Tutorial: Menyambungkan ke akun penyimpanan menggunakan Azure Private Endpoint

Titik Akhir Azure Private adalah blok penyusun dasar untuk tautan privat di Azure. Titik akhir tersebut memungkinkan sumber daya Azure, seperti mesin virtual (VM), untuk berkomunikasi secara privat dan aman dengan sumber daya Private Link seperti Azure Storage.

Diagram of resources created in tutorial.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat jaringan virtual dan host bastion.
  • Buat akun penyimpanan dan nonaktifkan akses publik.
  • Buat titik akhir privat untuk akun penyimpanan.
  • Membuat mesin virtual.
  • Menguji konektivitas pada titik akhir privat akun penyimpanan.

Prasyarat

  • Langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Masuk ke Azure

Masuk ke portal Azure.

Membuat jaringan virtual dan host Azure Bastion

Prosedur berikut membuat jaringan virtual dengan subnet sumber daya, subnet Azure Bastion, dan host Bastion:

  1. Di portal, cari dan pilih Jaringan virtual.

  2. Pada halaman Jaringan virtual, pilih + Buat.

  3. Pada tab Dasar-dasar dari Buat jaringan virtual, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih Buat baru.
    Masukkan test-rg untuk nama tersebut.
    Pilih OK.
    Detail instans
    Nama Masukkan vnet-1.
    Wilayah Pilih US Timur 2.

    Screenshot of the Basics tab for creating a virtual network in the Azure portal.

  4. Pilih Berikutnya untuk melanjutkan ke tab Keamanan .

  5. Di bagian Azure Bastion , pilih Aktifkan Bastion.

    Bastion menggunakan browser Anda untuk terhubung ke VM di jaringan virtual Anda melalui Secure Shell (SSH) atau Remote Desktop Protocol (RDP) dengan menggunakan alamat IP privat mereka. VM tidak memerlukan alamat IP publik, perangkat lunak klien, atau konfigurasi khusus. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Azure Bastion?.

    Catatan

    Harga per jam dimulai sejak Bastion disebarkan, terlepas dari penggunaan data keluar. Untuk informasi selengkapnya, lihat Harga dan SKU. Jika Anda menyebarkan Bastion sebagai bagian dari tutorial atau pengujian, kami sarankan Anda menghapus sumber daya ini setelah Selesai menggunakannya.

  6. Di Azure Bastion, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Nama host Azure Bastion Masukkan bastion.
    Alamat IP publik Azure Bastion Pilih Buat alamat IP publik.
    Masukkan public-ip-bastion di Nama.
    Pilih OK.

    Screenshot of options for enabling an Azure Bastion host as part of creating a virtual network in the Azure portal.

  7. Pilih Berikutnya untuk melanjutkan ke tab Alamat IP.

  8. Dalam kotak ruang alamat di Subnet, pilih subnet default .

  9. Di Edit subnet, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Detail subnet
    Templat subnet Biarkan default Default.
    Nama Masukkan subnet-1.
    Alamat awal Biarkan default 10.0.0.0.
    Ukuran subnet Biarkan default /24 (256 alamat).

    Screenshot of configuration details for a subnet.

  10. Pilih Simpan.

  11. Pilih Tinjau + buat di bagian bawah jendela. Saat melalui validasi, pilih Buat.

Buat akun penyimpanan

Buat akun Azure Storage untuk langkah-langkah dalam artikel ini. Jika Anda sudah memiliki akun penyimpanan, Anda dapat menggunakannya sebagai gantinya.

  1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

  2. Pilih + Buat.

  3. Pada tab Dasar-Dasarbuat akun penyimpanan, masukkan atau pilih informasi berikut ini:

    Pengaturan Nilai
    Detail Proyek
    Langganan Pilih langganan Azure Anda.
    Grup Sumber Daya Pilih test-rg.
    Detail instans
    Nama akun penyimpanan Masukkan storage1. Jika nama tidak tersedia, masukkan nama unik.
    Lokasi Pilih (US) US Timur 2.
    Performa Biarkan Standar default.
    Redundansi geografis Pilih Penyimpanan redundan secara lokal (LRS).
  4. Pilih Tinjau.

  5. Pilih Buat.

Menonaktifkan akses publik ke akun penyimpanan

Sebelum Anda membuat titik akhir privat, disarankan untuk menonaktifkan akses publik ke akun penyimpanan. Gunakan langkah-langkah berikut untuk menonaktifkan akses publik ke akun penyimpanan.

  1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

  2. Pilih storage1 atau nama akun penyimpanan Anda yang sudah ada.

  3. Di Keamanan + jaringan, pilih Jaringan.

  4. Di tab Firewall dan jaringan virtual di Akses jaringan publik, pilih Dinonaktifkan.

  5. Pilih Simpan.

Buat titik akhir pribadi

  1. Pada kotak pencarian di bagian atas portal, masukkan Titik akhir privat. Pilih Titik akhir privat.

  2. Pilih + Buat di Titik akhir privat.

  3. Di tab Dasar pada buat titik akhir privat, masukkan atau pilih informasi berikut.

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg
    Detail instans
    Nama Masukkan titik akhir privat.
    Nama Antarmuka Jaringan Biarkan default private-endpoint-nic.
    Wilayah Pilih US Timur 2.
  4. Pilih Berikutnya: Sumber Daya.

  5. Pada panel Sumber daya, masukkan atau pilih informasi berikut.

    Pengaturan Nilai
    Metode koneksi Biarkan pengaturan default Sambungkan ke sumber daya Azure di direktori saya.
    Langganan Pilih langganan Anda.
    Jenis Sumber Daya Pilih Microsoft.Storage/storageAccounts.
    Sumber daya Pilih storage-1 atau akun penyimpanan Anda.
    Subresource target Pilih blob.
  6. Pilih Berikutnya: Virtual Network.

  7. Di Virtual Network, masukkan atau pilih informasi berikut.

    Pengaturan Nilai
    Jaringan
    Jaringan virtual Pilih vnet-1 (test-rg).
    Subnet Pilih subnet-1.
    Kebijakan jaringan untuk titik akhir privat Pilih edit untuk menerapkan kebijakan Jaringan untuk titik akhir privat.
    Di Edit kebijakan jaringan subnet, pilih kotak centang di samping Grup keamanan jaringan dan Tabel Rute di pengaturan Kebijakan jaringan untuk semua titik akhir privat dalam penarikan subnet ini.
    Pilih Simpan.

    Untuk informasi selengkapnya, lihat Mengelola kebijakan jaringan untuk titik akhir privat
    Pengaturan Nilai
    Konfigurasi IP privat Pilih Alokasikan alamat IP secara dinamis.

    Screenshot of dynamic IP address selection.

  8. Pilih Berikutnya: DNS.

  9. Biarkan pengaturan default di DNS. Pilih Berikutnya: Tag, lalu Berikutnya: Ulasan + buat.

  10. Pilih Buat.

Membuat komputer virtual pengujian

Prosedur berikut membuat mesin virtual pengujian (VM) bernama vm-1 di jaringan virtual.

  1. Di portal, cari dan pilih Komputer virtual.

  2. Di Komputer virtual, pilih + Buat, lalu komputer virtual Azure.

  3. Di tab Dasar dari Buat mesin virtual, masukkan atau pilih informasi berikut ini:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama komputer virtual Masukkan vm-1.
    Wilayah Pilih US Timur 2.
    Opsi ketersediaan Pilih Tidak diperlukan redundansi infrastruktur.
    Jenis keamanan Biarkan default Standar.
    Gambar Pilih Pusat Data Windows Server 2022 - x64 Gen2.
    Arsitektur Mesin virtual Biarkan default x64.
    Ukuran Pilih ukuran.
    Akun administrator
    Jenis autentikasi Pilih Kata sandi.
    Nama Pengguna Masukkan azureuser.
    Kata sandi Masukkan kata sandi.
    Mengonfirmasikan kata sandi Masukkan kembali sandi.
    Aturan port masuk
    Port masuk publik Pilih Tidak ada.
  4. Pilih tab Jaringan di bagian atas halaman.

  5. Masukkan atau pilih informasi berikut di tab Jaringan:

    Pengaturan Nilai
    Antarmuka jaringan
    Jaringan virtual Pilih vnet-1.
    Subnet Pilih subnet-1 (10.0.0.0/24).
    IP Publik Pilih Tidak ada.
    kelompok keamanan jaringan NIC Pilih Tingkat Lanjut.
    Mengonfigurasi grup keamanan jaringan Pilih Buat baru.
    Masukkan nsg-1 untuk nama tersebut.
    Biarkan sisanya di default dan pilih OK.
  6. Biarkan pengaturan lainnya di default dan pilih Tinjau + buat.

  7. Tinjau pengaturan akhir, dan pilih Buat.

Catatan

Komputer virtual di jaringan virtual dengan host bastion tidak memerlukan alamat IP publik. Bastion menyediakan IP publik, dan VM menggunakan IP privat untuk berkomunikasi dalam jaringan. Anda dapat menghapus IP publik dari VM apa pun di jaringan virtual yang dihosting bastion. Untuk informasi selengkapnya, lihat Memisahkan alamat IP publik dari Azure VM.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend load balancer Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:

  • Alamat IP publik ditetapkan ke VM.
  • VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
  • Sumber daya gateway NAT Azure Virtual Network ditetapkan ke subnet VM.

VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.

Kunci akses penyimpanan

Kunci akses penyimpanan diperlukan untuk langkah-langkah selanjutnya. Buka akun penyimpanan yang Anda buat sebelumnya dan salin string koneksi dengan kunci akses untuk akun penyimpanan.

  1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

  2. Pilih akun penyimpanan yang Anda buat di langkah sebelumnya atau akun penyimpanan yang sudah ada.

  3. Di bagian Keamanan + jaringan pada gambaran umum akun penyimpanan, harap pilih Kunci akses.

  4. Pilih Perlihatkan, lalu pilih salin pada string Koneksi ion untuk key1.

Menambahkan kontainer blob

  1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

  2. Pilih akun penyimpanan yang Anda buat di langkah sebelumnya.

  3. Di bagian Penyimpanan data, pilih Kontainer.

  4. Pilih + Kontainer untuk membuat kontainer baru.

  5. Masukkan kontainer di Nama dan pilih Privat (tanpa akses anonim) di bawah Tingkat akses publik.

  6. Pilih Buat.

Menguji konektivitas ke titik akhir privat

Di bagian ini, Anda menggunakan komputer virtual yang Anda buat di langkah-langkah sebelumnya untuk menyambungkan ke akun penyimpanan di seluruh titik akhir privat menggunakan Microsoft Azure Storage Explorer.

  1. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.

  2. Pilih vm-1.

  3. Di Operasi, pilih Bastion.

  4. Masukkan nama pengguna dan kata sandi yang Anda masukkan selama pembuatan komputer virtual.

  5. Pilih Sambungkan.

  6. Buka Windows PowerShell pada server setelah Anda tersambung.

  7. Memasuki nslookup <storage-account-name>.blob.core.windows.net. Mengganti <storage-account-name> dengan nama akun penyimpanan yang Anda buat di langkah sebelumnya. Contoh berikut menunjukkan output perintah.

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    storage1.privatelink.blob.core.windows.net
    Address:  10.0.0.10
    Aliases:  mystorageaccount.blob.core.windows.net
    

    Alamat IP privat 10.0.0.10 dikembalikan untuk nama akun penyimpanan. Alamat ini berada di subnet subnet-1 jaringan virtual vnet-1 yang Anda buat sebelumnya.

  8. Pasang Microsoft Azure Storage Explorer pada komputer virtual.

  9. Pilih Selesai setelah Microsoft Azure Storage Explorer dipasang. Biarkan kotak dicentang untuk membuka aplikasi.

  10. Pilih simbol Power plug untuk membuka kotak dialog Pilih Sumber Daya di toolbar sebelah kiri.

  11. Di Pilih Sumber Daya , pilih Akun penyimpanan atau layanan untuk menambahkan koneksi di Microsoft Azure Storage Explorer ke akun penyimpanan yang Anda buat di langkah sebelumnya.

  12. Pada layar Pilih Metode Koneksi, pilih Untai koneksi, kemudian Selanjutnya.

  13. Dalam kotak di bawah String Koneksi, tempelkan string koneksi dari akun penyimpanan yang Anda salin di langkah-langkah sebelumnya. Nama akun penyimpanan secara otomatis terisi dalam kotak di bawah Nama tampilan.

  14. Pilih Selanjutnya.

  15. Verifikasikan bahwa pengaturan telah benar di Pengaturan.

  16. Pilih Sambungkan

  17. Pilih akun penyimpanan Anda dari Akun Penyimpanan di menu penjelajah.

  18. Perluas akun penyimpanan lalu Kontainer Blob.

  19. Kontainer yang Anda buat sebelumnya ditampilkan.

  20. Tutup koneksi ke vm-1.

Membersihkan sumber daya

Setelah selesai menggunakan sumber daya yang Anda buat, Anda dapat menghapus grup sumber daya dan semua sumber dayanya:

  1. Di portal Microsoft Azure, cari dan pilih Grup sumber daya.

  2. Pada halaman Grup sumber daya, pilih grup sumber daya test-rg .

  3. Pada halaman test-rg , pilih Hapus grup sumber daya.

  4. Masukkan test-rg di Masukkan nama grup sumber daya untuk mengonfirmasi penghapusan, lalu pilih Hapus.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari cara untuk membuat:

  • Membuat jaringan virtual dan host bastion.

  • Komputer virtual.

  • Storage akun serta kontainer.

Pelajari cara menyambungkan ke akun Azure Cosmos DB melalui Azure Private Endpoint: