Menggunakan titik akhir privat untuk kontrol akses
Anda dapat menggunakan titik akhir privat untuk sumber daya Azure Web PubSub Anda untuk memungkinkan klien dalam jaringan virtual (VNet) mengakses data dengan aman melalui tautan privat. Titik akhir privat menggunakan alamat IP dari ruang alamat VNet untuk sumber daya Web PubSub Anda. Lalu lintas jaringan antara klien di VNet dan sumber daya Web PubSub Anda melintasi tautan privat di jaringan Microsoft, menghilangkan paparan di internet publik.
Menggunakan titik akhir privat untuk sumber daya Web PubSub membantu Anda:
- Amankan sumber daya Web PubSub Anda dengan menggunakan kontrol akses jaringan untuk memblokir semua koneksi di titik akhir publik untuk Web PubSub.
- Tingkatkan keamanan untuk VNet dengan memungkinkan Anda memblokir eksfiltrasi data dari VNet.
- Sambungkan dengan aman ke Web PubSub dari jaringan lokal yang terhubung ke VNet dengan menggunakan VPN atau Azure ExpressRoute dengan peering privat.
Menggunakan titik akhir privat dalam jaringan virtual
Titik akhir privat adalah antarmuka jaringan khusus untuk layanan Azure VNet Anda. Saat Anda membuat titik akhir privat untuk sumber daya Web PubSub, titik akhir tersebut menyediakan konektivitas yang aman antara klien di VNet dan layanan Anda. Titik akhir privat akan diberi alamat IP dari rentang alamat IP VNet Anda. Koneksi antara titik akhir privat dan Web PubSub menggunakan tautan privat yang aman.
Aplikasi di VNet dapat terhubung ke sumber daya Web PubSub dengan mulus dengan menggunakan titik akhir privat. Aplikasi menggunakan string koneksi dan mekanisme otorisasi yang sama dengan yang akan mereka gunakan jika tidak.
Titik akhir privat dapat digunakan dengan semua protokol yang didukung sumber daya Web PubSub, termasuk REST API.
Saat Anda membuat titik akhir privat untuk sumber daya Web PubSub di VNet Anda, permintaan persetujuan dikirim untuk persetujuan ke pemilik sumber daya Web PubSub. Jika pengguna yang meminta titik akhir privat juga merupakan pemilik sumber daya Web PubSub, permintaan persetujuan ini secara otomatis disetujui.
Anda dapat mengelola permintaan persetujuan dan titik akhir privat untuk sumber daya Web PubSub Anda pada tab Titik akhir privat di portal Azure.
Tip
Jika Anda ingin membatasi akses ke sumber daya Web PubSub Anda hanya melalui titik akhir privat, siapkan kontrol akses jaringan untuk menolak atau mengontrol akses melalui titik akhir publik.
Menyambungkan ke titik akhir privat
Klien di VNet yang menggunakan titik akhir privat harus menggunakan string koneksi yang sama untuk sumber daya Web PubSub yang terhubung melalui penggunaan titik akhir publik. Kami mengandalkan resolusi Sistem Nama Domain (DNS) untuk merutekan koneksi secara otomatis dari VNet ke Web PubSub melalui tautan privat.
Penting
Gunakan string koneksi yang sama untuk menyambungkan ke Web PubSub dengan menggunakan titik akhir privat seperti yang akan Anda gunakan untuk titik akhir publik. Jangan sambungkan ke Web PubSub dengan menggunakan URL subdomainnya privatelink .
Kami membuat zona DNS privat yang dilampirkan ke VNet dengan pembaruan yang diperlukan untuk titik akhir privat, secara default. Jika Anda menggunakan server DNS Anda sendiri, Anda mungkin perlu membuat perubahan lain pada konfigurasi DNS Anda. Bagian berikutnya menjelaskan pembaruan yang diperlukan untuk titik akhir privat.
Perubahan DNS untuk titik akhir privat
Saat Anda membuat titik akhir privat, rekaman sumber daya DNS CNAME untuk sumber daya Web PubSub Anda diperbarui ke alias dalam subdomain yang memiliki awalan privatelink. Secara default, kami juga membuat zona DNS privat yang sesuai dengan privatelink subdomain, dengan catatan sumber daya DNS A untuk titik akhir privat.
Saat Anda menyelesaikan nama domain sumber daya Web PubSub dari luar VNet dengan titik akhir privat, nama tersebut diselesaikan ke titik akhir publik sumber daya Web PubSub. Ketika diselesaikan dari VNet yang menjadi host titik akhir pribadi, nama domain menjadi alamat IP titik akhir pribadi.
Untuk contoh yang diilustrasikan sebelumnya, rekaman sumber daya DNS untuk sumber daya sample Web PubSub saat diselesaikan dari luar VNet yang menghosting titik akhir privat:
| Nama | Jenis | Nilai |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Alamat IP publik Web PubSub> |
Anda dapat menolak atau mengontrol akses untuk klien di luar VNet melalui titik akhir publik dengan menggunakan kontrol akses jaringan.
Catatan sumber daya DNS untuk sumber daya sample Web PubSub saat diselesaikan oleh klien di VNet yang menghosting titik akhir privat mirip dengan contoh ini:
| Nama | Jenis | Nilai |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Pendekatan ini memberikan akses ke Web PubSub dengan menggunakan string koneksi yang sama untuk klien di VNet yang menghosting titik akhir privat dan kepada klien di luar VNet.
Jika Anda menggunakan server DNS kustom di jaringan Anda, klien harus dapat menyelesaikan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk titik akhir sumber daya Web PubSub ke alamat IP titik akhir privat. Anda harus mengonfigurasi server DNS Anda untuk mendelegasikan subdomain tautan privat Anda ke zona DNS privat untuk VNet atau mengonfigurasi catatan A untuk sample.privatelink.webpubsub.azure.com menggunakan alamat IP titik akhir privat.
Tip
Jika Anda menggunakan server DNS kustom atau lokal, Anda harus mengonfigurasi server DNS Anda untuk mengatasi nama sumber daya Web PubSub di privatelink subdomain ke alamat IP titik akhir privat. Anda bisa melakukan ini dengan mendelegasikan privatelink subdomain ke zona DNS privat VNet atau dengan mengonfigurasi zona DNS di server DNS Anda lalu menambahkan catatan DNS A.
Kami menyarankan agar Anda menggunakan privatelink.webpubsub.azure.com untuk nama zona DNS untuk titik akhir privat di sumber daya Web PubSub.
Untuk informasi selengkapnya tentang mengonfigurasi server DNS Anda sendiri untuk mendukung titik akhir privat, lihat artikel berikut ini:
Membuat titik akhir privat
Bagian berikut menjelaskan cara membuat titik akhir privat dan instans baru Web PubSub dan cara membuat titik akhir privat untuk instans Web PubSub yang ada.
Membuat titik akhir privat dalam instans baru Web PubSub
Di portal Azure, buat instans baru Azure Web PubSub. Pada tab Jaringan , untuk Metode konektivitas, pilih Titik akhir privat.
Pilih Tambahkan. Pilih atau masukkan langganan, nama grup sumber daya, wilayah Azure, dan nama untuk titik akhir privat baru. Pilih jaringan virtual dan subnet yang akan digunakan.
Pilih Tinjau + buat.
Membuat titik akhir privat untuk sumber daya Web PubSub yang sudah ada
Di portal Azure, buka sumber daya Web PubSub Anda.
Di menu sebelah kiri di bawah Pengaturan, pilih Koneksi titik akhir privat.
Pilih Titik akhir privat.
Pilih atau masukkan nilai untuk langganan, grup sumber daya, nama sumber daya, dan wilayah untuk titik akhir privat baru.
Pilih sumber daya Web PubSub target.
Pilih jaringan virtual target.
Pilih Tinjau + buat.
Harga
Untuk detail harga, lihat Harga Azure Private Link.
Masalah umum
Perlu diingat masalah umum berikut tentang menggunakan titik akhir privat di Web PubSub.
Batasan tingkat gratis
Instans Azure Web PubSub yang dibuat dengan menggunakan tingkat gratis tidak dapat diintegrasikan dengan titik akhir privat.
Batasan akses untuk klien di VNets dengan titik akhir pribadi
Klien di VNet yang memiliki titik akhir privat yang ada memiliki batasan saat mereka mengakses instans Web PubSub lain yang memiliki titik akhir privat. Misalnya, VNet N1 memiliki titik akhir privat untuk instans Web PubSub W1. Jika instans Web PubSub W2 memiliki titik akhir privat di VNet N2, maka klien di VNet N1 juga harus mengakses instans Web PubSub W2 dengan menggunakan titik akhir privat.
Jika instans Web PubSub W2 tidak memiliki titik akhir privat, maka klien di VNet N1 dapat mengakses sumber daya Web PubSub di akun tersebut tanpa menggunakan titik akhir privat. Batasan ini adalah hasil dari perubahan DNS yang dibuat ketika instans Web PubSub W2 membuat titik akhir privat.