Интеграция Key Vault со службой "Приватный канал Azure"

  • Статья

Служба приватных каналов Azure обеспечивает доступ к службам Azure (например, к Azure Key Vault, службе хранилища Azure и Azure Cosmos DB), а также размещенным в Azure службам клиентов или партнеров через частную конечную точку виртуальной сети.

Частная конечная точка Azure — это сетевой интерфейс, который защищенно и надежно подключается к службе через Приватный канал Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, по сути перемещая службу в виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute и VPN, а также общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Это позволяет избежать рисков общедоступного Интернета. Вы можете подключиться к экземпляру ресурса Azure, обеспечивая наивысшую степень детализации в управлении доступом.

Дополнительные сведения см. в статье Что такое Приватный канал Azure.

Необходимые компоненты

Чтобы интегрировать хранилище ключей с Приватный канал Azure, вам потребуется:

  • Хранилище ключей.
  • Виртуальная сеть Azure.
  • Подсеть в виртуальной сети.
  • Разрешения владельца или участника для хранилища ключей и виртуальной сети.

Частная конечная точка и виртуальная сеть должны находиться в одном регионе. При выборе региона для частной конечной точки с помощью портала будут автоматически фильтроваться только виртуальные сети в этом регионе. Хранилище ключей может находиться в другом регионе.

Частная конечная точка использует частный IP-адрес в виртуальной сети.

Сначала создайте виртуальную сеть, выполнив действия, описанные в статье Краткое руководство. Создание виртуальной сети с помощью портала Azure.

Затем можно или создать хранилище ключей, либо установить подключение Приватного канала к существующему хранилищу ключей.

Вы можете создать хранилище ключей с помощью портала Azure, Azure CLI или Azure PowerShell.

После настройки основных компонентов хранилища ключей перейдите на вкладку "Сеть" и выполните следующие шаги:

  1. Отключите общедоступный доступ, переключив переключатель.

  2. Нажмите кнопку "+ Создать частную конечную точку", чтобы добавить частную конечную точку.

    Снимок экрана: вкладка

  3. В колонке "Создание частной конечной точки" в поле "Расположение" выберите регион, в котором расположена ваша виртуальная сеть.

  4. В поле "Имя" введите описательное имя. По нему вы сможете найти эту частную конечную точку.

  5. В раскрывающемся меню выберите виртуальную сеть и подсеть, в которых нужно создать эту частную конечную точку.

  6. Оставьте без изменений переключатель Integrate with the private zone DNS (Интегрировать с частной зоной DNS).

  7. Нажмите «ОК».

    Снимок экран: страница создания частной конечной точки с выбранными параметрами.

Теперь вы сможете просмотреть настроенную частную конечную точку. Теперь вы можете удалить и изменить эту частную конечную точку. Нажмите кнопку "Просмотр и создание" и создайте хранилище ключей. Развертывание может занять 5–10 минут.

Если у вас уже есть хранилище ключей, можно создать подключение Приватного канала к нему, выполнив следующие действия:

  1. Войдите на портал Azure.

  2. В строке поиска введите "хранилища ключей".

  3. Выберите в списке хранилище ключей, для которого необходимо добавить частную конечную точку.

  4. Выберите вкладку "Сеть" в разделе "Параметры".

  5. Щелкните вкладку "Подключения к частным конечным точкам" в верхней части страницы.

  6. Нажмите кнопку "+Создать" в верхней части страницы.

    Снимок экрана: кнопка добавления частной конечной точки на странице Снимок экрана: вкладка

  7. В разделе "Сведения о проекте" выберите группу ресурсов, которая содержит виртуальную сеть, созданную согласно требованиям для работы с этим руководством. В разделе "Сведения об экземпляре" введите myPrivateEndpoint в поле "Имя" и выберите то же расположение, что и у виртуальной сети, созданной согласно требованиям для работы с этим руководством.

    Вы можете создать частную конечную точку для любого ресурса Azure, используя эту колонку. Можно использовать раскрывающиеся меню, чтобы выбрать тип ресурса и ресурс в каталоге, или подключиться к любому ресурсу Azure, используя идентификатор ресурса. Оставьте без изменений переключатель Integrate with the private zone DNS (Интегрировать с частной зоной DNS).

  8. Перейдите к колонке "Ресурсы". В поле "Тип ресурса" выберите Microsoft.KeyVault/vaults; в поле "Ресурс" выберите хранилище ключей, созданное согласно требованиям для работы с этим руководством. В поле "Целевой подресурс" будет автоматически указано "хранилище".

  9. Перейдите в раздел "Виртуальная сеть". Выберите виртуальную сеть и подсеть, созданные согласно требованиям для работы с этим руководством.

  10. Перейдите к колонкам "DNS" и "Теги", принимая значения по умолчанию.

  11. На странице "Проверка и создание" выберите "Создать".

При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в каталоге, вы сможете утвердить запрос на подключение, предоставленный у вас достаточно разрешений; Если вы подключаетесь к ресурсу Azure в другом каталоге, необходимо подождать, пока владелец этого ресурса утвердит запрос на подключение.

Существует четыре состояния подготовки:

Действие в службе Состояние частной конечной точки объекта-получателя службы Description
Нет Не завершено Подключение создается вручную и ожидает утверждения от владельца ресурса Приватного канала.
Утвердить Утвержденная Подключение утверждено автоматически или вручную и готово к использованию.
Отклонить Аннулировано Подключение отклонил владелец ресурса Приватного канала.
Удалить Отключено Подключение удалил владелец ресурса Приватного канала. Частная конечная точка станет информативной и подлежит удалению для очистки.

Управление подключением частной конечной точки к Key Vault с помощью портала Azure

  1. Войдите на портал Azure.

  2. В строке поиска введите "хранилища ключей".

  3. Выберите хранилище ключей для управления.

  4. Перейдите на вкладку "Сеть".

  5. Если есть какие-либо подключения, ожидающие, вы увидите подключение, указанное в состоянии подготовки с параметром "Ожидание".

  6. Выберите частную конечную точку, которую вы хотите утвердить.

  7. Нажмите кнопку "Утвердить".

  8. Если есть какие-либо подключения к частной конечной точке, которые вы хотите отклонить, будь то ожидающий запрос или существующее подключение, выберите подключение и нажмите кнопку "Отклонить".

    Изображения

Необходимо убедиться, что ресурсы в одной подсети ресурса частной конечной точки подключаются к хранилищу ключей по частному IP-адресу и что они правильно интегрируются с частной зоной DNS.

Сначала создайте виртуальную машину, выполнив действия, описанные в статье Краткое руководство. Создание виртуальной машины Windows на портале Azure.

На вкладке "Сеть" выполните следующее:

  1. Укажите виртуальную сеть и подсеть. Можно создать виртуальную сеть или выбрать существующую. При выборе существующей сети убедитесь, что регион соответствует.
  2. Укажите ресурс общедоступного IP-адреса.
  3. В списке "Группа безопасности сети сетевого адаптера" выберите "Нет".
  4. В поле "Балансировка нагрузки" выберите "Нет".

Откройте командную строку и выполните следующую команду:

nslookup <your-key-vault-name>.vault.azure.net

Если выполнить команду подстановки ns для разрешения IP-адреса хранилища ключей через общедоступную конечную точку, вы увидите результат, который выглядит следующим образом:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

При выполнении команды подстановки ns для разрешения IP-адреса хранилища ключей через частную конечную точку вы увидите результат, который выглядит следующим образом:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Руководство по устранению неполадок

  • Убедитесь, что частная конечная точка находится в состоянии утверждено.

    1. Это можно проверить и исправить на портале Azure. Откройте ресурс Key Vault и выберите параметр Сеть.
    2. Затем выберите вкладку подключения частной конечной точки.
    3. Убедитесь, что подключение находится в состоянии Утверждено, а состояние подготовки — Успешно.
    4. Вы также можете перейти к ресурсу частной конечной точки и просмотреть те же свойства, и дважды проверить, соответствует ли виртуальная сеть используемой.

  • Убедитесь, что у вас есть ресурс Частной зоны DNS.

    1. Необходимо иметь ресурс Частной зоны DNS с точным именем: privatelink.vaultcore.azure.net.
    2. Чтобы узнать, как это сделать, перейдите по следующей ссылке. Частные зоны DNS

  • Убедитесь, что Частная зона DNS связана с виртуальной сетью. Это может быть проблема, если вы по-прежнему получаете общедоступный IP-адрес.

    1. Если DNS частной зоны не связан с виртуальной сетью, запрос DNS, исходящий из виртуальной сети, вернет общедоступный IP-адрес хранилища ключей.
    2. Перейдите к ресурсу Частная зона DNS Zone в портал Azure и выберите параметр каналов виртуальной сети.
    3. Должна быть указана виртуальная сеть, которая будет выполнять вызовы к хранилищу ключей.
    4. Если она отсутствует, добавьте ее.
    5. Подробные инструкции см. в разделе освязывании виртуальной сети с Частной зоной DNS.

  • Убедитесь, что зона Частная зона DNS отсутствует запись A для хранилища ключей.

    1. Перейдите на страницу Частной зоны DNS.
    2. Выберите "Обзор" и проверьте, есть ли запись A с простым именем хранилища ключей (т. е. fabrikam). Не указывайте суффикс.
    3. Проверьте правильность написания, а затем создайте или исправьте запись A. Можно использовать срок жизни 600 (10 минут).
    4. Необходимо указать правильный Частный IP-адрес.

  • Убедитесь, что запись A имеет правильный IP-адрес.

    1. Вы можете проверить IP-адрес, открыв ресурс частной конечной точки на портале Azure.
    2. Перейдите к ресурсу Microsoft.Network/privateEndpoints на портале Azure (а не в ресурсе Key Vault).
    3. На странице обзора найдите сетевой интерфейс и выберите такую ссылку.
    4. Отобразится обзор ресурса сетевой карты, который содержит частный IP-адрес свойства.
    5. Убедитесь, что это правильный IP-адрес, который указан в записи A.

  • Если вы подключаетесь из локального ресурса к Key Vault, убедитесь, что у вас есть все необходимые условные серверы пересылки в локальной среде.

    1. Проверьте конфигурацию DNS частной конечной точки Azure для необходимых зон и убедитесь, что у вас есть условные серверы пересылки для vault.azure.net vaultcore.azure.net локальной службы DNS.
    2. Убедитесь, что у вас есть условные серверы пересылки для тех зон, которые направляются в azure Частная зона DNS Resolver или другой платформы DNS с доступом к разрешению Azure.

Проблемы и ограничения разработки

Ограничения описаны в разделе Ограничения для Приватного канала.

Цены описаны на странице цен на Приватный канал Azure.

Ограничения описаны в разделе Ограничения службы “Приватный канал Azure”.

Next Steps