Tutorial: Membangun akses situs pribadi Azure Functions
Tutorial ini menunjukkan cara mengaktifkan akses situs pribadi dengan Azure Functions. Dengan menggunakan akses situs pribadi, Anda dapat mengharuskan kode fungsi Anda hanya dapat dipicu dari jaringan virtual tertentu.
Akses situs pribadi berguna dalam skenario saat akses ke aplikasi fungsi perlu dibatasi ke jaringan virtual tertentu. Misalnya, aplikasi fungsi hanya dapat berlaku untuk karyawan organisasi tertentu, atau layanan yang berada dalam jaringan virtual yang ditentukan (seperti Fungsi Azure lainnya, Azure Virtual Machine, atau klaster AKS).
Jika aplikasi Fungsi perlu mengakses sumber daya Azure dalam jaringan virtual, atau terhubung melalui titik akhir layanan, maka integrasi jaringan virtual diperlukan.
Dalam tutorial ini, Anda akan mempelajari cara mengonfigurasi akses situs pribadi untuk aplikasi fungsi Anda:
- Membuat mesin virtual
- Membuat layanan Azure Bastion
- Membuat aplikasi Azure Functions
- Mengonfigurasi titik akhir layanan jaringan virtual
- Membuat dan menyebarkan Fungsi Azure
- Memanggil fungsi dari luar dan di dalam jaringan virtual
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum memulai.
Topologi
Diagram berikut menampilkan arsitektur solusi yang akan dibuat:
Prasyarat
Untuk tutorial ini, Anda perlu memahami pengalamatan IP dan subnet. Anda dapat memulai dengan artikel ini yang mencakup dasar-dasar penentuan alamat dan subnet. Banyak lagi artikel dan video yang tersedia secara online.
Masuk ke portal Azure
Masuk ke portal Azure.
Membuat mesin virtual
Langkah pertama dalam tutorial ini adalah membuat mesin virtual baru di dalam jaringan virtual. Komputer virtual akan digunakan untuk mengakses fungsi setelah Anda membatasi aksesnya agar hanya tersedia dari dalam jaringan virtual.
Pilih tombol Buat sumber daya.
Di bidang pencarian, ketik Windows Server, dan pilih Windows Server di hasil pencarian.
Pilih Pusat Data Windows Server 2019 dari daftar opsi Windows Server, dan tekan tombol Buat.
Di tab Dasar- Dasar, gunakan pengaturan VM seperti yang ditentukan dalam tabel di bawah gambar:
Pengaturan Nilai yang disarankan Deskripsi Langganan Langganan Anda Langganan tempat sumber daya Anda dibuat. Grup sumber daya myResourceGroup Pilih grup sumber daya untuk memuat semua sumber daya untuk tutorial ini. Menggunakan grup sumber daya yang sama memudahkan untuk membersihkan sumber daya ketika Anda selesai dengan tutorial ini. Nama komputer virtual myVM Nama VM harus yang unik dalam grup sumber daya Wilayah US Tengah Utara (AS) Pilih wilayah di dekat Anda atau di dekat fungsi yang akan diakses. Port masuk publik Tidak Pilih Tidak Ada untuk memastikan tidak ada konektivitas masuk ke VM dari internet. Akses jarak jauh ke VM akan dikonfigurasi melalui layanan Azure Bastion. Pilih tab Jaringan dan pilih Buat baru untuk mengonfigurasi jaringan virtual baru.
Dalam Membuat jaringan virtual, gunakan pengaturan dalam tabel di bawah gambar:
Pengaturan Nilai yang disarankan Deskripsi Nama myResourceGroup-vnet Anda bisa menggunakan nama default yang dihasilkan untuk jaringan virtual Anda. Rentang alamat 10.10.0.0/16 Gunakan satu rentang alamat untuk jaringan virtual. Nama subnet Tutorial Nama subnet. Rentang alamat (subnet) 10.10.1.0/24 Ukuran subjaringan menentukan berapa banyak antarmuka yang dapat ditambahkan ke subnet. Subnet ini digunakan oleh VM. Sebuah subnet /24 menyediakan 254 alamat host. Pilih OK untuk membuat jaringan virtual.
Kembali ke tab Jaringan, pastikan Tidak Ada yang dipilih untuk IP Publik.
Pilih tab Manajemen, lalu di Akun penyimpanan diagnostik, pilih Buat baru untuk membuat akun Penyimpanan baru.
Biarkan nilai default untuk bagian Identitas, Dimatikan otomatis, dan Pencadangan.
Pilih Tinjau + buat. Setelah validasi selesai, pilih Buat. Proses pembuatan VM membutuhkan waktu beberapa menit.
Mengonfigurasi Azure Bastion
Azure Bastion adalah layanan Azure terkelola penuh yang menyediakan akses RDP dan SSH yang aman ke komputer virtual langsung dari portal Microsoft Azure. Menggunakan layanan Azure Bastion menghapus kebutuhan untuk mengonfigurasi pengaturan jaringan yang terkait dengan akses RDP.
Di portal, pilih Tambahkan di bagian atas tampilan grup sumber daya.
Di bidang pencarian, ketik Bastion.
Pilih Bastion di hasil pencarian.
Pilih Buat untuk memulai proses pembuatan sumber daya Azure Bastion baru. Anda akan melihat pesan kesalahan di bagian Jaringan virtual karena belum ada subnet AzureBastionSubnet. Subnet dibuat dalam langkah-langkah berikut. Gunakan pengaturan dalam tabel di bawah gambar:
Pengaturan Nilai yang disarankan Deskripsi Nama myBastion Nama sumber daya Bastion baru Wilayah US Tengah Utara Pilih wilayah di dekat Anda atau di dekat layanan lain yang diakses fungsi Anda. Jaringan virtual myResourceGroup-vnet Jaringan virtual tempat sumber daya Bastion akan dibuat di Subnet AzureBastionSubnet Subnet di jaringan virtual Anda tempat sumber daya host Bastion baru akan digunakan. Anda harus membuat subnet menggunakan nilai nama AzureBastionSubnet. Nilai ini memungkinkan Azure mengetahui subnet mana yang akan digunakan untuk menerapkan sumber daya Bastion. Anda harus menggunakan subnet minimal /27 atau lebih besar (/27, /26, dan sebagainya). Catatan
Untuk panduan langkah demi langkah yang terperinci untuk membuat sumber daya Azure Bastion, lihat tutorial Membuat host Azure Bastion.
Buat subnet di mana Azure dapat menyediakan host Azure Bastion. Memilih Kelola konfigurasi subnet membuka panel baru tempat Anda bisa menentukan subnet baru. Pilih + Subnet untuk membuat subnet baru.
Subnet harus bernama AzureBastionSubnet dan awalan subnet harus minimal /27. Pilih OK untuk membuat subnet.
Pada halaman Buat Bastion, pilih AzureBastionSubnet yang baru dibuat dari daftar subnet yang tersedia.
Pilih Tinjau & Buat. Setelah validasi selesai, pilih Buat. Dibutuhkan beberapa menit agar sumber daya Azure Bastion selesai dibuat.
Membuat aplikasi Azure Functions
Langkah selanjutnya adalah membuat aplikasi fungsi di Azure menggunakan Paket konsumsi. Anda menyebarkan kode fungsi Anda ke sumber daya ini nanti dalam tutorial.
Di portal, pilih Tambahkan di bagian atas tampilan grup sumber daya.
Pilih Komputasi > Aplikasi Fungsi
Di bagian Dasar, gunakan pengaturan aplikasi fungsi seperti yang ditentukan dalam tabel di bawah ini.
Pengaturan Nilai yang disarankan Deskripsi Grup Sumber Daya myResourceGroup Pilih grup sumber daya untuk memuat semua sumber daya untuk tutorial ini. Menggunakan grup sumber daya yang sama untuk aplikasi fungsi dan VM memudahkan untuk membersihkan sumber daya ketika Anda selesai dengan tutorial ini. Nama Aplikasi Fungsi Nama unik secara global Nama yang akan mengidentifikasi aplikasi fungsi baru Anda. Karakter yang valid adalah a-z (tidak sensitif huruf besar kecil), 0-9, dan -. Mempublikasikan Kode Opsi untuk menerbitkan file kode atau sebuah kontainer Docker. Tumpukan runtime Bahasa pilihan Pilih runtime yang mendukung bahasa pemrograman fungsi favorit Anda. Wilayah US Tengah Utara Pilih wilayah di dekat Anda atau di dekat layanan lain yang diakses fungsi Anda. Pilih tombol Berikutnya: Hosting >.
Untuk bagian Hosting, pilih akun Penyimpanan yang tepat, sistem operasi, dan Rencanakan seperti yang dijelaskan dalam tabel berikut.
Pengaturan Nilai yang disarankan Deskripsi Akun penyimpanan Nama unik secara global Buat akun penyimpanan yang digunakan oleh aplikasi fungsi Anda. Nama akun penyimpanan harus sepanjang 3 dan 24 karakter dan dapat mengandung angka dan huruf kecil saja. Anda juga dapat menggunakan akun yang sudah ada, yang harus memenuhi persyaratan akun penyimpanan. Sistem operasi Sistem operasi yang dipilih Sistem operasi telah dipilih untuk Anda berdasarkan pilihan tumpukan runtime, tetapi Anda dapat mengubah pengaturan jika diperlukan. Rencana Consumption Paket hosting menentukan bagaimana aplikasi fungsi diskalakan dan sumber daya tersedia untuk setiap instans. Pilih Tinjau + Buat untuk meninjau pilihan konfigurasi aplikasi.
Pilih Buat untuk menyediakan dan menerapkan aplikasi fungsi.
Konfigurasikan pembatasan akses
Langkah selanjutnya adalah mengonfigurasi pembatasan akses untuk memastikan hanya sumber daya di jaringan virtual yang dapat memanggil fungsi.
Akses situs pribadi diaktifkan dengan membuat titik akhir layanan Azure Virtual Network antara aplikasi fungsi dan jaringan virtual yang ditentukan. Pembatasan akses diterapkan melalui titik akhir layanan. Titik akhir layanan memastikan hanya lalu lintas yang berasal dari dalam jaringan virtual yang ditentukan yang dapat mengakses sumber daya yang ditunjuk. Dalam hal ini, sumber daya yang ditunjuk adalah Fungsi Azure.
Dalam aplikasi fungsi, pilih tautan Jaringan di bawah judul bagian Pengaturan.
Halaman Jaringan adalah titik awal untuk mengonfigurasi Azure Front Door, Azure CDN, dan juga Pembatasan Akses.
Pilih Konfigurasi Pembatasan Akses untuk mengonfigurasi akses situs pribadi.
Pada halaman Pembatasan Akses, Anda hanya melihat pembatasan default yang berlaku. Secara default tidak menempatkan batasan pada akses ke aplikasi fungsi. Pilih Tambahkan aturan untuk membuat konfigurasi pembatasan akses situs pribadi.
Di panel Tambahkan Pembatasan Akses, berikan Nama, Prioritas, dan Deskripsi untuk aturan baru.
Pilih Jaringan Virtual dari kotak turun bawah Tipe, lalu pilih jaringan virtual yang dibuat sebelumnya, lalu pilih subnet Tutorial.
Catatan
Mungkin diperlukan beberapa menit untuk mengaktifkan titik akhir layanan.
Halaman Pembatasan Akses sekarang menunjukkan bahwa terdapat pembatasan baru. Mungkin perlu waktu beberapa detik agar status titik akhir berubah dari Dinonaktifkan melalui Penyediaan menjadi Diaktifkan.
Penting
Setiap aplikasi fungsi memiliki situs Advanced Tool (Kudu) yang digunakan untuk mengelola penyebaran aplikasi fungsi. Situs ini diakses dari URL seperti:
<FUNCTION_APP_NAME>.scm.azurewebsites.net
. Mengaktifkan pembatasan akses pada situs Kudu mencegah penyebaran kode proyek dari stasiun kerja pengembang lokal, dan kemudian agen diperlukan dalam jaringan virtual untuk melakukan penyebaran.
Mengakses aplikasi Fungsi
Kembali ke aplikasi fungsi yang dibuat sebelumnya. Di bagian Gambaran Umum, salin URL.
Jika Anda mencoba mengakses aplikasi fungsi sekarang dari komputer di luar jaringan virtual, Anda akan menerima halaman HTTP 403 yang menunjukkan bahwa akses dilarang.
Kembali ke grup sumber daya dan pilih komputer virtual yang dibuat sebelumnya. Untuk mengakses situs dari VM, Anda perlu terhubung ke VM melalui layanan Azure Bastion.
Pilih Sambungkan lalu pilih Bastion.
Berikan nama pengguna dan kata sandi yang diperlukan untuk masuk ke komputer virtual.
Pilih Sambungkan. Jendela browser baru akan muncul untuk memungkinkan Anda berinteraksi dengan komputer virtual. Dimungkinkan untuk mengakses situs dari browser web di VM karena VM mengakses situs melalui jaringan virtual. Meskipun situs ini hanya dapat diakses dari dalam jaringan virtual yang ditunjuk, entri DNS publik tetap ada.
Membuat fungsi
Langkah selanjutnya dalam tutorial ini adalah membuat Fungsi Azure yang dipicu HTTP. Memanggil fungsi melalui HTTP GET atau POST harus menghasilkan respons "Halo, {name}".
Ikuti salah satu mulai cepat berikut ini untuk membuat dan menggunakan aplikasi Azure Functions Anda.
Saat memublikasikan proyek Azure Functions Anda, pilih sumber daya aplikasi fungsi yang Anda buat sebelumnya dalam tutorial ini.
Verifikasi fungsi telah disebarkan.
Panggil fungsi secara langsung
Untuk menguji akses ke fungsi, Anda perlu menyalin URL fungsi. Pilih fungsi yang disebarkan, lalu pilih Dapatkan Url Fungsi. Kemudian klik tombol Salin untuk menyalin URL ke clipboard Anda.
Tempelkan URL ke browser web. Ketika Anda sekarang mencoba mengakses aplikasi fungsi dari komputer di luar jaringan virtual Anda, Anda akan menerima respons HTTP 403 yang menunjukkan akses ke aplikasi dilarang.
Panggil fungsi dari jaringan virtual
Mengakses fungsi melalui browser web (dengan menggunakan layanan Azure Bastion) pada VM yang dikonfigurasi di jaringan virtual menghasilkan keberhasilan!
Membersihkan sumber daya
Di langkah-langkah sebelumnya, Anda membuat sumber daya Azure dalam grup sumber daya. Jika Anda tidak berharap membutuhkan sumber daya ini di masa mendatang, Anda dapat menghapusnya dengan menghapus grup sumber daya.
Pada menu portal Microsoft Azure atau halaman Beranda, pilih Grup sumber daya. Setelah itu, pada halaman Grup sumber daya, pilih myResourceGroup.
Pada halaman myResourceGroup, pastikan sumber daya yang tercantum adalah sumber daya yang ingin Anda hapus.
Pilih Hapus grup sumber daya, ketik myResourceGroup di kotak teks untuk mengonfirmasi, lalu pilih Hapus.