Share via

Felügyelt HSM integrálása az Azure Private Linkkel

  • Cikk

Az Azure Private Link Service lehetővé teszi az Azure-szolgáltatások (például felügyelt HSM, Azure Storage és Azure Cosmos DB stb.) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton.

Az Azure Private Endpoint egy olyan hálózati adapter, amely privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.

További információ: Mi az Azure Private Link?

Megjegyzés:

A felügyelt HSM jelenleg nem támogatja az IP-szabályokat vagy a virtuális hálózati szolgáltatásvégpontokat

Előfeltételek

A felügyelt HSM és az Azure Private Link integrálásához a következőkre lesz szüksége:

  • Felügyelt HSM. További részletekért tekintse meg a felügyelt HSM üzembe helyezését és aktiválását az Azure CLI használatával.
  • Egy Azure-beli virtuális hálózat.
  • A virtuális hálózat alhálózata.
  • Tulajdonosi vagy közreműködői engedélyek mind a felügyelt HSM-hez, mind a virtuális hálózathoz.
  • Az Azure CLI 2.25.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt: az --version. If you need to install or upgrade, see Install the Azure CLI.

A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. Amikor kiválaszt egy régiót a privát végponthoz a portál használatával, az automatikusan csak az adott régióban lévő virtuális hálózatokat szűri. A HSM más régióban is lehet.

A privát végpont egy privát IP-címet használ a virtuális hálózaton.

az login                                                                   # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                            # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                            # Create a new Resource Group
az provider register -n Microsoft.KeyVault                                 # Register KeyVault as a provider
az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny # Turn on firewall

az network vnet create -g {RG} -n {vNet NAME} --location {REGION}           # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.managedhsm.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.managedhsm.azure.net --name {dnsZoneLinkName} --registration-enabled true

Megbízható szolgáltatások hozzáférésének engedélyezése a felügyelt HSM-hez

Ha a tűzfal be van kapcsolva, a rendszer minden olyan helyről megtagadja a HSM-hez való hozzáférést, amely nem használ privát végpontkapcsolatot, beleértve a nyilvános internetet és az Azure-szolgáltatásokat is. Ha engedélyezni szeretné Microsoft-szolgáltatások számára a kulcsok elérését a felügyelt HSM-ben, használja --bypass AzureServices a lehetőséget. Az egyes entitásoknak (például egy Azure Storage-fióknak vagy egy Azure SQL Servernek) továbbra is adott szerepkör-hozzárendelésekkel kell rendelkezniük ahhoz, hogy hozzáférhessenek egy kulcshoz.

Megjegyzés:

Csak bizonyos megbízható szolgáltatások használati forgatókönyvei támogatottak. További részletekért tekintse meg a megbízható szolgáltatások használati forgatókönyveinek listáját.

az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny --bypass AzureServices

Privát végpont létrehozása (automatikus jóváhagyás)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION}

Megjegyzés:

Ha törli ezt a HSM-et, a privát végpont leáll. Ha később helyreállítja (leválasztja) ezt a HSM-et, újra létre kell hoznia egy új privát végpontot.

Privát végpont létrehozása (manuális jóváhagyás kérése)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --hsm-name {HSM NAME} --name {PRIVATE LINK CONNECTION NAME}

Saját DNS rekordok hozzáadása

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.managedhsm.azure.net" -n {HSM NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.managedhsm.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {HSM NAME}.managedhsm.azure.net
nslookup {HSM NAME}.privatelink.managedhsm.azure.net

Ellenőrizze, hogy a privát végpont erőforrásának ugyanazon alhálózatán belüli erőforrások egy privát IP-címen keresztül csatlakoznak-e a HSM-hez, és hogy a megfelelő privát DNS-zónaintegrációval rendelkeznek-e.

Először hozzon létre egy virtuális gépet a Windows rendszerű virtuális gép létrehozása az Azure Portalon című cikk lépéseit követve

A "Hálózatkezelés" lapon:

  1. Adja meg a virtuális hálózatot és az alhálózatot. Létrehozhat egy új virtuális hálózatot, vagy kiválaszthat egy meglévőt. Ha egy meglévőt választ ki, győződjön meg arról, hogy a régió megegyezik.
  2. Adjon meg egy nyilvános IP-erőforrást.
  3. A Hálózati adapter hálózati biztonsági csoportjában válassza a "Nincs" lehetőséget.
  4. A "Terheléselosztás" területen válassza a "Nem" lehetőséget.

Nyissa meg a parancssort, és futtassa a következő parancsot:

nslookup <your-HSM-name>.managedhsm.azure.net

Ha futtatja az ns keresési parancsot egy felügyelt HSM IP-címének nyilvános végponton keresztüli feloldásához, a következő eredmény jelenik meg:

c:\ >nslookup <your-hsm-name>.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-hsm-name>.managedhsm.azure.net

Ha a felügyelt HSM IP-címének privát végponton való feloldásához futtatja az ns keresési parancsot, az alábbi eredmény jelenik meg:

c:\ >nslookup your_hsm_name.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-hsm-name>.managed.azure.net
          <your-hsm-name>.privatelink.managedhsm.azure.net

Hibaelhárítási útmutató

  • Ellenőrizze, hogy a privát végpont jóváhagyott állapotban van-e.

    1. A privát végpontkapcsolat állapotának megtekintéséhez használja az keyvault private-endpoint-connections show az alparancsot.
    2. Győződjön meg arról, hogy a kapcsolat állapota Jóváhagyva, a kiépítési állapot pedig Sikeres.
    3. Győződjön meg arról, hogy a virtuális hálózat megegyezik a használt hálózattal.

  • Ellenőrizze, hogy rendelkezik-e Privát DNS-zóna erőforrással.

    1. A saját DNS zónaerőforrásnak pontosan a következő névvel kell rendelkeznie: privatelink.managedhsm.azure.net.
    2. A beállításról az alábbi hivatkozáson tájékozódhat. saját DNS zónák

  • Ellenőrizze, hogy a saját DNS zóna kapcsolódik-e a virtuális hálózathoz. Ez okozhatja azt, a hogy rendszer továbbra is a nyilvános IP-címet adja vissza.

    1. Ha a privát zóna DNS-je nem kapcsolódik a virtuális hálózathoz, a virtuális hálózatból származó DNS-lekérdezés visszaadja a HSM nyilvános IP-címét.
    2. Lépjen a saját DNS zónaerőforrásra az Azure Portalon, és kattintson a virtuális hálózati kapcsolatok lehetőségre.
    3. A HSM-be irányuló hívásokat végrehajtó virtuális hálózatnak szerepelnie kell a listán.
    4. Ha nem szerepel, adja hozzá.
    5. A részletes lépésekért lásd a következő dokumentumot, amely összekapcsolja a virtuális hálózatot saját DNS Zónával

  • Ellenőrizze, hogy a saját DNS zóna nem hiányzik-e A rekord a HSM-hez.

    1. Lépjen a saját DNS Zóna lapra.
    2. Kattintson az Áttekintés gombra, és ellenőrizze, hogy van-e A rekord a HSM egyszerű nevével. Ne adjon meg utótagot.
    3. Ne feledje el ellenőrizni a helyesírást, és hozza létre vagy javítsa az A rekordot. Használja a 3600 (1 óra) élettartam értéket.
    4. Ügyeljen arra, hogy a helyes magánhálózati IP-címet adja meg.

  • Ellenőrizze, hogy az A rekord rendelkezik-e a megfelelő IP-címmel.

    1. Az IP-cím megerősítéséhez nyissa meg a Privát végpont erőforrást az Azure Portalon.
    2. Keresse meg a Microsoft.Network/privateEndpoints erőforrást az Azure Portalon
    3. Az áttekintési lapon keresse meg a hálózati adaptert, és kattintson erre a hivatkozásra.
    4. A hivatkozás megjeleníti a NIC-erőforrás áttekintését, amely tartalmazza a magánhálózati IP-cím tulajdonságot.
    5. Ellenőrizze, hogy ez az A rekordban meghatározott, megfelelő IP-cím-e.

Korlátozások és tervezési szempontok

Megjegyzés:

Az előfizetésenként engedélyezett privát végpontokkal rendelkező felügyelt HSM-k száma állítható korlát. Az alábbi korlát az alapértelmezett korlát. Ha limitnövelést szeretne kérni az előfizetéséhez, hozzon létre egy Azure-támogatás jegyet. Ezeket a kéréseket eseti alapon jóváhagyjuk.

Díjszabás: A díjszabással kapcsolatos információkért tekintse meg az Azure Private Link díjszabását.

Felügyelt HSM-enként a privát végpontok maximális száma: 64.

A felügyelt HSM alapértelmezett száma előfizetésenként privát végpontokkal: 400.

További információ: Azure Private Link szolgáltatás: Korlátozások

Következő lépések

  • További információ az Azure Private Linkről
  • További információ a felügyelt HSM-ről