Tutorial: Membuat infrastruktur DNS titik akhir privat dengan Azure Private Resolver untuk beban kerja lokal
Saat Titik Akhir Privat Azure dibuat, Titik Akhir Privat Azure menggunakan Zona DNS Privat Azure untuk resolusi nama secara default. Agar beban kerja lokal dapat mengakses titik akhir, penerus ke komputer virtual di Azure yang menghosting DNS atau catatan DNS lokal untuk titik akhir privat diperlukan. Azure Private Resolver meringankan kebutuhan untuk menyebarkan VM di Azure untuk DNS atau mengelola catatan DNS titik akhir privat di server DNS lokal.
Dalam tutorial ini, Anda akan mempelajari cara:
- Buat Azure Virtual Network untuk jaringan cloud dan jaringan lokal yang disimulasikan dengan peering jaringan virtual.
- Buat Azure Web App untuk mensimulasikan sumber daya cloud.
- Buat Titik Akhir Privat Azure untuk aplikasi web di Azure Virtual Network.
- Buat Azure Private Resolver di jaringan cloud.
- Buat Azure Virtual Machine di jaringan lokal yang disimulasikan untuk menguji resolusi DNS ke aplikasi web.
Catatan
Azure Virtual Network dengan peering digunakan untuk mensimulasikan jaringan lokal untuk tujuan tutorial ini. Dalam skenario produksi, Rute Ekspres atau VPN situs ke situs diperlukan untuk terhubung ke Azure Virtual Network untuk mengakses titik akhir privat.
Jaringan yang disimulasikan dikonfigurasi dengan Azure Private Resolver sebagai server DNS jaringan virtual. Dalam skenario produksi, sumber daya lokal akan menggunakan server DNS lokal untuk resolusi nama. Penerus kondisional ke Azure Private Resolver digunakan di server DNS lokal untuk mengatasi catatan DNS titik akhir privat. Untuk informasi selengkapnya tentang konfigurasi penerus kondisi untuk server DNS Anda, lihat dokumentasi penyedia Anda.
Prasyarat
- Akun Azure dengan langganan aktif. Buat akun secara gratis.
Masuk ke Azure
Masuk ke portal Azure dengan akun Azure Anda.
Gambaran Umum
Jaringan virtual untuk Azure Web App dan jaringan lokal yang disimulasikan digunakan untuk sumber daya dalam tutorial. Anda membuat dua jaringan virtual dan mengintipnya untuk mensimulasikan koneksi Rute Ekspres atau VPN antara lokal dan Azure. Host Azure Bastion disebarkan di jaringan lokal yang disimulasikan untuk menyambungkan ke komputer virtual pengujian. Komputer virtual pengujian digunakan untuk menguji koneksi titik akhir privat ke aplikasi web dan resolusi DNS.
Sumber daya berikut digunakan dalam tutorial ini untuk mensimulasikan infrastruktur jaringan lokal dan cloud:
| Sumber daya | Nama | Deskripsi |
|---|---|---|
| Jaringan virtual lokal yang disimulasikan | vnet-1 | Jaringan virtual yang mensimulasikan jaringan lokal. |
| Jaringan virtual cloud | vnet-2 | Jaringan virtual tempat Azure Web App disebarkan. |
| Host Bastion | Bastion | Host Bastion digunakan untuk terhubung ke komputer virtual di jaringan lokal yang disimulasikan. |
| Menguji komputer virtual | vm-1 | Komputer virtual yang digunakan untuk menguji koneksi titik akhir privat ke aplikasi web dan resolusi DNS. |
| Peer jaringan virtual | vnet-1-to-vnet-2 | Peer jaringan virtual antara jaringan lokal yang disimulasikan dan jaringan virtual cloud. |
| Peer jaringan virtual | vnet-2-ke-vnet-1 | Peer jaringan virtual antara jaringan virtual cloud dan jaringan lokal yang disimulasikan. |
Membuat jaringan virtual dan host Azure Bastion
Prosedur berikut membuat jaringan virtual dengan subnet sumber daya, subnet Azure Bastion, dan host Bastion:
Di portal, cari dan pilih Jaringan virtual.
Pada halaman Jaringan virtual, pilih + Buat.
Pada tab Dasar dari Buat jaringan virtual, masukkan, atau pilih informasi berikut:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Anda. Grup sumber daya Pilih Buat baru.
Masukkan test-rg untuk nama tersebut.
Pilih OK.Detail instans Nama Masukkan vnet-1. Wilayah Pilih US Timur 2. 
Pilih Berikutnya untuk melanjutkan ke tab Keamanan .
Di bagian Azure Bastion , pilih Aktifkan Azure Bastion.
Bastion menggunakan browser Anda untuk terhubung ke VM di jaringan virtual Anda melalui Secure Shell (SSH) atau Remote Desktop Protocol (RDP) dengan menggunakan alamat IP privat mereka. VM tidak memerlukan alamat IP publik, perangkat lunak klien, atau konfigurasi khusus. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Azure Bastion?.
Di Azure Bastion, masukkan atau pilih informasi berikut:
Pengaturan Nilai Nama host Azure Bastion Masukkan bastion. Alamat IP publik Azure Bastion Pilih Buat alamat IP publik.
Masukkan public-ip-bastion di Nama.
Pilih OK.
Pilih Berikutnya untuk melanjutkan ke tab Alamat IP.
Dalam kotak ruang alamat di Subnet, pilih subnet default .
Di Edit subnet, masukkan atau pilih informasi berikut:
Pengaturan Nilai Tujuan subnet Biarkan default Default. Nama Masukkan subnet-1. IPv4 Rentang alamat IPv4 Biarkan default 10.0.0.0/16. Alamat awal Biarkan default 10.0.0.0. Ukuran Biarkan default /24 (256 alamat). 
Pilih Simpan.
Pilih Tinjau + buat di bagian bawah jendela. Saat melalui validasi, pilih Buat.
Dibutuhkan beberapa menit agar penyebaran host Bastion selesai. Host Bastion digunakan nanti dalam tutorial untuk terhubung ke komputer virtual "lokal" untuk menguji titik akhir privat. Anda dapat melanjutkan ke langkah berikutnya saat jaringan virtual dibuat.
Membuat jaringan virtual cloud
Ulangi langkah-langkah sebelumnya untuk membuat jaringan virtual cloud untuk titik akhir privat Azure Web App. Ganti nilai dengan nilai berikut untuk jaringan virtual cloud:
Catatan
Bagian penyebaran Azure Bastion dapat dilewati untuk jaringan virtual cloud. Host Bastion hanya diperlukan untuk jaringan lokal yang disimulasikan.
| Pengaturan | Nilai |
|---|---|
| Nama | vnet-2 |
| Lokasi | US Timur 2 |
| Ruang alamat | 10.1.0.0/16 |
| Nama subnet | subnet-1 |
| Rentang alamat subnet | 10.1.0.0/24 |
Membuat peer jaringan virtual
Gunakan langkah-langkah berikut untuk membuat peer jaringan dua arah antara vnet1 dan vnet2.
Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual di hasil pencarian.
Pilih vnet-1.
Di Pengaturan pilih Peering.
Pilih + Tambah.
Masukkan atau pilih informasi berikut di Tambahkan peering:
Pengaturan Nilai Ringkasan jaringan virtual jarak jauh Nama tautan penyerekan Masukkan vnet-2-to-vnet-1. Model penyebaran jaringan virtual Biarkan default Resource Manager. Langganan Pilih langganan Anda. Jaringan virtual Pilih vnet-2. Pengaturan peering jaringan virtual jarak jauh Izinkan 'vnet-2' untuk mengakses 'vnet-1' Biarkan default yang dipilih. Izinkan 'vnet-2' menerima lalu lintas yang diteruskan dari 'vnet-1' Pilih kotak centang. Izinkan gateway atau server rute di 'vnet-2' untuk meneruskan lalu lintas ke 'vnet-1' Biarkan default dibersihkan. Aktifkan 'vnet-2' untuk menggunakan gateway jarak jauh 'vnet-1' atau server rute Biarkan default dibersihkan. Ringkasan peering jaringan virtual lokal Nama tautan penyerekan Masukkan vnet-1-to-vnet-2. Pengaturan peering jaringan virtual lokal Izinkan 'vnet-1' untuk mengakses 'vnet-2' Biarkan default yang dipilih. Izinkan 'vnet-1' menerima lalu lintas yang diteruskan dari 'vnet-2' Pilih kotak centang. Izinkan gateway atau server rute di 'vnet-1' untuk meneruskan lalu lintas ke 'vnet-2' Biarkan default dibersihkan. Aktifkan 'vnet-1' untuk menggunakan gateway jarak jauh 'vnet-2' atau server rute Biarkan default dibersihkan. 
Pilih Tambahkan.
Membuat aplikasi web
Di kotak pencarian di bagian atas portal, masukkan App Service. Pilih App Services di hasil pencarian.
Pilih + Buat.
Masukkan atau pilih informasi berikut di tab Dasar dari Buat Aplikasi Web.
Pengaturan Nilai Detail proyek Langganan Pilih langganan Anda. Grup Sumber Daya Pilih test-rg. Detail instans Nama Masukkan nama unik untuk aplikasi web. Nama webapp8675 digunakan untuk contoh dalam tutorial ini. Terbitkan Pilih Kode. Tumpukan runtime Pilih .NET 6 (LTS). Sistem Operasi Pilih Windows. Wilayah Pilih US Timur 2. Paket harga Paket Windows (US Barat 2) Biarkan nama default. Paket harga Pilih Ubah ukuran. Di Pemilih Spesifikasi, pilih Produksi untuk beban kerja.
Di Tingkat harga yang direkomendasikan, pilih P1V2.
Pilih Terapkan.
Pilih Berikutnya: Penyebaran.
Pilih Next: Networking.
Ubah 'Aktifkan akses publik' menjadi false.
Pilih Tinjau + buat.
Pilih Buat.
Buat titik akhir pribadi
Titik akhir privat Azure membuat antarmuka jaringan untuk layanan Azure yang didukung di jaringan virtual Anda. Titik akhir privat memungkinkan layanan Azure diakses dari koneksi privat di Azure Virtual Network atau jaringan lokal Anda.
Anda membuat titik akhir privat untuk aplikasi web yang Anda buat sebelumnya.
Pada kotak pencarian di bagian atas portal, masukkan Titik akhir privat. Pilih Titik akhir privat di hasil pencarian.
Pilih + Buat.
Masukkan atau pilih informasi berikut di tab Dasar dari Buat titik akhir privat:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Anda Grup sumber daya Pilih test-rg. Detail instans Nama Masukkan titik akhir privat. Nama Antarmuka Jaringan Biarkan nama default. Wilayah Pilih US Timur 2. Pilih Berikutnya: Sumber Daya.
Masukkan atau pilih informasi berikut di tab Sumber Daya :
Pengaturan Nilai Metode koneksi Pilih Sambungkan ke sumber daya Azure di direktori saya. Langganan Pilih langganan Anda. Jenis Sumber Daya Pilih Microsoft.Web/situs. Sumber daya Pilih aplikasi web Anda. Nama webapp8675 digunakan untuk contoh dalam tutorial ini. Subresource target Pilih situs. Pilih Berikutnya: Virtual Network.
Masukkan atau pilih informasi berikut di tab Virtual Network :
Pengaturan Nilai Jaringan Jaringan virtual Pilih vnet-2 (test-rg). Subnet Pilih subnet-1. Kebijakan jaringan untuk titik akhir privat Biarkan default Dinonaktifkan. Konfigurasi IP privat Pilih Alokasikan alamat IP secara statis. Nama Masukkan ipconfig-1. IP Privat Masukkan 10.1.0.10. Pilih Berikutnya: DNS.
Biarkan default di tab DNS .
Pilih Berikutnya: Tag, lalu Berikutnya: Ulasan + buat.
Pilih Buat.
Membuat resolver privat
Anda membuat resolver privat di jaringan virtual tempat titik akhir privat berada. Resolver menerima permintaan DNS dari beban kerja lokal yang disimulasikan. Permintaan tersebut diteruskan ke DNS yang disediakan Azure. DNS yang disediakan Azure menyelesaikan zona DNS Privat Azure untuk titik akhir privat dan mengembalikan alamat IP ke beban kerja lokal.
Dalam kotak pencarian di bagian atas portal, masukkan resolver privat DNS. Pilih Pemecah masalah privat DNS di hasil pencarian.
Pilih + Buat.
Masukkan atau pilih informasi berikut di tab Dasar dari Buat pemecah masalah privat DNS:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Anda. Grup sumber daya Pilih test-rg Detail instans Nama Masukkan penyelesai privat. Wilayah Pilih (US) US Timur 2. Virtual Network Virtual Network Pilih vnet-2. Pilih Berikutnya: Titik Akhir Masuk.
Di Titik Akhir Masuk, pilih + Tambahkan titik akhir.
Masukkan atau pilih informasi berikut di Menambahkan titik akhir masuk:
Pengaturan Nilai Nama titik akhir 2 Masukkan titik akhir masuk. Subnet Pilih Buat baru.
Masukkan subnet-resolver di Nama.
Biarkan rentang alamat Subnet default.
Pilih Buat.Pilih Simpan.
Pilih Tinjau + buat.
Pilih Buat.
Saat penyebaran resolver privat selesai, lanjutkan ke langkah berikutnya.
Menyiapkan DNS untuk jaringan yang disimulasikan
Langkah-langkah berikut mengatur resolver privat sebagai server DNS utama untuk jaringan vnet-1 lokal yang disimulasikan.
Di lingkungan produksi, langkah-langkah ini tidak diperlukan dan hanya untuk mensimulasikan resolusi DNS untuk titik akhir privat. Server DNS lokal Anda memiliki penerus kondisional ke alamat IP ini untuk menyelesaikan catatan DNS titik akhir privat dari jaringan lokal.
Dalam kotak pencarian di bagian atas portal, masukkan resolver privat DNS. Pilih Pemecah masalah privat DNS di hasil pencarian.
Pilih penyelesai privat.
Pilih Titik akhir masuk di Pengaturan.
Catat alamat IP titik akhir bernama titik akhir masuk. Dalam contoh untuk tutorial ini, alamat IP adalah 10.1.1.4.
Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual di hasil pencarian.
Pilih vnet-1.
Pilih Server DNS di Pengaturan.
Pilih Kustom di server DNS.
Masukkan alamat IP yang Anda catat sebelumnya. Dalam contoh untuk tutorial ini, alamat IP adalah 10.1.1.4.
Pilih Simpan.
Membuat komputer virtual pengujian
Prosedur berikut membuat mesin virtual pengujian (VM) bernama vm-1 di jaringan virtual.
Di portal, cari dan pilih Mesin virtual.
Di Komputer virtual, pilih + Buat, lalu komputer virtual Azure.
Di tab Dasar dari Buat mesin virtual, masukkan atau pilih informasi berikut ini:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Anda. Grup sumber daya Pilih test-rg. Detail instans Nama komputer virtual Masukkan vm-1. Wilayah Pilih US Timur 2. Opsi ketersediaan Pilih Tidak diperlukan redundansi infrastruktur. Jenis keamanan Biarkan default Standar. Gambar Pilih Pusat Data Windows Server 2022 - x64 Gen2. Arsitektur Mesin virtual Biarkan default x64. Ukuran Pilih ukuran. Akun administrator Jenis autentikasi Pilih Kata sandi. Nama Pengguna Masukkan azureuser. Kata sandi Masukkan kata sandi. Mengonfirmasikan kata sandi Masukkan kembali sandi. Aturan port masuk Port masuk publik Pilih Tidak ada. Pilih tab Jaringan di bagian atas halaman.
Masukkan atau pilih informasi berikut di tab Jaringan:
Pengaturan Nilai Antarmuka jaringan Jaringan virtual Pilih vnet-1. Subnet Pilih subnet-1 (10.0.0.0/24). IP Publik Pilih Tidak ada. kelompok keamanan jaringan NIC Pilih Tingkat Lanjut. Mengonfigurasi grup keamanan jaringan Pilih Buat baru.
Masukkan nsg-1 untuk nama tersebut.
Biarkan sisanya di default dan pilih OK.Biarkan pengaturan lainnya di default dan pilih Tinjau + buat.
Tinjau pengaturan akhir, dan pilih Buat.
Catatan
Komputer virtual di jaringan virtual dengan host bastion tidak memerlukan alamat IP publik. Bastion menyediakan IP publik, dan VM menggunakan IP privat untuk berkomunikasi dalam jaringan. Anda dapat menghapus IP publik dari VM apa pun di jaringan virtual yang dihosting bastion. Untuk informasi selengkapnya, lihat Memisahkan alamat IP publik dari Azure VM.
Catatan
Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend load balancer Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.
IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:
- Alamat IP publik ditetapkan ke VM.
- VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
- Sumber daya Azure NAT Gateway ditetapkan ke subnet VM.
VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.
Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.
Menguji konektivitas ke titik akhir privat
Di bagian ini, Anda menggunakan komputer virtual yang Anda buat di langkah sebelumnya untuk menyambungkan ke aplikasi web di seluruh titik akhir privat.
Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.
Pilih vm-1.
Pada halaman gambaran umum untuk vm-1, pilih Sambungkan lalu Bastion.
Masukkan nama pengguna dan kata sandi yang Anda masukkan selama pembuatan komputer virtual.
Harap pilih tombol Sambungkan.
Buka Windows PowerShell pada server setelah Anda tersambung.
Memasuki
nslookup <webapp-name>.azurewebsites.net. Ganti <webapp-name> dengan nama aplikasi web yang telah Anda buat di langkah-langkah sebelumnya. Anda menerima pesan yang mirip dengan output berikut:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp.privatelink.azurewebsites.net Address: 10.1.0.10 Aliases: webapp.azurewebsites.netAlamat IP privat 10.1.0.10 dikembalikan untuk nama aplikasi web. Alamat ini berada di subnet subnet-1 dari jaringan virtual vnet-2 yang Anda buat sebelumnya.
Buka Microsoft Edge, dan masukkan URL aplikasi web Anda,
https://<webapp-name>.azurewebsites.net.Pastikan Anda menerima halaman aplikasi web default.
Tutup koneksi ke vm-1.
Buka browser web di komputer lokal Anda dan masukkan URL aplikasi web Anda,
https://<webapp-name>.azurewebsites.net.Verifikasi bahwa Anda menerima halaman 403. Halaman ini menunjukkan bahwa aplikasi web tidak dapat diakses secara eksternal.
Setelah selesai menggunakan sumber daya yang Anda buat, Anda dapat menghapus grup sumber daya dan semua sumber dayanya.
Di portal Microsoft Azure, cari dan pilih Grup sumber daya.
Pada halaman Grup sumber daya, pilih grup sumber daya test-rg .
Pada halaman test-rg , pilih Hapus grup sumber daya.
Masukkan test-rg di Masukkan nama grup sumber daya untuk mengonfirmasi penghapusan, lalu pilih Hapus.
Langkah berikutnya
Dalam tutorial ini, Anda mempelajari cara menyebarkan resolver privat dan titik akhir privat. Anda menguji koneksi ke titik akhir privat dari jaringan lokal yang disimulasikan.
Lanjutkan ke artikel berikutnya untuk mempelajari cara...