Menjelaskan titik akhir layanan jaringan virtual
Anda telah memigrasikan server database dan aplikasi yang sudah ada untuk sistem ERP Anda ke Azure sebagai VM. Sekarang, untuk mengurangi biaya dan persyaratan administratif, Anda mempertimbangkan untuk menggunakan beberapa platform Azure sebagai layanan (PaaS). Layanan penyimpanan akan mempertahankan aset file besar tertentu, seperti diagram rekayasa. Diagram rekayasa ini memiliki informasi kepemilikan, dan harus tetap aman dari akses yang tidak sah. File ini hanya boleh diakses dari sistem tertentu.
Dalam unit ini, Anda akan melihat cara menggunakan titik akhir layanan jaringan virtual untuk mengamankan layanan Azure yang didukung.
Apa itu titik akhir layanan jaringan virtual?
Titik akhir layanan Virtual Network (VNet) menyediakan konektivitas yang aman dan langsung ke layanan Azure melalui rute yang dioptimalkan melalui jaringan backbone Azure. Titik akhir memungkinkan Anda mengamankan sumber daya layanan Azure penting ke jaringan virtual Anda saja. Titik Akhir Layanan memungkinkan alamat IP privat di VNet menjangkau titik akhir layanan Azure tanpa perlu alamat IP publik di VNet.
Secara default, layanan Azure semuanya dirancang untuk akses internet langsung. Semua sumber daya Azure memiliki alamat IP publik, termasuk layanan PaaS seperti Azure SQL Database dan Azure Storage. Karena layanan ini terekspos di internet, siapa pun dapat berpotensi mengakses layanan Azure Anda.
Titik akhir layanan dapat menghubungkan layanan PaaS tertentu secara langsung ke ruang alamat privat Anda di Azure, sehingga titik akhir ini bertindak seperti berada di jaringan virtual yang sama. Gunakan ruang alamat privat Anda untuk mengakses layanan PaaS secara langsung. Menambahkan titik akhir layanan tidak akan menghapus titik akhir publik. Ini hanya menyediakan pengalihan lalu lintas.
Bersiap Menerapkan Titik Akhir Layanan
Untuk mengaktifkan Titik Akhir Layanan, Anda harus melakukan dua hal berikut:
- Nonaktifkan akses publik ke layanan.
- Menambahkan Titik Akhir Layanan ke jaringan virtual.
Saat Anda mengaktifkan Titik Akhir Layanan, Anda membatasi arus lalu lintas, dan mengaktifkan komputer virtual Azure untuk mengakses layanan secara langsung dari ruang alamat privat Anda. Perangkat tak dapat mengakses layanan dari jaringan publik. Pada vNIC komputer virtual yang disebarkan, jika Anda melihat Rute efektif, Anda akan melihat Titik Akhir Layanan sebagai Jenis Hop Berikutnya.
Ini adalah contoh tabel rute, sebelum mengaktifkan Titik Akhir Layanan:
| SUMBER | STATE | AWALAN ALAMAT | JENIS HOP BERIKUTNYA |
|---|---|---|---|
| Default | Aktif | 10.1.1.0/24 | VNet |
| Default | Aktif | 0.0.0.0./0 | Internet |
| Default | Aktif | 10.0.0.0/8 | Tidak |
| Default | Aktif | 100.64.0.0./ | Tidak |
| Default | Aktif | 192.168.0.0/16 | Tidak |
Dan berikut adalah contoh tabel rute setelah Anda menambahkan dua Titik Akhir Layanan ke jaringan virtual:
| SUMBER | STATE | AWALAN ALAMAT | JENIS HOP BERIKUTNYA |
|---|---|---|---|
| Default | Aktif | 10.1.1.0/24 | VNet |
| Default | Aktif | 0.0.0.0./0 | Internet |
| Default | Aktif | 10.0.0.0/8 | Tidak |
| Default | Aktif | 100.64.0.0./ | Tidak |
| Default | Aktif | 192.168.0.0/16 | Tidak |
| Default | Aktif | 20.38.106.0/23, 10 lebih | VirtualNetworkServiceEndpoint |
| Default | Aktif | 20.150.2.0/23, 9 lebih | VirtualNetworkServiceEndpoint |
Semua lalu lintas untuk layanan kini dialihkan ke Titik Akhir Layanan Jaringan Virtual dan tetap bersifat internal untuk Azure.
Membuat Titik Akhir Layanan
Sebagai teknisi jaringan, Anda berencana untuk memindahkan file diagram rekayasa sensitif ke Azure Storage. File hanya boleh diakses dari komputer di dalam jaringan perusahaan. Anda ingin membuat Titik Akhir Layanan jaringan virtual untuk Azure Storage guna mengamankan konektivitas ke akun penyimpanan Anda.
Dalam tutorial titik akhir layanan, Anda akan mempelajari cara:
- Mengaktifkan titik akhir layanan pada subnet
- Menggunakan aturan jaringan untuk membatasi akses ke Azure Storage
- Membuat titik akhir layanan jaringan virtual untuk Azure Storage
- Verifikasi bahwa akses ditolak dengan tepat
Mengonfigurasi tag layanan
Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan.
Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol pada akses jaringan pada kelompok keamanan jaringan atau Azure Firewall. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat Anda membuat aturan keamanan. Dengan menentukan nama tag layanan, seperti API Management, di bidang sumber atau tujuan yang sesuai dari suatu aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai.
Pada Maret 2021, Anda juga bisa menggunakan Tag Layanan sebagai tempat rentang IP eksplisit di rute yang ditentukan pengguna. Fitur ini masih dalam Pratinjau Umum.
Anda dapat menggunakan tag layanan untuk memungkinkan isolasi jaringan dan melindungi sumber daya Azure dari Internet umum selagi mengakses layanan Azure yang memiliki titik akhir publik. Buat aturan grup keamanan jaringan masuk/keluar untuk menolak lalu lintas ke/dari Internet dan mengizinkan lalu lintas ke/dari AzureCloud atau tag layanan lain yang tersedia dari layanan Azure tertentu.
Tag layanan yang tersedia
Tabel berikut ini meliputi semua tag layanan yang tersedia untuk digunakan dalam aturan kelompok keamanan jaringan.
Kolom menunjukkan apakah tag:
- Cocok untuk aturan yang meliputi lalu lintas masuk atau keluar.
- Mendukung ruang lingkup regional.
- Dapat digunakan dalam aturan Azure Firewall.
Tag layanan mencerminkan rentang untuk seluruh cloud secara default. Beberapa tag layanan juga memungkinkan kendali yang lebih terperinci dengan membatasi rentang IP yang sesuai ke wilayah tertentu. Misalnya, tag layanan Storage menunjukkan Azure Storage untuk seluruh cloud, kecuali Storage. WestUS mempersempit rentang hanya ke rentang alamat IP penyimpanan dari wilayah WestUS. Tabel berikut menunjukkan apakah setiap tag layanan mendukung cakupan regional tersebut.
Tag layanan Azure menunjukkan awalan alamat dari cloud tertentu yang digunakan. Misalnya, rentang IP yang mendasari yang sesuai dengan nilai tag SQL di cloud Azure Public akan berbeda dari rentang yang mendasarinya di cloud Azure Tiongkok.
Jika Anda menerapkan Titik Akhir Layanan jaringan virtual untuk layanan, seperti Azure Storage atau Azure SQL Database, Azure menambahkan rute ke subnet jaringan virtual untuk layanan tersebut. Awalan alamat dalam rute adalah awalan alamat yang sama, atau rentang CIDR seperti yang ada di tag layanan yang sesuai.