Menggunakan Azure Private Link untuk menyambungkan jaringan dengan aman ke Azure Automation

  • Artikel

Azure Private Endpoint adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, yang membawa layanan Otomatisasi ke VNet Anda secara efektif. Lalu lintas jaringan antara mesin di VNet dan akun Otomatisasi melintasi VNet dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan dari internet publik.

Misalnya, Anda memiliki VNet di mana Anda telah menonaktifkan akses internet keluar. Namun, Anda ingin mengakses akun Otomatisasi Anda secara pribadi dan menggunakan fitur Otomatisasi seperti Webhooks, Konfigurasi Status, dan pekerjaan runbook di Hybrid Runbook Workers. Selain itu, Anda ingin pengguna memiliki akses ke akun Otomatisasi hanya melalui VNET. Menyebarkan titik akhir privat mencapai tujuan ini.

Artikel ini membahas kapan harus digunakan dan cara menyiapkan titik akhir privat dengan akun Otomatisasi Anda.

Conceptual overview of Private Link for Azure Automation

Catatan

Dukungan Private Link dengan Azure Automation hanya tersedia di cloud Azure Commercial dan Azure US Government.

Kelebihan

Dengan Private Link Anda dapat:

  • Menyambungkan secara pribadi ke Azure Automation tanpa membuka akses jaringan publik apa pun.

  • Menyambungkan secara pribadi ke ruang kerja Azure Monitor Log Analytics tanpa membuka akses jaringan publik apa pun.

    Catatan

    Titik akhir privat terpisah untuk ruang kerja Analitik Log Diperlukan jika akun Otomatisasi Anda ditautkan ke ruang kerja Analitik Log untuk meneruskan data pekerjaan, dan saat Anda telah mengaktifkan fitur seperti Manajemen Pembaruan, Pelacakan Perubahan dan Inventaris, Konfigurasi Status, atau VM Mulai/Berhenti selama solusi di luar jam kerja. Untuk informasi selengkapnya tentang Private Link untuk Azure Monitor, lihat Menggunakan Azure Private Link untuk menyambungkan jaringan dengan aman ke Azure Monitor.

  • Pastikan data Otomatisasi Anda hanya diakses melalui jaringan pribadi resmi.

  • Cegah eksfiltrasi data dari jaringan pribadi Anda dengan menentukan sumber daya Azure Automation yang tersambung melalui titik akhir privat Anda.

  • Sambungkan jaringan pribadi Anda dengan aman ke Azure Automation menggunakan ExpressRoute dan Private Link.

  • Simpan semua lalu lintas di dalam jaringan backbone Microsoft Azure.

Untuk informasi selengkapnya, lihat Manfaat Utama Private Link.

Pembatasan

  • Dalam implementasi Private Link saat ini, pekerjaan cloud akun Otomatisasi tidak dapat mengakses sumber daya Azure yang diamankan menggunakan titik akhir privat. Misalnya, Azure Key Vault, Azure SQL, akun Azure Storage, dll. Untuk solusi masalah ini, gunakan Runbook Hybrid Worker sebagai gantinya. Oleh karena itu, VM lokal didukung untuk menjalankan Hybrid Runbook Workers terhadap Akun Automation dengan Private Link diaktifkan.
  • Anda harus menggunakan versi terbaru agen Analitik Log untuk Windows atau Linux.
  • Gateway Analitik Log tidak mendukung Private Link.
  • Pemberitahuan Azure (metrik, log, dan log aktivitas) tidak dapat digunakan untuk memicu webhook Automation saat akun Automation dikonfigurasi dengan Akses publik diatur ke Nonaktifkan.

Cara kerjanya

Azure Automation Private Link menghubungkan satu atau beberapa titik akhir privat (dan jaringan virtual tempat mereka dimuat) ke sumber daya Akun Otomatisasi Anda. Titik akhir adalah mesin yang menggunakan webhook untuk memulai runbook, mesin yang menghosting peran Hybrid Runbook Worker, dan node Konfigurasi Status yang Diinginkan (DSC).

Setelah Anda membuat titik akhir privat untuk Otomatisasi, masing-masing URL Otomatisasi publik yang menghadap, dipetakan ke satu titik akhir privat di VNet Anda. Anda atau mesin dapat langsung menghubungi URL Otomatisasi.

Skenario webhook

Anda dapat memulai runbook dengan melakukan POST di URL webhook. Misalnya, URL terlihat seperti: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Skenario Hybrid Runbook Worker

Fitur Hybrid Runbook Worker pengguna Azure Automation memungkinkan Anda menjalankan runbook langsung di komputer Azure atau non-Azure, termasuk server yang terdaftar di server dengan dukungan Azure Arc. Dari mesin atau server yang meng-host peran, Anda dapat menjalankan runbook langsung di atasnya dan melawan sumber daya di lingkungan untuk mengelola sumber daya lokal tersebut.

Titik akhir JRDS digunakan oleh pekerja hibrid untuk memulai/menghentikan runbook, mengunduh runbook ke pekerja, dan untuk mengirim aliran log pekerjaan kembali ke layanan Automation. Setelah mengaktifkan titik akhir JRDS, URL akan terlihat seperti ini: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net. Ini akan memastikan eksekusi runbook pada pekerja hibrid yang terhubung ke Azure Virtual Network dapat menjalankan pekerjaan tanpa perlu membuka koneksi keluar ke Internet.

Catatan

Dengan implementasi Private Links for Azure Automation saat ini, hanya mendukung pekerjaan yang berjalan di Hybrid Runbook Worker yang terhubung dengan jaringan virtual Azure dan tidak mendukung pekerjaan cloud.

Skenario Hybrid Worker untuk Manajemen Pembaruan

Hybrid Runbook Worker sistem mendukung serangkaian runbook tersembunyi yang digunakan oleh fitur Manajemen Pembaruan yang dirancang untuk menginstal pembaruan yang ditentukan pengguna pada mesin Windows dan Linux. Saat Azure Automation Update Management diaktifkan, komputer apa pun yang terhubung ke ruang kerja Log Analytics Anda secara otomatis dikonfigurasi sebagai Hybrid Runbook Worker sistem.

Untuk memahami & mengonfigurasi tinjauan Manajemen Pembaruan Tentang Manajemen Pembaruan. Fitur Manajemen Pembaruan memiliki dependensi pada ruang kerja Analitik Log, dan karenanya memerlukan penautan ruang kerja dengan akun Otomatisasi. Ruang kerja Analitik Log menyimpan data yang dikumpulkan oleh solusi, dan menghosting pencarian dan tampilan lognya.

Jika Anda ingin mesin Anda dikonfigurasi untuk manajemen Pembaruan agar terhubung dengan ruang kerja Otomatisasi & Analitik Log dengan cara yang aman melalui saluran Private Link, Anda harus mengaktifkan Private Link untuk ruang kerja Analitik Log yang ditautkan ke Akun Otomatisasi yang dikonfigurasi dengan Private Link.

Anda dapat mengontrol bagaimana ruang kerja Analitik Log dapat dicapai dari luar lingkup Private Link dengan mengikuti langkah-langkah yang dijelaskan dalam Mengonfigurasi Analitik Log. Jika Anda mengatur Izinkan akses jaringan publik untuk konsumsi ke Tidak, maka mesin di luar lingkup yang terhubung tidak dapat mengunggah data ke ruang kerja ini. Jika Anda mengatur Izinkan akses jaringan publik untuk kueri ke Tidak, maka mesin di luar lingkup tidak dapat mengakses data di ruang kerja ini.

Gunakan sub-sumber daya target DSCAndHybridWorker untuk mengaktifkan Private Link bagi pekerja hibrid pengguna & sistem.

Catatan

Mesin yang di-host di luar Azure yang dikelola oleh Manajemen Pembaruan dan terhubung ke Azure VNet melalui peering pribadi ExpressRoute, terowongan VPN, dan jaringan virtual yang di-peer menggunakan titik akhir privat mendukung Private Link.

Skenario Konfigurasi Status (agentsvc)

Konfigurasi Status memberi Anda layanan manajemen konfigurasi Azure yang memungkinkan Anda menulis, mengelola, dan mengompilasi konfigurasi pada Konfigurasi Status Yang Diinginkan PowerShell (DSC) untuk node di pusat data cloud atau lokal mana pun.

Agen pada mesin mendaftar dengan layanan DSC lalu menggunakan titik akhir layanan untuk menarik konfigurasi DSC. Titik akhir layanan agen akan terlihat seperti: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

URL untuk titik akhir publik & privat akan sama, namun akan dipetakan ke alamat IP pribadi saat Private Link diaktifkan.

Merencanakan berdasarkan jaringan Anda

Sebelum menyiapkan sumber daya akun Otomatisasi Anda, pertimbangkan persyaratan isolasi jaringan Anda. Mengevaluasi akses jaringan virtual Anda ke internet publik, dan pembatasan akses ke akun Otomatisasi Anda (termasuk menyiapkan Lingkup Grup Private Link ke Log Monitor Azure jika terintegrasi dengan akun Otomatisasi Anda). Sertakan juga tinjauan catatan DNS layanan Otomatisasi sebagai bagian dari rencana Anda untuk memastikan fitur yang didukung berfungsi tanpa masalah.

Menyambungkan ke titik akhir privat

Ikuti langkah-langkah di bawah ini untuk membuat titik akhir privat untuk akun Automation Anda.

  1. Buka pusat Private Link di portal Azure untuk membuat titik akhir privat untuk menyambungkan jaringan kami.

  2. Pada Private Link Center, pilih Buat titik akhir privat.

    Screenshot of how to create a private endpoint.

  3. Pada Dasar-Dasar, masukkan detail berikut:

    • Langganan
    • Grup sumber daya
    • Nama
    • Nama Antarmuka Jaringan
    • Wilayah dan pilih Berikutnya: Sumber Daya.

    Screenshot of how to create a private endpoint in Basics tab.

  4. Pada Sumber Daya, masukkan detail berikut:

    • metode Koneksi ion, pilih opsi default - Koneksi ke sumber daya Azure di direktori saya.
    • Langganan
    • Jenis Sumber Daya
    • Sumber daya.
    • Sub-sumber daya Target dapat berupa Webhook atau DSCAndHybridWorker sesuai skenario Anda dan pilih Berikutnya : Virtual Network.

    Screenshot of how to create a private endpoint in Resource tab.

  5. Di Virtual Network, masukkan detail berikut:

    • Jaringan virtual
    • Subnet
    • Aktifkan kotak centang untuk Mengaktifkan kebijakan jaringan untuk semua titik akhir privat di subnet ini.
    • Pilih Alokasikan alamat IP secara dinamis dan pilih Berikutnya : DNS.

    Screenshot of how to create a private endpoint in Virtual network tab.

  6. Pada DNS, data diisi sesuai informasi yang dimasukkan di tab Dasar, Sumber Daya, Jaringan Virtual dan membuat zona DNS Privat. Masukkan rincian berikut:

    • Integrasikan dengan Zona DNS privat
    • Langganan
    • Grup sumber daya dan pilih Berikutnya : Tag

    Screenshot of how to create a private endpoint in DNS tab.

  7. Pada Tag, Anda dapat mengategorikan sumber daya. Pilih Nama dan Nilai dan pilih Tinjau + buat.

Anda dibawa ke halaman Tinjau + buat di mana Azure memvalidasi konfigurasi Anda. Setelah perubahan Anda pada Akses Jaringan publik dan Private Link diterapkan, diperlukan waktu hingga 35 menit agar perubahan diterapkan.

Pada Pusat Private Link, pilih Titik akhir privat untuk melihat sumber daya tautan privat Anda.

Screenshot Automation resource private link.

Pilih sumber daya untuk melihat semua detail. Ini membuat titik akhir privat baru untuk akun Otomatisasi Anda dan menetapkannya IP pribadi dari jaringan virtual Anda. Status Koneksi ditampilkan sebagai disetujui.

Demikian pula, nama domain unik yang sepenuhnya memenuhi syarat (FQDN) dibuat untuk Konfigurasi Status (agentsvc) dan untuk runtime pekerjaan Hybrid Runbook Worker (jrds). Masing-masing nama domain diberi IP terpisah dari VNet Anda dan status Koneksi ditampilkan sebagai disetujui.

Jika konsumen layanan memiliki izin Azure RBAC pada sumber daya Otomatisasi, mereka dapat memilih metode persetujuan otomatis. Dalam hal ini, ketika permintaan mencapai sumber daya penyedia Otomatisasi, tidak ada tindakan yang diperlukan dari penyedia layanan dan koneksi secara otomatis disetujui.

Atur bendera akses jaringan publik

Anda dapat mengonfigurasi akun Otomatisasi untuk menolak semua konfigurasi publik dan hanya mengizinkan koneksi melalui titik akhir privat untuk lebih meningkatkan keamanan jaringan. Jika Anda ingin membatasi akses ke akun Otomatisasi hanya di dalam VNet dan tidak mengizinkan akses dari internet publik, Anda dapat mengatur publicNetworkAccessproperti menjadi $false.

Saat pengaturan Akses Jaringan Publik diatur ke $false, hanya koneksi melalui titik akhir privat yang diizinkan dan semua koneksi melalui titik akhir publik ditolak dengan pesan kesalahan yang tidak sah dan status HTTP 401.

Skrip PowerShell berikut ini menunjukkan cara Get dan Set properti Akses Jaringan Publik di tingkat akun Otomatisasi:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false -Force
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

Anda juga dapat mengontrol properti akses jaringan publik dari portal Azure. Dari Akun Otomatisasi Anda, pilih Isolasi Jaringan dari panel sebelah kiri di bawah bagian Pengaturan Akun. Ketika pengaturan Akses Jaringan Publik diatur ke Tidak, hanya koneksi melalui titik akhir privat yang diizinkan dan semua koneksi melalui titik akhir publik ditolak.

Public Network Access setting

Konfigurasi DNS

Saat menyambungkan ke sumber daya tautan privat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) sebagai bagian dari string koneksi, penting untuk mengonfigurasi pengaturan DNS Anda dengan benar untuk mengatasi alamat IP pribadi yang dialokasikan. Layanan Azure yang sudah ada mungkin sudah memiliki konfigurasi DNS yang digunakan saat menyambungkan melalui titik akhir publik. Konfigurasi DNS Anda harus ditinjau dan diperbarui untuk disambungkan menggunakan titik akhir privat Anda.

Antarmuka jaringan yang terkait dengan titik akhir privat berisi sekumpulan informasi lengkap yang diperlukan untuk mengonfigurasi DNS Anda, termasuk FQDN dan alamat IP pribadi yang dialokasikan untuk sumber daya tautan privat tertentu.

Anda bisa menggunakan opsi berikut untuk mengonfigurasi pengaturan DNS Anda untuk titik akhir privat:

  • Gunakan file host (hanya disarankan bagi pengujian) . Anda dapat menggunakan file host pada komputer virtual guna menimpa menggunakan DNS untuk resolusi nama terlebih dahulu. Entri DNS Ana akan terlihat seperti contoh berikut: privatelinkFQDN.jrds.sea.azure-automation.net.

  • Gunakan zona DNS privat. Anda bisa menggunakan zona DNS privat untuk menimpa resolusi DNS untuk titik akhir privat tertentu. Zona DNS privat dapat ditautkan ke jaringan virtual Anda untuk mengatasi domain tertentu. Untuk mengaktifkan agen di komputer virtual Anda untuk berkomunikasi melalui titik akhir privat, buat catatan DNS Privat sebagai privatelink.azure-automation.net. Tambahkan pemetaan catatan DNS A baru ke IP titik akhir privat.

  • Gunakan penerus DNS Anda (opsional) . Anda bisa menggunakan penerus DNS Anda untuk menimpa resolusi DNS untuk sumber daya tautan privat tertentu. Jika server DNS Anda di-host di jaringan virtual, Anda bisa membuat aturan penerusan DNS untuk menggunakan zona DNS privat guna menyederhanakan konfigurasi untuk semua sumber daya tautan privat.

Untuk informasi selengkapnya, lihat Konfigurasi DNS Azure Private Endpoint.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang Titik Akhir Privat, lihat Apa itu Titik Akhir Privat Azure?.