Mendesain penyiapan Azure Private Link Anda

  • Artikel

Sebelum Anda menyiapkan instans Azure Private Link, pertimbangkan topologi jaringan dan topologi perutean DNS Anda.

Seperti yang dibahas dalam Menggunakan Azure Private Link untuk menyambungkan jaringan ke Azure Monitor, menyiapkan tautan privat memengaruhi lalu lintas ke semua sumber daya Azure Monitor. Itu terutama berlaku untuk sumber daya Application Insights. Ini juga mempengaruhi tidak hanya jaringan yang terhubung ke titik akhir privat tetapi juga semua jaringan lain yang berbagi DNS yang sama.

Pendekatan paling sederhana dan paling aman:

  1. Buat koneksi tautan privat tunggal, dengan satu titik akhir privat dan satu Azure Monitor Private Link Scope (AMPLS). Jika jaringan Anda di-peering, buat koneksi tautan privat di jaringan virtual bersama (atau hub).
  2. Tambahkan semua sumber daya Azure Monitor seperti komponen Application Insights, ruang kerja Analitik Log, dan titik akhir pengumpulan data ke AMPLS.
  3. Blokir lalu lintas keluar jaringan sebanyak mungkin.

Jika Anda tidak dapat menambahkan semua sumber daya Azure Monitor ke AMPLS, Anda masih dapat menerapkan tautan privat ke beberapa sumber daya, seperti yang dijelaskan dalam Mengontrol bagaimana tautan privat berlaku untuk jaringan Anda. Kami tidak merekomendasikan pendekatan ini karena tidak mencegah penyelundupan data.

Paket berdasarkan topologi jaringan

Pertimbangkan topologi jaringan dalam proses perencanaan Anda.

Prinsip panduan: Hindari pengambilalihan DNS menggunakan AMPLS tunggal

Beberapa jaringan terdiri dari beberapa jaringan virtual atau jaringan terhubung lainnya. Jika jaringan ini berbagi DNS yang sama, menyiapkan tautan privat pada salah satu dari mereka akan memperbarui DNS dan memengaruhi lalu lintas di semua jaringan.

Dalam diagram berikut, jaringan virtual 10.0.1.x tersambung ke AMPLS1, yang membuat entri DNS yang memetakan titik akhir Azure Monitor ke IP dari rentang 10.0.1.x. Kemudian, jaringan virtual 10.0.2.x terhubung ke AMPLS2, yang mengambil alih entri DNS yang sama dengan memetakan titik akhir global/regional yang sama ke IP dari rentang 10.0.2.x. Karena jaringan virtual ini tidak di-peering, jaringan virtual pertama sekarang gagal mencapai titik akhir ini.

Untuk menghindari konflik ini, buat hanya satu objek AMPLS per DNS.

Diagram that shows DNS overrides in multiple virtual networks.

Jaringan hub-dan-spoke

Jaringan hub-and-spoke harus menggunakan satu koneksi tautan privat yang diatur pada jaringan hub (utama), dan bukan di setiap jaringan virtual spoke.

Diagram that shows a hub-and-spoke single private link.

Catatan

Anda mungkin lebih suka membuat tautan privat terpisah untuk jaringan virtual spoke Anda, misalnya, untuk memungkinkan setiap jaringan virtual mengakses sekumpulan sumber daya pemantauan terbatas. Dalam kasus seperti itu, Anda dapat membuat titik akhir privat khusus dan AMPLS untuk setiap jaringan virtual. Anda juga harus memverifikasi bahwa mereka tidak berbagi zona DNS yang sama untuk menghindari penimpaan DNS.

Jaringan yang di-peering

Peering jaringan digunakan dalam berbagai topologi, selain hub dan spoke. Jaringan tersebut dapat berbagi alamat IP satu sama lain, dan kemungkinan besar berbagi DNS yang sama. Dalam kasus seperti itu, buat satu tautan privat di jaringan yang dapat diakses oleh jaringan Anda yang lain. Hindari membuat beberapa titik akhir privat dan objek AMPLS karena pada akhirnya hanya satu set terakhir dalam DNS yang berlaku.

Jaringan yang diisolasi

Jika jaringan Anda tidak di-peering, Anda juga harus memisahkan DNS mereka untuk menggunakan tautan privat. Setelah itu selesai, buat titik akhir privat terpisah untuk setiap jaringan, dan objek AMPLS terpisah. Objek AMPLS Anda dapat ditautkan ke ruang kerja/komponen yang sama atau ke yang berbeda.

Pengujian secara lokal: Edit file host mesin Anda alih-alih DNS

Untuk menguji tautan privat secara lokal tanpa memengaruhi klien lain di jaringan Anda, pastikan untuk tidak memperbarui DNS anda saat membuat titik akhir privat. Sebagai gantinya, edit file host di komputer Anda sehingga akan mengirim permintaan ke titik akhir tautan privat:

  • Siapkan tautan privat, tetapi saat Anda tersambung ke titik akhir privat, pilih untuk tidak mengintegrasikan secara otomatis dengan DNS (langkah 5b).
  • Konfigurasikan titik akhir yang relevan pada file host mesin Anda. Untuk meninjau titik akhir Azure Monitor yang memerlukan pemetaan, lihat Meninjau pengaturan DNS titik akhir Anda.

Kami tidak merekomendasikan pendekatan tersebut untuk lingkungan produksi.

Dengan menggunakan mode akses tautan privat, Anda dapat mengontrol bagaimana tautan privat memengaruhi lalu lintas jaringan Anda. Pengaturan ini dapat berlaku untuk objek AMPLS Anda (untuk memengaruhi semua jaringan yang terhubung) atau ke jaringan tertentu yang terhubung dengan objek AMPLS.

Memilih mode akses yang tepat sangat penting untuk memastikan lalu lintas jaringan yang berkelanjutan dan tidak terganggu. Masing-masing mode ini dapat diatur untuk konsumsi dan kueri, secara terpisah:

  • Hanya Privat: Memungkinkan jaringan virtual hanya menjangkau sumber daya tautan privat (sumber daya di AMPLS). Itu adalah mode kerja yang paling aman. Ini mencegah penyelundupan data dengan memblokir lalu lintas dari AMPLS ke sumber daya Azure Monitor. Diagram that shows the AMPLS Private Only access mode.
  • Buka: Memungkinkan jaringan virtual untuk menjangkau sumber daya dan sumber daya tautan privat yang tidak ada di AMPLS (jika mereka menerima lalu lintas dari jaringan publik). Mode Akses terbuka tidak mencegah penyelundupan data, tetapi masih menawarkan manfaat lain dari tautan privat. Lalu lintas ke sumber daya tautan privat dikirim melalui titik akhir privat, divalidasi, dan dikirim melalui backbone Microsoft. Mode Buka berguna untuk mode kerja campuran (mengakses beberapa sumber daya secara publik dan lainnya melalui tautan privat) atau selama proses onboarding bertahap. Diagram that shows the AMPLS Open access mode. Mode akses diatur secara terpisah untuk penyerapan dan kueri. Contohnya, Anda dapat mengatur mode Hanya Privat untuk konsumsi dan mode Terbuka untuk kueri.

Berhati-hatilah saat Anda memilih mode akses Anda. Menggunakan mode akses Privat Saja akan memblokir lalu lintas ke sumber daya yang tidak ada di AMPLS di semua jaringan yang berbagi DNS yang sama, terlepas dari langganan atau penyewa. Pengecualiannya adalah permintaan penyerapan Analitik Log, yang dijelaskan. Jika Anda tidak dapat menambahkan semua sumber daya Azure Monitor ke AMPLS, mulailah dengan menambahkan sumber daya tertentu dan menerapkan mode Buka akses. Beralih ke mode Hanya Privat untuk keamanan maksimum hanya setelah Anda menambahkan semua sumber daya Azure Monitor ke AMPLS Anda.

Untuk detail dan contoh konfigurasi, lihat Menggunakan API dan baris perintah.

Catatan

Konsumsi Log Analytics menggunakan titik akhir khusus sumber daya. Dengan demikian, ini tidak mematuhi mode akses AMPLS. Untuk memastikan permintaan penyerapan Analitik Log tidak dapat mengakses ruang kerja dari AMPLS, atur firewall jaringan untuk memblokir lalu lintas ke titik akhir publik, terlepas dari mode akses AMPLS.

Mengatur mode akses untuk jaringan tertentu

Mode akses yang diatur pada sumber daya AMPLS memengaruhi semua jaringan, tetapi Anda dapat mengambil alih pengaturan ini untuk jaringan tertentu.

Dalam diagram berikut, VNet1 menggunakan mode Terbuka dan VNet2 menggunakan mode Hanya Privat. Permintaan dari VNet1 dapat mencapai Ruang Kerja 1 dan Komponen 2 melalui tautan privat. Permintaan dapat mencapai Komponen 3 hanya jika menerima lalu lintas dari jaringan publik. Permintaan VNet2 tidak dapat mencapai Komponen 3. Diagram that shows mixed access modes.

Pertimbangkan batas AMPLS

Objek AMPLS memiliki batasan berikut:

  • Jaringan virtual hanya dapat tersambung ke satu objek AMPLS. Itu berarti objek AMPLS harus menyediakan akses ke semua sumber daya Azure Monitor tempat jaringan virtual harus memiliki akses.
  • Objek AMPLS dapat terhubung ke 300 ruang kerja Analitik Log dan paling banyak 1.000 komponen Application Insights.
  • Sumber daya Azure Monitor (komponen ruang kerja atau Application Insights atau titik akhir pengumpulan data) dapat tersambung ke lima AMPL PALING banyak.
  • Objek AMPLS dapat tersambung ke 10 titik akhir privat paling banyak.

Catatan

Sumber daya AMPLS yang dibuat sebelum 1 Desember 2021, hanya mendukung 50 sumber daya.

Dalam diagram berikut:

  • Setiap jaringan virtual hanya terhubung ke satu objek AMPLS.
  • AMPLS A terhubung ke dua ruang kerja dan satu komponen Application Insight dengan menggunakan dua dari kemungkinan 300 ruang kerja Analitik Log dan salah satu dari kemungkinan 1.000 komponen Application Insights yang dapat disambungkannya.
  • Ruang kerja 2 terhubung ke AMPLS A dan AMPLS B dengan menggunakan dua dari lima kemungkinan koneksi AMPLS.
  • AMPLS B terhubung ke titik akhir privat dari dua jaringan virtual (VNet2 dan VNet3) dengan menggunakan dua dari 10 kemungkinan koneksi titik akhir privat.

Diagram that shows AMPLS limits.

Mengontrol akses jaringan ke sumber daya Anda

Ruang kerja Log Analytics atau komponen Application Insights Anda dapat diatur ke:

  • Menerima atau memblokir konsumsi dari jaringan publik (jaringan yang tidak terhubung ke AMPLS sumber daya).
  • Menerima atau memblokir kueri dari jaringan publik (jaringan yang tidak terhubung ke AMPLS sumber daya).

Granularitas tersebut memungkinkan Anda untuk mengatur akses sesuai dengan kebutuhan Anda, per ruang kerja. Misalnya, Anda mungkin menerima penyerapan hanya melalui jaringan yang terhubung dengan tautan privat (yang berarti jaringan virtual tertentu) tetapi masih memilih untuk menerima kueri dari semua jaringan, publik, dan privat.

Memblokir kueri dari jaringan publik berarti klien seperti mesin dan SDK di luar AMPLS yang terhubung tidak dapat mengkueri data dalam sumber daya. Data tersebut termasuk log, metrik, dan aliran metrik langsung. Memblokir kueri dari jaringan publik memengaruhi semua pengalaman yang menjalankan kueri ini, seperti buku kerja, dasbor, wawasan dalam portal Azure, dan kueri yang dijalankan dari luar portal Azure.

Catatan

Ada pengecualian tertentu di mana pengaturan ini tidak berlaku. Anda dapat menemukan detail di bagian berikut.

Titik akhir pengumpulan data Anda dapat diatur untuk menerima atau memblokir akses dari jaringan publik (jaringan yang tidak tersambung ke AMPLS sumber daya).

Untuk informasi konfigurasi, lihat Mengatur bendera akses sumber daya.

Pengecualian

Perhatikan pengecualian berikut.

Log Diagnostik

Log dan metrik yang diunggah ke ruang kerja melalui pengaturan diagnostik melewati saluran Microsoft privat yang aman dan tidak dikontrol oleh pengaturan ini.

Metrik kustom atau metrik tamu Azure Monitor

Metrik kustom (pratinjau) yang dikumpulkan dan diunggah melalui Agen Azure Monitor tidak dikontrol oleh titik akhir pengumpulan data. Mereka tidak dapat dikonfigurasi melalui tautan privat.

Manajer Sumber Daya Azure

Membatasi akses seperti yang dijelaskan sebelumnya berlaku untuk data dalam sumber daya. Namun, perubahan konfigurasi seperti mengaktifkan atau menonaktifkan pengaturan akses ini dikelola oleh Azure Resource Manager. Untuk mengontrol pengaturan ini, batasi akses ke sumber daya dengan menggunakan peran, izin, kontrol jaringan, dan audit yang sesuai. Untuk informasi selengkapnya, lihat Peran, izin, dan keamanan Azure Monitor.

Catatan

Kueri yang dikirim melalui RESOURCE Manager API tidak dapat menggunakan tautan privat Azure Monitor. Kueri ini hanya dapat dilalui jika sumber daya target mengizinkan kueri dari jaringan publik (diatur melalui panel Isolasi Jaringan atau dengan menggunakan CLI).

Pengalaman berikut diketahui menjalankan kueri melalui RESOURCE Manager API:

  • Konektor LogicApp
  • Perbarui solusi Pengelolaan
  • Ubah solusi Pelacakan
  • VM Insights
  • Insight Kontainer
  • Panel Ringkasan Ruang Kerja Analitik Log (tidak digunakan lagi) (yang memperlihatkan dasbor solusi)

Pertimbangan Application Insights

  • Anda harus menambahkan sumber daya yang menghosting beban kerja yang dipantau ke tautan privat. Misalnya, lihat Menggunakan titik akhir privat untuk Azure Web App.
  • Pengalaman konsumsi non-portal juga harus berjalan pada jaringan virtual tertaut privat yang mencakup beban kerja yang dipantau.
  • Untuk mendukung tautan privat untuk Profiler dan Debugger, Anda harus menyediakan akun penyimpanan Anda sendiri.

Catatan

Untuk sepenuhnya mengamankan Application Insights berbasis ruang kerja, Anda perlu mengunci akses ke sumber daya Application Insights dan ruang kerja Analitik Log yang mendasar.

Pertimbangan Log Analytics

Perhatikan pertimbangan Analitik Log berikut.

Unduhan paket solusi Log Analytics

Agen Log Analytics perlu mengakses akun penyimpanan global untuk mengunduh paket solusi. Penyiapan tautan privat yang dibuat pada atau setelah 19 April 2021 (atau mulai Juni 2021 di sovereign cloud Azure) dapat menjangkau penyimpanan paket solusi agen melalui tautan privat. Kemampuan ini dimungkinkan melalui zona DNS yang dibuat untuk blob.core.windows.net.

Jika penyiapan tautan privat Anda dibuat sebelum 19 April 2021, pengaturan tersebut tidak akan mencapai penyimpanan paket solusi melalui tautan privat. Untuk menanganinya, Anda dapat:

  • Buat ulang AMPLS dan titik akhir privat yang tersambung ke AMPLS tersebut.

  • Izinkan agen Anda menjangkau akun penyimpanan melalui titik akhir publiknya dengan menambahkan aturan berikut ke daftar izin firewall Anda:

    Lingkungan cloud Sumber daya agen Port Arah
    Azure Public scadvisorcontent.blob.core.windows.net 443 Keluar
    Azure Government usbn1oicore.blob.core.usgovcloudapi.net 443 Keluar
    Microsoft Azure dioperasikan oleh 21Vianet mceast2oicore.blob.core.chinacloudapi.cn 443 Keluar

Akun penyimpanan digunakan dalam proses penyerapan log kustom. Secara default, akun penyimpanan yang dikelola layanan digunakan. Untuk menyerap log kustom pada tautan privat, Anda harus menggunakan akun penyimpanan Anda sendiri dan mengaitkannya dengan ruang kerja Analitik Log.

Untuk informasi selengkapnya tentang cara menyambungkan akun penyimpanan Anda sendiri, lihat Akun penyimpanan milik pelanggan untuk penyerapan log dan khususnya Menggunakan tautan privat dan Menautkan akun penyimpanan ke ruang kerja Analitik Log Anda.

Automation

Jika Anda menggunakan solusi Analitik Log yang memerlukan akun Azure Automation (seperti Manajemen Pembaruan, Pelacakan Perubahan, atau Inventarisasi), Anda juga harus membuat tautan privat untuk akun Automation Anda. Untuk informasi selengkapnya, lihat Menggunakan Azure Private Link untuk menyambungkan jaringan dengan aman ke Azure Automation.

Catatan

Beberapa produk dan portal Azure mengalami kueri data melalui Resource Manager. Dalam hal ini, mereka tidak akan dapat mengkueri data melalui tautan privat kecuali pengaturan tautan privat diterapkan ke Resource Manager juga. Untuk mengatasi pembatasan ini, Anda dapat mengonfigurasi sumber daya untuk menerima kueri dari jaringan publik seperti yang dijelaskan dalam Mengontrol akses jaringan ke sumber daya Anda. (Penyerapan dapat tetap terbatas pada jaringan tautan privat.) Kami telah mengidentifikasi produk dan pengalaman berikut ruang kerja kueri melalui Resource Manager:

  • Konektor LogicApp
  • Perbarui solusi Pengelolaan
  • Ubah solusi Pelacakan
  • Panel Ringkasan Ruang Kerja (tidak digunakan lagi) di portal (yang memperlihatkan dasbor solusi)
  • VM Insights
  • Insight Kontainer

Pertimbangan Prometheus Terkelola

  • Pengaturan penyerapan Private Link dibuat menggunakan AMPLS dan pengaturan pada Titik Akhir Pengumpulan Data (DCEs) yang mereferensikan ruang kerja Azure Monitor yang digunakan untuk menyimpan metrik Prometheus Anda.
  • Pengaturan kueri Private Link dibuat langsung di ruang kerja Azure Monitor yang digunakan untuk menyimpan metrik Prometheus Anda dan tidak ditangani melalui AMPLS.

Persyaratan

Perhatikan persyaratan berikut.

Ukuran subnet jaringan

Subnet IPv4 terkecil yang didukung yaitu /27 (menggunakan definisi subnet CIDR). Meskipun jaringan virtual Azure bisa sekucil /29, Azure mencadangkan lima alamat IP. Penyiapan tautan privat Azure Monitor memerlukan setidaknya 11 alamat IP lagi, bahkan jika Anda menyambungkan ke satu ruang kerja. Tinjau pengaturan DNS titik akhir Anda untuk daftar titik akhir tautan privat Azure Monitor.

Agen

Versi terbaru agen Windows dan Linux harus digunakan untuk mendukung penyerapan aman ke ruang kerja Log Analytics. Versi lama tidak dapat mengunggah data pemantauan melalui jaringan privat.

Agen Azure Monitor Windows

Agen Windows Azure Monitor versi 1.1.1.0 atau yang lebih tinggi (dengan menggunakan titik akhir pengumpulan data).

Agen Azure Monitor Linux

Agen Windows Azure Monitor versi 1.10.5.0 atau yang lebih tinggi (dengan menggunakan titik akhir pengumpulan data).

Agen Log Analytics Windows (pada jalur penghentian)

Gunakan agen Log Analytics versi 10.20.18038.0 atau yang lebih baru.

Agen Log Analytics Linux (di jalur penghentian)

Gunakan agen versi 1.12.25 atau yang lebih baru. Jika tidak bisa, jalankan perintah berikut pada VM Anda:

$ sudo /opt/microsoft/omsagent/bin/omsadmin.sh -X
$ sudo /opt/microsoft/omsagent/bin/omsadmin.sh -w <workspace id> -s <workspace key>

Portal Azure

Untuk menggunakan pengalaman portal Azure Monitor seperti Application Insights, Analitik Log, dan titik akhir pengumpulan data, Anda perlu mengizinkan ekstensi portal Azure dan Azure Monitor dapat diakses di jaringan privat. Tambahkan tag layanan AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty, dan AzureFrontdoor.Frontendke grup keamanan jaringan Anda.

Akses terprogram

Untuk menggunakan REST API, Azure CLI, atau PowerShell dengan Azure Monitor di jaringan privat, tambahkan taglayanan AzureActiveDirectory dan AzureResourceManager ke firewall Anda.

Unduhan SDK Application Insights dari jaringan pengiriman konten

Bundel kode JavaScript dalam skrip Anda sehingga browser tidak mencoba mengunduh kode dari CDN. Contoh disediakan di GitHub.

Pengaturan DNS browser

Jika Anda menyambungkan ke sumber daya Azure Monitor melalui tautan privat, lalu lintas ke sumber daya ini harus melalui titik akhir privat yang dikonfigurasi di jaringan Anda. Untuk mengaktifkan titik akhir privat, perbarui pengaturan DNS Anda seperti yang dijelaskan di Sambungkan ke titik akhir privat. Beberapa browser menggunakan pengaturan DNS mereka sendiri, bukan yang Anda tetapkan. Browser mungkin mencoba menyambungkan ke titik akhir publik Azure Monitor dan melewati tautan privat sepenuhnya. Verifikasi bahwa pengaturan browser Anda tidak mengambil alih atau menyimpan pengaturan DNS lama.

Batasan kueri: operator externaldata

  • Operator externaldata tidak didukung melalui tautan privat karena membaca data dari akun penyimpanan tetapi tidak menjamin penyimpanan diakses secara privat.
  • Proksi Azure Data Explorer (proksi ADX) memungkinkan kueri log untuk mengkueri Azure Data Explorer. Proksi ADX tidak didukung melalui tautan privat karena tidak menjamin sumber daya yang ditargetkan diakses secara privat.

Langkah berikutnya