Udostępnij przez

Używanie prywatnych punktów końcowych z kontami usługi Azure Batch

Domyślnie konta usługi Azure Batch mają publiczne punkty końcowe i są publicznie dostępne. Usługa Batch umożliwia tworzenie prywatnego punktu końcowego dla kont usługi Batch, co umożliwia dostęp do sieci prywatnej do usługi Batch.

Za pomocą usługi Azure Private Link możesz nawiązać połączenie z kontem usługi Azure Batch za pośrednictwem prywatnego punktu końcowego. Prywatny punkt końcowy to zestaw prywatnych adresów IP w podsieci w obrębie twojej sieci wirtualnej. Następnie możesz ograniczyć dostęp do konta usługi Azure Batch za pośrednictwem prywatnych adresów IP.

Usługa Private Link umożliwia użytkownikom dostęp do konta usługi Azure Batch z sieci wirtualnej lub z dowolnej równorzędnej sieci wirtualnej. Zasoby mapowane na usługę Private Link są również dostępne w sieci lokalnej za pośrednictwem prywatnego peeringu przez sieć VPN lub usługę Azure ExpressRoute. Połączenie z kontem usługi Azure Batch skonfigurowanym za pomocą usługi Private Link można nawiązać przy użyciu metody automatycznego lub ręcznego zatwierdzania.

W tym artykule opisano kroki tworzenia prywatnego punktu końcowego w celu uzyskania dostępu do punktów końcowych konta usługi Batch.

Zasoby podrzędne prywatnego punktu końcowego obsługiwane dla konta usługi Batch

Zasób konta Batch ma dwa punkty końcowe obsługujące dostęp za pomocą prywatnych punktów końcowych.

  • Punkt końcowy konta (podzasób: batchAccount): ten punkt końcowy służy do uzyskiwania dostępu do interfejsu API REST usługi Batch (płaszczyzny danych), na przykład do zarządzania pulami, węzłami obliczeniowymi, zadaniami, operacjami itp.

  • Punkt końcowy zarządzania węzłem (podzasób: nodeManagement): używany przez węzły puli Batch do uzyskiwania dostępu do usługi zarządzania węzłami Batch. Ten punkt końcowy ma zastosowanie tylko w przypadku korzystania z uproszczonej komunikacji węzła obliczeniowego.

Diagram przedstawiający zasoby podrzędne dla prywatnych punktów końcowych usługi Batch.

Wskazówka

Możesz utworzyć prywatny punkt końcowy dla jednego z nich lub obu tych punktów w sieci wirtualnej, w zależności od rzeczywistego użycia konta usługi Batch. Jeśli na przykład uruchomisz pulę usługi Batch w sieci wirtualnej, ale wywołasz interfejs API REST usługi Batch z innego miejsca, musisz utworzyć tylko prywatny punkt końcowy zarządzania węzłem w sieci wirtualnej.

Portal Azure

Wykonaj następujące kroki, aby utworzyć prywatny punkt końcowy przy użyciu konta usługi Batch przy użyciu witryny Azure Portal:

  1. Przejdź do konta usługi Batch w witrynie Azure Portal.
  2. W obszarze Ustawienia wybierz pozycję Sieć i przejdź do karty Dostęp prywatny. Następnie wybierz opcję + Prywatny punkt końcowy. Zrzut ekranu przedstawiający połączenia prywatnego punktu końcowego.
  3. W okienku Podstawowe wprowadź lub wybierz subskrypcję, grupę zasobów, nazwę zasobu prywatnego punktu końcowego i szczegóły regionu, a następnie wybierz pozycję Dalej: Zasób. Zrzut ekranu przedstawiający tworzenie prywatnego punktu końcowego — zakładka Podstawy.
  4. W okienku Zasoby ustaw typ zasobu na Microsoft.Batch/batchAccounts. Wybierz konto usługi Batch, do którego chcesz uzyskać dostęp, wybierz docelowy zasób podrzędny, a następnie wybierz pozycję Dalej: Konfiguracja. Zrzut ekranu dotyczący tworzenia prywatnego punktu końcowego — panel zasobu.
  5. W okienku Konfiguracja wprowadź lub wybierz następujące informacje:
    • W obszarze Sieć wirtualna wybierz sieć wirtualną.
    • W polu Podsieć wybierz podsieć.
    • W obszarze Konfiguracja prywatnego adresu IP wybierz domyślne dynamiczne przydzielanie adresu IP.
    • W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak. Aby można było połączyć się prywatnie z prywatnym punktem końcowym, wymagany jest rekord DNS. Zalecamy zintegrowanie prywatnego punktu końcowego z prywatną strefą DNS. Możesz również użyć własnych serwerów DNS lub utworzyć rekordy DNS przy użyciu plików hosta na maszynach wirtualnych.
    • W obszarze Prywatna strefa DNS wybierz pozycję privatelink.batch.azure.com. Prywatna strefa DNS jest określana automatycznie. Nie można zmienić tego ustawienia przy użyciu witryny Azure Portal.

Ważne

  • Jeśli masz istniejące prywatne punkty końcowe utworzone z poprzednią prywatną strefą DNS privatelink.<region>.batch.azure.com, postępuj zgodnie z instrukcjami Migracja prywatnych punktów końcowych w istniejącym koncie Batch.
  • Jeśli wybrano integrację prywatnej strefy DNS, upewnij się, że prywatna strefa DNS została pomyślnie połączona z siecią wirtualną. Istnieje możliwość, że witryna Azure Portal umożliwia wybranie istniejącej prywatnej strefy DNS, która może nie być połączona z siecią wirtualną i musisz ręcznie dodać link sieci wirtualnej.
  1. Wybierz pozycję Przejrzyj i utwórz, a następnie poczekaj, aż platforma Azure zweryfikuje konfigurację.
  2. Po wyświetleniu komunikatu Walidacja przekazana wybierz pozycję Utwórz.

Wskazówka

Możesz również utworzyć prywatny punkt końcowy z centrum usługi Private Link w witrynie Azure Portal lub utworzyć nowy zasób, wyszukując prywatny punkt końcowy.

Korzystanie z prywatnego punktu końcowego

Po aprowizacji prywatnego punktu końcowego możesz uzyskać dostęp do konta usługi Batch przy użyciu prywatnego adresu IP w sieci wirtualnej:

  • Prywatny punkt końcowy dla batchAccount: umożliwia dostęp do płaszczyzny danych konta Batch w celu zarządzania pulami/zleceniami/zadaniami.

  • Prywatny punkt końcowy dla zarządzanieWęzłami: węzły obliczeniowe puli usługi Batch mogą łączyć się z usługą zarządzania węzłami usługi Batch i być przez nią zarządzane.

Wskazówka

Zaleca się również wyłączenie dostępu do sieci publicznej przy użyciu konta usługi Batch w przypadku korzystania z prywatnych punktów końcowych, co ograniczy dostęp tylko do sieci prywatnej.

Ważne

Jeśli dostęp do sieci publicznej jest wyłączony z kontem usługi Batch, wykonywanie operacji konta (na przykład pul, zadań) poza siecią wirtualną, w której aprowizowany jest prywatny punkt końcowy, spowoduje wyświetlenie komunikatu "AuthorizationFailure" dla konta usługi Batch w witrynie Azure Portal.

Aby wyświetlić adresy IP prywatnego punktu końcowego w witrynie Azure Portal:

  1. Wybierz pozycję Wszystkie zasoby.
  2. Wyszukaj prywatny punkt końcowy, który utworzyłeś wcześniej.
  3. Wybierz kartę Konfiguracja DNS , aby wyświetlić ustawienia DNS i adresy IP.

Ustawienia DNS i adresy IP prywatnego punktu końcowego

Konfigurowanie stref DNS

Użyj prywatnej strefy DNS w podsieci, w której utworzono prywatny punkt końcowy. Skonfiguruj punkty końcowe tak, aby każdy prywatny adres IP był przypisany do wpisu DNS.

Podczas tworzenia prywatnego punktu końcowego możesz zintegrować go z prywatną strefą DNS na platformie Azure. Jeśli zamiast tego zdecydujesz się używać domeny niestandardowej, musisz ją skonfigurować, aby dodać rekordy DNS dla wszystkich prywatnych adresów IP zarezerwowanych dla prywatnego punktu końcowego.

Migracja z istniejącymi prywatnymi punktami końcowymi konta usługi Batch

Wraz z wprowadzeniem nowego podrzędnego zasobu prywatnego punktu końcowego nodeManagement dla punktu końcowego zarządzania węzłem usługi Batch, domyślna prywatna strefa DNS dla konta usługi Batch została uproszczona z privatelink.<region>.batch.azure.com do privatelink.batch.azure.com. Aby zachować zgodność wsteczną z wcześniej używaną prywatną strefą DNS, dla konta usługi Batch z dowolnym zatwierdzonym prywatnym punktem końcowym batchAccount, mapowania rekordów CNAME zawierają obie strefy (z poprzednią strefą na pierwszym miejscu), na przykład:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Kontynuuj korzystanie z poprzedniej prywatnej strefy DNS

Jeśli poprzednia strefa privatelink.<region>.batch.azure.com DNS była już używana z siecią wirtualną, należy nadal używać jej dla istniejących i nowych prywatnych punktów końcowych usługi BatchAccount i nie jest wymagana żadna akcja.

Ważne

W przypadku istniejącego użycia poprzedniej prywatnej strefy DNS należy używać jej nawet z nowo utworzonymi prywatnymi punktami końcowymi. Nie używaj nowej strefy z rozwiązaniem integracji DNS, dopóki nie będzie można przeprowadzić migracji do nowej strefy.

Utwórz nowy prywatny punkt końcowy BatchAccount z integracją DNS w Azure Portal

Jeśli ręcznie utworzysz nowy prywatny punkt końcowy batchAccount przy użyciu witryny Azure Portal z włączoną automatyczną integracją DNS, użyjesz nowej prywatnej strefy privatelink.batch.azure.com DNS na potrzeby integracji DNS: utwórz prywatną strefę DNS, połącz ją z siecią wirtualną i skonfigurujesz rekord DNS A w strefie dla prywatnego punktu końcowego.

Jeśli jednak sieć wirtualna została już połączona z poprzednią prywatną strefą privatelink.<region>.batch.azure.comDNS, spowoduje to przerwanie rozpoznawania nazw DNS dla konta wsadowego w sieci wirtualnej, ponieważ rekord DNS A dla nowego prywatnego punktu końcowego zostanie dodany do nowej strefy, ale rozpoznawanie nazw DNS sprawdza poprzednią strefę jako pierwszą w celu zapewnienia zgodności z poprzednimi wersjami.

Ten problem można rozwiązać za pomocą następujących opcji:

  • Jeśli nie potrzebujesz już poprzedniej prywatnej strefy DNS, odłącz ją od sieci wirtualnej. Nie trzeba wykonywać dalszych akcji.

  • W przeciwnym razie po utworzeniu nowego prywatnego punktu końcowego:

    1. Upewnij się, że automatyczne prywatne wdrożenie DNS ma rekord DNS A utworzony w nowej prywatnej strefie DNS privatelink.batch.azure.com. Na przykład myaccount.<region> A <IPv4 address>.

    2. Przejdź do poprzedniej prywatnej strefy privatelink.<region>.batch.azure.comDNS.

    3. Ręcznie dodaj rekord CNAME systemu DNS. Na przykład myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Ważne

To ręczne ograniczenie ryzyka jest wymagane tylko w przypadku utworzenia nowego prywatnego punktu końcowego usługi BatchAccount z prywatną integracją DNS w tej samej sieci wirtualnej, która została już połączona z poprzednią prywatną strefą DNS.

Migrowanie poprzedniej prywatnej strefy DNS do nowej strefy

Mimo że można nadal używać poprzedniej prywatnej strefy DNS z istniejącym procesem wdrażania, zaleca się przeprowadzenie migracji jej do nowej strefy w celu uproszczenia zarządzania konfiguracją DNS:

  • W przypadku nowej prywatnej strefy privatelink.batch.azure.comDNS nie trzeba konfigurować różnych stref dla każdego regionu i zarządzać nimi przy użyciu kont usługi Batch.
  • Gdy zaczniesz używać nowego punktu końcowego nodeManagement, który również korzysta z nowej prywatnej strefy DNS, będziesz musiał zarządzać tylko jedną prywatną strefą DNS dla obu typów prywatnych punktów końcowych.

Poprzednią prywatną strefę DNS można migrować, wykonując następujące kroki:

  1. Utwórz i połącz nową prywatną strefę privatelink.batch.azure.com DNS z siecią wirtualną.
  2. Skopiuj wszystkie rekordy DNS A z poprzedniej prywatnej strefy DNS do nowej strefy:
From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>
  1. Odłącz poprzednią prywatną strefę DNS z sieci wirtualnej.
  2. Sprawdź rozpoznawanie nazw DNS w sieci wirtualnej, a nazwa DNS konta usługi Batch powinna być nadal rozpoznawana jako prywatny adres IP punktu końcowego:
nslookup myaccount.<region>.batch.azure.com
  1. Zacznij używać nowej prywatnej strefy DNS w ramach procesu wdrażania dla nowych prywatnych punktów końcowych.
  2. Usuń poprzednią prywatną strefę DNS po zakończeniu migracji.

Ceny

Aby uzyskać szczegółowe informacje na temat kosztów związanych z prywatnymi punktami końcowymi, zobacz Cennik usługi Azure Private Link.

Bieżące ograniczenia i najlepsze rozwiązania

Podczas tworzenia prywatnego punktu końcowego przy użyciu konta usługi Batch należy pamiętać o następujących kwestiach:

  • Zasoby prywatnego punktu końcowego można utworzyć w innej subskrypcji jako konto usługi Batch, ale subskrypcja musi być zarejestrowana u dostawcy zasobów Microsoft.Batch.
  • Przenoszenie zasobów nie jest obsługiwane w przypadku prywatnych punktów końcowych z kontami usługi Batch.
  • Jeśli zasób konta usługi Batch zostanie przeniesiony do innej grupy zasobów lub subskrypcji, prywatne punkty końcowe mogą nadal działać, ale skojarzenie z kontem usługi Batch ulega awarii. Jeśli usuniesz zasób prywatnego punktu końcowego, skojarzone z nim połączenie prywatnego punktu końcowego nadal istnieje na koncie usługi Batch. Możesz ręcznie usunąć połączenie z konta usługi Batch.
  • Aby usunąć połączenie prywatne, usuń zasób prywatnego punktu końcowego lub usuń połączenie prywatne na koncie usługi Batch (ta akcja powoduje rozłączenie powiązanego zasobu prywatnego punktu końcowego).
  • Rekordy DNS w prywatnej strefie DNS nie są usuwane automatycznie po usunięciu połączenia prywatnego punktu końcowego z konta usługi Batch. Przed dodaniem nowego prywatnego punktu końcowego połączonego z tą prywatną strefą DNS należy ręcznie usunąć rekordy DNS. Jeśli rekordy DNS nie są czyszczone, mogą wystąpić nieoczekiwane problemy z dostępem.
  • Gdy prywatny punkt końcowy jest włączony dla konta usługi Batch, token uwierzytelniania zadania usługi Batch nie jest obsługiwany. Obejściem jest użycie puli usługi Batch z tożsamościami zarządzanymi.

Następne kroki

  • Last updated on