Integrieren von Key Vault in azure Private Link

Azure Private Link Service ermöglicht Ihnen den Zugriff auf Azure Services (z. B. Azure Key Vault, Azure Storage und Azure Cosmos DB) und von Azure gehostete Kunden-/Partnerdienste über einen privaten Endpunkt in Ihrem virtuellen Netzwerk.

Ein privater Azure-Endpunkt ist eine Netzwerkschnittstelle, die Sie privat und sicher mit einem Dienst verbindet, der von Azure Private Link unterstützt wird. Der private Endpunkt verwendet eine private IP-Adresse aus Ihrem VNet und bringt den Dienst effektiv in Ihr VNet ein. Der gesamte für den Dienst bestimmte Datenverkehr kann über den privaten Endpunkt geleitet werden. Es sind also keine Gateways, NAT-Geräte, ExpressRoute-/VPN-Verbindungen oder öffentlichen IP-Adressen erforderlich. Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst durchläuft über das Microsoft-Backbone-Netzwerk, wodurch die Gefährdung durch das öffentliche Internet eliminiert wird. Sie können eine Verbindung mit einer Instanz einer Azure-Ressource herstellen, sodass Sie die höchste Granularität bei der Zugriffssteuerung erhalten.

Weitere Informationen finden Sie unter Was ist Azure Private Link?.

Voraussetzungen

So integrieren Sie einen Schlüsseltresor mit Azure Private Link. Hierzu benötigen Sie:

Einen Schlüsseltresor.
Ein virtuelles Azure-Netzwerk
Ein Subnetz in dem virtuellen Netzwerk
Berechtigungen vom Typ „Besitzer“ oder „Mitwirkender“ für den Schlüsseltresor und für das virtuelle Netzwerk

Der private Endpunkt und das virtuelle Netzwerk müssen sich in der gleichen Region befinden. Wenn Sie über das Portal eine Region für den privaten Endpunkt auswählen, wird automatisch nach virtuellen Netzwerken in dieser Region gefiltert. Der Schlüsseltresor kann sich in einer anderen Region befinden.

Der private Endpunkt verwendet eine private IP-Adresse in Ihrem virtuellen Netzwerk.

Azure-Portal
Azure CLI

Herstellen einer privaten Linkverbindung mit Key Vault mithilfe des Azure-Portals

Erstellen Sie zunächst ein virtuelles Netzwerk, indem Sie die Schritte unter Erstellen eines virtuellen Netzwerks mithilfe des Azure-Portals ausführen.

Sie können dann entweder einen neuen Schlüsseltresor erstellen oder eine private Verknüpfung mit einem vorhandenen Schlüsseltresor herstellen.

Erstellen eines neuen Key Vault und Einrichten einer privaten Verbindung

Sie können einen neuen Schlüsseltresor mit dem Azure-Portal, azure CLI oder Azure PowerShell erstellen.

Nachdem Sie die Grundlagen des Key Vaults konfiguriert haben, wählen Sie die Registerkarte "Networking" aus, und führen Sie die folgenden Schritte aus:

Deaktivieren Sie den öffentlichen Zugriff, indem Sie das Optionsfeld deaktivieren.
Wählen Sie die Schaltfläche "+ Privaten Endpunkt erstellen" aus, um einen privaten Endpunkt hinzuzufügen.
Wählen Sie im Feld "Standort" des Blatts "Privater Endpunkt erstellen" die Region aus, in der sich Ihr virtuelles Netzwerk befindet.
Erstellen Sie im Feld "Name" einen beschreibenden Namen, mit dem Sie diesen privaten Endpunkt identifizieren können.
Wählen Sie das virtuelle Netzwerk und das Subnetz aus, in dem dieser private Endpunkt im Dropdownmenü erstellt werden soll.
Lassen Sie die Option "mit dem privaten Zonen-DNS integrieren" unverändert.
Wählen Sie "OK" aus.

Nun können Sie den konfigurierten privaten Endpunkt sehen. Sie können diesen privaten Endpunkt jetzt löschen und bearbeiten. Wählen Sie die Schaltfläche „Bewerten + erstellen“ aus, und erstellen Sie den Schlüsseltresor. Es dauert 5 bis 10 Minuten, bis die Bereitstellung abgeschlossen ist.

Einrichten einer Private Link-Verbindung mit einem bereits vorhandenen Schlüsseltresor

Wenn Sie bereits über einen Schlüsseltresor verfügen, können Sie wie folgt eine Private Link-Verbindung erstellen:

Melden Sie sich beim Azure-Portal an.
Geben Sie auf der Suchleiste den Suchbegriff „Schlüsseltresore“ ein.
Wählen Sie in der Liste den Schlüsseltresor aus, dem Sie einen privaten Endpunkt hinzufügen möchten.
Wählen Sie unter "Einstellungen" die Registerkarte "Netzwerk" aus.
Wählen Sie oben auf der Seite die Registerkarte "Private Endpunktverbindungen" aus.
Wählen Sie oben auf der Seite die Schaltfläche "+Erstellen" aus.
Wählen Sie unter "Projektdetails" die Ressourcengruppe aus, die das virtuelle Netzwerk enthält, das Sie als Voraussetzung für dieses Lernprogramm erstellt haben. Geben Sie unter "Instanzdetails" "myPrivateEndpoint" als Namen ein, und wählen Sie denselben Speicherort wie das virtuelle Netzwerk aus, das Sie als Voraussetzung für dieses Lernprogramm erstellt haben.

Sie können einen privaten Endpunkt für jede Azure-Ressource mithilfe dieses Blatts erstellen. Sie können entweder die Dropdownmenüs verwenden, um einen Ressourcentyp auszuwählen und eine Ressource in Ihrem Verzeichnis auszuwählen, oder Sie können eine Verbindung mit einer beliebigen Azure-Ressource mithilfe einer Ressourcen-ID herstellen. Lassen Sie die Option „In DNS der privaten Zone integrieren“ unverändert.
Wechseln Sie zum Blatt "Ressourcen". Wählen Sie für "Ressourcentyp" die Option "Microsoft.KeyVault/vaults" und für "Ressource" den Schlüsseltresor, den Sie als Voraussetzung für dieses Lernprogramm erstellt haben. „Zielunterressource“ wird automatisch mit „Tresor“ ausgefüllt.
Wechseln Sie zum "virtuellen Netzwerk". Wählen Sie das virtuelle Netzwerk und das Subnetz aus, das Sie als Voraussetzung für dieses Lernprogramm erstellt haben.
Durchlaufen Sie die Blätter "DNS" und "Tags" und akzeptieren Sie die Standardwerte.
Wählen Sie auf dem Blatt "Überprüfen + Erstellen" die Option "Erstellen" aus.

Wenn Sie einen privaten Endpunkt erstellen, muss die Verbindung genehmigt werden. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet, können Sie die Verbindungsanforderung genehmigen, sofern Sie über ausreichende Berechtigungen verfügen. Wenn Sie eine Verbindung mit einer Azure-Ressource in einem anderen Verzeichnis herstellen, müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt.

Es gibt vier Bereitstellungszustände.

Dienstaktion	Zustand des privaten Endpunkts des Dienstnutzers	BESCHREIBUNG
Nichts	Ausstehend	Die Verbindung wurde manuell erstellt, und die Genehmigung des Besitzers der Private Link-Ressource steht aus.
Genehmigen	genehmigt	Die Verbindung wurde automatisch oder manuell genehmigt und ist zur Verwendung bereit.
Ablehnen	Zurückgewiesen	Die Verbindung wurde vom Besitzer der Private Link-Ressource abgelehnt.
Entfernen	Getrennt	Die Verbindung wurde von der Person, der die Private Link-Ressource gehört, entfernt, der private Endpunkt wird informativ und sollte zur Bereinigung gelöscht werden.

So verwalten Sie eine private Endpunktverbindung mit Key Vault mithilfe des Azure-Portals

Melden Sie sich beim Azure-Portal an.
Geben Sie auf der Suchleiste den Suchbegriff „Schlüsseltresore“ ein.
Wählen Sie den Schlüsseltresor aus, den Sie verwalten möchten.
Wählen Sie die Registerkarte "Netzwerk" aus.
Wenn Verbindungen ausstehen, wird eine Verbindung mit "Ausstehend" im Bereitstellungsstatus angezeigt.
Wählen Sie den privaten Endpunkt aus, den Sie genehmigen möchten.
Wählen Sie die Schaltfläche "Genehmigen" aus.
Wenn private Endpunktverbindungen vorhanden sind, die Sie ablehnen möchten, unabhängig davon, ob es sich um eine ausstehende Anforderung oder eine vorhandene Verbindung handelt, wählen Sie die Verbindung aus, und wählen Sie die Schaltfläche "Ablehnen" aus.

Herstellen einer privaten Linkverbindung mit Key Vault mithilfe der CLI (Initial Setup)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -___location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Erstellen eines privaten Endpunkts (automatisch genehmigen)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --___location {AZURE REGION}

Erstellen eines privaten Endpunkts (Manuelle Genehmigung anfordern)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --___location {AZURE REGION} --manual-request

Verwalten privater Verknüpfungsverbindungen

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Hinzufügen privater DNS-Einträge

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Überprüfen, ob die Private Link-Verbindung funktioniert

Sie sollten überprüfen, ob die Ressourcen innerhalb desselben Subnetzes der privaten Endpunktressource eine Verbindung mit Ihrem Schlüsseltresor über eine private IP-Adresse herstellen und dass sie über die richtige private DNS-Zonenintegration verfügen.

Erstellen Sie zunächst einen virtuellen Computer. Eine entsprechende Anleitung finden Sie unter Schnellstart: Erstellen eines virtuellen Windows-Computers im Azure-Portal.

Gehen Sie auf der Registerkarte „Azure-Netzwerk“ wie folgt vor:

Geben Sie virtuelles Netzwerk und Subnetz an. Sie können ein neues virtuelles Netzwerk erstellen oder ein vorhandenes Netzwerk auswählen. Vergewissern Sie sich bei Verwendung eines bereits vorhandenen Netzwerks, dass die Region übereinstimmt.
Geben Sie eine öffentliche IP-Ressource an.
Wählen Sie in der NIC-Netzwerksicherheitsgruppe "Keine" aus.
Wählen Sie im Lastenausgleich "Nein" aus.

Öffnen Sie die Befehlszeile, und führen Sie den folgenden Befehl aus:

nslookup <your-key-vault-name>.vault.azure.net

Wenn Sie den Befehl „ns lookup“ ausführen, um die IP-Adresse eines Schlüsseltresors über einen öffentlichen Endpunkt aufzulösen, sieht das angezeigte Ergebnis wie folgt aus:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Wenn Sie den Befehl „ns lookup“ ausführen, um die IP-Adresse eines Schlüsseltresors über einen privaten Endpunkt aufzulösen, sieht das angezeigte Ergebnis wie folgt aus:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Handbuch zur Problembehandlung

Überprüfen Sie, ob sich der private Endpunkt im genehmigten Zustand befindet.
1. Dies kann im Azure-Portal überprüft und behoben werden. Öffnen Sie die Key Vault-Ressource, und wählen Sie die Netzwerkoption aus.
2. Wählen Sie dann die Registerkarte "Private Endpunktverbindungen" aus.
3. Stellen Sie sicher, dass der Verbindungsstatus genehmigt ist und der Bereitstellungsstatus erfolgreich ist.
4. Sie können auch zu der privaten Endpunktressource navigieren und dieselben Eigenschaften dort überprüfen, und überprüfen Sie, ob das virtuelle Netzwerk mit dem von Ihnen verwendeten Netzwerk übereinstimmt.
Stellen Sie sicher, dass Sie über eine private DNS-Zone-Ressource verfügen.
1. Sie müssen über eine private DNS-Zone-Ressource mit dem genauen Namen verfügen: privatelink.vaultcore.azure.net.
2. Informationen zum Einrichten dieses Vorgangs finden Sie unter dem folgenden Link. Private DNS-Zonen
Stellen Sie sicher, dass die private DNS-Zone mit dem virtuellen Netzwerk verknüpft ist. Dies könnte das Problem sein, wenn Ihnen weiterhin die öffentliche IP-Adresse zurückgegeben wird.
1. Wenn der Private Zone DNS nicht mit dem virtuellen Netzwerk verknüpft ist, gibt die DNS-Abfrage, die aus dem virtuellen Netzwerk stammt, die öffentliche IP-Adresse des Schlüssel-Vaults zurück.
2. Navigieren Sie im Azure-Portal zur Ressource "Private DNS-Zone", und wählen Sie die Option für virtuelle Netzwerkverknüpfungen aus.
3. Das virtuelle Netzwerk, von dem Aufrufe an den Schlüsseltresor gesendet werden, muss aufgeführt werden.
4. Ist dies nicht der Fall, fügen Sie es hinzu.
5. Ausführliche Schritte finden Sie im folgenden Dokument link Virtual Network to Private DNS Zone
Vergewissern Sie sich, dass in der privaten DNS-Zone kein A-Datensatz für den Schlüsseltresor fehlt.
1. Navigieren Sie zur Seite "Private DNS-Zone".
2. Wählen Sie ‚Übersicht‘ aus und überprüfen Sie, ob ein A-Datensatz mit dem einfachen Namen Ihres Key Vault (d. h. fabrikam) vorhanden ist. Geben Sie kein Suffix an.
3. Überprüfen Sie die Schreibweise, und erstellen oder korrigieren Sie den A-Datensatz. Sie können eine TTL von 600 (10 Minuten) verwenden.
4. Achten Sie darauf, die richtige private IP-Adresse anzugeben.
Überprüfen Sie, ob der A-Eintrag über die richtige IP-Adresse verfügt.
1. Sie können die IP-Adresse bestätigen, indem Sie die Ressource für private Endpunkte im Azure-Portal öffnen.
2. Navigieren Sie im Azure-Portal zur Ressource „Microsoft.Network/privateEndpoints“ (nicht zur Key Vault-Ressource).
3. Suchen Sie auf der Übersichtsseite nach der Netzwerkschnittstelle, und wählen Sie diesen Link aus.
4. Daraufhin wird die Übersicht über die NIC-Ressource mit der Eigenschaft „Private IP-Adresse“ angezeigt.
5. Vergewissern Sie sich, dass es sich bei der IP-Adresse um die richtige Adresse aus dem A-Eintrag handelt.
Wenn Sie eine Verbindung von einer lokalen Ressource mit einem Key Vault herstellen, stellen Sie sicher, dass alle erforderlichen bedingten Weiterleitungen in der lokalen Umgebung aktiviert sind.
1. Überprüfen Sie die Azure Private Endpoint DNS-Konfiguration für die erforderlichen Zonen und stellen Sie sicher, dass Sie über bedingte Weiterleitungen sowohl für vault.azure.net als auch für vaultcore.azure.net für Ihr lokales DNS verfügen.
2. Stellen Sie sicher, dass Sie über bedingte Weiterleitungen für diese Zonen verfügen, die an einen Azure Private DNS Resolver oder eine andere DNS-Plattform mit Zugriff auf die Azure-Auflösung weitergeleitet werden.

Einschränkungen und Entwurfsaspekte

Grenzwerte: Siehe Azure Private Link-Grenzwerte

Preise: Siehe Preise für azure Private Link.

Einschränkungen: Siehe Azure Private Link Service: Einschränkungen

Nächste Schritte

Weitere Informationen zu Azure Private Link.
Weitere Informationen zu Azure Key Vault

Feedback

War diese Seite hilfreich?

Last updated on 2025-04-30