Usar pontos de extremidade privados com contas do Lote do Azure

Por padrão, as contas do Lote do Azure têm pontos de extremidade públicos e são acessadas publicamente. O serviço do Lote oferece a capacidade de criar um ponto de extremidade privado para contas do Lote, permitindo o acesso à rede privada ao serviço do Lote.

Usando o Link Privado do Azure, você pode se conectar a uma conta do Lote do Azure por meio de um ponto de extremidade privado. O ponto de extremidade privado é um conjunto de endereços IP privados em uma sub-rede dentro da rede virtual. Você pode limitar o acesso a uma conta do Lote do Azure por meio de endereços IP privados.

O Link Privado permite que os usuários acessem uma conta do Lote do Azure de dentro da rede virtual ou de qualquer rede virtual emparelhada. Os recursos mapeados para o Link Privado também podem ser acessados localmente no emparelhamento privado por meio de VPN ou do Azure ExpressRoute. Você pode se conectar a uma conta do Lote do Azure configurada com o Link Privado usando o método de aprovação automática ou manual.

Este artigo descreve as etapas para criar um ponto de extremidade privado para acessar os pontos de extremidade da conta do Lote.

Sub-recursos de ponto de extremidade privado com suporte para a conta do Lote

O recurso de conta do Lote tem dois pontos de extremidade com suporte para acesso com pontos de extremidade privados:

• Ponto de extremidade da conta (sub-recurso: batchAccount): esse ponto de extremidade é usado para acessar a API REST de Serviço do Lote (plano de dados), por exemplo, gerenciamento de pools, nós de computação, trabalhos, tarefas etc.

• Ponto de extremidade de gerenciamento de nó (sub-recurso: nodeManagement): usado por nós de pool do Lote para acessar o serviço de gerenciamento de nós do Lote. Esse ponto de extremidade somente se aplica usando comunicação de nó de computação simplificada.

Dica

Você pode criar um ponto de extremidade privado para um deles ou para ambos em sua rede virtual, dependendo do uso real para sua conta do Lote. Por exemplo, se você executar o pool do Lote na rede virtual, mas chamar a API REST do serviço Lote de outro lugar, só precisará criar o ponto de extremidade privado nodeManagement na rede virtual.

Portal do Azure

Use as etapas a seguir para criar um ponto de extremidade privado com sua conta do Lote usando o portal do Azure:

1. Vá para sua conta do Lote no portal do Azure.
2. Em Configurações, selecione Rede e vá até a guia Acesso Privado. Em seguida, selecione + Ponto de extremidade privado.
3. No painel Noções Básicas, insira ou selecione a assinatura, o grupo de recursos, o nome do recurso do ponto de extremidade privado e os detalhes da região e, em seguida, selecione Avançar: Recurso.
4. No painel Recursos, defina o Tipo de recurso como Microsoft.Batch/batchAccounts. Selecione a conta do Lote que você deseja, selecione o sub-recurso de destino e, em seguida, selecione Avançar: Configuração.
5. No painel Configuração, insira ou selecione estas informações:
   • Para Rede virtual, selecione a sua rede virtual.
   • Para Sub-rede, selecione sua sub-rede.
   • Para Configuração de IP privado, selecione a opção padrão Alocar endereço IP dinamicamente.
   • Para Integrar com a zona de DNS privado, selecione Sim. Para se conectar em particular com o seu ponto de extremidade privado, você precisa de um registro DNS. Recomendamos que você integre seu ponto de extremidade privado a uma zona DNS privada. Você também pode usar seus próprios servidores DNS ou criar registros DNS usando os arquivos host em suas máquinas virtuais.
   • Para Zona DNS privado: selecione privatelink.batch.azure.com. A zona DNS privada é determinada automaticamente. Não é possível alterar essa configuração usando o portal do Azure.

Importante

• Se você tiver pontos de extremidade privados existentes criados com zona DNS privada privatelink.<region>.batch.azure.com anterior, siga a Migração com pontos de extremidade privados da conta do Lote existentes.
• Se você selecionou a integração da zona DNS privada, verifique se a zona DNS privada foi vinculada à rede virtual com sucesso. É possível que portal do Azure permita que você escolha uma zona DNS privada existente, que pode não estar vinculada à rede virtual e você precisará adicionar manualmente o link de rede virtual.

6. Selecione Revisar + criar e aguarde até que o Azure valide sua configuração.
7. Quando vir a mensagem Validação aprovada, selecione Criar.

Dica

Também é possível criar o ponto de extremidade privado pelo Centro de Link Privado no portal do Azure ou criar um novo recurso pesquisando o ponto de extremidade privado.

Usar o ponto de extremidade privado

Após o ponto de extremidade privado ser provisionado, você poderá acessar a conta do Lote usando o endereço IP privado dentro da rede virtual:

• Ponto de extremidade privado para batchAccount: pode acessar o plano de dados da conta do Lote para gerenciar pools/trabalhos/tarefas.

• Ponto de extremidade privado para nodeManagement: os nós de computação do pool do Lote podem se conectar e ser gerenciados pelo serviço de gerenciamento de nós do Lote.

Dica

Também é recomendável desabilitar o acesso à rede pública com sua conta do Lote quando você estiver usando pontos de extremidade privados, o que restringirá o acesso somente à rede privada.

Importante

Se o acesso à rede pública estiver desabilitado com a conta do Lote, executar operações de conta (por exemplo, pools, trabalhos) fora da rede virtual em que o ponto de extremidade privado está provisionado resultará em uma mensagem "AuthorizationFailure" para a conta do Lote no portal do Azure.

Para exibir os endereços IP para o ponto de extremidade privado no portal do Azure:

1. Selecione Todos os recursos.
2. Pesquise o ponto de extremidade privado que você criou anteriormente.
3. Selecione a guia Configuração de DNS para ver as configurações de DNS e os endereços IP.

Configurar zonas DNS

Use uma zona DNS privada dentro da sub-rede em que você criou o ponto de extremidade privado. Configure os pontos de extremidade para que cada endereço IP privado seja mapeado para uma entrada DNS.

Ao criar o ponto de extremidade privado, você pode integrá-lo a uma zona DNS privada no Azure. Se você optar por usar um domínio personalizado, precisará configurá-lo para adicionar registros DNS para todos os endereços IP privados reservados para o ponto de extremidade privado.

Migração com pontos de extremidade privados existentes da conta do Lote

Com a introdução do novo sub-recurso de ponto de extremidade privado nodeManagement para o ponto de extremidade de gerenciamento de nó do Lote, a zona DNS privada padrão para a conta do Lote é simplificada de privatelink.<region>.batch.azure.com para privatelink.batch.azure.com. Para manter a compatibilidade com versões anteriores da zona DNS privada usada anteriormente, para uma conta do Lote com qualquer ponto de extremidade privado batchAccount aprovado, os mapeamentos DNS CNAME do ponto de extremidade da conta contêm as duas zonas (sendo que a zona anterior vem primeiro), por exemplo:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Continue usando a zona DNS privada anterior

Se você já usou a zona DNS anterior privatelink.<region>.batch.azure.com com a rede virtual, deve continuar a usá-la para pontos de extremidade privados batchAccount novos e existentes, e nenhuma ação será necessária.

Importante

Com o uso existente da zona DNS privada anterior, continue a usá-la até mesmo com pontos de extremidade privados recém-criados. Não use a nova zona com a solução de integração DNS até que você possa migrar para a nova zona.

Criar um novo ponto de extremidade privado batchAccount com integração DNS no portal do Azure

Se você criar manualmente um novo ponto de extremidade privado batchAccount, usando o portal do Azure com a integração DNS automática habilitada, ele usará a nova zona DNS privada privatelink.batch.azure.com para a integração DNS: crie a zona DNS privada, vincule-a à rede virtual e configure o registro DNS A na zona para o ponto de extremidade privado.

No entanto, se a rede virtual já tiver sido vinculada à zona DNS privada anterior privatelink.<region>.batch.azure.com, ela interromperá a resolução DNS da conta do lote na rede virtual, pois o registro DNS A do novo ponto de extremidade privado será adicionado à nova zona, mas a resolução DNS A verificará primeiro a zona anterior quanto ao suporte de compatibilidade com versões anteriores.

Você pode atenuar esse problema com as opções a seguir:

• Se você não precisar mais da zona DNS privada anterior, desvincule-a da rede virtual. Nenhuma outra ação é necessária.

• Caso contrário, depois que o novo ponto de extremidade privado for criado:

  1. verifique se a integração automática de DNS privado tem um registro DNS A criado na nova zona DNS privada privatelink.batch.azure.com. Por exemplo, myaccount.<region> A <IPv4 address>.

  2. Vá para a zona DNS privada privatelink.<region>.batch.azure.com anterior.

  3. Adicione manualmente um registro CNAME de DNS. Por exemplo, myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Importante

Essa mitigação manual só é necessária quando você cria um novo ponto de extremidade privado batchAccount com integração de DNS privado na mesma rede virtual que já foi vinculada à zona DNS privada anterior.

Migração da zona DNS privada anterior para a nova zona

Embora você possa continuar usando a zona DNS privada anterior com o processo de implantação existente, é recomendável migrá-la para a nova zona para simplificar o gerenciamento de configuração de DNS:

• Com a nova zona DNS privada privatelink.batch.azure.com, você não precisará configurar e gerenciar zonas diferentes para cada região com as contas do Lote.
• Quando você começar a usar o novo ponto de extremidade privado nodeManagement, que também usa a nova zona DNS privada, você só precisará gerenciar uma única zona DNS privada para ambos os tipos de pontos de extremidade privados.

Você pode migrar a zona DNS privada anterior com as etapas a seguir:

1. Crie e vincule a zona DNS privada privatelink.batch.azure.com à rede virtual.
2. Copie todos os registros DNS A da zona DNS privada anterior para a nova zona:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Desvincule a zona DNS privada anterior da rede virtual.
4. Verifique a resolução DNS na rede virtual e se o nome DNS da conta do Lote deve continuar sendo resolvido para o endereço IP do ponto de extremidade privado:

nslookup myaccount.<region>.batch.azure.com

5. Comece a usar a nova zona DNS privada com o processo de implantação para novos pontos de extremidade privados.
6. Exclua a zona DNS privada anterior, após a conclusão da migração.

Preços

Para obter detalhes sobre os custos relacionados a pontos de extremidade privados, consulte preços do Link Privado do Azure.

Limitações e melhores práticas atuais

Ao criar um ponto de extremidade privado com sua conta do Lote, lembre-se do seguinte:

• Os recursos de ponto de extremidade privado podem ser criados em uma assinatura diferente como a conta do Lote, mas a assinatura deve ser registrada no provedor de recursos Microsoft.Batch.
• Não há suporte para a movimentação de recursos em pontos de extremidade privados com contas do Lote.
• Se um recurso de conta do Lote for movido para um grupo de recursos ou uma assinatura diferente, os pontos de extremidade privados ainda poderão funcionar, mas a associação à conta do Lote será interrompida. Se você excluir o recurso de ponto de extremidade privado, a conexão do ponto de extremidade privado associada ainda existirá em sua conta do Lote. É possível remover manualmente a conexão da sua conta do Lote.
• Para excluir a conexão privada, exclua o recurso do ponto de extremidade privado ou exclua a conexão privada na conta do Lote (essa ação desconecta o recurso de ponto de extremidade privado relacionado).
• Os registros DNS na zona DNS privada não são removidos automaticamente quando você exclui um ponto de extremidade privado ou remove uma conexão da conta do Lote. Você deve remover manualmente os registros DNS antes de adicionar um novo ponto de extremidade privado vinculado a essa zona DNS privada. Se você não limpar os registros de DNS, poderão ocorrer problemas inesperados no plano de dados.
• Quando o ponto de extremidade privado está habilitado para a conta do Lote, não há suporte para o token de autenticação de tarefa para tarefas do Lote. A solução alternativa é utilizar um pool do Lote com identidades gerenciadas.

Próximas etapas

• Saiba como criar pools do Lote em redes virtuais.
• Saiba como criar pools do Lote sem endereços IP públicos.
• Saiba como configurar o acesso à rede pública para contas do Lote.
• Saiba como gerenciar conexões de ponto de extremidade privadas para contas do Lote.
• Saiba mais sobre o Link Privado do Azure.