将 Key Vault 与 Azure 专用链接集成

使用 Azure 专用链接服务,可以通过虚拟网络中的专用终结点访问 Azure 服务(例如 Azure Key Vault、Azure 存储和 Azure Cosmos DB)以及 Azure 托管的客户服务/合作伙伴服务。

Azure 专用终结点是一个网络接口,可以通过私密且安全的方式将你连接到 Azure 专用链接支持的服务。 专用终结点使用 VNet 中的专用 IP 地址将服务有效接入 VNet 中。 发往服务的所有流量都可以通过专用终结点路由,因此不需要网关、NAT 设备、ExpressRoute 或 VPN 连接或公共 IP 地址。 虚拟网络与服务之间的流量将通过 Azure 主干网络,因此不会从公共 Internet 泄露。 可以连接到 Azure 资源的实例,从而获得最高级别的访问控制粒度。

有关详细信息,请参阅什么是 Azure 专用链接?

先决条件

要将密钥保管库与 Azure 专用链接集成,你需要:

  • 一个 Key Vault。
  • 一个 Azure 虚拟网络。
  • 虚拟网络中的子网。
  • 对 Key Vault 和虚拟网络拥有所有者或参与者权限。

专用终结点和虚拟网络必须位于同一区域。 使用门户选择专用终结点的区域时,只会自动筛选该区域中的虚拟网络。 Key Vault 可以位于不同的区域。

专用终结点使用虚拟网络中的专用 IP 地址。

首先,遵循使用 Azure 门户创建虚拟网络中的步骤创建虚拟网络

然后可以创建新的 Key Vault,或者与现有的 Key Vault 建立专用链接连接。

可使用 Azure 门户Azure CLIAzure PowerShell 创建新的密钥保管库。

配置 Key Vault 基本设置后,选择“网络”选项卡并执行以下步骤:

  1. 在“网络”选项卡中选择“专用终结点连接”。

  2. 单击“+ 创建”按钮以添加专用终结点。

    屏幕截图显示了“创建密钥保管库”页上的“网络”选项卡。

  3. 在“创建专用终结点”边栏选项卡的“位置”字段中,选择虚拟网络所在的区域。

  4. 在“名称”字段中创建一个描述性的名称,用于标识此专用终结点。

  5. 从下拉菜单中,选择要在其中创建此专用终结点的虚拟网络和子网。

  6. 将“与专用区域 DNS 集成”选项保留不变。

  7. 选择“确定”。

    屏幕截图显示了“创建专用终结点”页,其中选中了一些设置。

现在可以看到配置的专用终结点。 你现在可以删除和编辑此专用终结点。 选择“查看 + 创建”按钮并创建 Key Vault。 完成部署需要 5-10 分钟。

如果已有 Key Vault,可以执行以下步骤创建专用链接连接:

  1. 登录到 Azure 门户。

  2. 在搜索栏中键入“密钥保管库”。

  3. 从列表中选择要将专用终结点添加到的 Key Vault。

  4. 在“设置”下选择“网络”选项卡。

  5. 选择页面顶部的“专用终结点连接”选项卡。

  6. 选择页面顶部的“+ 创建”按钮。

    屏幕截图,显示“网络”页面上的“+ 专用终结点”按钮。屏幕截图,显示“创建专用终结点 (预览) 页”上的“基本信息”选项卡。

  7. 在“项目详细信息”下,选择包含作为本教程先决条件创建的虚拟网络的资源组。 在“实例详细信息”下,输入“myPrivateEndpoint”作为名称,并选择与作为本教程先决条件创建的虚拟网络相同的位置。

    可以使用此边栏选项卡选择为任何 Azure 资源创建专用终结点。 可以使用下拉菜单选择资源类型并在目录中选择资源,或者使用资源 ID 连接到任何 Azure 资源。 将“与专用区域 DNS 集成”选项保留不变。

  8. 前进到“资源”边栏选项卡。 对于“资源类型”,选择“Microsoft.KeyVault/vaults”;对于“资源”,选择作为本教程先决条件创建的密钥保管库。 “目标子资源”将自动填充“保管库”。

  9. 前进到“虚拟网络”。 选择作为本教程先决条件创建的虚拟网络和子网。

  10. 继续浏览“DNS”和“标记”边栏选项卡,接受默认值。

  11. 在“查看 + 创建”边栏选项卡上,选择“创建”。

创建专用终结点时,必须批准连接。 如果要为其创建专用终结点的资源位于你的目录中,则你可以批准连接请求(前提是你有足够的权限);如果连接到另一个目录中的 Azure 资源,则必须等待该资源的所有者批准连接请求。

有四种预配状态:

服务操作 服务使用者专用终结点状态 说明
挂起的 连接是手动创建的,正等待专用链接资源所有者批准。
审批 已批准 连接已自动或手动批准,随时可供使用。
拒绝 已拒绝 连接已被专用链接资源所有者拒绝。
删除 已断开连接 连接已被专用链接资源所有者删除,专用终结点仅供参考,应将其删除以清理资源。

如何使用 Azure 门户管理与 Key Vault 建立的专用终结点连接

  1. 登录到 Azure 门户。

  2. 在搜索栏中键入“key vault”

  3. 选择要管理的 Key Vault。

  4. 选择“网络”选项卡。

  5. 如果有任何挂起的连接,则会列出预配状态为“挂起”的连接。

  6. 选择要批准的专用终结点

  7. 选择“批准”按钮。

  8. 如果存在任何要拒绝的专用终结点连接(不管是挂起的请求还是现有的连接),请选择该连接并选择“拒绝”按钮。

    映像

应该验证专用终结点资源的同一子网中的资源是否可以通过专用 IP 地址连接到 Key Vault,以及它们是否具有正确的专用 DNS 区域集成。

首先,遵循在 Azure 门户中创建 Windows 虚拟机中的步骤创建一个虚拟机。

在“网络”选项卡中:

  1. 指定虚拟网络和子网。 可以创建新的或选择现有的虚拟网络。 如果选择现有的虚拟网络,请确保区域匹配。
  2. 指定公共 IP 资源。
  3. 在“NIC 网络安全组”中选择“无”。
  4. 在“负载均衡”中选择“否”。

打开命令行并运行以下命令:

nslookup <your-key-vault-name>.vault.azure.cn

如果运行 ns lookup 命令通过公共终结点解析 Key Vault 的 IP 地址,将会看到如下所示的结果:

c:\ >nslookup <your-key-vault-name>.vault.azure.cn

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.cn

如果运行 ns lookup 命令通过专用终结点解析 Key Vault 的 IP 地址,将会看到如下所示的结果:

c:\ >nslookup your_vault_name.vault.azure.cn

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.cn
          <your-key-vault-name>.privatelink.vaultcore.chinacloudapi.cn

故障排除指南

  • 检查以确保专用终结点处于已批准状态。

    1. 可以在 Azure 门户中检查并修复此问题。 打开“Key Vault”资源,然后选择“网络”选项 。
    2. 然后选择“专用终结点连接”选项卡。
    3. 请确保连接状态为“已批准”并且预配状态为“成功”。
    4. 还可导航到专用终结点资源并在这里查看上述属性,然后仔细检查虚拟网络是否与你正在使用的网络匹配。
  • 请检查以确保具有专用 DNS 区域资源。

    1. 必须具有名称恰好是 privatelink.vaultcore.chinacloudapi.cn 的专用 DNS 区域资源。
    2. 若要了解如何对此进行设置,请参阅以下链接。 专用 DNS 区域
  • 请检查确保专用 DNS 区域已与虚拟网络关联。 如果仍返回公共 IP 地址,则可能存在该问题。

    1. 如果专用区域 DNS 未与虚拟网络关联,则从虚拟网络发起的 DNS 查询将返回 Key Vault 的公共 IP 地址。
    2. 在 Azure 门户中导航到专用 DNS 区域资源,然后选择虚拟网络链接选项。
    3. 必须列出将对 Key Vault 执行调用的虚拟网络。
    4. 如果它不存在,请添加它。
    5. 有关详细步骤,请参阅以下文档将虚拟网络链接到专用 DNS 区域
  • 检查以确保专用 DNS 区域具有 Key Vault 的 A 记录。

    1. 导航到专用 DNS 区域页。
    2. 选择“概述”,检查是否存在具有 Key Vault 的简单名称(例如 fabrikam)的 A 记录。 不要指定任何后缀。
    3. 请务必检查拼写,创建或修复 A 记录。 可将 TTL 设为 600(10 分钟)。
    4. 确保指定了正确的专用 IP 地址。
  • 检查以确保 A 记录具有正确的 IP 地址。

    1. 可在 Azure 门户中打开专用终结点资源来确认 IP 地址。
    2. 在 Azure 门户(而不是 Key Vault 资源)中导航到 Microsoft.Network/privateEndpoints 资源
    3. 在“概述”页面中,查找“网络接口”,然后选择该链接。
    4. 该链接显示 NIC 资源的概述,其中包含专用 IP 地址属性。
    5. 验证这是否为在 A 记录中指定的正确 IP 地址。
  • 如果要从本地资源连接到 Key Vault,请确保在本地环境中启用了所有必需的条件转发器。

    1. 查看所需区域的 Azure 专用终结点 DNS 配置,确保本地 DNS 上的 vault.azure.cnvaultcore.chinacloudapi.cn 都有条件转发器。
    2. 确保为那些路由到 Azure 专用 DNS 解析程序或其他具有 Azure 解析访问权限的 DNS 平台的区域设置了条件转发器。

限制和设计注意事项

限制:请参阅 Azure 专用链接限制

定价:请参阅 Azure 专用链接定价

限制:请参阅 Azure 专用链接服务:限制

后续步骤