Menggunakan Private Link (pratinjau)
Artikel ini menjelaskan cara menggunakan Private Link untuk membatasi akses mengelola sumber daya di langganan Anda. Tautan privat memungkinkan Anda mengakses layanan Azure melalui titik akhir privat di jaringan virtual Anda. Ini mencegah paparan layanan ke internet publik.
Artikel ini menjelaskan proses penyiapan Private Link menggunakan portal Azure.
Penting
Anda dapat mengaktifkan fitur ini pada tingkatan, dengan biaya tambahan.
Catatan
Kemampuan untuk menggunakan tautan privat dengan Azure Notification Hubs saat ini dalam pratinjau. Jika Anda tertarik menggunakan fitur ini, hubungi manajer keberhasilan pelanggan Anda di Microsoft, atau buat tiket dukungan Azure.
Membuat titik akhir privat bersama dengan hub pemberitahuan baru di portal
Prosedur berikut membuat titik akhir privat bersama dengan hub pemberitahuan baru menggunakan portal Azure:
Buat hub pemberitahuan baru, dan pilih tab Jaringan .
Pilih Akses privat, lalu pilih Buat.
Isi langganan, grup sumber daya, lokasi, dan nama untuk titik akhir privat baru. Pilih jaringan virtual dan subnet. Di Integrasikan dengan Zona DNS Privat, pilih Ya dan ketik privatelink.notificationhubs.windows.net di kotak Zona DNS Privat.
Pilih OK untuk melihat konfirmasi pembuatan namespace layanan dan hub dengan titik akhir privat.
Pilih Buat untuk membuat hub pemberitahuan dengan koneksi titik akhir privat.
Membuat titik akhir privat untuk hub pemberitahuan yang ada di portal
Di portal, di sisi kiri di bawah bagian Keamanan + jaringan , pilih Notification Hubs, lalu pilih Jaringan.
Pilih tab Akses privat.
Isi langganan, grup sumber daya, lokasi, dan nama untuk titik akhir privat baru. Buat jaringan virtual dan subnet. Pilih Buat.
Membuat titik akhir privat menggunakan CLI
Masuk ke Azure CLI dan atur langganan:
az login az account set --subscription <azure_subscription_id>
Membuat grup sumber daya baru:
az group create -n <resource_group_name> -l <azure_region>
Daftarkan Microsoft.NotificationHubs sebagai penyedia:
az provider register -n Microsoft.NotificationHubs
Buat namespace dan hub Notification Hubs baru:
az notification-hub namespace create --name <namespace_name> --resource-group <resource_group_name> --location <azure_region> --sku "Standard" az notification-hub create --name <notification_hub_name> --namespace-name <namespace_name> --resource-group <resource_group_name> --location <azure_region>
Buat jaringan virtual dengan subnet:
az network vnet create --resource-group <resource_group_name> --name <vNet name> --location <azure_region> az network vnet subnet create --resource-group <resource_group_name> --vnet-name <vNet_name> --name <subnet_name> --address-prefixes <address_prefix>
Nonaktifkan kebijakan jaringan virtual:
az network vnet subnet update --name <subnet_name> --resource-group <resource_group_name> --vnet-name <vNet_name> --disable-private-endpoint-network-policies true
Tambahkan zona DNS privat dan tautkan ke jaringan virtual:
az network private-dns zone create --resource-group <resource_group_name> --name privatelink.servicebus.windows.net az network private-dns zone create --resource-group <resource_group_name> --name privatelink.notoficationhub.windows.net az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.servicebus.windows.net --name <dns_zone_link_name> --registration-enabled true az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.notificationhub.windows.net --name <dns_zone_link_name> --registration-enabled true
Buat titik akhir privat (disetujui secara otomatis):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vNet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region>
Buat titik akhir privat (dengan persetujuan permintaan manual):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vnet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region> --manual-request
Perlihatkan status koneksi:
az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
Mengelola titik akhir privat menggunakan portal
Saat Anda membuat titik akhir privat, koneksi harus disetujui. Jika sumber daya tempat Anda membuat titik akhir privat berada di direktori, Anda dapat menyetujui permintaan koneksi, asalkan Anda memiliki izin yang memadai. Jika Anda menyambungkan ke sumber daya Azure di direktori lain, Anda harus menunggu pemilik sumber daya tersebut menyetujui permintaan koneksi Anda.
Ada empat status penyediaan:
Tindakan layanan | Status layanan titik akhir pribadi konsumen | Deskripsi |
---|---|---|
Tidak | Tertunda | Koneksi dibuat secara manual dan menunggu persetujuan dari pemilik sumber daya tautan privat. |
Setujui | disetujui | Koneksi disetujui secara otomatis atau manual dan siap digunakan. |
Tolak | Ditolak | Koneksi ditolak oleh pemilik sumber daya tautan privat. |
Hapus | Terputus | Koneksi dihapus oleh pemilik sumber daya tautan privat. Titik akhir private link menjadi informatif dan harus dihapus untuk dibersihkan. |
Menyetujui, menolak, atau menghapus koneksi titik akhir privat
- Masuk ke portal Azure.
- Di bilah pencarian, ketik Notification Hubs.
- Pilih namespace yang ingin Anda kelola.
- Pilih tab Jaringan.
- Buka bagian yang sesuai berdasarkan operasi yang ingin Anda setujui, tolak, atau hapus.
Menyetujui koneksi titik akhir privat
Jika ada koneksi yang tertunda, koneksi ditampilkan dengan Tertunda dalam status provisi.
Pilih titik akhir privat yang ingin Anda setujui.
Pilih Setujui.
Pada halaman Setujui koneksi , masukkan komentar opsional, lalu pilih Ya. Jika Anda memilih Tidak, tidak ada yang terjadi.
Anda akan melihat status koneksi dalam daftar berubah menjadi Disetujui.
Menolak koneksi titik akhir privat
Jika ada koneksi titik akhir privat yang ingin Anda tolak, apakah itu permintaan tertunda atau koneksi yang sudah ada yang disetujui sebelumnya, pilih ikon sambungkan titik akhir dan pilih Tolak.
Pada halaman Tolak koneksi , masukkan komentar opsional, lalu pilih Ya. Jika Anda memilih Tidak, tidak ada yang terjadi.
Anda akan melihat status koneksi dalam daftar berubah menjadi Ditolak.
Menghapus koneksi titik akhir privat
Untuk menghapus koneksi titik akhir privat, pilih koneksi di daftar, dan pilih Hapus pada toolbar:
Pada halaman Hapus koneksi, pilih Ya untuk mengonfirmasi penghapusan titik akhir privat. Jika Anda memilih Tidak, tidak ada yang terjadi.
Anda akan melihat status koneksi dalam daftar berubah menjadi Terputus. Titik akhir kemudian menghilang dari daftar.
Validasi bahwa koneksi tautan privat berfungsi
Anda harus memvalidasi bahwa sumber daya dalam jaringan virtual titik akhir privat tersambung ke namespace Notification Hubs Anda melalui alamat IP privat, dan bahwa sumber daya tersebut memiliki integrasi zona DNS privat yang benar.
Pertama, buat komputer virtual dengan mengikuti langkah-langkah dalam Membuat komputer virtual Windows di portal Azure.
Pada tab Jaringan:
- Tentukan Jaringan virtual dan Subnet. Anda harus memilih Virtual Network tempat Anda menyebarkan titik akhir privat.
- Tentukan sumber daya IP publik.
- Di Grup keamanan jaringan NIC, pilih Tidak Ada.
- Di Load balancing, pilih Tidak.
Koneksi ke VM, buka baris perintah, dan jalankan perintah berikut:
Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net
Ketika perintah dijalankan dari VM, perintah mengembalikan alamat IP koneksi titik akhir privat. Saat dijalankan dari jaringan eksternal, ia mengembalikan alamat IP publik dari salah satu kluster Notification Hubs.
Batasan dan pertimbangan desain
Batasan: Fitur ini tersedia di semua wilayah publik Azure. Jumlah maksimum titik akhir privat per namespace Notification Hubs: 200
Untuk informasi selengkapnya, lihat Layanan Azure Private Link: Batasan.