您现在访问的是微软AZURE全睃版技术文档网站,若需覝访问由世纪互蝔违蝥的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

将 Key Vault 与 Azure 专用链接集成

使用 Azure 专用链接服务,可以通过虚拟网络中的专用终结点访问 Azure 服务(例如 Azure Key Vault、Azure 存储和 Azure Cosmos DB)以及 Azure 托管的客户服务/合作伙伴服务。

Azure 专用终结点是一个网络接口,可以通过私密且安全的方式将你连接到 Azure 专用链接支持的服务。 专用终结点使用 VNet 中的专用 IP 地址将服务有效接入 VNet 中。 发往服务的所有流量都可以通过专用终结点路由,因此不需要网关、NAT 设备、ExpressRoute 或 VPN 连接或公共 IP 地址。 虚拟网络与服务之间的流量将通过 Microsoft 主干网络,因此不会从公共 Internet 泄露。 可以连接到 Azure 资源的实例,从而获得最高级别的访问控制粒度。

有关详细信息,请参阅什么是 Azure 专用链接?

先决条件

若要将 Key Vault 与 Azure 专用链接集成,需要准备好以下各项:

  • 一个 Key Vault。
  • 一个 Azure 虚拟网络。
  • 虚拟网络中的子网。
  • 对 Key Vault 和虚拟网络拥有所有者或参与者权限。

专用终结点和虚拟网络必须位于同一区域。 使用门户选择专用终结点的区域时,只会自动筛选该区域中的虚拟网络。 Key Vault 可以位于不同的区域。

专用终结点使用虚拟网络中的专用 IP 地址。

首先,遵循使用 Azure 门户创建虚拟网络中的步骤创建虚拟网络

然后可以创建新的 Key Vault,或者与现有的 Key Vault 建立专用链接连接。

可使用 Azure 门户Azure CLIAzure PowerShell 创建新的密钥保管库。

配置 Key Vault 基本设置后,选择“网络”选项卡并执行以下步骤:

  1. 在“网络”选项卡中选中“专用终结点”单选按钮。

  2. 单击“+ 添加”按钮添加专用终结点。

    屏幕截图显示了“创建密钥保管库”页上的“网络”选项卡。

  3. 在“创建专用终结点”边栏选项卡的“位置”字段中,选择虚拟网络所在的区域。

  4. 在“名称”字段中创建一个描述性的名称,用于标识此专用终结点。

  5. 从下拉菜单中,选择要在其中创建此专用终结点的虚拟网络和子网。

  6. 将“与专用区域 DNS 集成”选项保留不变。

  7. 选择“确定”。

    屏幕截图显示了“创建专用终结点”页,其中选中了一些设置。

现在可以看到配置的专用终结点。 可以使用相应的选项来删除和编辑此专用终结点。 选择“查看 + 创建”按钮并创建 Key Vault。 完成部署需要 5-10 分钟。

如果已有 Key Vault,可以执行以下步骤创建专用链接连接:

  1. 登录到 Azure 门户。

  2. 在搜索栏中键入“key vault”

  3. 从列表中选择要将专用终结点添加到的 Key Vault。

  4. 选择“设置”下的“网络”选项卡

  5. 选择页面顶部的“专用终结点连接”选项卡

  6. 选择页面顶部的“+ 专用终结点”按钮。

    屏幕截图显示了“网络”页上的“+ 专用终结点”按钮。 屏幕截图显示了“创建专用终结点(预览)”页上的“基本信息”选项卡。

可以使用此边栏选项卡选择为任何 Azure 资源创建专用终结点。 可以使用下拉菜单选择资源类型并在目录中选择资源,或者使用资源 ID 连接到任何 Azure 资源。 将“与专用区域 DNS 集成”选项保留不变。

创建专用终结点时,必须批准连接。 如果要为其创建专用终结点的资源位于你的目录中,则你可以批准连接请求(前提是你有足够的权限);如果连接到另一个目录中的 Azure 资源,则必须等待该资源的所有者批准连接请求。

有四种预配状态:

服务提供商操作 服务使用者专用终结点状态 说明
挂起的 连接是手动创建的,正等待专用链接资源所有者批准。
审批 已批准 连接已自动或手动批准,随时可供使用。
拒绝 已拒绝 连接已被专用链接资源所有者拒绝。
删除 已断开连接 连接已被专用链接资源所有者删除,专用终结点仅供参考,应将其删除以清理资源。

如何使用 Azure 门户管理与 Key Vault 建立的专用终结点连接

  1. 登录到 Azure 门户。

  2. 在搜索栏中键入“key vault”

  3. 选择要管理的 Key Vault。

  4. 选择“网络”选项卡。

  5. 如果有任何挂起的连接,则会列出预配状态为“挂起”的连接。

  6. 选择要批准的专用终结点

  7. 选择“批准”按钮。

  8. 如果你要拒绝任何专用终结点连接(不管是挂起的请求还是现有的连接),请选择该连接并单击“拒绝”按钮。

    映像

应该验证专用终结点资源的同一子网中的资源是否可以通过专用 IP 地址连接到 Key Vault,以及它们是否具有正确的专用 DNS 区域集成。

首先,遵循在 Azure 门户中创建 Windows 虚拟机中的步骤创建一个虚拟机。

在“网络”选项卡中:

  1. 指定虚拟网络和子网。 可以创建新的或选择现有的虚拟网络。 如果选择现有的虚拟网络,请确保区域匹配。
  2. 指定公共 IP 资源。
  3. 在“NIC 网络安全组”中选择“无”。
  4. 在“负载均衡”中选择“否”。

打开命令行并运行以下命令:

nslookup <your-key-vault-name>.vault.azure.net

如果运行 ns lookup 命令通过公共终结点解析 Key Vault 的 IP 地址,将会看到如下所示的结果:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

如果运行 ns lookup 命令通过专用终结点解析 Key Vault 的 IP 地址,将会看到如下所示的结果:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

故障排除指南

  • 检查以确保专用终结点处于已批准状态。

    1. 可以在 Azure 门户中检查并修复此问题。 打开 Key Vault 资源,然后单击“网络”选项。
    2. 然后选择“专用终结点连接”选项卡。
    3. 请确保连接状态为“已批准”并且预配状态为“成功”。
    4. 还可以导航到专用终结点资源并在其中查看相同属性,然后仔细检查虚拟网络是否与所使用的网络匹配。
  • 请检查以确保具有专用 DNS 区域资源。

    1. 必须具有名称准确的专用 DNS 区域资源:privatelink.vaultcore.azure.net。
    2. 若要了解如何对此进行设置,请参阅以下链接。 专用 DNS 区域
  • 请检查确保专用 DNS 区域已与虚拟网络关联。 如果仍在返回公共 IP 地址,则可能存在该问题。

    1. 如果专用区域 DNS 未链接到虚拟网络,则从虚拟网络发起的 DNS 查询会返回 Key Vault 的公共 IP 地址。
    2. 在 Azure 门户中导航到专用 DNS 区域资源,然后单击虚拟网络链接选项。
    3. 必须列出将对 Key Vault 执行调用的虚拟网络。
    4. 如果它不存在,请添加它。
    5. 有关详细步骤,请参阅以下文档将虚拟网络链接到专用 DNS 区域
  • 请检查以确保专用 DNS 区域不缺少 Key Vault 的 A 记录。

    1. 导航到专用 DNS 区域页。
    2. 单击“概述”,并检查是否存在具有 Key Vault 的简单名称(即 fabrikam)的 A 记录。 不要指定任何后缀。
    3. 请务必检查拼写,创建或修复 A 记录。 可将 TTL 设为 600(10 分钟)。
    4. 确保指定了正确的专用 IP 地址。
  • 检查以确保 A 记录具有正确的 IP 地址。

    1. 可在 Azure 门户中打开专用终结点资源来确认 IP 地址。
    2. 在 Azure 门户(而不是 Key Vault 资源)中导航到 Microsoft.Network/privateEndpoints 资源
    3. 在概述页中,查找网络接口,然后单击该链接。
    4. 该链接显示 NIC 资源的概述,其中包含专用 IP 地址属性。
    5. 验证这是否为在 A 记录中指定的正确 IP 地址。

限制和设计注意事项

备注

按订阅启用了专用终结点的密钥保管库数量是可调整的限制。 下面显示的限制是默认限制。 如果你想要为服务请求增加限制,请发送电子邮件到 akv-privatelink@microsoft.com。 我们将根据具体情况审批这些请求。

定价:有关定价信息,请参阅 Azure 专用链接定价

限制:Azure Key Vault 的专用终结点仅在 Azure 公共区域提供。

每个 Key Vault 的专用终结点数目上限:64。

每个订阅的包含专用终结点的默认 Key Vault 数目:400。

有关详细信息,请参阅 Azure 专用链接服务:限制

后续步骤