Integrace služby Key Vault se službou Azure Private Link

Článek
08/07/2024

Služba Azure Private Link umožňuje přístup ke službám Azure (například Azure Key Vault, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.

Privátní koncový bod Azure je síťové rozhraní, které vás soukromě a bezpečně připojuje ke službě využívající Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, čímž je služba efektivně začleněna do vaší virtuální sítě. Veškeré přenosy do služby lze směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure a získat tak nejvyšší úroveň členitosti řízení přístupu.

Další informace najdete v tématu Co je Azure Private Link?

Požadavky

Pokud chcete integrovat trezor klíčů se službou Azure Private Link, budete potřebovat:

Trezor klíčů.
Virtuální síť Azure.
Podsíť ve virtuální síti.
Oprávnění vlastníka nebo přispěvatele pro trezor klíčů i virtuální síť.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast privátního koncového bodu pomocí portálu, automaticky vyfiltruje jenom virtuální sítě, které jsou v dané oblasti. Váš trezor klíčů může být v jiné oblasti.

Váš privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

Azure Portal
Azure CLI

Vytvoření připojení privátního propojení ke službě Key Vault pomocí webu Azure Portal

Nejprve vytvořte virtuální síť podle kroků v části Vytvoření virtuální sítě pomocí webu Azure Portal.

Pak můžete buď vytvořit nový trezor klíčů, nebo vytvořit připojení privátního propojení k existujícímu trezoru klíčů.

Vytvoření nového trezoru klíčů a vytvoření připojení privátního propojení

Nový trezor klíčů můžete vytvořit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Po konfiguraci základů trezoru klíčů vyberte kartu Sítě a postupujte takto:

Zakažte veřejný přístup přepnutím přepínače.
Vyberte tlačítko + Vytvořit privátní koncový bod a přidejte privátní koncový bod.
V poli Umístění okna Vytvořit privátní koncový bod vyberte oblast, ve které se nachází vaše virtuální síť.
V poli Název vytvořte popisný název, který vám umožní identifikovat tento privátní koncový bod.
V rozevírací nabídce vyberte virtuální síť a podsíť, ve které chcete tento privátní koncový bod vytvořit.
Možnost Integrace s DNS privátní zóny ponechte beze změny.
Vyberte Ok.

Teď uvidíte nakonfigurovaný privátní koncový bod. Teď můžete tento privátní koncový bod odstranit a upravit. Vyberte tlačítko Zkontrolovat a vytvořit trezor klíčů. Dokončení nasazení bude trvat 5 až 10 minut.

Navázání připojení privátního propojení k existujícímu trezoru klíčů

Pokud už trezor klíčů máte, můžete vytvořit připojení privátního propojení pomocí následujícího postupu:

Přihlaste se k portálu Azure.
Na panelu hledání zadejte "trezory klíčů".
Ze seznamu vyberte trezor klíčů, do kterého chcete přidat privátní koncový bod.
V části Nastavení vyberte kartu Sítě.
V horní části stránky vyberte kartu Připojení privátního koncového bodu.
V horní části stránky vyberte tlačítko + Vytvořit.
V části Podrobnosti projektu vyberte skupinu prostředků obsahující virtuální síť, kterou jste vytvořili jako předpoklad pro tento kurz. V části Podrobnosti o instanci zadejte název myPrivateEndpoint a vyberte stejné umístění jako virtuální síť, kterou jste vytvořili jako předpoklad pro tento kurz.

V tomto okně můžete vytvořit privátní koncový bod pro libovolný prostředek Azure. Pomocí rozevíracích nabídek můžete vybrat typ prostředku a vybrat prostředek v adresáři nebo se můžete připojit k libovolnému prostředku Azure pomocí ID prostředku. Možnost Integrace s DNS privátní zóny ponechte beze změny.
Přejděte do okna Zdroje. Jako typ prostředku vyberte Microsoft.KeyVault/vaults. Jako předpoklad pro účely tohoto kurzu vyberte trezor klíčů, který jste vytvořili. Cílová podnabídka se automaticky naplní trezorem.
Přejděte na virtuální síť. Jako předpoklad pro účely tohoto kurzu vyberte virtuální síť a podsíť, které jste vytvořili.
Projděte si okna DNS a Značky a přijměte výchozí hodnoty.
V okně Zkontrolovat a vytvořit vyberte Vytvořit.

Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři, budete moct schválit žádost o připojení za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení.

Existují čtyři stavy zřizování:

Akce služby	Stav privátního koncového bodu příjemce služby	Popis
Nic	Nevyřízeno	Připojení se vytvoří ručně a čeká na schválení od vlastníka prostředku Private Link.
Schválit	Schválený	Připojení bylo automaticky nebo ručně schváleno a je připravené k použití.
Odmítnout	Zamítnuto	Vlastník prostředku privátního propojení odmítl připojení.
Odebrat	Odpojeno	Vlastník prostředku privátního propojení odebral připojení, privátní koncový bod se stal informativním a měl by být odstraněn pro vyčištění.

Správa připojení privátního koncového bodu ke službě Key Vault pomocí webu Azure Portal

Přihlaste se k portálu Azure Portal.
Na panelu hledání zadejte "trezory klíčů"
Vyberte trezor klíčů, který chcete spravovat.
Vyberte kartu Sítě.
Pokud existují nějaká čekající připojení, zobrazí se ve stavu zřizování připojení se stavem Čeká na vyřízení.
Vyberte privátní koncový bod, který chcete schválit.
Vyberte tlačítko schválit.
Pokud existují nějaká připojení privátního koncového bodu, která chcete odmítnout, ať už se jedná o nevyřízenou žádost nebo existující připojení, vyberte připojení a vyberte tlačítko Odmítnout.

Vytvoření připojení privátního propojení ke službě Key Vault pomocí rozhraní příkazového řádku (počáteční nastavení)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Vytvoření privátního koncového bodu (automatické schválení)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Vytvoření privátního koncového bodu (ruční žádost o schválení)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Správa připojení Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Přidání Privátní DNS záznamů

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://video2.skills-academy.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Ověřte, že funguje připojení privátního propojení.

Měli byste ověřit, že se prostředky ve stejné podsíti prostředku privátního koncového bodu připojují k vašemu trezoru klíčů přes privátní IP adresu a že mají správnou integraci privátní zóny DNS.

Nejprve vytvořte virtuální počítač podle kroků v části Vytvoření virtuálního počítače s Windows na webu Azure Portal.

Na kartě Sítě:

Zadejte virtuální síť a podsíť. Můžete vytvořit novou virtuální síť nebo vybrat existující. Pokud vyberete existující, ujistěte se, že oblast odpovídá.
Zadejte prostředek veřejné IP adresy.
Ve skupině zabezpečení sítě síťových adaptérů vyberte Žádné.
V části Vyrovnávání zatížení vyberte Ne.

Otevřete příkazový řádek a spusťte následující příkaz:

nslookup <your-key-vault-name>.vault.azure.net

Pokud spustíte příkaz ns lookup k překladu IP adresy trezoru klíčů přes veřejný koncový bod, zobrazí se výsledek, který vypadá takto:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Pokud spustíte příkaz ns lookup pro překlad IP adresy trezoru klíčů přes privátní koncový bod, zobrazí se výsledek, který vypadá takto:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Průvodce odstraňováním potíží

Zkontrolujte, jestli je privátní koncový bod ve schváleném stavu.
1. Zkontrolovat a napravit to můžete na webu Azure Portal. Otevřete prostředek služby Key Vault a vyberte možnost Sítě.
2. Pak vyberte kartu Připojení privátního koncového bodu.
3. Ujistěte se, že je stav připojení Schváleno a stav zřizování je Úspěch.
4. Můžete také přejít k prostředku privátního koncového bodu a zkontrolovat stejné vlastnosti a pečlivě zkontrolovat, že virtuální síť odpovídá prostředku, který používáte.
Zkontrolujte, jestli máte prostředek zóny privátního DNS.
1. Musíte mít prostředek Privátní DNS zóny s přesným názvem: privatelink.vaultcore.azure.net.
2. Informace o nastavení najdete na následujícím odkazu. Zóny Privátní DNS
Zkontrolujte, jestli je zóna Privátní DNS propojená s virtuální sítí. To může být problém, pokud se vám stále vrací veřejná IP adresa.
1. Pokud DNS privátní zóny není propojené s virtuální sítí, dotaz DNS pocházející z virtuální sítě vrátí veřejnou IP adresu trezoru klíčů.
2. Na webu Azure Portal přejděte k prostředku zóny Privátní DNS a vyberte možnost propojení virtuální sítě.
3. V seznamu musí být uvedená virtuální síť, která bude provádět volání služby Key Vault.
4. Pokud tam není, přidejte ji.
5. Podrobný postup najdete v následujícím dokumentu Propojení virtuální sítě s Privátní DNS zónou.
Zkontrolujte, že v Privátní DNS zóně chybí záznam A pro trezor klíčů.
1. Přejděte na stránku Privátní DNS Zóna.
2. Vyberte Přehled a zkontrolujte, jestli existuje záznam A s jednoduchým názvem vašeho trezoru klíčů (tj. fabrikam). Nezadávejte žádnou příponu.
3. Nezapomeňte zkontrolovat pravopis a vytvořte nebo upravte záznam A. Můžete použít hodnotu TTL 600 (10 minut).
4. Ujistěte se, že zadáváte správnou privátní IP adresu.
Zkontrolujte, jestli má záznam A správnou IP adresu.
1. IP adresu můžete potvrdit otevřením prostředku privátního koncového bodu na webu Azure Portal.
2. Na webu Azure Portal přejděte k prostředku Microsoft.Network/privateEndpoints (ne k prostředku služby Key Vault).
3. Na stránce přehledu vyhledejte síťové rozhraní a vyberte tento odkaz.
4. Po kliknutí na odkaz se zobrazí přehled prostředku síťové karty, který obsahuje vlastnost Privátní IP adresa.
5. Ověřte, jestli se jedná o správnou IP adresu, která je uvedená v záznamu A.
Pokud se připojujete z místního prostředku ke službě Key Vault, ujistěte se, že máte v místním prostředí povolené všechny požadované podmíněné služby předávání.
1. Zkontrolujte konfiguraci DNS privátního koncového bodu Azure pro potřebné zóny a ujistěte se, že máte podmíněné předávání pro místní vault.azure.net DNS i vaultcore.azure.net pro místní DNS.
2. Ujistěte se, že pro tyto zóny, které směrují do překladače azure Privátní DNS, nebo na jinou platformu DNS s přístupem k překladu Azure, ujistěte se, že máte podmíněné předávací nástroje.

Aspekty omezení a návrhu

Limity: Zobrazení limitů služby Azure Private Link

Ceny: Viz ceny služby Azure Private Link.

Omezení: Viz služba Azure Private Link: Omezení

Další kroky

Další informace o službě Azure Private Link
Další informace o službě Azure Key Vault

Sdílet prostřednictvím