Integrowanie usługi Key Vault z usługą Azure Private Link

Usługa Azure Private Link umożliwia dostęp do usług platformy Azure (na przykład Azure Key Vault, Azure Storage i Azure Cosmos DB) oraz hostowanych przez platformę Azure usług klientów/partnerów za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.

Prywatny punkt końcowy platformy Azure to interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie z usługą obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę do sieci wirtualnej. Cały ruch do usługi może być kierowany przez prywatny punkt końcowy. Nie jest wówczas wymagane użycie bram, urządzeń NAT, połączeń ExpressRoute, połączeń VPN ani publicznych adresów IP. Ruch między siecią wirtualną a usługą przechodzi przez sieć szkieletową firmy Microsoft, eliminując narażenie z publicznego Internetu. Możesz nawiązać połączenie z wystąpieniem zasobu platformy Azure, co zapewnia najwyższy poziom szczegółowej kontroli dostępu.

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Private Link?

Wymagania wstępne

Aby zintegrować magazyn kluczy z usługą Azure Private Link, potrzebne są następujące elementy:

Skarbiec kluczy
Sieć wirtualna platformy Azure.
Podsieć w sieci wirtualnej.
Uprawnienia właściciela lub autora zarówno dla skarbca kluczy, jak i dla sieci wirtualnej.

Prywatny punkt końcowy i sieć wirtualna muszą znajdować się w tym samym regionie. Po wybraniu regionu prywatnego punktu końcowego przy użyciu portalu automatycznie filtruje tylko sieci wirtualne, które znajdują się w tym regionie. Magazyn kluczy może znajdować się w innym regionie.

Prywatny punkt końcowy używa prywatnego adresu IP w sieci wirtualnej.

Portal Azure
Interfejs wiersza polecenia platformy Azure

Ustanawianie połączenia łącza prywatnego z usługą Key Vault przy użyciu witryny Azure Portal

Najpierw utwórz sieć wirtualną, wykonując kroki opisane w temacie Tworzenie sieci wirtualnej przy użyciu witryny Azure Portal

Następnie możesz utworzyć nowy magazyn kluczy lub ustanowić połączenie łącza prywatnego z istniejącym magazynem kluczy.

Utwórz nowy magazyn kluczy i ustanów połączenie łącza prywatnego

Nowy magazyn kluczy można utworzyć za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Po skonfigurowaniu podstaw magazynu kluczy wybierz kartę Sieć i wykonaj następujące kroki:

Wyłącz dostęp publiczny, przełączając przełącznik radiowy.
Wybierz przycisk "+ Utwórz prywatny punkt końcowy", aby dodać prywatny punkt końcowy.
W polu "Lokalizacja" bloku Utwórz prywatny punkt końcowy wybierz region, w którym znajduje się sieć wirtualna.
W polu "Nazwa" utwórz opisową nazwę, która umożliwi zidentyfikowanie tego prywatnego punktu końcowego.
Wybierz sieć wirtualną i podsieć, w której ma zostać utworzony ten prywatny punkt końcowy z menu rozwijanego.
Pozostaw opcję "integracja z systemem DNS strefy prywatnej" bez zmian.
Wybierz pozycję "OK".

Teraz będzie można zobaczyć skonfigurowany prywatny punkt końcowy. Teraz możesz usunąć i edytować ten prywatny punkt końcowy. Wybierz przycisk "Przejrzyj i Utwórz" i utwórz skarbiec kluczy. Ukończenie wdrożenia potrwa 5–10 minut.

Nawiąż prywatne połączenie z istniejącym repozytorium kluczy

Jeśli masz już magazyn kluczy, możesz utworzyć połączenie łącza prywatnego, wykonując następujące kroki:

Zaloguj się do witryny Azure Portal.
Na pasku wyszukiwania wpisz key vaults.
Wybierz magazyn kluczy z listy, do którego chcesz dodać prywatny punkt końcowy.
Wybierz kartę "Sieć" w obszarze Ustawienia.
Wybierz kartę "Połączenia z prywatnym punktem końcowym" w górnej części strony.
Wybierz przycisk "+ Utwórz" w górnej części strony.
W obszarze "Szczegóły projektu" wybierz grupę zasobów zawierającą sieć wirtualną utworzoną jako wymaganie wstępne dla tego samouczka. W obszarze "Szczegóły wystąpienia" wprowadź wartość "myPrivateEndpoint" jako nazwę i wybierz tę samą lokalizację co sieć wirtualna utworzona jako wymaganie wstępne dla tego samouczka.

W tym bloku możesz utworzyć prywatny punkt końcowy dla dowolnego zasobu platformy Azure. Możesz użyć menu rozwijanych, aby wybrać typ zasobu i wybrać zasób w katalogu lub połączyć się z dowolnym zasobem platformy Azure przy użyciu identyfikatora zasobu. Pozostaw opcję "integracja z systemem DNS strefy prywatnej" bez zmian.
Przejdź do panelu "Zasoby". W sekcji "Typ zasobu" wybierz pozycję "Microsoft.KeyVault/vaults"; w sekcji "Zasób" wybierz magazyn kluczy utworzony jako element przygotowawczy dla tego samouczka. "Docelowy zasób podrzędny" zostanie automatycznie wypełniony ciągiem "vault".
Przejdź do pozycji "Sieć wirtualna". Wybierz sieć wirtualną i podsieć utworzoną jako wymaganie wstępne dla tego samouczka.
Przejdź przez panele "DNS" i "Tagi", akceptując wartości domyślne.
Na zakładce "Przeglądanie + tworzenie" wybierz "Utwórz".

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu, będzie można zatwierdzić żądanie połączenia, pod warunkiem, że masz wystarczające uprawnienia; Jeśli łączysz się z zasobem platformy Azure w innym katalogu, musisz poczekać, aż właściciel tego zasobu zatwierdzi żądanie połączenia.

Istnieją cztery stany aprowizacji:

Działanie serwisowe	Stan prywatnego punktu końcowego odbiorcy usługi	Opis
Żaden	W oczekiwaniu	Połączenie jest tworzone ręcznie i oczekuje na zatwierdzenie od właściciela zasobu usługi Private Link.
Zatwierdzić	Zatwierdzony	Połączenie zostało automatycznie lub ręcznie zatwierdzone i jest gotowe do użycia.
Odrzuć	Odrzucone	Połączenie zostało odrzucone przez właściciela zasobu łącza prywatnego.
Usuń	Odłączony	Połączenie zostało usunięte przez właściciela zasobu łącza prywatnego, w wyniku czego prywatny punkt końcowy staje się tylko informacyjny i powinien zostać usunięty w celu uporządkowania.

Jak zarządzać połączeniem prywatnego punktu końcowego z usługą Key Vault przy użyciu witryny Azure Portal

Zaloguj się w witrynie Azure Portal.
Na pasku wyszukiwania wpisz ciąg "key vaults"
Wybierz magazyn kluczy, którym chcesz zarządzać.
Wybierz kartę "Sieć".
Jeśli istnieją oczekujące połączenia, zostanie wyświetlone połączenie z komunikatem "Oczekiwanie" w stanie aprowizacji.
Wybierz prywatny punkt końcowy, który chcesz zatwierdzić
Wybierz przycisk Zatwierdź.
Jeśli istnieją jakieś połączenia prywatnego punktu końcowego, które chcesz odrzucić, niezależnie od tego, czy jest to oczekujące żądanie, czy istniejące połączenie, wybierz połączenie i wybierz przycisk "Odrzuć".

Ustanawianie połączenia łącza prywatnego z usługą Key Vault przy użyciu interfejsu wiersza polecenia (konfiguracja początkowa)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Tworzenie prywatnego punktu końcowego (automatycznie zatwierdzanie)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Tworzenie prywatnego punktu końcowego (ręczne żądanie zatwierdzenia)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Zarządzanie połączeniami usługi Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Dodawanie prywatnych rekordów DNS

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Sprawdzanie, czy połączenie łącza prywatnego działa

Należy zweryfikować, czy zasoby znajdujące się w tej samej podsieci co zasób prywatnego punktu końcowego łączą się z magazynem kluczy za pomocą prywatnego adresu IP oraz czy mają poprawną integrację z prywatną strefę DNS.

Najpierw utwórz maszynę wirtualną, wykonując kroki opisane w temacie Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal

Na karcie "Sieć":

Określ sieć wirtualną i podsieć. Możesz utworzyć nową sieć wirtualną lub wybrać istniejącą. Jeśli wybrano istniejący, upewnij się, że region jest zgodny.
Określ zasób publicznego adresu IP.
W obszarze "Grupa zabezpieczeń sieci" wybierz "Brak".
W obszarze "Równoważenie obciążenia" wybierz pozycję "Nie".

Otwórz wiersz polecenia i uruchom następujące polecenie:

nslookup <your-key-vault-name>.vault.azure.net

Jeśli uruchomisz polecenie nslookup, aby rozwiązać adres IP usługi Key Vault za pośrednictwem publicznego punktu końcowego, zobaczysz wynik podobny do następującego:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Jeśli uruchomisz polecenie nslookup, aby rozwiązać adres IP magazynu kluczy za pośrednictwem prywatnego punktu końcowego, zobaczysz wynik podobny do następującego:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Przewodnik rozwiązywania problemów

Upewnij się, że prywatny punkt końcowy jest w stanie zatwierdzonym.
1. Można to sprawdzić i poprawić w witrynie Azure Portal. Otwórz zasób usługi Key Vault i wybierz opcję Sieć.
2. Następnie wybierz kartę Połączenia punktów końcowych prywatnych.
3. Upewnij się, że stan połączenia to Zatwierdzone, a stan udostępniania to Zakończone.
4. Możesz również przejść do zasobu prywatnego punktu końcowego i przejrzeć tam te same właściwości, a następnie sprawdzić, czy sieć wirtualna jest zgodna z tą, której używasz.
Upewnij się, że masz zasób prywatnej strefy DNS.
1. Musisz mieć zasób prywatnej strefy DNS o dokładnej nazwie: privatelink.vaultcore.azure.net.
2. Aby dowiedzieć się, jak to skonfigurować, zobacz następujący link. Prywatne strefy DNS
Upewnij się, że prywatna strefa DNS jest połączona z siecią wirtualną. Może to być problem, jeśli nadal jest zwracany publiczny adres IP.
1. Jeśli usługa DNS strefy prywatnej nie jest połączona z siecią wirtualną, zapytanie DNS pochodzące z sieci wirtualnej zwróci publiczny adres IP magazynu kluczy.
2. Przejdź do zasobu Prywatna strefa DNS w witrynie Azure Portal i wybierz opcję Łącza sieci wirtualnej.
3. Musi zostać wyświetlona sieć wirtualna używana do wykonywania wywołań do magazynu kluczy.
4. Jeśli tak nie jest, dodaj ją.
5. Aby uzyskać szczegółowe instrukcje, zobacz następujący dokument Łączenie sieci wirtualnej z prywatną strefą DNS
Upewnij się, że w prywatnej strefie DNS nie brakuje rekordu A dla magazynu kluczy.
1. Przejdź do strony Prywatna strefa DNS.
2. Wybierz pozycję Przegląd i sprawdź, czy istnieje rekord A z prostą nazwą magazynu kluczy (tj. fabrikam). Nie określaj żadnego sufiksu.
3. Pamiętaj o sprawdzeniu pisowni i utwórz lub popraw rekord A. Możesz użyć czasu wygaśnięcia 600 (10 minut).
4. Upewnij się, że poprawnie określono prywatny adres IP.
Upewnij się, że rekord A ma poprawny adres IP.
1. Adres IP można potwierdzić, otwierając zasób prywatnego punktu końcowego w witrynie Azure Portal.
2. Przejdź do zasobu Microsoft.Network/privateEndpoints w witrynie Azure Portal (nie do zasobu usługi Key Vault)
3. Na stronie przeglądu poszukaj interfejsu sieciowego i wybierz ten link.
4. Ten link umożliwia wyświetlenie strony Przegląd dla zasobu karty sieciowej, która zawiera właściwość Prywatny adres IP.
5. Sprawdź, czy jest to poprawny adres IP określony w rekordzie A.
Jeśli łączysz się z zasobu lokalnego z usługą Key Vault, upewnij się, że wszystkie wymagane warunkowe usługi przesyłania dalej są włączone w środowisku lokalnym.
1. Zapoznaj się z konfiguracją dns prywatnego punktu końcowego platformy Azure dla wymaganych stref i upewnij się, że masz warunkowe usługi przesyłania dalej zarówno vault.azure.net dla lokalnego systemu DNS, jak i vaultcore.azure.net dla lokalnego systemu DNS.
2. Upewnij się, że masz warunkowe usługi przesyłania dalej dla tych stref, które kierują do prywatnego rozpoznawania nazw DNS platformy Azure lub inną platformę DNS z dostępem do rozpoznawania platformy Azure.

Ograniczenia i zagadnienia dotyczące projektowania

Limity: zobacz Limity usługi Azure Private Link

Cennik: zobacz Cennik usługi Azure Private Link.

Ograniczenia: zobacz Usługa Azure Private Link: Ograniczenia

Dalsze kroki

Dowiedz się więcej o usłudze Azure Private Link
Dowiedz się więcej o usłudze Azure Key Vault

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-04-17