Použití privátních koncových bodů s účty Azure Batch

Ve výchozím nastavení mají účty Azure Batch veřejné koncové body a jsou veřejně přístupné. Služba Batch nabízí možnost vytvořit privátní koncový bod pro účty Batch, což umožňuje přístup privátní sítě ke službě Batch.

Pomocí Azure Private Link se můžete připojit k účtu Azure Batch prostřednictvím privátního koncového bodu. Privátní koncový bod je sada privátních IP adres v podsíti ve vaší virtuální síti. Pak můžete omezit přístup k účtu Azure Batch přes privátní IP adresy.

Private Link umožňuje uživatelům přístup k účtu Azure Batch z virtuální sítě nebo z jakékoli partnerské virtuální sítě. Prostředky mapované na Private Link jsou také přístupné místně přes privátní partnerský vztah prostřednictvím sítě VPN nebo Azure ExpressRoute. K účtu Azure Batch nakonfigurovaného pomocí Private Link se můžete připojit pomocí metody automatického nebo ručního schvalování.

Tento článek popisuje postup vytvoření privátního koncového bodu pro přístup ke koncovým bodům účtu Batch.

Podporované dílčí prostředky privátního koncového bodu pro účet Batch

Prostředek účtu Batch má dva podporované koncové body pro přístup s privátními koncovými body:

• Koncový bod účtu (dílčí prostředek: batchAccount): Tento koncový bod se používá pro přístup k rozhraní REST API služby Batch (rovina dat), například ke správě fondů, výpočetních uzlů, úloh, úkolů atd.

• Koncový bod správy uzlů (dílčí prostředek: nodeManagement): používají uzly fondu služby Batch pro přístup ke službě správy uzlů Batch. Tento koncový bod se dá použít jenom při použití zjednodušené komunikace výpočetních uzlů.

Tip

V závislosti na skutečném využití vašeho účtu Batch můžete vytvořit privátní koncový bod pro jeden z nich nebo oba v rámci vaší virtuální sítě. Pokud například spustíte fond Batch v rámci virtuální sítě, ale budete volat rozhraní REST API služby Batch odjinud, budete muset vytvořit pouze privátní koncový bod nodeManagement ve virtuální síti.

portál Azure

Pomocí následujícího postupu vytvořte privátní koncový bod s účtem Batch pomocí Azure Portal:

1. V Azure Portal přejděte na svůj účet Batch.
2. V Nastavení vyberte Sítě a přejděte na kartu Privátní přístup. Pak vyberte + Privátní koncový bod.
3. V podokně Základy zadejte nebo vyberte předplatné, skupinu prostředků, název prostředku privátního koncového bodu a podrobnosti o oblasti a pak vyberte Další: Prostředek.
4. V podokně Prostředek nastavte Typ prostředku na Microsoft.Batch/batchAccounts. Vyberte účet Batch, ke které chcete získat přístup, vyberte cílový dílčí prostředek a pak vyberte Další: Konfigurace.
5. V podokně Konfigurace zadejte nebo vyberte tyto informace:
   • V části Virtuální síť vyberte svoji virtuální síť.
   • Jako Podsíť vyberte podsíť.
   • V části Konfigurace privátní IP adresy vyberte výchozí dynamicky přidělovat IP adresu.
   • V části Integrace s privátní zónou DNS vyberte Ano. K privátnímu připojení k privátnímu koncovému bodu potřebujete záznam DNS. Doporučujeme integrovat privátní koncový bod s privátní zónou DNS. Můžete také použít vlastní servery DNS nebo vytvořit záznamy DNS pomocí souborů hostitelů na virtuálních počítačích.
   • Jako Privátní DNS Zone (Zóna) vyberte privatelink.batch.azure.com. Zóna privátního DNS se určí automaticky. Toto nastavení nemůžete změnit pomocí Azure Portal.

Důležité

• Pokud máte existující privátní koncové body vytvořené s předchozí privátní zónou privatelink.<region>.batch.azure.comDNS, postupujte podle pokynů v tématu Migrace s existujícími privátními koncovými body účtu Batch.
• Pokud jste vybrali integraci privátní zóny DNS, ujistěte se, že je zóna privátního DNS úspěšně propojená s vaší virtuální sítí. Je možné, že Azure Portal vám umožní zvolit existující privátní zónu DNS, která nemusí být propojená s vaší virtuální sítí, a budete muset propojení virtuální sítě přidat ručně.

6. Vyberte Zkontrolovat a vytvořit a pak počkejte, než Azure ověří vaši konfiguraci.
7. Jakmile se zobrazí zpráva Ověření proběhlo úspěšně, vyberte Vytvořit.

Tip

Můžete také vytvořit privátní koncový bod z Private Link Center v Azure Portal nebo vytvořit nový prostředek vyhledáním privátního koncového bodu.

Použití privátního koncového bodu

Po zřízení privátního koncového bodu můžete k účtu Batch přistupovat pomocí privátní IP adresy v rámci virtuální sítě:

• Privátní koncový bod pro batchAccount: má přístup k rovině dat účtu Batch za účelem správy fondů, úloh a úkolů.

• Privátní koncový bod pro nodeManagement: Výpočetní uzly fondu Služby Batch se můžou připojit ke službě pro správu uzlů Batch a spravovat je.

Tip

Pokud používáte privátní koncové body, doporučujeme také zakázat přístup k veřejné síti s účtem Batch, což omezí přístup jenom k privátní síti.

Důležité

Pokud je s účtem Batch zakázaný přístup k veřejné síti, výsledkem provádění operací účtu (například fondů, úloh) mimo virtuální síť, kde je privátní koncový bod zřízený, se v Azure Portal zobrazí zpráva AuthorizationFailure pro účet Batch.

Zobrazení IP adres privátního koncového bodu z Azure Portal:

1. Vyberte Všechny prostředky.
2. Vyhledejte privátní koncový bod, který jste vytvořili dříve.
3. Vyberte kartu Konfigurace DNS a zobrazte nastavení DNS a IP adresy.

Konfigurace zón DNS

Použijte privátní zónu DNS v podsíti, ve které jste vytvořili privátní koncový bod. Nakonfigurujte koncové body tak, aby se každá privátní IP adresa namapovala na položku DNS.

Při vytváření privátního koncového bodu ho můžete integrovat se zónou privátního DNS v Azure. Pokud se rozhodnete místo toho použít vlastní doménu, musíte ji nakonfigurovat tak, aby přidávala záznamy DNS pro všechny privátní IP adresy vyhrazené pro privátní koncový bod.

Migrace s existujícími privátními koncovými body účtu Batch

Se zavedením nového uzlu dílčího prostředku privátního koncového boduSpráva pro koncový bod správy uzlů Služby Batch se výchozí zóna privátního DNS pro účet Batch zjednoduší z privatelink.<region>.batch.azure.com na privatelink.batch.azure.com. Aby byla zachována zpětná kompatibilita s dříve použitou privátní zónou DNS, obsahuje pro účet Batch s libovolným schváleným privátním koncovým bodem batchAccount mapování DNS CNAME koncového bodu jeho účtu obě zóny (na prvním místě je předchozí zóna), například:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Pokračovat v používání předchozí privátní zóny DNS

Pokud jste už s virtuální sítí použili předchozí zónu privatelink.<region>.batch.azure.com DNS, měli byste ji dál používat pro existující a nové privátní koncové body batchAccount a není potřeba žádná akce.

Důležité

Pokud už používáte předchozí privátní zónu DNS, pokračujte v jejím používání i s nově vytvořenými privátními koncovými body. Nepoužívejte novou zónu s řešením integrace DNS, dokud nebudete moct do nové zóny migrovat.

Vytvoření nového privátního koncového bodu batchAccount s integrací DNS v Azure Portal

Pokud ručně vytvoříte nový privátní koncový bod batchAccount pomocí Azure Portal s povolenou automatickou integrací DNS, použije se pro integraci DNS nová zóna privatelink.batch.azure.com privátního DNS: vytvořte privátní zónu DNS, propojte ji s virtuální sítí a nakonfigurujte záznam DNS A v zóně pro váš privátní koncový bod.

Pokud už je ale vaše virtuální síť propojená s předchozí zónou privatelink.<region>.batch.azure.comprivátního DNS , dojde k narušení překladu DNS pro váš dávkový účet ve virtuální síti, protože záznam DNS A pro váš nový privátní koncový bod se přidá do nové zóny, ale překlad DNS nejprve zkontroluje podporu zpětné kompatibility v předchozí zóně.

Tento problém můžete zmírnit pomocí následujících možností:

• Pokud už předchozí privátní zónu DNS nepotřebujete, odpojte ji od virtuální sítě. Nemusíte dělat nic dalšího.

• Jinak po vytvoření nového privátního koncového bodu:

  1. ujistěte se, že automatická integrace privátního DNS obsahuje záznam DNS A vytvořený v nové zóně privatelink.batch.azure.comprivátního DNS . Například, myaccount.<region> A <IPv4 address>.

  2. Přejděte na předchozí privátní zónu privatelink.<region>.batch.azure.comDNS .

  3. Ručně přidejte záznam DNS CNAME. Například, myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Důležité

Toto ruční zmírnění rizik je potřeba jenom v případě, že vytvoříte nový privátní koncový bod batchAccount s integrací privátního DNS ve stejné virtuální síti, která už je propojená s předchozí zónou privátního DNS.

Migrace předchozí privátní zóny DNS do nové zóny

I když můžete se stávajícím procesem nasazení dál používat předchozí privátní zónu DNS, doporučujeme ji migrovat do nové zóny, aby se zjednodušily správy konfigurace DNS:

• S novou privátní zónou privatelink.batch.azure.comDNS nebudete muset konfigurovat a spravovat různé zóny pro každou oblast pomocí účtů Batch.
• Když začnete používat nový privátní koncový bod nodeManagement, který také používá novou zónu privátního DNS, budete muset pro oba typy privátních koncových bodů spravovat jenom jednu jednu zónu privátního DNS.

Předchozí zónu privátního DNS můžete migrovat pomocí následujících kroků:

1. Vytvořte novou privátní zónu privatelink.batch.azure.com DNS a propojte ji s virtuální sítí.
2. Zkopírujte všechny záznamy DNS A z předchozí privátní zóny DNS do nové zóny:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Zrušte propojení předchozí privátní zóny DNS s vaší virtuální sítí.
4. Ověřte překlad DNS v rámci vaší virtuální sítě a název DNS účtu Batch by se měl dál překládat na IP adresu privátního koncového bodu:

nslookup myaccount.<region>.batch.azure.com

5. Začněte používat novou privátní zónu DNS s procesem nasazení pro nové privátní koncové body.
6. Po dokončení migrace odstraňte předchozí privátní zónu DNS.

Ceny

Podrobnosti o nákladech souvisejících s privátními koncovými body najdete v tématu Azure Private Link cenách.

Aktuální omezení a osvědčené postupy

Při vytváření privátního koncového bodu s účtem Batch mějte na paměti následující:

• Prostředky privátního koncového bodu je možné vytvořit v jiném předplatném jako účet Batch, ale předplatné musí být zaregistrované u poskytovatele prostředků Microsoft.Batch.
• Přesun prostředků se nepodporuje u privátních koncových bodů s účty Batch.
• Pokud se prostředek účtu Batch přesune do jiné skupiny prostředků nebo jiného předplatného, privátní koncové body můžou dál fungovat, ale přidružení k účtu Batch se přeruší. Pokud prostředek privátního koncového bodu odstraníte, jeho přidružené připojení privátního koncového bodu stále existuje ve vašem účtu Batch. Připojení můžete ze svého účtu Batch odebrat ručně.
• Pokud chcete odstranit privátní připojení, odstraňte prostředek privátního koncového bodu nebo privátní připojení v účtu Batch (tato akce odpojí související prostředek privátního koncového bodu).
• Záznamy DNS v privátní zóně DNS se při odstranění připojení privátního koncového bodu z účtu Batch neodeberou automaticky. Před přidáním nového privátního koncového bodu propojeného s touto privátní zónou DNS musíte záznamy DNS odebrat ručně. Pokud záznamy DNS nevyčistíte, může dojít k neočekávaným problémům s přístupem.
• Pokud je pro účet Batch povolený privátní koncový bod, ověřovací token úlohy pro úlohu Batch se nepodporuje. Alternativním řešením je použít fond služby Batch se spravovanými identitami.

Další kroky

• Naučte se vytvářet fondy služby Batch ve virtuálních sítích.
• Naučte se vytvářet fondy služby Batch bez veřejných IP adres.
• Zjistěte, jak nakonfigurovat přístup k veřejné síti pro účty Batch.
• Zjistěte, jak spravovat připojení privátních koncových bodů pro účty Batch.
• Přečtěte si o Azure Private Link.