Интеграция Key Vault со службой "Приватный канал Azure"

Приватный канал Azure обеспечивает доступ к службам Azure (например, к Azure Key Vault, службе хранилища Azure и Azure Cosmos DB), а также размещенным в Azure службам клиентов или партнеров через частную конечную точку виртуальной сети.

Частная конечная точка Azure — это сетевой интерфейс, который защищенно и надежно подключается к службе через Приватный канал Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, по сути перемещая службу в виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute и VPN, а также общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт, что позволяет избежать рисков общедоступного Интернета. Вы можете подключиться к экземпляру ресурса Azure, обеспечивая наивысшую степень детализации в управлении доступом.

Дополнительные сведения см. в статье Что такое Приватный канал Azure.

Предварительные требования

Чтобы интегрировать хранилище ключей с Приватный канал Azure, вам потребуется:

• Хранилище ключей.
• Виртуальная сеть Azure.
• Подсеть в виртуальной сети.
• Разрешения владельца или участника для хранилища ключей и виртуальной сети.

Частная конечная точка и виртуальная сеть должны находиться в одном регионе. При выборе региона для частной конечной точки с помощью портала будут автоматически фильтроваться только виртуальные сети в этом регионе. Хранилище ключей может находиться в другом регионе.

Частная конечная точка использует частный IP-адрес в виртуальной сети.

Портал Azure

Установка подключения Приватного канала к хранилищу ключей с помощью портала Azure

Сначала создайте виртуальную сеть, выполнив действия, описанные в статье Краткое руководство. Создание виртуальной сети с помощью портала Azure.

Затем можно или создать хранилище ключей, либо установить подключение Приватного канала к существующему хранилищу ключей.

Создание хранилища ключей и установка подключения Приватного канала

Вы можете создать хранилище ключей с помощью портала Azure, Azure CLI или Azure PowerShell.

После настройки основных компонентов хранилища ключей перейдите на вкладку "Сеть" и выполните следующие шаги:

1. Отключите общий доступ, переключив переключатель.

2. Нажмите кнопку "+ Создать частную конечную точку", чтобы добавить частную конечную точку.

   

3. В колонке "Создание частной конечной точки" в поле "Расположение" выберите регион, в котором расположена ваша виртуальная сеть.

4. В поле "Имя" введите описательное имя. По нему вы сможете найти эту частную конечную точку.

5. В раскрывающемся меню выберите виртуальную сеть и подсеть, в которых нужно создать эту частную конечную точку.

6. Оставьте без изменений переключатель Integrate with the private zone DNS (Интегрировать с частной зоной DNS).

7. Нажмите «ОК».

   

Теперь вы увидите настроенную частную конечную точку. Теперь вы можете удалить и изменить эту частную конечную точку. Нажмите кнопку "Просмотр и создание" и создайте хранилище ключей. Развертывание может занять 5–10 минут.

Установка подключения Приватного канала к существующему хранилищу ключей

Если у вас уже есть хранилище ключей, можно создать подключение Приватного канала к нему, выполнив следующие действия:

1. Войдите на портал Azure.

2. В строке поиска введите "хранилища ключей".

3. Выберите в списке хранилище ключей, для которого необходимо добавить частную конечную точку.

4. Выберите вкладку "Сеть" в разделе "Параметры".

5. Щелкните вкладку "Подключения к частным конечным точкам" в верхней части страницы.

6. Нажмите кнопку "+Создать" в верхней части страницы.

   

7. В разделе "Сведения о проекте" выберите группу ресурсов, которая содержит виртуальную сеть, созданную согласно требованиям для работы с этим руководством. В разделе "Сведения об экземпляре" введите myPrivateEndpoint в поле "Имя" и выберите то же расположение, что и у виртуальной сети, созданной согласно требованиям для работы с этим руководством.

   Вы можете создать частную конечную точку для любого ресурса Azure, используя эту колонку. Можно использовать раскрывающиеся меню, чтобы выбрать тип ресурса и ресурс в каталоге, или подключиться к любому ресурсу Azure, используя идентификатор ресурса. Оставьте без изменений переключатель Integrate with the private zone DNS (Интегрировать с частной зоной DNS).

8. Перейдите к колонке "Ресурсы". В поле "Тип ресурса" выберите Microsoft.KeyVault/vaults; в поле "Ресурс" выберите хранилище ключей, созданное согласно требованиям для работы с этим руководством. В поле "Целевой подресурс" будет автоматически указано "хранилище".

9. Перейдите в раздел "Виртуальная сеть". Выберите виртуальную сеть и подсеть, созданные согласно требованиям для работы с этим руководством.

10. Перейдите к колонкам "DNS" и "Теги", принимая значения по умолчанию.

11. На странице "Проверка и создание" выберите "Создать".

При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в каталоге, вы сможете утвердить запрос на подключение при наличии достаточных разрешений. Если вы подключаетесь к ресурсу Azure в другом каталоге, необходимо дождаться, пока владелец этого ресурса утвердит запрос на подключение.

Существует четыре состояния подготовки:

Действие в службе	Состояние частной конечной точки объекта-получателя службы	Описание
None	Ожидает	Подключение создается вручную и ожидает утверждения от владельца ресурса Приватного канала.
Утверждение	Approved	Подключение утверждено автоматически или вручную и готово к использованию.
Reject	Отклонено	Подключение отклонил владелец ресурса Приватного канала.
Удалить	Отключено	Подключение удалил владелец ресурса Приватного канала. Частная конечная точка станет информативной и подлежит удалению для очистки.

Управление подключением частной конечной точки к Key Vault с помощью портала Azure

1. Войдите на портал Azure.

2. В строке поиска введите "хранилища ключей".

3. Выберите хранилище ключей для управления.

4. Перейдите на вкладку "Сеть".

5. Если есть какие-либо ожидающие подключения, вы увидите подключение с состоянием "Ожидание" в состоянии подготовки.

6. Выберите частную конечную точку, которую вы хотите утвердить.

7. Нажмите кнопку "Утвердить".

8. Если вы хотите отклонить какие-либо подключения к частной конечной точке, будь то ожидающий запрос или существующее подключение, выберите подключение и нажмите кнопку "Отклонить".

   

Azure CLI

Установка подключения приватного канала к Key Vault с помощью интерфейса командой строки (начальная настройка)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Создание частной конечной точки (автоматическое утверждение)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Создание частной конечной точки (запрос утверждения вручную)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Управление подключениями приватного канала

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Добавление записей Частной зоны DNS

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Проверка работоспособности подключения Приватного канала

Необходимо убедиться, что ресурсы в одной подсети ресурса частной конечной точки подключаются к хранилищу ключей по частному IP-адресу и что они правильно интегрируются с частной зоной DNS.

Сначала создайте виртуальную машину, выполнив действия, описанные в статье Краткое руководство. Создание виртуальной машины Windows на портале Azure.

На вкладке "Сеть" выполните следующее:

1. Укажите виртуальную сеть и подсеть. Можно создать виртуальную сеть или выбрать существующую. При выборе существующей сети убедитесь, что регион соответствует.
2. Укажите ресурс общедоступного IP-адреса.
3. В списке "Группа безопасности сети сетевого адаптера" выберите "Нет".
4. В поле "Балансировка нагрузки" выберите "Нет".

Откройте командную строку и выполните следующую команду:

nslookup <your-key-vault-name>.vault.azure.net

Если выполнить команду поиска ns, чтобы разрешить IP-адрес хранилища ключей через общедоступную конечную точку, вы увидите результат, который выглядит следующим образом:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Если выполнить команду поиска ns, чтобы разрешить IP-адрес хранилища ключей через частную конечную точку, вы увидите результат, который выглядит следующим образом:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Руководство по устранению неполадок

• Убедитесь, что частная конечная точка находится в состоянии утверждено.

  1. Это можно проверить и исправить на портале Azure. Откройте ресурс Key Vault и выберите параметр Сеть.
  2. Затем выберите вкладку подключения частной конечной точки.
  3. Убедитесь, что подключение находится в состоянии "Утверждено", а состояние подготовки — "Успешно".
  4. Вы также можете перейти к ресурсу частной конечной точки и просмотреть там те же свойства и дважды проверка, что виртуальная сеть соответствует той, которую вы используете.

• Убедитесь, что у вас есть ресурс Частной зоны DNS.

  1. Необходимо иметь ресурс Частной зоны DNS с точным именем: privatelink.vaultcore.azure.net.
  2. Чтобы узнать, как это сделать, перейдите по следующей ссылке. Частные зоны DNS

• Убедитесь, что Частная зона DNS связана с виртуальной сетью. Это может быть проблемой, если вы по-прежнему получаете общедоступный IP-адрес.

  1. Если DNS частной зоны не связан с виртуальной сетью, запрос DNS, исходящий из виртуальной сети, вернет общедоступный IP-адрес хранилища ключей.
  2. Перейдите к ресурсу зоны Частная зона DNS в портал Azure и выберите вариант подключения к виртуальной сети.
  3. Должна быть указана виртуальная сеть, которая будет выполнять вызовы к хранилищу ключей.
  4. Если она отсутствует, добавьте ее.
  5. Подробные инструкции см. в разделе освязывании виртуальной сети с Частной зоной DNS.

• Убедитесь, что в зоне Частная зона DNS отсутствует запись A для хранилища ключей.

  1. Перейдите на страницу Частной зоны DNS.
  2. Выберите Обзор и проверка, если есть запись A с простым именем хранилища ключей (например, fabrikam). Не указывайте суффикс.
  3. Проверьте правильность написания, а затем создайте или исправьте запись A. Можно использовать срок жизни 600 (10 минут).
  4. Необходимо указать правильный Частный IP-адрес.

• Убедитесь, что запись A имеет правильный IP-адрес.

  1. Вы можете проверить IP-адрес, открыв ресурс частной конечной точки на портале Azure.
  2. Перейдите к ресурсу Microsoft.Network/privateEndpoints на портале Azure (а не в ресурсе Key Vault).
  3. На странице обзора найдите сетевой интерфейс и выберите по этой ссылке.
  4. Отобразится обзор ресурса сетевой карты, который содержит частный IP-адрес свойства.
  5. Убедитесь, что это правильный IP-адрес, который указан в записи A.

• Если вы подключаетесь из локального ресурса к Key Vault, убедитесь, что в локальной среде включены все необходимые условные серверы пересылки.

  1. Просмотрите конфигурацию DNS частной конечной точки Azure для необходимых зон и убедитесь, что у вас есть условные серверы пересылки как для локальной службы DNS, так vault.azure.net и vaultcore.azure.net для локальной службы DNS.
  2. Убедитесь, что у вас есть условные серверы пересылки для тех зон, которые направляются в Azure Частная зона DNS Resolver или на другую платформу DNS с доступом к разрешению Azure.

Проблемы и ограничения разработки

Ограничения описаны в разделе Ограничения для Приватного канала.

Цены описаны на странице цен на Приватный канал Azure.

Ограничения описаны в разделе Ограничения службы “Приватный канал Azure”.

Next Steps

• Дополнительные сведения о службе Приватный канал Azure
• См. дополнительные сведения об Azure Key Vault.