Ditulis oleh Becki Lee, Fugue, Inc | Awalnya diterbitkan di Situs Web Fugue pada 25 September 2020.
Azure menawarkan dua layanan serupa namun berbeda untuk memungkinkan sumber daya jaringan virtual (VNet) terhubung secara pribadi ke layanan Azure lainnya. Azure VNet Service Endpoints Jasa Backlink PBN Murah dan Azure Private Endpoints (didukung oleh Azure Private Link) keduanya mempromosikan keamanan jaringan dengan memungkinkan lalu lintas VNet berkomunikasi dengan sumber daya layanan tanpa melalui internet, tetapi ada beberapa perbedaan. Seri blog tiga bagian ini menjelaskan secara rinci tentang kedua layanan tersebut.Di bagian 1 dari seri ini, kami menjelajahi titik akhir layanan jaringan virtual.Di bagian 2 (bagian ini!), Kita akan membahas Private Link dan titik akhir pribadi.Pada bagian 3, kita akan membandingkan dan membedakan keduanya dan menjelaskan kapan harus menggunakan yang mana.
Siap mempelajari tentang Private Link dan titik akhir pribadi? Ayo!
Di atas, mesin virtual di VNet dapat menggunakan titik akhir pribadi Azure Private Link untuk terhubung ke database SQL tertentu seolah-olah berada di dalam VNet, bahkan dengan NSG menolak lalu lintas keluar. Titik akhir pribadi memungkinkan lalu lintas mengalir dari alamat https://kangasep.com/jasa-backlink-pbn/ https://kangasep.com/ IP pribadi ke IP pribadi lain di VNet yang sama – tidak ada traversal internet yang diperlukan. Gambar dari https://azure.microsoft.com/en-us/services/private…
Azure Private Link adalah layanan yang memungkinkan sumber daya jaringan virtual terhubung secara pribadi ke sumber daya lain seolah-olah mereka adalah bagian dari jaringan yang sama, membawa lalu lintas melintasi backbone Microsoft Azure alih-alih internet.
Untuk memanfaatkan layanan ini, Anda membuat titik akhir pribadi Private Link. Titik akhir pribadi adalah antarmuka jaringan yang menyediakan alamat IP pribadi ke layanan yang biasanya hanya dapat diakses oleh VNet melalui alamat IP publik.
Misalnya, setiap akun penyimpanan memiliki titik akhir publik yang secara default terbuka untuk klien di jaringan apa pun. Dengan titik akhir pribadi, Anda dapat menetapkan akun penyimpanan alamat IP pribadi dari VNet, dan mesin virtual (VM) di VNet tersebut dapat mengakses akun penyimpanan tanpa melalui internet. Ini sangat kuat karena itu berarti Anda tidak perlu menggunakan alamat IP publik, baik di sumber lalu lintas atau tujuan. Seolah-olah Anda membawa akun penyimpanan di dalam VNet.
Tapi itu belum semua. Akun penyimpanan masih memiliki titik akhir publik, tentu saja – itu tidak hilang hanya karena Anda tidak menggunakannya. Jadi jika diinginkan, Anda dapat memblokir semua lalu lintas ke titik akhir publiknya, lebih melindunginya dari kerentanan jaringan.
Titik akhir pribadi dapat diaktifkan untuk dua kategori layanan yang berbeda:Layanan Azure PaaS seperti Azure Storage, Azure SQL Database, Azure Key Vault, dan banyak lagi. Lihat daftar lengkapnya di sini. Misalnya, Anda dapat membuat titik akhir untuk menghubungkan VM dengan aman di subnet pribadi ke akun penyimpanan. Setelah membuat alamat IP pribadi untuk akun penyimpanan, Anda dapat memilih untuk memblokir akses ke titik akhir publiknya, sehingga satu-satunya lalu lintas yang dapat mencapainya berasal dari subnet yang disetujui melalui titik akhir pribadi.
Tanpa titik akhir pribadi, VM perlu diberi alamat IP publik, memaparkannya ke internet dan semua ancaman yang menyertainya; subnet akan membutuhkan nat atau perangkat gateway, membutuhkan langkah tambahan konfigurasi dan berpotensi memperlambat lalu lintas; akun penyimpanan harus terbuka untuk klien di jaringan apa pun, jadi jika kredensial bocor, siapa pun di internet dapat mengaksesnya. Tidak baik!Layanan Anda sendiri, jika berjalan di belakang penyeimbang beban standar. Ini disebut layanan tautan pribadi, dan Anda akan ingin membuatnya jika Anda memiliki pelanggan yang perlu terhubung secara pribadi ke layanan Anda dari dalam VNet mereka sendiri. Setelah mengaktifkan layanan tautan pribadi, konsumen membuat titik akhir pribadi di jaringan virtual mereka dan mengirim permintaan untuk terhubung ke layanan Anda.
Tanpa titik akhir pribadi, konsumen Anda harus melalui internet untuk mengakses layanan Anda. Sekali lagi, VM mereka perlu diberi alamat IP publik, subnet terkait akan membutuhkan NAT atau perangkat gateway, dan sumber daya layanan Anda harus dapat diakses dari internet juga.
(Layanan tautan pribadi berada di luar cakupan artikel ini, jadi kami akan fokus menggunakan titik akhir pribadi dengan layanan Azure PaaS.)
Sekarang, mari kita lihat beberapa manfaat yang diperkenalkan oleh titik akhir pribadi. Jika Anda telah membaca bagian 1 dari seri ini, di mana kami membahas titik akhir layanan, ini akan terdengar akrab:Keamanan yang ditingkatkan: Karena titik akhir privat mempromosikan konektivitas pribadi untuk menargetkan sumber daya (yang disebut Azure sumber daya tautan pribadi), Anda tidak perlu menetapkan alamat IP publik di ujung sumber daya VNet. Tanpa alamat IP publik, aktor jahat tidak dapat memindai port terbuka VM untuk kerentanan dan menurunkan aplikasi Anda atau mencuri data. Selain itu, Anda dapat memetakan titik akhir pribadi ke sumber daya tertentu atau bahkan sub-sumber daya (misalnya, akun penyimpanan atau gumpalan), sehingga ada sedikit risiko eksfiltrasi data. (Anda dapat menemukan daftar sumber daya tautan pribadi yang tersedia dan jenis sub-sumber daya dalam dokumentasi Azure.)Perutean yang dioptimalkan: Titik akhir pribadi menyediakan rute langsung melalui jaringan backbone Azure dari VNet ke sumber daya tautan pribadi, sehingga tidak ada lompatan tambahan untuk memperlambat lalu lintas.Arsitektur jaringan yang lebih sederhana: Karena lalu lintas mengalir dari sumber daya VNet ke sumber daya tautan pribadi melalui jaringan backbone Azure, Anda tidak perlu menetapkan alamat IP publik atau mengonfigurasi nat atau perangkat gateway.Dukungan lokal: Titik akhir pribadi memungkinkan lalu lintas dari lokal untuk mengakses sumber daya tautan pribadi tanpa mengintip publik atau melintasi internet. Terowongan VPN, peering pribadi ExpressRoute, dan VNet peered semuanya bekerja dengan titik akhir pribadi.
Jika Anda adalah pengguna AWS dan semua ini terdengar akrab bagi Anda, Anda mungkin memikirkan titik akhir antarmuka VPC, yang juga merupakan antarmuka jaringan yang memungkinkan lalu lintas dari subnet di jaringan virtual untuk mengakses layanan AWS atau layanan endpoint (layanan yang dihosting oleh pelanggan AWS lainnya) tanpa memerlukan lalu lintas untuk melalui internet. Titik akhir antarmuka menghubungkan Anda ke layanan yang didukung oleh AWS PrivateLink dan diberi alamat IP pribadi dari subnet terkait, sehingga sumber lalu lintas dan tujuan adalah IP pribadi. Sama seperti cara kerja Azure Private Link!
Mari kita kembali ke VM dan contoh akun penyimpanan kita. Katakanlah Anda ingin lalu lintas mengalir dari yang pertama ke yang terakhir tanpa harus mengakses titik akhir publik akun penyimpanan. Kami akan menunjukkan kepada Anda versi singkat dari tutorial Azure yang sangat baik ini.
Berikut cara membuat titik akhir privat:Navigasi ke Pusat Tautan Pribadi dan pilih “Buat titik akhir privat”.Masukkan langganan, grup sumber daya, serta nama serta wilayah untuk titik akhir privat.Pilih “Sambungkan ke sumber daya Azure di direktori saya”, lalu pilih langganan dan “Microsoft.Storage/storageAccounts” sebagai tipe sumber daya.Pilih nama sumber daya target, lalu tentukan sub-sumber daya target. Untuk penyimpanan, ini bisa blob, blob_secondary, tabel, table_secondary, dfs, dan dfs_secondary.Pilih VNet dan subnet titik akhir harus digunakan.Anda kemudian dapat memilih untuk berintegrasi dengan zona DNS pribadi, yang direkomendasikan jika Anda menggunakan DNS default yang disediakan Azure karena Azure menangani semua kerja keras untuk Anda. Jika Anda menggunakan penyiapan DNS kustom, Anda harus menggunakan server DNS Anda sendiri atau membuat catatan DNS menggunakan file host VM. (Lebih lanjut tentang ini sedikit!)
Sekarang setelah membuat titik akhir pribadi, Anda dapat mengujinya. SSH atau RDP ke dalam instans dan jalankan nslookup mystorageaccount.blob.core.windows.net, ganti mystorageaccount dengan nama akun penyimpanan Anda. Anda akan melihat sesuatu seperti ini: Server:127.0.0.53 Alamat:127.0.0.53#53 Jawaban non-otoritatif: mystorageaccount.blob.core.windows.netcanonical name = mystorageaccount.privatelink.blob.core.windows.net. Name:mystorageaccount.privatelink.blob.core.windows.net Address: 10.1.0.5
Perhatikan bagaimana alamat IP di atas adalah alamat IP pribadi. Jika Anda menjalankan perintah yang sama dari terminal lokal Anda, Anda akan melihat sesuatu seperti ini: Server:75.75.75.75 Alamat:75.75.75.75#53 Jawaban non-otoritatif: mystorageaccount.blob.core.windows.netcanonical name = mystorageaccount.privatelink.blob.core.windows.net. mystorageaccount.privatelink.blob.core.windows.netcanonical name = blob.blz81prdstr02z.store.core.windows.net. Name:blob.blz81prdstr02z.store.core.windows.net Alamat: 52.238.154.132