Integrar o Key Vault no Azure Private LinkIntegrate Key Vault with Azure Private Link

O Azure Private Link Service permite-lhe aceder aos Serviços Azure (por exemplo, Azure Key Vault, Azure Storage e Azure Cosmos DB) e a Azure acolheu serviços de cliente/parceiro sobre um Ponto Final Privado na sua rede virtual.Azure Private Link Service enables you to access Azure Services (for example, Azure Key Vault, Azure Storage, and Azure Cosmos DB) and Azure hosted customer/partner services over a Private Endpoint in your virtual network.

Um Azure Private Endpoint é uma interface de rede que o liga de forma privada e segura a um serviço alimentado pela Azure Private Link.An Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. O ponto final privado utiliza um endereço IP privado a partir do seu VNet, efetivamente trazendo o serviço para o seu VNet.The private endpoint uses a private IP address from your VNet, effectively bringing the service into your VNet. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN, ou endereços IP públicos.All traffic to the service can be routed through the private endpoint, so no gateways, NAT devices, ExpressRoute or VPN connections, or public IP addresses are needed. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública.Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. Pode ligar-se a um recurso Azure, dando-lhe o mais alto nível de granularidade no controlo de acessos.You can connect to an instance of an Azure resource, giving you the highest level of granularity in access control.

Para mais informações, consulte o que é a Azure Private Link?For more information, see What is Azure Private Link?

Pré-requisitosPrerequisites

Para integrar um cofre-chave com a Azure Private Link, necessitará do seguinte:To integrate a key vault with Azure Private Link, you will need the following:

  • Um cofre.A key vault.
  • Uma rede virtual Azure.An Azure virtual network.
  • Uma sub-rede na rede virtual.A subnet in the virtual network.
  • Permissões de proprietário ou contribuinte para o cofre chave e a rede virtual.Owner or contributor permissions for both the key vault and the virtual network.

O seu ponto final privado e rede virtual devem estar na mesma região.Your private endpoint and virtual network must be in the same region. Quando selecionar uma região para o ponto final privado utilizando o portal, irá filtrar automaticamente apenas redes virtuais que se encontrem nessa região.When you select a region for the private endpoint using the portal, it will automatically filter only virtual networks that are in that region. O seu cofre pode estar numa região diferente.Your key vault can be in a different region.

O seu ponto final privado utiliza um endereço IP privado na sua rede virtual.Your private endpoint uses a private IP address in your virtual network.

Em primeiro lugar, crie uma rede virtual seguindo os passos na Criar uma rede virtual utilizando o portal AzureFirst, create a virtual network by following the steps in Create a virtual network using the Azure portal

Em seguida, pode criar um novo cofre de chaves ou estabelecer uma ligação privada a um cofre de chaves existente.You can then either create a new key vault, or establish a private link connection to an existing key vault.

Pode criar um novo cofre com o portal Azure, Azure CLIou Azure PowerShell.You can create a new key vault with the Azure portal, Azure CLI, or Azure PowerShell.

Depois de configurar o básico do cofre da chave, selecione o separador de rede e siga estes passos:After configuring the key vault basics, select the Networking tab and follow these steps:

  1. Selecione o botão de rádio Private Endpoint no separador 'Rede'.Select the Private Endpoint radio button in the Networking tab.

  2. Clique no botão "+ adicionar" para adicionar um ponto final privado.Click the "+ Add" Button to add a private endpoint.

    Screenshot que mostra o separador 'Networking' na página 'Criar cofre de chaves'.

  3. No campo "Localização" da Lâmina de Ponto Final Privado, selecione a região em que a sua rede virtual está localizada.In the "Location" field of the Create Private Endpoint Blade, select the region in which your virtual network is located.

  4. No campo "Nome", crie um nome descritivo que lhe permitirá identificar este ponto final privado.In the "Name" field, create a descriptive name that will allow you to identify this private endpoint.

  5. Selecione a rede virtual e a sub-rede deseja que este ponto final privado seja criado a partir do menu suspenso.Select the virtual network and subnet you want this private endpoint to be created in from the dropdown menu.

  6. Deixe inalterada a opção "integrar-se com a zona privada DNS".Leave the "integrate with the private zone DNS" option unchanged.

  7. Selecione "Ok".Select "Ok".

    Screenshot que mostra a página 'Criar ponto final privado' com definições selecionadas.

Agora poderá ver o ponto final privado configurado.You will now be able to see the configured private endpoint. Tem agora a opção de eliminar e editar este ponto final privado.You now have the option to delete and edit this private endpoint. Selecione o botão "Rever + Criar" e crie o cofre de chaves.Select the "Review + Create" button and create the key vault. Levará 5 a 10 minutos para a colocação estar completa.It will take 5-10 minutes for the deployment to complete.

Se já tiver um cofre chave, pode criar uma ligação de ligação privada seguindo estes passos:If you already have a key vault, you can create a private link connection by following these steps:

  1. Inicie sessão no Portal do Azure.Sign in to the Azure portal.

  2. Na barra de pesquisa, escreva em "cofres-chave"In the search bar, type in "key vaults"

  3. Selecione o cofre de chaves da lista à qual pretende adicionar um ponto final privado.Select the key vault from the list to which you want to add a private endpoint.

  4. Selecione o separador "Networking" em DefiniçõesSelect the "Networking" tab under Settings

  5. Selecione o separador de ligações de ponto final privado no topo da páginaSelect the Private endpoint connections tab at the top of the page

  6. Selecione o botão "+ Ponto final privado" na parte superior da página.Select the "+ Private Endpoint" button at the top of the page.

    Screenshot que mostra o botão '+ Ponto final privado' na página 'Networking'.Screenshot that shows the '+ Private Endpoint' button on the 'Networking' page. Screenshot que mostra o separador 'Básicos' na página 'Criar um ponto final privado (Pré-visualização).Screenshot that shows the 'Basics' tab on the 'Create a private endpoint (Preview) page.

Pode optar por criar um ponto final privado para qualquer recurso Azure na utilização desta lâmina.You can choose to create a private endpoint for any Azure resource in using this blade. Pode utilizar os menus suspensos para selecionar um tipo de recurso e selecionar um recurso no seu diretório, ou pode ligar-se a qualquer recurso Azure utilizando um ID de recurso.You can either use the dropdown menus to select a resource type and select a resource in your directory, or you can connect to any Azure resource using a resource ID. Deixe inalterada a opção "integrar-se com a zona privada DNS".Leave the "integrate with the private zone DNS" option unchanged.

Screenshot que mostra a adição de um ponto final privado usando a lâmina atual.  Screenshot que mostra um exemplo da página 'Criar um ponto final privado (Pré-visualização).Screenshot that shows adding a private endpoint using the current blade. Screenshot that shows an example of the 'Create a private endpoint (Preview) page.

Quando criar um ponto final privado, a ligação tem de ser aprovada.When you create a private endpoint, the connection must be approved. Se o recurso para o qual está a criar um ponto final privado estiver no seu diretório, poderá aprovar o pedido de ligação desde que tenha permissões suficientes; se estiver a ligar-se a um recurso Azure noutro diretório, deve esperar que o proprietário desse recurso aprove o seu pedido de ligação.If the resource for which you are creating a private endpoint is in your directory, you will be able to approve the connection request provided you have sufficient permissions; if you are connecting to an Azure resource in another directory, you must wait for the owner of that resource to approve your connection request.

Existem quatro estados de provisionamento:There are four provisioning states:

Prestação de serviçosService provide action Estado de ponto final privado do consumidor de serviçoService consumer private endpoint state DescriçãoDescription
NenhumNone PendentePending A ligação é criada manualmente e está pendente de aprovação do proprietário do recurso Private Link.Connection is created manually and is pending approval from the Private Link resource owner.
AprovarApprove AprovadoApproved A ligação foi aprovada automaticamente ou manualmente e está pronta a ser utilizada.Connection was automatically or manually approved and is ready to be used.
RejeitarReject RejeitadoRejected A ligação foi rejeitada pelo proprietário de recursos de ligação privada.Connection was rejected by the private link resource owner.
RemoverRemove DesligadoDisconnected A ligação foi removida pelo proprietário do recurso de ligação privada, o ponto final privado torna-se informativo e deve ser eliminado para limpeza.Connection was removed by the private link resource owner, the private endpoint becomes informative and should be deleted for cleanup.

Como gerir uma ligação privada ao Key Vault utilizando o portal AzureHow to manage a private endpoint connection to Key Vault using the Azure portal

  1. Inicie sessão no portal do Azure.Log in to the Azure portal.

  2. Na barra de pesquisa, escreva em "cofres-chave"In the search bar, type in "key vaults"

  3. Selecione o cofre de chaves que pretende gerir.Select the key vault that you want to manage.

  4. Selecione o separador "Networking".Select the "Networking" tab.

  5. Se houver alguma ligação pendente, verá uma ligação listada com "Pendente" no estado de provisionamento.If there are any connections that are pending, you will see a connection listed with "Pending" in the provisioning state.

  6. Selecione o ponto final privado que deseja aprovarSelect the private endpoint you wish to approve

  7. Selecione o botão de aprovação.Select the approve button.

  8. Se houver alguma ligação de ponto final privado que pretenda rejeitar, seja um pedido pendente ou uma ligação existente, selecione a ligação e clique no botão "Rejeitar".If there are any private endpoint connections you want to reject, whether it is a pending request or existing connection, select the connection and click the "Reject" button.

    Imagem

Deve validar que os recursos dentro da mesma sub-rede do recurso de ponto final privado estão a ligar-se ao cofre-chave sobre um endereço IP privado, e que têm a integração de zonas de DNS privadas correta.You should validate that the resources within the same subnet of the private endpoint resource are connecting to your key vault over a private IP address, and that they have the correct private DNS zone integration.

Primeiro, crie uma máquina virtual seguindo os passos na Criar uma máquina virtual Windows no portal AzureFirst, create a virtual machine by following the steps in Create a Windows virtual machine in the Azure portal

No separador "Networking":In the "Networking" tab:

  1. Especifique a rede virtual e a sub-rede.Specify Virtual network and Subnet. Pode criar uma nova rede virtual ou selecionar uma existente.You can create a new virtual network or select an existing one. Se selecionar um existente, certifique-se de que a região corresponde.If selecting an existing one, make sure the region matches.
  2. Especifique um recurso IP público.Specify a Public IP resource.
  3. No "grupo de segurança da rede NIC", selecione "Nenhum".In the "NIC network security group", select "None".
  4. No "Equilíbrio de carga", selecione "Não".In the "Load balancing", select "No".

Abra a linha de comando e executar o seguinte comando:Open the command line and run the following command:

nslookup <your-key-vault-name>.vault.azure.net

Se executar o comando de procuração ns para resolver o endereço IP de um cofre chave sobre um ponto final público, verá um resultado que se parece com este:If you run the ns lookup command to resolve the IP address of a key vault over a public endpoint, you will see a result that looks like this:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Se executar o comando de procuração ns para resolver o endereço IP de um cofre chave sobre um ponto final privado, verá um resultado que se parece com este:If you run the ns lookup command to resolve the IP address of a key vault over a private endpoint, you will see a result that looks like this:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Guia de Resolução de ProblemasTroubleshooting Guide

  • Verifique se o ponto final privado está no estado aprovado.Check to make sure the private endpoint is in the approved state.

    1. Pode verificar e corrigir esta situação no portal do Azure.You can check and fix this in Azure portal. Abra o recurso do Key Vault e clique na opção Rede.Open the Key Vault resource, and click the Networking option.
    2. Em seguida, selecione o separador de ligações de ponto final privado.Then select the Private endpoint connections tab.
    3. Certifique-se de que o estado de ligação é aprovado e que o estado de provisionamento é bem sucedido.Make sure connection state is Approved and provisioning state is Succeeded.
    4. Você também pode navegar para o recurso de ponto final privado e rever as mesmas propriedades lá, e verificar duas vezes que a rede virtual corresponde à que você está usando.You may also navigate to the private endpoint resource and review same properties there, and double-check that the virtual network matches the one you are using.
  • Verifique se tem um recurso privado da Zona DNS.Check to make sure you have a Private DNS Zone resource.

    1. Você deve ter um recurso privado dns Zone com o nome exato: privatelink.vaultcore.azure.net.You must have a Private DNS Zone resource with the exact name: privatelink.vaultcore.azure.net.
    2. Para aprender a configurar isto, consulte o seguinte link.To learn how to set this up please see the following link. Zonas privadas de DNSPrivate DNS Zones
  • Verifique se a Zona DNS Privado não está ligada à Rede Virtual.Check to make sure the Private DNS Zone is not linked to the Virtual Network. Este pode ser o problema se ainda estiver a receber o endereço IP público devolvido.This may be the issue if you are still getting the public IP address returned.

    1. Se o DNS da Zona Privada não estiver ligado à rede virtual, a consulta DNS originária da rede virtual devolverá o endereço IP público do cofre-chave.If the Private Zone DNS is not linked to the virtual network, the DNS query originating from the virtual network will return the public IP address of the key vault.
    2. Navegue para o recurso Private DNS Zone no portal Azure e clique na opção de links de rede virtual.Navigate to the Private DNS Zone resource in the Azure portal and click the virtual network links option.
    3. A rede virtual que irá executar chamadas para o cofre-chave deve estar listada.The virtual network that will perform calls to the key vault must be listed.
    4. Se não estiver lá, adicione.If it's not there, add it.
    5. Para etapas detalhadas, consulte o seguinte documento Link Virtual Network to Private DNS ZoneFor detailed steps, see the following document Link Virtual Network to Private DNS Zone
  • Verifique se a Zona Privada de DNS não está a perder um registo A para o cofre da chave.Check to make sure the Private DNS Zone is not missing an A record for the key vault.

    1. Navegue para a página Privada dns Zone.Navigate to the Private DNS Zone page.
    2. Clique em Descrição geral e verifique se há um registo A com o nome simples do cofre de chaves (ou seja, fabrikam).Click Overview and check if there is an A record with the simple name of your key vault (i.e. fabrikam). Não especifique nenhum sufixo.Do not specify any suffix.
    3. Verifique a ortografia e crie ou corrija o registo A.Make sure you check the spelling, and either create or fix the A record. Pode utilizar um TTL de 3600 (1 hora).You can use a TTL of 3600 (1 hour).
    4. Certifique-se de que especifica o endereço IP privado correto.Make sure you specify the correct private IP address.
  • Verifique se o registo A tem o endereço IP correto.Check to make sure the A record has the correct IP Address.

    1. Pode confirmar o endereço IP abrindo o recurso Private Endpoint no portal Azure.You can confirm the IP address by opening the Private Endpoint resource in Azure portal.
    2. Aceda ao recurso Microsoft.Network/privateEndpoints, no portal do Azure (não no recurso do Key Vault)Navigate to the Microsoft.Network/privateEndpoints resource, in the Azure portal (not the Key Vault resource)
    3. Na página geral procure a interface da Rede e clique nesse link.In the overview page look for Network interface and click that link.
    4. O link mostrará a visão geral do recurso NIC, que contém o endereço IP privado da propriedade.The link will show the Overview of the NIC resource, which contains the property Private IP address.
    5. Verifique se este é o endereço IP correto especificado no registo A.Verify that this is the correct IP address that is specified in the A record.

Limitações e Considerações de DesignLimitations and Design Considerations

Nota

O número de cofres-chave com pontos finais privados ativados por subscrição é um limite ajustável.The number of key vaults with private endpoints enabled per subscription is an adjustable limit. O limite abaixo indicado é o limite de predefinição.The limit shown below is the default limit. Se pretender solicitar um aumento limite para o seu serviço, por favor envie um e-mail para akv-privatelink@microsoft.com .If you would like to request a limit increase for your service, please send an email to akv-privatelink@microsoft.com. Aprovaremos estes pedidos caso a caso.We will approve these requests on a case by case basis.

Preços: Para obter informações sobre preços, consulte os preços do Azure Private Link.Pricing: For pricing information, see Azure Private Link pricing.

Limitações: O Ponto Final Privado para a Azure Key Vault só está disponível nas regiões públicas de Azure.Limitations: Private Endpoint for Azure Key Vault is only available in Azure public regions.

Número máximo de pontos finais privados por porta-chaves: 64.Maximum Number of Private Endpoints per Key Vault: 64.

Número predefinido de cofres-chave com pontos de final privados por subscrição: 400.Default Number of Key Vaults with Private Endpoints per Subscription: 400.

Para mais informações, consulte o serviço Azure Private Link: LimitaçõesFor more, see Azure Private Link service: Limitations

Passos SeguintesNext Steps