Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба приватного канала Azure позволяет получить доступ к службам Azure (например, управляемому HSM, службе хранилища Azure и Azure Cosmos DB и т. д.) и размещенным службам клиентов или партнеров Azure через частную конечную точку в виртуальной сети.
Частная конечная точка Azure — это сетевой интерфейс, который подключает вас частным образом и безопасно к службе через Azure Private Link. Частная конечная точка использует частный IP-адрес из вашей виртуальной сети, фактически интегрируя службу в вашу виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute и VPN, а также общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Это позволяет избежать рисков общедоступного Интернета. Вы можете подключиться к отдельному экземпляру ресурса Azure, обеспечивая максимальную точность в управлении доступом.
Дополнительные сведения см. в статье Что такое Приватный канал Azure.
Замечание
Управляемый HSM не поддерживает конечные точки службы виртуальной сети
Предпосылки
Чтобы интегрировать управляемый модуль HSM с Приватным каналом Azure, вам потребуется:
- Управляемый модуль HSM. Дополнительные сведения см. в статье "Подготовка и активация управляемого устройства HSM с помощью Azure CLI".
- Виртуальная сеть Azure.
- Подсеть в виртуальной сети.
- Разрешения владельца или участника как для управляемого HSM, так и для виртуальной сети.
- Azure CLI 2.25.0 или более поздней версии. Чтобы узнать версию, выполните команду
az --version. Если вам нужно установить или обновить, см. статью "Установка Azure CLI".
Частная конечная точка и виртуальная сеть должны находиться в одном регионе. При выборе региона для частной конечной точки на портале он автоматически фильтрует только виртуальные сети, которые находятся в этом регионе. HSM может находиться в другом регионе.
Частная конечная точка использует частный IP-адрес в виртуальной сети.
Установка подключения приватного канала к управляемому HSM с помощью интерфейса командной строки (начальная настройка)
az login # Login to Azure CLI
az account set --subscription <subscription-id> # Select your Azure Subscription
az group create -n <resource-group> -l <region> # Create a new Resource Group
az provider register -n Microsoft.KeyVault # Register KeyVault as a provider
az keyvault update-hsm --hsm-name <hsm-name> -g <resource-group> --default-action deny # Turn on firewall
az network vnet create -g <resource-group> -n <vnet-name> --location <region> # Create a Virtual Network
# Create a Subnet
az network vnet subnet create -g <resource-group> --vnet-name <vnet-name> --name <subnet-name> --address-prefixes <address-prefix>
# Disable Virtual Network Policies
az network vnet subnet update --name <subnet-name> --resource-group <resource-group> --vnet-name <vnet-name> --disable-private-endpoint-network-policies true
# Create a Private DNS Zone
az network private-dns zone create --resource-group <resource-group> --name privatelink.managedhsm.azure.net
# Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group <resource-group> --virtual-network <vnet-name> --zone-name privatelink.managedhsm.azure.net --name <dns-zone-link-name> --registration-enabled true
Разрешить доверенным службам доступ к управляемому HSM
При включении брандмауэра все доступы к HSM из любого расположения, которое не использует подключение к частным конечным точкам, запрещено, включая общедоступные интернет-службы и службы Azure. Используйте --bypass AzureServices параметр, если вы хотите разрешить службам Майкрософт доступ к ключам в управляемом HSM. Отдельные сущности (например, учетная запись хранения Azure или Azure SQL Server) по-прежнему должны иметь определенные назначения ролей, чтобы иметь доступ к ключу.
Замечание
Поддерживаются только определенные сценарии использования доверенных служб. Дополнительные сведения см. в списке сценариев использования доверенных служб.
az keyvault update-hsm --hsm-name <hsm-name> -g <resource-group> --default-action deny --bypass AzureServices
Создание частной конечной точки (автоматическое утверждение)
az network private-endpoint create --resource-group <resource-group> --vnet-name <vnet-name> --subnet <subnet-name> --name <private-endpoint-name> --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/managedHSMs/<hsm-name>" --group-id managedhsm --connection-name <private-link-connection-name> --location <region>
Замечание
Если удалить этот HSM, частная конечная точка перестает работать. Если вы позже восстановите (разархивируете) это HSM, вам будет необходимо снова создать новую частную конечную точку.
Создание частной конечной точки (запрос утверждения вручную)
az network private-endpoint create --resource-group <resource-group> --vnet-name <vnet-name> --subnet <subnet-name> --name <private-endpoint-name> --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/managedHSMs/<hsm-name>" --group-id managedhsm --connection-name <private-link-connection-name> --location <region> --manual-request
Управление подключениями частных ссылок
# Show Connection Status
az network private-endpoint show --resource-group <resource-group> --name <private-endpoint-name>
# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --description "<description>" --resource-group <resource-group> --hsm-name <hsm-name> --name <private-link-connection-name>
# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --description "<description>" --resource-group <resource-group> --hsm-name <hsm-name> --name <private-link-connection-name>
# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group <resource-group> --hsm-name <hsm-name> --name <private-link-connection-name>
Добавление частных записей DNS
# Determine the Private Endpoint IP address
az network private-endpoint show -g <resource-group> -n <private-endpoint-name> # look for the property networkInterfaces then id; the value must be placed on <private-endpoint-nic> below.
az network nic show --ids <private-endpoint-nic> # look for the property ipConfigurations then privateIpAddress; the value must be placed on <nic-ip> below.
# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g <resource-group>
az network private-dns record-set a add-record -g <resource-group> -z "privatelink.managedhsm.azure.net" -n <hsm-name> -a <nic-ip>
az network private-dns record-set list -g <resource-group> -z "privatelink.managedhsm.azure.net"
# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup <hsm-name>.managedhsm.azure.net
nslookup <hsm-name>.privatelink.managedhsm.azure.net
Убедитесь, что частное подключение работает корректно
Необходимо убедиться, что ресурсы в одной подсети ресурса частной конечной точки подключаются к HSM через частный IP-адрес и что они имеют правильную интеграцию частной зоны DNS.
Сначала создайте виртуальную машину, выполнив действия, описанные в статье Краткое руководство. Создание виртуальной машины Windows на портале Azure.
На вкладке "Сеть":
- Укажите виртуальную сеть и подсеть. Вы можете создать виртуальную сеть или выбрать существующую. Если выбрать существующую, убедитесь, что регион соответствует.
- Укажите ресурс общедоступного IP-адреса.
- В группе сетевой безопасности NIC выберите "Нет".
- В разделе "Балансировка нагрузки" выберите "Нет".
Откройте командную строку и выполните следующую команду:
nslookup <hsm-name>.managedhsm.azure.net
Если вы выполните команду nslookup, чтобы определить IP-адрес управляемого HSM через общедоступную конечную точку, вы увидите результат, который выглядит следующим образом:
c:\ >nslookup <hsm-name>.managedhsm.azure.net
Non-authoritative answer:
Name:
Address: (public IP address)
Aliases: <hsm-name>.managedhsm.azure.net
При выполнении nslookup команды для разрешения IP-адреса управляемого HSM через частную конечную точку отображается результат, который выглядит следующим образом:
c:\ >nslookup <hsm-name>.managedhsm.azure.net
Non-authoritative answer:
Name:
Address: 10.1.0.5 (private IP address)
Aliases: <hsm-name>.managed.azure.net
<hsm-name>.privatelink.managedhsm.azure.net
Руководство по устранению неисправностей
Убедитесь, что частная конечная точка находится в утвержденном состоянии.
Используйте подкоманду
az keyvault private-endpoint-connections show, чтобы проверить состояние подключения к частной конечной точке.Убедитесь, что состояние подключения утверждено и состояние подготовки выполнено успешно.
Убедитесь, что виртуальная сеть соответствует используемой.
Убедитесь, что у вас есть ресурс частной зоны DNS.
- У вас должен быть ресурс частной зоны DNS с точным именем: privatelink.managedhsm.azure.net.
- Чтобы узнать, как настроить эту настройку, см. следующую ссылку. Частные зоны DNS
Убедитесь, что частная зона DNS связана с виртуальной сетью. Это может быть проблема, если вы по-прежнему получаете возвращаемый общедоступный IP-адрес.
- Если DNS частной зоны не связан с виртуальной сетью, запрос DNS, исходящий из виртуальной сети, возвращает общедоступный IP-адрес HSM.
- Перейдите к ресурсу частной зоны DNS на портале Azure и выберите параметр ссылок виртуальной сети.
- Виртуальная сеть, которая выполняет вызовы к HSM, должна быть указана.
- Если она отсутствует, добавьте ее.
- Подробные инструкции см. в следующем документе: связывание виртуальной сети с частной зоной DNS
Убедитесь, что в частной зоне DNS присутствует запись A для HSM.
- Перейдите на страницу частной зоны DNS.
- Выберите "Обзор" и проверьте, есть ли запись A с именем вашего HSM. Не указывайте суффикс.
- Проверьте правильность написания, а затем создайте или исправьте запись A. Вы можете использовать TTL со значением 3600 (1 час).
- Необходимо указать правильный Частный IP-адрес.
Убедитесь, что запись A имеет правильный IP-адрес.
- Вы можете подтвердить IP-адрес, открыв ресурс частной конечной точки на портале Azure.
- Перейдите к ресурсу Microsoft.Network/privateEndpoints на портале Azure.
- На странице обзора найдите сетевой интерфейс и выберите его.
- Ссылка показывает обзор ресурса NIC, содержащего свойство частного IP-адреса.
- Убедитесь, что правильный IP-адрес указан в записи A.
Проблемы и ограничения разработки
Замечание
Количество управляемых модулей HSM с включенными частными конечными точками является настраиваемым ограничением для каждой подписки. Ограничение, отображаемое как "Максимальное число частных конечных точек на управляемый HSM", является ограничением по умолчанию. Если вы хотите запросить увеличение лимита для подписки, создайте запрос в службу поддержки Azure. Мы утверждаем эти запросы в каждом отдельном случае.
Цены. Сведения о ценах см. в разделе о ценах на Приватный канал Azure.
Максимальное количество частных конечных точек на управляемый HSM: 64.
Число управляемых HSM по умолчанию с частными конечными точками для каждой подписки: 400.
Подробнее см. в разделе Ограничения службы “Приватный канал Azure”.
Дальнейшие шаги
- Дополнительные сведения о службе Приватный канал Azure
- Дополнительные сведения об управляемом HSM