Azure Private Link gebruiken om servers veilig te verbinden met Azure Arc
Met Azure Private Link kunt u Azure PaaS-services veilig koppelen aan uw virtuele netwerk met behulp van privé-eindpunten. Voor veel services stelt u een eindpunt per resource in. Dit betekent dat u uw on-premises of multicloudservers kunt verbinden met Azure Arc en al het verkeer via een Azure ExpressRoute- of site-naar-site-VPN-verbinding kunt verzenden in plaats van openbare netwerken te gebruiken.
Vanaf servers met Azure Arc kunt u een Private Link Scope-model gebruiken om meerdere servers of computers te laten communiceren met hun Azure Arc-resources met behulp van één privé-eindpunt.
In dit artikel wordt beschreven wanneer u een Azure Arc Private Link-bereik moet gebruiken en instellen.
Voordelen
Met Private Link kunt u het volgende doen:
- Maak privé verbinding met Azure Arc zonder openbare netwerktoegang te openen.
- Zorg ervoor dat gegevens van de machine of server met Azure Arc alleen toegankelijk zijn via geautoriseerde privénetwerken. Dit omvat ook gegevens van VM-extensies die zijn geïnstalleerd op de computer of server die ondersteuning bieden voor beheer na implementatie en bewaking.
- Voorkom gegevensexfiltratie van uw privénetwerken door specifieke Servers met Azure Arc en andere Azure-services-resources, zoals Azure Monitor, te definiëren die verbinding maken via uw privé-eindpunt.
- Verbind uw privé on-premises netwerk veilig met Azure Arc met behulp van ExpressRoute en Private Link.
- Houd al het verkeer binnen het Backbone-netwerk van Microsoft Azure.
Zie De belangrijkste voordelen van Azure Private Link voor meer informatie.
Hoe het werkt
Azure Arc Private Link Scope verbindt privé-eindpunten (en de virtuele netwerken waarin ze zich bevinden) met een Azure-resource, in dit geval servers met Azure Arc. Wanneer u een van de door Azure Arc ondersteunde VM-extensies inschakelt, zoals Azure Monitor, verbinden deze resources andere Azure-resources. Zoals:
- Log Analytics-werkruimte, vereist voor Azure Automation Wijzigingen bijhouden en inventaris, Azure Monitor VM-inzichten en Azure Monitor-logboekverzameling met Azure Monitor-agent.
- Azure Automation-account, vereist voor Updatebeheer en Wijzigingen bijhouden en inventaris.
- Azure Key Vault
- Azure Blob Storage, vereist voor aangepaste scriptextensie.
Voor connectiviteit met een andere Azure-resource vanaf een Server met Azure Arc is het configureren van Private Link vereist voor elke service, wat optioneel is, maar wordt aanbevolen. Voor Azure Private Link is een afzonderlijke configuratie per service vereist.
Zie de artikelen over Azure Automation, Azure Monitor, Azure Key Vault of Azure Blob Storage voor meer informatie over het configureren van Private Link voor de Azure-services die eerder zijn vermeld.
Belangrijk
Azure Private Link is nu algemeen beschikbaar. Zowel privé-eindpunten als de Private Link-service (service achter standaard load balancer) zijn algemeen beschikbaar. Verschillende Azure PaaS onboarding naar Azure Private Link volgens verschillende planningen. Bekijk de beschikbaarheid van Private Link voor een bijgewerkte status van Azure PaaS op Private Link. Zie Privé-eindpunt en Private Link-service voor bekende beperkingen.
Met het privé-eindpunt in uw VNet kan het eindpunten van servers met Azure Arc bereiken via privé-IP's uit de groep van uw netwerk, in plaats van te gebruiken voor de openbare IP-adressen van deze eindpunten. Hiermee kunt u uw azure Arc-serversresource blijven gebruiken zonder uw VNet te openen voor uitgaand verkeer dat niet is aangevraagd.
Verkeer van het privé-eindpunt naar uw resources gaat via de Microsoft Azure-backbone en wordt niet doorgestuurd naar openbare netwerken.
U kunt elk van uw onderdelen configureren om opname en query's van openbare netwerken toe te staan of te weigeren. Dit biedt een beveiliging op resourceniveau, zodat u verkeer naar specifieke resources kunt beheren.
Beperkingen en limieten
Het Private Link-bereikobject voor Azure Arc-servers heeft een aantal limieten die u moet overwegen bij het plannen van uw Private Link-installatie.
- U kunt maximaal één Azure Arc Private Link-bereik koppelen aan een virtueel netwerk.
- Een machine of serverresource met Azure Arc kan alleen verbinding maken met één Private Link-bereik voor Azure Arc-servers.
- Alle on-premises machines moeten hetzelfde privé-eindpunt gebruiken door de juiste privé-eindpuntgegevens (FQDN-recordnaam en privé-IP-adres) op te lossen met behulp van dezelfde DNS-doorstuurserver. Zie DNS-configuratie van azure-privé-eindpunt voor meer informatie
- De server met Azure Arc en het Azure Arc Private Link-bereik moeten zich in dezelfde Azure-regio bevinden. Het privé-eindpunt en het virtuele netwerk moeten zich ook in dezelfde Azure-regio bevinden, maar deze regio kan afwijken van die van uw Azure Arc Private Link-bereik en de server met Arc.
- Netwerkverkeer naar Microsoft Entra ID en Azure Resource Manager gaat niet over het Azure Arc Private Link-bereik en blijft uw standaardnetwerkroute naar internet gebruiken. U kunt desgewenst een privékoppeling voor resourcebeheer configureren om Azure Resource Manager-verkeer naar een privé-eindpunt te verzenden.
- Voor andere Azure-services die u wilt gebruiken, bijvoorbeeld Azure Monitor, zijn hun eigen privé-eindpunten in uw virtuele netwerk vereist.
- Externe toegang tot de server met windows-beheercentrum of SSH wordt momenteel niet ondersteund via een privékoppeling.
Uw Private Link-installatie plannen
Als u uw server via een privékoppeling wilt verbinden met Azure Arc, moet u uw netwerk configureren om het volgende te bereiken:
Maak een verbinding tussen uw on-premises netwerk en een virtueel Azure-netwerk met behulp van een site-naar-site-VPN - of ExpressRoute-circuit.
Implementeer een Azure Arc Private Link-bereik, waarmee wordt bepaald welke machines of servers kunnen communiceren met Azure Arc via privé-eindpunten en deze kunnen koppelen aan uw virtuele Azure-netwerk met behulp van een privé-eindpunt.
Werk de DNS-configuratie op uw lokale netwerk bij om de privé-eindpuntadressen op te lossen.
Configureer uw lokale firewall om toegang tot Microsoft Entra ID en Azure Resource Manager toe te staan.
Koppel de computers of servers die zijn geregistreerd bij servers met Azure Arc met het bereik van private link.
Implementeer eventueel privé-eindpunten voor andere Azure-services die door uw machine of server worden beheerd, zoals:
- Azure Monitor
- Azure Automation
- Azure Blob Storage
- Azure Key Vault
In dit artikel wordt ervan uitgegaan dat u uw ExpressRoute-circuit of site-naar-site-VPN-verbinding al hebt ingesteld.
Netwerkconfiguratie
Servers met Azure Arc kunnen worden geïntegreerd met verschillende Azure-services om cloudbeheer en governance toe te voegen aan uw hybride machines of servers. De meeste van deze services bieden al privé-eindpunten, maar u moet uw firewall- en routeringsregels configureren om toegang te verlenen tot Microsoft Entra-id en Azure Resource Manager via internet totdat deze services privé-eindpunten bieden.
U kunt dit op twee manieren bereiken:
Als uw netwerk is geconfigureerd voor het routeren van al het internetverkeer via het Azure VPN- of ExpressRoute-circuit, kunt u de netwerkbeveiligingsgroep (NSG) configureren die is gekoppeld aan uw subnet in Azure om uitgaande TCP 443-toegang (HTTPS) tot Microsoft Entra ID en Azure toe te staan met behulp van servicetags. De NSG-regels moeten er als volgt uitzien:
Instelling Microsoft Entra ID-regel Azure-regel Bron Virtueel netwerk Virtueel netwerk Poortbereiken van bron * * Bestemming Servicetag Servicetag Doelservicetag AzureActiveDirectory
AzureResourceManager
Poortbereiken van doel 443 443 Protocol TCP TCP Actie Toestaan Toestaan Prioriteit 150 (moet lager zijn dan regels die internettoegang blokkeren) 151 (moet lager zijn dan regels die internettoegang blokkeren) Naam AllowAADOutboundAccess
AllowAzOutboundAccess
Configureer de firewall in uw lokale netwerk om uitgaande TCP 443-toegang (HTTPS) tot Microsoft Entra ID en Azure toe te staan met behulp van de downloadbare servicetagbestanden. Het JSON-bestand bevat alle openbare IP-adresbereiken die worden gebruikt door Microsoft Entra ID en Azure en wordt maandelijks bijgewerkt om eventuele wijzigingen weer te geven. De servicetag van Azure AD is
AzureActiveDirectory
en de servicetag van Azure isAzureResourceManager
. Neem contact op met de netwerkbeheerder en de leverancier van de netwerkfirewall voor meer informatie over het configureren van uw firewallregels.
Zie het diagram in de sectie Hoe het werkt in dit artikel voor meer informatie over de netwerkverkeersstromen.
Een Private Link-bereik maken
Meld u aan bij het Azure-portaal.
Ga naar Een resource maken in Azure Portal en zoek naar Azure Arc Private Link Scope en selecteer Vervolgens Maken.
U kunt ook rechtstreeks naar de pagina Azure Arc Private Link-bereiken in de portal gaan en vervolgens azure Arc Private Link-bereik maken selecteren.
Selecteer op het tabblad Basisbeginselen een abonnement en resourcegroep.
Voer een naam in voor het Azure Arc Private Link-bereik. U kunt het beste een duidelijke en duidelijke naam gebruiken.
U kunt desgewenst elke machine of server met Azure Arc vereisen die is gekoppeld aan dit Azure Arc Private Link-bereik om gegevens naar de service te verzenden via het privé-eindpunt. Schakel hiervoor het selectievakje openbare netwerktoegang toestaan in, zodat machines of servers die zijn gekoppeld aan dit Azure Arc Private Link-bereik, kunnen communiceren met de service via zowel privénetwerken als openbare netwerken. U kunt deze instelling wijzigen nadat u het bereik indien nodig hebt gemaakt.
Selecteer het tabblad Privé-eindpunt en selecteer Vervolgens Maken.
In het deelvenster Privé-eindpunt maken:
Voer een naam in voor het eindpunt.
Kies Ja voor Integreren met een privé-DNS-zone en laat deze automatisch een nieuwe Privé-DNS zone maken.
Notitie
Als u Nee kiest en DNS-records liever handmatig wilt beheren, moet u eerst uw Private Link instellen, inclusief dit privé-eindpunt en de configuratie van het privébereik. Vervolgens configureer u uw DNS volgens de instructies in DNS-configuratie van Azure-privé-eindpunt. Zorg ervoor dat u geen lege records maakt als voorbereiding voor het instellen van uw privékoppeling. De DNS-records die u maakt, kunnen bestaande instellingen overschrijven en van invloed zijn op uw connectiviteit met servers met Azure Arc.
Dezelfde VNET-/DNS-zone kan niet worden gebruikt voor zowel Arc-resources met behulp van private link als die geen private link gebruiken. Arc-resources die geen privékoppeling zijn verbonden, moeten worden omgezet in openbare eindpunten.
Selecteer OK.
Selecteer Controleren + maken.
Laat de validatie slagen en selecteer vervolgens Maken.
On-premises DNS-doorsturen configureren
Uw on-premises machines of servers moeten de DNS-records van de privékoppeling kunnen omzetten in de IP-adressen van het privé-eindpunt. Hoe u dit configureert, is afhankelijk van of u privé-DNS-zones van Azure gebruikt voor het onderhouden van DNS-records of dat u uw eigen DNS-server on-premises gebruikt en hoeveel servers u configureert.
DNS-configuratie met behulp van door Azure geïntegreerde privé-DNS-zones
Als u privé-DNS-zones instelt voor servers met Azure Arc en gastconfiguratie bij het maken van het privé-eindpunt, moeten uw on-premises machines of servers DNS-query's kunnen doorsturen naar de ingebouwde Azure DNS-servers om de privé-eindpuntadressen correct op te lossen. U hebt een DNS-doorstuurserver in Azure nodig (een speciaal gebouwde VM of een Azure Firewall-exemplaar waarvoor DNS-proxy is ingeschakeld), waarna u uw on-premises DNS-server kunt configureren om query's door te sturen naar Azure om IP-adressen van privé-eindpunten op te lossen.
Zie Azure Private Resolver met on-premises DNS-doorstuurserver voor meer informatie.
Handmatige DNS-serverconfiguratie
Als u zich hebt afgemeld voor het gebruik van privé-DNS-zones van Azure tijdens het maken van een privé-eindpunt, moet u de vereiste DNS-records maken in uw on-premises DNS-server.
Navigeer in Azure Portal naar de privé-eindpuntresource die is gekoppeld aan uw virtuele netwerk en het bereik van private link.
Selecteer in het servicemenu onder Instellingen de DNS-configuratie om een lijst met de DNS-records en de bijbehorende IP-adressen te zien die u op uw DNS-server moet instellen. De FQDN's en IP-adressen worden gewijzigd op basis van de regio die u hebt geselecteerd voor uw privé-eindpunt en de beschikbare IP-adressen in uw subnet.
Volg de richtlijnen van de leverancier van uw DNS-server om de benodigde DNS-zones en A-records toe te voegen die overeenkomen met de tabel in de portal. Zorg ervoor dat u een DNS-server selecteert die het juiste bereik heeft voor uw netwerk. Elke computer of server die deze DNS-server gebruikt, lost nu de IP-adressen van het privé-eindpunt op en moet zijn gekoppeld aan het Azure Arc Private Link-bereik, anders wordt de verbinding geweigerd.
Scenario's met één server
Als u van plan bent om alleen privékoppelingen te gebruiken ter ondersteuning van een paar computers of servers, wilt u mogelijk de DNS-configuratie van uw hele netwerk niet bijwerken. In dit geval kunt u de hostnamen en IP-adressen van het privé-eindpunt toevoegen aan het bestand Hosts van besturingssystemen. Afhankelijk van de configuratie van het besturingssysteem kan het hosts-bestand de primaire of alternatieve methode zijn voor het omzetten van hostnaam naar IP-adres.
Windows
Open een account met beheerdersbevoegdheden
C:\Windows\System32\drivers\etc\hosts
.Voeg de IP-adressen en hostnamen van het privé-eindpunt toe uit de lijst met DNS-configuraties , zoals beschreven in handmatige DNS-serverconfiguratie. Het hostbestand vereist eerst het IP-adres, gevolgd door een spatie en vervolgens de hostnaam.
Sla het bestand op met uw wijzigingen. Mogelijk moet u eerst opslaan in een andere map en vervolgens het bestand naar het oorspronkelijke pad kopiëren.
Linux
Open het
/etc/hosts
hosts-bestand in een teksteditor.Voeg de IP-adressen en hostnamen van het privé-eindpunt toe uit de lijst met DNS-configuraties , zoals beschreven in handmatige DNS-serverconfiguratie. Het hostbestand vraagt eerst om het IP-adres, gevolgd door een spatie en vervolgens de hostnaam.
Sla het bestand op met uw wijzigingen.
Verbinding maken met een server met Azure Arc
Notitie
Voor het gebruik van een privé-eindpunt is versie 1.4 of hoger van de Azure Connected Machine-agent vereist. Het implementatiescript voor servers met Azure Arc dat in de portal is gegenereerd, downloadt de nieuwste versie.
Een nieuwe server met Azure Arc configureren voor het gebruik van Private Link
Wanneer u een machine of server voor het eerst verbindt met servers met Azure Arc, kunt u deze desgewenst verbinden met een Private Link-bereik.
Ga in een browser naar Azure Portal.
Navigeer naar Machines - Azure Arc.
Selecteer op de pagina Machines - Azure Arc linksboven toevoegen/maken en selecteer vervolgens Een machine toevoegen in de vervolgkeuzelijst.
Selecteer op de pagina Servers toevoegen met Azure Arc de optie Eén server toevoegen of Meerdere servers toevoegen, afhankelijk van uw implementatiescenario en selecteer vervolgens Genereren script.
Geef op de pagina Basisinformatie het volgende op:
Selecteer het abonnement en de resourcegroep voor de computer.
Selecteer in de vervolgkeuzelijst Regio de Azure-regio om de metagegevens van de machine of server op te slaan.
Selecteer in de vervolgkeuzelijst Besturingssysteem het besturingssysteem waarop het script is geconfigureerd om te worden uitgevoerd.
Selecteer onder Connectiviteitsmethode het privé-eindpunt en selecteer het Azure Arc Private Link-bereik dat in deel 1 is gemaakt in de vervolgkeuzelijst.
Selecteer Volgende: Tags.
Als u meerdere servers toevoegen hebt geselecteerd, selecteert u op de pagina Verificatie de service-principal die is gemaakt voor servers met Azure Arc in de vervolgkeuzelijst. Als u geen service-principal hebt gemaakt voor servers met Azure Arc, raadpleegt u hoe u een service-principal maakt voor meer informatie over machtigingen en stappen die nodig zijn om er een te maken. Selecteer Volgende: Tags om door te gaan.
Controleer, op de pagina Tags, de standaard Fysieke locatiecodes die worden voorgesteld. Voer vervolgens een waarde in, of geef één of meer Aangepaste codes op om uw standaarden te ondersteunen.
Selecteer Volgende: Script downloaden en uitvoeren.
Bekijk, op de pagina Het script downloaden en uitvoeren, de overzichtsgegevens. Selecteer vervolgens Downloaden.
Nadat u het script hebt gedownload, moet u het uitvoeren op uw computer of server met behulp van een bevoegd (administrator- of hoofdaccount). Afhankelijk van uw netwerkconfiguratie moet u de agent mogelijk downloaden van een computer met internettoegang en deze overdragen naar uw computer of server en het script vervolgens wijzigen met het pad naar de agent.
De Windows-agent kan worden gedownload van https://aka.ms/AzureConnectedMachineAgent en de Linux-agent kan worden gedownload van https://packages.microsoft.com. Zoek naar de nieuwste versie van azcmagent onder de distributiemap van het besturingssysteem en geïnstalleerd met uw lokale pakketbeheerder.
Het script retourneert statusberichten die u laten weten of de onboarding is geslaagd nadat het is voltooid.
Tip
Netwerkverkeer van de Azure Connected Machine-agent naar Microsoft Entra ID (login.windows.net
, login.microsoftonline.com
, pas.windows.net
) en Azure Resource Manager (management.azure.com
) blijven openbare eindpunten gebruiken. Als uw server moet communiceren via een proxyserver om deze eindpunten te bereiken, configureert u de agent met de URL van de proxyserver voordat u deze verbindt met Azure. Mogelijk moet u ook een proxy-bypass configureren voor de Azure Arc-services als uw privé-eindpunt niet toegankelijk is vanaf uw proxyserver.
Een bestaande server met Azure Arc configureren
Voor servers met Azure Arc die vóór uw private link-bereik zijn ingesteld, kunt u toestaan dat ze het Private Link-bereik van Azure Arc gaan gebruiken door de volgende stappen uit te voeren.
Navigeer in Azure Portal naar uw Azure Arc Private Link Scope-resource.
Selecteer Azure Arc-resources in het servicemenu onder Configureren en vervolgens + Toevoegen.
Selecteer de servers in de lijst die u wilt koppelen aan het Private Link-bereik en selecteer vervolgens Selecteren om uw wijzigingen op te slaan.
Het kan tot 15 minuten duren voordat het Private Link-bereik verbindingen accepteert van de recent gekoppelde server(s).
Probleemoplossing
Als u problemen ondervindt, kunnen de volgende suggesties helpen:
Controleer uw on-premises DNS-server om te controleren of deze wordt doorgestuurd naar Azure DNS of is geconfigureerd met de juiste A-records in uw privékoppelingszone. Deze opzoekopdrachten moeten privé-IP-adressen retourneren in uw virtuele Azure-netwerk. Als ze openbare IP-adressen omzetten, controleert u de DNS-configuratie van uw computer of server en netwerk.
nslookup gbl.his.arc.azure.com nslookup agentserviceapi.guestconfiguration.azure.com
Voor problemen met onboarding van een machine of server controleert u of u de Microsoft Entra-id en Azure Resource Manager-servicetags hebt toegevoegd aan uw lokale netwerkfirewall. De agent moet communiceren met deze services via internet totdat privé-eindpunten beschikbaar zijn voor deze services.
Volgende stappen
- Meer informatie over privé-eindpunten, wat is azure-privé-eindpunt?
- Meer informatie over het configureren van Private Link voor Azure Automation, Azure Monitor, Azure Key Vault of Azure Blob Storage.