Tanya jawab umum (FAQ) Azure Private Link

Private Link

Apa itu Titik Akhir Privat Azure dan Layanan Azure Private Link?

• Titik Akhir Privat Azure : Titik Akhir Privat Azure adalah antarmuka jaringan yang menyambungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Anda dapat menggunakan Titik Akhir Privat untuk menyambungkan ke layanan Azure PaaS yang mendukung Private Link atau ke Layanan Private Link Anda sendiri.
• Azure Private Link Service: Layanan Azure Private Link adalah layanan yang dibuat oleh penyedia layanan. Saat ini, layanan Private Link dapat dilampirkan ke konfigurasi IP ujung depan Standard Load Balancer.

Bagaimana lalu lintas dikirim saat menggunakan Private Link?

Lalu lintas dikirim secara privat menggunakan backbone Microsoft. Lalu lintas ini tidak melintasi internet. Azure Private Link tidak menyimpan data pelanggan.

Apa saja perbedaan antara Titik Akhir Layanan dan Titik Akhir Privat?

• Titik Akhir Privat memberikan akses jaringan ke sumber daya tertentu di balik layanan tertentu yang memberikan segmentasi terperinci. Lalu lintas dapat menjangkau sumber daya layanan dari lokal tanpa menggunakan titik akhir publik.
• Titik Akhir Layanan tetap menjadi alamat IP yang dapat dirutekan secara publik. Titik Akhir Privat adalah IP privat di ruang alamat jaringan virtual tempat titik akhir privat dikonfigurasi.

Apa hubungan antara Layanan Private Link dan Titik Akhir Privat?

Beberapa jenis sumber daya tautan privat mendukung akses melalui Titik Akhir Privat. Sumber daya mencakup layanan Azure PaaS dan Layanan Private Link Anda sendiri. Ini adalah hubungan satu-ke-banyak.

Layanan Private Link menerima koneksi dari beberapa Titik Akhir Privat. Titik akhir privat menyambungkan ke satu layanan Private Link.

Apakah saya perlu menonaktifkan kebijakan jaringan untuk Private Link?

Yes. Layanan Private Link perlu menonaktifkan kebijakan jaringan agar berfungsi dengan baik.

Bisakah saya menggunakan hanya untuk Rute yang Ditentukan Pengguna, Kelompok Keamanan Jaringan saja, atau untuk keduanya untuk Titik Akhir Privat?

Yes. Untuk menggunakan kebijakan seperti Rute yang Ditentukan Pengguna dan Grup Keamanan Jaringan, Anda perlu mengaktifkan kebijakan Jaringan untuk subnet di jaringan virtual untuk Titik Akhir Privat. Pengaturan ini memengaruhi semua titik akhir privat dalam subnet.

Service endpoint

Apa urutan operasi yang tepat untuk menyiapkan titik akhir layanan ke layanan Azure?

Ada dua langkah untuk mengamankan sumber daya layanan Azure melalui titik akhir layanan:

1. Aktifkan titik akhir layanan untuk layanan Azure.
2. Siapkan daftar kontrol akses jaringan virtual (ACL) pada layanan Azure.

Langkah pertama adalah operasi sisi jaringan, dan langkah kedua adalah operasi sisi sumber daya layanan. Administrator yang sama atau administrator yang berbeda dapat melakukan langkah-langkah, berdasarkan izin kontrol akses berbasis peran Azure (RBAC) yang diberikan kepada peran administrator.

Kami menyarankan agar Anda mengaktifkan titik akhir layanan untuk jaringan virtual Anda sebelum menyiapkan ACL jaringan virtual di sisi layanan Azure. Untuk menyiapkan titik akhir layanan jaringan virtual, Anda harus melakukan langkah-langkah dalam urutan sebelumnya.

Note

Anda harus menyelesaikan kedua operasi sebelumnya sebelum dapat membatasi akses layanan Azure ke jaringan virtual dan subnet yang diizinkan. Hanya mengaktifkan titik akhir layanan Azure di sisi jaringan tidak akan memberikan akses terbatas kepada Anda. Anda juga harus menyiapkan ACL jaringan virtual di sisi layanan Azure.

Layanan tertentu (seperti Azure SQL dan Azure Cosmos DB) memungkinkan pengecualian untuk urutan sebelumnya melalui IgnoreMissingVnetServiceEndpoint bendera. Setelah mengatur bendera ke True, Anda dapat menyiapkan ACL jaringan virtual di sisi layanan Azure sebelum mengaktifkan titik akhir layanan di sisi jaringan. Layanan Azure menyediakan bendera ini untuk membantu pelanggan jika firewall IP tertentu dikonfigurasi pada layanan Azure.

Mengaktifkan titik akhir layanan di sisi jaringan dapat menyebabkan penurunan konektivitas, karena IP sumber berubah dari alamat IPv4 publik ke alamat privat. Menyiapkan ACL jaringan virtual di sisi layanan Azure sebelum mengaktifkan titik akhir layanan di sisi jaringan dapat membantu menghindari penurunan konektivitas.

Note

Jika Anda mengaktifkan Titik Akhir Layanan pada layanan tertentu seperti "Microsoft.AzureActiveDirectory" Anda dapat melihat koneksi alamat IPV6 pada Log Masuk. Microsoft menggunakan rentang privat IPV6 internal untuk jenis koneksi ini.

Apakah semua layanan Azure berada di jaringan virtual Azure yang disediakan pelanggan? Bagaimana cara kerja titik akhir layanan jaringan virtual dengan layanan Azure?

Tidak semua layanan Azure berada di jaringan virtual pelanggan. Sebagian besar layanan data Azure (seperti Azure Storage, Azure SQL, dan Azure Cosmos DB) adalah layanan multipenyewa yang dapat diakses melalui alamat IP publik. Untuk informasi selengkapnya, lihat Menyebarkan layanan Azure khusus ke jaringan virtual.

Saat Anda mengaktifkan titik akhir layanan jaringan virtual di sisi jaringan, dan menyiapkan ACL jaringan virtual yang sesuai di sisi layanan Azure, akses ke layanan Azure dibatasi ke jaringan virtual dan subnet yang diizinkan.

Bagaimana titik akhir layanan jaringan virtual memberikan keamanan?

Titik akhir layanan jaringan virtual membatasi akses layanan Azure ke jaringan virtual dan subnet yang diizinkan. Dengan cara ini, mereka menyediakan keamanan tingkat jaringan dan isolasi lalu lintas layanan Azure.

Semua lalu lintas yang menggunakan titik akhir layanan jaringan virtual mengalir melalui tulang punggung Microsoft untuk menyediakan lapisan isolasi lain dari internet publik. Pelanggan juga dapat memilih untuk sepenuhnya menghapus akses internet publik ke sumber daya layanan Azure dan mengizinkan lalu lintas hanya dari jaringan virtual mereka melalui kombinasi firewall IP dan ACL jaringan virtual. Menghapus akses internet membantu melindungi sumber daya layanan Azure dari akses yang tidak sah.

Apa yang dilindungi titik akhir layanan jaringan virtual - sumber daya jaringan virtual atau sumber daya layanan Azure?

Titik akhir layanan jaringan virtual membantu melindungi sumber daya layanan Azure. Sumber daya jaringan virtual dilindungi melalui kelompok keamanan jaringan.

Apakah ada biaya untuk menggunakan titik akhir layanan jaringan virtual?

No. Tidak ada biaya tambahan untuk menggunakan titik akhir layanan jaringan virtual.

Dapatkah saya mengaktifkan titik akhir layanan jaringan virtual dan menyiapkan ACL jaringan virtual jika jaringan virtual dan sumber daya layanan Azure termasuk dalam langganan yang berbeda?

Ya, itu mungkin. Jaringan virtual dan sumber daya layanan Azure dapat berada dalam langganan yang sama atau dalam langganan yang berbeda. Satu-satunya persyaratan adalah bahwa jaringan virtual dan sumber daya layanan Azure harus berada di bawah penyewa Microsoft Entra yang sama.

Dapatkah saya mengaktifkan titik akhir layanan jaringan virtual dan menyiapkan ACL jaringan virtual jika jaringan virtual dan sumber daya layanan Azure milik penyewa Microsoft Entra yang berbeda?

Ya, dimungkinkan saat Anda menggunakan titik akhir layanan untuk Azure Storage dan Azure Key Vault. Layanan lain tidak mendukung titik akhir layanan jaringan virtual dan ACL jaringan virtual di seluruh penyewa Microsoft Entra.

Dapatkah alamat IP perangkat lokal yang tersambung melalui gateway jaringan virtual (VPN) Azure atau gateway ExpressRoute mengakses layanan Azure PaaS melalui titik akhir layanan jaringan virtual?

Secara default, sumber daya layanan Azure yang diamankan ke jaringan virtual tidak dapat dijangkau dari jaringan lokal. Jika Anda ingin mengizinkan lalu lintas dari lokal, Anda juga harus mengizinkan alamat IP publik (biasanya, NAT) dari lokal atau ExpressRoute. Anda dapat menambahkan alamat IP ini melalui konfigurasi firewall IP untuk sumber daya layanan Azure.

Alternatively, you can implement private endpoints for supported services.

Dapatkah saya menggunakan titik akhir layanan jaringan virtual untuk mengamankan layanan Azure ke beberapa subnet dalam jaringan virtual atau di beberapa jaringan virtual?

Untuk mengamankan layanan Azure ke beberapa subnet dalam jaringan virtual atau di beberapa jaringan virtual, aktifkan titik akhir layanan di sisi jaringan di setiap subnet secara independen. Kemudian, amankan sumber daya layanan Azure ke semua subnet dengan menyiapkan ACL jaringan virtual yang sesuai di sisi layanan Azure.

Bagaimana cara memfilter lalu lintas keluar dari jaringan virtual ke layanan Azure dan masih menggunakan titik akhir layanan?

Jika Anda ingin memeriksa atau memfilter lalu lintas yang ditujukan ke layanan Azure dari jaringan virtual, Anda dapat menerapkan perangkat virtual jaringan di dalam jaringan virtual. Anda kemudian dapat menerapkan titik akhir layanan ke subnet tempat appliance virtual jaringan disebarkan dan mengamankan sumber daya layanan Azure hanya untuk subnet ini melalui ACL Jaringan Virtual.

Skenario ini mungkin juga berguna jika Anda ingin membatasi akses layanan Azure dari jaringan virtual Anda hanya ke sumber daya Azure tertentu dengan menggunakan pemfilteran appliance virtual jaringan. Untuk informasi selengkapnya, lihat Menerapkan NVA beravailabilitas tinggi.

Apa yang terjadi ketika seseorang mengakses akun layanan Azure yang mengaktifkan ACL jaringan virtual dari luar jaringan virtual?

Layanan mengembalikan kesalahan HTTP 403 atau HTTP 404.

Apakah subnet jaringan virtual yang dibuat di wilayah yang berbeda diizinkan untuk mengakses akun layanan Azure di wilayah lain?

Yes. Untuk sebagian besar layanan Azure, jaringan virtual yang dibuat di berbagai wilayah dapat mengakses layanan Azure di wilayah lain melalui titik akhir layanan jaringan virtual. Misalnya, jika akun Azure Cosmos DB berada di wilayah US Barat atau US Timur, dan jaringan virtual berada di beberapa wilayah, jaringan virtual dapat mengakses Azure Cosmos DB.

Azure SQL adalah pengecualian dan bersifat regional. Baik jaringan virtual maupun layanan Azure harus berada di wilayah yang sama.

Dapatkah layanan Azure memiliki ACL jaringan virtual dan firewall IP?

Yes. ACL jaringan virtual dan firewall IP dapat hidup berdampingan. Fitur saling melengkapi untuk membantu memastikan isolasi dan keamanan.

Apa yang terjadi jika Anda menghapus jaringan virtual atau subnet yang mengaktifkan titik akhir layanan untuk layanan Azure?

Penghapusan jaringan virtual dan penghapusan subnet adalah operasi independen. Mereka didukung bahkan saat Anda mengaktifkan titik akhir layanan untuk layanan Azure.

Jika Anda menyiapkan ACL jaringan virtual untuk layanan Azure, informasi ACL yang terkait dengan layanan Azure tersebut dinonaktifkan saat Anda menghapus jaringan virtual atau subnet yang mengaktifkan titik akhir layanan jaringan virtual.

Apa yang terjadi jika saya menghapus akun layanan Azure yang mengaktifkan titik akhir layanan jaringan virtual?

Penghapusan akun layanan Azure adalah operasi independen. Ini didukung bahkan jika Anda mengaktifkan titik akhir layanan di sisi jaringan dan menyiapkan ACL jaringan virtual di sisi layanan Azure.

Apa yang terjadi pada alamat IP sumber daya (seperti VM di subnet) yang mengaktifkan titik akhir layanan jaringan virtual?

Saat Anda mengaktifkan titik akhir layanan jaringan virtual, alamat IP sumber sumber sumber daya di subnet jaringan virtual Anda beralih dari menggunakan alamat IPv4 publik ke menggunakan alamat IP privat jaringan virtual Azure untuk lalu lintas ke layanan Azure. Sakelar ini dapat menyebabkan firewall IP tertentu yang diatur ke alamat IPv4 publik yang sudah diatur sebelumnya pada layanan Azure mengalami kegagalan.

Apakah rute titik akhir layanan selalu diutamakan?

Titik akhir layanan menambahkan rute sistem yang lebih diprioritaskan daripada rute Border Gateway Protocol (BGP) dan menyediakan rute terbaik untuk lalu lintas titik akhir layanan. Titik akhir layanan selalu mengambil lalu lintas layanan langsung dari jaringan virtual Anda ke layanan di jaringan backbone Microsoft Azure.

Untuk informasi selengkapnya tentang cara Azure memilih rute, lihat Perutean lalu lintas jaringan virtual.

Apakah titik akhir layanan berfungsi dengan ICMP?

No. Lalu lintas ICMP yang bersumber dari subnet dengan titik akhir layanan diaktifkan tidak akan menggunakan jalur terowongan khusus layanan ke titik akhir yang diinginkan. Titik akhir layanan hanya menangani lalu lintas TCP. Jika Anda ingin menguji latensi atau konektivitas ke titik akhir melalui titik akhir layanan, alat seperti ping dan tracert tidak akan menampilkan jalur sebenarnya yang akan diambil sumber daya dalam subnet.

Bagaimana NSG pada subnet berfungsi dengan titik akhir layanan?

Untuk menjangkau layanan Azure, NSG perlu mengizinkan konektivitas keluar. Jika NSG Anda dibuka untuk semua lalu lintas keluar internet, lalu lintas titik akhir layanan harus berfungsi. Anda juga dapat membatasi lalu lintas keluar hanya untuk alamat IP layanan dengan menggunakan tag layanan.

Izin apa yang saya perlukan untuk menyiapkan titik akhir layanan?

Anda dapat mengonfigurasi titik akhir layanan pada jaringan virtual secara independen jika Anda memiliki akses tulis ke jaringan tersebut.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Izin ini disertakan dalam peran administrator layanan bawaan secara default dan dapat dimodifikasi melalui pembuatan peran kustom.

Untuk informasi selengkapnya tentang peran bawaan dan menetapkan izin tertentu ke peran kustom, lihat Peran kustom Azure.

Dapatkah saya memfilter lalu lintas jaringan virtual ke layanan Azure melalui titik akhir layanan?

Anda dapat menggunakan kebijakan titik akhir layanan jaringan virtual untuk memfilter lalu lintas jaringan virtual ke layanan Azure, yang hanya mengizinkan sumber daya layanan Azure tertentu melalui titik akhir layanan. Kebijakan titik akhir memberikan kontrol akses terperinci dari lalu lintas jaringan virtual ke layanan Azure.

Untuk mempelajari selengkapnya, lihat Kebijakan titik akhir layanan jaringan virtual untuk Azure Storage.

Apakah MICROSOFT Entra ID mendukung titik akhir layanan jaringan virtual?

ID Microsoft Entra tidak mendukung titik akhir layanan secara asli. Untuk daftar lengkap layanan Azure yang mendukung titik akhir layanan jaringan virtual, lihat Titik akhir layanan jaringan virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. Integrasi jaringan virtual untuk Data Lake Storage Gen1 memanfaatkan keamanan titik akhir layanan jaringan virtual antara jaringan virtual Anda dan ID Microsoft Entra untuk menghasilkan klaim keamanan tambahan dalam token akses. Klaim ini lalu digunakan untuk mengautentikasi jaringan virtual Anda ke akun Data Lake Storage Gen1 Anda dan mengizinkan akses.

Apakah ada batasan berapa banyak titik akhir layanan yang dapat saya siapkan dari jaringan virtual saya?

Tidak ada batasan jumlah total titik akhir layanan dalam jaringan virtual. Untuk sumber daya layanan Azure (seperti akun Azure Storage), layanan mungkin memberlakukan batasan jumlah subnet yang Anda gunakan untuk mengamankan sumber daya. Tabel berikut menunjukkan beberapa contoh batasan:

Azure service	Batasan aturan jaringan virtual
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure Event Hubs	128
Azure Service Bus	128

Note

Batasan dapat berubah sesuai kebijaksanaan layanan Azure. Lihat dokumentasi layanan masing-masing untuk detailnya.

Bagaimana NSG pada subnet berfungsi dengan titik akhir layanan?

Untuk menjangkau layanan Azure, NSG perlu mengizinkan konektivitas keluar. Jika NSG Anda dibuka untuk semua lalu lintas keluar internet, lalu lintas titik akhir layanan harus berfungsi. Anda juga dapat membatasi lalu lintas keluar hanya untuk alamat IP layanan dengan menggunakan tag layanan.

Izin apa yang saya perlukan untuk menyiapkan titik akhir layanan?

Anda dapat mengonfigurasi titik akhir layanan pada jaringan virtual secara independen jika Anda memiliki akses tulis ke jaringan tersebut.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Izin ini disertakan dalam peran administrator layanan bawaan secara default dan dapat dimodifikasi melalui pembuatan peran kustom.

Untuk informasi selengkapnya tentang peran bawaan dan menetapkan izin tertentu ke peran kustom, lihat Peran kustom Azure.

Dapatkah saya memfilter lalu lintas jaringan virtual ke layanan Azure melalui titik akhir layanan?

Anda dapat menggunakan kebijakan titik akhir layanan jaringan virtual untuk memfilter lalu lintas jaringan virtual ke layanan Azure, yang hanya mengizinkan sumber daya layanan Azure tertentu melalui titik akhir layanan. Kebijakan titik akhir memberikan kontrol akses terperinci dari lalu lintas jaringan virtual ke layanan Azure.

Untuk mempelajari selengkapnya, lihat Kebijakan titik akhir layanan jaringan virtual untuk Azure Storage.

Apakah MICROSOFT Entra ID mendukung titik akhir layanan jaringan virtual?

ID Microsoft Entra tidak mendukung titik akhir layanan secara asli. Untuk daftar lengkap layanan Azure yang mendukung titik akhir layanan jaringan virtual, lihat Titik akhir layanan jaringan virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. Integrasi jaringan virtual untuk Data Lake Storage Gen1 memanfaatkan keamanan titik akhir layanan jaringan virtual antara jaringan virtual Anda dan ID Microsoft Entra untuk menghasilkan klaim keamanan tambahan dalam token akses. Klaim ini lalu digunakan untuk mengautentikasi jaringan virtual Anda ke akun Data Lake Storage Gen1 Anda dan mengizinkan akses.

Apakah ada batasan berapa banyak titik akhir layanan yang dapat saya siapkan dari jaringan virtual saya?

Tidak ada batasan jumlah total titik akhir layanan dalam jaringan virtual. Untuk sumber daya layanan Azure (seperti akun Azure Storage), layanan mungkin memberlakukan batasan jumlah subnet yang Anda gunakan untuk mengamankan sumber daya. Tabel berikut menunjukkan beberapa contoh batasan:

Azure service	Batasan aturan jaringan virtual
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure Event Hubs	128
Azure Service Bus	128

Note

Batasan dapat berubah sesuai kebijaksanaan layanan Azure. Lihat dokumentasi layanan masing-masing untuk detailnya.

Private Endpoint

Dapatkah saya membuat beberapa Titik Akhir Privat di jaringan virtual yang sama? Dapatkah Titik Akhir Privat tersambung ke Layanan yang berbeda?

Yes. Anda dapat memiliki beberapa Titik Akhir Privat di jaringan virtual atau subnet yang sama. Mereka dapat tersambung ke layanan yang berbeda.

Bisakah kita menautkan beberapa zona DNS privat dengan nama yang sama?

Tidak, membuat beberapa zona dengan nama yang sama untuk satu jaringan virtual tidak didukung.

Apakah saya memerlukan subnet khusus untuk Titik Akhir Privat?

No. Anda tidak memerlukan subnet khusus untuk Titik Akhir Privat. Anda dapat memilih IP Titik Akhir Privat dari subnet apa pun dari jaringan virtual tempat layanan Anda disebarkan.

Bisakah titik akhir privat tersambung ke layanan Private Link di seluruh penyewa Microsoft Entra?

Yes. Titik akhir privat dapat tersambung ke layanan Private Link atau ke Azure PaaS di seluruh penyewa Microsoft Entra. Titik Akhir Privat di seluruh penyewa memerlukan persetujuan permintaan manual.

Dapatkah Titik Akhir Privat menyambungkan ke sumber daya Azure PaaS di seluruh wilayah Azure?

Yes. Titik Akhir Privat dapat menyambungkan ke sumber daya Azure PaaS di seluruh wilayah Azure.

Dapatkah saya memodifikasi Kartu Antarmuka Jaringan (NIC) Titik Akhir Privat saya?

Saat titik akhir privat dibuat, NIC baca-saja yang ditetapkan. NIC tidak dapat dimodifikasi dan akan tetap untuk siklus hidup titik akhir Privat.

Bagaimana cara mencapai ketersediaan saat menggunakan Titik Akhir Privat jika ada kegagalan regional?

Titik Akhir Privat adalah sumber daya yang sangat tersedia dengan SLA sesuai SLA untuk Azure Private Link. Namun, karena sumber daya wilayah, pemadaman wilayah Azure apa pun dapat memengaruhi ketersediaan. Untuk mencapai ketersediaan jika ada kegagalan regional, beberapa PEs yang terhubung ke sumber daya tujuan yang sama dapat disebarkan di berbagai wilayah. Dengan cara ini jika satu wilayah padam, Anda masih dapat merutekan lalu lintas untuk skenario pemulihan Anda melalui PE di wilayah yang berbeda untuk mengakses sumber daya tujuan. Untuk informasi tentang bagaimana kegagalan regional ditangani di sisi layanan tujuan, tinjau dokumentasi layanan tentang failover dan pemulihan. Lalu lintas Private Link mengikuti resolusi Azure DNS untuk titik akhir tujuan.

Bagaimana cara mencapai ketersediaan saat menggunakan titik akhir privat jika ada kegagalan Zona Ketersediaan?

Titik Akhir Privat adalah sumber daya yang sangat tersedia dengan SLA sesuai SLA untuk Azure Private Link. Titik Akhir Privat bersifat agnostik zona: kegagalan zona ketersediaan di wilayah Titik Akhir Privat tidak akan memengaruhi ketersediaan Titik Akhir Privat.

Apakah titik akhir privat mendukung lalu lintas ICMP?

Lalu lintas TCP dan UDP hanya didukung untuk titik akhir privat. Untuk informasi selengkapnya, lihat Batasan Private Link.

Layanan Private Link

Apa saja prasyarat untuk membuat Layanan Private Link?

Ujung belakang layanan Anda harus berada di Virtual Network dan di belakang Load Balancer Standar.

Bagaimana cara menskalakan layanan Private Link saya?

Anda dapat menskalakan layanan Private Link Anda dengan beberapa cara:

• Tambahkan VM Ujung belakang ke kumpulan di belakang Standard Load Balancer Anda
• Menambahkan IP ke layanan Private Link. Kami mengizinkan hingga 8 IP per layanan Private Link.
• Menambahkan layanan Private Link baru ke Load Balancer Standar. Kami mengizinkan hingga delapan Layanan Private Link per Load Balancer Standar.

Apa konfigurasi IP NAT (Network Address Translation) yang digunakan dalam Private Link Service? Bagaimana cara menskalakan port dan koneksi yang tersedia?

• Konfigurasi IP NAT memastikan ruang alamat sumber (konsumen) dan tujuan (penyedia layanan) tidak memiliki konflik IP. Konfigurasi ini menyediakan NAT sumber untuk lalu lintas tautan privat untuk tujuan. Alamat IP NAT muncul sebagai IP sumber untuk semua paket yang diterima oleh layanan dan IP tujuan Anda untuk semua paket yang dikirim oleh layanan Anda. IP NAT dapat dipilih dari subnet mana pun dalam Virtual Network penyedia layanan.
• Setiap IP NAT memberikan koneksi TCP 64k (port 64k) per VM di belakang Standard Load Balancer. Untuk menskalakan dan menambahkan lebih banyak koneksi, Anda dapat menambahkan IP NAT baru atau menambahkan lebih banyak VM di belakang Standard Load Balancer. Melakukannya menskalakan ketersediaan port dan memungkinkan lebih banyak koneksi. Koneksi didistribusikan di seluruh IP NAT dan VM di belakang Load Balancer Standar.

Dapatkah saya menyambungkan layanan ke beberapa Titik Akhir Privat?

Yes. Satu Layanan Private Link dapat menerima koneksi dari beberapa Titik Akhir Privat. Namun, satu Titik Akhir Privat hanya dapat tersambung ke satu Layanan Private Link.

Bagaimana cara mengontrol paparan Layanan Private Link saya?

Anda dapat mengontrol paparan menggunakan konfigurasi visibilitas pada layanan Private Link. Visibilitas mendukung tiga pengaturan:

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

Dapatkah saya membuat layanan Private Link dengan Load Balancer Dasar?

No. Layanan Private Link melalui Load Balancer Dasar tidak didukung.

Apakah subnet khusus diperlukan untuk Layanan Private Link?

No. Subnet khusus tidak diperlukan untuk Layanan Private Link. Anda dapat memilih subnet apa pun di jaringan virtual tempat layanan Anda disebarkan.

Saya adalah penyedia layanan yang menggunakan Azure Private Link. Apakah saya perlu memastikan semua pelanggan saya memiliki ruang IP yang unik dan tidak tumpang tindih dengan ruang IP saya?

No. Azure Private Link memberikan fungsionalitas ini untuk Anda. Anda tidak diharuskan memiliki ruang alamat yang tidak tumpang tindih dengan ruang alamat pelanggan Anda.

Next steps

• Pelajari Azure Private Link

• Titik Akhir Privat Azure : Titik Akhir Privat Azure adalah antarmuka jaringan yang menyambungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Anda dapat menggunakan Titik Akhir Privat untuk menyambungkan ke layanan Azure PaaS yang mendukung Private Link atau ke Layanan Private Link Anda sendiri.
• Azure Private Link Service: Layanan Azure Private Link adalah layanan yang dibuat oleh penyedia layanan. Saat ini, layanan Private Link dapat dilampirkan ke konfigurasi IP ujung depan Standard Load Balancer.

Lalu lintas dikirim secara privat menggunakan backbone Microsoft. Lalu lintas ini tidak melintasi internet. Azure Private Link tidak menyimpan data pelanggan.

• Titik Akhir Privat memberikan akses jaringan ke sumber daya tertentu di balik layanan tertentu yang memberikan segmentasi terperinci. Lalu lintas dapat menjangkau sumber daya layanan dari lokal tanpa menggunakan titik akhir publik.
• Titik Akhir Layanan tetap menjadi alamat IP yang dapat dirutekan secara publik. Titik Akhir Privat adalah IP privat di ruang alamat jaringan virtual tempat titik akhir privat dikonfigurasi.

Beberapa jenis sumber daya tautan privat mendukung akses melalui Titik Akhir Privat. Sumber daya mencakup layanan Azure PaaS dan Layanan Private Link Anda sendiri. Ini adalah hubungan satu-ke-banyak.

Layanan Private Link menerima koneksi dari beberapa Titik Akhir Privat. Titik akhir privat menyambungkan ke satu layanan Private Link.

Yes. Layanan Private Link perlu menonaktifkan kebijakan jaringan agar berfungsi dengan baik.

Yes. Untuk menggunakan kebijakan seperti Rute yang Ditentukan Pengguna dan Grup Keamanan Jaringan, Anda perlu mengaktifkan kebijakan Jaringan untuk subnet di jaringan virtual untuk Titik Akhir Privat. Pengaturan ini memengaruhi semua titik akhir privat dalam subnet.

Ada dua langkah untuk mengamankan sumber daya layanan Azure melalui titik akhir layanan:

1. Aktifkan titik akhir layanan untuk layanan Azure.
2. Siapkan daftar kontrol akses jaringan virtual (ACL) pada layanan Azure.

Langkah pertama adalah operasi sisi jaringan, dan langkah kedua adalah operasi sisi sumber daya layanan. Administrator yang sama atau administrator yang berbeda dapat melakukan langkah-langkah, berdasarkan izin kontrol akses berbasis peran Azure (RBAC) yang diberikan kepada peran administrator.

Kami menyarankan agar Anda mengaktifkan titik akhir layanan untuk jaringan virtual Anda sebelum menyiapkan ACL jaringan virtual di sisi layanan Azure. Untuk menyiapkan titik akhir layanan jaringan virtual, Anda harus melakukan langkah-langkah dalam urutan sebelumnya.

Note

Anda harus menyelesaikan kedua operasi sebelumnya sebelum dapat membatasi akses layanan Azure ke jaringan virtual dan subnet yang diizinkan. Hanya mengaktifkan titik akhir layanan Azure di sisi jaringan tidak akan memberikan akses terbatas kepada Anda. Anda juga harus menyiapkan ACL jaringan virtual di sisi layanan Azure.

Layanan tertentu (seperti Azure SQL dan Azure Cosmos DB) memungkinkan pengecualian untuk urutan sebelumnya melalui IgnoreMissingVnetServiceEndpoint bendera. Setelah mengatur bendera ke True, Anda dapat menyiapkan ACL jaringan virtual di sisi layanan Azure sebelum mengaktifkan titik akhir layanan di sisi jaringan. Layanan Azure menyediakan bendera ini untuk membantu pelanggan jika firewall IP tertentu dikonfigurasi pada layanan Azure.

Mengaktifkan titik akhir layanan di sisi jaringan dapat menyebabkan penurunan konektivitas, karena IP sumber berubah dari alamat IPv4 publik ke alamat privat. Menyiapkan ACL jaringan virtual di sisi layanan Azure sebelum mengaktifkan titik akhir layanan di sisi jaringan dapat membantu menghindari penurunan konektivitas.

Note

Jika Anda mengaktifkan Titik Akhir Layanan pada layanan tertentu seperti "Microsoft.AzureActiveDirectory" Anda dapat melihat koneksi alamat IPV6 pada Log Masuk. Microsoft menggunakan rentang privat IPV6 internal untuk jenis koneksi ini.

Tidak semua layanan Azure berada di jaringan virtual pelanggan. Sebagian besar layanan data Azure (seperti Azure Storage, Azure SQL, dan Azure Cosmos DB) adalah layanan multipenyewa yang dapat diakses melalui alamat IP publik. Untuk informasi selengkapnya, lihat Menyebarkan layanan Azure khusus ke jaringan virtual.

Saat Anda mengaktifkan titik akhir layanan jaringan virtual di sisi jaringan, dan menyiapkan ACL jaringan virtual yang sesuai di sisi layanan Azure, akses ke layanan Azure dibatasi ke jaringan virtual dan subnet yang diizinkan.

Titik akhir layanan jaringan virtual membatasi akses layanan Azure ke jaringan virtual dan subnet yang diizinkan. Dengan cara ini, mereka menyediakan keamanan tingkat jaringan dan isolasi lalu lintas layanan Azure.

Semua lalu lintas yang menggunakan titik akhir layanan jaringan virtual mengalir melalui tulang punggung Microsoft untuk menyediakan lapisan isolasi lain dari internet publik. Pelanggan juga dapat memilih untuk sepenuhnya menghapus akses internet publik ke sumber daya layanan Azure dan mengizinkan lalu lintas hanya dari jaringan virtual mereka melalui kombinasi firewall IP dan ACL jaringan virtual. Menghapus akses internet membantu melindungi sumber daya layanan Azure dari akses yang tidak sah.

Titik akhir layanan jaringan virtual membantu melindungi sumber daya layanan Azure. Sumber daya jaringan virtual dilindungi melalui kelompok keamanan jaringan.

No. Tidak ada biaya tambahan untuk menggunakan titik akhir layanan jaringan virtual.

Ya, itu mungkin. Jaringan virtual dan sumber daya layanan Azure dapat berada dalam langganan yang sama atau dalam langganan yang berbeda. Satu-satunya persyaratan adalah bahwa jaringan virtual dan sumber daya layanan Azure harus berada di bawah penyewa Microsoft Entra yang sama.

Ya, dimungkinkan saat Anda menggunakan titik akhir layanan untuk Azure Storage dan Azure Key Vault. Layanan lain tidak mendukung titik akhir layanan jaringan virtual dan ACL jaringan virtual di seluruh penyewa Microsoft Entra.

Secara default, sumber daya layanan Azure yang diamankan ke jaringan virtual tidak dapat dijangkau dari jaringan lokal. Jika Anda ingin mengizinkan lalu lintas dari lokal, Anda juga harus mengizinkan alamat IP publik (biasanya, NAT) dari lokal atau ExpressRoute. Anda dapat menambahkan alamat IP ini melalui konfigurasi firewall IP untuk sumber daya layanan Azure.

Alternatively, you can implement private endpoints for supported services.

Untuk mengamankan layanan Azure ke beberapa subnet dalam jaringan virtual atau di beberapa jaringan virtual, aktifkan titik akhir layanan di sisi jaringan di setiap subnet secara independen. Kemudian, amankan sumber daya layanan Azure ke semua subnet dengan menyiapkan ACL jaringan virtual yang sesuai di sisi layanan Azure.

Jika Anda ingin memeriksa atau memfilter lalu lintas yang ditujukan ke layanan Azure dari jaringan virtual, Anda dapat menerapkan perangkat virtual jaringan di dalam jaringan virtual. Anda kemudian dapat menerapkan titik akhir layanan ke subnet tempat appliance virtual jaringan disebarkan dan mengamankan sumber daya layanan Azure hanya untuk subnet ini melalui ACL Jaringan Virtual.

Skenario ini mungkin juga berguna jika Anda ingin membatasi akses layanan Azure dari jaringan virtual Anda hanya ke sumber daya Azure tertentu dengan menggunakan pemfilteran appliance virtual jaringan. Untuk informasi selengkapnya, lihat Menerapkan NVA beravailabilitas tinggi.

Layanan mengembalikan kesalahan HTTP 403 atau HTTP 404.

Yes. Untuk sebagian besar layanan Azure, jaringan virtual yang dibuat di berbagai wilayah dapat mengakses layanan Azure di wilayah lain melalui titik akhir layanan jaringan virtual. Misalnya, jika akun Azure Cosmos DB berada di wilayah US Barat atau US Timur, dan jaringan virtual berada di beberapa wilayah, jaringan virtual dapat mengakses Azure Cosmos DB.

Azure SQL adalah pengecualian dan bersifat regional. Baik jaringan virtual maupun layanan Azure harus berada di wilayah yang sama.

Yes. ACL jaringan virtual dan firewall IP dapat hidup berdampingan. Fitur saling melengkapi untuk membantu memastikan isolasi dan keamanan.

Penghapusan jaringan virtual dan penghapusan subnet adalah operasi independen. Mereka didukung bahkan saat Anda mengaktifkan titik akhir layanan untuk layanan Azure.

Jika Anda menyiapkan ACL jaringan virtual untuk layanan Azure, informasi ACL yang terkait dengan layanan Azure tersebut dinonaktifkan saat Anda menghapus jaringan virtual atau subnet yang mengaktifkan titik akhir layanan jaringan virtual.

Penghapusan akun layanan Azure adalah operasi independen. Ini didukung bahkan jika Anda mengaktifkan titik akhir layanan di sisi jaringan dan menyiapkan ACL jaringan virtual di sisi layanan Azure.

Saat Anda mengaktifkan titik akhir layanan jaringan virtual, alamat IP sumber sumber sumber daya di subnet jaringan virtual Anda beralih dari menggunakan alamat IPv4 publik ke menggunakan alamat IP privat jaringan virtual Azure untuk lalu lintas ke layanan Azure. Sakelar ini dapat menyebabkan firewall IP tertentu yang diatur ke alamat IPv4 publik yang sudah diatur sebelumnya pada layanan Azure mengalami kegagalan.

Titik akhir layanan menambahkan rute sistem yang lebih diprioritaskan daripada rute Border Gateway Protocol (BGP) dan menyediakan rute terbaik untuk lalu lintas titik akhir layanan. Titik akhir layanan selalu mengambil lalu lintas layanan langsung dari jaringan virtual Anda ke layanan di jaringan backbone Microsoft Azure.

Untuk informasi selengkapnya tentang cara Azure memilih rute, lihat Perutean lalu lintas jaringan virtual.

No. Lalu lintas ICMP yang bersumber dari subnet dengan titik akhir layanan diaktifkan tidak akan menggunakan jalur terowongan khusus layanan ke titik akhir yang diinginkan. Titik akhir layanan hanya menangani lalu lintas TCP. Jika Anda ingin menguji latensi atau konektivitas ke titik akhir melalui titik akhir layanan, alat seperti ping dan tracert tidak akan menampilkan jalur sebenarnya yang akan diambil sumber daya dalam subnet.

Untuk menjangkau layanan Azure, NSG perlu mengizinkan konektivitas keluar. Jika NSG Anda dibuka untuk semua lalu lintas keluar internet, lalu lintas titik akhir layanan harus berfungsi. Anda juga dapat membatasi lalu lintas keluar hanya untuk alamat IP layanan dengan menggunakan tag layanan.

Anda dapat mengonfigurasi titik akhir layanan pada jaringan virtual secara independen jika Anda memiliki akses tulis ke jaringan tersebut.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Izin ini disertakan dalam peran administrator layanan bawaan secara default dan dapat dimodifikasi melalui pembuatan peran kustom.

Untuk informasi selengkapnya tentang peran bawaan dan menetapkan izin tertentu ke peran kustom, lihat Peran kustom Azure.

Anda dapat menggunakan kebijakan titik akhir layanan jaringan virtual untuk memfilter lalu lintas jaringan virtual ke layanan Azure, yang hanya mengizinkan sumber daya layanan Azure tertentu melalui titik akhir layanan. Kebijakan titik akhir memberikan kontrol akses terperinci dari lalu lintas jaringan virtual ke layanan Azure.

Untuk mempelajari selengkapnya, lihat Kebijakan titik akhir layanan jaringan virtual untuk Azure Storage.

ID Microsoft Entra tidak mendukung titik akhir layanan secara asli. Untuk daftar lengkap layanan Azure yang mendukung titik akhir layanan jaringan virtual, lihat Titik akhir layanan jaringan virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. Integrasi jaringan virtual untuk Data Lake Storage Gen1 memanfaatkan keamanan titik akhir layanan jaringan virtual antara jaringan virtual Anda dan ID Microsoft Entra untuk menghasilkan klaim keamanan tambahan dalam token akses. Klaim ini lalu digunakan untuk mengautentikasi jaringan virtual Anda ke akun Data Lake Storage Gen1 Anda dan mengizinkan akses.

Tidak ada batasan jumlah total titik akhir layanan dalam jaringan virtual. Untuk sumber daya layanan Azure (seperti akun Azure Storage), layanan mungkin memberlakukan batasan jumlah subnet yang Anda gunakan untuk mengamankan sumber daya. Tabel berikut menunjukkan beberapa contoh batasan:

Azure service	Batasan aturan jaringan virtual
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure Event Hubs	128
Azure Service Bus	128

Note

Batasan dapat berubah sesuai kebijaksanaan layanan Azure. Lihat dokumentasi layanan masing-masing untuk detailnya.

Untuk menjangkau layanan Azure, NSG perlu mengizinkan konektivitas keluar. Jika NSG Anda dibuka untuk semua lalu lintas keluar internet, lalu lintas titik akhir layanan harus berfungsi. Anda juga dapat membatasi lalu lintas keluar hanya untuk alamat IP layanan dengan menggunakan tag layanan.

Anda dapat mengonfigurasi titik akhir layanan pada jaringan virtual secara independen jika Anda memiliki akses tulis ke jaringan tersebut.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Izin ini disertakan dalam peran administrator layanan bawaan secara default dan dapat dimodifikasi melalui pembuatan peran kustom.

Untuk informasi selengkapnya tentang peran bawaan dan menetapkan izin tertentu ke peran kustom, lihat Peran kustom Azure.

Anda dapat menggunakan kebijakan titik akhir layanan jaringan virtual untuk memfilter lalu lintas jaringan virtual ke layanan Azure, yang hanya mengizinkan sumber daya layanan Azure tertentu melalui titik akhir layanan. Kebijakan titik akhir memberikan kontrol akses terperinci dari lalu lintas jaringan virtual ke layanan Azure.

Untuk mempelajari selengkapnya, lihat Kebijakan titik akhir layanan jaringan virtual untuk Azure Storage.

ID Microsoft Entra tidak mendukung titik akhir layanan secara asli. Untuk daftar lengkap layanan Azure yang mendukung titik akhir layanan jaringan virtual, lihat Titik akhir layanan jaringan virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. Integrasi jaringan virtual untuk Data Lake Storage Gen1 memanfaatkan keamanan titik akhir layanan jaringan virtual antara jaringan virtual Anda dan ID Microsoft Entra untuk menghasilkan klaim keamanan tambahan dalam token akses. Klaim ini lalu digunakan untuk mengautentikasi jaringan virtual Anda ke akun Data Lake Storage Gen1 Anda dan mengizinkan akses.

Tidak ada batasan jumlah total titik akhir layanan dalam jaringan virtual. Untuk sumber daya layanan Azure (seperti akun Azure Storage), layanan mungkin memberlakukan batasan jumlah subnet yang Anda gunakan untuk mengamankan sumber daya. Tabel berikut menunjukkan beberapa contoh batasan:

Azure service	Batasan aturan jaringan virtual
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure Event Hubs	128
Azure Service Bus	128

Note

Batasan dapat berubah sesuai kebijaksanaan layanan Azure. Lihat dokumentasi layanan masing-masing untuk detailnya.

Yes. Anda dapat memiliki beberapa Titik Akhir Privat di jaringan virtual atau subnet yang sama. Mereka dapat tersambung ke layanan yang berbeda.

Tidak, membuat beberapa zona dengan nama yang sama untuk satu jaringan virtual tidak didukung.

No. Anda tidak memerlukan subnet khusus untuk Titik Akhir Privat. Anda dapat memilih IP Titik Akhir Privat dari subnet apa pun dari jaringan virtual tempat layanan Anda disebarkan.

Yes. Titik akhir privat dapat tersambung ke layanan Private Link atau ke Azure PaaS di seluruh penyewa Microsoft Entra. Titik Akhir Privat di seluruh penyewa memerlukan persetujuan permintaan manual.

Yes. Titik Akhir Privat dapat menyambungkan ke sumber daya Azure PaaS di seluruh wilayah Azure.

Saat titik akhir privat dibuat, NIC baca-saja yang ditetapkan. NIC tidak dapat dimodifikasi dan akan tetap untuk siklus hidup titik akhir Privat.

Titik Akhir Privat adalah sumber daya yang sangat tersedia dengan SLA sesuai SLA untuk Azure Private Link. Namun, karena sumber daya wilayah, pemadaman wilayah Azure apa pun dapat memengaruhi ketersediaan. Untuk mencapai ketersediaan jika ada kegagalan regional, beberapa PEs yang terhubung ke sumber daya tujuan yang sama dapat disebarkan di berbagai wilayah. Dengan cara ini jika satu wilayah padam, Anda masih dapat merutekan lalu lintas untuk skenario pemulihan Anda melalui PE di wilayah yang berbeda untuk mengakses sumber daya tujuan. Untuk informasi tentang bagaimana kegagalan regional ditangani di sisi layanan tujuan, tinjau dokumentasi layanan tentang failover dan pemulihan. Lalu lintas Private Link mengikuti resolusi Azure DNS untuk titik akhir tujuan.

Titik Akhir Privat adalah sumber daya yang sangat tersedia dengan SLA sesuai SLA untuk Azure Private Link. Titik Akhir Privat bersifat agnostik zona: kegagalan zona ketersediaan di wilayah Titik Akhir Privat tidak akan memengaruhi ketersediaan Titik Akhir Privat.

Lalu lintas TCP dan UDP hanya didukung untuk titik akhir privat. Untuk informasi selengkapnya, lihat Batasan Private Link.

Ujung belakang layanan Anda harus berada di Virtual Network dan di belakang Load Balancer Standar.

Anda dapat menskalakan layanan Private Link Anda dengan beberapa cara:

• Tambahkan VM Ujung belakang ke kumpulan di belakang Standard Load Balancer Anda
• Menambahkan IP ke layanan Private Link. Kami mengizinkan hingga 8 IP per layanan Private Link.
• Menambahkan layanan Private Link baru ke Load Balancer Standar. Kami mengizinkan hingga delapan Layanan Private Link per Load Balancer Standar.

• Konfigurasi IP NAT memastikan ruang alamat sumber (konsumen) dan tujuan (penyedia layanan) tidak memiliki konflik IP. Konfigurasi ini menyediakan NAT sumber untuk lalu lintas tautan privat untuk tujuan. Alamat IP NAT muncul sebagai IP sumber untuk semua paket yang diterima oleh layanan dan IP tujuan Anda untuk semua paket yang dikirim oleh layanan Anda. IP NAT dapat dipilih dari subnet mana pun dalam Virtual Network penyedia layanan.
• Setiap IP NAT memberikan koneksi TCP 64k (port 64k) per VM di belakang Standard Load Balancer. Untuk menskalakan dan menambahkan lebih banyak koneksi, Anda dapat menambahkan IP NAT baru atau menambahkan lebih banyak VM di belakang Standard Load Balancer. Melakukannya menskalakan ketersediaan port dan memungkinkan lebih banyak koneksi. Koneksi didistribusikan di seluruh IP NAT dan VM di belakang Load Balancer Standar.

Yes. Satu Layanan Private Link dapat menerima koneksi dari beberapa Titik Akhir Privat. Namun, satu Titik Akhir Privat hanya dapat tersambung ke satu Layanan Private Link.

Anda dapat mengontrol paparan menggunakan konfigurasi visibilitas pada layanan Private Link. Visibilitas mendukung tiga pengaturan:

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

No. Layanan Private Link melalui Load Balancer Dasar tidak didukung.

No. Subnet khusus tidak diperlukan untuk Layanan Private Link. Anda dapat memilih subnet apa pun di jaringan virtual tempat layanan Anda disebarkan.

No. Azure Private Link memberikan fungsionalitas ini untuk Anda. Anda tidak diharuskan memiliki ruang alamat yang tidak tumpang tindih dengan ruang alamat pelanggan Anda.

Next steps

• Pelajari Azure Private Link