Gunakan Azure Private Link untuk menyambungkan server dengan aman ke Azure Arc

Azure Private Link memungkinkan Anda menautkan layanan Azure PaaS dengan aman ke jaringan virtual Anda menggunakan titik akhir privat. Untuk banyak layanan, Anda hanya menyiapkan titik akhir per sumber daya. Ini berarti Anda dapat menghubungkan server lokal atau multi-cloud dengan Azure Arc dan mengirim semua lalu lintas melalui Azure ExpressRoute atau koneksi VPN situs ke situs alih-alih menggunakan jaringan publik.

Dimulai dengan server dengan dukungan Azure Arc, Anda dapat menggunakan model Private Link Scope untuk memungkinkan beberapa server atau mesin berkomunikasi dengan sumber daya Azure Arc mereka menggunakan satu titik akhir privat.

Artikel ini membahas kapan harus menggunakan dan cara menyiapkan Azure Arc Private Link Scope.

Kelebihan

Dengan Private Link Anda dapat:

• Menyambungkan secara privat ke Azure Arc tanpa membuka akses jaringan publik apa pun.
• Pastikan data dari server atau komputer dengan dukungan Azure Arc hanya diakses melalui jaringan privat resmi. Ini juga termasuk data dari ekstensi komputer virtual yang diinstal pada mesin atau server yang menyediakan manajemen pascapenyebaran dan dukungan pemantauan.
• Mencegah pencurian data dari jaringan privat Anda dengan menentukan server dengan dukungan Azure Arc tertentu dan sumber daya layanan Azure lainnya, seperti Azure Monitor, yang terhubung melalui titik akhir privat Anda.
• Menyambungkan jaringan privat Anda dengan aman ke Azure Arc menggunakan ExpressRoute dan Private Link.
• Simpan semua lalu lintas di dalam jaringan backbone Microsoft Azure.

Untuk informasi selengkapnya, lihat Manfaat Utama Private Link.

Cara kerjanya

Azure Arc Private Link Scope menghubungkan titik akhir privat (dan jaringan virtual tempat mereka berada) ke sumber daya Azure, dalam hal ini server dengan dukungan Azure Arc. Saat Anda mengaktifkan salah satu server dengan dukungan Azure Arc yang didukung ekstensi VM, seperti Azure Automation Update Management atau Azure Monitor, sumber daya tersebut menghubungkan sumber daya Azure lainnya. Seperti:

• Ruang kerja Log Analytics, diperlukan untuk Manajemen Pembaruan Otomatisasi Azure, Pelacakan dan Inventarisasi Perubahan Otomatisasi Azure, wawasan komputer virtual Azure Monitor, dan pengumpulan log Azure Monitor dengan agen Log Analytics.
• Akun Azure Automation, diperlukan untuk Manajemen Pembaruan dan Pelacakan perubahan dan Inventaris.
• Azure Key Vault
• Azure Blob storage, diperlukan untuk Custom Script Extension.

Konektivitas ke sumber daya Azure lainnya dari server yang didukung Azure Arc memerlukan konfigurasi Private Link untuk setiap layanan, yang bersifat opsional, tetapi direkomendasikan. Azure Private Link memerlukan konfigurasi terpisah per layanan.

Untuk informasi selengkapnya tentang cara mengonfigurasi Private Link untuk layanan Azure yang dicantumkan sebelumnya, lihat artikel Azure Automation, Azure Monitor, Azure Key Vault, atau penyimpanan Azure Blob.

Penting

Azure Private Link sekarang tersedia secara umum. Layanan Private Endpoint dan Private Link (layanan di belakang penyeimbang muatan standar) umumnya tersedia. Azure PaaS yang berbeda diorientasikan ke Azure Private Link yang mengikuti jadwal yang berbeda. Lihat Ketersediaan Private Link untuk status Azure PaaS yang diperbarui di Private Link. Untuk batasan yang diketahui, lihat Private Endpoint dan Layanan Private Link.

• Titik Akhir Privat pada VNet Anda memungkinkannya menjangkau titik akhir server dengan dukungan Azure Arc melalui IP privat dari kumpulan jaringan Anda, alih-alih menggunakan IP publik dari titik akhir ini. Itu memungkinkan Anda untuk tetap menggunakan sumber daya server dengan dukungan Azure Arc tanpa membuka VNet Anda ke lalu lintas keluar yang belum diminta.

• Lalu lintas dari Titik Akhir Privat ke sumber daya Anda akan melewati backbone Microsoft Azure, dan tidak dirutekan ke jaringan publik.

• Anda dapat mengonfigurasi setiap ruang kerja atau komponen untuk memungkinkan atau menolak penyerapan dan kueri dari jaringan publik. Yang memberikan perlindungan tingkat sumber daya, sehingga Anda dapat mengontrol lalu lintas ke sumber daya tertentu.

Pembatasan dan batasan

Objek Cakupan Private Link server dengan dukungan Azure Arc memiliki sejumlah batasan yang harus Anda pertimbangkan saat merencanakan penyiapan Private Link Anda.

• Anda dapat mengaitkan paling banyak satu Azure Arc Private Link Scope dengan jaringan virtual.
• Sumber daya mesin atau server dengan dukungan Azure Arc hanya dapat terhubung ke satu dengan dukungan Azure Arc, Private Link Scope.
• Semua mesin lokal perlu menggunakan titik akhir privat yang sama dengan cara menyelesaikan informasi titik akhir privat yang benar (nama catatan FQDN dan alamat IP privat) menggunakan penerus DNS yang sama. Untuk informasi selengkapnya, lihat Konfigurasi DNS Azure Private Endpoint
• Server dengan dukungan Azure Arc dan Cakupan Private Link Azure Arc harus berada di wilayah Azure yang sama. Titik Akhir Privat dan jaringan virtual juga harus berada di wilayah Azure yang sama, tetapi wilayah ini dapat berbeda dari Cakupan Private Link Azure Arc dan server dengan dukungan Arc Anda.
• Lalu lintas jaringan ke Azure Active Directory dan Azure Resource Manager tidak melintasi Cakupan Private Link Azure Arc dan akan terus menggunakan rute jaringan default Anda ke internet. Anda dapat secara opsional mengonfigurasi tautan privat manajemen sumber daya untuk mengirim lalu lintas Azure Resource Manager ke titik akhir privat.
• Layanan Azure lainnya yang akan Anda gunakan, misalnya Azure Monitor, memerlukan titik akhir privat mereka sendiri di jaringan virtual Anda.
• Tautan privat untuk server dengan dukungan Azure Arc saat ini tidak tersedia di Azure Tiongkok

Merencanakan penyiapan Private Link Anda

Untuk menghubungkan server Anda ke Azure Arc melalui tautan privat, Anda perlu mengonfigurasi jaringan Anda untuk mencapai hal berikut:

1. Buat sambungan antara jaringan lokal Anda dengan jaringan virtual Azure menggunakan VPN situs ke situs atau sirkuit ExpressRoute.

2. Sebarkan Azure Arc Private Link Scope, yang mengontrol mesin atau server mana yang dapat berkomunikasi dengan Azure Arc melalui titik akhir privat dan mengaitkannya dengan jaringan virtual Azure Anda menggunakan titik akhir privat.

3. Perbarui konfigurasi DNS di jaringan lokal Anda untuk menyelesaikan alamat titik akhir privat.

4. Konfigurasikan firewall lokal Anda untuk memungkinkan akses ke Azure Active Directory dan Azure Resource Manager.

5. Hubungkan mesin atau server yang terdaftar di server dengan dukungan Azure Arc dengan lingkup tautan privat.

6. Secara opsional, terapkan titik akhir privat untuk layanan Azure lainnya yang dikelola oleh mesin atau server Anda, seperti:

   • Azure Monitor
   • Azure Automation
   • Penyimpanan Azure Blob
   • Azure Key Vault

Artikel ini mengasumsikan Anda telah mengatur sirkuit ExpressRoute atau koneksi VPN situs-ke-situs.

Konfigurasi jaringan

Server berkemampuan Azure Arc terintegrasi dengan beberapa layanan Azure untuk menghadirkan manajemen dan tata kelola cloud ke komputer atau server hibrid Anda. Sebagian besar layanan ini sudah menawarkan titik akhir privat, tetapi Anda perlu mengonfigurasi firewall dan aturan perutean Anda untuk memungkinkan akses ke Azure Active Directory dan Azure Resource Manager melalui internet sampai layanan ini menawarkan titik akhir privat.

Ada dua cara untuk mencapai hal ini:

• Jika jaringan Anda dikonfigurasi untuk merutekan semua lalu lintas terikat internet melalui sirkuit Azure VPN atau ExpressRoute, Anda dapat mengonfigurasi grup keamanan jaringan (NSG) yang terkait dengan subnet Anda di Azure untuk memungkinkan akses TCP 443 (HTTPS) keluar ke Azure AD dan Azure menggunakan tag layanan. Aturan NSGnya akan terlihat seperti berikut:

  Pengaturan	Aturan Azure AD	Aturan Azure
  Sumber	Jaringan virtual	Jaringan virtual
  Rentang port sumber	*	*
  Tujuan	Tag Layanan	Tag Layanan
  Tag layanan tujuan	AzureActiveDirectory	AzureResourceManager
  Rentang port tujuan	443	443
  Protokol	Tcp	Tcp
  Tindakan	Izinkan	Izinkan
  Prioritas	150 (harus lebih rendah dari aturan apa pun yang memblokir akses internet)	151 (harus lebih rendah dari aturan apa pun yang memblokir akses internet)
  Nama	AllowAADOutboundAccess	AllowAzOutboundAccess

• Konfigurasikan firewall pada jaringan lokal Anda untuk memungkinkan akses TCP 443 (HTTPS) keluar ke Azure AD dan Azure menggunakan file tag layanan yang dapat diunduh. File JSON berisi semua rentang alamat IP publik yang digunakan oleh Azure AD dan Azure dan diperbarui setiap bulan untuk mencerminkan perubahan apa pun. Tag layanan Azure AD adalah AzureActiveDirectory dan tag layanan Azure adalah AzureResourceManager. Konsultasikan dengan administrator jaringan dan vendor firewall jaringan Anda untuk mempelajari cara mengonfigurasi aturan firewall Anda.

Lihat diagram visual di bawah bagianCara kerja untuk arus lalu lintas jaringan.

Membuat Private Link Scope

1. Masuk ke portal Microsoft Azure.

2. Pergi ke Create a resource (Membuat sumber daya) di portal Microsoft Azure dan cari Azure Arc Private Link Scope. Atau Anda dapat menggunakan tautan berikut untuk membuka halaman Azure Arc Private Link Scope di portal.

   

3. Pilih Buat.

4. Di tab Dasar , pilih Langganan dan Grup Sumber Daya.

5. Masukkan nama untuk Azure Arc Private Link Scope. Sebaiknya gunakan nama yang bermakna dan jelas.

   Secara opsional, Anda dapat mengharuskan setiap komputer atau server dengan dukungan Azure Arc yang terkait dengan Cakupan Private Link Azure Arc ini untuk mengirim data ke layanan melalui titik akhir privat. Untuk melakukannya, centang kotak untuk Izinkan akses jaringan publik sehingga komputer atau server yang terkait dengan Cakupan Private Link Azure Arc ini dapat berkomunikasi dengan layanan melalui jaringan privat atau publik. Anda dapat mengubah pengaturan ini setelah membuat ruang lingkup jika Anda berubah pikiran.

6. Pilih tab Titik akhir privat , lalu pilih Buat.

7. Di jendela Buat titik akhir privat :

   1. Masukkan Nama untuk endpoint.

   2. Pilih Ya untuk Integrasikan dengan zona DNS privat, dan biarkan secara otomatis membuat Zona DNS Privat baru.

      Catatan

      Jika Anda memilih Tidak dan lebih memilih untuk mengatur catatan DNS secara manual, pertama-tama selesaikan penyetelan Private Link Anda - termasuk Titik Akhir Privat ini dan konfigurasi Private Scope. Kemudian, konfigurasikan DNS Anda sesuai dengan instruksi di konfigurasi DNS Azure Private Endpoint. Pastikan untuk tidak membuat catatan kosong sebagai persiapan untuk penyetelan Private Link Anda. Catatan DNS yang Anda buat bisa menggantikan pengaturan yang sudah ada dan memengaruhi konektivitas Anda dengan server dengan dukungan Azure Arc.

   3. PilihOK.

8. Pilih Tinjau + Buat.

   

9. Biarkan validasi lolos, lalu pilih Buat.

Mengonfigurasi penerusan DNS lokal

Mesin atau server lokal Anda harus dapat menyelesaikan rekaman DNS tautan privat ke alamat IP titik akhir privat. Cara Anda mengonfigurasi ini bergantung pada apakah Anda menggunakan zona DNS privat Azure untuk mempertahankan catatan DNS, atau jika Anda menggunakan server DNS Anda sendiri di tempat dan berapa banyak server yang Anda konfigurasi.

Konfigurasi DNS menggunakan zona DNS privat terintegrasi Azure

Jika Anda menyiapkan zona DNS privat untuk server dengan dukungan Azure Arc dan Konfigurasi Tamu saat membuat titik akhir privat, mesin atau server lokal Anda harus dapat meneruskan kueri DNS ke server DNS Azure bawaan untuk menyelesaikan alamat titik akhir privat dengan benar. Anda memerlukan penerus DNS di Azure (baik komputer virtual yang dibuat khusus atau instans Azure Firewall dengan proksi DNS diaktifkan), setelah itu Anda dapat mengonfigurasi server DNS lokal Anda untuk meneruskan kueri ke Azure untuk menyelesaikan alamat IP titik akhir privat.

Dokumentasi titik akhir memberikan panduan untuk mengonfigurasi beban kerja di tempat menggunakan penerus DNS.

Konfigurasi server DNS manual

Jika Anda memilih untuk tidak menggunakan zona DNS privat Azure selama pembuatan titik akhir privat, Anda perlu membuat catatan DNS yang diperlukan di server DNS lokal Anda.

1. Masuk ke portal Microsoft Azure.

2. Navigasikan ke sumber daya titik akhir privat yang terkait dengan jaringan virtual dan lingkup tautan privat Anda.

3. Dari panel sebelah kiri, pilih Konfigurasi DNS untuk melihat daftar catatan DNS dan alamat IP terkait yang perlu Anda siapkan di server DNS Anda. FQDN dan alamat IP akan berubah berdasarkan wilayah yang Anda pilih untuk titik akhir privat Anda dan alamat IP yang tersedia di subnet Anda.

   

4. Ikuti panduan dari vendor server DNS Anda untuk menambahkan zona DNS yang diperlukan dan catatan A agar sesuai dengan tabel di portal. Pastikan Anda memilih server DNS yang sesuai untuk jaringan Anda. Setiap komputer atau server yang menggunakan server DNS ini sekarang menyelesaikan alamat IP titik akhir privat dan harus dikaitkan dengan Cakupan Private Link Azure Arc, atau koneksi akan ditolak.

Skenario server tunggal

Jika Anda hanya berencana menggunakan Private Link untuk mendukung beberapa komputer atau server, Anda mungkin tidak ingin memperbarui seluruh konfigurasi DNS jaringan Anda. Dalam hal ini, Anda dapat menambahkan nama host titik akhir privat dan alamat IP ke file Hosts sistem operasi Anda. Tergantung pada konfigurasi OS, file Host dapat menjadi metode utama atau alternatif untuk menyelesaikan nama host ke alamat IP.

Windows

1. Menggunakan akun dengan hak administrator, buka C:\Windows\System32\drivers\etc\hosts.

2. Tambahkan IP titik akhir privat dan nama host seperti yang ditunjukkan dalam tabel dari langkah 3 di bawah konfigurasi server DNS Manual. File host memerlukan alamat IP terlebih dahulu diikuti oleh spasi dan kemudian nama host.

3. Simpan file dengan perubahan Anda. Anda mungkin perlu menyimpannya ke direktori lain terlebih dahulu, lalu salin file ke jalur asli.

Linux

1. /etc/hosts Buka file host di editor teks.

2. Tambahkan IP titik akhir privat dan nama host seperti yang ditunjukkan dalam tabel dari langkah 3 di bawah konfigurasi server DNS Manual. File host memerlukan alamat IP terlebih dahulu diikuti oleh spasi dan kemudian nama host.

3. Simpan file dengan perubahan Anda.

Koneksi ke server berkemampuan Azure Arc

Catatan

Versi minimum yang didukung dari agen komputer terhubung Azure Arc dengan titik akhir privat adalah versi 1.4. Skrip penyebaran server dengan dukungan Azure Arc yang dihasilkan di portal mengunduh versi terbaru.

Mengonfigurasi server dengan dukungan Azure Arc baru untuk menggunakan tautan Privat

Saat menghubungkan mesin atau server dengan server berkemampuan Azure Arc untuk pertama kalinya, Anda dapat menghubungkannya secara opsional ke Lingkup Tautan Privat. Langkah-langkah berikut adalah

1. Dari browser Anda, buka portal Azure.

2. Navigasi ke Servers -Azure Arc.

3. Pada halaman Server - Azure Arc, pilih Tambahkan di kiri atas.

4. Pada halaman Tambahkan server dengan Azure Arc, pilih Tambahkan server tunggal atau Tambahkan beberapa server tergantung pada skenario penerapan Anda, lalu pilih Buat skrip.

5. Pada halaman Buat skrip, pilih grup langganan dan sumber daya tempat Anda ingin komputer dikelola dalam Azure. Pilih lokasi Azure tempat metadata komputer akan disimpan. Lokasi ini dapat sama atau berbeda dengan lokasi grup sumber daya.

6. Pada halaman Prasyarat, tinjau informasi lalu pilih Berikutnya: Detail sumber daya.

7. Pada halaman Detail sumber daya, berikan hal berikut:

   1. Di daftar drop down Grup sumber daya, pilih grup sumber daya tempat komputer akan dikelola.

   2. Di daftar menu drop-down Wilayah, pilih wilayah Azure untuk menyimpan metadata server.

   3. Di daftar drop down Sistem Operasi, pilih sistem operasi yang dikonfigurasi skrip untuk dijalankan.

   4. Di bawah Konektivitas Jaringan, pilih Titik akhir privat dan pilih Azure Arc Private Link Cakupan yang dibuat di Bagian 1 dari daftar drop-down.

      

   5. Pilih Berikutnya: Tag.

8. Jika Anda memilih Tambahkan beberapa server, pada halaman Autentikasi , pilih perwakilan layanan yang dibuat untuk server dengan dukungan Azure Arc dari daftar drop-down. Jika Anda belum membuat perwakilan layanan untuk server dengan dukungan Azure Arc, pertama-tama tinjau cara membuat perwakilan layanan untuk membiasakan diri dengan izin yang diperlukan dan langkah untuk membuatnya. Pilih Berikutnya: Tag untuk melanjutkan.

9. Pada halaman Tag, tinjau Tag lokasi fisik default yang disarankan dan masukkan nilai, atau tentukan satu atau beberapa Tag kustom untuk mendukung standar Anda.

10. Pilih Berikutnya: Unduh dan jalankan skrip.

11. Pada halaman Unduh dan jalankan skrip, tinjau informasi ringkasan lalu pilih Unduh. Jika Anda masih perlu membuat perubahan, pilih Sebelumnya.

Setelah mengunduh skrip, Anda harus menjalankannya di mesin atau server Menggunakan akun istimewa (administrator atau root). Tergantung pada konfigurasi jaringan Anda, Anda mungkin perlu mengunduh agen dari komputer dengan akses internet dan mentransfernya ke mesin atau server Anda, dan kemudian memodifikasi skrip dengan jalur ke agen.

Agen Windows dapat diunduh dari https://aka.ms/AzureConnectedMachineAgent dan agen Linux dapat diunduh dari https://packages.microsoft.com. Carilah versi terbaru dari azcmagent di bawah direktori distribusi OS Anda dan diinstal dengan manajer paket lokal Anda.

Skrip akan mengembalikan pesan status yang memberi tahu Anda jika proses onboarding berhasil setelah selesai.

Tip

Lalu lintas jaringan dari agen Azure Connected Machine ke Azure Active Directory dan Azure Resource Manager akan terus menggunakan titik akhir publik. Jika server Anda perlu berkomunikasi melalui server proksi untuk mencapai titik akhir ini, konfigurasikan agen dengan URL server proksi sebelum menyambungkannya ke Azure. Anda mungkin juga perlu mengonfigurasi bypass proksi untuk layanan Azure Arc jika titik akhir privat Anda tidak dapat diakses dari server proksi Anda.

Mengonfigurasi server dengan dukungan Azure Arc yang sudah ada

Untuk server dengan dukungan Azure Arc yang disiapkan sebelum cakupan tautan privat, Anda dapat mengizinkannya mulai menggunakan Cakupan Private Link server dengan dukungan Azure Arc dengan menyelesaikan langkah berikut.

1. Di portal Microsoft Azure, navigasikan ke sumber daya Azure Arc Private Link Scope Anda.

2. Dari panel sebelah kiri, pilih Sumber daya Azure Arc lalu + Tambahkan.

3. Pilih server dalam daftar yang ingin Anda kaitkan dengan Private Link Scope, lalu pilih Select (Pilih) untuk menyimpan perubahan Anda.

   Catatan

   Hanya server dengan dukungan Azure Arc dalam langganan dan wilayah yang sama dengan Privat Link Scope Anda ditampilkan.

   

Mungkin diperlukan waktu hingga 15 menit untuk Private Link Scope untuk menerima koneksi dari server yang baru-baru ini terkait.

Pemecahan Masalah

1. Periksa server DNS lokal Anda untuk memverifikasi apakah itu diteruskan ke Azure DNS atau dikonfigurasi dengan catatan A yang sesuai di zona tautan privat Anda. Perintah pencarian ini harus mengembalikan alamat IP privat di jaringan virtual Azure Anda. Jika mereka menyelesaikan alamat IP publik, periksa kembali konfigurasi DNS komputer atau server dan jaringan Anda.

   nslookup gbl.his.arc.azure.com
   nslookup agentserviceapi.guestconfiguration.azure.com
   

2. Jika Anda mengalami masalah saat onboarding mesin atau server, konfirmasikan bahwa Anda telah menambahkan tag layanan Azure Active Directory dan Azure Resource Manager ke firewall jaringan lokal Anda. Agen perlu berkomunikasi dengan layanan ini melalui internet sampai titik akhir privat tersedia untuk layanan ini.

Langkah berikutnya

• Untuk mempelajari selengkapnya tentang Titik Akhir Privat, lihat Apa itu Titik Akhir Privat Azure?.

• Jika Anda mengalami masalah dengan pengaturan konektivitas Azure Private Endpoint Anda, lihat Memecahkan Masalah konektivitas Azure Private Endpoint.

• Untuk informasi selengkapnya, lihat berikut ini untuk mengonfigurasi Tautan Privat untuk Azure Automation, Azure Monitor, Azure Key Vault, atau Azure Blob storage.