Utilizar pontos finais privados com contas do Azure Batch
Por predefinição, Azure Batch contas têm pontos finais públicos e são acessíveis publicamente. O serviço Batch oferece a capacidade de criar um ponto final privado para contas do Batch, permitindo o acesso de rede privada ao serviço Batch.
Ao utilizar Azure Private Link, pode ligar a uma conta Azure Batch através de um ponto final privado. O ponto final privado é um conjunto de endereços IP privados numa sub-rede na sua rede virtual. Em seguida, pode limitar o acesso a uma conta Azure Batch através de endereços IP privados.
Private Link permite que os utilizadores acedam a uma conta Azure Batch a partir da rede virtual ou de qualquer rede virtual em modo de peering. Os recursos mapeados para Private Link também são acessíveis no local através do peering privado através da VPN ou do Azure ExpressRoute. Pode ligar a uma conta Azure Batch configurada com Private Link através do método de aprovação automática ou manual.
Este artigo descreve os passos para criar um ponto final privado para aceder aos pontos finais da conta do Batch.
Sub-recursos de ponto final privado suportados para a conta do Batch
O recurso de conta do Batch tem dois pontos finais suportados para aceder com pontos finais privados:
Ponto final da conta (sub-recurso: batchAccount): este ponto final é utilizado para aceder à API REST do Batch Service (plano de dados), por exemplo, gerir conjuntos, nós de computação, tarefas, tarefas, etc.
Ponto final de gestão de nós (sub-recurso: nodeManagement): utilizado pelos nós do conjunto do Batch para aceder ao serviço de gestão de nós do Batch. Este ponto final só é aplicável ao utilizar a comunicação simplificada do nó de computação.
Dica
Pode criar um ponto final privado para um ou ambos na sua rede virtual, dependendo da utilização real da sua conta do Batch. Por exemplo, se executar o conjunto do Batch na rede virtual, mas chamar a API REST do serviço Batch a partir de outro local, só terá de criar o ponto final privado NodeManagement na rede virtual.
Portal do Azure
Utilize os seguintes passos para criar um ponto final privado com a sua conta do Batch com o portal do Azure:
- Aceda à sua conta do Batch no portal do Azure.
- Em Definições, selecione Rede e aceda ao separador Acesso Privado. Em seguida, selecione + Ponto final privado.
- No painel Noções básicas , introduza ou selecione a subscrição, o grupo de recursos, o nome do recurso do ponto final privado e os detalhes da região e, em seguida, selecione Seguinte: Recurso.
- No painel Recurso , defina o Tipo de recurso como Microsoft.Batch/batchAccounts. Selecione a conta do Batch à qual pretende aceder, selecione o sub-recurso de destino e, em seguida, selecione Seguinte: Configuração.
- No painel Configuração , introduza ou selecione estas informações:
- Para Rede virtual, selecione a sua rede virtual.
- Em Sub-rede, selecione a sub-rede.
- Para configuração de IP Privado, selecione o endereço IP predefinido Alocar dinamicamente.
- Para Integrar com a zona DNS privada, selecione Sim. Para se ligar em privado ao ponto final privado, precisa de um registo DNS. Recomendamos que integre o ponto final privado numa zona DNS privada. Também pode utilizar os seus próprios servidores DNS ou criar registos DNS com os ficheiros de anfitrião nas suas máquinas virtuais.
- Para DNS Privado Zona, selecione privatelink.batch.azure.com. A zona DNS privada é determinada automaticamente. Não pode alterar esta definição com o portal do Azure.
Importante
- Se tiver pontos finais privados existentes criados com a zona
privatelink.<region>.batch.azure.com
DNS privada anterior, siga Migração com pontos finais privados existentes da conta do Batch. - Se tiver selecionado a integração da zona DNS privada, certifique-se de que a zona DNS privada está ligada à sua rede virtual com êxito. É possível que portal do Azure lhe permita escolher uma zona DNS privada existente, que poderá não estar ligada à sua rede virtual e terá de adicionar manualmente a ligação de rede virtual.
- Selecione Rever + criar e, em seguida, aguarde que o Azure valide a configuração.
- Quando vir a mensagem A validação passou, selecione Criar.
Dica
Também pode criar o ponto final privado a partir do Private Link Center no portal do Azure ou criar um novo recurso ao procurar o ponto final privado.
Utilizar o ponto final privado
Depois de o ponto final privado ser aprovisionado, pode aceder à conta do Batch com o endereço IP privado na rede virtual:
Ponto final privado para batchAccount: pode aceder ao plano de dados da conta do Batch para gerir conjuntos/tarefas/tarefas.
Ponto final privado para nodeManagement: os nós de computação do conjunto do Batch podem ligar-se e ser geridos pelo serviço de gestão de nós do Batch.
Dica
Recomenda-se também desativar o acesso à rede pública com a sua conta do Batch quando estiver a utilizar pontos finais privados, o que irá restringir o acesso apenas à rede privada.
Importante
Se o acesso à rede pública estiver desativado com a conta do Batch, a execução de operações de conta (por exemplo, conjuntos, tarefas) fora da rede virtual onde o ponto final privado é aprovisionado resultará numa mensagem "AuthorizationFailure" para a conta do Batch no portal do Azure.
Para ver os endereços IP do ponto final privado do portal do Azure:
- Selecione Todos os recursos.
- Procure o ponto final privado que criou anteriormente.
- Selecione o separador Configuração do DNS para ver as definições de DNS e os endereços IP.
Configurar zonas DNS
Utilize uma zona DNS privada na sub-rede onde criou o ponto final privado. Configure os pontos finais para que cada endereço IP privado seja mapeado para uma entrada DNS.
Quando estiver a criar o ponto final privado, pode integrá-lo numa zona DNS privada no Azure. Se optar por utilizar um domínio personalizado, tem de o configurar para adicionar registos DNS a todos os endereços IP privados reservados para o ponto final privado.
Migração com pontos finais privados de conta do Batch existentes
Com a introdução do novo nó de sub-recurso do ponto final privadoManagement para o ponto final de gestão de nós do Batch, a zona DNS privada predefinida para a conta do Batch é simplificada de privatelink.<region>.batch.azure.com
para privatelink.batch.azure.com
. Para manter a retrocompatibilidade com a zona DNS privada utilizada anteriormente, para uma conta do Batch com qualquer ponto final privado batchAccount aprovado, os mapeamentos CNAME DNS do ponto final da conta contêm ambas as zonas (com a zona anterior em primeiro lugar), por exemplo:
myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>
Continuar a utilizar a zona DNS privada anterior
Se já utilizou a zona privatelink.<region>.batch.azure.com
DNS anterior com a sua rede virtual, deve continuar a utilizá-la para pontos finais privados batchAccount existentes e novos e não é necessária nenhuma ação.
Importante
Com a utilização existente da zona DNS privada anterior, continue a utilizá-la mesmo com pontos finais privados recentemente criados. Não utilize a nova zona com a solução de integração DNS até poder migrar para a nova zona.
Criar um novo ponto final privado batchAccount com integração de DNS no portal do Azure
Se criar manualmente um novo ponto final privado batchAccount com portal do Azure com a integração DNS automática ativada, utilizará a nova zona privatelink.batch.azure.com
DNS privada para a integração de DNS: criar a zona DNS privada, ligá-la à sua rede virtual e configurar um registo DNS A na zona para o seu ponto final privado.
No entanto, se a sua rede virtual já tiver sido ligada à zona privatelink.<region>.batch.azure.com
DNS privada anterior, irá quebrar a resolução de DNS da sua conta de lote na sua rede virtual, uma vez que o registo DNS A do novo ponto final privado é adicionado à nova zona, mas a resolução de DNS verifica primeiro a zona anterior para obter suporte de retrocompatibilidade.
Pode mitigar este problema com as seguintes opções:
Se já não precisar da zona DNS privada anterior, desassocie-a da sua rede virtual. Não é necessária mais nenhuma ação.
Caso contrário, após a criação do novo ponto final privado:
certifique-se de que a integração DNS privada automática tem um registo DNS A criado na nova zona
privatelink.batch.azure.com
DNS privada . Por exemplo,myaccount.<region> A <IPv4 address>
.Aceda à zona
privatelink.<region>.batch.azure.com
DNS privada anterior .Adicione manualmente um registo CNAME DNS. Por exemplo,
myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com
.
Importante
Esta mitigação manual só é necessária quando cria um novo ponto final privado batchAccount com integração DNS privada na mesma rede virtual que já foi associada à zona DNS privada anterior.
Migrar a zona DNS privada anterior para a nova zona
Embora possa continuar a utilizar a zona DNS privada anterior com o processo de implementação existente, recomenda-se que a migre para a nova zona para simplificar a gestão da configuração de DNS:
- Com a nova zona
privatelink.batch.azure.com
DNS privada, não terá de configurar e gerir diferentes zonas para cada região com as suas contas do Batch. - Quando começar a utilizar o novo ponto final privado nodeManagement que também utiliza a nova zona DNS privada, só terá de gerir uma única zona DNS privada para ambos os tipos de pontos finais privados.
Pode migrar a zona DNS privada anterior com os seguintes passos:
- Crie e ligue a nova zona
privatelink.batch.azure.com
DNS privada à sua rede virtual. - Copie todos os registos DNS A da zona DNS privada anterior para a nova zona:
From zone "privatelink.<region>.batch.azure.com":
myaccount A <ip>
To zone "privatelink.batch.azure.com":
myaccount.<region> A <ip>
- Desassociar a zona DNS privada anterior da sua rede virtual.
- Verifique a resolução de DNS na rede virtual e o nome DNS da conta do Batch deve continuar a ser resolvido para o endereço IP do ponto final privado:
nslookup myaccount.<region>.batch.azure.com
- Comece a utilizar a nova zona DNS privada com o processo de implementação para novos pontos finais privados.
- Elimine a zona DNS privada anterior após a conclusão da migração.
Preços
Para obter detalhes sobre os custos relacionados com pontos finais privados, veja Azure Private Link preços.
Limitações e melhores práticas atuais
Ao criar um ponto final privado com a sua conta do Batch, tenha em atenção o seguinte:
- Os recursos de ponto final privado podem ser criados numa subscrição diferente da conta do Batch, mas a subscrição tem de ser registada no fornecedor de recursos Microsoft.Batch.
- O movimento de recursos não é suportado para pontos finais privados com contas do Batch.
- Se um recurso de conta do Batch for movido para um grupo de recursos ou subscrição diferente, os pontos finais privados ainda podem funcionar, mas a associação à conta do Batch quebra. Se eliminar o recurso de ponto final privado, a ligação de ponto final privado associada ainda existe na sua conta do Batch. Pode remover manualmente a ligação da sua conta do Batch.
- Para eliminar a ligação privada, elimine o recurso de ponto final privado ou elimine a ligação privada na conta do Batch (esta ação desliga o recurso de ponto final privado relacionado).
- Os registos DNS na zona DNS privado não são removidos automaticamente quando elimina uma ligação de ponto final privado da conta do Batch. Tem de remover manualmente os registos DNS antes de adicionar um novo ponto final privado ligado a esta zona DNS privada. Se não limpar os registos DNS, poderão ocorrer problemas de acesso inesperados.
- Quando o ponto final privado está ativado para a conta do Batch, o token de autenticação de tarefas para a tarefa do Batch não é suportado. A solução é utilizar o conjunto do Batch com identidades geridas.
Passos seguintes
- Saiba como criar conjuntos do Batch em redes virtuais.
- Saiba como criar conjuntos do Batch sem endereços IP públicos.
- Saiba como configurar o acesso à rede pública para contas do Batch.
- Saiba como gerir ligações de pontos finais privados para contas do Batch.
- Saiba mais sobre Azure Private Link.