整合 Key Vault 與 Azure Private Link

發行項
03/25/2024

Azure Private Link 服務可讓您透過虛擬網路中的私人端點存取各項 Azure 服務 (例如 Azure Key Vault、Azure 儲存體和 Azure Cosmos DB)，以及 Azure 裝載的客戶/合作夥伴服務。

Azure 私人端點是一種網路介面，可讓您私密安全地連線至 Azure Private Link 所提供的服務。私人端點會使用您 VNet 中的私人 IP 位址，有效地將服務帶入您的 VNet 中。服務的所有流量都可以透過私人端點路由傳送，因此不需要閘道、NAT 裝置、ExpressRoute 或 VPN 連線或公用 IP 位址。虛擬網路和服務間的流量會在通過 Microsoft 骨幹網路時隨之減少，降低資料在網際網路中公開的風險。您可以連線至 Azure 資源的執行個體，以提供您存取控制中最高層級的細微性。

如需詳細資訊，請參閱何謂 Azure Private Link？

必要條件

若要整合金鑰保存庫與 Azure Private Link，您需要：

一個金鑰保存庫。
Azure 虛擬網路。
虛擬網路中的子網路。
金鑰保存庫和虛擬網路的擁有者或參與者權限。

您的私人端點和虛擬網路必須位於相同區域。當您使用入口網站選取私人端點的區域時，其只會自動篩選該區域中的虛擬網路。您的金鑰保存庫可以位於不同區域。

您的私人端點會使用您虛擬網路中的私人 IP 位址。

Azure 入口網站
Azure CLI

使用 Azure 入口網站建立 Key Vault 的私人連結連線

首先，依照使用 Azure 入口網站建立虛擬網路中的步驟建立虛擬網路。

接著，您可以建立新的金鑰保存庫，或建立現有金鑰保存庫的私人連結連線。

建立新的金鑰保存庫並建立私人連結連線

您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 來建立新的金鑰保存庫。

設定金鑰保存庫基本資料後，請選取 [網路] 索引標籤並遵循下列步驟：

透過關閉選項按鈕來停用公用存取。
選取 [+ 建立私人端點] 按鈕以建立私人端點。
在 [建立私人端點] 刀鋒視窗的 [位置] 欄位中，選取您虛擬網路所在的區域。
在 [名稱] 欄位中，建立可讓您識別此私人端點的描述性名稱。
從下拉式功能表中選取您想要在其中建立此私人端點的虛擬網路和子網路。
讓 [與私人區域 DNS 整合] 選項保持不變。
選取 [確定]。

您現在能夠看到已設定的私人端點。您現在可以刪除並編輯此私人端點。選取 [檢閱 + 建立] 按鈕並建立金鑰保存庫。需要 5-10 分鐘的時間才能完成部署。

建立現有金鑰保存庫的私人連結連線

如果您已經有金鑰保存庫，您可以遵循下列步驟來建立私人連結連線：

登入 Azure 入口網站。
在搜尋列中輸入「金鑰保存庫」。
從您要新增私人端點的清單中選取金鑰保存庫。
選取 [設定] 底下的 [網路] 索引標籤。
選取頁面頂端的 [私人端點連線] 索引標籤。
選取頁面頂端的 [+ 建立] 按鈕。
在 [專案詳細資料] 下，選取包含您建立作為本教學課程必要條件虛擬網路的資源群組。在 [執行個體詳細資料] 底下，輸入「myPrivateEndpoint」作為 [名稱]，然後選取與您建立作為本教學課程必要條件的虛擬網路相同的位置。

您可以選擇使用此刀鋒視窗為任何 Azure 資源建立私人端點。您可以使用下拉式功能表來選取資源類型，並選取您目錄中的資源，或者可以使用資源識別碼來連線到任何 Azure 資源。讓 [與私人區域 DNS 整合] 選項保持不變。
前進到 [資源] 刀鋒視窗。針對 [資源類型]，選取 [Microsoft.KeyVault/vaults]；針對 [資源]，選取您建立的金鑰保存庫作為本教學課程的必要條件。「目標子資源」會自動填入「vault」。
前進到 [虛擬網路]。選取您為此教學課程的必要條件所建立的虛擬網路和子網路。
前進到 [DNS] 和 [標記] 刀鋒視窗，接受預設值。
在 [檢閱 + 建立] 刀鋒視窗上，選取 [建立]。

當您建立私人端點時，必須核准連線。如果您要建立私人端點的資源位於目錄中，您就能夠核准該連線要求 (前提是您有足夠的權限)。如果您要連線至另一個目錄中的 Azure 資源，則必須等候該資源的擁有者核准您的連線要求。

佈建狀態有四種：

服務動作	服務取用者私人端點狀態	描述
None	待定	連線會手動建立並等待 Private Link 資源擁有者進行核准。
核准	核准	已自動或手動核准連線並可供使用。
拒絕	已拒絕	私人連結資源擁有者已拒絕連線。
移除	已中斷連接	私人連結資源擁有者已移除連線，而私人端點變成參考性，且應該刪除以進行清除。

如何使用 Azure 入口網站管理 Key Vault 的私人端點連線

登入 Azure 入口網站。
在搜尋列中輸入「金鑰保存庫」。
選取您要管理的金鑰保存庫。
選取 [網路] 索引標籤。
如果有任何暫止的連線，您會在佈建狀態中看到以 [擱置] 列出的連線。
選取您想要核准的私人端點
選取 [核准] 按鈕。
如果您想拒絕任何私人端點連線 (不論其為暫止要求或現有連線)，請選取該連線，然後選取 [拒絕] 按鈕。

使用 CLI 建立 Key Vault 的私人連結連線 (初始設定)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

建立私人端點 (自動核准)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

建立私人端點 (手動要求核准)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

管理私人連結連線

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

新增私人 DNS 記錄

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

驗證私人連結連線是否正常運作

您應該驗證私人端點資源的相同子網路內的資源是否正透過私人 IP 位址連線到您的金鑰保存庫，而且其具有正確的私人 DNS 區域整合。

首先，依照在 Azure 入口網站中建立 Windows 虛擬機器中的步驟，建立虛擬機器。

在 [網路] 索引標籤中：

指定虛擬網路和子網路。您可以建立新的虛擬機器，或選取現有虛擬機器。如果選取現有虛擬機器，請確定區域相符。
建立公用 IP 資源。
在 [NIC 網路安全性群組] 中，選取 [無]。
在 [負載平衡] 中，選取 [否]。

開啟命令列並執行下列命令：

nslookup <your-key-vault-name>.vault.azure.net

如果您執行 ns lookup 命令以透過公用端點解析金鑰保存庫的 IP 位址，則會看到如下所示的結果：

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

如果您執行 ns lookup 命令以透過私人端點解析金鑰保存庫的 IP 位址，則會看到如下所示的結果：

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

疑難排解指南

請檢查以確定私人端點處於已核准狀態。
1. 您可以在 Azure 入口網站檢查並修正。開啟 Key Vault 資源，然後選取網路選項。
2. 接著選取私人端點連線索引標籤。
3. 請確定連線狀態為「已核准」，且佈建狀態為「已成功」。
4. 您也可以瀏覽至私人端點資源，並在該處檢閱相同的屬性，然後再次檢查該虛擬網路是否與您所使用的相符。
請檢查以確定您有私人 DNS 區域資源。
1. 您必須具有與下列名稱完全相同的私人 DNS 區域資源： privatelink.vaultcore.azure.net。
2. 若要了解如何進行這項設定，請參閱下列連結。私人 DNS 區域
檢查以確認私人 DNS 區域已連結至虛擬網路。如果您仍然收到傳回的公用 IP 位址，表示這可能是問題所在。
1. 如果私人區域 DNS 未連結到虛擬網路，來自虛擬網路的 DNS 查詢將會傳回金鑰保存庫的公用 IP 位址。
2. 瀏覽至 Azure 入口網站中的私人 DNS 區域資源，然後選取 [虛擬網路連結] 選項。
3. 必須列出將執行金鑰保存庫呼叫的虛擬網路。
4. 如果不存在，請加以新增。
5. 如需詳細步驟，請參閱下列文件：將虛擬網路連結到私人 DNS 區域
請檢查以確定私人 DNS 區域未遺失金鑰保存庫的 A 記錄。
1. 瀏覽至 [私人 DNS 區域] 頁面。
2. 選取 [概觀]，並檢查是否有具有金鑰保存庫簡單名稱的 A 記錄 (例如 fabrikam)。請不要指定任何尾碼。
3. 請確定您已檢查拼寫，並建立或修正 A 記錄。您可以使用 600 的 TTL (10 分鐘)。
4. 請確定您指定的是正確的私人 IP 位址。
檢查並確定 A 記錄具有正確的 IP 位址。
1. 您可以在 Azure 入口網站中開啟私人端點資源，以確認 IP 位址。
2. 瀏覽至 Azure 入口網站 (而非 Key Vault 資源) 中的 Microsoft.Network/privateEndpoints 資源
3. 在概觀頁面中尋找 [網路介面]，然後選取該連結。
4. 此連結會顯示 NIC 資源的概觀，其中包含私人 IP 位址屬性。
5. 確認這是 A 記錄中指定的正確 IP 位址。
如果您從內部部署資源連線至 Key Vault，請確保已在內部部署環境中啟用所有必要條件式轉寄站。
1. 請檢閱所需區域的 Azure 私人端點 DNS 設定，並確保內部部署 DNS 上有適用於 vault.azure.net 和 vaultcore.azure.net 的條件式轉寄站。
2. 針對路由至 Azure 私人 DNS 解析器或其他有權存取 Azure 解析的 DNS 平台的區域，請確保其具備條件式轉寄站。