Menggunakan titik akhir privat dengan akun Azure Batch
Secara default, akun Azure Batch memiliki titik akhir publik dan dapat diakses oleh publik. Layanan Batch menawarkan kemampuan untuk membuat titik akhir privat bagi akun Batch, yang memungkinkan akses jaringan privat ke layanan Batch.
Dengan menggunakan Azure Private Link, Anda dapat menyambungkan ke akun Azure Batch melalui titik akhir privat. Titik akhir privat adalah rangkaian alamat IP privat dalam subnet dalam jaringan virtual Anda. Anda kemudian dapat membatasi akses ke akun Azure Batch melalui alamat IP privat.
Private Link memungkinkan pengguna untuk mengakses akun Azure Batch dari dalam jaringan virtual atau dari jaringan virtual apa pun yang di-peering. Sumber daya yang dipetakan ke Private Link juga dapat diakses di tempat melalui peering privat melalui VPN atau Azure ExpressRoute. Anda dapat menyambungkan ke akun Azure Batch yang dikonfigurasikan dengan Private Link dengan menggunakan metode persetujuan otomatis atau manual.
Artikel ini menjelaskan langkah-langkah untuk membuat akun Batch privat dan mengaksesnya menggunakan titik akhir privat.
Sub-sumber daya titik akhir privat yang didukung untuk akun Batch
Sumber daya akun Batch memiliki dua titik akhir yang didukung untuk diakses dengan titik akhir privat:
Titik akhir akun (sub-sumber daya: batchAccount): titik akhir ini digunakan untuk mengakses REST API Layanan Batch (data plane), misalnya mengelola kumpulan, node komputasi, pekerjaan, tugas, dll.
Titik akhir manajemen node (sub-sumber daya: nodeManagement): digunakan oleh node kumpulan Batch untuk mengakses layanan manajemen node Batch. Titik akhir ini hanya berlaku ketika menggunakan komunikasi node komputasi yang disederhanakan.
Tip
Anda dapat membuat titik akhir privat untuk salah satunya atau keduanya dalam jaringan virtual Anda, tergantung pada penggunaan aktual untuk akun Batch Anda. Misalnya, jika Anda menjalankan kumpulan Batch dalam jaringan virtual, tetapi memanggil REST API layanan Batch dari tempat lain, Anda hanya perlu membuat titik akhir privat nodeManagement di jaringan virtual.
portal Microsoft Azure
Gunakan langkah-langkah berikut untuk membuat titik akhir privat dengan akun Batch Anda menggunakan portal Azure:
- Buka akun Batch Anda di portal Azure.
- Di Pengaturan, pilih Jaringan dan buka tab Akses Privat. Kemudian, pilih +Titik akhir privat.
- Di panel Dasar, masukkan atau pilih langganan, grup sumber daya, nama sumber daya titik akhir privat, dan detail wilayah, kemudian pilih Berikutnya: Sumber daya.
- Di panel Sumber daya, atur Jenis sumber daya ke Microsoft.Batch/batchAccounts. Pilih akun Batch yang ingin Anda akses, pilih sub-sumber daya target, lalu pilih Berikutnya: Konfigurasi.
- Di panel Konfigurasi, masukkan atau pilih informasi ini:
- Untuk Jaringan virtual, pilih jaringan virtual Anda.
- Untuk Subnet, pilih subnet Anda.
- Untuk Konfigurasi IP privat, pilih Alamat IP alokasi dinamis default.
- Untuk Integrasikan dengan zona DNS privat, Pilih Ya. Untuk menyambungkan secara pribadi dengan titik akhir pribadi, Anda memerlukan catatan DNS. Kami menyarankan Anda mengintegrasikan titik akhir privat Anda dengan zona DNS privat. Anda juga bisa menggunakan server DNS Anda sendiri atau membuat catatan DNS dengan menggunakan file host di mesin virtual Anda.
- Untuk, Zona DNS Privat, pilih privatelink.batch.azure.com. Zona DNS privat ditentukan secara otomatis. Anda tidak dapat mengubah pengaturan ini menggunakan portal Azure.
Penting
- Jika Anda sudah memiliki titik akhir privat yang dibuat dengan zona DNS privat
privatelink.<region>.batch.azure.comsebelumnya, ikuti Migrasi dengan titik akhir privat akun Batch yang ada. - Jika Anda telah memilih integrasi zona DNS privat, pastikan zona DNS privat berhasil ditautkan ke jaringan virtual Anda. Ada kemungkinan bahwa portal Microsoft Azure memungkinkan Anda memilih zona DNS privat yang ada, yang mungkin tidak ditautkan ke jaringan virtual Anda dan Anda harus menambahkan tautan jaringan virtual secara manual.
- Pilih Tinjau + buat, kemudian tunggu Azure memvalidasi konfigurasi Anda.
- Setelah muncul pesan Validasi berhasil, pilih Buat.
Tip
Anda juga dapat membuat titik akhir privat dari Pusat Private Link di portal Azure, atau membuat sumber daya baru dengan mencari titik akhir privat.
Membuat titik akhir privat
Setelah titik akhir privat disediakan, Anda dapat mengakses akun Batch menggunakan alamat IP privat dalam jaringan virtual:
Titik akhir privat untuk batchAccount: dapat mengakses data plane akun Batch untuk mengelola kumpulan/pekerjaan/tugas.
Titik akhir privat untuk nodeManagement: Node komputasi kumpulan Batch dapat terhubung ke dan dikelola oleh layanan manajemen node Batch.
Tip
Disarankan juga untuk menonaktifkan akses jaringan publik dengan akun Batch Anda saat Anda menggunakan titik akhir privat, yang hanya akan membatasi akses ke jaringan privat.
Penting
Jika akses jaringan publik dinonaktifkan dengan akun Batch, melakukan operasi akun (misalnya kumpulan, pekerjaan) di luar jaringan virtual di mana titik akhir privat disediakan maka akan menghasilkan pesan "AuthorizationFailure" untuk akun Batch di portal Microsoft Azure.
Untuk melihat alamat IP untuk titik akhir privat dari portal Azure:
- Pilih Semua sumber daya.
- Cari titik akhir privat yang Anda buat sebelumnya.
- Pilih tab Konfigurasi DNS untuk melihat setelan DNS dan alamat IP.
Mengonfigurasikan zona DNS
Gunakan zona DNS privat dalam subnet tempat Anda membuat titik akhir privat. Konfigurasikan titik akhir sehingga setiap alamat IP privat dipetakan ke entri DNS.
Saat membuat titik akhir privat, Anda dapat mengintegrasikannya dengan zona DNS privat di Azure. Jika Anda memilih untuk menggunakan domain kustom, Anda harus mengonfigurasinya untuk menambahkan catatan DNS untuk semua alamat IP privat yang dicadangkan untuk titik akhir privat.
Migrasi dengan titik akhir privat akun Batch yang ada
Dengan diperkenalkannya sub-sumber daya titik akhir privat nodeManagement yang baru untuk titik akhir manajemen node Batch, zona DNS privat default untuk akun Batch disederhanakan dari privatelink.<region>.batch.azure.com menjadi privatelink.batch.azure.com. Untuk menjaga kompatibilitas mundur dengan zona DNS privat yang digunakan sebelumnya, untuk akun Batch dengan titik akhir privat batchAccount yang disetujui, pemetaan CNAME DNS titik akhir akunnya berisi kedua zona (dengan zona sebelumnya lebih dulu), contohnya:
myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>
Lanjutkan untuk menggunakan zona DNS privat sebelumnya
Jika Anda telah menggunakan zona privatelink.<region>.batch.azure.com DNS sebelumnya dengan jaringan virtual, Anda harus terus menggunakannya untuk titik akhir privat batchAccount yang ada dan baru, serta tidak ada tindakan yang diperlukan.
Penting
Dengan penggunaan zona DNS privat sebelumnya yang sudah ada, harap tetap menggunakannya bahkan meski dengan titik akhir privat yang baru dibuat. Jangan gunakan zona baru dengan solusi integrasi DNS sampai Anda dapat bermigrasi ke zona yang baru.
Membuat sebuah titik akhir privat batchAccount baru dengan integrasi DNS di portal Microsoft Azure
Jika Anda membuat sebuah titik akhir privat batchAccount baru secara manual menggunakan portal Microsoft Azure dengan integrasi DNS otomatis diaktifkan, ini akan menggunakan zona privatelink.batch.azure.com DNS privat baru untuk integrasi DNS: membuat zona DNS privat, menautkannya ke jaringan virtual Anda, dan mengonfigurasi rekaman DNS A di zona untuk titik akhir privat Anda.
Namun, apabila jaringan virtual Anda telah ditautkan ke zona privatelink.<region>.batch.azure.comDNS privat sebelumnya, maka itu akan merusak resolusi DNS untuk akun batch Anda di jaringan virtual Anda, karena catatan DNS A untuk titik akhir privat baru Anda ditambahkan ke zona baru tetapi resolusi DNS memeriksa zona sebelumnya terlebih dahulu untuk dukungan kompatibilitas mundur.
Anda dapat mengurangi masalah ini dengan opsi berikut:
Jika Anda tidak lagi memerlukan zona DNS privat sebelumnya, batalkan tautannya dari jaringan virtual Anda. Tidak ada tindakan lebih lanjut yang diperlukan.
Jika tidak, setelah titik akhir privat baru dibuat:
pastikan integrasi DNS privat otomatis memiliki catatan DNS A yang dibuat di zona DNS privat
privatelink.batch.azure.comyang baru. Contohnya:myaccount.<region> A <IPv4 address>Buka zona DNS privat
privatelink.<region>.batch.azure.comsebelumnya.Tambahkan data CNAME DNS secara manual. Contohnya,
myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.
Penting
Mitigasi manual ini hanya diperlukan ketika Anda membuat sebuah titik akhir privat batchAccount baru dengan integrasi DNS privat di jaringan virtual yang sama yang sudah ditautkan ke zona privat DNS sebelumnya.
Memigrasikan zona DNS privat sebelumnya ke zona yang baru
Meskipun Anda dapat terus menggunakan zona DNS privat sebelumnya dengan proses penyebaran yang ada, disarankan untuk memigrasikannya ke zona yang baru untuk kesederhanaan manajemen konfigurasi DNS:
- Dengan zona DNS privat yang baru
privatelink.batch.azure.com, Anda tidak perlu mengonfigurasi dan mengelola zona yang berbeda untuk setiap wilayah dengan akun Batch Anda. - Ketika Anda mulai menggunakan titik akhir privat nodeManagement baru yang juga menggunakan zona DNS privat baru, Anda hanya perlu mengelola satu zona DNS privat untuk kedua jenis titik akhir privat.
Anda dapat memigrasikan zona DNS privat sebelumnya dengan langkah-langkah berikut ini:
- Buat dan tautkan zona DNS privat
privatelink.batch.azure.comke jaringan virtual Anda. - Salin semua catatan DNS A dari zona DNS privat sebelumnya ke zona yang baru:
From zone "privatelink.<region>.batch.azure.com":
myaccount A <ip>
To zone "privatelink.batch.azure.com":
myaccount.<region> A <ip>
- Batalkan tautan zona DNS privat sebelumnya dari jaringan virtual Anda.
- Verifikasi resolusi DNS dalam jaringan virtual Anda, selain itu nama DNS akun Batch harus terus diselesaikan ke alamat IP titik akhir privat:
nslookup myaccount.<region>.batch.azure.com
- Mulai gunakan zona DNS privat yang baru dengan proses penyebaran Anda untuk titik akhir privat baru.
- Hapus zona DNS privat sebelumnya setelah migrasi selesai.
Harga
Untuk detail tentang biaya yang terkait dengan titik akhir privat, lihat Harga Azure Private Link.
Batasan dan praktik terbaik saat ini
Saat membuat titik akhir privat dengan akun Batch Anda, perhatikan hal berikut:
- Sumber daya titik akhir privat dapat dibuat dalam langganan yang berbeda dengan akun Batch, tetapi langganan harus terdaftar di penyedia sumber daya Microsoft.Batch.
- Pergerakan sumber daya tidak didukung untuk titik akhir privat dengan akun Batch.
- Jika sumber daya akun Batch dipindahkan ke grup sumber daya atau langganan yang berbeda, titik akhir privat masih dapat berfungsi, tetapi asosiasi ke akun Batch berhenti. Jika Anda menghapus sumber daya titik akhir privat, koneksi titik akhir privat terkait akan tetap ada di akun Batch Anda. Anda dapat menghapus koneksi secara manual dari akun Batch Anda.
- Untuk menghapus koneksi privat, hapus sumber daya titik akhir privat, atau hapus koneksi privat di akun Batch (tindakan ini memutuskan sambungan sumber daya titik akhir privat terkait).
- Catatan DNS di zona DNS privat tidak dihapus secara otomatis ketika Anda menghapus sebuah koneksi titik akhir privat dari akun Batch. Anda harus menghapus catatan DNS secara manual sebelum menambahkan titik akhir privat baru yang ditautkan ke zona DNS privat ini. Jika Anda tidak membersihkan catatan DNS, masalah akses yang tidak terduga mungkin terjadi.
- Ketika titik akhir privat diaktifkan untuk akun Batch, token autentikasi tugas untuk tugas Batch tidak didukung. Solusinya adalah menggunakan kumpulan Batch dengan identitas terkelola.
Langkah berikutnya
- Pelajari cara membuat kumpulan Batch di jaringan virtual.
- Pelajari cara membuat kumpulan Batch tanpa alamat IP publik.
- Pelajari cara mengonfigurasi akses jaringan publik untuk akun Batch.
- Pelajari cara mengelola koneksi titik akhir privat untuk akun Batch.
- Pelajari tentang Azure Private Link.