Mengonfigurasi kelompok keamanan aplikasi dengan titik akhir privat

Titik akhir privat Azure Private Link mendukung kelompok keamanan aplikasi (ASG) untuk keamanan jaringan. Anda dapat mengaitkan titik akhir privat dengan ASG yang ada di infrastruktur Anda saat ini bersama komputer virtual dan sumber daya jaringan lainnya.

Prasyarat

• Akun Azure dengan langganan aktif. Jika Anda belum memiliki akun Azure, buat akun secara gratis.

• Aplikasi web Azure dengan tingkat Premium V2 atau paket layanan aplikasi yang lebih tinggi yang disebarkan di langganan Azure Anda.

  • Untuk informasi selengkapnya dan contohnya, lihat Mulai Cepat: Membuat aplikasi web ASP.NET Core di Azure.
  • Contoh aplikasi web dalam artikel ini bernama myWebApp1979. Ganti contoh dengan nama aplikasi web Anda.

• ASG yang sudah ada di langganan Anda. Untuk informasi selengkapnya tentang ASG, lihat Kelompok keamanan aplikasi.

  • Contoh ASG yang digunakan dalam artikel ini bernama myASG. Ganti contoh dengan kelompok keamanan aplikasi Anda.

• Jaringan virtual dan subnet Azure yang sudah ada di langganan Anda. Untuk mempelajari selengkapnya tentang cara membuat jaringan virtual, lihat Mulai Cepat: Membuat jaringan virtual menggunakan portal Microsoft Azure.

  • Contoh jaringan virtual yang digunakan dalam artikel ini bernama myVNet. Ganti contoh dengan nama jaringan virtual Anda.

• Azure CLI versi terbaru, telah terinstal.

  • Periksa versi Azure CLI Anda di terminal atau jendela perintah dengan menjalankan az --version. Untuk versi terbaru, lihat catatan rilis terbaru.
  • Jika Anda tidak memiliki versi terbaru Azure CLI, perbarui penginstalan Anda dengan mengikuti panduan penginstalan sistem operasi atau platform Anda.

Jika Anda memilih untuk menginstal dan menggunakan PowerShell secara lokal, artikel ini memerlukan modul Azure PowerShell versi 5.4.1 atau yang lebih baru. Untuk menemukan versi yang terinstal, jalankan Get-Module -ListAvailable Az. Jika Anda perlu peningkatan, lihat Memasang modul Azure PowerShell. Jika Anda menjalankan PowerShell secara lokal, Anda juga harus menjalankan Connect-AzAccount untuk membuat koneksi dengan Azure.

Membuat titik akhir privat dengan ASG

Anda dapat mengaitkan ASG dengan titik akhir privat saat dibuat. Prosedur berikut menunjukkan cara mengaitkan ASG dengan titik akhir privat saat dibuat.

Portal

1. Masuk ke portal Azure.

2. Pada kotak pencarian di bagian atas portal, masukkan Titik akhir privat. Pilih Titik akhir privat di hasil pencarian.

3. Pilih + Buat di Titik akhir privat.

4. Pada tab Dasar dari Buat titik akhir privat, masukkan atau pilih informasi berikut ini:

   Value	Pengaturan
   Detail proyek
   Langganan	Pilih langganan Anda.
   Grup sumber daya	Pilih grup sumber daya Anda. Dalam contoh ini, ini adalah myResourceGroup.
   Detail instans
   Nama	Masukkan myPrivateEndpoint.
   Wilayah	Pilih AS Timur.

5. Pilih tombol Berikutnya: Sumber Daya di bagian bawah halaman.

6. Pada tab Sumber Daya , masukkan atau pilih informasi berikut ini:

   Value	Pengaturan
   Metode koneksi	Pilih Sambungkan ke sumber daya Azure di direktori saya.
   Langganan	Pilih langganan Anda.
   Jenis Sumber Daya	Pilih Microsoft.Web/situs.
   Sumber Daya	Pilih mywebapp1979.
   Subresource target	Pilih situs.

7. Pilih Berikutnya: Virtual Network di bagian bawah halaman.

8. Pada tab Virtual Network , masukkan atau pilih informasi berikut:

   Value	Pengaturan
   Jaringan
   Jaringan virtual	Pilih myVNet.
   Subnet	Pilih subnet Anda. Dalam contoh ini, yaitu myVNet/myBackendSubnet(10.0.0.0/24).
   Aktifkan kebijakan jaringan untuk semua titik akhir privat di subnet ini.	Biarkan default dipilih.
   Kelompok keamanan aplikasi
   Kelompok keamanan aplikasi	Pilih myASG.

   

9. Pilih Berikutnya: DNS di bagian bawah halaman.

10. Pilih Berikutnya: Tag di bagian bawah laman.

11. Pilih Berikutnya: Tinjau + buat.

12. Pilih Buat.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Mengaitkan ASG dengan titik akhir privat yang ada

Anda dapat mengaitkan ASG dengan titik akhir privat yang ada. Prosedur berikut menunjukkan cara mengaitkan ASG dengan titik akhir privat yang ada.

Penting

Anda harus memiliki titik akhir privat yang disebarkan sebelumnya untuk melanjutkan langkah-langkah dalam artikel ini. Contoh titik akhir yang digunakan di bagian ini bernama myPrivateEndpoint. Ganti contoh dengan titik akhir privat Anda.

Portal

1. Masuk ke portal Azure.

2. Pada kotak pencarian di bagian atas portal, masukkan Titik akhir privat. Pilih Titik akhir privat di hasil pencarian.

3. Di Titik akhir privat, pilih myPrivateEndpoint.

4. Di myPrivateEndpoint, pada Pengaturan, pilih Kelompok keamanan aplikasi.

5. Di Grup keamanan aplikasi, pilih myASG di kotak dropdown.

   

6. Pilih Simpan.

PowerShell

Mengaitkan ASG dengan titik akhir privat yang ada dengan Azure PowerShell saat ini tidak didukung.

CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Langkah berikutnya

Untuk informasi selengkapnya tentang Azure Private Link, lihat:

• Apa itu Azure Private Link?