccount 私人端點的 Batch 帳戶,其帳戶端點的 DNS CNAME 對應會包含這兩個區域 (先前的區域優先),例如:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

繼續使用先前的私人 DNS 區域

如果您已將先前的 DNS 區域 privatelink.<region>.batch.azure.com 與虛擬網路搭配使用,您應該繼續將其用於現有和新的 batchAccount 私人端點,不需要採取任何動作。

重要

若目前仍使用先前的私人 DNS 區域,請繼續使用它,即使是新建立的私人端點也請搭配使用。 在您移轉至新區域之前,請勿將新區域與 DNS 整合解決方案搭配使用。

在 Azure 入口網站中建立具有 DNS 整合的新 batchAccount 私人端點

如果您使用 Azure 入口網站手動建立新的 batchAccount 私人端點,並啟用自動 DNS 整合,該端點會使用新的私人 DNS 區域 privatelink.batch.azure.com 進行 DNS 整合:建立私人 DNS 區域、將其連結至您的虛擬網路,並針對私人端點設定區域中的 DNS A 記錄。

不過,如果您的虛擬網路已連結至先前的私人 DNS 區域 privatelink.<region>.batch.azure.com,這會中斷虛擬網路中批次帳戶的 DNS 解析,因為新私人端點的 DNS A 記錄已新增至新區域,但 DNS 解析會先檢查先前的區域,以取得回溯相容性支援。

您可以使用下列選項來緩解此問題:

  • 如果您不再需要先前的私人 DNS 區域,請從虛擬網路取消連結。 無須進行任何進一步的動作。

  • 否則,在建立新的私人端點後:

    1. 確認自動私人 DNS 整合已在新的私人 DNS 區域 privatelink.batch.azure.com 建立 DNS A 記錄。 例如: myaccount.<region> A <IPv4 address>

    2. 前往之前的私人 DNS 區域 privatelink.<region>.batch.azure.com

    3. 手動新增 DNS CNAME 記錄。 例如: myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com

重要

只有在您於相同虛擬網路 (已連結至先前私人 DNS 區域) 中以私人 DNS 整合建立了新的 batchAccount 私人端點時,才需要使用此手動風險降低程序。

將先前的私人 DNS 區域移轉至新區域

雖然您可以繼續使用先前的私人 DNS 區域搭配現有的部署流程,但建議您將其遷移至新的區域,以簡化 DNS 組態管理:

  • 藉由新的私人 DNS 區域 privatelink.batch.azure.com,您不需要使用您的 Batch 帳戶為每個區域設定和管理不同的區域。
  • 當您開始使用新的 nodeManagement 私人端點,而其同時也使用新的私人 DNS 區域時,您只需要為兩種私人端點類型管理單一的私人 DNS 區域。

您可以使用下列步驟來移轉先前的私人 DNS 區域:

  1. 建立新的私人 DNS 區域 privatelink.batch.azure.com 並連結至您的虛擬網路。
  2. 將所有 DNS A 記錄從先前的私人 DNS 區域複製到新的區域:
From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>
  1. 將先前的私人 DNS 區域與虛擬網路取消連結。
  2. 確認虛擬網路內的 DNS 解析,且 Batch 帳戶 DNS 名稱應繼續解析為私人端點 IP 位址:
nslookup myaccount.<region>.batch.azure.com
  1. 開始將新私人端點的部署流程搭配新的私人 DNS 區域使用。
  2. 完成移轉之後,請刪除先前的私人 DNS 區域。

定價

如需與私人端點相關成本的詳細資訊,請參閱 Azure Private Link 定價

現有限制和最佳做法

使用您的 Batch 帳戶建立私人端點時,請謹記下列事項:

  • 私人端點資源可以建立在不同的訂用帳戶中作為 Batch 帳戶,但必須向 Microsoft.Batch 資源提供者註冊該訂用帳戶。
  • Batch 帳戶的私人端點不支援資源移動。
  • 如果 Batch 帳戶資源移至不同的資源群組或訂用帳戶,私人端點仍可以運作,但與 Batch 帳戶的關聯會中斷。 即使您刪除私人端點資源,您的 Batch 帳戶仍會有與其相關聯的私人端點連線。 您可以在 Batch 帳戶手動移除連線。
  • 若要刪除私人連線,請刪除私人端點資源,或刪除 Batch 帳戶中的私人連線(此動作會取消與相關私人端點資源間的連線)。
  • 在 Batch 帳戶中刪除私人端點連線並不會自動移除私人 DNS 區域中的 DNS 記錄。 您必須先手動移除 DNS 記錄,才能新增連結至此私人 DNS 區域的新私人端點。 如果您未清除 DNS 記錄,則可能會發生未預期的存取問題。
  • 當為 Batch 帳戶啟用私人端點時,不支援 Batch 工作的工作驗證權杖。 因應措施是使用 Batch 集區搭配受控識別

下一步