Bezpečné připojení sítí k Azure Automation pomocí Azure Private Link

Privátní koncový bod Azure je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě a efektivně přináší službu Automation do vaší virtuální sítě. Síťový provoz mezi počítači ve virtuální síti a účtem Automation prochází přes virtuální síť a privátní propojení v páteřní síti Microsoftu, čímž se eliminuje riziko vystavení na veřejném internetu.

Máte například virtuální síť, ve které jste zakázali odchozí přístup k internetu. Chcete ale přistupovat k účtu Automation soukromě a používat funkce Automation, jako jsou webhooky, State Configuration a úlohy runbooku v hybridních pracovních procesů runbooku. Kromě toho chcete, aby uživatelé měli přístup k účtu Automation jenom prostřednictvím virtuální sítě. Nasazení privátního koncového bodu dosáhne těchto cílů.

Tento článek popisuje, kdy použít privátní koncový bod a jak nastavit privátní koncový bod pomocí účtu Automation.

Conceptual overview of Private Link for Azure Automation

Poznámka

Private Link podpora Azure Automation je dostupná jenom v cloudech Azure Commercial a Azure US Government.

Výhody

S Private Link můžete:

  • Připojení soukromě Azure Automation bez otevření přístupu k veřejné síti.

  • Připojení soukromě do pracovního prostoru služby Azure Monitor Log Analytics bez otevření přístupu k veřejné síti.

    Poznámka

    Pokud je váš účet Automation propojený s pracovním prostorem Služby Log Analytics pro předávání dat úloh, a pokud máte povolené funkce, jako je Update Management, Sledování změn a inventář, State Configuration nebo spuštění/zastavení virtuálních počítačů mimo pracovní dobu, je potřeba samostatný privátní koncový bod pro váš pracovní prostor Služby Log Analytics. Další informace o Private Link pro Azure Monitor najdete v tématu Použití Azure Private Link k bezpečnému připojení sítí ke službě Azure Monitor.

  • Ujistěte se, že se k datům Automation přistupuje jenom prostřednictvím autorizovaných privátních sítí.

  • Zabránění exfiltraci dat z vašich privátních sítí definováním prostředku Azure Automation, který se připojuje přes váš privátní koncový bod.

  • Zabezpečeně připojte privátní místní síť k Azure Automation pomocí ExpressRoute a Private Link.

  • Udržujte veškerý provoz v páteřní síti Microsoft Azure.

Další informace najdete v tématu Klíčové výhody Private Link.

Omezení

  • V současné implementaci Private Link nemůžou cloudové úlohy účtu Automation přistupovat k prostředkům Azure zabezpečeným pomocí privátního koncového bodu. Například Azure Key Vault, Azure SQL, Azure Storage účet atd. Pokud chcete tento problém obejít, použijte místo toho funkci Hybrid Runbook Worker.
  • Musíte použít nejnovější verzi agenta Log Analytics pro Windows nebo Linux.
  • Brána Log Analytics nepodporuje Private Link.

Jak to funguje

Azure Automation Private Link připojí jeden nebo více privátních koncových bodů (a proto jsou virtuální sítě obsažené) k vašemu prostředku účtu Automation. Tyto koncové body jsou počítače používající webhooky k spuštění runbooku, počítačů hostujících roli Hybrid Runbook Worker a uzly Desired State Configuration (DSC).

Po vytvoření privátních koncových bodů pro Automatizaci se každá z veřejných adres URL automation namapuje na jeden privátní koncový bod ve vaší virtuální síti. Vy nebo počítač můžete přímo kontaktovat adresy URL služby Automation.

Scénář Webhooku

Runbooky můžete spustit pomocí příkazu POST na adrese URL webhooku. Adresa URL například vypadá takto: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Scénář hybrid Runbook Worker

Funkce Hybrid Runbook Worker uživatele Azure Automation umožňuje spouštět runbooky přímo na počítači Azure nebo mimo Azure, včetně serverů zaregistrovaných na serverech s podporou Azure Arc. Na počítači nebo serveru, který je hostitelem role, můžete runbooky spouštět přímo na něm a proti prostředkům v prostředí, abyste mohli tyto místní prostředky spravovat.

Koncový bod JRDS používá hybrid worker ke spuštění/zastavení runbooků, stažení runbooků do pracovního procesu a k odeslání streamu protokolu úloh zpět do služby Automation. Po povolení koncového bodu JRDS by adresa URL vypadala takto: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net. Tím by se zajistilo, že spuštění runbooku v hybridním pracovním procesu připojeném k Azure Virtual Network dokáže spouštět úlohy bez nutnosti otevřít odchozí připojení k internetu.

Poznámka

S aktuální implementací privátních propojení pro Azure Automation podporuje pouze spouštění úloh ve službě Hybrid Runbook Worker připojené k virtuální síti Azure a nepodporuje cloudové úlohy.

Scénář Hybrid Workeru pro Update Management

Systém Hybrid Runbook Worker podporuje sadu skrytých runbooků používaných funkcí Update Management, která je navržená k instalaci aktualizací určených uživatelem na počítače s Windows a Linuxem. Pokud je povolená Azure Automation Update Management, každý počítač připojený k pracovnímu prostoru Služby Log Analytics se automaticky nakonfiguruje jako systém Hybrid Runbook Worker.

Informace o & konfiguraci řešení Update Management najdete v tématu Update Management. Funkce Update Management má závislost na pracovním prostoru Služby Log Analytics, a proto vyžaduje propojení pracovního prostoru s účtem Automation. Pracovní prostor Služby Log Analytics ukládá data shromážděná řešením a hostuje prohledávání a zobrazení protokolu.

Pokud chcete, aby se počítače nakonfigurované pro správu aktualizací připojily k pracovnímu prostoru Služby Automation & Log Analytics zabezpečeným způsobem přes kanál Private Link, musíte povolit Private Link pro pracovní prostor Služby Log Analytics propojený s účtem Automation nakonfigurovaným s Private Link.

Pracovní prostor Služby Log Analytics můžete řídit tak, že se dostanete mimo rozsahy Private Link pomocí kroků popsaných v tématu Konfigurace Log Analytics. Pokud nastavíte povolit přístup k veřejné síti pro příjem dat na hodnotu Ne, počítače mimo připojené obory nemůžou nahrávat data do tohoto pracovního prostoru. Pokud nastavíte možnost Povolit přístup k veřejné síti pro dotazy na Ne, nebudou počítače mimo obory moct přistupovat k datům v tomto pracovním prostoru.

Pomocí cílového dílčího prostředku DSCAndHybridWorker povolte Private Link pro hybridní pracovní procesy uživatelského & systému.

Poznámka

Počítače hostované mimo Azure spravované službou Update Management a jsou připojené k virtuální síti Azure přes privátní partnerský vztah ExpressRoute, tunely VPN a partnerské virtuální sítě využívající privátní koncové body podporují Private Link.

scénář State Configuration (agentsvc)

State Configuration poskytuje službu pro správu konfigurace Azure, která umožňuje psát, spravovat a kompilovat konfigurace PowerShellu Desired State Configuration (DSC) pro uzly v libovolném cloudovém nebo místním datacentru.

Agent na počítači zaregistruje službu DSC a pak použije koncový bod služby k vyžádání konfigurace DSC. Koncový bod služby agenta vypadá takto: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

Adresa URL pro veřejný & privátní koncový bod by ale byla stejná, při povolení privátního propojení by se namapovala na privátní IP adresu.

Plánování na základě vaší sítě

Před nastavením prostředku účtu Automation zvažte požadavky na izolaci sítě. Vyhodnoťte přístup virtuálních sítí k veřejnému internetu a omezení přístupu k vašemu účtu Automation (včetně nastavení rozsahu skupiny Private Link pro protokoly služby Azure Monitor, pokud jsou integrované s vaším účtem Automation). Součástí plánu je také kontrola záznamů DNS služby Automation, aby se zajistilo, že podporované funkce fungují bez problémů.

Připojení k privátnímu koncovému bodu

Pokud chcete pro svůj účet Automation vytvořit privátní koncový bod, postupujte podle následujících kroků.

  1. Přejděte do centra Private Link v Azure Portal a vytvořte privátní koncový bod pro připojení naší sítě.

  2. V Private Link Center vyberte Vytvořit privátní koncový bod.

    Screenshot of how to create a private endpoint.

  3. V části Základy zadejte následující podrobnosti:

    • Předplatné
    • Skupina prostředků
    • Název
    • Název síťového rozhraní
    • Oblast a vyberte Další: Prostředek.

    Screenshot of how to create a private endpoint in Basics tab.

  4. V části Prostředek zadejte následující podrobnosti:

    • Vyberte výchozí možnost – Připojení k prostředku Azure v mém adresáři.
    • Předplatné
    • Typ prostředku
    • Zdroj.
    • Dílčí prostředek cíle může být webhook nebo DSCAndHybridWorker podle vašeho scénáře a vybrat Další: Virtual Network.

    Screenshot of how to create a private endpoint in Resource tab.

  5. V Virtual Network zadejte následující podrobnosti:

    • Virtuální síť
    • Podsíť
    • Zaškrtněte políčko Povolit zásady sítě pro všechny privátní koncové body v této podsíti.
    • Vyberte Dynamicky přidělit IP adresu a vyberte Další: DNS.

    Screenshot of how to create a private endpoint in Virtual network tab.

  6. V DNS se data vyplní podle informací zadaných na kartách Základy, Prostředek, Virtual Network a vytvoří Privátní DNS zónu. Zadejte následující podrobnosti:

    • Integrace s privátní zónou DNS
    • Předplatné
    • Skupina prostředků a vyberte Další: Značky

    Screenshot of how to create a private endpoint in DNS tab.

  7. U značek můžete kategorizovat prostředky. Vyberte Název a hodnotu a vyberte Zkontrolovat a vytvořit.

Budete přesměrováni na stránku Zkontrolovat a vytvořit, kde Azure ověří konfiguraci. Po použití změn veřejného síťového přístupu a Private Link může trvat až 35 minut, než se projeví.

V centru Private Link vyberte privátní koncové body a zobrazte prostředek privátního propojení.

Screenshot Automation resource private link.

Výběrem prostředku zobrazíte všechny podrobnosti. Tím se pro váš účet Automation vytvoří nový privátní koncový bod a přiřadí ho privátní IP adresu z vaší virtuální sítě. Stav připojení se zobrazí jako schválený.

Podobně se vytvoří jedinečný plně kvalifikovaný název domény (FQDN) pro State Configuration (agentsvc) a modul runtime úlohy Hybrid Runbook Worker (jrds). Každá z nich má přiřazenou samostatnou IP adresu od vaší virtuální sítě a stav připojení se zobrazí jako schválený.

Pokud má příjemce služby oprávnění Azure RBAC k prostředku Automation, může zvolit metodu automatického schvalování. V takovém případě, když požadavek dosáhne prostředku poskytovatele Automation, není od poskytovatele služeb vyžadována žádná akce a připojení se automaticky schválí.

Nastavení příznaků přístupu k veřejné síti

Účet Automation můžete nakonfigurovat tak, aby odepřel všechny veřejné konfigurace a povolil pouze připojení prostřednictvím privátních koncových bodů, aby se dále zlepšilo zabezpečení sítě. Pokud chcete omezit přístup k účtu Automation pouze v rámci virtuální sítě a nepovolit přístup z veřejného internetu, můžete vlastnost nastavit publicNetworkAccess na $false.

Pokud je nastavení přístupu k veřejné síti nastavené na $false, jsou povolena pouze připojení přes privátní koncové body a všechna připojení přes veřejné koncové body jsou odepřena s neoprávněnou chybovou zprávou a stavem HTTP 401.

Následující skript PowerShellu ukazuje, jak Get a Set vlastnost přístupu k veřejné síti na úrovni účtu Automation:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

Můžete také řídit vlastnost přístupu k veřejné síti z Azure Portal. V levém podokně v části Účet Nastavení vyberte Izolaci sítě. Pokud je nastavení přístupu k veřejné síti nastavené na Ne, povolí se pouze připojení přes privátní koncové body a všechna připojení přes veřejné koncové body budou odepřena.

Public Network Access setting

Konfigurace DNS

Při připojování k prostředku privátního propojení pomocí plně kvalifikovaného názvu domény (FQDN) v rámci připojovacího řetězce je důležité správně nakonfigurovat nastavení DNS pro překlad na přidělenou privátní IP adresu. Stávající služby Azure už můžou mít konfiguraci DNS, která se má použít při připojování přes veřejný koncový bod. Konfigurace DNS by se měla zkontrolovat a aktualizovat pro připojení pomocí privátního koncového bodu.

Síťové rozhraní přidružené k privátnímu koncovému bodu obsahuje úplnou sadu informací potřebných ke konfiguraci DNS, včetně plně kvalifikovaného názvu domény a privátních IP adres přidělených pro daný prostředek privátního propojení.

Pomocí následujících možností můžete nakonfigurovat nastavení DNS pro privátní koncové body:

  • Použijte hostitelský soubor (doporučuje se jenom pro testování). Soubor hostitele na virtuálním počítači můžete použít k přepsání pomocí DNS pro překlad názvů. Položka DNS by měla vypadat jako v následujícím příkladu: privatelinkFQDN.jrds.sea.azure-automation.net.

  • Použijte privátní zónu DNS. K přepsání překladu DNS pro konkrétní privátní koncový bod můžete použít privátní zóny DNS. S virtuální sítí je možné propojit zónu privátního DNS za účelem překladu konkrétních domén. Pokud chcete agentu na virtuálním počítači povolit komunikaci přes privátní koncový bod, vytvořte záznam Privátní DNS jako privatelink.azure-automation.net. Přidejte nové mapování záznamů DNS A na IP adresu privátního koncového bodu.

  • Použijte váš předávač DNS (volitelné). K přepsání překladu DNS pro konkrétní prostředek privátního propojení můžete použít váš předávač DNS. Pokud je váš server DNS hostovaný ve virtuální síti, můžete vytvořit pravidlo předávání DNS pro použití privátní zóny DNS ke zjednodušení konfigurace pro všechny prostředky privátního propojení.

Další informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Další kroky

Další informace o privátním koncovém bodu najdete v tématu Co je privátní koncový bod Azure?