Bagikan melalui

Apa itu titik akhir privat?

Titik akhir privat adalah antarmuka jaringan yang menggunakan alamat IP privat dari jaringan virtual Anda. Antarmuka jaringan ini menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Dengan mengaktifkan titik akhir privat, Anda membawa layanan ke jaringan virtual Anda.

Layanan dapat berupa layanan Azure seperti:

  • Azure Storage
  • Azure Cosmos DB (layanan basis data global dari Microsoft)
  • Azure SQL Database
  • Layanan Anda sendiri, dengan menggunakan layanan Private Link.

Properti titik akhir pribadi

Titik akhir privat menentukan properti berikut:

Harta benda Deskripsi
Nama Nama unik dalam kelompok sumber daya.
Subnet Subnet yang akan diimplementasikan, di mana alamat IP pribadi ditetapkan. Untuk persyaratan subnet, lihat bagian Batasan nanti di artikel ini.
Sumber daya tautan pribadi Sumber daya link privat untuk terhubung dengan menggunakan ID atau alias sumber daya, dari daftar jenis yang tersedia. Pengidentifikasi jaringan unik dibuat untuk semua lalu lintas yang dikirim ke sumber daya ini.
Subsumber daya target Sumber daya tambahan untuk terhubung. Setiap jenis sumber daya link privat memiliki berbagai opsi untuk dipilih berdasarkan preferensi.
Metode persetujuan koneksi Otomatis atau manual. Bergantung pada izin kontrol akses berbasis peran Azure, titik akhir privat Anda dapat disetujui secara otomatis. Jika Anda menyambungkan ke sumber daya tautan privat tanpa izin berbasis peran Azure, gunakan metode manual untuk memungkinkan pemilik sumber daya menyetujui koneksi.
Permohonan pesan Anda dapat menentukan pesan agar sambungan yang diminta disetujui secara manual. Pesan ini dapat digunakan untuk mengidentifikasi permintaan tertentu.
Status koneksi Properti hanya dibaca yang menentukan apakah titik akhir privat aktif. Hanya titik akhir privat dalam status yang disetujui yang dapat digunakan untuk mengirim lalu lintas. Status yang tersedia lainnya:
  • Disetujui: Koneksi disetujui secara otomatis atau manual dan siap digunakan.
  • Tertunda: Koneksi dibuat secara manual dan menunggu persetujuan oleh pemilik sumber daya link privat.
  • Ditolak: Koneksi ditolak oleh pemilik sumber daya link privat.
  • Terputus: Koneksi telah dihapus oleh pemilik sumber daya link privat. Titik akhir privat menjadi informatif dan harus dihapus sebagai bagian dari pembersihan.

    • Saat Anda membuat titik akhir privat, pertimbangkan hal berikut:

    • Titik akhir privat memungkinkan konektivitas antara pelanggan dari jaringan atau grup yang sama.

      • Jaringan virtual
      • Jaringan virtual yang dipeeringkan secara regional
      • Jaringan virtual yang terhubung secara global
      • Lingkungan lokal yang menggunakan VPN atau Express Route
      • Layanan yang didukung oleh Private Link

    • Koneksi jaringan hanya dapat dimulai oleh klien yang terhubung ke titik akhir privat. Penyedia layanan tidak memiliki konfigurasi perutean guna membangun koneksi dengan pelanggan layanan. Koneksi hanya dapat dibuat dalam satu arah.

    • Antarmuka jaringan bersifat baca-saja dibuat secara otomatis untuk siklus hidup titik akhir pribadi. Antarmuka diberi alamat IP privat dinamis dari subnet yang terhubung ke sumber daya tautan privat. Nilai alamat IP privat tetap tidak berubah untuk seluruh siklus hidup titik akhir privat.

    • Titik akhir privat harus dideploy di wilayah dan langganan yang sama dengan jaringan virtual.

    • Sumber daya link privat dapat digunakan di wilayah yang berbeda dari yang untuk jaringan virtual dan titik akhir privat.

    • Beberapa titik akhir privat dapat dibuat dengan sumber daya tautan privat yang sama. Untuk jaringan tunggal yang menggunakan konfigurasi server DNS umum, praktik yang disarankan adalah menggunakan satu titik akhir privat untuk sumber link privat tertentu. Gunakan praktik ini untuk menghindari entri duplikat atau konflik dalam resolusi DNS.

    • Beberapa titik akhir privat dapat dibuat pada subnet yang sama atau berbeda dalam jaringan virtual yang sama. Ada batasan jumlah titik akhir privat yang bisa Anda buat dalam langganan. Untuk mengetahui informasi selengkapnya, lihat Batas Azure.

    • Langganan yang berisi sumber daya link privat harus didaftarkan dengan penyedia sumber daya jaringan Microsoft. Langganan yang berisi titik akhir privat juga harus didaftarkan dengan penyedia sumber daya jaringan Microsoft. Untuk informasi selengkapnya, lihat Azure Resource Providers.

    Sumber daya link privat adalah tujuan target dari suatu titik akhir privat tertentu. Tabel berikut mencantumkan sumber daya yang tersedia yang mendukung titik akhir privat:

    Nama sumber daya tautan pribadi Jenis Sumber Daya Sub-sumber daya
    Application Gateway Microsoft.Network/applicationgateways Nama Konfigurasi IP Frontend
    Pencarian dengan Azure AI Microsoft.Search/searchServices layanan pencarian
    Layanan Azure AI Microsoft.LayananKognitif/akun akun
    Azure API untuk FHIR (Fast Healthcare Interoperability Resources) Microsoft.HealthcareApis (layanan) fhir
    Azure API Management Microsoft.ApiManagement/service Gerbang Jaringan
    Azure Konfigurasi Aplikasi Microsoft.AppConfiguration/configurationStores configurationStores
    Azure App Service Microsoft.Web/hostingEnvironments lingkungan web hosting
    Azure App Service Microsoft.Web/sites situs
    Layanan Azure Attestation Microsoft.Attestation/attestationProviders standar
    Otomatisasi Azure Microsoft.Automation/akun otomatisasi Webhook, DSCAndHybridWorker
    Azure Backup (Layanan Pencadangan Azure) Microsoft.RecoveryServices/vaults AzureBackup, AzureSiteRecovery
    Azure Batch adalah layanan komputasi yang memungkinkan pemrosesan batch skala besar yang efisien di awan. Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Cache Azure untuk Redis (Azure Cache for Redis) Microsoft.Cache/Redis Redis Cache
    Cache Azure untuk Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Container Apps (aplikasi kontainer di Azure) Microsoft.App/ManagedEnvironments lingkungan yang dikelola
    Azure Container Registry (Pendaftaran Kontainer Azure) Microsoft.ContainerRegistry/registries (daftar registri) daftar
    Azure Cosmos DB (layanan basis data global dari Microsoft) Microsoft.AzureCosmosDB/databaseAccounts Sql, MongoDB, Cassandra, Gremlin, tabel
    Azure Cosmos DB untuk MongoDB vCore Microsoft.DocumentDb/mongoClusters kluster Mongo
    Azure Cosmos DB untuk PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 koordinator
    Azure Data Explorer (layanan pencarian data) Microsoft.Kusto/clusters klaster
    Azure Data Factory Microsoft.DataFactory/factories dataFactory
    Azure Database untuk MariaDB Microsoft.DBforMariaDB/servers mariaDB Server
    Server Fleksibel Azure Database untuk MySQL Microsoft.DBforMySQL/flexibleServers mysqlServer
    Azure Database untuk MySQL - Satu Server Microsoft.DBforMySQL/servers mysqlServer
    Azure Database for PostgreSQL – Server Fleksibel Microsoft.DBforPostgreSQL/flexibleServers PostgreSQL Server
    Azure Basis Data untuk PostgreSQL - Server Tunggal Microsoft.DBforPostgreSQL/servers PostgreSQL Server
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api, autentikasi_peramban
    Layanan Penyediaan Perangkat Azure Microsoft.Devices/layananPenyediaan iotDps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances Antarmuka Pemrograman Aplikasi (API)
    Azure Event Grid Microsoft.EventGrid/domains bidang
    Azure Event Grid Microsoft.EventGrid/topics topik
    Azure Event Hub Microsoft.EventHub/namespaces ruang nama
    Sinkronisasi File Azure Microsoft.StorageSync/storageSyncServices Layanan Sinkronisasi File
    Azure HDInsight Microsoft.HDInsight/kluster klaster
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure Key Vault Microsoft.KeyVault/vaults ruang penyimpanan
    HSM (modul keamanan perangkat keras) Azure Key Vault Microsoft.Keyvault/managedHSMs Modul Keamanan Perangkat Keras (HSM)
    Azure Kubernetes Service - Kubernetes API Microsoft.ContainerService/managedClusters manajemen
    Pembelajaran Mesin Azure Microsoft.MachineLearningServices/registries amlregistry
    Pembelajaran Mesin Azure Microsoft.MachineLearningServices/workspaces amlworkspace
    Disk Terkelola Azure Microsoft.Compute/diskAccesses disk terkelola
    Azure Media Services Microsoft.Media/mediaservices pengantaran kunci (key delivery), acara langsung (live event), titik akhir streaming (streaming endpoint)
    Azure Migrate Microsoft.Migrate/proyek penilaian (assessmentProjects) proyek
    Cakupan Tautan Pribadi Azure Monitor Microsoft.Insights/privatelinkscopes AzureMonitor
    Relai Azure Microsoft.Relay/namespaces ruang nama
    Azure Service Bus (Layanan Bus oleh Azure) Microsoft.ServiceBus/namespaces ruang nama
    Azure SignalR Service Microsoft.SignalRService/SignalR SignalR
    Azure SignalR Service Microsoft.SignalRService/webPubSub WebPubSub
    Azure SQL Database Microsoft.Sql/servers SQL Server (sqlServer)
    Azure SQL Managed Instance (Instans Terkelola SQL di Azure) Microsoft.Sql/managedInstances managedInstance
    Azure Aplikasi Web Statis Microsoft.Web/staticSites staticSites
    Azure Storage Microsoft.Storage/akunPenyimpanan Blob (blob, blob_sekunder)
    Tabel (tabel, tabel_sekunder)
    Antrean (antrean, antrean_sekunder)
    Berkas (berkas, berkas_sekunder)
    Web (web, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure Synapse Microsoft.Synapse/privateLinkHubs situs web
    Azure Synapse Analytics Microsoft.Synapse/ruang kerja Sql, SqlOnDemand, Dev
    Pengindeks Video Azure AI Microsoft.VideoIndexer/accounts akun
    Azure Virtual Desktop - kumpulan penyedia host Microsoft.DesktopVirtualization/hostpools koneksi
    Azure Virtual Desktop - ruang kerja Microsoft.DesktopVirtualization/workspaces memberi makan
    mendunia
    Pembaruan Perangkat untuk IoT Hub Microsoft.DeviceUpdate/accounts Pembaruan Perangkat
    Akun Integrasi (Premium) Microsoft.Logic/integrationAccounts akunIntegrasi
    Microsoft Purview Microsoft.Purview/accounts akun
    Microsoft Purview Microsoft.Purview/accounts portal
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Layanan Private Link (layanan Anda sendiri) Microsoft.Network/privateLinkServices kosong
    Tautan Privat untuk Pengelolaan Sumber Daya Microsoft.Authorization/resourceManagementPrivateLinks PengelolaanSumberdaya

    Catatan

    Anda dapat membuat titik akhir privat hanya pada akun penyimpanan General Purpose v2 (GPv2).

    Keamanan jaringan titik akhir privat

    Saat Anda menggunakan titik akhir privat, lalu lintas diamankan ke sumber daya link privat. Platform ini memvalidasi koneksi jaringan, hanya memungkinkan koneksi yang mencapai sumber daya link privat tertentu. Untuk mengakses lebih banyak sub-sumber daya dalam layanan Azure yang sama, diperlukan titik akhir yang lebih privat dengan target yang sesuai. Dalam kasus Azure Storage, misalnya, Anda memerlukan titik akhir privat terpisah untuk mengakses subresource file dan blob .

    Titik akhir privat menyediakan alamat IP yang dapat diakses secara privat untuk layanan Azure, tetapi tidak selalu membatasi akses jaringan publik ke dalamnya. Namun, semua layanan Azure lainnya memerlukan kontrol akses tambahan. Kontrol ini memberikan lapisan keamanan jaringan tambahan ke sumber daya Anda, memberikan perlindungan yang membantu mencegah akses ke layanan Azure yang terkait dengan sumber daya link privat.

    Titik akhir privat mendukung kebijakan jaringan. Kebijakan jaringan mengaktifkan dukungan untuk Kelompok Keamanan Jaringan (NSG), Rute yang Ditentukan Pengguna (UDR), dan Kelompok Keamanan Aplikasi (ASG). Untuk informasi lebih lanjut terkait mengaktifkan kebijakan jaringan untuk titik akhir privat, lihat Mengelola kebijakan jaringan untuk titik akhir privat. Untuk menggunakan ASG dengan titik akhir privat, lihat Mengonfigurasi kelompok keamanan aplikasi (ASG) dengan titik akhir privat.

    Anda dapat menyambungkan ke sumber link privat dengan menggunakan metode persetujuan koneksi berikut ini:

    • Menyetujui secara otomatis: Gunakan metode ini saat Anda memiliki atau memiliki izin untuk sumber daya link privat tertentu. Izin yang diperlukan didasarkan pada jenis sumber daya link privat dalam format berikut:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Permintaan secara manual: Gunakan metode ini saat Anda tidak memiliki izin yang diperlukan dan ingin meminta akses. Alur kerja persetujuan dimulai. Titik akhir privat dan koneksi titik akhir privat selanjutnya dibuat dalam status Tertunda. Pemilik sumber daya link privat bertanggung jawab untuk menyetujui koneksi. Setelah disetujui, titik akhir privat diaktifkan untuk mengirim lalu lintas secara normal, seperti yang diperlihatkan dalam diagram alur kerja persetujuan berikut:

    Diagram proses persetujuan alur kerja.

    Melalui koneksi titik akhir privat, pemilik sumber daya link privat dapat:

    • Meninjau semua detail koneksi titik akhir pribadi.
    • Menyetujui koneksi titik akhir privat. Titik akhir privat yang sesuai diaktifkan untuk mengirim lalu lintas ke sumber daya tautan privat.
    • Menolak koneksi titik akhir privat. Titik akhir privat yang bersangkutan telah diperbarui untuk menunjukkan status terbaru.
    • Hapus sambungan titik akhir privat dalam keadaan apa pun. Titik akhir privat yang sesuai diperbarui menjadi status terputus untuk mencerminkan tindakan. Pemilik titik akhir privat hanya dapat menghapus sumber daya pada saat ini.

    Catatan

    Hanya titik akhir privat dalam status Disetujui yang dapat mengirim lalu lintas ke sumber daya link privat tertentu.

    Koneksi dengan menggunakan alias

    Alias adalah moniker unik yang dihasilkan saat pemilik layanan membuat layanan link privat di belakang penyeimbang beban standar. Pemilik layanan dapat membagikan alias offline ini dengan konsumen layanan Anda.

    Konsumen dapat meminta koneksi ke layanan link privat dengan menggunakan URI sumber daya atau alias. Untuk terhubung menggunakan alias, buat titik akhir privat dengan menggunakan metode persetujuan koneksi manual. Untuk menggunakan metode persetujuan koneksi manual, atur parameter permintaan manual ke True selama alur pembuatan titik akhir privat. Untuk informasi lebih lanjut, lihat New-AzPrivateEndpoint dan az network private-endpoint create.

    Catatan

    Permintaan manual ini dapat disetujui secara otomatis jika langganan konsumen diizinkan terdaftar di sisi penyedia. Untuk mempelajari lebih lanjut, buka mengontrol akses layanan.

    Konfigurasi DNS

    Pengaturan DNS yang Anda gunakan untuk terhubung ke sumber daya link privat bersifat penting. Layanan Azure yang ada mungkin sudah memiliki konfigurasi DNS yang dapat digunakan saat Anda terhubung melalui titik akhir publik. Untuk terhubung ke layanan yang sama melalui titik akhir privat, diperlukan pengaturan DNS terpisah, sering dikonfigurasi melalui zona DNS privat. Pastikan pengaturan DNS Anda benar saat Anda menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk koneksi. Pengaturan harus ditetapkan ke dalam alamat IP privat dari titik akhir privat.

    Antarmuka jaringan yang terkait dengan titik akhir privat berisi informasi yang diperlukan untuk mengonfigurasi DNS Anda. Informasi tersebut mencakup FQDN dan alamat IP privat untuk sumber daya link privat.

    Untuk informasi detail yang lebih lengkap tentang rekomendasi dalam mengonfigurasi DNS guna titik akhir privat, lihat Konfigurasi DNS Titik Akhir Privat.

    Batasan

    Informasi berikut mencantumkan batasan yang diketahui untuk penggunaan titik akhir privat:

    Alamat IP statis

    Pembatasan Deskripsi
    Konfigurasi alamat IP statis saat ini tidak didukung. Azure Kubernetes Service (AKS)
    Azure Application Gateway
    HD Insight
    Recovery Services Vaults
    Layanan Private Link pihak ketiga

    Grup keamanan jaringan

    Pembatasan Deskripsi
    Rute efektif dan aturan keamanan tidak tersedia untuk antarmuka jaringan titik akhir privat. Rute yang efektif dan aturan keamanan tidak akan ditampilkan untuk NIC titik akhir privat di portal Azure.
    Log alir jaringan NSG tidak didukung. Log alur NSG tidak tersedia untuk lalu lintas yang masuk menuju endpoint privat.
    Tidak lebih dari 50 anggota dalam Kelompok Keamanan Aplikasi. Lima puluh adalah jumlah Konfigurasi IP yang dapat dikaitkan dengan setiap ASG masing-masing yang digabungkan dengan NSG pada subnet titik akhir privat. Kegagalan koneksi dapat terjadi dengan lebih dari 50 anggota.
    Rentang port tujuan didukung hingga faktor 250 K. Rentang port tujuan didukung sebagai hasil perkalian dari SourceAddressPrefixes, DestinationAddressPrefixes, dan DestinationPortRanges.

    Contoh aturan masuk:
    Satu sumber * satu tujuan * 4K portRanges = 4K Valid
    10 sumber * 10 tujuan * 10 portRanges = 1 K Valid
    50 sumber * 50 tujuan * 50 portRanges = 125 K Valid
    50 sumber * 50 tujuan * 100 portRanges = 250 K Valid
    100 sumber * 100 tujuan * 100 portRanges = 1M Invalid, NSG memiliki terlalu banyak sumber/tujuan/port.
    Pemfilteran port sumber ditafsirkan sebagai * Pemfilteran port sumber tidak secara aktif digunakan sebagai skenario pemfilteran lalu lintas yang valid untuk lalu lintas yang ditujukan ke titik akhir privat.
    Fitur tidak tersedia di wilayah tertentu. Saat ini tidak tersedia di wilayah berikut:
    India
    Barat Australia Tengah 2
    Afrika Selatan Barat
    Brasil
    Tenggara
    Semua wilayah Pemerintahan Semua wilayah Tiongkok

    Pertimbangan lebih lanjut tentang NSG

    • Lalu lintas keluar yang ditolak dari titik akhir privat bukanlah skenario yang valid, karena penyedia layanan tidak dapat memulai lalu lintas.

    • Layanan berikut mungkin mengharuskan semua port tujuan terbuka saat menggunakan titik akhir privat dan menambahkan filter keamanan NSG:

    UDR

    Pembatasan Deskripsi
    SNAT selalu disarankan. Karena sifat variabel dari data-plane titik akhir privat, disarankan untuk melakukan SNAT pada lalu lintas yang menuju titik akhir privat agar lalu lintas balik diterima dengan benar.
    Fitur tidak tersedia di wilayah tertentu. Saat ini tidak tersedia di wilayah berikut:
    India
    Barat Australia Tengah 2
    Afrika Selatan Brasil
    Tenggara

    Kelompok keamanan aplikasi

    Pembatasan Deskripsi
    Fitur tidak tersedia di wilayah tertentu. Saat ini tidak tersedia di wilayah berikut:
    India
    Barat Australia Tengah 2
    Afrika Selatan Brasil
    Tenggara

    Langkah berikutnya