Privé-eindpunten gebruiken met Azure Batch-accounts

Standaard hebben Azure Batch accounts openbare eindpunten en zijn ze openbaar toegankelijk. De Batch-service biedt de mogelijkheid om een privé-eindpunt voor Batch-accounts te maken, zodat het privénetwerk toegang heeft tot de Batch-service.

Met behulp van Azure Private Link kunt u verbinding maken met een Azure Batch-account via een privé-eindpunt. Het privé-eindpunt is een set privé-IP-adressen in een subnet binnen uw virtuele netwerk. U kunt vervolgens de toegang tot een Azure Batch-account via privé-IP-adressen beperken.

met Private Link kunnen gebruikers toegang krijgen tot een Azure Batch-account vanuit het virtuele netwerk of vanuit een virtueel gekoppeld virtueel netwerk. Resources die zijn toegewezen aan Private Link zijn ook on-premises toegankelijk via privépeering via VPN of Azure ExpressRoute. U kunt verbinding maken met een Azure Batch-account dat is geconfigureerd met Private Link met behulp van de automatische of handmatige goedkeuringsmethode.

In dit artikel worden de stappen beschreven voor het maken van een privé-eindpunt voor toegang tot Batch-accounteindpunten.

Subresources voor privé-eindpunten die worden ondersteund voor Batch-account

Batch-accountresource heeft twee eindpunten die worden ondersteund voor toegang met privé-eindpunten:

• Accounteindpunt (subresource: batchAccount): dit eindpunt wordt gebruikt voor toegang tot de BATCH Service REST API (gegevensvlak), bijvoorbeeld voor het beheren van pools, rekenknooppunten, taken, enzovoort.

• Eindpunt voor knooppuntbeheer (subresource: nodeManagement): gebruikt door Batch-poolknooppunten voor toegang tot de Batch-knooppuntbeheerservice. Dit eindpunt is alleen van toepassing bij het gebruik van vereenvoudigde communicatie met rekenknooppunten.

Tip

U kunt een privé-eindpunt maken voor een van beide of beide binnen uw virtuele netwerk, afhankelijk van het werkelijke gebruik voor uw Batch-account. Als u bijvoorbeeld een Batch-pool in het virtuele netwerk uitvoert, maar de REST API van de Batch-service ergens anders aanroept, hoeft u alleen het privé-eindpunt nodeManagement in het virtuele netwerk te maken.

Azure Portal

Gebruik de volgende stappen om een privé-eindpunt te maken met uw Batch-account met behulp van de Azure Portal:

1. Ga naar uw Batch-account in de Azure Portal.
2. Selecteer in Instellingende optie Netwerken en ga naar het tabblad Persoonlijke toegang. Selecteer vervolgens + Privé-eindpunt.
3. Typ of selecteer in het deelvenster Basisinformatie het abonnement, de resourcegroep, de resourcenaam en de regiogegevens van het privé-eindpunt en selecteer vervolgens Volgende: Resource.
4. Stel in het deelvenster Resource het resourcetype in op Microsoft.Batch/batchAccounts. Selecteer het Batch-account dat u wilt openen, selecteer de doelsubresource en selecteer vervolgens Volgende: Configuratie.
5. Voer in het deelvenster Configuratie de volgende gegevens in of selecteer deze:
   • Selecteer bij Virtueel netwerk uw virtuele netwerk.
   • Selecteer bij Subnet uw subnet.
   • Selecteer voor Privé-IP-configuratie het standaard IP-adres dynamisch toewijzen.
   • Voor Integreren met privé-DNS-zone selecteert u Ja. Als u privé verbinding wilt maken met uw privé-eindpunt, hebt u een DNS-record nodig. U wordt aangeraden uw privé-eindpunt te integreren met een privé-DNS-zone. U kunt ook uw eigen DNS-servers gebruiken of DNS-records maken met behulp van de hostbestanden op uw virtuele machines.
   • Selecteer privatelink.batch.azure.com voor Privé-DNS zone. De privé-DNS-zone wordt automatisch bepaald. U kunt deze instelling niet wijzigen met behulp van de Azure Portal.

Belangrijk

• Als u bestaande privé-eindpunten hebt gemaakt met een vorige privé-DNS-zone privatelink.<region>.batch.azure.com, volgt u Migratie met bestaande privé-eindpunten van een Batch-account.
• Als u integratie van privé-DNS-zones hebt geselecteerd, moet u ervoor zorgen dat de privé-DNS-zone is gekoppeld aan uw virtuele netwerk. Het is mogelijk dat u met Azure Portal een bestaande privé-DNS-zone kunt kiezen, die mogelijk niet is gekoppeld aan uw virtuele netwerk en dat u de koppeling naar het virtuele netwerk handmatig moet toevoegen.

6. Selecteer Beoordelen en maken en wacht vervolgens tot Azure uw configuratie heeft gevalideerd.
7. Als u het bericht Validatie geslaagd ziet, selecteert u Maken.

Tip

U kunt het privé-eindpunt ook maken vanuit Private Link Center in Azure Portal of een nieuwe resource maken door te zoeken naar een privé-eindpunt.

Het privé-eindpunt gebruiken

Nadat het privé-eindpunt is ingericht, hebt u toegang tot het Batch-account met behulp van het privé-IP-adres in het virtuele netwerk:

• Privé-eindpunt voor batchAccount: heeft toegang tot het gegevensvlak van het Batch-account om pools/taken/taken te beheren.

• Privé-eindpunt voor nodeManagement: de rekenknooppunten van de Batch-pool kunnen verbinding maken met en worden beheerd door de Batch-knooppuntbeheerservice.

Tip

Het wordt aanbevolen om ook de openbare netwerktoegang met uw Batch-account uit te schakelen wanneer u privé-eindpunten gebruikt, waardoor de toegang tot alleen het particuliere netwerk wordt beperkt.

Belangrijk

Als openbare netwerktoegang is uitgeschakeld met een Batch-account, resulteert het uitvoeren van accountbewerkingen (bijvoorbeeld pools, taken) buiten het virtuele netwerk waarin het privé-eindpunt is ingericht, in het bericht AuthorizationFailure voor het Batch-account in de Azure Portal.

De IP-adressen voor het privé-eindpunt weergeven vanuit de Azure Portal:

1. Selecteer Alle resources.
2. Zoek naar het privé-eindpunt dat u eerder hebt gemaakt.
3. Selecteer het tabblad DNS-configuratie om de DNS-instellingen en IP-adressen weer te geven.

DNS-zones configureren

Gebruik een privé-DNS-zone binnen het subnet waarin u het privé-eindpunt hebt gemaakt. Configureer de eindpunten zo dat elk privé-IP-adres wordt toegewezen aan een DNS-vermelding.

Wanneer u het privé-eindpunt maakt, kunt u dit integreren met een privé-DNS-zone in Azure. Als u ervoor kiest om in plaats daarvan een aangepast domein te gebruiken, moet u dit configureren om DNS-records toe te voegen voor alle privé-IP-adressen die zijn gereserveerd voor het privé-eindpunt.

Migratie met bestaande privé-eindpunten voor Batch-accounts

Met de introductie van het nieuwe subresourceknooppunt voor privé-eindpunten voor het beheer van het Batch-knooppunt, wordt de standaard privé-DNS-zone voor het Batch-account vereenvoudigd van privatelink.<region>.batch.azure.com tot privatelink.batch.azure.com. Om achterwaartse compatibiliteit met de eerder gebruikte privé-DNS-zone te behouden, voor een Batch-account met een goedgekeurd privé-eindpunt batchAccount , bevatten de DNS CNAME-toewijzingen van het accounteindpunt beide zones (waarbij de vorige zone het eerst komt), bijvoorbeeld:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Doorgaan met het gebruik van de vorige privé-DNS-zone

Als u de vorige DNS-zone privatelink.<region>.batch.azure.com al hebt gebruikt met uw virtuele netwerk, moet u deze blijven gebruiken voor bestaande en nieuwe batchAccount-privé-eindpunten en hoeft u geen actie te ondernemen.

Belangrijk

Met bestaand gebruik van de vorige privé-DNS-zone, moet u deze blijven gebruiken, zelfs met nieuw gemaakte privé-eindpunten. Gebruik de nieuwe zone pas met uw DNS-integratieoplossing als u naar de nieuwe zone kunt migreren.

Een nieuw batchAccount-privé-eindpunt maken met DNS-integratie in Azure Portal

Als u handmatig een nieuw batchAccount-privé-eindpunt maakt met behulp van Azure Portal waarvoor automatische DNS-integratie is ingeschakeld, wordt de nieuwe privé-DNS-zone privatelink.batch.azure.com gebruikt voor de DNS-integratie: maak de privé-DNS-zone, koppel deze aan uw virtuele netwerk en configureer DNS A-record in de zone voor uw privé-eindpunt.

Als uw virtuele netwerk echter al is gekoppeld aan de vorige privé-DNS-zone privatelink.<region>.batch.azure.com, wordt de DNS-omzetting voor uw batchaccount in uw virtuele netwerk verbroken, omdat de DNS A-record voor uw nieuwe privé-eindpunt wordt toegevoegd aan de nieuwe zone, maar DNS-resolutie de vorige zone eerst controleert op ondersteuning voor achterwaartse compatibiliteit.

U kunt dit probleem oplossen met de volgende opties:

• Als u de vorige privé-DNS-zone niet meer nodig hebt, ontkoppelt u deze van uw virtuele netwerk. U hoeft geen verdere actie te ondernemen.

• Anders, nadat het nieuwe privé-eindpunt is gemaakt:

  1. Zorg ervoor dat de automatische privé-DNS-integratie een DNS A-record heeft gemaakt in de nieuwe privé-DNS-zone privatelink.batch.azure.com. Bijvoorbeeld myaccount.<region> A <IPv4 address>.

  2. Ga naar de vorige privé-DNS-zone privatelink.<region>.batch.azure.com.

  3. Voeg handmatig een DNS CNAME-record toe. Bijvoorbeeld myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Belangrijk

Deze handmatige beperking is alleen nodig wanneer u een nieuw privé-eindpunt batchAccount met privé-DNS-integratie maakt in hetzelfde virtuele netwerk dat al is gekoppeld aan de vorige privé-DNS-zone.

Vorige privé-DNS-zone migreren naar de nieuwe zone

Hoewel u de vorige privé-DNS-zone kunt blijven gebruiken met uw bestaande implementatieproces, is het raadzaam om deze te migreren naar de nieuwe zone voor het gemak van DNS-configuratiebeheer:

• Met de nieuwe privé-DNS-zone privatelink.batch.azure.comhoeft u geen verschillende zones voor elke regio te configureren en te beheren met uw Batch-accounts.
• Wanneer u het nieuwe privé-eindpunt nodeManagement gaat gebruiken dat ook gebruikmaakt van de nieuwe privé-DNS-zone, hoeft u slechts één privé-DNS-zone te beheren voor beide typen privé-eindpunten.

U kunt de vorige privé-DNS-zone migreren met de volgende stappen:

1. Maak de nieuwe privé-DNS-zone privatelink.batch.azure.com en koppel deze aan uw virtuele netwerk.
2. Kopieer alle DNS A-records van de vorige privé-DNS-zone naar de nieuwe zone:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Ontkoppel de vorige privé-DNS-zone van uw virtuele netwerk.
4. Controleer de DNS-omzetting binnen uw virtuele netwerk en de DNS-naam van het Batch-account moet nog steeds worden omgezet in het IP-adres van het privé-eindpunt:

nslookup myaccount.<region>.batch.azure.com

5. Begin met het gebruik van de nieuwe privé-DNS-zone met uw implementatieproces voor nieuwe privé-eindpunten.
6. Verwijder de vorige privé-DNS-zone nadat de migratie is voltooid.

Prijzen

Zie prijzen voor Azure Private Link voor meer informatie over de kosten met betrekking tot privé-eindpunten.

Huidige beperkingen en aanbevolen procedures

Houd bij het maken van een privé-eindpunt met uw Batch-account rekening met het volgende:

• Privé-eindpuntresources kunnen worden gemaakt in een ander abonnement als het Batch-account, maar het abonnement moet zijn geregistreerd bij de Microsoft.Batch-resourceprovider.
• Resourceverplaatsing wordt niet ondersteund voor privé-eindpunten met Batch-accounts.
• Als een Batch-accountresource wordt verplaatst naar een andere resourcegroep of een ander abonnement, kunnen de privé-eindpunten nog steeds werken, maar wordt de koppeling met het Batch-account verbroken. Als u de privé-eindpuntresource verwijdert, bestaat de bijbehorende privé-eindpuntverbinding nog steeds in uw Batch-account. U kunt de verbinding handmatig verwijderen uit uw Batch-account.
• Als u de privéverbinding wilt verwijderen, verwijdert u de resource van het privé-eindpunt of verwijdert u de privéverbinding in het Batch-account (met deze actie wordt de verbinding met de gerelateerde privé-eindpuntresource verbroken).
• DNS-records in de privé-DNS-zone worden niet automatisch verwijderd wanneer u een privé-eindpuntverbinding uit het Batch-account verwijdert. U moet de DNS-records handmatig verwijderen voordat u een nieuw privé-eindpunt toevoegt dat is gekoppeld aan deze privé-DNS-zone. Als u de DNS-records niet opschoont, kunnen er onverwachte toegangsproblemen optreden.
• Wanneer het privé-eindpunt is ingeschakeld voor het Batch-account, wordt het taakverificatietoken voor de Batch-taak niet ondersteund. De tijdelijke oplossing is het gebruik van een Batch-pool met beheerde identiteiten.

Volgende stappen

• Meer informatie over het maken van Batch-pools in virtuele netwerken.
• Meer informatie over het maken van Batch-pools zonder openbare IP-adressen.
• Meer informatie over het configureren van openbare netwerktoegang voor Batch-accounts.
• Meer informatie over het beheren van privé-eindpuntverbindingen voor Batch-accounts.
• Meer informatie over Azure Private Link.