Menggunakan Azure Private Link untuk menyambungkan server dengan aman ke Azure Arc

Azure Private Link memungkinkan Anda menautkan layanan Azure PaaS dengan aman ke jaringan virtual Anda menggunakan titik akhir privat. Untuk banyak layanan, Anda hanya menyiapkan titik akhir per sumber daya. Ini berarti Anda dapat menghubungkan server lokal atau multicloud Anda dengan Azure Arc dan mengirim semua lalu lintas melalui Azure ExpressRoute atau koneksi VPN situs-ke-situs alih-alih menggunakan jaringan publik.

Dimulai dengan server dengan dukungan Azure Arc, Anda dapat menggunakan model Private Link Scope untuk memungkinkan beberapa server atau mesin berkomunikasi dengan sumber daya Azure Arc mereka menggunakan satu titik akhir privat.

Artikel ini membahas kapan harus digunakan dan cara menyiapkan Cakupan Azure Arc Private Link.

Kelebihan

Dengan Private Link Anda dapat:

• Menyambungkan secara privat ke Azure Arc tanpa membuka akses jaringan publik apa pun.
• Pastikan data dari server atau komputer dengan dukungan Azure Arc hanya diakses melalui jaringan privat resmi. Ini juga termasuk data dari ekstensi komputer virtual yang diinstal pada mesin atau server yang menyediakan manajemen pascapenyebaran dan dukungan pemantauan.
• Mencegah pencurian data dari jaringan privat Anda dengan menentukan server dengan dukungan Azure Arc tertentu dan sumber daya layanan Azure lainnya, seperti Azure Monitor, yang terhubung melalui titik akhir privat Anda.
• Menyambungkan jaringan privat Anda dengan aman ke Azure Arc menggunakan ExpressRoute dan Private Link.
• Simpan semua lalu lintas di dalam jaringan backbone Microsoft Azure.

Untuk informasi selengkapnya, lihat Manfaat Utama Private Link.

Cara kerjanya

Azure Arc Private Link Scope menghubungkan titik akhir privat (dan jaringan virtual tempat mereka berada) ke sumber daya Azure, dalam hal ini server dengan dukungan Azure Arc. Saat Anda mengaktifkan salah satu server berkemampuan Azure Arc yang mendukung ekstensi VM, seperti Azure Monitor, sumber daya tersebut menghubungkan sumber daya Azure lainnya. Misalnya:

• Ruang kerja Analitik Log, diperlukan untuk Pelacakan dan Inventarisasi Perubahan Azure Automation, wawasan VM Azure Monitor, dan pengumpulan log Azure Monitor dengan agen Azure Monitor.
• Akun Azure Automation, diperlukan untuk Manajemen Pembaruan dan Pelacakan perubahan dan Inventaris.
• Azure Key Vault
• Azure Blob storage, diperlukan untuk Custom Script Extension.

Konektivitas ke sumber daya Azure lainnya dari server yang didukung Azure Arc memerlukan konfigurasi Private Link untuk setiap layanan, yang bersifat opsional, tetapi direkomendasikan. Azure Private Link memerlukan konfigurasi terpisah per layanan.

Untuk informasi selengkapnya tentang cara mengonfigurasi Private Link untuk layanan Azure yang dicantumkan sebelumnya, lihat artikel Azure Automation, Azure Monitor, Azure Key Vault, atau penyimpanan Azure Blob.

Penting

Azure Private Link sekarang tersedia secara umum. Layanan Private Endpoint dan Private Link (layanan di belakang penyeimbang muatan standar) umumnya tersedia. Azure PaaS yang berbeda diorientasikan ke Azure Private Link yang mengikuti jadwal yang berbeda. Lihat Ketersediaan Private Link untuk status Azure PaaS yang diperbarui di Private Link. Untuk batasan yang diketahui, lihat Private Endpoint dan Layanan Private Link.

• Titik Akhir Privat pada VNet Anda memungkinkannya menjangkau titik akhir server dengan dukungan Azure Arc melalui IP privat dari kumpulan jaringan Anda, alih-alih menggunakan IP publik dari titik akhir ini. Itu memungkinkan Anda untuk tetap menggunakan sumber daya server dengan dukungan Azure Arc tanpa membuka VNet Anda ke lalu lintas keluar yang belum diminta.

• Lalu lintas dari Titik Akhir Privat ke sumber daya Anda akan melewati backbone Microsoft Azure, dan tidak dirutekan ke jaringan publik.

• Anda dapat mengonfigurasi setiap ruang kerja atau komponen untuk memungkinkan atau menolak penyerapan dan kueri dari jaringan publik. Yang memberikan perlindungan tingkat sumber daya, sehingga Anda dapat mengontrol lalu lintas ke sumber daya tertentu.

Pembatasan dan batasan

Objek Cakupan Private Link server dengan dukungan Azure Arc memiliki sejumlah batasan yang harus Anda pertimbangkan saat merencanakan penyiapan Private Link Anda.

• Anda dapat mengaitkan paling banyak satu Azure Arc Private Link Scope dengan jaringan virtual.
• Sumber daya mesin atau server dengan dukungan Azure Arc hanya dapat terhubung ke satu dengan dukungan Azure Arc, Private Link Scope.
• Semua mesin lokal perlu menggunakan titik akhir privat yang sama dengan cara menyelesaikan informasi titik akhir privat yang benar (nama catatan FQDN dan alamat IP privat) menggunakan penerus DNS yang sama. Untuk informasi selengkapnya, lihat Konfigurasi DNS Azure Private Endpoint
• Server dengan dukungan Azure Arc dan Cakupan Private Link Azure Arc harus berada di wilayah Azure yang sama. Titik Akhir Privat dan jaringan virtual juga harus berada di wilayah Azure yang sama, tetapi wilayah ini dapat berbeda dari Cakupan Private Link Azure Arc dan server dengan dukungan Arc Anda.
• Lalu lintas jaringan ke ID Microsoft Entra dan Azure Resource Manager tidak melintasi Cakupan Azure Arc Private Link dan akan terus menggunakan rute jaringan default Anda ke internet. Anda dapat secara opsional mengonfigurasi tautan privat manajemen sumber daya untuk mengirim lalu lintas Azure Resource Manager ke titik akhir privat.
• Layanan Azure lainnya yang akan Anda gunakan, misalnya Azure Monitor, memerlukan titik akhir privat mereka sendiri di jaringan virtual Anda.
• Akses jarak jauh ke server menggunakan Pusat Admin Windows atau SSH tidak didukung melalui tautan privat saat ini.

Merencanakan penyiapan Private Link Anda

Untuk menghubungkan server Anda ke Azure Arc melalui tautan privat, Anda perlu mengonfigurasi jaringan Anda untuk mencapai hal berikut:

1. Buat sambungan antara jaringan lokal Anda dengan jaringan virtual Azure menggunakan VPN situs ke situs atau sirkuit ExpressRoute.

2. Sebarkan Azure Arc Private Link Scope, yang mengontrol komputer atau server mana yang dapat berkomunikasi dengan Azure Arc melalui titik akhir privat dan mengaitkannya dengan jaringan virtual Azure Anda menggunakan titik akhir privat.

3. Perbarui konfigurasi DNS di jaringan lokal Anda untuk menyelesaikan alamat titik akhir privat.

4. Konfigurasikan firewall lokal Anda untuk mengizinkan akses ke MICROSOFT Entra ID dan Azure Resource Manager.

5. Hubungkan mesin atau server yang terdaftar di server dengan dukungan Azure Arc dengan lingkup tautan privat.

6. Secara opsional, terapkan titik akhir privat untuk layanan Azure lainnya yang dikelola oleh mesin atau server Anda, seperti:

   • Azure Monitor
   • Otomatisasi Azure
   • Azure Blob Storage
   • Azure Key Vault

Artikel ini mengasumsikan Anda telah mengatur sirkuit ExpressRoute atau koneksi VPN situs-ke-situs.

Konfigurasi jaringan

Server berkemampuan Azure Arc terintegrasi dengan beberapa layanan Azure untuk membawa manajemen dan tata kelola cloud ke komputer atau server hibrid Anda. Sebagian besar layanan ini sudah menawarkan titik akhir privat, tetapi Anda perlu mengonfigurasi firewall dan aturan perutean untuk memungkinkan akses ke ID Microsoft Entra dan Azure Resource Manager melalui internet hingga layanan ini menawarkan titik akhir privat.

Ada dua cara untuk mencapai hal ini:

• Jika jaringan Anda dikonfigurasi untuk merutekan semua lalu lintas yang terikat internet melalui azure VPN atau sirkuit ExpressRoute, Anda dapat mengonfigurasi kelompok keamanan jaringan (NSG) yang terkait dengan subnet Anda di Azure untuk memungkinkan akses TCP 443 (HTTPS) keluar ke ID Microsoft Entra dan Azure menggunakan tag layanan. Aturan NSGnya akan terlihat seperti berikut:

  Pengaturan	Aturan ID Microsoft Entra	Aturan Azure
  Sumber	Jaringan virtual	Jaringan virtual
  Source port ranges	*	*
  Tujuan	Tag Layanan	Tag Layanan
  Tag layanan tujuan	AzureActiveDirectory	AzureResourceManager
  Rentang port tujuan	443	443
  Protokol	Tcp	Tcp
  Tindakan	Izinkan	Izinkan
  Prioritas	150 (harus lebih rendah dari aturan apa pun yang memblokir akses internet)	151 (harus lebih rendah dari aturan apa pun yang memblokir akses internet)
  Nama	AllowAADOutboundAccess	AllowAzOutboundAccess

• Konfigurasikan firewall di jaringan lokal Anda untuk mengizinkan akses TCP 443 (HTTPS) keluar ke ID Microsoft Entra dan Azure menggunakan file tag layanan yang dapat diunduh. File JSON berisi semua rentang alamat IP publik yang digunakan oleh ID Microsoft Entra dan Azure dan diperbarui setiap bulan untuk mencerminkan perubahan apa pun. Tag layanan Azure ACTIVE Directory adalah AzureActiveDirectory dan tag layanan Azure adalah AzureResourceManager. Konsultasikan dengan administrator jaringan dan vendor firewall jaringan Anda untuk mempelajari cara mengonfigurasi aturan firewall Anda.

Lihat diagram visual di bawah bagianCara kerja untuk arus lalu lintas jaringan.

Membuat Private Link Scope

1. Masuk ke portal Azure.

2. Pergi ke Create a resource (Membuat sumber daya) di portal Microsoft Azure dan cari Azure Arc Private Link Scope. Atau Anda dapat menggunakan tautan berikut untuk membuka halaman Azure Arc Private Link Scope di portal.

   

3. Pilih Buat.

4. Di tab Dasar , pilih Langganan dan Grup Sumber Daya.

5. Masukkan nama untuk Cakupan Azure Arc Private Link. Sebaiknya gunakan nama yang bermakna dan jelas.

6. Secara opsional, Anda dapat mewajibkan setiap komputer atau server berkemampuan Azure Arc yang terkait dengan Cakupan Azure Arc Private Link ini untuk mengirim data ke layanan melalui titik akhir privat. Untuk melakukannya, centang kotak untuk Izinkan akses jaringan publik sehingga komputer atau server yang terkait dengan Cakupan Azure Arc Private Link ini dapat berkomunikasi dengan layanan melalui jaringan privat atau publik. Anda dapat mengubah pengaturan ini setelah membuat ruang lingkup jika Anda berubah pikiran.

7. Pilih tab Titik akhir privat, lalu pilih Buat.

8. Di jendela Buat titik akhir privat:

   1. Masukkan Nama untuk endpoint.

   2. Pilih Ya untuk Integrasikan dengan zona DNS privat, dan biarkan secara otomatis membuat Zona DNS Privat baru.

      Catatan

      Jika Anda memilih Tidak dan lebih memilih untuk mengatur catatan DNS secara manual, pertama-tama selesaikan penyetelan Private Link Anda - termasuk Titik Akhir Privat ini dan konfigurasi Private Scope. Kemudian, konfigurasikan DNS Anda sesuai dengan instruksi di konfigurasi DNS Azure Private Endpoint. Pastikan untuk tidak membuat catatan kosong sebagai persiapan untuk penyetelan Private Link Anda. Catatan DNS yang Anda buat bisa menggantikan pengaturan yang sudah ada dan memengaruhi konektivitas Anda dengan server dengan dukungan Azure Arc.

   3. Pilih OK.

9. Pilih Tinjau + Buat.

   

10. Biarkan validasi lolos, lalu pilih Buat.

Mengonfigurasi penerusan DNS lokal

Mesin atau server lokal Anda harus dapat menyelesaikan rekaman DNS tautan privat ke alamat IP titik akhir privat. Cara Anda mengonfigurasi ini bergantung pada apakah Anda menggunakan zona DNS privat Azure untuk mempertahankan catatan DNS, atau jika Anda menggunakan server DNS Anda sendiri di tempat dan berapa banyak server yang Anda konfigurasi.

Konfigurasi DNS menggunakan zona DNS privat terintegrasi Azure

Jika Anda menyiapkan zona DNS privat untuk server dengan dukungan Azure Arc dan Konfigurasi Tamu saat membuat titik akhir privat, mesin atau server lokal Anda harus dapat meneruskan kueri DNS ke server DNS Azure bawaan untuk menyelesaikan alamat titik akhir privat dengan benar. Anda memerlukan penerus DNS di Azure (baik komputer virtual yang dibuat khusus atau instans Azure Firewall dengan proksi DNS diaktifkan), setelah itu Anda dapat mengonfigurasi server DNS lokal Anda untuk meneruskan kueri ke Azure untuk menyelesaikan alamat IP titik akhir privat.

Dokumentasi titik akhir memberikan panduan untuk mengonfigurasi beban kerja di tempat menggunakan penerus DNS.

Konfigurasi server DNS manual

Jika Anda memilih untuk tidak menggunakan zona DNS privat Azure selama pembuatan titik akhir privat, Anda perlu membuat catatan DNS yang diperlukan di server DNS lokal Anda.

1. Buka portal Azure.

2. Navigasikan ke sumber daya titik akhir privat yang terkait dengan jaringan virtual dan lingkup tautan privat Anda.

3. Dari panel sebelah kiri, pilih Konfigurasi DNS untuk melihat daftar catatan DNS dan alamat IP terkait yang perlu Anda siapkan di server DNS Anda. FQDN dan alamat IP akan berubah berdasarkan wilayah yang Anda pilih untuk titik akhir privat Anda dan alamat IP yang tersedia di subnet Anda.

4. Ikuti panduan dari vendor server DNS Anda untuk menambahkan zona DNS yang diperlukan dan catatan A agar sesuai dengan tabel di portal. Pastikan Anda memilih server DNS yang sesuai untuk jaringan Anda. Setiap komputer atau server yang menggunakan server DNS ini sekarang menyelesaikan alamat IP titik akhir privat dan harus dikaitkan dengan Cakupan Azure Arc Private Link, atau koneksi akan ditolak.

Skenario server tunggal

Jika Anda hanya berencana menggunakan Private Links untuk mendukung beberapa komputer atau server, Anda mungkin tidak ingin memperbarui seluruh konfigurasi DNS jaringan Anda. Dalam hal ini, Anda dapat menambahkan nama host titik akhir privat dan alamat IP ke file Hosts sistem operasi Anda. Tergantung pada konfigurasi OS, file Host dapat menjadi metode utama atau alternatif untuk menyelesaikan nama host ke alamat IP.

Windows

1. Menggunakan akun dengan hak administrator, buka C:\Windows\System32\drivers\etc\hosts.

2. Tambahkan IP titik akhir privat dan nama host seperti yang ditunjukkan dalam tabel dari langkah 3 di bawah konfigurasi server DNS Manual. File host memerlukan alamat IP terlebih dahulu diikuti oleh spasi dan kemudian nama host.

3. Simpan file dengan perubahan Anda. Anda mungkin perlu menyimpan ke direktori lain terlebih dahulu, lalu menyalin file ke jalur asli.

Linux

1. /etc/hosts Buka file host di editor teks.

2. Tambahkan IP titik akhir privat dan nama host seperti yang ditunjukkan dalam tabel dari langkah 3 di bawah konfigurasi server DNS Manual. File host memerlukan alamat IP terlebih dahulu diikuti oleh spasi dan kemudian nama host.

3. Simpan file dengan perubahan Anda.

Koneksi ke server berkemampuan Azure Arc

Catatan

Versi minimum yang didukung dari agen komputer terhubung Azure Arc dengan titik akhir privat adalah versi 1.4. Skrip penyebaran server dengan dukungan Azure Arc yang dihasilkan di portal mengunduh versi terbaru.

Mengonfigurasi server dengan dukungan Azure Arc baru untuk menggunakan tautan Privat

Saat menghubungkan mesin atau server dengan server berkemampuan Azure Arc untuk pertama kalinya, Anda dapat menghubungkannya secara opsional ke Lingkup Tautan Privat.

1. Dari browser Anda, buka portal Microsoft Azure.

2. Navigasi ke Mesin - Azure Arc.

3. Pada halaman Komputer - Azure Arc , pilih Tambahkan/Buat di kiri atas, lalu pilih Tambahkan komputer dari menu drop-down.

4. Pada halaman Tambahkan server dengan Azure Arc, pilih Tambahkan server tunggal atau Tambahkan beberapa server tergantung pada skenario penerapan Anda, lalu pilih Buat skrip.

5. Pada halaman Buat skrip, pilih grup langganan dan sumber daya tempat Anda ingin komputer dikelola dalam Azure. Pilih lokasi Azure tempat metadata komputer akan disimpan. Lokasi ini dapat sama atau berbeda dengan lokasi grup sumber daya.

6. Di halaman Dasar, sediakan hal-hal berikut:

   1. Pilih grup Langganan dan Sumber Daya untuk komputer.

   2. Di daftar menu drop-down Wilayah, pilih wilayah Azure untuk menyimpan metadata server.

   3. Di daftar drop down Sistem Operasi, pilih sistem operasi yang dikonfigurasi skrip untuk dijalankan.

   4. Di bawah Metode konektivitas, pilih Titik akhir privat dan pilih Cakupan Azure Arc Private Link yang dibuat di Bagian 1 dari daftar drop-down.

      

   5. Pilih Berikutnya: Tag.

7. Jika Anda memilih Tambahkan beberapa server, pada halaman Autentikasi , pilih perwakilan layanan yang dibuat untuk server berkemampuan Azure Arc dari daftar drop-down. Jika Anda belum membuat perwakilan layanan untuk server dengan dukungan Azure Arc, pertama-tama tinjau cara membuat perwakilan layanan untuk membiasakan diri dengan izin yang diperlukan dan langkah untuk membuatnya. Pilih Berikutnya: Tag untuk melanjutkan.

8. Pada halaman Tag, tinjau Tag lokasi fisik default yang disarankan dan masukkan nilai, atau tentukan satu atau beberapa Tag kustom untuk mendukung standar Anda.

9. Pilih Berikutnya: Unduh dan jalankan skrip.

10. Pada halaman Unduh dan jalankan skrip, tinjau informasi ringkasan lalu pilih Unduh. Jika Anda masih perlu membuat perubahan, pilih Sebelumnya.

Setelah mengunduh skrip, Anda harus menjalankannya di mesin atau server Menggunakan akun istimewa (administrator atau root). Bergantung pada konfigurasi jaringan, Anda mungkin perlu mengunduh agen dari komputer dengan akses internet dan mentransfernya ke komputer atau server Anda, lalu memodifikasi skrip dengan jalur ke agen.

Agen Windows dapat diunduh dari https://aka.ms/AzureConnectedMachineAgent dan agen Linux dapat diunduh dari https://packages.microsoft.com. Carilah versi terbaru dari azcmagent di bawah direktori distribusi OS Anda dan diinstal dengan manajer paket lokal Anda.

Skrip akan mengembalikan pesan status yang memberi tahu Anda jika proses onboarding berhasil setelah selesai.

Tip

Lalu lintas jaringan dari agen Azure Connected Machine ke ID Microsoft Entra (login.windows.net, login.microsoftonline.com, pas.windows.net) dan Azure Resource Manager (management.azure.com) akan terus menggunakan titik akhir publik. Jika server Anda perlu berkomunikasi melalui server proksi untuk mencapai titik akhir ini, konfigurasikan agen dengan URL server proksi sebelum menyambungkannya ke Azure. Anda mungkin juga perlu mengonfigurasi bypass proksi untuk layanan Azure Arc jika titik akhir privat Anda tidak dapat diakses dari server proksi Anda.

Mengonfigurasi server dengan dukungan Azure Arc yang sudah ada

Untuk server dengan dukungan Azure Arc yang disiapkan sebelum cakupan tautan privat, Anda dapat mengizinkannya mulai menggunakan Cakupan Private Link server dengan dukungan Azure Arc dengan menyelesaikan langkah berikut.

1. Di portal Microsoft Azure, navigasikan ke sumber daya Azure Arc Private Link Scope Anda.

2. Dari panel sebelah kiri, pilih Sumber daya Azure Arc lalu + Tambahkan.

3. Pilih server dalam daftar yang ingin Anda kaitkan dengan Private Link Scope, lalu pilih Select (Pilih) untuk menyimpan perubahan Anda.

Mungkin perlu waktu hingga 15 menit agar Cakupan Private Link menerima koneksi dari server yang baru-baru ini terkait.

Pemecahan Masalah

1. Periksa server DNS lokal Anda untuk memverifikasi apakah itu diteruskan ke Azure DNS atau dikonfigurasi dengan catatan A yang sesuai di zona tautan privat Anda. Perintah pencarian ini harus mengembalikan alamat IP privat di jaringan virtual Azure Anda. Jika mereka menyelesaikan alamat IP publik, periksa kembali konfigurasi DNS komputer atau server dan jaringan Anda.

   nslookup gbl.his.arc.azure.com
   nslookup agentserviceapi.guestconfiguration.azure.com
   

2. Jika Anda mengalami masalah saat onboarding komputer atau server, konfirmasikan bahwa Anda telah menambahkan ID Microsoft Entra dan tag layanan Azure Resource Manager ke firewall jaringan lokal Anda. Agen perlu berkomunikasi dengan layanan ini melalui internet sampai titik akhir privat tersedia untuk layanan ini.

Langkah berikutnya

• Untuk mempelajari selengkapnya tentang Titik Akhir Privat, lihat Apa itu Titik Akhir Privat Azure?.

• Jika Anda mengalami masalah dengan pengaturan konektivitas Azure Private Endpoint Anda, lihat Memecahkan Masalah konektivitas Azure Private Endpoint.

• Untuk informasi selengkapnya, lihat berikut ini untuk mengonfigurasi Tautan Privat untuk Azure Automation, Azure Monitor, Azure Key Vault, atau Azure Blob storage.