Menggunakan titik akhir privat untuk layanan Azure Web PubSub
Anda dapat menggunakan titik akhir privat untuk layanan Azure Web PubSub guna memungkinkan klien dalam jaringan virtual (VNet) mengakses data dengan aman melalui Private Link. Titik akhir privat menggunakan alamat IP dari ruang alamat VNet untuk layanan Azure Web PubSub. Lalu lintas jaringan antara klien di layanan VNet dan Azure Web PubSub melintasi tautan privat di jaringan backbone Microsoft, sehingga tidak melewati internet publik.
Menggunakan titik akhir privat untuk layanan Azure Web PubSub memungkinkan Anda:
- Mengamankan layanan Azure Web PubSub menggunakan kontrol akses jaringan untuk memblokir semua koneksi di titik akhir publik untuk layanan Azure Web PubSub.
- Meningkatkan keamanan untuk jaringan virtual (VNet), dengan memungkinkan Anda memblokir penyelundupan data dari VNet.
- Menyambungkan dengan aman ke layanan Azure Web PubSub dari jaringan lokal yang terhubung ke VNet menggunakan VPN atau ExpressRoutes dengan peering privat.
Ringkasan konseptual
Titik akhir privat adalah antarmuka jaringan khusus untuk layanan Azure di Virtual Network (VNet) Anda. Saat Anda membuat titik akhir privat untuk layanan Azure Web PubSub, titik akhir ini menyediakan konektivitas yang aman antarklien di VNet dan layanan Anda. Titik akhir privat akan diberi alamat IP dari rentang alamat IP VNet Anda. Koneksi antara titik akhir privat dan layanan Azure Web PubSub menggunakan tautan privat yang aman.
Aplikasi di VNet dapat terhubung ke layanan Azure Web PubSub melalui titik akhir privat dengan mulus, atau menggunakan string koneksi dan mekanisme otorisasi yang sama yang akan digunakan. Titik akhir privat dapat digunakan dengan semua protokol yang didukung oleh layanan Azure Web PubSub, termasuk REST API.
Saat Anda membuat titik akhir privat untuk layanan Azure Web PubSub di VNet, permintaan persetujuan akan dikirim untuk meminta persetujuan kepada pemilik layanan Azure Web PubSub. Jika pengguna yang meminta pembuatan titik akhir privat juga merupakan pemilik layanan Azure Web PubSub, permintaan izin ini akan otomatis disetujui.
Pemilik layanan Azure Web PubSub dapat mengelola permintaan persetujuan dan titik akhir privat, melalui tab 'Titik akhir privat' untuk layanan Azure Web PubSub di portal Microsoft Azure.
Tip
Jika Anda ingin membatasi akses ke layanan Azure Web PubSub hanya melalui titik akhir privat, konfigurasikan Network Access Control untuk menolak atau mengontrol akses melalui titik akhir publik.
Menyambungkan ke titik akhir privat
Klien di VNet yang menggunakan titik akhir privat harus menggunakan string koneksi yang sama untuk layanan Azure Web PubSub, seperti klien yang tersambung ke titik akhir publik. Kami mengandalkan resolusi DNS untuk membuat rute koneksi secara otomatis dari layanan VNet ke Azure Web PubSub melalui tautan privat.
Penting
Gunakan string koneksi yang sama untuk menyambungkan ke layanan Azure Web PubSub menggunakan titik akhir privat, seperti yang akan Anda gunakan sebaliknya. Jangan sambungkan ke layanan Azure Web PubSub menggunakan URL subdomain privatelink.
Kami membuat zona DNS privat yang dilampirkan ke VNet dengan pembaruan yang diperlukan untuk titik akhir privat, secara default. Namun, jika Anda menggunakan server DNS Anda sendiri, Anda mungkin perlu melakukan perubahan lain pada konfigurasi DNS Anda. Bagian tentang perubahan DNS di bawah ini menjelaskan pembaruan yang diperlukan untuk titik akhir privat.
Perubahan DNS untuk titik akhir privat
Saat Anda membuat titik akhir privat, rekaman sumber daya DNS CNAME untuk layanan Azure Web PubSub akan diperbarui ke alias dalam subdomain dengan awalan privatelink. Secara default, kami juga membuat zona DNS pribadi, yang terkait dengan privatelink subdomain, dengan catatan sumber daya DNS A untuk titik akhir pribadi.
Saat Anda me-resolve nama domain layanan Azure Web PubSub dari luar VNet dengan titik akhir privat, titik akhir publik layanan Azure Web PubSub juga akan di-resolve. Ketika diselesaikan dari VNet yang menjadi host titik akhir pribadi, nama domain menjadi alamat IP titik akhir pribadi.
Untuk contoh ilustrasi di atas, rekaman sumber daya DNS untuk 'foobar' layanan Azure Web PubSub, ketika diselesaikan dari luar VNet yang menghosting titik akhir privat, adalah:
| Nama | Jenis | Nilai |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | <Alamat IP publik layanan Azure Web PubSub> |
Seperti yang disebutkan sebelumnya, Anda dapat menolak atau mengontrol akses untuk klien di luar VNet melalui titik akhir publik menggunakan kontrol akses jaringan.
Catatan sumber daya DNS untuk 'foobar', ketika diselesaikan oleh klien di VNet yang menjadi host titik akhir pribadi, adalah:
| Nama | Jenis | Nilai |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Pendekatan ini memungkinkan akses ke layanan Azure Web PubSub menggunakan string koneksi yang sama untuk klien di VNet yang menghosting titik akhir privat dan klien di luar VNet.
Jika Anda menggunakan server DNS kustom di jaringan, klien harus dapat me-resolve FQDN untuk titik akhir layanan Azure Web PubSub ke alamat IP titik akhir privat. Anda harus mendelegasikan server DNS Anda untuk mendelegasikan subdomain tautan pribadi Anda ke zona DNS pribadi untuk VNet, atau konfigurasikan data A untuk foobar.privatelink.webpubsub.azure.com dengan alamat IP titik akhir pribadi.
Tip
Saat menggunakan server DNS kustom atau lokal, Anda harus mengonfigurasi server DNS untuk me-resolve nama layanan Azure Web PubSub di subdomain privatelink ke alamat IP titik akhir privat. Anda dapat melakukannya dengan mendelegasikan subdomain privatelink ke zona DNS privat VNet, atau mengonfigurasi zona DNS di server DNS Anda dan menambahkan rekaman DNS A.
Nama zona DNS yang direkomendasikan untuk titik akhir privat layanan Azure Web PubSub adalah: privatelink.webpubsub.azure.com.
Untuk informasi lebih lanjut tentang mengonfigurasi server DNS Anda sendiri guna mendukung titik akhir privat, lihat artikel berikut:
Membuat titik akhir privat
Membuat titik akhir privat bersama dengan layanan Azure Web PubSub baru di portal Microsoft Azure
Saat membuat layanan Azure Web PubSub baru, pilih tab Jaringan. Pilih Titik akhir privat sebagai metode konektivitas.
Pilih Tambahkan. Isi langganan, grup sumber daya, lokasi, nama untuk titik akhir pribadi baru. Buat jaringan virtual dan subnet.
Pilih Tinjau + buat.
Membuat titik akhir privat untuk layanan Azure Web PubSub yang sudah ada di portal Microsoft Azure
Buka layanan Azure Web PubSub.
Pilih Koneksi titik akhir privat pada menu pengaturan.
Pilih tombol + Titik akhir privat di bagian atas.
Lengkapi langganan, grup sumber daya, nama sumber daya, dan wilayah untuk titik akhir privat baru.
Pilih target sumber daya layanan Azure Web PubSub.
Pilih target jaringan virtual
Pilih Tinjau + buat.
Harga
Untuk detail harga, lihat Harga Azure Private Link.
Masalah Umum
Ingatlah masalah yang diketahui berikut tentang titik akhir privat untuk layanan Azure Web PubSub.
Tingkat gratis
Instans tingkat layanan gratis Azure Web PubSub tidak dapat diintegrasikan dengan titik akhir privat.
Batasan akses untuk klien di VNets dengan titik akhir pribadi
Klien di VNet dengan titik akhir privat yang sudah ada memiliki batasan saat mengakses instans layanan Azure Web PubSub lainnya yang memiliki titik akhir privat. Misalkan VNet N1 memiliki titik akhir privat untuk instans layanan Azure Web PubSub W1. Jika layanan Azure Web PubSub W2 memiliki titik akhir privat di VNet N2, maka klien di VNet N1 juga harus mengakses layanan Azure Web PubSub W2 menggunakan titik akhir privat. Jika layanan Azure Web PubSub W2 tidak memiliki titik akhir privat, maka klien di VNet N1 dapat mengakses layanan Azure Web PubSub di akun tersebut tanpa titik akhir privat.
Batasan ini merupakan hasil dari perubahan DNS yang dilakukan ketika layanan Azure Web PubSub W2 membuat titik akhir privat.