Merencanakan dan menerapkan Titik Akhir Privat
Titik akhir privat adalah antarmuka jaringan yang menggunakan alamat IP privat dari jaringan virtual Anda. Antarmuka jaringan ini menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Dengan mengaktifkan titik akhir privat, Anda membawa layanan ke jaringan virtual Anda.
Layanan dapat berupa layanan Azure seperti:
- Azure Storage
- Azure Cosmos DB
- Database Azure SQL
- Layanan Anda sendiri, menggunakan layanan Private Link.
Properti titik akhir privat
Titik akhir privat menentukan properti berikut:
| Properti | Keterangan |
|---|---|
| Nama | Nama unik dalam grup sumber daya. |
| Subnet | Subnet untuk disebarkan, tempat alamat IP pribadi ditetapkan. |
| Sumber daya tautan privat | Sumber daya link privat untuk terhubung dengan menggunakan ID atau alias sumber daya, dari daftar jenis yang tersedia. Pengidentifikasi jaringan unik dibuat untuk semua lalu lintas yang dikirim ke sumber daya ini. |
| Subresource target | Subsumber untuk terhubung. Setiap jenis sumber daya link privat memiliki berbagai opsi untuk dipilih berdasarkan preferensi. |
| Metode persetujuan koneksi | Otomatis atau manual. Bergantung pada izin kontrol akses berbasis peran Azure, titik akhir privat Anda dapat disetujui secara otomatis. Jika Anda menyambungkan ke sumber daya tautan privat tanpa izin berbasis peran Azure, gunakan metode manual untuk memungkinkan pemilik sumber daya menyetujui koneksi. |
| Pesan permintaan | Anda dapat menentukan pesan agar sambungan yang diminta disetujui secara manual. Pesan ini dapat digunakan untuk mengidentifikasi permintaan tertentu. |
| Status koneksi | Properti baca-saja yang menentukan apakah titik akhir privat aktif. Hanya titik akhir privat dalam status yang disetujui yang dapat digunakan untuk mengirim lalu lintas. Status yang tersedia lainnya: Disetujui: Koneksi disetujui secara otomatis atau manual dan siap digunakan. Tertunda: Koneksi dibuat secara manual dan menunggu persetujuan oleh pemilik sumber daya link privat. Ditolak: Koneksi ditolak oleh pemilik sumber daya link privat. Terputus: Koneksi telah dihapus oleh pemilik sumber daya link privat. Titik akhir private link menjadi informatif dan harus dihapus untuk dibersihkan. |
Saat Anda membuat titik akhir privat, pertimbangkan hal berikut:
- Titik akhir privat memungkinkan konektivitas antara pelanggan dari yang sama:
- Jaringan virtual
- Jaringan virtual yang diserekan secara regional
- Jaringan virtual yang diserekan secara global
- Lingkungan lokal yang menggunakan VPN atau Express Route
- Layanan yang didukung oleh Private Link
- Jaringan virtual
- Koneksi jaringan hanya dapat dimulai oleh klien yang terhubung ke titik akhir privat. Penyedia layanan tidak memiliki konfigurasi perutean guna membuat koneksi ke pelanggan layanan. Koneksi hanya dapat dibuat dalam satu arah.
- Antarmuka jaringan baca-saja dibuat secara otomatis untuk siklus hidup titik akhir privat. Antarmuka diberi alamat IP privat dinamis dari subnet yang memetakan ke sumber daya link privat. Nilai alamat IP privat tetap tidak berubah untuk seluruh siklus hidup titik akhir privat.
- Titik akhir privat harus digunakan di wilayah yang sama dan berlangganan sebagai jaringan virtual.
- Sumber daya link privat dapat digunakan di wilayah yang berbeda dari yang untuk jaringan virtual dan titik akhir privat.
- Beberapa titik akhir privat dapat dibuat dengan sumber daya link privat yang sama. Untuk jaringan tunggal yang menggunakan konfigurasi server DNS umum, praktik yang disarankan adalah menggunakan satu titik akhir privat untuk sumber link privat tertentu. Gunakan praktik ini untuk menghindari entri duplikat atau konflik dalam resolusi DNS.
- Beberapa titik akhir privat dapat dibuat pada subnet yang sama atau berbeda dalam jaringan virtual yang sama. Ada batasan jumlah titik akhir privat yang bisa Anda buat dalam langganan.
- Langganan yang berisi sumber daya link privat harus didaftarkan dengan penyedia sumber daya jaringan Microsoft. Langganan yang berisi titik akhir privat juga harus didaftarkan dengan penyedia sumber daya jaringan Microsoft.
Keamanan jaringan titik akhir privat
Saat Anda menggunakan titik akhir privat, lalu lintas diamankan ke sumber daya link privat. Platform ini memvalidasi koneksi jaringan, hanya memungkinkan koneksi yang mencapai sumber daya link privat tertentu. Untuk mengakses lebih banyak sub-sumber daya dalam layanan Azure yang sama, diperlukan titik akhir yang lebih privat dengan target yang sesuai. Dalam kasus Azure Storage, misalnya, Anda memerlukan titik akhir privat terpisah untuk mengakses subresource file dan blob.
Titik akhir privat menyediakan alamat IP yang dapat diakses secara privat untuk layanan Azure, tetapi tidak selalu membatasi akses jaringan publik ke sana. Namun, semua layanan Azure lainnya memerlukan kontrol akses tambahan. Kontrol ini memberikan lapisan keamanan jaringan tambahan ke sumber daya Anda, memberikan perlindungan yang membantu mencegah akses ke layanan Azure yang terkait dengan sumber daya link privat.
Titik akhir privat mendukung kebijakan jaringan. Kebijakan jaringan mengaktifkan dukungan untuk Kelompok Keamanan Jaringan (NSG), Rute yang Ditentukan Pengguna (UDR), dan Kelompok Keamanan Aplikasi (ASG).
Melalui koneksi titik akhir privat, pemilik sumber daya link privat dapat:
- Meninjau semua detail koneksi titik akhir privat.
- Menyetujui koneksi titik akhir privat. Titik akhir privat yang sesuai diaktifkan untuk mengirim lalu lintas ke sumber daya tautan privat.
- Menolak koneksi titik akhir privat. Titik akhir privat yang sesuai diperbarui untuk mencerminkan status.
- Menghapus koneksi titik akhir privat dalam status apa pun. Titik akhir privat yang sesuai diperbarui dengan status terputus untuk mencerminkan tindakan. Pemilik titik akhir privat hanya dapat menghapus sumber daya pada saat ini.
Akses ke sumber daya link privat menggunakan alur kerja persetujuan
Anda dapat menyambungkan ke sumber link privat dengan menggunakan metode persetujuan koneksi berikut ini:
Menyetujui secara otomatis: Gunakan metode ini saat Anda memiliki atau memiliki izin untuk sumber daya link privat tertentu. Izin yang diperlukan didasarkan pada jenis sumber daya link privat dalam format berikut:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
Permintaan secara manual: Gunakan metode ini saat Anda tidak memiliki izin yang diperlukan dan ingin meminta akses. Alur kerja persetujuan dimulai. Titik akhir privat dan koneksi titik akhir privat yang lebih baru dibuat dalam status Tertunda . Pemilik sumber daya link privat bertanggung jawab untuk menyetujui koneksi. Setelah disetujui, titik akhir privat diaktifkan untuk mengirim lalu lintas secara normal, seperti yang diperlihatkan dalam diagram alur kerja persetujuan berikut:
Melalui koneksi titik akhir privat, pemilik sumber daya link privat dapat:
- Meninjau semua detail koneksi titik akhir privat.
- Menyetujui koneksi titik akhir privat. Titik akhir privat yang sesuai diaktifkan untuk mengirim lalu lintas ke sumber daya tautan privat.
- Menolak koneksi titik akhir privat. Titik akhir privat yang sesuai diperbarui untuk mencerminkan status.
- Menghapus koneksi titik akhir privat dalam status apa pun. Titik akhir privat yang sesuai diperbarui dengan status terputus untuk mencerminkan tindakan. Pemilik titik akhir privat hanya dapat menghapus sumber daya pada saat ini.
Catatan
Hanya titik akhir privat dalam status Disetujui yang dapat mengirim lalu lintas ke sumber daya link privat tertentu.
Koneksi dengan menggunakan alias
Alias adalah moniker unik yang dihasilkan saat pemilik layanan membuat layanan link privat di belakang penyeimbang beban standar. Pemilik layanan dapat membagikan alias offline ini dengan konsumen layanan Anda.
Konsumen dapat meminta koneksi ke layanan tautan privat dengan menggunakan Pengidentifikasi Sumber Daya Seragam (URI) sumber daya atau alias. Untuk terhubung menggunakan alias, buat titik akhir privat dengan menggunakan metode persetujuan koneksi manual. Untuk menggunakan metode persetujuan koneksi manual, atur parameter permintaan manual ke True selama alur pembuatan titik akhir privat.
Catatan
Permintaan manual ini dapat disetujui secara otomatis jika langganan konsumen diizinkan terdaftar di sisi penyedia.
Konfigurasi DNS
Pengaturan DNS yang Anda gunakan untuk terhubung ke sumber daya link privat bersifat penting. Layanan Azure yang ada mungkin sudah memiliki konfigurasi DNS yang dapat digunakan saat Anda terhubung melalui titik akhir publik. Untuk terhubung ke layanan yang sama melalui titik akhir privat, diperlukan pengaturan DNS terpisah, sering dikonfigurasi melalui zona DNS privat. Pastikan pengaturan DNS Anda benar saat Anda menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk koneksi. Pengaturan harus diselesaikan ke alamat IP privat dari titik akhir privat.
Antarmuka jaringan yang terkait dengan titik akhir privat berisi informasi yang diperlukan untuk mengonfigurasi DNS Anda. Informasi tersebut mencakup FQDN dan alamat IP privat untuk sumber daya link privat.
Batasan
Informasi berikut mencantumkan batasan yang diketahui untuk penggunaan titik akhir privat:
Alamat IP statis
| Batasan | Keterangan |
|---|---|
| Konfigurasi alamat IP statis saat ini tidak didukung. | Azure Kubernetes Service (AKS) Azure Application Gateway HDInsight Vault Layanan Pemulihan Layanan Private Link pihak ketiga |
Grup keamanan jaringan
| Batasan | Keterangan |
|---|---|
| Rute efektif dan aturan keamanan tidak tersedia untuk antarmuka jaringan titik akhir privat. | Rute yang efektif dan aturan keamanan tidak akan ditampilkan untuk NIC titik akhir privat di portal Azure. |
| Log alur NSG tidak didukung. | Log alur NSG tidak tersedia untuk lalu lintas masuk yang ditujukan untuk titik akhir privat. |
| Tidak lebih dari 50 anggota dalam Kelompok Keamanan Aplikasi. | Fifty adalah jumlah Konfigurasi IP yang dapat dikaitkan dengan setiap ASG masing-masing yang digabungkan dengan NSG pada subnet titik akhir privat. Kegagalan koneksi dapat terjadi dengan lebih dari 50 anggota. |
| Rentang port tujuan didukung hingga faktor 250 K. | Rentang port tujuan didukung sebagai multiplikasi SourceAddressPrefixes, DestinationAddressPrefixes, dan DestinationPortRanges. Contoh aturan masuk: Satu sumber * satu tujuan * Port 4KRanges = 4K Valid 10 sumber * 10 tujuan * 10 portRanges = 1 K Valid 50 sumber * 50 tujuan * 50 portRanges = 125 K Valid 50 sumber * 50 tujuan * 100 portRanges = 250 K Valid 100 sumber * 100 tujuan * 100 portRanges = 1M Tidak Valid, NSG memiliki terlalu banyak sumber/tujuan/port. |
| Pemfilteran port sumber ditafsirkan sebagai * | Pemfilteran port sumber tidak secara aktif digunakan sebagai skenario pemfilteran lalu lintas yang valid untuk lalu lintas yang ditujukan ke titik akhir privat. |
| Fitur tidak tersedia di wilayah tertentu. | Saat ini tidak tersedia di wilayah berikut: India Barat Australia Tengah 2 Afrika Selatan Barat Brasil Tenggara Semua wilayah dari Pemerintah Semua wilayah di Tiongkok |
Pertimbangan NSG lainnya
- Lalu lintas keluar yang ditolak dari titik akhir privat bukanlah skenario yang valid, karena penyedia layanan tidak dapat berasal dari lalu lintas.
- Layanan berikut mungkin mengharuskan semua port tujuan terbuka saat menggunakan titik akhir privat dan menambahkan filter keamanan NSG:
- Azure Cosmos DB
- Azure Cosmos DB
UDR
| Batasan | Keterangan |
|---|---|
| SNAT disarankan selalu. | Karena adanya sifat variabel dari bidang data titik akhir privat, direkomendasikan bagi lalu lintas SNAT yang ditujukan ke titik akhir privat untuk memastikan lalu lintas kembali terpenuhi. |
| Fitur tidak tersedia di wilayah tertentu. | Saat ini tidak tersedia di wilayah berikut: India Barat Australia Tengah 2 Afrika Selatan Barat Brasil Tenggara |
Kelompok keamanan aplikasi
| Batasan | Keterangan |
|---|---|
| Fitur tidak tersedia di wilayah tertentu. | Saat ini tidak tersedia di wilayah berikut: India Barat Australia Tengah 2 Afrika Selatan Barat Brasil Tenggara |