Sleutelkluis integreren met Azure Private Link

Met Azure Private Link hebt u via een privé-eindpunt in uw virtuele netwerk toegang tot Azure-services (bijvoorbeeld Azure Key Vault, Azure Storage en Azure Cosmos DB) en in Azure gehoste services van klanten of partners.

Een privé-eindpunt in Azure is een netwerkinterface waarmee u privé en veilig verbinding maakt met een service die door Azure Private Link mogelijk wordt gemaakt. Het privé-eindpunt maakt gebruik van een privé-IP-adres van uw VNet, waardoor de service feitelijk in uw VNet wordt geplaatst. Al het verkeer naar de service kan worden gerouteerd via het privé-eindpunt, zodat er geen gateways, NAT-apparaten, ExpressRoute of VPN-verbindingen of openbare IP-adressen nodig zijn. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt verbinding maken met een exemplaar van een Azure-resource, zodat u het hoogste granulariteit krijgt in toegangsbeheer.

Zie Wat is een Azure Private Link? voor meer informatie.

Vereisten

Als u een sleutelkluis met een Azure Private Link wilt integreren, hebt u het volgende nodig:

  • Een sleutelkluis.
  • Een Azure Virtual Network.
  • Een subnet binnen het virtueel netwerk.
  • Eigenaar- of inzendermachtigingen voor zowel de sleutelkluis als het virtueel netwerk.

Uw privé-eindpunt en het virtueel netwerk moeten zich in dezelfde regio bevinden. Wanneer u een regio voor het privé-eindpunt selecteert met behulp van de portal, worden er automatisch alleen virtuele netwerken gefilterd die zich in die regio bevinden. Uw sleutelkluis kan zich in een andere regio bevinden.

Uw privé-eindpunt maakt gebruik van een privé IP-adres in uw virtueel netwerk.

Maak eerst een virtueel netwerk aan de hand van de stappen in Een virtueel netwerk maken met behulp van de Azure Portal

U kunt vervolgens een nieuwe sleutelkluis maken of een verbinding met een Private Link tot stand brengen met een bestaande sleutelkluis.

U kunt een nieuwe sleutelkluis maken met de Azure Portal, Azure CLI of Azure PowerShell.

Nadat u de basisbeginselen van de sleutelkluis hebt geconfigureerd, selecteert u het tabblad Netwerken en voert u de volgende stappen uit:

  1. Selecteer het keuzerondje Privé-eindpunt op het tabblad Netwerken.

  2. Klik op de knop “+Toevoegen” om een privé-eindpunt toe te voegen.

    Screenshot that shows the 'Networking' tab on the 'Create key vault' page.

  3. Selecteer in het veld “Locatie” van de blade Privé-eindpunt maken de regio waarin uw virtueel netwerk zich bevindt.

  4. Maak in het veld “Naam” een beschrijvende naam waarmee dit privé-eindpunt kan worden geïdentificeerd.

  5. Selecteer het virtueel netwerk en het subnet waarvoor u dit privé-eindpunt wilt maken in de vervolgkeuzelijst.

  6. Laat de optie “integreren met de privézone DNS” ongewijzigd.

  7. Selecteer “OK”.

    Screenshot that shows the 'Create private endpoint' page with settings selected.

U kunt nu het geconfigureerde privé-eindpunt zien. U hebt nu de mogelijkheid om dit privé-eindpunt te verwijderen en te bewerken. Selecteer de knop “Beoordelen + maken” en maak de sleutelkluis. Het duurt 5-10 minuten voordat de implementatie is voltooid.

Als u al een sleutelkluis hebt, kunt u een verbinding met een Private Link maken door de volgende stappen uit te voeren:

  1. Meld u aan bij Azure Portal.

  2. Typ “sleutelkluizen” in de zoekbalk

  3. Selecteer de sleutelkluis in de lijst waaraan u een privé-eindpunt wilt toevoegen.

  4. Selecteer het tabblad “Netwerken” onder Instellingen

  5. Selecteer het tabblad Verbindingen met privé-eindpunt boven aan de pagina

  6. Selecteer de knop “+ Privé-eindpunt” boven aan de pagina.

    Screenshot that shows the '+ Private Endpoint' button on the 'Networking' page.Screenshot that shows the 'Basics' tab on the 'Create a private endpoint (Preview) page.

U kunt kiezen voor het maken van een privé-eindpunt voor elke Azure-resource in het gebruik van deze blade. U kunt de vervolgkeuzemenu's gebruiken om een resourcetype te selecteren en een resource in uw directory te selecteren, of u kunt verbinding maken met elke Azure-resource met een bron-id. Laat de optie “integreren met de privézone DNS” ongewijzigd.

Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de bron waarvoor u een privé-eindpunt maakt zich in uw directory bevindt, kunt u de verbindingsaanvraag goedkeuren op voorwaarde dat u voldoende machtigingen hebt. Als u verbinding maakt met een Azure-resource in een andere Directory, moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag heeft goedgekeurd.

Er zijn vier inrichtingsstatussen:

Actie voor service leveren Status privé-eindpunt serviceconsument Beschrijving
Geen In behandeling De verbinding wordt handmatig gemaakt en in afwachting van goedkeuring door de resource-eigenaar van de Private Link.
Goedkeuren Goedgekeurd De verbinding werd automatisch of handmatig goedgekeurd en is klaar om te worden gebruikt.
Afwijzen Afgewezen De verbinding werd afgewezen door de resource-eigenaar van de private link.
Verwijderen Ontkoppeld De verbinding is verwijderd door de resource-eigenaar van de private link, het privé-eindpunt wordt informatief en moet worden verwijderd voor opschoning.

Een verbinding met een privé-eindpunt beheren met Key Vault met behulp van de Azure Portal

  1. Meld u aan bij Azure Portal.

  2. Typ “sleutelkluizen” in de zoekbalk

  3. Selecteer de sleutelkluis die u wilt beheren.

  4. Selecteer het tabblad “Netwerken”.

  5. Als er verbindingen zijn die in behandeling zijn, ziet u een verbinding die wordt weergegeven met de inrichtingsstatus “In behandeling”.

  6. Selecteer het privé-eindpunt dat u wilt goedkeuren

  7. Selecteer de knop goedkeuren.

  8. Als er privé-eindpunt-verbindingen zijn die u wilt afwijzen, ongeacht of het een aanvraag in behandeling of een bestaande verbinding is, selecteert u de verbinding en klikt u op de knop “Afwijzen”.

    Image

U moet controleren of de resources binnen hetzelfde subnet van het privé-eindpunt verbinding maken met uw sleutelkluis via een privé-IP-adres en dat ze de juiste integratie van de persoonlijke DNS-zone hebben.

Maak eerst een nieuwe virtuele machine door de instructies te volgen in Een virtuele Windows-machine in de Azure Portal maken

In het tabblad “Netwerken”:

  1. Specificeer Virtueel netwerk en Subnet. U kunt een nieuw virtueel netwerk maken of een bestaand gebruiken. Als u een bestaand selecteert, moet u ervoor zorgen dat de regio overeenkomt.
  2. Specificeer een openbare IP-resource.
  3. Selecteer “Geen” in de “NIC-netwerkbeveiligingsgroep”.
  4. Selecteer “Nee” in de “Taakverdeling”.

Voer de volgende opdracht uit via de opdrachtregel:

nslookup <your-key-vault-name>.vault.azure.net

Als u de opdracht NS lookup uitvoert om het IP-adres van een sleutelkluis via een openbaar eindpunt op te lossen, ziet u een resultaat dat er als volgt uitziet:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Als u de opdracht NS lookup uitvoert om het IP-adres van een sleutelkluis via een privé-eindpunt op te lossen, ziet u een resultaat dat er als volgt uitziet:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Handleiding voor het oplossen van problemen

  • Controleer of het privé-eindpunt is goedgekeurd.

    1. U kunt dit controleren en oplossen in de Azure-portal. Open de Key Vault-resource en klik op de optie Netwerken.
    2. Selecteer vervolgens het tabblad Verbindingen met privé-eindpunt.
    3. Controleer of de verbindingsstatus Goedgekeurd is, en de inrichtingsstatus Geslaagd.
    4. U kunt ook naar de privé-eindpuntresource navigeren en dezelfde eigenschappen daar bekijken om te controleren of het virtuele netwerk overeenkomt met het virtuele netwerk dat u gebruikt.
  • Controleer of u een privé-DNS-zoneresource hebt.

    1. U moet een privé-DNS-zoneresource hebben met de exacte naam: privatelink.vaultcore.azure.net.
    2. Zie de volgende koppeling voor meer informatie over het instellen hiervan. Privé-DNS-zones
  • Controleer of de Privé-DNS zone is gekoppeld aan de Virtual Network. Dit kan het probleem zijn als het openbare IP-adres nog steeds wordt geretourneerd.

    1. Als de privé-DNS-zone niet is gekoppeld aan het virtuele netwerk, retourneert de DNS-query die afkomstig is van het virtuele netwerk het openbare IP-adres van de sleutelkluis.
    2. Navigeer naar de privé-DNS-zoneresource in de Azure-portal en klik op de optie Virtuele netwerkkoppelingen.
    3. Het virtuele netwerk waarmee aanroepen van de sleutelkluis worden uitgevoerd, moet worden weergegeven.
    4. Als dat niet het geval is, voegt u het toe.
    5. Zie het volgende document voor gedetailleerde stappen: Het virtuele netwerk koppelen aan de privé-DNS-zone
  • Controleer of in de privé-DNS-zone geen A-record voor de sleutelkluis ontbreekt.

    1. Navigeer naar de pagina Privé-DNS-zone.
    2. Klik op Overzicht en controleer of er een A-record is met de eenvoudige naam van uw sleutelkluis (fabrikam). Geef geen achtervoegsel op.
    3. Controleer de spelling en maak of corrigeer de A-record. U kunt een TTL van 600 (10 minuten) gebruiken.
    4. Zorg ervoor dat u het juiste privé-IP-adres opgeeft.
  • Controleer of de A-record het juiste IP-adres heeft.

    1. U kunt het IP-adres controleren door de resource van het privé-eindpunt te openen in de Azure-portal.
    2. Navigeer naar de resource Microsoft.Network/privateEndpoints in de Azure-portal (niet de resource in de sleutelkluis)
    3. Zoek op de overzichtspagina naar Netwerkinterface en klik op die koppeling.
    4. De koppeling toont het overzicht van de NIC-resource, met de eigenschap Privé-IP-adres.
    5. Controleer of dit het juiste IP-adres is dat is opgegeven in de A-record.

Beperkingen en overwegingen bij het ontwerp

Limieten: Zie Azure Private Link limieten

Prijzen: zie Azure Private Link prijzen.

Beperkingen: Zie Azure Private Link service: Beperkingen

Volgende stappen