Aracılığıyla paylaş

Azure Key Vault'ta özel bağlantıları yapılandırma sorunlarını tanılama

  • Makale

Giriş

Bu makale kullanıcıların Key Vault ve Özel Bağlantı s özelliğiyle ilgili sorunları tanılamalarına ve düzeltmelerine yardımcı olur. Bu kılavuz, özel bağlantıların ilk kez çalışmasını sağlama veya bazı değişiklikler nedeniyle özel bağlantıların çalışmayı durdurması durumunu düzeltme gibi yapılandırma yönlerine yardımcı olur.

Bu özelliği kullanmaya yeniyseniz bkz. Key Vault'ı Azure Özel Bağlantı ile tümleştirme.

Bu makalenin kapsamına alınan sorunlar

  • DNS sorgularınız, özel bağlantılar özelliğini kullanmayı beklediğiniz özel bir IP adresi yerine anahtar kasası için genel bir IP adresi döndürmeye devam eder.
  • Özel bağlantı kullanan belirli bir istemci tarafından yapılan tüm istekler zaman aşımlarıyla veya ağ hatalarıyla başarısız oluyor ve sorun aralıklı değil.
  • Anahtar kasasının özel bir IP adresi vardır, ancak istekler iç hata koduyla ForbiddenByFirewall yanıt almaya devam eder403.
  • Özel bağlantılar kullanıyorsunuz, ancak anahtar kasanız yine de genel İnternet'ten gelen istekleri kabul ediyor.
  • Anahtar kasanızda iki Özel Uç Nokta vardır. Birini kullanan istekler iyi çalışıyor, ancak diğerini kullanan istekler başarısız oluyor.
  • Özel bağlantıları kullanan başka bir aboneliğiniz, anahtar kasanız veya sanal ağınız var. Yeni bir benzer dağıtım yapmak istiyorsunuz, ancak orada çalışmak için özel bağlantılar alamazsınız.

Bu makalenin kapsamına alınmaYAN sorunlar

  • Aralıklı bir bağlantı sorunu var. Belirli bir istemcide, bazı isteklerin çalıştığını ve bazılarının çalışmadığını görürsünüz. Aralıklı sorunlar genellikle özel bağlantılar yapılandırmasındaki bir sorundan kaynaklanmaz; bunlar ağ veya istemci aşırı yüklemesinin bir işaretidir.
  • KAG (Kendi Anahtarını Getir), CMK (Müşteri Tarafından Yönetilen Anahtarlar) veya anahtar kasasında depolanan gizli dizilere erişimi destekleyen bir Azure ürünü kullanıyorsunuz. Güvenlik duvarını anahtar kasası ayarlarında etkinleştirdiğinizde, bu ürün anahtar kasanıza erişemez. Ürüne özgü belgelere bakın. Güvenlik duvarının etkinleştirildiği anahtar kasaları için desteği açıkça belirttiğinden emin olun. Gerekirse ilgili ürün için desteğe başvurun.

Bu makaleyi okuma

Özel bağlantılarda yeniyseniz veya karmaşık bir dağıtımı değerlendiriyorsanız makalenin tamamını okumanız önerilir. Aksi takdirde, karşılaştığınız sorun için daha anlamlı olan bölümü seçebilirsiniz.

Haydi başlayalım!

1. İstemci bağlantısının sahibi olduğunuzu onaylayın

İstemcinizin sanal ağda çalıştığını onaylayın

Bu kılavuz, uygulama kodundan kaynaklanan anahtar kasası bağlantılarını düzeltmenize yardımcı olmak için tasarlanmıştır. Örnek olarak Azure Sanal Makineler, Azure Service Fabric kümeleri, Azure Uygulaması Service, Azure Kubernetes Service (AKS) ve benzerlerinde yürütülen uygulamalar ve betikler verilebilir. Bu kılavuz, tarayıcının anahtar kasanıza doğrudan eriştiği Azure portalı web tabanlı kullanıcı arabiriminde gerçekleştirilen erişimler için de geçerlidir.

Özel bağlantıların tanımına göre uygulama, betik veya portal, Özel Uç Nokta kaynağının dağıtıldığı Sanal Ağ bağlı makine, küme veya ortamda çalışıyor olmalıdır.

Uygulama, betik veya portal İnternet'e bağlı rastgele bir ağda çalışıyorsa, bu kılavuz UYGULANAMAZ ve büyük olasılıkla özel bağlantılar kullanılamaz. Bu sınırlama, kullanıcı tarayıcısı yerine isteğe bağlı olarak sağlanan uzak bir Azure makinesinde çalıştırıldığından Azure Cloud Shell'de yürütülen komutlar için de geçerlidir.

Yönetilen çözüm kullanıyorsanız belirli belgelere bakın

Bu kılavuz, anahtar kasasına müşteri Sanal Ağ bağımsız olarak var olan bir Azure ürünü tarafından erişildiği Microsoft tarafından yönetilen çözümler için GEÇERLI DEĞİlDİR. Bu tür senaryolara örnek olarak bekleyen şifreleme için yapılandırılmış Azure Depolama veya Azure SQL, Azure Event Hubs'ın verileri müşteri tarafından sağlanan anahtarlarla şifrelemesi, Azure Data Factory'nin anahtar kasasında depolanan hizmet kimlik bilgilerine erişmesi, Azure Pipelines'ın anahtar kasasından gizli dizileri alması ve diğer benzer senaryolar verilebilir. Böyle durumlarda, ürünün güvenlik duvarı etkinleştirilmiş anahtar kasalarını desteklenip desteklemediğini denetlemeniz gerekir. Bu destek genellikle Key Vault güvenlik duvarının Güvenilen Hizmetler özelliğiyle gerçekleştirilir. Ancak, birçok ürün çeşitli nedenlerle güvenilir hizmetler listesine dahil değildir. Bu durumda ürüne özgü desteğe ulaşın.

Birkaç Azure ürünü sanal ağ ekleme kavramını destekler. Basit bir ifadeyle, ürün müşteri Sanal Ağ bir ağ cihazı ekler ve Sanal Ağ dağıtılır gibi istek göndermesine olanak tanır. Azure Databricks önemli bir örnektir. Bu gibi ürünler özel bağlantıları kullanarak anahtar kasasına istekte bulunabilir ve bu sorun giderme kılavuzu yardımcı olabilir.

2. Bağlantının onaylandığını ve başarılı olduğunu onaylayın

Aşağıdaki adımlar özel uç nokta bağlantısının onaylandığını ve başarılı olduğunu doğrular:

  1. Azure portalı açın ve anahtar kasası kaynağınızı açın.
  2. Sol menüde 'ı seçin.
  3. Özel uç nokta bağlantıları sekmesini seçin. Bu seçim tüm özel uç nokta bağlantılarını ve ilgili durumlarını gösterir. Bağlantı yoksa veya Sanal Ağ bağlantınız eksikse yeni bir Özel Uç Nokta oluşturmanız gerekir. Bu konu daha sonra ele alınacaktır.
  4. Hala Özel uç nokta bağlantılarında tanılamakta olduğunuz kişiyi bulun ve "Bağlantı durumu" Onaylandı ve "Sağlama durumu" seçeneğinin Başarılı olduğunu onaylayın.
    • Bağlantı "Beklemede" durumdaysa, yalnızca onaylayabilirsiniz.
    • "Reddedildi", "Başarısız", "Hata", "Bağlantısı kesildi" veya başka bir durum varsa, hiç etkili olmaz, yeni bir Özel Uç Nokta kaynağı oluşturmanız gerekir.

Temiz tutmak için etkisiz bağlantıları silmek iyi bir fikirdir.

3. Anahtar kasası güvenlik duvarının düzgün yapılandırıldığını onaylayın

Önemli

Güvenlik duvarı ayarlarının değiştirilmesi, hala özel bağlantılar kullanmayan geçerli istemcilerden erişimi kaldırabilir. Güvenlik duvarı yapılandırmasındaki her değişikliğin etkilerinin farkında olduğunuzdan emin olun.

Önemli bir fikir, özel bağlantılar özelliğinin yalnızca veri sızdırmayı önlemek için kapatılan bir Sanal Ağ anahtar kasanıza erişim vermesidir. Mevcut erişimi kaldırmaz. Genel İnternet'ten gelen erişimleri etkili bir şekilde engellemek için anahtar kasası güvenlik duvarını açıkça etkinleştirmeniz gerekir:

  1. Azure portalı açın ve anahtar kasası kaynağınızı açın.
  2. Sol menüde 'ı seçin.
  3. En üstte Güvenlik Duvarları ve sanal ağlar sekmesinin seçili olduğundan emin olun.
  4. Tüm ağlardan genel erişime izin ver seçeneğinin seçili olduğunu fark ederseniz, dış istemcilerin anahtar kasasına neden hala erişebildiğini açıklar. Key Vault'un yalnızca Özel Bağlantı üzerinden erişilebilir olmasını istiyorsanız Genel Erişimi Devre Dışı Bırak'ı seçin.

Aşağıdaki deyimler güvenlik duvarı ayarları için de geçerlidir:

  • Özel bağlantılar özelliği, anahtar kasası güvenlik duvarı ayarlarında herhangi bir "sanal ağ" belirtilmesi gerektirmez. Anahtar kasası güvenlik duvarı ayarlarında sanal ağ belirtilmemiş olsa bile anahtar kasasının özel IP adresini kullanan tüm isteklerin (sonraki bölüme bakın) çalışması gerekir.
  • Özel bağlantılar özelliği, anahtar kasası güvenlik duvarı ayarlarında herhangi bir IP adresi belirtmeyi gerektirmez. Yine güvenlik duvarı ayarlarında hiçbir IP adresi belirtilmemiş olsa bile anahtar kasasının özel IP adresini kullanan tüm isteklerin çalışması gerekir.

Özel bağlantılar kullanıyorsanız, anahtar kasası güvenlik duvarında sanal ağ veya IP adresi belirtmek için tek motivasyonlar şunlardır:

  • Bazı istemcilerin özel bağlantıları, bazılarının hizmet uç noktalarını, bazılarının genel IP adresini kullandığı karma bir sisteminiz var.
  • Özel bağlantılara geçiş yapmaktasınız. Bu durumda, tüm istemcilerin özel bağlantılar kullandığını onayladıktan sonra, anahtar kasası güvenlik duvarı ayarlarından sanal ağları ve IP adreslerini kaldırmanız gerekir.

4. Anahtar kasasının özel bir IP adresine sahip olduğundan emin olun

Özel ve genel IP adresleri arasındaki fark

Özel IP adresi her zaman aşağıdaki biçimlerden birine sahiptir:

  • 10.x.x.x: Örnekler: 10.1.2.3, 10.56.34.12.
  • 172.16.x.x - 172.32.x.x: Örnekler: 172.20.1.1, 172.31.67.89.
  • 192.168.x.x: Örnekler: 192.168.0.1, 192.168.100.7

Bazı IP adresleri ve aralıklar ayrılmıştır:

  • 224.x.x.x: Çok Noktaya Yayın
  • 255.255.255.255: Yayın
  • 127.x.x.x: Geri Döngü
  • 169.254.x.x: Bağlantı yerel
  • 168.63.129.16: İç DNS

Diğer tüm IP adresleri geneldir.

Portala göz atarken veya IP adresini gösteren bir komut çalıştırırken, ip adresinin özel mi, genel mi yoksa ayrılmış mı olduğunu belirleyebildiğinize emin olun. Özel bağlantıların çalışması için anahtar kasası ana bilgisayar adının Sanal Ağ adres alanına ait bir özel IP adresine çözümlenmesi gerekir.

Sanal ağda anahtar kasası özel IP adresini bulma

Ana bilgisayar adı çözümlemesini tanılamanız ve bunun için özel bağlantıların etkinleştirildiği anahtar kasanızın tam özel IP adresini bilmeniz gerekir. Bu adresi bulmak için şu yordamı izleyin:

  1. Azure portalı açın ve anahtar kasası kaynağınızı açın.
  2. Sol menüde 'ı seçin.
  3. Özel uç nokta bağlantıları sekmesini seçin. Bu seçim tüm özel uç nokta bağlantılarını ve ilgili durumlarını gösterir.
  4. Tanılamakta olduğunuz kişiyi bulun ve "Bağlantı durumu" öğesinin Onaylandı ve Sağlama durumunun Başarılı olduğunu onaylayın. Bunu görmüyorsanız, bu belgenin önceki bölümlerine dönün.
  5. Doğru öğeyi bulduğunuzda Özel uç nokta sütunundaki bağlantıya tıklayın. Bu işlem Özel Uç Nokta kaynağını açar.
  6. Genel Bakış sayfasında Özel DNS ayarları adlı bir bölüm gösterilebilir. Anahtar kasası konak adıyla eşleşen tek bir girdi olduğunu onaylayın. Bu giriş anahtar kasası özel IP adresini gösterir.
  7. Ayrıca Ağ arabirimi'ndeki bağlantıya tıklayabilir ve özel IP adresinin önceki adımda görüntülenenle aynı olduğunu onaylayabilirsiniz. Ağ arabirimi, anahtar kasasını temsil eden bir sanal cihazdır.

IP adresi, vm'lerin ve aynı Sanal Ağ çalışan diğer cihazların anahtar kasasına bağlanmak için kullanacağı adrestir. IP adresini not alın veya daha fazla araştırma yaparken tarayıcı sekmesini açık tutun ve dokunmayın.

Not

Anahtar kasanızın birden çok özel uç noktası varsa, birden çok özel IP adresi vardır. Bu yalnızca, her biri kendi Özel Uç Noktası üzerinden (Özel Uç Nokta tek bir Sanal Ağ aittir) aynı anahtar kasasına erişen birden çok Sanal Ağ varsa kullanışlıdır. Sorunu doğru Sanal Ağ tanıladığınızdan emin olun ve yukarıdaki yordamda doğru özel uç nokta bağlantısını seçin. Ayrıca, aynı Sanal Ağ aynı Key Vault için birden çok Özel Uç Nokta oluşturmayın. Bu gerekli değildir ve karışıklığa neden olur.

5. DNS çözümlemesini doğrulama

DNS çözümlemesi, anahtar kasası ana bilgisayar adını (örnek: fabrikam.vault.azure.net) bir IP adresine (örnek: 10.1.2.3) çevirme işlemidir. Aşağıdaki alt bölümler, her senaryoda beklenen DNS çözümleme sonuçlarını gösterir.

Bu bölüm öğrenme amacıyla tasarlanmıştır. Anahtar kasasının onaylanan durumda özel uç nokta bağlantısı olmadığında, ana bilgisayar adını çözümlemek şuna benzer bir sonuç verir:

Windows:

C:\> nslookup fabrikam.vault.azure.net

Non-authoritative answer:
Address:  52.168.109.101
Aliases:  fabrikam.vault.azure.net
          data-prod-eus.vaultcore.azure.net
          data-prod-eus-region.vaultcore.azure.net

Linux:

joe@MyUbuntu:~$ host fabrikam.vault.azure.net

fabrikam.vault.azure.net is an alias for data-prod-eus.vaultcore.azure.net.
data-prod-eus.vaultcore.azure.net is an alias for data-prod-eus-region.vaultcore.azure.net.
data-prod-eus-region.vaultcore.azure.net has address 52.168.109.101

Adın bir genel IP adresine çözümlendiğini ve diğer ad olmadığını privatelink görebilirsiniz. Diğer ad daha sonra açıklanacaktır, şimdi endişelenmeyin.

Yukarıdaki sonuç, makinenin Sanal Ağ bağlı olması veya İnternet bağlantısı olan rastgele bir makine olması fark etmeksizin beklenir. Bunun nedeni anahtar kasasının onaylanan durumda özel uç nokta bağlantısı olmaması ve bu nedenle anahtar kasasının özel bağlantıları desteklemesine gerek olmamasıdır.

Anahtar kasasının onaylı durumda bir veya daha fazla özel uç nokta bağlantısı olduğunda ve İnternet'e bağlı rastgele bir makineden (Özel Uç Noktanın bulunduğu Sanal Ağ bağlı olmayan bir makine) konak adını çözümlediğinizde şunu bulursunuz:

Windows:

C:\> nslookup fabrikam.vault.azure.net

Non-authoritative answer:
Address:  52.168.109.101
Aliases:  fabrikam.vault.azure.net
          fabrikam.privatelink.vaultcore.azure.net
          data-prod-eus.vaultcore.azure.net
          data-prod-eus-region.vaultcore.azure.net

Linux:

joe@MyUbuntu:~$ host fabrikam.vault.azure.net

fabrikam.vault.azure.net is an alias for fabrikam.privatelink.vaultcore.azure.net.
fabrikam.privatelink.vaultcore.azure.net is an alias for data-prod-eus.vaultcore.azure.net.
data-prod-eus.vaultcore.azure.net is an alias for data-prod-eus-region.vaultcore.azure.net.
data-prod-eus-region.vaultcore.azure.net has address 52.168.109.101

Önceki senaryodan önemli fark, değerine {vaultname}.privatelink.vaultcore.azure.netsahip yeni bir diğer ad olmasıdır. Bu, anahtar kasası Veri Düzlemi'nin özel bağlantılardan gelen istekleri kabul etmeye hazır olduğu anlamına gelir.

Bu, Sanal Ağ dışındaki makinelerden gerçekleştirilen isteklerin (az önce kullandığınız gibi) özel bağlantılar kullanacağı anlamına gelmez; bunlar kullanılmaz. Bunu, ana bilgisayar adının hala bir genel IP adresine çözümlendiğini görebilirsiniz. Yalnızca Sanal Ağ bağlı makineler özel bağlantılar kullanabilir. Bu konuda daha fazla bilgi bundan sonra gelecek.

Diğer adı görmüyorsanız privatelink , anahtar kasasının durumunda sıfır özel uç nokta bağlantısı Approved olduğu anlamına gelir. Yeniden denemeden önce bu bölüme geri dönün.

Anahtar kasasının onaylanmış durumda bir veya daha fazla özel uç nokta bağlantısı varsa ve Özel Uç Nokta'nın oluşturulduğu Sanal Ağ bağlı bir makineden konak adını çözümlediğinizde, beklenen yanıt budur:

Windows:

C:\> nslookup fabrikam.vault.azure.net

Non-authoritative answer:
Address:  10.1.2.3
Aliases:  fabrikam.vault.azure.net
          fabrikam.privatelink.vaultcore.azure.net

Linux:

joe@MyUbuntu:~$ host fabrikam.vault.azure.net

fabrikam.vault.azure.net is an alias for fabrikam.privatelink.vaultcore.azure.net.
fabrikam.privatelink.vaultcore.azure.net has address 10.1.2.3

İki önemli fark vardır. İlk olarak, ad bir özel IP adresine çözümlenecektir. Bu, bu makalenin ilgili bölümünde bulduğumuz IP adresi olmalıdır. İkincisi, diğer adlardan sonra privatelink başka bir diğer ad yoktur. Bunun nedeni, Sanal Ağ DNS sunucularının diğer ad zincirini kesmesi ve özel IP adresini doğrudan adından fabrikam.privatelink.vaultcore.azure.netdöndürmesidir. Bu girdi aslında Özel DNS Bölgesi'ndeki bir A kayıttır. Bu konuda daha fazla bilgi bundan sonra gelecek.

Not

Yukarıdaki sonuç yalnızca Özel Uç Noktanın oluşturulduğu Sanal Ağ bağlı bir Sanal Makinede gerçekleşir. Özel Uç Nokta içeren Sanal Ağ dağıtılan bir VM'niz yoksa, bir vm dağıtın ve buna uzaktan bağlanın, ardından yukarıdaki komutu (Windows) veya komutu (Linux) yürütebilirsiniz nslookup host.

Bu komutları Özel Uç Noktanın oluşturulduğu Sanal Ağ bağlı bir Sanal Makinede çalıştırırsanız ve bunlar anahtar kasası özel IP adresini göstermiyorsa, sonraki bölüm sorunun çözülmesine yardımcı olabilir.

6. Özel DNS Bölgesini doğrulama

DNS çözümlemesi önceki bölümde açıklandığı gibi çalışmıyorsa, Özel DNS Bölgenizle ilgili bir sorun olabilir ve bu bölüm yardımcı olabilir. DNS çözümlemesi doğru anahtar kasası özel IP adresini gösteriyorsa, Özel DNS Bölgeniz büyük olasılıkla doğrudur. Bu bölümün tamamını atlayabilirsiniz.

Gerekli Özel DNS Bölgesi kaynağının mevcut olduğunu onaylayın

Azure aboneliğinizin şu tam ada sahip bir Özel DNS Bölgesi kaynağı olmalıdır:

privatelink.vaultcore.azure.net

Portaldaki abonelik sayfasına gidip soldaki menüden "Kaynaklar" seçeneğini belirleyerek bu kaynağın durumunu de kontrol edebilirsiniz. Kaynak adı privatelink.vaultcore.azure.netolmalıdır ve kaynak türü Özel DNS bölge olmalıdır.

Normalde bu kaynak, ortak bir yordam kullanılarak özel uç nokta oluşturduğunuzda otomatik olarak oluşturulur. Ancak bu kaynağın otomatik olarak oluşturulmadığı ve el ile yapmanız gereken durumlar vardır. Bu kaynak da yanlışlıkla silinmiş olabilir.

Bu kaynağınız yoksa aboneliğinizde yeni bir Özel DNS Bölgesi kaynağı oluşturun. Adın boşluk veya ek nokta olmadan tam olarak privatelink.vaultcore.azure.netolması gerektiğini unutmayın. Yanlış ad belirtirseniz, bu makalede açıklanan ad çözümlemesi çalışmaz. Bu kaynağı oluşturma hakkında daha fazla bilgi için bkz . Azure portalını kullanarak Azure özel DNS bölgesi oluşturma. Bu sayfayı izlerseniz, Sanal Ağ oluşturmayı atlayabilirsiniz çünkü bu noktada zaten bir tane olması gerekir. Ayrıca Sanal Makineler ile doğrulama yordamlarını atlayabilirsiniz.

Özel DNS Bölgesinin Sanal Ağ bağlı olduğunu onaylayın

Özel DNS Bölgesi'ne sahip olmak yeterli değildir. Ayrıca Özel Uç Nokta'nın bulunduğu Sanal Ağ de bağlanmalıdır. Özel DNS Bölgesi doğru Sanal Ağ bağlı değilse, bu Sanal Ağ dns çözümlemesi Özel DNS Bölgesini yoksayar.

Özel DNS Bölgesi kaynağını açın ve soldaki menüden Sanal ağ bağlantıları seçeneğine tıklayın. Bu, her biri aboneliğinizdeki bir Sanal Ağ adına sahip bağlantıların listesini gösterir. Özel Uç Nokta kaynağını içeren Sanal Ağ burada listelenmelidir. Yoksa ekleyin. Ayrıntılı adımlar için bkz . Sanal ağı bağlama. "Otomatik kaydı etkinleştir" seçeneğini işaretsiz bırakabilirsiniz; bu özellik özel bağlantılara ilişkin değildir.

Özel DNS Bölgesi Sanal Ağ bağlandıktan sonra, Sanal Ağ gelen DNS istekleri Özel DNS Bölgesi'nde adları arar. Bu, Özel Uç Noktanın oluşturulduğu Sanal Ağ bağlı Sanal Makineler gerçekleştirilen doğru adres çözümlemesi için gereklidir.

Not

Bağlantıyı yeni kaydettiyseniz, Portal işlemin tamam olduğunu söyledikten sonra bile bunun geçerli olması biraz zaman alabilir. DNS çözümlemesini test etmek için kullandığınız VM'yi de yeniden başlatmanız gerekebilir.

Özel DNS Bölgesi'nin doğru A kaydını içerdiğini onaylayın

Portal'ı kullanarak adlı privatelink.vaultcore.azure.netÖzel DNS Bölgesini açın. Genel Bakış sayfasında tüm kayıtlar gösterilir. Varsayılan olarak, adı @ ve türü SOAolan tek bir kayıt vardır ve bu da Yetki Başlangıcı anlamına gelir. Ona dokunma.

Anahtar kasası ad çözümlemesinin çalışması için sonek veya nokta içermeyen basit kasa adına sahip bir A kayıt olması gerekir. Örneğin, ana bilgisayar adı ise fabrikam.vault.azure.net, adında sonek veya nokta olmayan bir A kayıt fabrikamolmalıdır.

Ayrıca, kaydın A değeri (IP adresi) anahtar kasası özel IP adresi olmalıdır. Kaydı bulursanız A ancak yanlış IP adresi içeriyorsa, yanlış IP adresini kaldırmanız ve yeni bir ip adresi eklemeniz gerekir. Kaydın tamamını A kaldırmanız ve yeni bir kayıt eklemeniz önerilir.

Not

Bir A kaydı her kaldırdığınızda veya değiştirdiğinizde, TTL (Yaşam Süresi) değerinin süresi henüz dolmadığından makine eski IP adresine çözümlenebilir. Her zaman 10 saniyeden küçük olmayan ve 600 saniyeden (10 dakika) büyük olmayan bir TTL değeri belirtmeniz önerilir. Çok büyük bir değer belirtirseniz, istemcilerinizin kesintilerden kurtarılması çok uzun sürebilir.

Birden fazla Sanal Ağ için DNS çözümlemesi

Birden çok Sanal Ağ varsa ve her birinin aynı anahtar kasasına başvuran kendi Özel Uç Nokta kaynağı varsa, anahtar kasası ana bilgisayar adının ağa bağlı olarak farklı bir özel IP adresine çözümlenmesi gerekir. Bu, her biri farklı bir Sanal Ağ bağlı ve kayıtta farklı bir IP adresi kullanan birden çok Özel DNS Bölgesi de A gerektiği anlamına gelir.

Daha gelişmiş senaryolarda Sanal Ağ eşleme etkinleştirilebilir. Bu durumda yalnızca bir Sanal Ağ Özel Uç Nokta kaynağına ihtiyacı vardır, ancak her ikisinin de Özel DNS Bölgesi kaynağına bağlanması gerekebilir. Bu senaryo, bu belgenin doğrudan kapsamına alınmamıştır.

DNS çözümlemesi üzerinde denetiminiz olduğunu anlama

Önceki bölümde açıklandığı gibi, özel bağlantıları olan bir anahtar kasasının genel kaydında diğer adı {vaultname}.privatelink.vaultcore.azure.net vardır. Sanal Ağ tarafından kullanılan DNS sunucusu genel kaydı kullanır, ancak özel kayıt için tüm diğer adları denetler ve bulunursa, genel kayıtta tanımlanan diğer adları takip etmeyi durdurur.

Bu mantık, Sanal Ağ adlı privatelink.vaultcore.azure.netbir Özel DNS Bölgesine bağlıysa ve anahtar kasasının genel DNS kaydında diğer ad fabrikam.privatelink.vaultcore.azure.net varsa (anahtar kasası ana bilgisayar adı soneki Özel DNS Bölgesi adıyla tam olarak eşleşiyorsa), DNS sorgusu Özel DNS Bölgesinde adı fabrikam olan bir A kayıt arar. A Kayıt bulunursa, IP adresi DNS sorgusunda döndürülür ve genel DNS kaydında başka arama yapılmaz.

Gördüğünüz gibi ad çözümlemesi sizin denetiminizdedir. Bu tasarımın gerekçeleri şunlardır:

  • Özel DNS sunucuları ve şirket içi ağlarla tümleştirme içeren karmaşık bir senaryonuz olabilir. Bu durumda, adların IP adreslerine nasıl çevrildiğini denetlemeniz gerekir.
  • Özel bağlantılar olmadan bir anahtar kasasına erişmeniz gerekebilir. Bu durumda, Sanal Ağ ana bilgisayar adını çözümlemek genel IP adresini döndürmelidir ve özel bağlantıları olmayan anahtar kasalarında ad kaydında diğer ad bulunmadığından privatelink bu durum ortaya çıkar.

Anahtar kasasının /healthstatus uç noktasını sorgulama

Anahtar kasanız tanılama için kullanılabilecek uç noktayı sağlar /healthstatus . Yanıt üst bilgileri, anahtar kasası hizmeti tarafından görüldüğü gibi kaynak IP adresini içerir. Bu uç noktayı aşağıdaki komutla çağırabilirsiniz (anahtar kasası konak adınızı kullanmayı unutmayın):

Windows (PowerShell):

PS C:\> $(Invoke-WebRequest -UseBasicParsing -Uri https://fabrikam.vault.azure.net/healthstatus).Headers

Key                           Value
---                           -----
Pragma                        no-cache
x-ms-request-id               3729ddde-eb6d-4060-af2b-aac08661d2ec
x-ms-keyvault-service-version 1.2.27.0
x-ms-keyvault-network-info    addr=10.4.5.6;act_addr_fam=InterNetworkV6;
Strict-Transport-Security     max-age=31536000;includeSubDomains
Content-Length                4
Cache-Control                 no-cache
Content-Type                  application/json; charset=utf-8

Linux veya Windows 10'un curliçeren son sürümü:

joe@MyUbuntu:~$ curl -i https://fabrikam.vault.azure.net/healthstatus

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Type: application/json; charset=utf-8
x-ms-request-id: 6c090c46-0a1c-48ab-b740-3442ce17e75e
x-ms-keyvault-service-version: 1.2.27.0
x-ms-keyvault-network-info: addr=10.4.5.6;act_addr_fam=InterNetworkV6;
Strict-Transport-Security: max-age=31536000;includeSubDomains
Content-Length: 4

Buna benzer bir çıkış almıyorsanız veya ağ hatası alıyorsanız, anahtar kasanıza belirttiğiniz ana bilgisayar adıyla (fabrikam.vault.azure.net örnekte) erişilemiyor demektir. Konak adı doğru IP adresine çözümlenmiyor veya aktarım katmanında bağlantı sorununuz var. Bunun nedeni yönlendirme sorunları, paket bırakmaları ve diğer nedenler olabilir. Daha fazla araştırma yapmak zorundasın.

Yanıt üst bilgisini x-ms-keyvault-network-infoiçermelidir:

x-ms-keyvault-network-info: addr=10.4.5.6;act_addr_fam=InterNetworkV6;

Üst addr bilgideki x-ms-keyvault-network-info alan, isteğin kaynağının IP adresini gösterir. Bu IP adresi aşağıdakilerden biri olabilir:

  • İsteği yapan makinenin özel IP adresi. Bu, isteğin özel bağlantılar veya hizmet uç noktaları kullandığını gösterir. Özel bağlantılar için beklenen sonuç budur.
  • başka bir özel IP adresi, isteği yapan makineden değil . Bu, bazı özel yönlendirmelerin etkili olduğunu gösterir. Yine de isteğin özel bağlantılar veya hizmet uç noktaları kullandığını gösterir.
  • Bazı genel IP adresleri. Bu, isteğin bir ağ geçidi (NAT) cihazı üzerinden İnternet'e yönlendirildiğini gösterir. Bu, isteğin özel bağlantılar kullanmadığını ve bazı sorunun düzeltilmesi gerektiğini gösterir. Bunun yaygın nedenleri şunlardır: 1) özel uç nokta onaylı ve başarılı durumda değil; ve 2) ana bilgisayar adı anahtar kasasının özel IP adresine çözümlenmiyor. Bu makale, her iki durum için de sorun giderme eylemlerini içerir.

Not

İsteğin /healthstatus çalışması, ancak x-ms-keyvault-network-info üst bilgi eksikse, uç nokta büyük olasılıkla anahtar kasası tarafından sunulmaz. Yukarıdaki komutlar HTTPS sertifikasını da doğruladığından, eksik üst bilgi kurcalama işareti olabilir.

Anahtar kasası IP adresini doğrudan sorgulama

Önemli

HTTPS sertifika doğrulaması olmadan anahtar kasasına erişmek tehlikelidir ve yalnızca öğrenme amacıyla kullanılabilir. Üretim kodu, bu istemci tarafı doğrulaması olmadan anahtar kasasına ASLA erişmemelidir. Yalnızca sorunları tanılasanız bile, anahtar kasasına yönelik isteklerinizde HTTPS sertifika doğrulamasını sık sık devre dışı bırakırsanız ortaya çıkarılmayan kurcalama girişimlerine maruz kalabilirsiniz.

PowerShell'in son sürümünü yüklediyseniz, HTTPS sertifika denetimlerini atlamak için kullanabilirsiniz-SkipCertificateCheck, ardından anahtar kasası IP adresini doğrudan hedefleyebilirsiniz:

PS C:\> $(Invoke-WebRequest -SkipCertificateCheck -Uri https://10.1.2.3/healthstatus).Headers

kullanıyorsanız curl, bağımsız değişkeninde -k de aynısını yapabilirsiniz:

joe@MyUbuntu:~$ curl -i -k https://10.1.2.3/healthstatus

Yanıtlar önceki bölümle aynı olmalıdır; bu da üst bilgiyi aynı değere sahip x-ms-keyvault-network-info olması gerektiği anlamına gelir. /healthstatus Uç nokta, anahtar kasası ana bilgisayar adını veya IP adresini kullanıp kullanmadığınızla ilgilenmez.

Anahtar kasası ana bilgisayar adını kullanarak istek için bir değer ve IP adresini kullanan istek için başka bir değer döndüren bir değer görürseniz x-ms-keyvault-network-info , her istek farklı bir uç noktayı hedefler. Hangi durumun yanlış olduğuna ve düzeltilmesi gerektiğine karar vermek için önceki bölümde yer alan alanın x-ms-keyvault-network-info açıklamasına addr bakın.

8. Etkiye neden olan diğer değişiklikler ve özelleştirmeler

Aşağıdaki öğeler kapsamlı olmayan araştırma eylemleridir. Ek sorunları nerede arayabileceğinizi size söyleyeceklerdir, ancak bu senaryolardaki sorunları çözmek için gelişmiş ağ bilgisine sahip olmanız gerekir.

Sanal Ağ'de özel DNS sunucularını tanılama

Portalda Sanal Ağ kaynağını açın. Sol menüde DNS sunucularını açın. "Özel" kullanıyorsanız, DNS çözümlemesi bu belgede açıklandığı gibi olmayabilir. DNS sunucularınızın anahtar kasası ana bilgisayar adını nasıl çözümlediğinize ilişkin tanılamanız gerekir.

Azure tarafından sağlanan varsayılan DNS sunucularını kullanıyorsanız, bu belgenin tamamı geçerlidir.

Sanal Makinede geçersiz kılınan konakları veya özel DNS sunucularını tanılama

Birçok işletim sistemi, genellikle dosyayı değiştirerek ana bilgisayar adı başına açık bir sabit IP adresi ayarlamaya hosts izin verir. Ayrıca DNS sunucularının geçersiz kılınmasına da izin verebilirler. Bu senaryolardan birini kullanıyorsanız sisteme özgü tanılama seçenekleriyle devam edin.

Promiscuous proxy'ler (Fiddler vb.)

Açıkça belirtilmedikleri dışında, bu makaledeki tanılama seçenekleri yalnızca ortamda rastgele proxy yoksa çalışır. Bu proxy'ler genellikle yalnızca tanılanan makineye yüklenir (en yaygın örnek Fiddler'dır), ancak gelişmiş yöneticiler kök Sertifika Yetkilileri'nin (CA' lar) üzerine yazabilir ve ağda birden çok makineye hizmet veren ağ geçidi cihazlarına rastgele bir ara sunucu yükleyebilir. Bu proxy'ler hem güvenliği hem de güvenilirliği önemli ölçüde etkileyebilir. Microsoft, bu tür ürünleri kullanan yapılandırmaları desteklemez.

Bağlantıyı etkileyebilecek diğer şeyler

Bu, gelişmiş veya karmaşık senaryolarda bulunabilecek öğelerin kapsamlı olmayan bir listesidir:

  • Sanal Ağ bağlı Azure Güvenlik Duvarı ya da Sanal Ağ veya makinede dağıtılan özel bir güvenlik duvarı çözümü olan güvenlik duvarı ayarları.
  • Ağ eşlemesi, hangi DNS sunucularının kullanıldığını ve trafiğin nasıl yönlendirileceğini etkileyebilir.
  • DNS sorgularından gelen trafik de dahil olmak üzere trafiğin nasıl yönlendirileceğini etkileyebilecek özel ağ geçidi (NAT) çözümleri.