Menggunakan titik akhir privat untuk Azure Storage
Anda dapat menggunakan titik akhir privat untuk akun Microsoft Azure Storage Anda untuk memungkinkan klien di jaringan virtual (VNet) mengakses data dengan aman melalui Link Privat. Titik akhir privat menggunakan alamat IP dari ruang alamat VNet untuk layanan akun penyimpanan. Lalu lintas jaringan antara klien di VNet dan akun penyimpanan melintasi VNet dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan dari internet publik.
Catatan
Titik akhir privat tidak tersedia untuk akun penyimpanan general-purpose v1.
Menggunakan titik akhir privat untuk akun penyimpanan Memungkinkan Anda untuk:
- Amankan akun penyimpanan Anda dengan mengonfigurasi firewall penyimpanan untuk memblokir semua koneksi di titik akhir publik untuk layanan penyimpanan.
- Meningkatkan keamanan untuk jaringan virtual (VNet), dengan memungkinkan Anda memblokir penyelundupan data dari VNet.
- Sambungkan dengan aman ke akun penyimpanan dari jaringan lokal yang terhubung ke VNet menggunakan VPN atau ExpressRoutes dengan serekan privat.
Ringkasan konseptual
Titik akhir privat adalah antarmuka jaringan khusus untuk layanan Azure di Virtual Network (VNet) Anda. Saat Anda membuat titik akhir privat untuk akun penyimpanan Anda, itu menyediakan konektivitas yang aman antara klien di VNet dan penyimpanan Anda. Titik akhir privat akan diberi alamat IP dari rentang alamat IP VNet Anda. Koneksi antara titik akhir privat dan layanan penyimpanan menggunakan tautan privat yang aman.
Aplikasi di VNet dapat terhubung ke layanan penyimpanan melalui titik akhir privat dengan mulus, menggunakan string koneksi dan mekanisme otorisasi yang sama yang akan mereka gunakan sebaliknya. Titik akhir privat dapat digunakan dengan semua protokol yang didukung oleh akun penyimpanan, termasuk REST dan SMB.
Titik akhir privat dapat dibuat di subnet yang menggunakan Titik Akhir Layanan. Klien dalam subnet dengan demikian dapat terhubung ke satu akun penyimpanan menggunakan titik akhir privat, sambil menggunakan titik akhir layanan untuk mengakses orang lain.
Saat Anda membuat titik akhir privat untuk layanan penyimpanan di VNet Anda, permintaan persetujuan dikirim untuk persetujuan kepada pemilik akun penyimpanan. Jika pengguna yang meminta pembuatan titik akhir privat juga merupakan pemilik akun penyimpanan, permintaan izin ini akan disetujui secara otomatis.
Pemilik akun penyimpanan dapat mengelola permintaan persetujuan dan titik akhir privat, melalui tab 'Titik akhir privat' untuk akun penyimpanan di portal Azure.
Tip
Jika Anda ingin membatasi akses ke akun penyimpanan Anda hanya melalui titik akhir privat, konfigurasikan firewall penyimpanan untuk menolak atau mengontrol akses melalui titik akhir publik.
Anda dapat mengamankan akun penyimpanan agar hanya menerima koneksi dari VNet, dengan mengonfigurasikan firewall penyimpanan untuk menolak akses melalui titik akhir publik secara default. Anda tidak memerlukan aturan firewall untuk mengizinkan lalu lintas dari VNet yang memiliki titik akhir privat, karena firewall penyimpanan hanya mengontrol akses melalui titik akhir publik. Titik akhir privatdaripada mengandalkan alur persetujuan untuk memberikan akses subnet ke layanan penyimpanan.
Catatan
Saat menyalin blob di antara akun penyimpanan, klien Anda harus memiliki akses jaringan ke kedua akun. Jadi, jika Anda memilih untuk menggunakan tautan privathanya untuk satu akun (baik sumber atau tujuan), pastikan klien Anda memiliki akses jaringan ke akun lain. Untuk mempelajari tentang cara lain untuk mengonfigurasi akses jaringan, lihat Mengonfigurasi firewall Microsoft Azure Storage dan jaringan virtual.
Membuat titik akhir privat
Untuk membuat titik akhir privat dengan menggunakan Portal Azure, lihat Menyambungkan secara privat ke akun penyimpanan dari pengalaman Akun Penyimpanan di portal Microsoft Azure.
Untuk membuat titik akhir privat dengan menggunakan PowerShell atau Azure CLI, lihat salah satu artikel ini. Keduanya memiliki aplikasi web Azure sebagai layanan target, tetapi langkah-langkah untuk membuat tautan privat yang sama teruntuk akun Microsoft Azure Storage.
Saat Anda membuat titik akhir privat, Anda harus menentukan akun penyimpanan dan layanan penyimpanan yang disambungkannya.
Anda memerlukan titik akhir privat terpisah untuk setiap sumber daya penyimpanan yang perlu Anda akses, yaitu Blob, Data Lake Storage Gen2, File,, Antrian, Tabel, atau Situs Web Statis. Pada titik akhir privat, layanan penyimpanan ini didefinisikan sebagai sub-sumber daya target dari akun penyimpanan terkait.
Jika Anda membuat titik akhir privat untuk sumber daya penyimpanan Data Lake Storage Gen2, maka Anda juga harus membuatnya untuk sumber daya Blob Storage. Itu karena operasi yang menargetkan titik akhir Data Lake Storage Gen2 mungkin dialihkan ke titik akhir Blob. Demikian pula, jika Anda menambahkan titik akhir privat hanya untuk Blob Storage, dan bukan untuk Data Lake Storage Gen2, beberapa operasi (seperti Kelola ACL, Buat Direktori, Hapus Direktori, dll.) akan gagal karena API Gen2 memerlukan titik akhir privat DFS. Dengan membuat titik akhir privat untuk kedua sumber daya, Anda memastikan bahwa semua operasi dapat berhasil diselesaikan.
Tip
Buat titik akhir privat terpisah untuk instans sekunder layanan penyimpanan untuk kinerja baca yang lebih baik di akun RA-GRS. Pastikan untuk membuat akun penyimpanan v2 (Standar atau Premium) tujuan umum.
Untuk akses baca ke wilayah sekunder dengan akun penyimpanan yang dikonfigurasi untuk penyimpanan geo-berlebihan, Anda memerlukan titik akhir privat terpisah untuk instans utama dan sekunder layanan. Anda tidak perlu membuat titik akhir privat untuk instans sekunder untuk kegagalan. Titik akhir privat akan secara otomatis terhubung ke instans utama baru setelah kegagalan. Untuk informasi selengkapnya tentang redundansi penyimpanan, lihat Redundansi Microsoft Azure Storage.
Menyambungkan ke titik akhir privat
Klien di VNet yang menggunakan titik akhir privat harus menggunakan string koneksi yang sama untuk akun penyimpanan sebagai klien yang tersambung ke titik akhir publik. Kami mengandalkan resolusi DNS untuk merutekan koneksi secara otomatis dari VNet ke akun penyimpanan melalui tautan privat.
Penting
Gunakan string koneksi yang sama untuk menyambungkan ke akun penyimpanan menggunakan titik akhir privat, seperti yang akan Anda gunakan sebaliknya. Jangan sambungkan ke akun penyimpanan menggunakan privatelink URL subdomainnya.
Kami membuat zona DNS privat yang dilampirkan ke VNet dengan pembaruan yang diperlukan untuk titik akhir privat, secara default. Namun, jika Anda menggunakan server DNS Anda sendiri, Anda mungkin perlu membuat perubahan tambahan pada konfigurasi DNS Anda. Bagian tentang perubahan DNS di bawah ini menjelaskan pembaruan yang diperlukan untuk titik akhir privat.
Perubahan DNS untuk titik akhir privat
Catatan
Untuk detail tentang cara mengonfigurasi pengaturan DNS Anda untuk titik akhir privat, lihat Konfigurasi DNS Titik Akhir Privat Azure.
Saat Anda membuat titik akhir privat, catatan sumber daya DNS CNAME untuk akun penyimpanan diperbarui ke alias dalam subdomain dengan prefiksprivatelink. Secara default, kami juga membuat zona DNS pribadi, yang terkait dengan privatelink subdomain, dengan catatan sumber daya DNS A untuk titik akhir pribadi.
Saat Anda menyelesaikan URL titik akhir penyimpanan dari luar VNet dengan titik akhir privat, itu menjadi titik akhir publik layanan penyimpanan. Ketika diselesaikan dari VNet yang menghosting titik akhir privat, URL titik akhir penyimpanan menjadi alamat IP titik akhir privat.
Untuk contoh ilustrasi di atas, catatan sumber daya DNS untuk akun penyimpanan 'StorageAccountA', ketika diselesaikan dari luar VNet yang menghosting titik akhir privat, adalah:
| Nama | Jenis | Nilai |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <titik akhir publik layanan penyimpanan> |
| <titik akhir publik layanan penyimpanan> | A | <Alamat IP publik layanan penyimpanan> |
Seperti yang disebutkan sebelumnya, Anda dapat menolak atau mengontrol akses untuk klien di luar VNet melalui titik akhir publik menggunakan firewall penyimpanan.
Catatan sumber daya DNS untuk StorageAccountA, ketika diselesaikan oleh klien di VNet yang menghosting titik akhir privat, adalah:
| Nama | Jenis | Nilai |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Pendekatan ini memungkinkan akses ke akun penyimpanan menggunakan string koneksi yang sama untuk klien di VNet yang menghosting titik akhir privat, serta klien di luar VNet.
Jika Anda menggunakan server DNS kustom di jaringan Anda, klien harus dapat mengatasi FQDN untuk titik akhir Data Factory ke alamat IP privat titik akhir. Anda harus mendelegasikan server DNS Anda untuk mendelegasikan subdomain tautan pribadi Anda ke zona DNS pribadi untuk VNet, atau konfigurasikan data A untuk StorageAccountA.privatelink.blob.core.windows.net dengan alamat IP titik akhir pribadi.
Tip
Saat menggunakan server DNS kustom atau lokal, Anda harus mengonfigurasi server DNS Anda untuk mengatasi nama akun penyimpanan privatelink di subdomain ke alamat IP titik akhir privat. Anda dapat melakukannya dengan mendelegasikan subdomain privatelink ke zona DNS privat VNet, atau mengonfigurasikan zona DNS di server DNS Anda dan menambahkan rekaman DNS A.
Nama zona DNS yang direkomendasikan untuk titik akhir privat untuk layanan penyimpanan, dan sub-sumber daya target titik akhir terkait, adalah:
| Layanan penyimpanan | Sub-sumber daya target | Nama zona |
|---|---|---|
| Blob service | blob | privatelink.blob.core.windows.net |
| Data Lake Storage Gen2 | dfs | privatelink.dfs.core.windows.net |
| Layanan file | file | privatelink.file.core.windows.net |
| Layanan antrean | queue | privatelink.queue.core.windows.net |
| Layanan Table | tabel | privatelink.table.core.windows.net |
| Situs Web Statis | web | privatelink.web.core.windows.net |
Untuk informasi selengkapnya tentang mengonfigurasi server DNS Anda sendiri untuk mendukung titik akhir pribadi, lihat artikel berikut ini:
Harga
Untuk detail harga, lihat Harga Azure Private Link.
Masalah Umum
Ingat bahwa masalah yang diketahui berikut ini tentang titik akhir privat untuk Microsoft Azure Storage.
Batasan akses penyimpanan untuk klien di VNets dengan titik akhir privat
Klien di VNets dengan titik akhir privat yang ada menghadapi kendala saat mengakses akun penyimpanan lain yang memiliki titik akhir privat. Misalnya, VNet N1 memiliki titik akhir privat untuk akun penyimpanan A1 untuk penyimpanan Blob. Jika akun penyimpanan A2 memiliki titik akhir privat di VNet N2 untuk penyimpanan Blob, maka klien di VNet N1 juga harus mengakses penyimpanan Blob di akun A2 menggunakan titik akhir privat. Jika akun penyimpanan A2 tidak memiliki titik akhir privat untuk penyimpanan Blob, maka klien di VNet N1 dapat mengakses penyimpanan Blob di akun tersebut tanpa titik akhir privat.
Batasan ini merupakan hasil dari perubahan DNS yang dilakukan saat akun A2 membuat titik akhir privat.
Menyalin blob di antara akun penyimpanan
Anda dapat menyalin blob di antara akun penyimpanan hanya dengan menggunakan titik akhir privat jika Anda menggunakan Azure REST API, atau alat yang menggunakan REST API. Alat-alat ini termasuk AzCopy, Storage Explorer, Azure PowerShell, Azure CLI, dan Azure Blob Storage SDKs.
Hanya titik akhir privat yang menargetkan blob titik akhir sumber daya penyimpanan atau file yang didukung. Ini termasuk panggilan REST API terhadap akun Data Lake Storage Gen2 di mana blob titik akhir sumber daya direferensikan secara eksplisit atau implisit. Titik akhir privat yang menargetkan titik akhir sumber daya Data Lake Storage Gen2 dfs belum didukung. Menyalin antara akun penyimpanan dengan menggunakan protokol Network File System (NFS) belum didukung.