Edit

Bagikan melalui

Skenario wilayah tunggal - Private Link dan DNS di Azure Virtual WAN

Azure Private Link
Azure DNS
Azure Firewall
Azure Virtual WAN

Artikel ini memperlihatkan cara mengekspos sumber daya PaaS melalui titik akhir privat ke beban kerja tertentu dalam satu wilayah. Dalam skenario, topologi jaringan adalah hub-spoke, dan hub adalah hub Azure Virtual WAN.

Penting

Artikel ini adalah bagian dari seri di Azure Private Link dan Azure DNS di Virtual WAN dan dibangun pada topologi jaringan yang ditentukan dalam panduan skenario. Baca halaman gambaran umum terlebih dahulu untuk memahami arsitektur jaringan dasar dan tantangan utama.

Skenario

Diagram memperlihatkan arsitektur wilayah tunggal.

Gambar 1: Skenario wilayah tunggal untuk Virtual WAN dengan Private Link dan Azure DNS - tantangannya

Unduh file Visio arsitektur ini. Bagian ini mendefinisikan skenario dan mendefinisikan ulang tantangan untuk skenario ini (tantangannya sama dengan contoh nonworking di halaman gambaran umum). Arsitektur skenario awal dibangun pada topologi jaringan awal yang ditentukan dalam panduan gambaran umum. Berikut ini adalah penambahan dan perubahan:

  • Hanya ada satu wilayah dengan satu hub virtual.
  • Ada akun Azure Storage di wilayah yang menonaktifkan akses jaringan publik. Asumsi dalam skenario ini adalah bahwa hanya satu beban kerja yang mengakses akun penyimpanan.
  • Awalnya ada satu jaringan virtual yang terhubung ke hub virtual.
  • Jaringan virtual memiliki subnet beban kerja yang berisi klien komputer virtual (VM).
  • Jaringan virtual berisi subnet titik akhir privat yang berisi titik akhir privat untuk akun penyimpanan.

Hasil yang berhasil

Klien Azure Virtual Machine dapat terhubung ke akun Azure Storage melalui titik akhir privat akun penyimpanan yang berada di jaringan virtual yang sama, dan semua akses lain ke akun penyimpanan diblokir.

Halangan

Anda memerlukan catatan DNS dalam alur DNS yang dapat menyelesaikan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari akun penyimpanan kembali ke alamat IP privat titik akhir privat. Seperti yang diidentifikasi dalam gambaran umum, tantangan dengan skenario adalah dua kali lipat:

  1. Tidak dimungkinkan untuk menautkan zona DNS privat yang mempertahankan akun penyimpanan yang diperlukan catatan DNS ke hub virtual.
  2. Anda dapat menautkan zona DNS privat ke jaringan beban kerja, sehingga Anda mungkin berpikir itu akan berhasil. Sayangnya, arsitektur garis besar menetapkan bahwa setiap jaringan virtual yang terhubung memiliki server DNS yang dikonfigurasi untuk menunjuk untuk menggunakan proksi DNS Azure Firewall.

Karena Anda tidak dapat menautkan zona DNS privat ke hub virtual, dan jaringan virtual dikonfigurasi untuk menggunakan proksi DNS Azure Firewall, server Azure DNS tidak memiliki mekanisme apa pun untuk menyelesaikan (FQDN) akun penyimpanan ke alamat IP privat titik akhir privat. Hasilnya adalah klien menerima respons DNS yang salah.

Alur DNS dan HTTP

Mari kita tinjau DNS dan alur permintaan HTTP yang dihasilkan untuk beban kerja ini. Ulasan ini membantu kami memvisualisasikan penghambat yang dijelaskan sebelumnya.

Diagram yang menunjukkan tantangan wilayah tunggal.

Gambar 2: Skenario wilayah tunggal untuk Virtual WAN dengan Private Link dan Azure DNS - tantangannya

Unduh file Visio arsitektur ini.

Alur DNS

  1. Kueri DNS untuk stgworkload00.blob.core.windows.net dari klien dikirim ke server DNS yang dikonfigurasi, yaitu Azure Firewall di hub regional yang di-peering.
  2. Azure Firewall membuat proksi permintaan ke Azure DNS. Karena tidak dimungkinkan untuk menautkan zona DNS privat ke hub virtual, Azure DNS tidak tahu cara mengatasi FQDN ke alamat IP privat titik akhir privat. Ini tahu cara menyelesaikan FQDN ke alamat IP publik akun penyimpanan, sehingga mengembalikan alamat IP publik akun penyimpanan.

Alur HTTP

  1. Dengan hasil DNS di tangan, alamat IP publik akun penyimpanan, klien mengeluarkan permintaan HTTP ke stgworkload00.blob.core.windows.net.
  2. Permintaan dikirim ke alamat IP publik akun penyimpanan. Permintaan ini gagal karena berbagai alasan:
    • NSG pada subnet beban kerja mungkin tidak mengizinkan lalu lintas yang terikat Internet ini.
    • Azure Firewall yang memfilter lalu lintas keluar yang terikat Internet kemungkinan tidak memiliki aturan aplikasi untuk mendukung alur ini.
    • Bahkan jika NSG dan Azure Firewall memang memiliki jatah untuk alur permintaan ini, akun Penyimpanan dikonfigurasi untuk memblokir semua akses jaringan publik. Upaya ini akhirnya melanggar tujuan kami hanya mengizinkan akses ke akun penyimpanan melalui titik akhir privat.

Solusi - Membuat ekstensi hub virtual untuk DNS

Solusi untuk tantangannya adalah bagi tim jaringan perusahaan untuk menerapkan ekstensi hub virtual untuk DNS. Tanggung jawab tunggal untuk ekstensi hub virtual DNS adalah mengaktifkan tim beban kerja yang perlu menggunakan zona DNS privat dalam arsitektur mereka dalam topologi hub Virtual WAN yang dimulai ini.

Ekstensi DNS diimplementasikan sebagai spoke jaringan virtual yang di-peering ke hub virtual regionalnya. Anda dapat menautkan zona DNS privat ke jaringan virtual ini. Jaringan virtual juga berisi Azure DNS Private Resolver yang memungkinkan layanan di luar jaringan virtual ini, seperti Azure Firewall, untuk mengkueri dan menerima nilai dari semua zona DNS privat yang ditautkan. Berikut ini adalah komponen ekstensi hub virtual umum untuk DNS, bersama dengan beberapa perubahan konfigurasi yang diperlukan:

  • Jaringan virtual spoke baru yang di-peering dengan hub virtual wilayah. Spoke ini dikonfigurasi seperti spoke lainnya, yang berarti server DNS default dan aturan perutean memaksa penggunaan Azure Firewall di hub regional.
  • Sumber daya Dns Private Resolver disebarkan dengan titik akhir masuk di jaringan virtual spoke.
  • Sumber daya zona DNS privat bernama privatelink.blob.core.windows.net dibuat.
    • Zona ini berisi A catatan yang memetakan dari nama FQDN akun penyimpanan ke alamat IP privat titik akhir privat untuk akun penyimpanan.
    • Zona DNS privat ditautkan ke jaringan virtual spoke.
    • Jika kontrol akses berbasis peran (RBAC) memungkinkan, Anda dapat menggunakan pendaftaran otomatis atau entri yang dikelola layanan untuk mempertahankan catatan DNS ini. Jika tidak, Anda dapat mempertahankannya secara manual.
  • Di hub regional, server DNS Azure Firewall diubah untuk mengarah ke titik akhir masuk DNS Private Resolver.

Diagram berikut mengilustrasikan arsitektur, bersama dengan alur DNS dan HTTP.

Diagram memperlihatkan solusi yang berfungsi dengan ekstensi Hub virtual untuk DNS.

Gambar 3: Solusi kerja untuk skenario wilayah tunggal untuk Virtual WAN dengan Private Link dan DNS

Unduh file Visio arsitektur ini.

Alur DNS untuk membuat ekstensi hub virtual untuk DNS

  1. Kueri DNS untuk stgworkload00.blob.core.windows.net dari klien dikirim ke server DNS yang dikonfigurasi, yaitu Azure Firewall di hub regional yang di-peering - 10.100.0.132 dalam hal ini.

    Cuplikan layar jaringan virtual beban kerja yang menunjukkan bahwa server DNS diatur ke Kustom dan alamat IP privat Azure Firewall yang mengamankan hub ditambahkan.Gambar 4: Konfigurasi server DNS untuk jaringan virtual beban kerja

  2. Azure Firewall menproksi permintaan ke Azure DNS Private Resolver regional di ekstensi hub - 10.200.1.4 dalam hal ini, yang merupakan alamat IP privat dari titik akhir masuk DNS Private Resolver.

    Cuplikan layar kebijakan Azure Firewall tempat Proksi DNS diaktifkan dan server DNS diatur.

    Gambar 5: Konfigurasi DNS dalam kebijakan Azure Firewall

  3. Dns Private Resolver membuat proksi permintaan ke Azure DNS. Karena zona DNS privat ditautkan ke jaringan virtual yang berisi titik akhir masuk, Azure DNS bisa menggunakan rekaman di zona DNS privat yang ditautkan tersebut.

    Cuplikan layar tautan jaringan virtual zona DNS privat memperlihatkan tautan ke jaringan virtual ekstensi DNS.Gambar 6: Tautan jaringan virtual zona DNS privat

  4. Azure DNS berkonsultasi dengan zona DNS privat yang ditautkan dan menyelesaikan FQDN stgworkload00.blob.core.windows.net hingga 10.1.2.4, yang merupakan alamat IP titik akhir privat untuk akun penyimpanan. Respons ini diberikan ke Azure Firewall DNS, yang kemudian mengembalikan alamat IP privat akun penyimpanan kepada klien.

    Cuplikan layar zona DNS privat dengan catatan A dengan nama stgworkload00 dan nilai 10.1.2.4.Gambar 7: Zona DNS privat dengan catatan A untuk titik akhir privat akun penyimpanan

Alur HTTP

  1. Dengan hasil DNS di tangan, alamat IP privat akun penyimpanan, klien mengeluarkan permintaan HTTP ke stgworkload00.blob.core.windows.net.
  2. Permintaan dikirim ke alamat IP privat (10.1.2.4) dari akun penyimpanan. Permintaan ini berhasil dirutekan, dengan asumsi tidak ada batasan yang bertentangan pada Kelompok Keamanan Jaringan lokal pada subnet klien atau subnet titik akhir privat. Penting untuk dipahami bahwa, meskipun Azure Firewall mengamankan lalu lintas privat, permintaan tidak dirutekan melalui Azure Firewall karena titik akhir privat berada di jaringan virtual yang sama dengan klien. Artinya tidak ada jatah Azure Firewall yang perlu dibuat untuk skenario ini.
  3. Koneksi privat ke akun penyimpanan dibuat melalui layanan Private Link. Akun penyimpanan hanya mengizinkan akses jaringan privat, dan menerima permintaan HTTP.

Ekstensi hub virtual untuk pertimbangan DNS

Saat menerapkan ekstensi untuk perusahaan Anda, pertimbangkan panduan berikut.

  • Menyebarkan ekstensi DNS bukanlah tugas untuk tim beban kerja. Tugas ini adalah fungsi jaringan perusahaan dan harus menjadi keputusan implementasi yang dibuat dengan individu tersebut.
  • Ekstensi DNS dan zona DNS privat harus ada sebelum menambahkan layanan PaaS apa pun yang ingin Anda konfigurasikan catatan DNS titik akhir privatnya.
  • Ekstensi hub virtual adalah sumber daya regional, hindari lalu lintas wilayah dan buat ekstensi hub per hub regional tempat resolusi DNS titik akhir privat diharapkan.

Jaringan virtual spoke

  • Mengikuti prinsip tanggung jawab tunggal, jaringan virtual untuk ekstensi DNS hanya boleh berisi sumber daya yang diperlukan untuk resolusi DNS dan tidak boleh dibagikan dengan sumber daya lain.
  • Jaringan virtual untuk ekstensi DNS harus mengikuti panduan konfigurasi yang sama di bawah Menambahkan jaringan spoke.

Azure DNS Private Resolver

  • Setiap wilayah harus memiliki satu ekstensi DNS hub virtual dengan satu Dns Private Resolver.

  • Pemecah Masalah Privat DNS hanya memerlukan titik akhir masuk dan tidak ada titik akhir keluar untuk skenario ini. IP privat untuk titik akhir masuk adalah apa yang diatur untuk layanan DNS kustom dalam kebijakan Azure Firewall (lihat gambar 5).

  • Untuk ketahanan yang lebih tinggi dan peningkatan penanganan beban, Anda dapat menyebarkan beberapa instans Dns Private Resolver per wilayah, dengan proksi Azure DNS dikonfigurasi dengan beberapa alamat IP untuk resolusi yang diproksi.

    Cuplikan layar titik akhir masuk untuk DNS Private Resolver memperlihatkan satu titik akhir.Gambar 8: Titik akhir masuk untuk Pemecah Masalah Privat DNS

  • Ikuti pembatasan jaringan virtual untuk Dns Private Resolver.

  • Kelompok Keamanan Jaringan di subnet untuk titik akhir masuk DNS Private Resolver hanya boleh mengizinkan lalu lintas UDP dari hub regionalnya ke port 53. Anda harus memblokir semua lalu lintas masuk dan keluar lainnya.

Zona DNS Privat

Karena Azure DNS Private Resolver menyelesaikan DNS melalui Azure DNS, Azure DNS dapat mengambil zona DNS privat apa pun yang ditautkan ke jaringan virtual subnet masuknya.

Pertimbangan skenario

Dengan ekstensi DNS hub virtual yang dikelola dengan baik, mari kita kembali ke beban kerja dan mengatasi beberapa poin tambahan untuk membantu mencapai tujuan hasil yang berhasil dalam skenario ini.

Akun Penyimpanan

  • Atur Akses jaringan publik: Dinonaktifkan di bawah Konektivitas jaringan untuk memastikan bahwa akun penyimpanan hanya dapat diakses melalui titik akhir privat.
  • Tambahkan titik akhir privat ke subnet titik akhir privat khusus di jaringan virtual beban kerja.
  • Kirim Diagnostik Azure ke Ruang Kerja Log Analytics beban kerja. Anda dapat menggunakan log akses untuk membantu memecahkan masalah konfigurasi.

Keamanan titik akhir privat

Persyaratan solusi ini adalah membatasi paparan akun penyimpanan ini. Setelah Anda menghapus akses internet publik ke sumber daya PaaS, Anda harus mengatasi keamanan jaringan privat.

Saat Azure Firewall mengamankan lalu lintas privat dalam topologi hub-spoke Virtual WAN, Azure Firewall default untuk menolak konektivitas spoke-to-spoke. Pengaturan default ini mencegah beban kerja di jaringan spoke lain mengakses titik akhir privat (dan sumber daya lainnya) di jaringan virtual beban kerja. Lalu lintas sepenuhnya dalam jaringan virtual tidak dirutekan melalui Azure Firewall. Untuk mengontrol akses dalam jaringan virtual, dan menambahkan perlindungan yang lebih terperinci, pertimbangkan rekomendasi kelompok keamanan jaringan (NSG) berikut.

  • Buat kelompok keamanan aplikasi (ASG) untuk mengelompokkan sumber daya yang memiliki kebutuhan akses masuk atau keluar yang serupa. Dalam skenario ini, gunakan ASG untuk VM klien yang perlu mengakses penyimpanan dan satu untuk akun penyimpanan yang diakses. Lihat, Mengonfigurasi kelompok keamanan aplikasi (ASG) dengan titik akhir privat.
  • Pastikan subnet yang berisi VM beban kerja memiliki NSG.
  • Pastikan subnet yang berisi titik akhir privat memiliki NSG.

Aturan NSG untuk subnet yang berisi beban kerja VM

Selain aturan jaringan lain yang diperlukan beban kerja Anda, konfigurasikan aturan berikut.

  • Aturan keluar:
    • Izinkan ASG komputasi untuk mengakses ASG akun penyimpanan.
    • Izinkan ASG komputasi ke IP privat Azure Firewall hub regional untuk UDP pada port 53.

Cuplikan layar memperlihatkan aturan NSG untuk subnet beban kerja. *Gambar 9: Aturan NSG untuk subnet beban kerja

Aturan NSG untuk subnet yang berisi titik akhir privat

Ini dianggap sebagai praktik terbaik untuk mengekspos titik akhir privat pada subnet kecil dan khusus dalam jaringan virtual yang mengonsumsi. Salah satu alasannya adalah Anda dapat menerapkan rute yang ditentukan pengguna dan kebijakan jaringan Kelompok Keamanan Jaringan untuk titik akhir privat untuk kontrol dan keamanan lalu lintas tambahan.

Skenario ini memungkinkan kelompok keamanan jaringan yang sangat ketat untuk diterapkan.

  • Aturan masuk:
    • Mengizinkan ASG komputasi untuk mengakses ASG akun penyimpanan
    • Tolak semua lalu lintas lainnya
  • Aturan keluar:
    • Tolak semua lalu lintas

Cuplikan layar memperlihatkan aturan NSG untuk subnet titik akhir privat. *Gambar 10: Aturan NSG untuk subnet titik akhir privat

Keamanan titik akhir privat sedang beraksi

Gambar berikut menggambarkan bagaimana mengikuti pertimbangan yang diuraikan dapat memberikan keamanan pertahanan mendalam. Diagram menunjukkan jaringan virtual spoke kedua dengan VM kedua. Beban kerja tersebut tidak dapat mengakses titik akhir privat.

Diagram memperlihatkan beban kerja di jaringan virtual spoke kedua tidak dapat mengakses titik akhir privat.

Gambar 11: Solusi kerja untuk skenario wilayah tunggal untuk Virtual WAN dengan Private Link dan DNS

Unduh file Visio arsitektur ini.

Alur DNS

Alur DNS sama persis seperti dalam alur solusi.

Yang penting untuk disorot, adalah bahwa FQDN diselesaikan ke alamat IP privat, dan bukan alamat IP publik. Resolusi ini berarti bahwa semua spoke selalu menerima alamat IP privat layanan ini. Skenario lain mencakup bagaimana Anda dapat menggunakan pendekatan ini untuk berbagi layanan PaaS di beberapa beban kerja yang mengonsumsi. Untuk skenario beban kerja tunggal ini, ini bukan masalah.

Alur HTTP

  1. Dengan hasil DNS di tangan, alamat IP privat akun penyimpanan, klien mengeluarkan permintaan HTTP ke stgworkload00.blob.core.windows.net.
  2. Permintaan dikirim ke alamat IP privat akun penyimpanan. Permintaan ini gagal dengan tepat karena berbagai alasan:
    • Azure Firewall dikonfigurasi untuk mengamankan lalu lintas privat, sehingga menangani permintaan. Kecuali Azure Firewall memiliki aturan jaringan atau aplikasi untuk mengizinkan alur, Azure Firewall memblokir permintaan.
    • Anda tidak perlu menggunakan Azure Firewall di hub untuk mengamankan lalu lintas privat. Misalnya, jika jaringan Anda mendukung lalu lintas wilayah privat, NSG pada subnet titik akhir privat masih dikonfigurasi untuk memblokir semua lalu lintas selain sumber ASG komputasi dalam jaringan virtual yang menghosting beban kerja.

Ringkasan

Artikel ini memperkenalkan skenario di mana klien VM terhubung ke akun Azure Storage melalui titik akhir privat akun penyimpanan. Titik akhir berada di jaringan virtual yang sama dengan klien. Semua akses lain ke akun penyimpanan diblokir. Skenario ini memerlukan catatan DNS dalam alur DNS yang dapat menyelesaikan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari akun penyimpanan kembali ke alamat IP privat titik akhir privat.

Topologi jaringan awal untuk skenario ini memperkenalkan dua tantangan:

  • Tidak dimungkinkan untuk menautkan zona DNS privat dengan catatan DNS yang diperlukan untuk akun penyimpanan ke hub virtual.
  • Menautkan zona DNS privat ke subnet beban kerja tidak berfungsi. Topologi jaringan awal mengharuskan server DNS default dan aturan perutean memaksa penggunaan Azure Firewall di hub regional.

Solusi yang diusulkan adalah agar tim jaringan perusahaan menerapkan ekstensi hub virtual untuk DNS. Ekstensi ini memungkinkan tim jaringan perusahaan untuk mengekspos layanan DNS bersama ke spoke beban kerja yang memerlukannya.