Grup Keamanan Jaringan dengan Azure Site Recovery

Grup Keamanan Jaringan digunakan untuk membatasi lalu lintas jaringan ke sumber daya di dalam jaringan virtual. Grup Keamanan Jaringan (NSG) berisi daftar aturan keamanan yang memperbolehkan atau menolak lalu lintas jaringan masuk atau keluar berdasarkan alamat IP sumber atau tujuan, port, dan protokol.

Di bawah model penyebaran Azure Resource Manager, NSG dapat dikaitkan ke subnet atau antarmuka jaringan individual. Saat NSG dikaitkan dengan subnet, aturan berlaku untuk semua sumber daya yang terhubung ke subnet. Lalu lintas selanjutnya dapat dibatasi dengan mengaitkan NSG ke antarmuka jaringan individual dalam subnet yang sudah memiliki NSG terkait.

Artikel ini menjelaskan bagaimana cara menggunakan Grup Keamanan Jaringan dengan Azure Site Recovery.

Menggunakan Grup Jaringan Keamanan

Subnet individual dapat memiliki nol, atau satu, NSG terkait. Antarmuka jaringan individual juga dapat memiliki nol, atau satu, NSG terkait. Jadi, Anda dapat memiliki pembatasan lalu lintas ganda secara efektif untuk komputer virtual dengan mengaitkan NSG ke subnet terlebih dahulu, kemudian NSG lainnya ke antarmuka jaringan komputer virtual. Dalam kasus ini, penerapan NSG tergantung pada arah lalu lintas dan prioritas aturan keamanan yang diterapkan.

Pertimbangkan contoh sederhana dengan satu mesin virtual sebagai berikut:

• Mesin virtual ditempatkan di dalam Contoso Subnet.
• Contoso Subnet dikaitkan dengan Subnet NSG.
• Antarmuka jaringan VM juga terkait dengan komputer virtual NSG.

Dalam contoh ini, untuk lalu lintas masuk, Subnet NSG dievaluasi terlebih dahulu. Setiap lalu lintas yang diizinkan melalui Subnet NSG kemudian dievaluasi oleh komputer virtual NSG. Arus balik berlaku untuk lalu lintas keluar, dengan komputer virtual NSG dievaluasi terlebih dahulu. Setiap lalu lintas yang diizinkan melalui Subnet NSG kemudian dievaluasi oleh komputer virtual NSG.

Ini memungkinkan aplikasi aturan keamanan terperinci. Misalnya, Anda mungkin ingin mengizinkan akses internet masuk ke beberapa aplikasi VM (seperti VM frontend) di bawah subnet tetapi membatasi akses internet masuk ke VM lain (seperti database dan VM backend lainnya). Dalam kasus ini Anda dapat memiliki aturan yang lebih ringan pada Subnet NSG, memungkinkan lalu lintas internet, dan membatasi akses ke komputer virtual tertentu dengan menolak akses pada VM NSG. Hal yang sama dapat diterapkan untuk lalu lintas keluar.

Saat menyiapkan konfigurasi NSG tersebut, pastikan bahwa prioritas yang benar diterapkan pada aturan keamanan. Aturan diproses dalam urutan prioritas, dengan angka yang lebih rendah diproses sebelum angka yang lebih tinggi, karena angka yang lebih rendah memiliki prioritas yang lebih tinggi. Setelah lalu lintas cocok dengan aturan, pemrosesan dihentikan. Akibatnya, setiap aturan yang ada dengan prioritas yang lebih rendah (angka yang lebih tinggi) yang memiliki atribut sama seperti aturan dengan prioritas yang lebih tinggi tidak diproses.

Anda mungkin tidak selalu menyadari ketika grup keamanan jaringan diterapkan ke antarmuka jaringan dan subnet. Anda dapat memverifikasi aturan agregat yang diterapkan ke antarmuka jaringan dengan melihat aturan keamanan efektif untuk antarmuka jaringan. Anda juga dapat menggunakan kemampuan verifikasi aliran IP di Azure Network Watcher untuk menentukan apakah komunikasi diizinkan ke atau dari antarmuka jaringan. Alat ini memberi tahu Anda apakah komunikasi diizinkan, dan aturan keamanan jaringan mana yang memperbolehkan atau menolak lalu lintas.

Replikasi Azure lokal dengan NSG

Azure Site Recovery memungkinkan pemulihan bencana dan migrasi ke Azure untuk komputer virtual Hyper-V lokal, komputer virtual VMware, dan server fisik. Untuk semua lokal ke skenario Azure, data replikasi dikirim dan disimpan di akun Azure Storage. Selama replikasi, Anda tidak membayar biaya komputer virtual. Saat Anda menjalankan failover ke Azure, Site Recovery secara otomatis membuat komputer virtual Azure IaaS.

Sesudah VM dibuat setelah failover ke Azure, NSG dapat digunakan untuk membatasi lalu lintas jaringan ke jaringan virtual dan VM. Site Recovery tidak membuat NSG sebagai bagian dari operasi failover. Sebaiknya buat NSG Azure yang diperlukan sebelum memulai failover. Anda kemudian dapat mengaitkan NSG gagal melalui VM secara otomatis selama failover, menggunakan skrip automasi dengan rencana pemulihanSite Recovery yang kuat.

Misalnya, jika konfigurasi komputer virtual pasca-failover mirip dengan contoh skenarioterinci di atas:

• Anda dapat membuat Contoso VNet dan Contoso Subnet sebagai bagian dari perencanaan DR pada wilayah Azure target.
• Anda juga dapat membuat dan mengonfigurasi Subnet NSG serta komputer virtual NSG sebagai bagian dari perencanaan DR yang sama.
• Subnet NSG kemudian dapat segera dikaitkan dengan Contoso Subnet, karena NSG dan subnet sudah tersedia.
• komputer virtual NSG dapat dikaitkan dengan VM selama failover menggunakan rencana pemulihan.

Setelah NSG dibuat dan dikonfigurasi, sebaiknya jalankan pengujian failover untuk memverifikasi asosiasi NSG dengan skrip dan konektivitas komputer virtual pasca-failover.

Replikasi Azure ke Azure dengan NSG

Azure Site Recovery mengaktifkan pemulihan bencana dari komputer virtual Azure. Saat mengaktifkan replikasi untuk Azure VM, Site Recovery dapat membuat jaringan virtual replika (termasuk subnet dan subnet gateway) pada wilayah target dan membuat pemetaan yang diperlukan antara jaringan virtual sumber dan target. Anda juga dapat membuat jaringan sisi target dan subnet sebelumnya, dan menggunakan yang sama sambil mengaktifkan replikasi. Site Recovery tidak membuat VM apa pun pada wilayah Azure target sebelum failover.

Untuk replikasi Azure VM, pastikan bahwa aturan NSG pada wilayah Azure sumber mengizinkan konektivitas keluar untuk lalu lintas replikasi. Anda juga dapat menguji dan memverifikasi aturan yang diperlukan melalui contoh konfigurasi NSG ini.

Site Recovery tidak membuat atau mereplikasi NSG sebagai bagian dari operasi failover. Sebaiknya buat NSG yang diperlukan pada wilayah Azure target sebelum memulai failover. Anda kemudian dapat mengaitkan NSG gagal melalui VM secara otomatis selama failover, menggunakan skrip automasi dengan rencana pemulihanSite Recovery yang kuat.

Mempertimbangkan contoh skenario yang dijelaskan sebelumnya:

• Site Recovery dapat membuat replika Contoso VNet dan Contoso Subnet pada wilayah Azure target saat replikasi diaktifkan untuk komputer virtual.
• Anda dapat membuat replika yang diinginkan dari Subnet NSG dan komputer virtual NSG yang diinginkan (dinamai, misalnya, Target Subnet NSG dan Target komputer virtual NSG, masing-masing) pada wilayah Azure target, memungkinkan aturan tambahan yang diperlukan pada wilayah target.
• Target Subnet NSG kemudian dapat segera dikaitkan dengan subnet wilayah target, karena NSG dan subnet sudah tersedia.
• Target komputer virtual NSG dapat dikaitkan dengan VM selama failover menggunakan rencana pemulihan.

Setelah NSG dibuat dan dikonfigurasi, sebaiknya jalankan pengujian failover untuk memverifikasi asosiasi NSG dengan skrip dan konektivitas komputer virtual pasca-failover.

Langkah berikutnya

• Pelajari selengkapnya tentang Grup Keamanan Jaringan.
• Pelajari selengkapnya tentang NSG aturan keamanan.
• Pelajari selengkapnya tentang aturan keamanan efektif untuk NSG.
• Pelajari selengkapnya tentang rencana pemulihanuntuk mengotomatiskan failover aplikasi.