Integrace služby Key Vault se službou Azure Private Link

Článek
01/30/2024

Azure Private Link Service umožňuje přístup ke službám Azure (například Azure Key Vault, Azure Storage a Azure Cosmos DB) a zákaznickým/partnerským službám hostovaným v Azure přes privátní koncový bod ve vaší virtuální síti.

Privátní koncový bod Azure je síťové rozhraní, které vás privátně a bezpečně připojí ke službě využívající Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, čímž je služba efektivně začleněna do vaší virtuální sítě. Veškeré přenosy do služby lze směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure, což vám poskytne nejvyšší úroveň podrobností v řízení přístupu.

Další informace najdete v tématu Co je Azure Private Link?

Požadavky

Pokud chcete integrovat trezor klíčů s Azure Private Link, budete potřebovat:

Trezor klíčů.
Virtuální síť Azure.
Podsíť ve virtuální síti.
Oprávnění vlastníka nebo přispěvatele pro trezor klíčů i virtuální síť.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast pro privátní koncový bod pomocí portálu, automaticky se vyfiltrují jenom virtuální sítě, které jsou v této oblasti. Váš trezor klíčů může být v jiné oblasti.

Privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

Azure Portal
Azure CLI

Navázání připojení privátního propojení k Key Vault pomocí Azure Portal

Nejprve vytvořte virtuální síť podle kroků v tématu Vytvoření virtuální sítě pomocí Azure Portal

Pak můžete buď vytvořit nový trezor klíčů, nebo vytvořit připojení privátního propojení k existujícímu trezoru klíčů.

Vytvoření nového trezoru klíčů a navázání připojení privátního propojení

Nový trezor klíčů můžete vytvořit pomocí Azure Portal, Azure CLI nebo Azure PowerShell.

Po nakonfigurování základů trezoru klíčů vyberte kartu Sítě a postupujte takto:

Zakažte veřejný přístup vypnutím přepínače.
Výběrem tlačítka + Vytvořit privátní koncový bod přidejte privátní koncový bod.
V poli Umístění v okně Vytvořit privátní koncový bod vyberte oblast, ve které se nachází vaše virtuální síť.
V poli Název vytvořte popisný název, který vám umožní tento privátní koncový bod identifikovat.
V rozevírací nabídce vyberte virtuální síť a podsíť, ve které se má tento privátní koncový bod vytvořit.
Možnost "integrate with the private zone DNS" (integrace s DNS privátní zóny) ponechte beze změny.
Vyberte OK.

Teď uvidíte nakonfigurovaný privátní koncový bod. Teď můžete tento privátní koncový bod odstranit a upravit. Vyberte tlačítko Zkontrolovat a vytvořit a vytvořte trezor klíčů. Dokončení nasazení bude trvat 5 až 10 minut.

Navázání připojení privátního propojení k existujícímu trezoru klíčů

Pokud už máte trezor klíčů, můžete vytvořit připojení privátního propojení pomocí následujícího postupu:

Přihlaste se k webu Azure Portal.
Na panelu hledání zadejte "trezory klíčů".
Ze seznamu vyberte trezor klíčů, do kterého chcete přidat privátní koncový bod.
V části Nastavení vyberte kartu Sítě.
V horní části stránky vyberte kartu Připojení privátních koncových bodů.
V horní části stránky vyberte tlačítko + Vytvořit.
V části Project Details (Podrobnosti projektu) vyberte skupinu prostředků obsahující virtuální síť, kterou jste vytvořili, jako předpoklad pro účely tohoto kurzu. V části Podrobnosti o instanci zadejte jako Název "myPrivateEndpoint" a jako předpoklad pro účely tohoto kurzu vyberte stejné umístění jako virtuální síť, kterou jste vytvořili.

Pomocí tohoto okna můžete vytvořit privátní koncový bod pro libovolný prostředek Azure. Pomocí rozevíracích nabídek můžete vybrat typ prostředku a vybrat prostředek v adresáři, nebo se můžete připojit k libovolnému prostředku Azure pomocí ID prostředku. Možnost "integrate with the private zone DNS" (integrace s DNS privátní zóny) ponechte beze změny.
Přejděte do okna Prostředky. V části Typ prostředku vyberte Microsoft.KeyVault/vaults. Jako předpoklad pro tento kurz vyberte trezor klíčů, který jste vytvořili. Cílový dílčí prostředek se automaticky naplní "trezorem".
Přejděte na Virtual Network. Jako předpoklad pro účely tohoto kurzu vyberte virtuální síť a podsíť, které jste vytvořili.
Přejděte do oken DNS a Značky a přijměte výchozí hodnoty.
V okně Zkontrolovat a vytvořit vyberte Vytvořit.

Při vytváření privátního koncového bodu musí být připojení schváleno. Pokud se prostředek, pro který vytváříte privátní koncový bod, nachází ve vašem adresáři, budete moct žádost o připojení schválit za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku vaši žádost o připojení schválí.

Existují čtyři stavy zřizování:

Akce služby	Stav privátního koncového bodu příjemce služby	Description
Žádná	Čekající	Připojení se vytvoří ručně a čeká na schválení vlastníkem prostředku Private Link.
Schválení	Schválené	Připojení bylo schváleno automaticky nebo ručně a je připravené k použití.
Odmítnout	Zamítnuto	Vlastník prostředku privátního propojení odmítl připojení.
Odebrat	Odpojeno	Připojení odebral vlastník prostředku privátního propojení, privátní koncový bod bude informativní a měl by se odstranit kvůli vyčištění.

Správa připojení privátního koncového bodu k Key Vault pomocí Azure Portal

Přihlaste se k webu Azure Portal.
Na panelu hledání zadejte "trezory klíčů".
Vyberte trezor klíčů, který chcete spravovat.
Vyberte kartu Sítě.
Pokud nějaká připojení čekají na vyřízení, zobrazí se připojení se stavem Čekání na vyřízení ve stavu zřizování.
Vyberte privátní koncový bod, který chcete schválit.
Vyberte tlačítko Schválit.
Pokud chcete odmítnout nějaká připojení privátního koncového bodu, ať už se jedná o čekající požadavek nebo existující připojení, vyberte připojení a vyberte tlačítko Odmítnout.

Navázání připojení privátního propojení k Key Vault pomocí rozhraní příkazového řádku (počáteční nastavení)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Vytvoření privátního koncového bodu (automatické schválení)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Vytvoření privátního koncového bodu (ruční žádost o schválení)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Správa připojení Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Přidání záznamů Privátní DNS

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Ověření fungování připojení privátního propojení

Měli byste ověřit, že se prostředky ve stejné podsíti prostředku privátního koncového bodu připojují k vašemu trezoru klíčů přes privátní IP adresu a že mají správnou integraci zóny privátního DNS.

Nejprve vytvořte virtuální počítač podle pokynů v tématu Vytvoření virtuálního počítače s Windows v Azure Portal

Na kartě Sítě:

Zadejte Virtuální síť a Podsíť. Můžete vytvořit novou virtuální síť nebo vybrat existující. Pokud vyberete existující, ujistěte se, že oblast odpovídá.
Zadejte prostředek veřejné IP adresy.
Ve skupině zabezpečení sítě síťových adaptérů vyberte Žádné.
V části Vyrovnávání zatížení vyberte Ne.

Otevřete příkazový řádek a spusťte následující příkaz:

nslookup <your-key-vault-name>.vault.azure.net

Pokud spustíte příkaz ns lookup k překladu IP adresy trezoru klíčů přes veřejný koncový bod, zobrazí se výsledek, který bude vypadat takto:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Pokud spustíte příkaz ns lookup k překladu IP adresy trezoru klíčů přes privátní koncový bod, zobrazí se výsledek, který bude vypadat takto:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Průvodce odstraňováním potíží

Zkontrolujte, jestli je privátní koncový bod ve schváleném stavu.
1. Zkontrolovat a napravit to můžete na webu Azure Portal. Otevřete prostředek Key Vault a vyberte možnost Sítě.
2. Pak vyberte kartu Připojení privátního koncového bodu.
3. Ujistěte se, že je stav připojení Schváleno a stav zřizování je Úspěch.
4. Můžete také přejít na prostředek privátního koncového bodu a zkontrolovat stejné vlastnosti a pečlivě zkontrolovat, jestli virtuální síť odpovídá té, kterou používáte.
Zkontrolujte, jestli máte prostředek zóny Privátní DNS.
1. Musíte mít prostředek Privátní DNS Zone s přesným názvem: privatelink.vaultcore.azure.net.
2. Informace o tom, jak to nastavit, najdete na následujícím odkazu. Privátní DNS zón
Zkontrolujte, jestli je zóna Privátní DNS propojená s Virtual Network. To může být problém, pokud se vám stále vrací veřejná IP adresa.
1. Pokud dns privátní zóny není propojený s virtuální sítí, dotaz DNS pocházející z virtuální sítě vrátí veřejnou IP adresu trezoru klíčů.
2. V Azure Portal přejděte k prostředku Privátní DNS Zone a vyberte možnost propojení virtuálních sítí.
3. V seznamu musí být uvedená virtuální síť, která bude provádět volání služby Key Vault.
4. Pokud tam není, přidejte ji.
5. Podrobný postup najdete v následujícím dokumentu Propojení Virtual Network se zónou Privátní DNS.
Zkontrolujte, jestli v zóně Privátní DNS nechybí záznam A pro trezor klíčů.
1. Přejděte na stránku Privátní DNS Zóna.
2. Vyberte Přehled a zkontrolujte, jestli existuje záznam A s jednoduchým názvem vašeho trezoru klíčů (tj. fabrikam). Nezadávejte žádnou příponu.
3. Nezapomeňte zkontrolovat pravopis a vytvořte nebo upravte záznam A. Můžete použít hodnotu TTL 600 (10 minut).
4. Ujistěte se, že zadáváte správnou privátní IP adresu.
Zkontrolujte, že záznam A má správnou IP adresu.
1. IP adresu můžete potvrdit otevřením prostředku privátního koncového bodu v Azure Portal.
2. Na webu Azure Portal přejděte k prostředku Microsoft.Network/privateEndpoints (ne k prostředku služby Key Vault).
3. Na stránce přehledu vyhledejte Síťové rozhraní a vyberte tento odkaz.
4. Po kliknutí na odkaz se zobrazí přehled prostředku síťové karty, který obsahuje vlastnost Privátní IP adresa.
5. Ověřte, jestli se jedná o správnou IP adresu, která je uvedená v záznamu A.
Pokud se připojujete z místního prostředku k Key Vault, ujistěte se, že máte v místním prostředí povolené všechny požadované služby pro podmíněné předávání.
1. Projděte si konfiguraci DNS privátního koncového bodu Azure pro požadované zóny a ujistěte se, že máte pro místní DNS i vault.azure.netvaultcore.azure.net pro podmíněné předávání.
2. Ujistěte se, že máte pro tyto zóny, které směrují na Překladač Azure Privátní DNS nebo jinou platformu DNS s přístupem k překladu Azure, k dispozici podmíněné předávání.