Apa itu layanan Azure Private Link?
Layanan Azure Private Link adalah referensi ke layanan Anda sendiri yang didukung oleh Azure Private Link. Layanan Anda yang berjalan di belakang Azure Standard Load Balancer dapat diaktifkan untuk akses Azure Private Link sehingga konsumen ke layanan Anda dapat mengaksesnya secara privat dari VNet mereka sendiri. Pelanggan Anda dapat membuat titik akhir privat di dalam jaringan virtual mereka dan memetakannya ke layanan ini. Artikel ini menjelaskan konsep yang terkait dengan sisi penyedia layanan.
Gambar: Layanan Azure Private Link.
Alur kerja
Gambar: Alur kerja layanan Azure Private Link.
Membuat Layanan Azure Private Link Anda
Konfigurasikan aplikasi Anda untuk berjalan di belakang standard load balancer di jaringan virtual Anda. Jika Anda sudah memiliki aplikasi yang dikonfigurasi di belakang standard load balancer, Anda dapat melewati langkah ini.
Buat Layanan Azure Private Link yang merujuk penyeimbang muatan di atas. Dalam proses pilihan penyeimbang muatan, pilih konfigurasi IP frontend tempat Anda ingin menerima lalu lintas. Pilih subnet untuk alamat IP NAT untuk Layanan Azure Private Link. Disarankan untuk memiliki setidaknya delapan alamat IP NAT yang tersedia di subnet. Semua lalu lintas konsumen akan tampak berasal dari kumpulan alamat IP pribadi ini ke penyedia layanan. Pilih properti/pengaturan yang sesuai untuk Layanan Azure Private Link.
Catatan
Layanan Azure Private Link hanya didukung pada Azure Standard Load Balancer.
Membagikan layanan Anda
Setelah Anda membuat layanan Private Link, Azure akan menghasilkan moniker bernama unik global yang disebut alias berdasarkan nama yang Anda berikan untuk layanan Anda. Anda dapat membagikan URI alias atau sumber daya layanan Anda dengan pelanggan Anda secara offline. Konsumen dapat memulai koneksi Azure Private Link menggunakan alias atau URI sumber daya.
Mengelola permintaan koneksi Anda
Setelah konsumen memulai koneksi, penyedia layanan dapat menerima atau menolak permintaan koneksi. Semua permintaan koneksi akan dicantumkan di bawah properti privateendpointconnections pada layanan Azure Private Link.
Menghapus layanan Anda
Jika layanan Azure Private Link tidak lagi digunakan, Anda dapat menghapusnya. Namun, sebelum Anda menghapus layanan, pastikan bahwa tidak ada koneksi titik akhir privat yang terkait dengan layanan tersebut. Anda dapat menolak semua koneksi dan menghapus layanan.
Properti
Layanan Azure Private Link menentukan properti berikut ini:
| Properti | Penjelasan |
|---|---|
| Status Penyediaan (provisioningState) | Properti baca-saja yang mencantumkan status penyediaan saat ini untuk layanan Azure Private Link. Status provisi yang berlaku adalah: Menghapus, Gagal,Berhasil,*Memperbarui. Saat status provisi Berhasil, Anda telah berhasil menyediakan layanan Private Link Anda. |
| Alias (alias) | Alias adalah string baca-saja yang unik secara global untuk layanan Anda. Ini membantu Anda menutupi data pelanggan untuk layanan Anda dan pada saat yang sama membuat nama yang mudah dibagikan untuk layanan Anda. Saat Anda membuat layanan Azure Private Link, Azure menghasilkan alias untuk layanan yang dapat Anda bagikan dengan pelanggan Anda. Pelanggan Anda dapat menggunakan alias ini untuk meminta koneksi ke layanan Anda. |
| Visibilitas (visibilitas) | Visibilitas adalah properti yang mengontrol pengaturan eksposur untuk layanan Azure Private Link Anda. Penyedia layanan dapat memilih untuk membatasi paparan layanan mereka ke langganan dengan izin kontrol akses berbasis peran Azure. Sekumpulan langganan terbatas juga dapat digunakan untuk membatasi paparan. |
| Persetujuan Otomatis (autoApproval) | Persetujuan otomatis mengontrol akses otomatis ke layanan Azure Private Link. Langganan yang ditentukan dalam daftar persetujuan otomatis disetujui secara otomatis saat koneksi diminta dari titik akhir privat dalam langganan tersebut. |
| Konfigurasi IP frontend load balancer (loadBalancerFrontendIpConfigurations) | Layanan Azure Private Link terkait dengan alamat IP frontend dari Standard Load Balancer. Semua lalu lintas yang ditaunjukkan untuk layanan akan mencapai frontend dari SLB. Anda dapat mengonfigurasikan aturan SLB untuk mengarahkan lalu lintas ini ke kumpulan backend yang sesuai tempat aplikasi Anda berjalan. Konfigurasikan IP frontend penyeimbang muatan berbeda dari konfigurasi NAT IP. |
| Konfigurasi IP NAT (ipConfigurations) | Properti ini mengacu pada konfigurasi IP NAT (Network Address Translation) untuk layanan Azure Private Link. NAT IP dapat dipilih dari subnet apa pun di jaringan virtual penyedia layanan. Layanan Azure Private Link melakukan NAT-ing sisi tujuan pada lalu lintas Azure Private Link. NAT ini memastikan bahwa tidak ada konflik IP antara sumber (sisi konsumen) dan ruang alamat tujuan (penyedia layanan). Di sisi tujuan atau penyedia layanan, alamat IP NAT ditampilkan sebagai IP sumber untuk semua paket yang diterima oleh layanan Anda. IP tujuan ditampilkan untuk semua paket yang dikirim oleh layanan Anda. |
| Koneksi titik akhir privat (privateEndpointConnections) | Properti ini mencantumkan titik akhir privat yang tersambung ke layanan Azure Private Link. Beberapa titik akhir privat dapat terhubung ke layanan Azure Private Link yang sama dan penyedia layanan dapat mengontrol status untuk titik akhir privat individual. |
| Proksi TCP V2 (EnableProxyProtocol) | Properti ini memungkinkan penyedia layanan menggunakan tcp proksi v2 untuk mengambil informasi koneksi tentang konsumen layanan. Penyedia Layanan bertanggung jawab untuk menyiapkan konfigurasi penerima agar dapat mengurai header v2 protokol proksi. |
Detail
Layanan Azure Private Link dapat diakses dari titik akhir pribadi yang disetujui di wilayah publik mana pun. Titik akhir privat dapat dicapai dari jaringan virtual yang sama dan jaringan virtual yang di-peering secara regional. Titik akhir privat dapat dicapai dari jaringan virtual yang di-peering secara global dan lokal menggunakan koneksi VPN privat atau ExpressRoute.
Setelah pembuatan Layanan Private Link, antarmuka jaringan dibuat untuk siklus hidup sumber daya. Antarmuka ini tidak dapat dikelola oleh pelanggan.
Layanan Azure Private Link harus digunakan di wilayah yang sama dengan jaringan virtual dan Standard Load Balancer.
Satu Layanan Private Link dapat diakses dari beberapa Titik Akhir Privat milik jaringan virtual, langganan, dan/atau penyewa Direktori Aktif yang berbeda. Koneksi dibuat melalui alur kerja koneksi.
Beberapa layanan Azure Private Link dapat dibuat pada Standard Load Balancer yang sama menggunakan konfigurasi IP front-end yang berbeda. Ada batasan jumlah layanan Azure Private Link yang dapat Anda buat per Standard Load Balancer dan per langganan. Untuk detailnya, lihat Batas Azure.
Layanan Azure Private Link dapat memiliki lebih dari satu konfigurasi IP NAT yang ditautkan ke dalamnya. Memilih lebih dari satu konfigurasi IP NAT dapat membantu penyedia layanan untuk menskalakan. Saat ini, penyedia layanan dapat menetapkan hingga delapan alamat IP NAT per layanan Azure Private Link. Dengan setiap alamat IP NAT, Anda dapat menetapkan lebih banyak port untuk koneksi TCP Anda dan dengan demikian peluasan skala. Setelah Anda menambahkan beberapa alamat IP NAT ke layanan Azure Private Link, Anda tidak dapat menghapus alamat IP NAT. Pembatasan ini diberlakukan untuk memastikan bahwa koneksi aktif tidak terpengaruh saat menghapus alamat IP NAT.
Alias
Alias adalah nama yang unik secara global untuk layanan Anda. Ini membantu Anda menutupi data pelanggan untuk layanan Anda dan pada saat yang sama membuat nama yang mudah dibagikan untuk layanan Anda. Saat Anda membuat layanan Azure Private Link, Azure menghasilkan alias untuk layanan yang dapat Anda bagikan dengan pelanggan Anda. Pelanggan Anda dapat menggunakan alias ini untuk meminta koneksi ke layanan Anda.
Alias terdiri dari tiga bagian: Awalan.GUID.Akhiran
Awalan adalah nama layanan. Anda dapat memilih awalan Anda sendiri. Setelah "Alias" dibuat, Anda tidak dapat mengubahnya, jadi pilih awalan Anda dengan tepat.
GUID akan disediakan oleh platform. GUID ini membuat nama unik secara global.
Akhiran ditambahkan oleh Azure: wilayah.azure.privatelinkservice
Alias lengkap: Awalan. {GUID}.wilayah.azure.privatelinkservice
Mengontrol eksposur layanan
Layanan Private Link memberi Anda tiga opsi di pengaturan Visibilitas untuk mengontrol paparan layanan Anda. Pengaturan visibilitas memutuskan jika konsumen dapat tersambung ke layanan atau tidak. Berikut adalah opsi pengaturan visibilitas, dari yang paling ketat hingga yang paling tidak membatasi:
Kontrol akses berbasis peran saja: Jika layanan Anda adalah untuk konsumsi privat dari berbagai jaringan virtual yang Anda miliki, gunakan kontrol akses berbasis peran di dalam langganan yang terkait dengan penyewa Direktori Aktif yang sama. Visibilitas lintas penyewa diizinkan melalui kontrol akses berbasis peran.
Dibatasi oleh langganan: Jika layanan Anda akan digunakan di berbagai penyewa, Anda dapat membatasi paparan serangkaian langganan terbatas yang Anda percayai. Otorisasi dapat disetujui sebelumnya.
Siapa pun dengan alias Anda: Jika Anda ingin membuat layanan Anda publik dan mengizinkan siapa pun dengan layanan alias Private Link meminta koneksi, pilih opsi ini.
Mengontrol akses layanan
Konsumen yang memiliki paparan yang dikontrol oleh pengaturan visibilitas ke layanan Private Link Anda dapat membuat titik akhir privat di jaringan virtual mereka dan meminta koneksi ke layanan Private Link Anda. Koneksi titik akhir privat akan dibuat dalam status Tertunda pada objek layanan Private Link. Penyedia layanan bertanggung jawab untuk bertindak atas permintaan koneksi. Anda dapat menyetujui koneksi, menolak koneksi, atau menghapus koneksi. Hanya koneksi yang disetujui yang dapat mengirim lalu lintas ke layanan Azure Private Link.
Tindakan menyetujui koneksi dapat diotomatisasi dengan menggunakan properti persetujuan otomatis pada layanan Azure Private Link. Persetujuan Otomatis adalah kemampuan bagi penyedia layanan untuk menyiapkan serangkaian langganan untuk akses otomatis ke layanan mereka. Pelanggan harus membagikan langganan mereka secara offline bagi penyedia layanan untuk ditambahkan ke daftar persetujuan otomatis. Persetujuan otomatis adalah subkumpulan array visibilitas.
Visibilitas mengontrol pengaturan eksposur, sedangkan persetujuan otomatis mengontrol pengaturan persetujuan untuk layanan Anda. Jika pelanggan meminta koneksi dari langganan dalam daftar persetujuan otomatis, koneksi akan disetujui secara otomatis, dan koneksi dibuat. Penyedia layanan tidak perlu menyetujui permintaan secara manual. Jika pelanggan meminta koneksi dari langganan dalam array visibilitas dan bukan dalam array persetujuan otomatis, permintaan akan mencapai penyedia layanan. Penyedia layanan harus menyetujui koneksi secara manual.
Mendapatkan Informasi koneksi menggunakan Proksi TCP v2
Dalam layanan tautan privat, alamat IP sumber paket yang berasal dari titik akhir privat adalah alamat jaringan yang diterjemahkan (NAT) di sisi penyedia layanan menggunakan IP NAT yang dialokasikan dari jaringan virtual penyedia. Aplikasi menerima alamat IP NAT yang dialokasikan alih-alih alamat IP sumber aktual konsumen layanan. Jika aplikasi Anda memerlukan alamat IP sumber aktual dari sisi konsumen, Anda dapat mengaktifkan protokol proksi pada layanan Anda dan mengambil informasi dari header protokol proksi. Selain alamat IP sumber, header protokol proksi juga membawa LinkID dari titik akhir privat. Kombinasi alamat IP sumber dan LinkID dapat membantu penyedia layanan mengidentifikasi konsumen mereka secara unik.
Untuk informasi lebih lanjut tentang Protokol Proksi, kunjungi di sini.
Informasi ini dikodekan menggunakan vektor Type-Length-Value (TLV) kustom sebagai berikut:
Detail TLV kustom:
| Bidang | Panjang (Oktet) | Deskripsi |
|---|---|---|
| Jenis | 1 | PP2_TYPE_AZURE (0xEE) |
| Panjang | 2 | Panjang nilai |
| Nilai | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | UINT32 (4 byte) mewakili LINKID dari titik akhir privat. Dikodekan dalam format little endian. |
Catatan
Penyedia layanan bertanggung jawab untuk memastikan bahwa layanan di belakang load balancer standar dikonfigurasi untuk mengurai header protokol proksi sesuai spesifikasi ketika protokol proksi diaktifkan pada layanan tautan privat. Permintaan akan gagal jika pengaturan protokol proksi diaktifkan pada layanan tautan privat tetapi layanan penyedia layanan tidak dikonfigurasi untuk mengurai header. Permintaan akan gagal jika layanan penyedia layanan mengharapkan header protokol proksi saat pengaturan tidak diaktifkan pada layanan tautan privat. Setelah pengaturan protokol proksi diaktifkan, header protokol proksi juga akan disertakan dalam pemeriksaan kesehatan HTTP/TCP dari host ke komputer virtual backend. Informasi klien tidak terkandung dalam header.
Pencocokan LINKID yang merupakan bagian dari protokol PROXYv2 (TLV) dapat ditemukan di PrivateEndpointConnection properti linkIdentifiersebagai .
Untuk informasi selengkapnya, lihat PRIVATE Link Services API.
Batasan
Berikut ini adalah batasan yang diketahui saat menggunakan layanan Azure Private Link:
Hanya didukung pada Standard Load Balancer. Tidak didukung pada Basic Load Balancer.
Hanya didukung pada Load Balancer Standar tempat kumpulan backend dikonfigurasi oleh NIC. Tidak didukung pada Load Balancer Standar tempat kumpulan backend dikonfigurasi oleh alamat IP.
Mendukung hanya lalu lintas IPv4
Mendukung hanya lalu lintas TCP dan UDP
Layanan Private Link memiliki batas waktu diam ~5 menit (300 detik). Untuk menghindari mencapai batas ini, aplikasi yang terhubung melalui Layanan Private Link harus menggunakan TCP Keepalives lebih rendah dari waktu tersebut.
Untuk aturan NAT Masuk dengan jenis yang diatur ke kumpulan backend untuk beroperasi dengan Azure Private Link Service, aturan penyeimbangan beban harus dikonfigurasi.