Интеграция Key Vault с Azure Private Link

Статья
2025-04-17

Служба приватного канала Azure позволяет получить доступ к службам Azure (например, Azure Key Vault, службе хранилища Azure и Azure Cosmos DB) и размещенным службам клиентов или партнеров Azure через частную конечную точку в виртуальной сети.

Частная конечная точка Azure — это сетевой интерфейс, который подключает вас частным образом и безопасно к службе через Azure Private Link. Частная конечная точка использует частный IP-адрес из вашей виртуальной сети, фактически интегрируя службу в вашу виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute и VPN, а также общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Это позволяет избежать рисков общедоступного Интернета. Вы можете подключиться к отдельному экземпляру ресурса Azure, обеспечивая максимальную точность в управлении доступом.

Дополнительные сведения см. в статье Что такое Приватный канал Azure.

Предпосылки

Чтобы интегрировать хранилище ключей с Приватным каналом Azure, вам потребуется:

Хранилище ключей.
Виртуальная сеть Azure.
Подсеть в виртуальной сети.
Разрешения владельца или участника для хранилища ключей и виртуальной сети.

Частная конечная точка и виртуальная сеть должны находиться в одном регионе. При выборе региона для частной конечной точки с помощью портала будут автоматически фильтроваться только виртуальные сети в этом регионе. Ваше хранилище ключей может находиться в другом регионе.

Частная конечная точка использует частный IP-адрес в виртуальной сети.

Портал Azure
Azure CLI

Установите приватное соединение с Key Vault с помощью портала Azure.

Сначала создайте виртуальную сеть, выполнив действия, описанные в статье "Создание виртуальной сети" с помощью портала Azure.

Затем можно создать новое хранилище ключей или установить подключение приватного канала к существующему хранилищу ключей.

Создание хранилища ключей и установка приватного подключения

Вы можете создать хранилище ключей с помощью портала Azure, Azure CLI или Azure PowerShell.

После настройки основных компонентов хранилища ключей перейдите на вкладку "Сеть" и выполните следующие действия:

Отключите публичный доступ, отключив радиокнопку.
Нажмите кнопку "+ Создать частную конечную точку", чтобы добавить частную конечную точку.
В поле "Расположение" колонки "Создать частную конечную точку" выберите регион, в котором находится виртуальная сеть.
В поле "Имя" создайте описательное имя, которое позволит определить эту частную конечную точку.
Выберите виртуальную сеть и подсеть, в которой будет создана частная конечная точка в раскрывающемся меню.
Оставьте параметр "интеграция с частной зоной DNS" без изменений.
Нажмите кнопку "ОК".

Теперь вы сможете просмотреть настроенную частную конечную точку. Теперь вы можете удалить и изменить эту частную конечную точку. Нажмите кнопку "Просмотр и создание" и создайте хранилище ключей. Для завершения развертывания потребуется 5–10 минут.

Установить частное соединение с существующим хранилищем ключей

Если у вас уже есть хранилище ключей, можно создать подключение для приватной ссылки, следуя следующим шагам.

Войдите на портал Azure.
В строке поиска введите "хранилища ключей".
Выберите хранилище ключей из списка, в который нужно добавить частную конечную точку.
Выберите вкладку "Сеть" в разделе "Параметры".
Перейдите на вкладку "Подключения к частной конечной точке" в верхней части страницы.
Нажмите кнопку "+ Создать" в верхней части страницы.
В разделе "Сведения о проекте" выберите группу ресурсов, содержащую виртуальную сеть, созданную в качестве необходимых условий для этого руководства. В разделе "Сведения об экземпляре" введите "myPrivateEndpoint" в качестве имени и выберите то же расположение, что и виртуальная сеть, которую вы создали в качестве предварительного условия для этого руководства.

Вы можете выбрать создание частной конечной точки для любого ресурса Azure с помощью этой панели. Вы можете использовать раскрывающееся меню для выбора типа ресурса и выбора ресурса в каталоге или подключения к любому ресурсу Azure с помощью идентификатора ресурса. Оставьте параметр "интеграция с частной зоной DNS" без изменений.
Перейдите к панели "Ресурсы". Для параметра "Тип ресурса" выберите "Microsoft.KeyVault/vaults"; в поле "Ресурс" выберите хранилище ключей, созданное в качестве необходимых условий для этого руководства. "Целевой вложенный ресурс" автоматически заполнится "хранилищем".
Перейдите к виртуальной сети. Выберите виртуальную сеть и подсеть, созданную в качестве предварительных условий для этого руководства.
Перейдите к колонкам "DNS" и "Теги", принимая значения по умолчанию.
На панели "Рецензирование и создание" выберите "Создать".

При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в вашем каталоге, вы сможете утвердить запрос на подключение, если у вас достаточно разрешений. Если вы подключаетесь к ресурсу Azure в другом каталоге, необходимо подождать, пока владелец этого ресурса утвердит запрос на подключение.

Существует четыре состояния предоставления:

Действие в службе	Состояние частной конечной точки потребителя услуги	Описание
Отсутствует	В ожидании	Подключение создается вручную и ожидает утверждения от владельца ресурса Private Link.
Утвердить	Утверждено	Подключение утверждено автоматически или вручную и готово к использованию.
Отклонение	Отклонено	Владелец ресурса частной ссылки отклонил подключение.
Удалить	Отключен	Подключение было удалено владельцем ресурса приватной ссылки, и частный конечный пункт становится неактивным; его следует удалить для очистки.

Управление подключением частной конечной точки к Key Vault с помощью портала Azure

Войдите на портал Azure.
В строке поиска введите "хранилища ключей"
Выберите хранилище ключей, которое требуется управлять.
Перейдите на вкладку "Сеть".
Если есть какие-либо ожидающие подключения, вы увидите подключение, указанное в процессе настройки с отметкой "Ожидание".
Выберите частную конечную точку, которую вы хотите утвердить
Нажмите кнопку утверждения.
Если есть какие-либо подключения к частной конечной точке, которые вы хотите отклонить, будь то ожидающий запрос или существующее подключение, выберите подключение и нажмите кнопку "Отклонить".

Установка подключения частного канала к Key Vault с помощью интерфейса командной строки (начальная настройка)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Создание частной конечной точки (автоматическое утверждение)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Создание частной конечной точки (запрос утверждения вручную)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Управление подключениями частных ссылок

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Добавление частных записей DNS

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Validate that the private link connection works

Необходимо убедиться, что ресурсы в одной подсети ресурса частной конечной точки подключаются к хранилищу ключей через частный IP-адрес и что они имеют правильную интеграцию частной зоны DNS.

Сначала создайте виртуальную машину, выполнив действия, описанные в статье Краткое руководство. Создание виртуальной машины Windows на портале Azure.

На вкладке "Сеть":

Укажите виртуальную сеть и подсеть. Вы можете создать виртуальную сеть или выбрать существующую. Если выбрать существующую, убедитесь, что регион соответствует.
Укажите ресурс общедоступного IP-адреса.
В группе сетевой безопасности NIC выберите "Нет".
В разделе "Балансировка нагрузки" выберите "Нет".

Откройте командную строку и выполните следующую команду:

nslookup <your-key-vault-name>.vault.azure.net

Если выполнить команду nslookup для определения IP-адреса хранилища ключей на общедоступной конечной точке, вы получите результат, который выглядит следующим образом:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

При выполнении команды nslookup для разрешения IP-адреса хранилища ключей через частный endpoint, вы увидите результат, который будет выглядеть следующим образом:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Руководство по устранению неполадок

Убедитесь, что частная конечная точка находится в утвержденном состоянии.
1. Это можно проверить и исправить на портале Azure. Откройте ресурс Key Vault и выберите параметр "Сеть".
2. Затем перейдите на вкладку подключения к частной конечной точке.
3. Убедитесь, что состояние соединения одобрено, а состояние подготовки успешно завершено.
4. Вы также можете перейти к ресурсу частной конечной точки и просмотреть те же свойства, и дважды проверить, соответствует ли виртуальная сеть используемой.
Убедитесь, что у вас есть ресурс частной зоны DNS.
1. У вас должен быть ресурс частной зоны DNS с точным именем: privatelink.vaultcore.azure.net.
2. Чтобы узнать, как настроить эту настройку, см. следующую ссылку. Частные зоны DNS
Убедитесь, что частная зона DNS связана с виртуальной сетью. Если вам по-прежнему возвращается общедоступный IP-адрес, это может быть проблемой.
1. Если DNS частной зоны не связан с виртуальной сетью, запрос DNS, исходящий из виртуальной сети, вернет общедоступный IP-адрес хранилища ключей.
2. Перейдите к ресурсу частной зоны DNS на портале Azure и выберите параметр ссылок виртуальной сети.
3. Должна быть указана виртуальная сеть, которая будет выполнять вызовы к хранилищу ключей.
4. Если она отсутствует, добавьте ее.
5. Подробные инструкции см. в следующем документе: связывание виртуальной сети с частной зоной DNS
Убедитесь, что в частной зоне DNS присутствует запись A для хранилища ключей.
1. Перейдите на страницу частной зоны DNS.
2. Выберите "Обзор" и проверьте, есть ли запись A с простым именем хранилища ключей (т. е. fabrikam). Не указывайте суффикс.
3. Проверьте правильность написания, а затем создайте или исправьте запись A. Вы можете использовать TTL от 600 (10 минут).
4. Необходимо указать правильный Частный IP-адрес.
Убедитесь, что запись A имеет правильный IP-адрес.
1. Вы можете подтвердить IP-адрес, открыв ресурс частной конечной точки на портале Azure.
2. Перейдите к ресурсу Microsoft.Network/privateEndpoints на портале Azure (а не в ресурсе Key Vault).
3. На странице обзора найдите сетевой интерфейс и выберите такую ссылку.
4. Отобразится обзор ресурса сетевой карты, который содержит частный IP-адрес свойства.
5. Убедитесь, что это правильный IP-адрес, который указан в записи A.
Если вы подключаетесь из локального ресурса к Key Vault, убедитесь, что у вас активированы все необходимые условные форвардеры в локальной среде.
1. Проверьте конфигурацию DNS частной конечной точки Azure для необходимых зон и убедитесь, что у вас есть условные пересылки для vault.azure.net и vaultcore.azure.net на вашем локальном DNS-сервере.
2. Убедитесь, что у вас есть условные серверы пересылки для тех зон, которые направляются в частный сопоставитель DNS Azure или другую платформу DNS с доступом к разрешению Azure.

Проблемы и ограничения разработки

Ограничения. См. ограничения приватного канала Azure

Цены: см. цены на Приватный канал Azure.

Ограничения. См. службу Приватного канала Azure: ограничения

Дальнейшие шаги

Дополнительные сведения о службе Приватный канал Azure
Дополнительные сведения о Azure Key Vault