Używanie Azure Private Link do bezpiecznego łączenia sieci z Azure Automation

Prywatny punkt końcowy platformy Azure to interfejs sieciowy, który nawiązuje połączenie prywatnie i bezpiecznie z usługą obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę Automation do sieci wirtualnej. Ruch sieciowy między maszynami w sieci wirtualnej i kontem usługi Automation przechodzi przez sieć wirtualną i łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując zagrożenie z publicznego Internetu.

Na przykład masz sieć wirtualną, w której wyłączono wychodzący dostęp do Internetu. Jednak chcesz uzyskać dostęp do konta usługi Automation prywatnie i korzystać z funkcji automatyzacji, takich jak elementy webhook, State Configuration i zadania elementów Runbook w hybrydowych procesach roboczych elementów Runbook. Ponadto chcesz, aby użytkownicy mieli dostęp do konta usługi Automation tylko za pośrednictwem sieci wirtualnej. Wdrożenie prywatnego punktu końcowego osiąga te cele.

W tym artykule opisano, kiedy należy używać i jak skonfigurować prywatny punkt końcowy przy użyciu konta usługi Automation.

Conceptual overview of Private Link for Azure Automation

Uwaga

Private Link pomoc techniczna z Azure Automation jest dostępna tylko w chmurach komercyjnych platform Azure i Azure US Government.

Zalety

Za pomocą Private Link można wykonywać następujące czynności:

  • Połączenie prywatnie Azure Automation bez otwierania dostępu do sieci publicznej.

  • Połączenie prywatnie do obszaru roboczego usługi Log Analytics usługi Azure Monitor bez otwierania dostępu do sieci publicznej.

    Uwaga

    Oddzielny prywatny punkt końcowy dla obszaru roboczego usługi Log Analytics jest wymagany, jeśli konto usługi Automation jest połączone z obszarem roboczym usługi Log Analytics w celu przekazywania danych zadań, a także po włączeniu funkcji, takich jak Update Management, Śledzenie zmian i spis, State Configuration lub uruchamianie/zatrzymywanie maszyn wirtualnych w godzinach wolnych. Aby uzyskać więcej informacji na temat Private Link dla usługi Azure Monitor, zobacz Używanie Azure Private Link do bezpiecznego łączenia sieci z usługą Azure Monitor.

  • Upewnij się, że dane usługi Automation są dostępne tylko za pośrednictwem autoryzowanych sieci prywatnych.

  • Zapobiegaj eksfiltracji danych z sieci prywatnych, definiując zasób Azure Automation, który łączy się za pośrednictwem prywatnego punktu końcowego.

  • Bezpiecznie połącz prywatną sieć lokalną z Azure Automation przy użyciu usługi ExpressRoute i Private Link.

  • Zachowaj cały ruch wewnątrz sieci szkieletowej Microsoft Azure.

Aby uzyskać więcej informacji, zobacz Najważniejsze korzyści Private Link.

Ograniczenia

Jak to działa

Azure Automation Private Link łączy jeden lub więcej prywatnych punktów końcowych (a zatem sieci wirtualnych, w których znajdują się) z zasobem konta usługi Automation. Te punkty końcowe to maszyny używające elementów webhook do uruchamiania elementu Runbook, maszyn hostowania roli hybrydowego procesu roboczego elementu Runbook i węzłów Desired State Configuration (DSC).

Po utworzeniu prywatnych punktów końcowych dla usługi Automation każdy publiczny adres URL usługi Automation jest mapowany na jeden prywatny punkt końcowy w sieci wirtualnej. Użytkownik lub maszyna może bezpośrednio skontaktować się z adresami URL usługi Automation.

Scenariusz elementu webhook

Elementy Runbook można uruchomić, wykonując wpis w adresie URL elementu webhook. Na przykład adres URL wygląda następująco: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Scenariusz hybrydowego procesu roboczego elementu Runbook

Funkcja hybrydowego procesu roboczego elementu Runbook użytkownika Azure Automation umożliwia uruchamianie elementów Runbook bezpośrednio na maszynie platformy Azure lub na maszynie spoza platformy Azure, w tym serwerów zarejestrowanych na serwerach z obsługą usługi Azure Arc. Na komputerze lub serwerze hostujących rolę można uruchamiać elementy Runbook bezpośrednio na nim i względem zasobów w środowisku, aby zarządzać tymi zasobami lokalnymi.

Punkt końcowy środowiska JRDS jest używany przez hybrydowy proces roboczy do uruchamiania/zatrzymywania elementów Runbook, pobierania elementów Runbook do procesu roboczego i wysyłania strumienia dziennika zadań z powrotem do usługi Automation. Po włączeniu punktu końcowego środowiska JRDS adres URL będzie wyglądać następująco: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net. Zapewni to wykonanie elementu Runbook w hybrydowym procesie roboczym połączonym z usługą Azure Virtual Network umożliwia wykonywanie zadań bez konieczności otwierania połączenia wychodzącego z Internetem.

Uwaga

Dzięki bieżącej implementacji linków prywatnych dla Azure Automation obsługuje tylko uruchamianie zadań w hybrydowym procesie roboczym elementu Runbook połączonym z siecią wirtualną platformy Azure i nie obsługuje zadań w chmurze.

Scenariusz hybrydowego procesu roboczego dla rozwiązania Update Management

Hybrydowy proces roboczy elementu Runbook systemu obsługuje zestaw ukrytych elementów Runbook używanych przez funkcję rozwiązania Update Management, która jest przeznaczona do instalowania aktualizacji określonych przez użytkownika na maszynach Windows i Linux. Po włączeniu usługi Update Management Azure Automation wszystkie maszyny połączone z obszarem roboczym usługi Log Analytics są automatycznie konfigurowane jako systemowy hybrydowy proces roboczy elementu Runbook.

Aby dowiedzieć się, jak skonfigurować usługę &Update Management, zobacz About Update Management (Informacje o usłudze Update Management). Funkcja Update Management ma zależność od obszaru roboczego usługi Log Analytics i dlatego wymaga połączenia obszaru roboczego z kontem usługi Automation. Obszar roboczy usługi Log Analytics przechowuje dane zbierane przez rozwiązanie i hostuje jego wyszukiwania i widoki dzienników.

Jeśli chcesz, aby maszyny skonfigurowane do zarządzania aktualizacjami łączyły się z obszarem roboczym usługi Automation & Log Analytics w bezpieczny sposób za pośrednictwem kanału Private Link, musisz włączyć Private Link dla obszaru roboczego usługi Log Analytics połączonego z kontem usługi Automation skonfigurowanym przy użyciu Private Link.

Możesz kontrolować, jak można uzyskać dostęp do obszaru roboczego usługi Log Analytics spoza zakresów Private Link, wykonując kroki opisane w temacie Konfigurowanie usługi Log Analytics. Jeśli ustawisz opcję Zezwalaj na dostęp do sieci publicznej na potrzeby pozyskiwania na wartość Nie, maszyny spoza połączonych zakresów nie mogą przekazywać danych do tego obszaru roboczego. Jeśli ustawisz opcję Zezwalaj na dostęp do sieci publicznej dla zapytańna wartość Nie, maszyny spoza zakresów nie będą mogły uzyskiwać dostępu do danych w tym obszarze roboczym.

Użyj zasobu podrzędnego DSCAndHybridWorker, aby włączyć Private Link dla hybrydowych procesów roboczych systemu użytkownika&.

Uwaga

Maszyny hostowane poza platformą Azure zarządzane przez usługę Update Management i połączone z siecią wirtualną platformy Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute, tuneli VPN i równorzędnych sieci wirtualnych przy użyciu prywatnych punktów końcowych obsługują Private Link.

scenariusz State Configuration (agentsvc)

State Configuration zapewnia usługę zarządzania konfiguracją platformy Azure, która umożliwia pisanie i kompilowanie konfiguracji programu PowerShell Desired State Configuration (DSC) dla węzłów w dowolnej chmurze lub lokalnym centrum danych.

Agent na maszynie rejestruje się w usłudze DSC, a następnie używa punktu końcowego usługi do ściągania konfiguracji DSC. Punkt końcowy usługi agenta wygląda następująco: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

Adres URL publicznego & prywatnego punktu końcowego będzie taki sam, jednak po włączeniu łącza prywatnego zostanie zamapowany na prywatny adres IP.

Planowanie na podstawie sieci

Przed skonfigurowaniem zasobu konta usługi Automation należy wziąć pod uwagę wymagania dotyczące izolacji sieciowej. Oceń dostęp sieci wirtualnych do publicznego Internetu oraz ograniczenia dostępu do konta usługi Automation (w tym konfigurowanie zakresu grupy Private Link do dzienników usługi Azure Monitor, jeśli są zintegrowane z kontem usługi Automation). Uwzględnij również przegląd rekordów DNS usługi Automation w ramach planu, aby upewnić się, że obsługiwane funkcje działają bez problemu.

Połączenie do prywatnego punktu końcowego

Wykonaj poniższe kroki, aby utworzyć prywatny punkt końcowy dla konta usługi Automation.

  1. Przejdź do centrum Private Link w Azure Portal, aby utworzyć prywatny punkt końcowy w celu połączenia z naszą siecią.

  2. W centrum Private Link wybierz pozycję Utwórz prywatny punkt końcowy.

    Screenshot of how to create a private endpoint.

  3. W polu Podstawowe podaj następujące szczegóły:

    • Subskrypcja
    • Grupa zasobów
    • Nazwa
    • Nazwa interfejsu sieciowego
    • Region i wybierz pozycję Dalej: Zasób.

    Screenshot of how to create a private endpoint in Basics tab.

  4. W obszarze Zasób wprowadź następujące szczegóły:

    • Metoda połączenia wybierz opcję domyślną — Połączenie do zasobu platformy Azure w moim katalogu.
    • Subskrypcja
    • Typ zasobu
    • Zasób.
    • Zasób docelowy może być elementem Webhook lub DSCAndHybridWorker zgodnie ze scenariuszem i wybrać pozycję Dalej : Virtual Network.

    Screenshot of how to create a private endpoint in Resource tab.

  5. W Virtual Network wprowadź następujące szczegóły:

    • Sieć wirtualna
    • Podsieć
    • Włącz pole wyboru Włącz zasady sieci dla wszystkich prywatnych punktów końcowych w tej podsieci.
    • Wybierz pozycję Dynamicznie przydziel adres IP i wybierz pozycję Dalej : DNS.

    Screenshot of how to create a private endpoint in Virtual network tab.

  6. W systemie DNS dane są wypełniane zgodnie z informacjami wprowadzonymi w kartach Podstawowe, Zasób, Virtual Network i tworzy strefę Prywatna strefa DNS. Wprowadź następujące informacje:

    • Integracja z prywatną strefą DNS
    • Subskrypcja
    • Grupa zasobów i wybierz pozycję Dalej: Tagi

    Screenshot of how to create a private endpoint in DNS tab.

  7. W obszarze Tagi można kategoryzować zasoby. Wybierz pozycję Nazwa i wartość , a następnie wybierz pozycję Przejrzyj i utwórz.

Nastąpi przekierowanie do strony Przeglądanie i tworzenie, na której platforma Azure zweryfikuje konfigurację. Po zastosowaniu zmian w dostępie do sieci publicznej i Private Link może upłynąć do 35 minut.

W centrum Private Link wybierz pozycję Prywatne punkty końcowe, aby wyświetlić zasób łącza prywatnego.

Screenshot Automation resource private link.

Wybierz zasób, aby wyświetlić wszystkie szczegóły. Spowoduje to utworzenie nowego prywatnego punktu końcowego dla konta usługi Automation i przypisanie mu prywatnego adresu IP z sieci wirtualnej. Stan połączenia jest wyświetlany jako zatwierdzony.

Podobnie dla State Configuration (agentsvc) jest tworzona unikatowa w pełni kwalifikowana nazwa domeny (FQDN) i środowisko uruchomieniowe zadania hybrydowego procesu roboczego elementu Runbook (jrds). Każdy z nich ma przypisany oddzielny adres IP z sieci wirtualnej, a stan połączenia jest wyświetlany jako zatwierdzony.

Jeśli użytkownik usługi ma uprawnienia RBAC platformy Azure w zasobie usługi Automation, może wybrać metodę automatycznego zatwierdzania. W takim przypadku, gdy żądanie osiągnie zasób dostawcy usługi Automation, żadna akcja nie jest wymagana od dostawcy usług i połączenie jest automatycznie zatwierdzane.

Ustawianie flag dostępu do sieci publicznej

Konto usługi Automation można skonfigurować tak, aby odrzucało wszystkie konfiguracje publiczne i zezwalało tylko na połączenia za pośrednictwem prywatnych punktów końcowych, aby dodatkowo zwiększyć bezpieczeństwo sieci. Jeśli chcesz ograniczyć dostęp do konta usługi Automation tylko z poziomu sieci wirtualnej i nie zezwalać na dostęp z publicznego Internetu, możesz ustawić publicNetworkAccess właściwość na $false.

Gdy ustawienie Dostęp do sieci publicznej jest ustawione na $falsewartość , dozwolone są tylko połączenia za pośrednictwem prywatnych punktów końcowych, a wszystkie połączenia za pośrednictwem publicznych punktów końcowych są odrzucane z nieautoryzowanym komunikatem o błędzie i stanem HTTP 401.

Poniższy skrypt programu PowerShell pokazuje, jak i Set właściwość Dostępu do Getsieci publicznej na poziomie konta usługi Automation:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

Możesz również kontrolować właściwość dostępu do sieci publicznej z Azure Portal. Z poziomu konta usługi Automation wybierz pozycję Izolacja sieciowa w okienku po lewej stronie w sekcji Konto Ustawienia. Gdy ustawienie Dostęp do sieci publicznej ma wartość Nie, dozwolone są tylko połączenia za pośrednictwem prywatnych punktów końcowych, a wszystkie połączenia za pośrednictwem publicznych punktów końcowych są odrzucane.

Public Network Access setting

Konfiguracja usługi DNS

Podczas nawiązywania połączenia z zasobem łącza prywatnego przy użyciu w pełni kwalifikowanej nazwy domeny (FQDN) w ramach parametrów połączenia ważne jest prawidłowe skonfigurowanie ustawień DNS w celu rozpoznania przydzielonego prywatnego adresu IP. Istniejące usługi platformy Azure mogą już mieć konfigurację DNS do użycia podczas nawiązywania połączenia za pośrednictwem publicznego punktu końcowego. Konfiguracja DNS powinna zostać przejrzena i zaktualizowana w celu nawiązania połączenia przy użyciu prywatnego punktu końcowego.

Interfejs sieciowy skojarzony z prywatnym punktem końcowym zawiera kompletny zestaw informacji wymaganych do skonfigurowania systemu DNS, w tym nazwy FQDN i prywatnych adresów IP przydzielonych dla danego zasobu łącza prywatnego.

Aby skonfigurować ustawienia DNS dla prywatnych punktów końcowych, możesz użyć następujących opcji:

  • Użyj pliku hosta (zalecane tylko do testowania). Możesz użyć pliku hosta na maszynie wirtualnej, aby przesłonić przy użyciu systemu DNS w celu rozpoznawania nazw. Wpis DNS powinien wyglądać podobnie do następującego przykładu: privatelinkFQDN.jrds.sea.azure-automation.net.

  • Użyj prywatnej strefy DNS. Za pomocą prywatnych stref DNS można zastąpić rozpoznawanie nazw DNS dla określonego prywatnego punktu końcowego. Prywatną strefę DNS można połączyć z siecią wirtualną w celu rozpoznawania konkretnych domen. Aby umożliwić agentowi na maszynie wirtualnej komunikowanie się za pośrednictwem prywatnego punktu końcowego, utwórz rekord Prywatna strefa DNS jako privatelink.azure-automation.net. Dodaj nowe mapowanie rekordu DNS A na adres IP prywatnego punktu końcowego.

  • Użyj usługi przesyłania dalej DNS (opcjonalnie). Za pomocą usługi przesyłania dalej DNS można zastąpić rozpoznawanie nazw DNS dla określonego zasobu łącza prywatnego. Jeśli serwer DNS jest hostowany w sieci wirtualnej, możesz utworzyć regułę przekazywania DNS, aby użyć prywatnej strefy DNS, aby uprościć konfigurację dla wszystkich zasobów łącza prywatnego.

Aby uzyskać więcej informacji, zobacz Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure.

Następne kroki

Aby dowiedzieć się więcej na temat prywatnego punktu końcowego, zobacz Co to jest prywatny punkt końcowy platformy Azure?.