Gunakan Azure Private Link untuk menyambungkan server dengan aman ke Azure Arc

Azure Private Link memungkinkan Anda menautkan layanan Azure PaaS dengan aman ke jaringan virtual Anda menggunakan titik akhir privat. Untuk banyak layanan, Anda hanya menyiapkan titik akhir per sumber daya. Ini berarti Anda dapat menghubungkan server lokal atau multi-cloud dengan Azure Arc dan mengirim semua lalu lintas melalui Azure ExpressRoute atau koneksi VPN situs ke situs alih-alih menggunakan jaringan publik.

Dimulai dengan server dengan dukungan Azure Arc, Anda dapat menggunakan model Private Link Scope untuk memungkinkan beberapa server atau mesin berkomunikasi dengan sumber daya Azure Arc mereka menggunakan satu titik akhir privat.

Artikel ini membahas kapan harus menggunakan dan cara menyiapkan Azure Arc Private Link Scope.

Kelebihan

Dengan Private Link Anda dapat:

  • Menyambungkan secara privat ke Azure Arc tanpa membuka akses jaringan publik apa pun.
  • Pastikan data dari server atau komputer dengan dukungan Azure Arc hanya diakses melalui jaringan privat resmi. Ini juga termasuk data dari ekstensi komputer virtual yang diinstal pada mesin atau server yang menyediakan manajemen pascapenyebaran dan dukungan pemantauan.
  • Mencegah pencurian data dari jaringan privat Anda dengan menentukan server dengan dukungan Azure Arc tertentu dan sumber daya layanan Azure lainnya, seperti Azure Monitor, yang terhubung melalui titik akhir privat Anda.
  • Menyambungkan jaringan privat Anda dengan aman ke Azure Arc menggunakan ExpressRoute dan Private Link.
  • Simpan semua lalu lintas di dalam jaringan backbone Microsoft Azure.

Untuk informasi selengkapnya, lihat Manfaat Utama Private Link.

Cara kerjanya

Azure Arc Private Link Scope menghubungkan titik akhir privat (dan jaringan virtual tempat mereka berada) ke sumber daya Azure, dalam hal ini server dengan dukungan Azure Arc. Saat Anda mengaktifkan salah satu server dengan dukungan Azure Arc yang didukung ekstensi VM, seperti Azure Automation Update Management atau Azure Monitor, sumber daya tersebut menghubungkan sumber daya Azure lainnya. Seperti:

  • Ruang kerja Log Analytics, diperlukan untuk Manajemen Pembaruan Otomatisasi Azure, Pelacakan dan Inventarisasi Perubahan Otomatisasi Azure, wawasan komputer virtual Azure Monitor, dan pengumpulan log Azure Monitor dengan agen Log Analytics.
  • Akun Azure Automation, diperlukan untuk Manajemen Pembaruan dan Pelacakan perubahan dan Inventaris.
  • Azure Key Vault
  • Azure Blob storage, diperlukan untuk Custom Script Extension.

Diagram of basic resource topology

Konektivitas ke sumber daya Azure lainnya dari server yang didukung Azure Arc memerlukan konfigurasi Private Link untuk setiap layanan, yang bersifat opsional, tetapi direkomendasikan. Azure Private Link memerlukan konfigurasi terpisah per layanan.

Untuk informasi selengkapnya tentang cara mengonfigurasi Private Link untuk layanan Azure yang dicantumkan sebelumnya, lihat artikel Azure Automation, Azure Monitor, Azure Key Vault, atau penyimpanan Azure Blob.

Penting

Azure Private Link sekarang tersedia secara umum. Layanan Private Endpoint dan Private Link (layanan di belakang penyeimbang muatan standar) umumnya tersedia. Azure PaaS yang berbeda diorientasikan ke Azure Private Link yang mengikuti jadwal yang berbeda. Lihat Ketersediaan Private Link untuk status Azure PaaS yang diperbarui di Private Link. Untuk batasan yang diketahui, lihat Private Endpoint dan Layanan Private Link.

  • Titik Akhir Privat pada VNet Anda memungkinkannya menjangkau titik akhir server dengan dukungan Azure Arc melalui IP privat dari kumpulan jaringan Anda, alih-alih menggunakan IP publik dari titik akhir ini. Itu memungkinkan Anda untuk tetap menggunakan sumber daya server dengan dukungan Azure Arc tanpa membuka VNet Anda ke lalu lintas keluar yang belum diminta.

  • Lalu lintas dari Titik Akhir Privat ke sumber daya Anda akan melewati backbone Microsoft Azure, dan tidak dirutekan ke jaringan publik.

  • Anda dapat mengonfigurasi setiap ruang kerja atau komponen untuk memungkinkan atau menolak penyerapan dan kueri dari jaringan publik. Yang memberikan perlindungan tingkat sumber daya, sehingga Anda dapat mengontrol lalu lintas ke sumber daya tertentu.

Pembatasan dan batasan

Objek Cakupan Private Link server dengan dukungan Azure Arc memiliki sejumlah batasan yang harus Anda pertimbangkan saat merencanakan penyiapan Private Link Anda.

  • Anda dapat mengaitkan paling banyak satu Azure Arc Private Link Scope dengan jaringan virtual.
  • Sumber daya mesin atau server dengan dukungan Azure Arc hanya dapat terhubung ke satu dengan dukungan Azure Arc, Private Link Scope.
  • Semua mesin lokal perlu menggunakan titik akhir privat yang sama dengan cara menyelesaikan informasi titik akhir privat yang benar (nama catatan FQDN dan alamat IP privat) menggunakan penerus DNS yang sama. Untuk informasi selengkapnya, lihat Konfigurasi DNS Azure Private Endpoint
  • Server dengan dukungan Azure Arc dan Cakupan Private Link Azure Arc harus berada di wilayah Azure yang sama. Titik Akhir Privat dan jaringan virtual juga harus berada di wilayah Azure yang sama, tetapi wilayah ini dapat berbeda dari Cakupan Private Link Azure Arc dan server dengan dukungan Arc Anda.
  • Lalu lintas jaringan ke Azure Active Directory dan Azure Resource Manager tidak melintasi Cakupan Private Link Azure Arc dan akan terus menggunakan rute jaringan default Anda ke internet. Anda dapat secara opsional mengonfigurasi tautan privat manajemen sumber daya untuk mengirim lalu lintas Azure Resource Manager ke titik akhir privat.
  • Layanan Azure lainnya yang akan Anda gunakan, misalnya Azure Monitor, memerlukan titik akhir privat mereka sendiri di jaringan virtual Anda.

Untuk menghubungkan server Anda ke Azure Arc melalui tautan privat, Anda perlu mengonfigurasi jaringan Anda untuk mencapai hal berikut:

  1. Buat sambungan antara jaringan lokal Anda dengan jaringan virtual Azure menggunakan VPN situs ke situs atau sirkuit ExpressRoute.

  2. Sebarkan Azure Arc Private Link Scope, yang mengontrol mesin atau server mana yang dapat berkomunikasi dengan Azure Arc melalui titik akhir privat dan mengaitkannya dengan jaringan virtual Azure Anda menggunakan titik akhir privat.

  3. Perbarui konfigurasi DNS di jaringan lokal Anda untuk menyelesaikan alamat titik akhir privat.

  4. Konfigurasikan firewall lokal Anda untuk memungkinkan akses ke Azure Active Directory dan Azure Resource Manager.

  5. Hubungkan mesin atau server yang terdaftar di server dengan dukungan Azure Arc dengan lingkup tautan privat.

  6. Secara opsional, terapkan titik akhir privat untuk layanan Azure lainnya yang dikelola oleh mesin atau server Anda, seperti:

    • Azure Monitor
    • Azure Automation
    • Penyimpanan Azure Blob
    • Azure Key Vault

Artikel ini mengasumsikan Anda telah mengatur sirkuit ExpressRoute atau koneksi VPN situs-ke-situs.

Konfigurasi jaringan

Server dengan dukungan Azure Arc terintegrasi dengan beberapa layanan Azure untuk membawa manajemen cloud dan tata kelola ke mesin hibrida atau server Anda. Sebagian besar layanan ini sudah menawarkan titik akhir privat, tetapi Anda perlu mengonfigurasi firewall dan aturan perutean Anda untuk memungkinkan akses ke Azure Active Directory dan Azure Resource Manager melalui internet sampai layanan ini menawarkan titik akhir privat.

Ada dua cara untuk mencapai hal ini:

  • Jika jaringan Anda dikonfigurasi untuk merutekan semua lalu lintas terikat internet melalui sirkuit Azure VPN atau ExpressRoute, Anda dapat mengonfigurasi grup keamanan jaringan (NSG) yang terkait dengan subnet Anda di Azure untuk memungkinkan akses TCP 443 (HTTPS) keluar ke Azure AD dan Azure menggunakan tag layanan. Aturan NSGnya akan terlihat seperti berikut:

    Pengaturan Aturan Azure AD Aturan Azure
    Sumber Jaringan virtual Jaringan virtual
    Rentang port sumber * *
    Tujuan Tag Layanan Tag Layanan
    Tag layanan tujuan AzureActiveDirectory AzureResourceManager
    Rentang port tujuan 443 443
    Protokol Tcp Tcp
    Tindakan Izinkan Izinkan
    Prioritas 150 (harus lebih rendah dari aturan apa pun yang memblokir akses internet) 151 (harus lebih rendah dari aturan apa pun yang memblokir akses internet)
    Nama AllowAADOutboundAccess AllowAzOutboundAccess
  • Konfigurasikan firewall pada jaringan lokal Anda untuk memungkinkan akses TCP 443 (HTTPS) keluar ke Azure AD dan Azure menggunakan file tag layanan yang dapat diunduh. File JSON berisi semua rentang alamat IP publik yang digunakan oleh Microsoft Azure AD dan Azure serta diperbarui setiap bulan untuk memperlihatkan perubahan yang ada. Tag layanan Azure AD adalah AzureActiveDirectory dan tag layanan Azure adalah AzureResourceManager. Konsultasikan dengan administrator jaringan dan vendor firewall jaringan Anda untuk mempelajari cara mengonfigurasi aturan firewall Anda.

Lihat diagram visual di bawah bagianCara kerja untuk arus lalu lintas jaringan.

  1. Masuk ke portal Microsoft Azure.

  2. Pergi ke Create a resource (Membuat sumber daya) di portal Microsoft Azure dan cari Azure Arc Private Link Scope. Atau Anda dapat menggunakan tautan berikut untuk membuka halaman Azure Arc Private Link Scope di portal.

    Find Private Link Scope

  3. Pilih Buat.

  4. Pilih Grup Langganan dan Sumber Daya.

  5. Beri nama Azure Arc Private Link Scope. Sebaiknya gunakan nama yang bermakna dan jelas.

    Anda dapat secara opsional mewajibkan setiap komputer atau server dengan dukungan Azure Arc yang terkait dengan Cakupan Private Link Azure Arc ini untuk mengirim data ke layanan melalui titik akhir privat. Jika Anda memilih Aktifkan akses jaringan publik, komputer, atau server yang terkait dengan Cakupan Private Link Azure Arc ini dapat berkomunikasi dengan layanan melalui jaringan privat atau publik. Anda dapat mengubah pengaturan ini setelah membuat ruang lingkup jika Anda berubah pikiran.

  6. Pilih Tinjau + Buat.

    Create Private Link Scope

  7. Biarkan validasi lolos, lalu pilih Buat.

Membuat titik akhir privat

Setelah Azure Arc Private Link Scope dibuat, Anda perlu menyambungkannya dengan satu atau beberapa jaringan virtual menggunakan titik akhir privat. Titik akhir privat mengekspos akses ke layanan Azure Arc pada IP privat di ruang alamat jaringan virtual Anda.

  1. Di sumber daya cakupan Anda, pilih koneksi Titik Akhir Privat di menu sumber daya sebelah kiri. Pilih Tambahkan untuk memulai proses pembuatan titik akhir. Anda juga dapat menyetujui koneksi yang dimulai di pusat Private Link di sini dengan memilihnya dan memilih Setujui.

    Create Private Endpoint

  2. Pilih langganan, grup sumber daya, dan nama titik akhir, dan wilayah tempatnya tinggal. Wilayah ini harus sama dengan VNet yang Anda sambungkan.

  3. Pilih Berikutnya: Sumber Daya.

  4. Pada halaman Sumber Daya,

    a. Pilih Langganan yang berisikan sumber daya Azure Arc Private Link Scope Anda.

    b. Untuk Jenis sumber daya, pilih Microsoft.HybridCompute/privateLinkScopes.

    c. Dari menu drop down Sumber Daya, pilih cakupan Private Link yang Anda buat sebelumnya.

    d. Pilih Berikutnya: Konfigurasi .

    Complete creation of Private Endpoint

  5. Pada halaman Konfigurasi,

    a. Pilih jaringan virtual dan subnet yang ingin Anda sambungkan ke server Azure-Arc diaktifkan.

    b. Pilih Ya untuk Integrasikan dengan zona DNS privat, dan biarkan secara otomatis membuat Zona DNS Privat baru. Zona DNS aktual mungkin berbeda dari apa yang diperlihatkan dalam cuplikan layar di bawah ini.

    Catatan

    Jika Anda memilih Tidak dan lebih memilih untuk mengatur catatan DNS secara manual, pertama-tama selesaikan penyetelan Private Link Anda - termasuk Titik Akhir Privat ini dan konfigurasi Private Scope. Kemudian, konfigurasikan DNS Anda sesuai dengan instruksi di konfigurasi DNS Azure Private Endpoint. Pastikan untuk tidak membuat catatan kosong sebagai persiapan untuk penyetelan Private Link Anda. Catatan DNS yang Anda buat bisa menggantikan pengaturan yang sudah ada dan memengaruhi konektivitas Anda dengan server dengan dukungan Azure Arc.

    c. Pilih Tinjau + buat.

    d. Biarkan validasi berlalu.

    e. Pilih Buat.

Mengonfigurasi penerusan DNS lokal

Mesin atau server lokal Anda harus dapat menyelesaikan rekaman DNS tautan privat ke alamat IP titik akhir privat. Cara Anda mengonfigurasi ini bergantung pada apakah Anda menggunakan zona DNS privat Azure untuk mempertahankan catatan DNS, atau jika Anda menggunakan server DNS Anda sendiri di tempat dan berapa banyak server yang Anda konfigurasi.

Konfigurasi DNS menggunakan zona DNS privat terintegrasi Azure

Jika Anda menyiapkan zona DNS privat untuk server dengan dukungan Azure Arc dan Konfigurasi Tamu saat membuat titik akhir privat, mesin atau server lokal Anda harus dapat meneruskan kueri DNS ke server DNS Azure bawaan untuk menyelesaikan alamat titik akhir privat dengan benar. Anda memerlukan penerus DNS di Azure (baik komputer virtual yang dibuat khusus atau instans Azure Firewall dengan proksi DNS diaktifkan), setelah itu Anda dapat mengonfigurasi server DNS lokal Anda untuk meneruskan kueri ke Azure untuk menyelesaikan alamat IP titik akhir privat.

Dokumentasi titik akhir memberikan panduan untuk mengonfigurasi beban kerja di tempat menggunakan penerus DNS.

Konfigurasi server DNS manual

Jika Anda memilih untuk tidak menggunakan zona DNS privat Azure selama pembuatan titik akhir privat, Anda perlu membuat catatan DNS yang diperlukan di server DNS lokal Anda.

  1. Masuk ke portal Microsoft Azure.

  2. Navigasikan ke sumber daya titik akhir privat yang terkait dengan jaringan virtual dan lingkup tautan privat Anda.

  3. Dari panel sebelah kiri, pilih Konfigurasi DNS untuk melihat daftar catatan DNS dan alamat IP terkait yang perlu Anda siapkan di server DNS Anda. FQDN dan alamat IP akan berubah berdasarkan wilayah yang Anda pilih untuk titik akhir privat Anda dan alamat IP yang tersedia di subnet Anda.

    DNS configuration details

  4. Ikuti panduan dari vendor server DNS Anda untuk menambahkan zona DNS yang diperlukan dan catatan A agar sesuai dengan tabel di portal. Pastikan Anda memilih server DNS yang sesuai untuk jaringan Anda. Setiap komputer atau server yang menggunakan server DNS ini sekarang menyelesaikan alamat IP titik akhir privat dan harus dikaitkan dengan Cakupan Private Link Azure Arc, atau koneksi akan ditolak.

Skenario server tunggal

Jika Anda hanya berencana menggunakan Private Link untuk mendukung beberapa komputer atau server, Anda mungkin tidak ingin memperbarui seluruh konfigurasi DNS jaringan Anda. Dalam hal ini, Anda dapat menambahkan nama host titik akhir privat dan alamat IP ke file Hosts sistem operasi Anda. Tergantung pada konfigurasi OS, file Host dapat menjadi metode utama atau alternatif untuk menyelesaikan nama host ke alamat IP.

Windows

  1. Menggunakan akun dengan hak administrator, buka C:\Windows\System32\drivers\etc\hosts.

  2. Tambahkan IP titik akhir privat dan nama host seperti yang ditunjukkan dalam tabel dari langkah 3 di bawah konfigurasi server DNS Manual. File host memerlukan alamat IP terlebih dahulu diikuti oleh spasi dan kemudian nama host.

  3. Simpan file dengan perubahan Anda. Anda mungkin perlu menyimpannya ke direktori lain terlebih dahulu, lalu salin file ke jalur asli.

Linux

  1. Menggunakan akun dengan hak istimewa sudoers, jalankan sudo nano /etc/hosts untuk membuka file host.

  2. Tambahkan IP titik akhir privat dan nama host seperti yang ditunjukkan dalam tabel dari langkah 3 di bawah konfigurasi server DNS Manual. File host memerlukan alamat IP terlebih dahulu diikuti oleh spasi dan kemudian nama host.

  3. Simpan file dengan perubahan Anda.

Koneksi ke server berkemampuan Azure Arc

Catatan

Versi minimum yang didukung dari agen komputer terhubung Azure Arc dengan titik akhir privat adalah versi 1.4. Skrip penyebaran server dengan dukungan Azure Arc yang dihasilkan di portal mengunduh versi terbaru.

Saat menghubungkan mesin atau server dengan server berkemampuan Azure Arc untuk pertama kalinya, Anda dapat menghubungkannya secara opsional ke Lingkup Tautan Privat. Langkah-langkah berikut adalah

  1. Dari browser Anda, buka portal Azure.

  2. Navigasi ke Servers -Azure Arc.

  3. Pada halaman Server - Azure Arc, pilih Tambahkan di kiri atas.

  4. Pada halaman Tambahkan server dengan Azure Arc, pilih Tambahkan server tunggal atau Tambahkan beberapa server tergantung pada skenario penerapan Anda, lalu pilih Buat skrip.

  5. Pada halaman Buat skrip, pilih grup langganan dan sumber daya tempat Anda ingin komputer dikelola dalam Azure. Pilih lokasi Azure tempat metadata komputer akan disimpan. Lokasi ini dapat sama atau berbeda dengan lokasi grup sumber daya.

  6. Pada halaman Prasyarat, tinjau informasi lalu pilih Berikutnya: Detail sumber daya.

  7. Pada halaman Detail sumber daya, berikan hal berikut:

    1. Di daftar drop down Grup sumber daya, pilih grup sumber daya tempat komputer akan dikelola.

    2. Di daftar menu drop-down Wilayah, pilih wilayah Azure untuk menyimpan metadata server.

    3. Di daftar drop down Sistem Operasi, pilih sistem operasi yang dikonfigurasi skrip untuk dijalankan.

    4. Di bawah Konektivitas Jaringan, pilih Titik akhir privat dan pilih Azure Arc Private Link Cakupan yang dibuat di Bagian 1 dari daftar drop-down.

      Selecting Private Endpoint connectivity option

    5. Pilih Berikutnya: Tag.

  8. Jika Anda memilih Tambahkan beberapa server, pada halaman Autentikasi , pilih perwakilan layanan yang dibuat untuk server dengan dukungan Azure Arc dari daftar drop-down. Jika Anda belum membuat perwakilan layanan untuk server dengan dukungan Azure Arc, pertama-tama tinjau cara membuat perwakilan layanan untuk membiasakan diri dengan izin yang diperlukan dan langkah untuk membuatnya. Pilih Berikutnya: Tag untuk melanjutkan.

  9. Pada halaman Tag, tinjau Tag lokasi fisik default yang disarankan dan masukkan nilai, atau tentukan satu atau beberapa Tag kustom untuk mendukung standar Anda.

  10. Pilih Berikutnya: Unduh dan jalankan skrip.

  11. Pada halaman Unduh dan jalankan skrip, tinjau informasi ringkasan lalu pilih Unduh. Jika Anda masih perlu membuat perubahan, pilih Sebelumnya.

Setelah mengunduh skrip, Anda harus menjalankannya di mesin atau server Menggunakan akun istimewa (administrator atau root). Tergantung pada konfigurasi jaringan Anda, Anda mungkin perlu mengunduh agen dari komputer dengan akses internet dan mentransfernya ke mesin atau server Anda, dan kemudian memodifikasi skrip dengan jalur ke agen.

Agen Windows dapat diunduh dari https://aka.ms/AzureConnectedMachineAgent dan agen Linux dapat diunduh dari https://packages.microsoft.com. Carilah versi terbaru dari azcmagent di bawah direktori distribusi OS Anda dan diinstal dengan manajer paket lokal Anda.

Skrip akan mengembalikan pesan status yang memberi tahu Anda jika proses onboarding berhasil setelah selesai.

Tip

Lalu lintas jaringan dari agen Azure Connected Machine ke Azure Active Directory dan Azure Resource Manager akan terus menggunakan titik akhir publik. Jika server Anda perlu berkomunikasi melalui server proksi untuk mencapai titik akhir ini, konfigurasikan agen dengan URL server proksi sebelum menyambungkannya ke Azure. Anda mungkin juga perlu mengonfigurasi bypass proksi untuk layanan Azure Arc jika titik akhir privat Anda tidak dapat diakses dari server proksi Anda.

Mengonfigurasi server dengan dukungan Azure Arc yang sudah ada

Untuk server dengan dukungan Azure Arc yang disiapkan sebelum cakupan tautan privat, Anda dapat mengizinkannya mulai menggunakan Cakupan Private Link server dengan dukungan Azure Arc dengan menyelesaikan langkah berikut.

  1. Di portal Microsoft Azure, navigasikan ke sumber daya Azure Arc Private Link Scope Anda.

  2. Dari panel sebelah kiri, pilih Sumber daya Azure Arc lalu + Tambahkan.

  3. Pilih server dalam daftar yang ingin Anda kaitkan dengan Private Link Scope, lalu pilih Select (Pilih) untuk menyimpan perubahan Anda.

    Catatan

    Hanya server dengan dukungan Azure Arc dalam langganan dan wilayah yang sama dengan Privat Link Scope Anda ditampilkan.

    Selecting Azure Arc resources

Mungkin diperlukan waktu hingga 15 menit untuk Private Link Scope untuk menerima koneksi dari server yang baru-baru ini terkait.

Pemecahan Masalah

  1. Periksa server DNS lokal Anda untuk memverifikasi apakah itu diteruskan ke Azure DNS atau dikonfigurasi dengan catatan A yang sesuai di zona tautan privat Anda. Perintah pencarian ini harus mengembalikan alamat IP privat di jaringan virtual Azure Anda. Jika mereka menyelesaikan alamat IP publik, periksa kembali konfigurasi DNS komputer atau server dan jaringan Anda.

    nslookup gbl.his.arc.azure.com
    nslookup agentserviceapi.guestconfiguration.azure.com
    
  2. Jika Anda mengalami masalah saat onboarding komputer atau server, konfirmasikan bahwa Anda telah menambahkan tag layanan Azure Active Directory dan Azure Resource Manager ke firewall jaringan lokal Anda. Agen perlu berkomunikasi dengan layanan ini melalui internet sampai titik akhir privat tersedia untuk layanan ini.

Langkah berikutnya