Perbolehkan akses ke namespace Azure Service Bus melalui titik akhir privat

Azure Private Link Service memungkinkan Anda mengakses layanan Azure (misalnya, Azure Key Vault, Azure Storage, dan Azure Cosmos DB) dan layanan pelanggan/mitra yang dihosting Azure melalui titik akhir privat di jaringan virtual Anda.

Titik akhir privat adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari jaringan virtual Anda, membawa layanan ke jaringan virtual Anda secara efektif. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat menyambungkan ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.

Untuk informasi selengkapnya, lihat Apa itu Azure Private Link?

Poin penting

• Fitur ini didukung dengan tingkatan premium Azure Service Bus. Untuk informasi selengkapnya tentang tingkat premium, lihat artikel tingkat perpesanan Service Bus Premium dan Standar.

• Menerapkan titik akhir privat dapat mencegah layanan Azure lainnya berinteraksi dengan Service Bus. Sebagai pengecualian, Anda dapat mengizinkan akses ke sumber daya Service Bus dari layanan tepercaya tertentu bahkan ketika titik akhir privat diaktifkan. Untuk daftar layanan tepercaya, lihat Layanan tepercaya.

  Layanan Microsoft berikut ini diperlukan untuk berada di jaringan virtual

  • Azure App Service
  • Azure Functions

• Tentukan setidaknya satu aturan IP atau aturan jaringan virtual untuk namespace untuk memperbolehkan lalu lintas hanya dari alamat IP atau subnet yang ditentukan dari jaringan virtual. Jika tidak ada aturan IP dan aturan jaringan virtual, namespace dapat diakses melalui internet publik (menggunakan tombol akses).

Menambahkan titik akhir privat menggunakan portal Microsoft Azure

Prasyarat

Untuk mengintegrasikan namespace Bus Layanan dengan Azure Private Link, Anda memerlukan entitas atau izin berikut:

• Namespace Service Bus.
• Jaringan virtual Azure.
• Subnet di jaringan virtual. Anda dapat menggunakan subnet default.
• Izin pemilik atau kontributor untuk namespace Service Bus dan jaringan virtual.

Titik akhir privat dan jaringan virtual Anda harus berada di wilayah yang sama. Saat Anda memilih wilayah untuk titik akhir privat menggunakan portal, wilayah tersebut akan secara otomatis hanya memfilter jaringan virtual yang ada di wilayah tersebut. Namespace Service Bus Anda dapat berada di wilayah yang berbeda. Dan, titik akhir privat Anda menggunakan alamat IP privat di jaringan virtual Anda.

Mengonfigurasi akses privat saat membuat namespace

Saat membuat namespace, Anda dapat mengizinkan akses publik saja (dari semua jaringan) atau privat saja (hanya melalui titik akhir privat) ke namespace.

Jika Anda memilih opsi Akses privat di halaman Jaringan wizard pembuatan namespace, Anda bisa menambahkan titik akhir privat di halaman dengan memilih tombol + Titik akhir privat . Lihat bagian berikutnya untuk langkah-langkah terperinci untuk menambahkan titik akhir privat.

Mengonfigurasi akses privat untuk namespace yang sudah ada

Jika Anda sudah memiliki namespace yang sudah ada, Anda bisa membuat titik akhir privat dengan mengikuti langkah-langkah berikut ini:

1. Login ke portal Microsoft Azure.

2. Di bilah pencarian, ketik Service Bus.

3. Pilih namespace dari daftar yang ingin Anda tambahkan titik akhir privatnya.

4. Di menu sebelah kiri, pilih Opsi jaringan di bawah Pengaturan.

   Catatan

   Anda melihat tab Networking hanya untuk namespace premium.

5. Pada halaman Jaringan , untuk Akses jaringan publik, pilih Dinonaktifkan jika Anda ingin namespace hanya diakses melalui titik akhir privat.

6. Untuk Izinkan layanan Microsoft tepercaya melewati firewall ini, pilih Ya jika Anda ingin mengizinkan layanan Microsoft tepercaya melewati firewall ini.

   

7. Untuk memperbolehkan akses ke namespace melalui titik akhir privat, pilih tab Koneksi titik akhir privat di bagian atas halaman

8. Pilih tombol + Titik Akhir Privat di bagian atas halaman.

   

9. Pada halaman Dasar-Dasar, ikuti langkah-langkah berikut ini:

   1. Pilih langganan Azure tempat Anda ingin membuat titik akhir privat.

   2. Pilih grup sumber daya untuk sumber daya titik akhir privat.

   3. Masukkan nama untuk titik akhir privat.

   4. Masukkan nama untuk antarmuka jaringan.

   5. Pilih wilayah untuk titik akhir privat. Titik akhir privat Anda harus berada di wilayah yang sama dengan jaringan virtual Anda, tetapi dapat berada di wilayah yang berbeda dari sumber daya tautan privat yang Anda sambungkan.

   6. Pilih tombol Berikutnya: Sumber Daya > di bagian bawah halaman.

      

10. Pada halaman Sumber Daya, tinjau pengaturan, dan pilih Berikutnya: Virtual Network di bagian bawah halaman.

    

11. Pada halaman Microsoft Azure Virtual Network, Anda memilih subnet dalam jaringan virtual ke tempat Anda ingin menggunakan titik akhir privat.

    1. Pilih jaringan virtual. Hanya jaringan virtual dalam langganan dan lokasi yang dipilih saat ini yang tercantum dalam daftar turun-bawah.
    2. Pilih subnet di dalam jaringan virtual yang Anda pilih.
    3. Perhatikan bahwa kebijakan jaringan untuk titik akhir privat dinonaktifkan. Jika ingin mengaktifkannya, pilih edit, perbarui pengaturan, lalu pilih Simpan.
    4. Untuk Konfigurasi IP privat, secara default, pilih opsi Alokasikan alamat IP secara dinamis. Jika ingin menetapkan alamat IP statis, pilih Alokasikan alamat IP secara statis*.
    5. Untuk Kelompok keamanan aplikasi, pilih kelompok keamanan aplikasi yang sudah ada atau buat kelompok keamanan yang akan dikaitkan dengan titik akhir privat.
    6. Pilih tombol Berikutnya: DNS > di bagian bawah halaman.

    

12. Pada halaman DNS , pilih apakah Anda ingin titik akhir privat diintegrasikan dengan zona DNS privat, lalu pilih Berikutnya: Tag.

    

13. Pada halaman Tag, buat tag (nama dan nilai) apa pun yang ingin Anda kaitkan dengan sumber daya titik akhir privat. Lalu, pilih Tinjau + buat di bagian bawah halaman.

14. Pada Ulasan + buat, tinjau semua pengaturan, dan pilih Buat untuk membuat titik akhir privat.

    

15. Konfirmasikan bahwa titik akhir privat dibuat. Jika Anda adalah pemilik sumber daya dan telah memilih Sambungkan ke sumber daya Azure di opsi direktori saya untuk metode Koneksi, koneksi titik akhir harus disetujui secara otomatis. Jika dalam status tertunda, lihat bagian Kelola titik akhir privat menggunakan portal Microsoft Azure.

    

Layanan Microsoft tepercaya

Saat Anda mengaktifkan pengaturan Izinkan layanan Microsoft terpercaya untuk melewati firewall ini, layanan berikut akan diberikan akses ke sumber daya Microsoft Azure Service Bus Anda.

Layanan tepercaya	Skenario penggunaan yang didukung
Azure Event Grid	Izinkan Azure Event Grid mengirim acara ke antrean atau topik di namespace layanan Microsoft Azure Service Bus. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem untuk topik atau domain Tambahkan identitas ke peran Pengirim Data Microsoft Azure Service Bus pada namespace layanan Microsoft Azure Service Bus Lalu, konfigurasikan langganan kejadian yang menggunakan antrian atau topik Microsoft Azure Service Bus sebagai titik akhir untuk menggunakan identitas yang ditetapkan sistem. Untuk informasi selengkapnya, lihat Pengiriman acara dengan identitas terkelola
Azure Stream Analytics	Memungkinkan pekerjaan Azure Stream Analytics untuk menghasilkan data ke antrean Azure Service Bus ke topik. Penting: Pekerjaan Azure Stream Analytics harus dikonfigurasi untuk menggunakan identitas terkelola untuk mengakses namespace Service Bus. Tambahkan identitas ke peran Pengirim Data Azure Service Bus pada namespace Bus Layanan.
Azure IoT Hub	Mengizinkan hub IoT untuk mengirim pesan ke antrean atau topik di namespace layanan Azure Service Bus Anda. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna untuk hub IoT Anda. Tambahkan identitas ke peran Pengirim Data Azure Service Bus pada namespace layanan Azure Service Bus. Konfigurasikan IoT Hub yang menggunakan entitas Azure Service Bus sebagai titik akhir untuk menggunakan autentikasi berbasis identitas.
Azure API Management	Layanan API Management memungkinkan Anda mengirim pesan ke antrean/topik Microsoft Azure Service Bus di namespace layanan Microsoft Azure Service Bus. Anda dapat memicu alur kerja kustom dengan mengirim pesan ke antrean/topik Microsoft Azure Service Bus Anda saat API dipanggil dengan menggunakan kebijakan kirim permintaan. Anda juga dapat memperlakukan antrean/topik Microsoft Azure Service Bus sebagai backend Anda dalam API. Untuk contoh kebijakan, lihat Autentikasikan menggunakan identitas terkelola untuk mengakses Microsoft Azure Service Bus. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem pada instans API Management. Untuk petunjuk, lihat Gunakan identitas terkelola di Azure API Management. Tambahkan identitas ke peran Pengirim Data Microsoft Azure Service Bus Azure pada rnamespace layanan Microsoft Azure Service Bus
Azure IoT Central	Memungkinkan IoT Central mengekspor data ke antrean Bus Layanan atau topik di ruang nama Bus Layanan Anda. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem untuk aplikasi IoT Central Anda Tambahkan identitas ke peran Pengirim Data Azure Service Bus pada namespace Bus Layanan. Kemudian, konfigurasikan tujuan ekspor Bus Layanan di aplikasi IoT Central Anda untuk menggunakan autentikasi berbasis identitas.
Azure Digital Twins	Memungkinkan Azure Digital Twins untuk mengeluarkan data ke topik Bus Layanan di namespace Service Bus Anda. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem untuk instans Azure Digital Twins Anda. Tambahkan identitas ke peran Pengirim Data Azure Service Bus pada namespace Bus Layanan. Kemudian, konfigurasikan titik akhir Azure Digital Twins atau koneksi riwayat data Azure Digital Twins yang menggunakan identitas yang ditetapkan sistem untuk mengautentikasi. Untuk informasi selengkapnya tentang mengonfigurasi titik akhir dan rute peristiwa ke sumber daya Service Bus dari Azure Digital Twins, lihat Merutekan peristiwa Azure Digital Twins dan Membuat titik akhir di Azure Digital Twins.
Azure Monitor (Pengaturan Diagnostik dan Grup Aksi)	Memungkinkan Azure Monitor mengirim informasi diagnostik dan pemberitahuan pemberitahuan peringatan ke Service Bus di namespace Service Bus Anda. Azure Monitor dapat membaca dari dan menulis data ke namespace Bus Layanan.
Azure Synapse	Memungkinkan Azure Synapse untuk terhubung ke bus layanan menggunakan Identitas Terkelola Ruang Kerja Synapse. Tambahkan peran Pengirim, Penerima, atau Pemilik Data Azure Service Bus ke identitas pada namespace Bus Layanan.

Layanan tepercaya lainnya untuk Azure Service Bus dapat ditemukan di bawah ini:

• Azure Data Explorer
• Azure Health Data Services
• Azure Arc
• Azure Kubernetes
• Pembelajaran Mesin Azure
• Microsoft Purview

Untuk mengizinkan layanan tepercaya mengakses namespace Anda, beralihlah ke tab Akses Publik pada halaman Jaringan , dan pilih Ya untuk Izinkan layanan Microsoft tepercaya melewati firewall ini?.

Menambahkan titik akhir privat menggunakan PowerShell

Contoh berikut ini memperlihatkan kepada Anda cara menggunakan Azure PowerShell untuk membuat koneksi titik akhir privat ke namespace Service Bus.

Titik akhir privat dan jaringan virtual Anda harus berada di wilayah yang sama. Namespace Service Bus Anda dapat berada di wilayah yang berbeda. Dan, titik akhir privat Anda menggunakan alamat IP privat di jaringan virtual Anda.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Mengelola titik akhir privat menggunakan portal Microsoft Azure

Saat Anda membuat titik akhir privat, koneksi harus disetujui. Jika sumber daya yang Anda gunakan untuk membuat titik akhir privat ada di direktori Anda, Anda dapat menyetujui permintaan koneksi asalkan Anda memiliki izin yang memadai. Jika Anda menyambungkan ke sumber daya Azure di direktori lain, Anda harus menunggu pemilik sumber daya tersebut menyetujui permintaan koneksi Anda.

Ada empat status penyediaan:

Tindakan layanan	Status layanan titik akhir privat konsumen	Deskripsi
Tidak ada	Sedang diproses	Koneksi dibuat secara manual dan menunggu persetujuan dari pemilik sumber daya Private Link.
Setuju	Disetujui	Koneksi disetujui secara otomatis atau manual dan siap digunakan.
Tolak	Ditolak	Koneksi ditolak oleh pemilik sumber daya tautan privat.
Hapus	Terputus	Koneksi dihapus oleh pemilik sumber daya tautan privat, titik akhir privat menjadi informatif dan harus dihapus untuk dibersihkan.

Menyetujui, menolak, atau menghapus koneksi titik akhir privat

1. Masuk ke portal Azure.
2. Di bilah pencarian, ketik Service Bus.
3. Pilih namespace yang ingin Anda kelola.
4. Pilih tab Jaringan.
5. Lihat bagian berikut yang sesuai berdasarkan operasi yang ingin Anda: setujui, tolak, atau hapus.

Menyetujui koneksi titik akhir privat

1. Jika ada koneksi yang tertunda, Anda akan melihat koneksi yang tercantum dengan Tertunda dalam status provisi.

2. Pilih titik akhir privat yang ingin Anda setujui

3. Pilih tombol Setujui.

   

4. Pada halaman Setujui koneksi, masukkan komentar opsional, dan pilih Ya. Jika Anda memilih Tidak, tidak ada yang terjadi.

   

5. Anda akan melihat status koneksi dalam daftar diubah menjadi Disetujui.

   

Menolak koneksi titik akhir privat

1. Jika ada koneksi titik akhir privat yang ingin Anda tolak, apakah itu permintaan tertunda atau koneksi yang sudah ada yang disetujui sebelumnya, pilih koneksi titik akhir dan pilih tombol Tolak .

   

2. Pada halaman Tolak koneksi, masukkan komentar opsional, dan pilih Ya. Jika Anda memilih Tidak, tidak ada yang terjadi.

   

3. Anda akan melihat status koneksi dalam daftar diubah Ditolak.

   

Menghapus koneksi titik akhir privat

1. Untuk menghapus koneksi titik akhir privat, pilih koneksi tersebut dalam daftar, dan pilih Hapus pada toolbar.

   

2. Pada halaman Hapus koneksi, pilih Ya untuk mengonfirmasi penghapusan titik akhir privat. Jika Anda memilih Tidak, tidak ada yang terjadi.

   

3. Anda akan melihat status berubah menjadi Terputus. Kemudian, titik akhir menghilang dari daftar.

Validasi bahwa koneksi tautan privat berfungsi

Anda harus memvalidasi bahwa sumber daya dalam jaringan virtual titik akhir privat terhubung ke namespace Service Bus Anda melalui alamat IP pribadi, dan bahwa mereka memiliki integrasi zona DNS pribadi yang benar.

Pertama, buat komputer virtual dengan mengikuti langkah-langkah dalam Buat komputer virtual Windows di portal Microsoft Azure

Pada tab Jaringan:

1. Tentukan Jaringan virtual dan Subnet. Anda harus memilih Virtual Network tempat Anda menyebarkan titik akhir privat.
2. Tentukan sumber daya IP publik.
3. Di Grup keamanan jaringan NIC, pilih Tidak Ada.
4. Di Load balancing, pilih Tidak.

Sambungkan ke komputer virtual, buka baris perintah, dan jalankan perintah berikut ini:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Anda akan melihat hasil yang terlihat seperti berikut ini.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Batasan dan Pertimbangan Desain

• Untuk informasi harga, lihat Harga Azure Private Link.
• Fitur ini tersedia di semua wilayah publik Azure.
• Jumlah maksimal titik akhir privat per namespace Service Bus: 120.
• Lalu lintas diblokir pada lapisan aplikasi, bukan pada lapisan TCP. Oleh karena itu, Anda melihat koneksi atau nslookup operasi TCP berhasil terhadap titik akhir publik meskipun akses publik dinonaktifkan.

Untuk info selengkapnya, lihat Layanan Azure Private Link: Batasan

Langkah berikutnya

• Pelajari selengkapnya tentang Azure Private Link
• Pelajari selengkapnya tentang Azure Service Bus