Key Vault'u Azure Özel Bağlantı ile tümleştirme
Azure Özel Bağlantı Hizmeti, sanal ağınızdaki Özel Uç Nokta üzerinden Azure Hizmetleri'ne (örneğin Azure Key Vault, Azure Depolama ve Azure Cosmos DB) ve Azure tarafından barındırılan müşteri/iş ortağı hizmetlerine erişmenizi sağlar.
Azure Özel Uç Noktası, sizi Azure Özel Bağlantı tarafından desteklenen bir hizmete özel ve güvenli bir şekilde bağlayan bir ağ arabirimidir. Özel uç nokta, sanal ağınızdan bir özel IP adresi kullanarak hizmeti etkili bir şekilde sanal ağınıza getirir. Hizmete giden tüm trafik özel uç nokta üzerinden yönlendirilebilir, bu nedenle ağ geçitleri, NAT cihazları, ExpressRoute veya VPN bağlantıları veya genel IP adresleri gerekmez. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Bir Azure kaynağının örneğine bağlanarak erişim denetiminde en yüksek ayrıntı düzeyini sağlayabilirsiniz.
Daha fazla bilgi için bkz. Azure Özel Bağlantı nedir?
Önkoşullar
Anahtar kasasını Azure Özel Bağlantı ile tümleştirmek için şunları yapmanız gerekir:
- Anahtar kasası.
- Bir Azure sanal ağı.
- Sanal ağdaki bir alt ağ.
- Hem anahtar kasası hem de sanal ağ için sahip veya katkıda bulunan izinleri.
Özel uç noktanız ve sanal ağınız aynı bölgede olmalıdır. Portalı kullanarak özel uç nokta için bir bölge seçtiğinizde, yalnızca bu bölgedeki sanal ağlar otomatik olarak filtrelenir. Anahtar kasanız farklı bir bölgede olabilir.
Özel uç noktanız sanal ağınızda özel bir IP adresi kullanır.
Azure portalını kullanarak Key Vault'a özel bağlantı oluşturma
İlk olarak, Azure portalını kullanarak sanal ağ oluşturma bölümünde yer alan adımları izleyerek bir sanal ağ oluşturun
Daha sonra yeni bir anahtar kasası oluşturabilir veya mevcut bir anahtar kasasına özel bağlantı oluşturabilirsiniz.
Yeni bir anahtar kasası oluşturma ve özel bağlantı bağlantısı kurma
Azure portalı, Azure CLI veya Azure PowerShell ile yeni bir anahtar kasası oluşturabilirsiniz.
Anahtar kasası temel bilgilerini yapılandırdıktan sonra Ağ sekmesini seçin ve şu adımları izleyin:
Radyo düğmesini kapatarak genel erişimi devre dışı bırakın.
Özel uç nokta eklemek için "+ Özel uç nokta oluştur" Düğmesini seçin.
Özel Uç Nokta Oluştur Dikey Penceresinin "Konum" alanında, sanal ağınızın bulunduğu bölgeyi seçin.
"Ad" alanında, bu özel uç noktayı tanımlamanızı sağlayacak açıklayıcı bir ad oluşturun.
Açılan menüden bu özel uç noktanın oluşturulmasını istediğiniz sanal ağı ve alt ağı seçin.
"Özel bölge DNS'siyle tümleştir" seçeneğini değiştirmeden bırakın.
"Tamam" seçeneğini belirleyin.
Artık yapılandırılmış özel uç noktayı görebilirsiniz. Artık bu özel uç noktayı silebilir ve düzenleyebilirsiniz. "Gözden Geçir + Oluştur" düğmesini seçin ve anahtar kasasını oluşturun. Dağıtımın tamamlanması 5-10 dakika sürer.
Mevcut bir anahtar kasasına özel bağlantı oluşturma
Zaten bir anahtar kasanız varsa, aşağıdaki adımları izleyerek özel bağlantı bağlantısı oluşturabilirsiniz:
Azure Portal’ında oturum açın.
Arama çubuğuna "anahtar kasaları" yazın.
Özel uç nokta eklemek istediğiniz listeden anahtar kasasını seçin.
Ayarlar'ın altındaki "Ağ" sekmesini seçin.
Sayfanın üst kısmındaki "Özel uç nokta bağlantıları" sekmesini seçin.
Sayfanın üst kısmındaki "+ Oluştur" düğmesini seçin.
"Proje Ayrıntıları" altında, bu öğreticinin önkoşulu olarak oluşturduğunuz sanal ağı içeren Kaynak Grubunu seçin. "Örnek ayrıntıları" altında, Ad olarak "myPrivateEndpoint" yazın ve bu öğretici için önkoşul olarak oluşturduğunuz sanal ağ ile aynı konumu seçin.
Bu dikey pencereyi kullanarak içindeki herhangi bir Azure kaynağı için özel uç nokta oluşturmayı seçebilirsiniz. Açılan menüleri kullanarak bir kaynak türü seçebilir ve dizininizdeki bir kaynağı seçebilir veya kaynak kimliği kullanarak herhangi bir Azure kaynağına bağlanabilirsiniz. "Özel bölge DNS'siyle tümleştir" seçeneğini değiştirmeden bırakın.
"Kaynaklar" dikey penceresine ilerleyin. "Kaynak türü" için "Microsoft.KeyVault/vaults" öğesini seçin; "Kaynak" için, bu öğretici için önkoşul olarak oluşturduğunuz anahtar kasasını seçin. "Hedef alt kaynak", "kasa" ile otomatik olarak doldurulur.
"Sanal Ağ" öğesine ilerleyin. Bu öğreticinin önkoşulu olarak oluşturduğunuz sanal ağı ve alt ağı seçin.
Varsayılanları kabul ederek "DNS" ve "Etiketler" dikey pencerelerinde ilerleyin.
"Gözden Geçir + Oluştur" dikey penceresinde "Oluştur"u seçin.
Özel uç nokta oluşturduğunuzda bağlantının onaylanması gerekir. Özel uç nokta oluşturduğunuz kaynak dizininizdeyse, yeterli izinlere sahip olmanız koşuluyla bağlantı isteğini onaylayabilirsiniz; Başka bir dizindeki bir Azure kaynağına bağlanıyorsanız, bu kaynağın sahibinin bağlantı isteğinizi onaylamasını beklemeniz gerekir.
Dört sağlama durumu vardır:
Hizmet eylemi | Hizmet tüketicisi özel uç nokta durumu | Açıklama |
---|---|---|
Hiçbiri | Beklemede | Bağlantı el ile oluşturulur ve Özel Bağlantı kaynak sahibinden onay bekliyor. |
Onayla | Onaylandı | Bağlantı otomatik olarak veya el ile onaylandı ve kullanılmaya hazır. |
Reddet | Reddedildi | Bağlantı, özel bağlantı kaynağı sahibi tarafından reddedildi. |
Kaldır | Bağlantı kesildi | Bağlantı özel bağlantı kaynağı sahibi tarafından kaldırıldı, özel uç nokta bilgilendirici hale geldi ve temizleme için silinmelidir. |
Azure portalını kullanarak Key Vault'a özel uç nokta bağlantısını yönetme
Azure portalında oturum açın.
Arama çubuğuna "anahtar kasaları" yazın
Yönetmek istediğiniz anahtar kasasını seçin.
"Ağ" sekmesini seçin.
Bekleyen herhangi bir bağlantı varsa, sağlama durumunda "Beklemede" ile listelenen bir bağlantı görürsünüz.
Onaylamak istediğiniz özel uç noktayı seçin
Onayla düğmesini seçin.
Reddetmek istediğiniz herhangi bir özel uç nokta bağlantısı varsa (bekleyen bir istek veya mevcut bağlantı) bağlantıyı seçin ve "Reddet" düğmesini seçin.
Özel bağlantı bağlantısının çalıştığını doğrulayın
Özel uç nokta kaynağının aynı alt ağı içindeki kaynakların özel bir IP adresi üzerinden anahtar kasanıza bağlandığını ve doğru özel DNS bölgesi tümleştirmesine sahip olduklarını doğrulamanız gerekir.
İlk olarak, Azure portalında Windows sanal makinesi oluşturma adımlarını izleyerek bir sanal makine oluşturun
"Ağ" sekmesinde:
- Sanal ağ ve Alt ağ belirtin. Yeni bir sanal ağ oluşturabilir veya var olan bir sanal ağı seçebilirsiniz. Mevcut bir bölge seçiyorsanız, bölgenin eşleştiğinden emin olun.
- Genel IP kaynağı belirtin.
- "NIC ağ güvenlik grubunda" "Yok" seçeneğini belirleyin.
- "Yük dengeleme" bölümünde "Hayır" seçeneğini belirleyin.
Komut satırını açın ve aşağıdaki komutu çalıştırın:
nslookup <your-key-vault-name>.vault.azure.net
Genel uç nokta üzerinden bir anahtar kasasının IP adresini çözümlemek için ns arama komutunu çalıştırırsanız şuna benzer bir sonuç görürsünüz:
c:\ >nslookup <your-key-vault-name>.vault.azure.net
Non-authoritative answer:
Name:
Address: (public IP address)
Aliases: <your-key-vault-name>.vault.azure.net
Özel uç nokta üzerinden bir anahtar kasasının IP adresini çözümlemek için ns arama komutunu çalıştırırsanız şuna benzer bir sonuç görürsünüz:
c:\ >nslookup your_vault_name.vault.azure.net
Non-authoritative answer:
Name:
Address: 10.1.0.5 (private IP address)
Aliases: <your-key-vault-name>.vault.azure.net
<your-key-vault-name>.privatelink.vaultcore.azure.net
Sorun Giderme Kılavuzu
Özel uç noktanın onaylanan durumda olduğundan emin olun.
- Bunu Azure portalda denetleyebilir ve gerekirse düzeltebilirsiniz. Key Vault kaynağını açın ve Ağ Oluşturma seçeneğini belirleyin.
- Ardından Özel uç nokta bağlantıları sekmesini seçin.
- Bağlantı durumunun Onaylanmış, sağlama durumunun da Başarılı olduğundan emin olun.
- Ayrıca, özel uç nokta kaynağına gidip aynı özellikleri burada gözden geçirebilir ve sanal ağın kullandığınız ağ ile eşleşip eşleşmediğini bir kez daha kontrol edebilirsiniz.
Özel DNS Bölgesi kaydına sahip olduğunuzdan emin olun.
- Tam adıyla bir Özel DNS Bölgesi kaynağınız olmalıdır: privatelink.vaultcore.azure.net.
- Bunun nasıl ayarlandığını öğrenmek için lütfen aşağıdaki bağlantıya bakın. Özel DNS Bölgeleri
Özel DNS Bölgesinin Sanal Ağ bağlı olduğundan emin olun. Genel IP adresini döndürmeye devam ediyorsanız bu sorun olabilir.
- Özel Bölge DNS'i sanal ağa bağlı değilse, sanal ağdan kaynaklanan DNS sorgusu anahtar kasasının genel IP adresini döndürür.
- Azure portalında Özel DNS Bölgesi kaynağına gidin ve sanal ağ bağlantıları seçeneğini belirleyin.
- Açılan listede anahtar kasasına çağrı yapacak olan sanal ağ da bulunmalıdır.
- Yoksa ekleyin.
- Ayrıntılı adımlar için aşağıdaki Sanal Ağ Özel DNS Bölgesine bağlama belgesine bakın
Özel DNS Bölgesi'nde anahtar kasası için bir A kaydı eksik olmadığından emin olun.
- Özel DNS Bölgesi sayfasına gidin.
- Genel Bakış'ı seçin ve anahtar kasanızın basit adına (fabrikam) sahip bir A kaydı olup olmadığını denetleyin. Herhangi bir sonek belirtmeyin.
- Yazımı denetleyin ve A kaydını düzeltin veya yeni bir kayıt oluşturun. 600 (10 dakika) TTL kullanabilirsiniz.
- Doğru özel IP adresini belirttiğinizden emin olun.
A kaydının doğru IP Adresine sahip olduğundan emin olun.
- Azure portalında Özel Uç Nokta kaynağını açarak IP adresini onaylayabilirsiniz.
- Azure portalında Microsoft.Network/privateEndpoints kaynağına (Key Vault kaynağına değil) gidin
- Genel bakış sayfasında Ağ arabirimi'ni arayın ve bu bağlantıyı seçin.
- Bağlantıya tıkladığınızda açılan NIC kaynağı Genel Bakış sayfasında Özel IP adresi yer alır.
- Bunun A kaydında belirtilen doğru IP adresi olduğunu doğrulayın.
Şirket içi kaynaktan Key Vault'a bağlanıyorsanız, şirket içi ortamda gerekli tüm koşullu ileticilerin etkinleştirildiğinden emin olun.
- Gereken bölgeler için Azure Özel Uç Nokta DNS yapılandırmasını gözden geçirin ve hem hem de
vault.azure.net
vaultcore.azure.net
şirket içi DNS'niz için koşullu ileticileriniz olduğundan emin olun. - Azure Özel DNS Çözümleyicisi'ne veya Azure çözümlemesine erişimi olan başka bir DNS platformuna yönlendiren bölgeler için koşullu ileticileriniz olduğundan emin olun.
- Gereken bölgeler için Azure Özel Uç Nokta DNS yapılandırmasını gözden geçirin ve hem hem de
Sınırlamalar ve TasarımLa İlgili Dikkat Edilmesi Gerekenler
Sınırlar: bkz. Azure Özel Bağlantı sınırları
Fiyatlandırma: Bkz. Azure Özel Bağlantı fiyatlandırma.
Sınırlamalar: Bkz. Azure Özel Bağlantı hizmeti: Sınırlamalar
Sonraki Adımlar
- Azure Özel Bağlantı hakkında daha fazla bilgi edinin
- Azure Key Vault hakkında daha fazla bilgi edinin