Usare endpoint privati con account Azure Batch

Per impostazione predefinita, gli account Azure Batch dispongono di endpoint pubblici e sono accessibili pubblicamente. Il servizio Batch offre la possibilità di creare un endpoint privato per gli account Batch, consentendo l'accesso alla rete privata al servizio Batch.

Usando collegamento privato di Azure, è possibile connettersi a un account Azure Batch tramite un endpoint privato. L'endpoint privato è un set di indirizzi IP privati in una subnet all'interno della rete virtuale. È quindi possibile limitare l'accesso a un account Azure Batch tramite indirizzi IP privati.

collegamento privato consente agli utenti di accedere a un account Azure Batch dalla rete virtuale o da qualsiasi rete virtuale con peering. Le risorse mappate a collegamento privato sono accessibili anche in locale tramite peering privato tramite VPN o Azure ExpressRoute. È possibile connettersi a un account Azure Batch configurato con collegamento privato usando il metodo di approvazione automatica o manuale.

Questo articolo descrive i passaggi per creare un endpoint privato per accedere agli endpoint dell'account Batch.

Risorse secondarie dell'endpoint privato supportate per l'account Batch

La risorsa dell'account Batch include due endpoint supportati per accedere con endpoint privati:

  • Endpoint account (sotto-risorsa: batchAccount): questo endpoint viene usato per accedere all'API REST del servizio Batch (piano dati), ad esempio la gestione di pool, nodi di calcolo, processi, attività e così via.

  • Endpoint di gestione dei nodi (sotto-risorsa: nodeManagement): usato dai nodi del pool batch per accedere al servizio di gestione dei nodi Batch. Questo endpoint è applicabile solo quando si usa la comunicazione semplificata del nodo di calcolo.

Diagramma che mostra le risorse secondarie per gli endpoint privati batch.

Suggerimento

È possibile creare un endpoint privato per uno o entrambi all'interno della rete virtuale, a seconda dell'utilizzo effettivo per l'account Batch. Ad esempio, se si esegue il pool batch all'interno della rete virtuale, ma chiamare l'API REST del servizio Batch da un'altra parte, sarà necessario creare solo l'endpoint privato nodeManagement nella rete virtuale.

Portale di Azure

Seguire questa procedura per creare un endpoint privato con l'account Batch usando il portale di Azure:

  1. Passare all'account Batch nel portale di Azure.
  2. In Impostazioni selezionare Rete e passare alla scheda Accesso privato. Selezionare quindi + Endpoint privato. Screenshot delle connessioni endpoint private.
  3. Nel riquadro Informazioni di base immettere o selezionare la sottoscrizione, il gruppo di risorse, il nome della risorsa dell'endpoint privato e i dettagli dell'area, quindi selezionare Avanti: Risorsa. Screenshot della creazione di un endpoint privato - Riquadro Nozioni di base.
  4. Nel riquadro Risorsa impostare il tipo di risorsa su Microsoft.Batch/batchAccounts. Selezionare l'account Batch a cui si vuole accedere, selezionare la sotto-risorsa di destinazione e quindi selezionare Avanti: Configurazione. Screenshot della creazione di un endpoint privato - Riquadro Risorse.
  5. Nel riquadro Configurazione immettere o selezionare queste informazioni:
    • Per Rete virtuale selezionare la rete virtuale.
    • Per Subnet selezionare la subnet.
    • Per la configurazione IP privata selezionare l'indirizzo IP allocato in modo dinamico predefinito.
    • Per Integrare con la zona DNS privata, selezionare . Per connettersi in privato con l'endpoint privato, è necessario un record DNS. È consigliabile integrare l'endpoint privato con una zona DNS privata. È anche possibile usare i propri server DNS o creare record DNS usando i file host delle macchine virtuali.
    • Per DNS privato Zona selezionare privatelink.batch.azure.com. La zona DNS privata viene determinata automaticamente. Non è possibile modificare questa impostazione usando il portale di Azure.

Importante

  • Se sono stati creati endpoint privati esistenti con la zona privatelink.<region>.batch.azure.comDNS privata precedente, seguire Migrazione con endpoint privati dell'account Batch esistenti.
  • Se è stata selezionata l'integrazione della zona DNS privata, assicurarsi che la zona DNS privata sia collegata correttamente alla rete virtuale. È possibile che portale di Azure consentire di scegliere una zona DNS privata esistente, che potrebbe non essere collegata alla rete virtuale e sarà necessario aggiungere manualmente il collegamento alla rete virtuale.
  1. Selezionare Rivedi e crea, quindi attendere che Azure convalida la configurazione.
  2. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Suggerimento

È anche possibile creare l'endpoint privato da collegamento privato Center in portale di Azure oppure creare una nuova risorsa eseguendo la ricerca di un endpoint privato.

Usare l'endpoint privato

Dopo il provisioning dell'endpoint privato, è possibile accedere all'account Batch usando l'indirizzo IP privato all'interno della rete virtuale:

  • Endpoint privato per batchAccount: può accedere al piano dati dell'account Batch per gestire pool/processi/attività.

  • Endpoint privato per nodeManagement: i nodi di calcolo del pool batch possono connettersi e essere gestiti dal servizio di gestione dei nodi Batch.

Suggerimento

È consigliabile disabilitare anche l'accesso di rete pubblico con l'account Batch quando si usano endpoint privati, che limitano l'accesso solo alla rete privata.

Importante

Se l'accesso alla rete pubblica è disabilitato con l'account Batch, l'esecuzione di operazioni di account (ad esempio pool, processi) all'esterno della rete virtuale in cui viene effettuato il provisioning dell'endpoint privato genererà un messaggio "AuthorizationFailure" per l'account Batch nel portale di Azure.

Per visualizzare gli indirizzi IP per l'endpoint privato dal portale di Azure:

  1. Selezionare Tutte le risorse.
  2. Cercare l'endpoint privato creato in precedenza.
  3. Selezionare la scheda Configurazione DNS per visualizzare le impostazioni DNS e gli indirizzi IP.

Impostazioni DNS dell'endpoint privato e indirizzi IP

Configurare le zone DNS

Usare una zona DNS privata all'interno della subnet in cui è stato creato l'endpoint privato. Configurare gli endpoint in modo che ogni indirizzo IP privato venga mappato a una voce DNS.

Quando si crea l'endpoint privato, è possibile integrarlo con una zona DNS privata in Azure. Se si sceglie di usare invece un dominio personalizzato, è necessario configurarlo per aggiungere record DNS per tutti gli indirizzi IP privati riservati all'endpoint privato.

Migrazione con endpoint privati dell'account Batch esistenti

Con l'introduzione del nuovo nodo risorsa secondaria dell'endpoint privatoManagement per l'endpoint di gestione dei nodi Batch, la zona DNS privata predefinita per l'account Batch viene semplificata da privatelink.<region>.batch.azure.com a privatelink.batch.azure.com. Per mantenere la compatibilità con le versioni precedenti con la zona DNS privata usata in precedenza, per un account Batch con qualsiasi endpoint privato batchaccount approvato, i mapping DNS CNAME dell'endpoint dell'account contengono entrambe le zone (con la zona precedente viene prima), ad esempio:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Continuare a usare la zona DNS privata precedente

Se la zona privatelink.<region>.batch.azure.com DNS precedente è già stata usata con la rete virtuale, è consigliabile continuare a usarla per endpoint privati batch esistenti e nuovi e non è necessaria alcuna azione.

Importante

Con l'utilizzo esistente della zona DNS privata precedente, continuare a usarlo anche con gli endpoint privati appena creati. Non usare la nuova zona con la soluzione di integrazione DNS fino a quando non è possibile eseguire la migrazione alla nuova zona.

Creare un nuovo endpoint privato batchAccount con integrazione DNS in portale di Azure

Se si crea manualmente un nuovo endpoint privato batchAccount usando portale di Azure con l'integrazione DNS automatica abilitata, verrà usata la nuova privatelink.batch.azure.com zona DNS privata per l'integrazione DNS: creare la zona DNS privata, collegarla alla rete virtuale e configurare record DNS A nella zona per l'endpoint privato.

Tuttavia, se la rete virtuale è già stata collegata alla zona privatelink.<region>.batch.azure.comDNS privata precedente, interromperà la risoluzione DNS per l'account batch nella rete virtuale, perché il record DNS A per il nuovo endpoint privato viene aggiunto nella nuova zona, ma la risoluzione DNS controlla prima la zona precedente per il supporto per la compatibilità con le versioni precedenti.

È possibile attenuare questo problema con le opzioni seguenti:

  • Se non è più necessaria la zona DNS privata precedente, scollegarla dalla rete virtuale. Non sono necessarie ulteriori azioni.

  • In caso contrario, dopo la creazione del nuovo endpoint privato:

    1. assicurarsi che l'integrazione DNS privata automatica abbia un record DNS A creato nella nuova zona privatelink.batch.azure.comDNS privata. Ad esempio, myaccount.<region> A <IPv4 address>.

    2. Passare alla zona privatelink.<region>.batch.azure.comDNS privata precedente.

    3. Aggiungere manualmente un record CNAME DNS. Ad esempio, myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Importante

Questa mitigazione manuale è necessaria solo quando si crea un nuovo endpoint privato batchAccount con integrazione DNS privata nella stessa rete virtuale che è già stata collegata alla zona DNS privata precedente.

Migrazione della zona DNS privata precedente alla nuova zona

Anche se è possibile continuare a usare la zona DNS privata precedente con il processo di distribuzione esistente, è consigliabile eseguirne la migrazione alla nuova zona per semplicità della gestione della configurazione DNS:

  • Con la nuova zona privatelink.batch.azure.comDNS privata, non sarà necessario configurare e gestire zone diverse per ogni area con gli account Batch.
  • Quando si inizia a usare il nuovo endpoint privato nodeManagement che usa anche la nuova zona DNS privata, sarà necessario gestire una singola zona DNS privata per entrambi i tipi di endpoint privati.

È possibile eseguire la migrazione della zona DNS privata precedente con la procedura seguente:

  1. Creare e collegare la nuova zona privatelink.batch.azure.com DNS privata alla rete virtuale.
  2. Copiare tutti i record DNS A dalla zona DNS privata precedente alla nuova zona:
From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>
  1. Scollegare la zona DNS privata precedente dalla rete virtuale.
  2. Verificare la risoluzione DNS all'interno della rete virtuale e il nome DNS dell'account Batch deve continuare a essere risolto nell'indirizzo IP dell'endpoint privato:
nslookup myaccount.<region>.batch.azure.com
  1. Iniziare a usare la nuova zona DNS privata con il processo di distribuzione per nuovi endpoint privati.
  2. Eliminare la zona DNS privata precedente dopo il completamento della migrazione.

Prezzi

Per informazioni dettagliate sui costi correlati agli endpoint privati, vedere collegamento privato di Azure prezzi.

Limitazioni correnti e procedure consigliate

Quando si crea un endpoint privato con l'account Batch, tenere presente quanto segue:

  • Le risorse dell'endpoint privato possono essere create in una sottoscrizione diversa come account Batch, ma la sottoscrizione deve essere registrata con il provider di risorse Microsoft.Batch.
  • Lo spostamento delle risorse non è supportato per gli endpoint privati con gli account Batch.
  • Se una risorsa account Batch viene spostata in un gruppo di risorse o una sottoscrizione diversa, gli endpoint privati possono comunque funzionare, ma l'associazione all'account Batch si interrompe. Se si elimina la risorsa endpoint privato, la connessione dell'endpoint privato associata esiste ancora nell'account Batch. È possibile rimuovere manualmente la connessione dall'account Batch.
  • Per eliminare la connessione privata, eliminare la risorsa dell'endpoint privato o eliminare la connessione privata nell'account Batch (questa azione disconnette la risorsa dell'endpoint privato correlata).
  • I record DNS nella zona DNS privata non vengono rimossi automaticamente quando si elimina una connessione endpoint privata dall'account Batch. È necessario rimuovere manualmente i record DNS prima di aggiungere un nuovo endpoint privato collegato a questa zona DNS privata. Se non si puliscono i record DNS, potrebbero verificarsi problemi di accesso imprevisti.
  • Quando l'endpoint privato è abilitato per l'account Batch, il token di autenticazione dell'attività per l'attività Batch non è supportato. La soluzione alternativa consiste nell'usare il pool batch con identità gestite.

Passaggi successivi