Utiliser des points de terminaison privés avec des comptes Azure Batch

Par défaut, les comptes Azure Batch possèdent des points de terminaison publics et sont accessibles publiquement. Le service Batch offre la possibilité de créer un point de terminaison privé pour les comptes Batch, ce qui permet un accès réseau privé au service Batch.

À l’aide d’Azure Private Link, vous pouvez vous connecter à un compte Azure Batch via un point de terminaison privé. Le point de terminaison privé est un ensemble d’adresses IP privées dans un sous-réseau au sein de votre réseau virtuel. Vous pouvez alors limiter l’accès à un compte Azure Batch via des adresses IP privées.

Private Link permet aux utilisateurs d’accéder à un compte Azure Batch à partir du réseau virtuel ou de tout réseau virtuel appairé. Les ressources mappées à Private Link sont également accessibles localement via un Peering privé par le biais d’un VPN ou d’Azure ExpressRoute. Vous pouvez vous connecter à un compte Azure Batch configuré avec Private Link en utilisant les méthodes d’approbation automatique ou manuelle.

Cet article décrit les étapes permettant de créer un point de terminaison privé et d’accéder aux points de terminaison du compte Batch.

Sous-ressources de point de terminaison privé prises en charge pour le compte Batch

La ressource de compte Batch dispose de deux points de terminaison pris en charge pour l’accès avec des points de terminaison privés :

  • Point de terminaison de compte (sous-ressource : batchAccount) : ce point de terminaison est utilisé pour accéder à l’API REST du service Batch (plan de données), par exemple pour la gestion des pools, des nœuds de calcul, des travaux, des tâches, etc.

  • Point de terminaison de gestion des nœuds (sous-ressource : nodeManagement) : utilisé par les nœuds du pool Batch pour accéder au service de gestion des nœuds Batch. Ce point de terminaison s’applique uniquement lors de l’utilisation de la communication simplifiée des nœuds de calcul.

Diagramme illustrant des sous-ressources des points de terminaison privés Batch.

Conseil

Vous pouvez créer un point de terminaison privé pour l’un d’entre eux ou les deux au sein de votre réseau virtuel, en fonction de l’utilisation réelle de votre compte Batch. Par exemple, si vous exécutez le pool Batch au sein du réseau virtuel, mais que vous appelez l’API REST du service Batch d’un autre endroit, vous devez uniquement créer le point de terminaison privé nodeManagement dans le réseau virtuel.

Portail Azure

Procédez comme suit pour créer un point de terminaison privé avec votre compte Batch à l’aide du portail Azure :

  1. Accédez à votre compte Batch dans le portail Azure.
  2. Dans Paramètres, sélectionnez Mise en réseau et accédez à l’onglet Accès privé. Sélectionnez ensuite + Point de terminaison privé. Capture d’écran des connexions de point de terminaison privé.
  3. Dans le volet De base, entrez ou sélectionnez l’abonnement, le groupe de ressources, le nom de la ressource de point de terminaison privé et les détails de la région, puis sélectionnez suivant : Ressource. Capture d’écran illustrant la création d’un terminaison privé dans le volet De base.
  4. Dans le volet Ressource, définissez le type de ressource sur Microsoft.Batch/batchAccounts. Sélectionnez le compte Batch auquel vous souhaitez accéder, sélectionnez la sous-ressource cible, puis choisissez Suivant : Configuration. Capture d’écran illustrant la création d’un point de terminaison privé sous l’onglet Ressource.
  5. Dans le volet Configuration, entrez ou sélectionnez les informations suivantes :
    • Pour Réseau virtuel, sélectionnez votre réseau virtuel.
    • Pour Sous-réseau, sélectionnez votre sous-réseau.
    • Pour Configuration d’adresse IP privée, sélectionnez l’option par défaut Allouer dynamiquement l’adresse IP.
    • Pour Intégrer à une zone DNS privée, sélectionnez Oui. Pour vous connecter en privé à votre point de terminaison privé, vous avez besoin d’un enregistrement DNS. Nous vous recommandons d’intégrer votre point de terminaison privé à une zone DNS privée. Vous pouvez également utiliser vos propres serveurs DNS ou créer des enregistrements DNS à l’aide des fichiers hôtes sur vos machines virtuelles.
    • Pour Zone DNS privée, sélectionnez privatelink.batch.azure.com. La zone DNS privée est déterminée automatiquement. Vous ne pouvez pas modifier ce paramètre à l’aide du Portail Azure.

Important

  • Si vous avez des points de terminaison privés existants créés avec une zone DNS privée précédente privatelink.<region>.batch.azure.com, suivez la procédure Migration avec des points de terminaison privés de compte Batch existants.
  • Si vous avez sélectionné Intégration d’une zone DNS privée, vérifiez que la zone DNS privée est correctement liée à votre réseau virtuel. Le portail Azure vous permettra peut-être de choisir une zone DNS privée existante, qui ne sera pas forcément liée à votre réseau virtuel. Dans ce cas, vous devrez donc ajouter manuellement la liaison avec le réseau virtuel.
  1. Sélectionnez Vérifier + créer, puis attendez qu’Azure valide votre configuration.
  2. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

Conseil

Vous pouvez également créer le point de terminaison privé à partir du Centre Private Link dans le portail Azure ou créer une ressource en recherchant un point de terminaison privé.

Utiliser le point de terminaison privé

Une fois le point de terminaison privé provisionné, vous pouvez accéder au compte Batch en utilisant l’adresse IP privée au sein du réseau virtuel :

  • Point de terminaison privé pour batchAccount : peut accéder au plan de données du compte Batch pour gérer les pools/travaux/tâches.

  • Point de terminaison privé pour nodeManagement : les nœuds de calcul du pool Batch peuvent se connecter et être gérés par le service de gestion des nœuds Batch.

Conseil

Il est également recommandé de désactiver l’accès au réseau public avec votre compte Batch quand vous utilisez des points de terminaison privés afin de limiter l’accès au réseau privé.

Important

Si l’accès au réseau public est désactivé sur le compte Batch, l’exécution d’opérations de compte (pools ou travaux, par exemple) en dehors du réseau virtuel où le point de terminaison privé est approvisionné génère un message « AuthorizationFailure » pour le compte Batch sur le portail Azure.

Pour afficher les adresses IP du point de terminaison privé à partir du Portail Azure :

  1. Sélectionnez Toutes les ressources.
  2. Recherchez le point de terminaison privé que vous avez créé précédemment.
  3. Sélectionnez l’onglet Configuration DNS pour afficher les paramètres DNS et les adresses IP.

Paramètres DNS du point de terminaison privé et adresses IP

Configurer des zones DNS

Utilisez une zone DNS privée dans le sous-réseau où vous avez créé le point de terminaison privé. Configurez les points de terminaison de façon à ce que chaque adresse IP privée soit mappée à une entrée DNS.

Lorsque vous créez le point de terminaison privé, vous pouvez intégrer celui-ci à une zone DNS privée dans Azure. Si vous choisissez plutôt d’utiliser un domaine personnalisé, vous devez la configurer afin d’ajouter des enregistrements DNS pour toutes les adresses IP privées réservées au point de terminaison privé.

Migration avec des points de terminaison privés de compte Batch existants

Avec l’introduction de la nouvelle sous-ressource de point de terminaison privé nodeManagement pour le point de terminaison de gestion des nœuds Batch, la zone DNS privée par défaut du compte Batch est simplifiée et passe de privatelink.<region>.batch.azure.com à privatelink.batch.azure.com. Pour maintenir la compatibilité descendante avec la zone DNS privée précédemment utilisée, pour un compte Batch avec n’importe quel point de terminaison privé batchAccount approuvé, les mappages DNS CNAME de son point de terminaison de compte contiennent les deux zones (la zone précédente venant en premier), par exemple :

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Continuer à utiliser la zone DNS privée précédente

Si vous avez déjà utilisé la zone DNS privatelink.<region>.batch.azure.com précédente avec votre réseau virtuel, vous devez continuer à l’utiliser pour les points de terminaison privés batchAccount existants et nouveaux, et aucune action n’est nécessaire.

Important

Si vous utilisez déjà la zone DNS privée précédente, continuez à l’utiliser même avec les points de terminaison privés nouvellement créés. N’utilisez pas la nouvelle zone avec votre solution d’intégration DNS tant que vous ne pouvez pas migrer vers la nouvelle zone.

Créer un point de terminaison privé batchAccount avec intégration DNS sur le portail Azure

Si vous créez manuellement un point de terminaison privé batchAccount à l’aide du portail Azure en activant l’intégration DNS automatique, il utilise la nouvelle zone DNS privée privatelink.batch.azure.com pour l’intégration DNS : créez la zone DNS privée, liez-la à votre réseau virtuel et configurez l’enregistrement DNS A dans la zone pour votre point de terminaison privé.

Toutefois, si votre réseau virtuel a déjà été lié à la zone DNS privée privatelink.<region>.batch.azure.com précédente, la résolution DNS de votre compte batch est interrompue dans votre réseau virtuel, car l’enregistrement DNS A de votre nouveau point de terminaison privé est ajouté dans la nouvelle zone, alors que la résolution DNS vérifie d’abord la zone précédente pour assurer la compatibilité descendante.

Vous pouvez atténuer ce problème grâce aux options suivantes :

  • Si vous n’avez plus besoin de la zone DNS privée précédente, dissociez-la de votre réseau virtuel. Aucune action supplémentaire n’est requise.

  • Sinon, une fois le nouveau point de terminaison privé créé :

    1. Vérifiez que l’intégration DNS privée automatique a un enregistrement DNS A créé dans la nouvelle zone DNS privée privatelink.batch.azure.com. Par exemple : myaccount.<region> A <IPv4 address>.

    2. Accédez à la zone DNS privée précédente privatelink.<region>.batch.azure.com.

    3. Ajoutez manuellement un enregistrement CNAME DNS. Par exemple : myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Important

Cette atténuation manuelle n’est nécessaire que lorsque vous créez un point de terminaison privé batchAccount avec intégration DNS privée dans un réseau virtuel qui a déjà été lié à la zone DNS privée précédente.

Migration de la zone DNS privée précédente vers la nouvelle zone

Bien que vous puissiez continuer à utiliser la zone DNS privée précédente avec votre processus de déploiement existant, il est recommandé de la migrer vers la nouvelle zone pour simplifier la gestion de la configuration DNS :

  • Avec la nouvelle zone DNS privée privatelink.batch.azure.com, vous n’avez pas besoin de configurer et de gérer différentes zones pour chaque région pour vos comptes Batch.
  • Lorsque vous commencez à utiliser le nouveau point de terminaison privé nodeManagement qui utilise également la nouvelle zone DNS privée, vous n’avez qu’une seule zone DNS privée à gérer pour les deux types de points de terminaison privés.

Pour migrer la zone DNS privée précédente, procédez comme suit :

  1. Créez la nouvelle zone DNS privée privatelink.batch.azure.com et liez-la à votre réseau virtuel.
  2. Copiez tous les enregistrements DNS A de la zone DNS privée précédente vers la nouvelle zone :
From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>
  1. Dissociez la zone DNS privée précédente de votre réseau virtuel.
  2. Vérifiez la résolution DNS au sein de votre réseau virtuel. L’adresse IP du point de terminaison privé doit toujours être utilisée pour résoudre le nom DNS du compte Batch :
nslookup myaccount.<region>.batch.azure.com
  1. Commencez à utiliser la nouvelle zone DNS privée avec votre processus de déploiement pour les nouveaux points de terminaison privés.
  2. Supprimez la zone DNS privée précédente une fois la migration terminée.

Tarifs

Pour plus d’informations sur les coûts liés aux points de terminaison privés, voir Prix d’Azure Private Link.

Limites et meilleures pratiques actuelles

Lorsque vous créez un point de terminaison privé avec votre compte Batch privé, gardez à l’esprit les points suivants :

  • Les ressources du point de terminaison privé peuvent être créées dans un autre abonnement que le compte Batch, mais l’abonnement doit être inscrit auprès de Microsoft.Batch fournisseur de ressources .
  • Le déplacement des ressources n’est pas pris en charge pour les points de terminaison privés avec des comptes Batch.
  • Si une ressource de compte Batch est déplacée vers un autre groupe de ressources ou un autre abonnement, les points de terminaison privés peuvent toujours fonctionner, mais l’association au compte Batch s’interrompt. Si vous supprimez la ressource de point de terminaison privé, sa connexion de point de terminaison privé associée existe toujours dans votre compte Batch. Vous pouvez supprimer manuellement la connexion de votre compte Batch.
  • Pour supprimer la connexion privée, supprimez la ressource de point de terminaison privé ou supprimez la connexion privée dans le compte Batch (cette action déconnecte la ressource de point de terminaison privé associée).
  • Les enregistrements DNS dans la zone DNS privée ne sont pas supprimés automatiquement lorsque vous supprimez une connexion de point de terminaison privé du compte Batch. Vous devez supprimer manuellement les enregistrements DNS avant d’ajouter un nouveau point de terminaison privé lié à cette zone DNS privée. Si vous ne nettoyez pas les enregistrements DNS, des problèmes d’accès inattendus peuvent se produire.
  • Lorsque le point de terminaison privé est activé pour le compte Batch, le jeton d'authentification de tâche pour la tâche Batch n'est pas pris en charge. La solution de contournement consiste à utiliser le pool Batch avec des identités managées.

Étapes suivantes