Mit Azure Private Link wurde eine lang ersehnte und von vielen unserer Kunden angefragte Funktionalität verfügbar. Sie erlaubt es, ausgewählte Azure PaaS Services mit einer privaten IP Adresse zu nutzen. Seit Mitte Juni 2020 hat der Service den Vorschaustatus verlassen und ist allgemein verfügbar. Wir geben Ihnen interessante Einblicke und zeigen die Einrichtung eines Private Links in Azure Files an einem konkreten Beispiel.

Was ist Azure Private Link?

Dank Azure Private Link können Sie ausgewählte Azure PaaS Services (beispielsweise Azure Storage und SQL Database) mit einer privaten IP-Adresse nutzen. Ein großer Vorteil dieses Services ist, dass der Traffic nicht über das Internet geroutet wird sondern im eigenen, privaten Netzwerk verbleiben kann. Somit sind keine Firewall Freischaltungen nach extern notwendig, um z.B. SMB oder MS SQL in Richtung Internet zu routen und zuzulassen.

Eine Eingrenzung auf private Netzwerke beim Zugriff auf ausgewählte Azure PaaS Services war zwar bereits in der Vergangenheit mit Azure Service Endpoints möglich, jedoch erfolgte der Zugriff weiterhin über die jeweils öffentliche IP Adresse des Azure PaaS Services. Hier erhalten Sie einen Überblick zu den PaaS Services, welche den Azure Private Link aktuell unterstützen.

Praxisbeispiel: Einrichtung eines Azure Private Links in Azure Files

In diesem Beispiel zeigen wir die Einrichtung eines Azure Private Links in Azure Files und wie es mit einem lokalen DNS Service (AD DS) genutzt werden kann. Unser Beispiel beschreibt einen sicherlich oft benötigten UseCase: Die Nutzung eines privaten File Services ohne die Notwendigkeit eines File Servers.

Voraussetzungen und Eigenschaften der Testumgebung
Einrichten des privaten Endpunkts in einem Storage Konto
  • Fügen Sie einen neuen Endpunkt in Ihrem Storage Konto unter “Private Endpunktverbindungen” hinzu.
  • Geben Sie in den Grundeinstellungen neben den üblichen Parametern wie Subscription und Ressourcengruppe, den Namen des Endpunkts und dessen Region ein. Die Region des Endpunkts muss dieselbe sein wie die des anzubindenden VNet’s.
  • Wählen Sie als Ressource den Storage Account und als untergeordnete Ressource “file” aus.
  • Wählen Sie im Konfiguration-Tab das gewünschte VNet aus und aktivieren Sie die DNS Integration mit “Ja”.
  • Gehen Sie anschließend zu Schritt 5 “Überprüfen + erstellen”.
  • Zum Schluss deaktivieren Sie den öffentlichen Zugriff auf das Storage Konto, indem Sie unter “Firewalls und virtuelle Netzwerke” die Option “Ausgewählte Netzwerke” auswählen und speichern.

Fertig: Azure-seitig ist die Konfiguration abgeschlossen.

 
Konfiguration von DNS

Versucht man nun von einem Computer innerhalb des VNetzwerks auf das Fileshare zuzugreifen, ergibt sich voraussichtlich ein Zugriffsfehler. Grund dafür sind die noch fehlenden Anpassungen am DNS. Im aktuellen Konfigurationsstand wird noch der öffentliche Endpunkt aufgelöst und nicht der eben konfigurierte, private Endpunkt. Im gezeigten Beispiel wurde eine private Azure DNS Zone eingerichtet. Nun muss für diese eine Weiterleitung von dem internen DNS Server eingerichtet werden. Da AD DS zum Einsatz kommt, öffnen Sie die DNS Konsole auf dem Server, um eine “Bedingte Weiterleitung” einzurichten. Das Ergebnis ist im Screenshot zu sehen.

Der private Zugriff per Azure Private Link ist fertig und konnte innerhalb weniger Schritte funktional eingerichtet werden. 

Was folgt nun?

Nach dem privaten Netzwerkzugriff und dem Backup von Azure Files, fehlt also nur noch die passende Authentifizierung per AD DS. Ein mögliches Backup von Azure Files finden Sie in diesem Blogbeitrag. Seien Sie gespannt auf einen weiteren Beitrag zum Thema “Einrichtung der Authentifizierung für Azure Files per AD DS” und abonnieren Sie unseren Newsletter für monatliche Updates!

Sie möchten von unserer Expertise im Bereich Azure profitieren? Nehmen Sie Kontakt auf!