Mengonfigurasi integrasi jaringan virtual yang diperlukan gateway

  • Artikel

Integrasi jaringan virtual yang diperlukan gateway mendukung koneksi ke jaringan virtual di wilayah lain atau ke jaringan virtual klasik. Integrasi jaringan virtual yang diperlukan gateway hanya berfungsi untuk paket Windows. Sebaiknya gunakan integrasi jaringan virtual regional untuk berintegrasi dengan jaringan virtual.

Integrasi jaringan virtual yang diperlukan gateway:

  • Memungkinkan aplikasi untuk terhubung hanya ke satu jaringan virtual dalam satu waktu.
  • Memungkinkan hingga lima jaringan virtual untuk diintegrasikan dalam paket App Service.
  • Mengizinkan jaringan virtual yang sama untuk digunakan oleh beberapa aplikasi dalam paket App Service tanpa memengaruhi jumlah total yang dapat digunakan oleh paket App Service. Jika Anda memiliki enam aplikasi yang menggunakan jaringan virtual yang sama dalam paket App Service yang sama, Anda akan dianggap menggunakan satu jaringan virtual saja.
  • SLA pada gateway dapat mempengaruhi SLA secara keseluruhan.
  • Memungkinkan aplikasi Anda menggunakan DNS yang dikonfigurasi dengan jaringan virtual.
  • Memerlukan gateway berbasis rute jaringan virtual yang dikonfigurasi dengan VPN titik-ke-situs SSTP sebelum dapat tersambung ke aplikasi.

Anda tidak dapat menggunakan integrasi jaringan virtual yang diperlukan gateway:

  • Dengan jaringan virtual yang terhubung dengan ExpressRoute.
  • Dari aplikasi Linux.
  • Dari kontainer Windows.
  • Untuk mengakses sumber daya yang diamankan titik akhir layanan.
  • Untuk mengatasi Pengaturan Aplikasi yang merujuk pada Key Vault yang dilindungi jaringan.
  • Dengan gateway koeksistensi yang mendukung ExpressRoute dan VPN titik-ke-situs atau situs-ke-situs.

Integrasi jaringan virtual regional mengurangi batasan yang disebutkan di atas.

Menyiapkan gateway di jaringan virtual Azure Anda

Untuk membuat gateway:

  1. Buat gateway dan subner VPN. Pilih jenis VPN berbasis rute.

  2. Atur alamat titik-ke-situs. Jika gateway tidak berada di SKU dasar, maka IKEV2 harus dinonaktifkan dalam konfigurasi titik-ke-situs dan SSTP harus dipilih. Ruang alamat titik-ke-situs harus berada di blok alamat RFC 1918 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16.

Jika Anda membuat gateway untuk digunakan dengan integrasi jaringan virtual yang diperlukan gateway, Anda tidak perlu mengunggah sertifikat. Membuat gateway bisa membutuhkan waktu 30 menit. Anda tidak akan dapat mengintegrasikan aplikasi dengan jaringan virtual sampai gateway dibuat.

Cara kerja integrasi jaringan virtual yang diperlukan gateway

Integrasi jaringan virtual yang diperlukan gateway dibangun di atas teknologi VPN titik-ke-situs. VPN titik-ke-situs membatasi akses jaringan ke komputer virtual yang meng-host aplikasi. Aplikasi dibatasi untuk mengirim lalu lintas ke internet hanya melalui koneksi hibrid atau melalui integrasi jaringan virtual. Saat aplikasi Anda dikonfigurasi dengan portal untuk menggunakan integrasi jaringan virtual yang diperlukan gateway, negosiasi kompleks dikelola atas nama Anda untuk membuat dan menetapkan sertifikat di gateway dan sisi aplikasi. Hasilnya adalah pekerja yang digunakan untuk meng-hosting aplikasi Anda dapat langsung terhubung ke gateway jaringan virtual di jaringan virtual yang dipilih.

Diagram that shows how gateway-required virtual network integration works.

Mengelola sumber daya lokal

Aplikasi dapat mengakses sumber daya lokal dengan mengintegrasikan dengan jaringan virtual yang memiliki koneksi situs-ke-situs. Jika Anda menggunakan integrasi jaringan virtual yang diperlukan gateway, perbarui rute gateway VPN lokal dengan blok alamat titik-ke-situs Anda. Ketika VPN situs-ke-situs pertama kali disiapkan, skrip yang digunakan untuk mengonfigurasinya harus menyiapkan rute dengan benar. Jika Anda menambahkan alamat titik-ke-situs setelah membuat VPN situs-ke-situs, Anda perlu memperbarui rute secara manual. Detail tentang cara melakukannya bervariasi per gateway dan tidak dijelaskan di sini.

Rute BGP dari lokal tidak akan disebarluaskan secara otomatis ke App Service. Anda perlu menyebarkannya secara manual pada konfigurasi titik-ke-situs menggunakan langkah-langkah dalam dokumen ini Mengiklankan rute kustom untuk klien VPN P2S.

Catatan

Fitur integrasi jaringan virtual yang diperlukan gateway tidak mengintegrasikan aplikasi dengan jaringan virtual yang memiliki gateway ExpressRoute. Bahkan jika gateway ExpressRoute dikonfigurasi dalam mode koeksistensi, integrasi jaringan virtual tidak berfungsi. Jika Anda perlu mengakses sumber daya melalui koneksi ExpressRoute, gunakan fitur integrasi jaringan virtual regional atau Lingkungan App Service, yang berjalan di jaringan virtual Anda.

Peering

Jika Anda menggunakan integrasi jaringan virtual yang diperlukan gateway dengan peering, Anda perlu mengonfigurasi beberapa item lagi. Untuk mengonfigurasi peering agar berfungsi dengan aplikasi Anda:

  1. Tambahkan koneksi peering di jaringan virtual yang terhubung dengan aplikasi Anda. Saat Anda menambahkan koneksi peering, aktifkan Izinkan akses jaringan virtual dan pilih Izinkan lalu lintas yang diteruskan dan Izinkan transit gateway.
  2. Tambahkan koneksi peering di jaringan virtual yang sedang di-peering ke jaringan virtual yang Anda sambungkan. Saat Anda menambahkan koneksi peering di jaringan virtual tujuan, aktifkan Izinkan akses jaringan virtual dan pilih Izinkan lalu lintas yang diteruskan dan Izinkan gateway jarak jauh.
  3. Buka paket App Service>Jaringan>integrasi VNet di portal. Pilih jaringan virtual yang terhubung dengan aplikasi Anda. Di bagian perutean, tambahkan rentang alamat jaringan virtual yang di-peering dengan jaringan virtual yang tersambung dengan aplikasi Anda.

Kelola integrasi jaringan virtual

Menghubungkan dan memutuskan sambungan dengan jaringan virtual berada pada tingkat aplikasi. Operasi yang dapat memengaruhi integrasi jaringan virtual di beberapa aplikasi berada di tingkat paket App Service. Dari aplikasi portal >Jaringan>integrasi VNet, Anda bisa mendapatkan detail tentang jaringan virtual. Anda dapat melihat informasi serupa di tingkat paket App Service di portal Paket App Service>Jaringan>Integrasi VNet.

Satu-satunya operasi yang dapat Anda lakukan dalam tampilan aplikasi dari instans integrasi jaringan virtual adalah memutuskan sambungan aplikasi Anda dari jaringan virtual yang saat ini terhubung. Untuk memutuskan sambungan aplikasi Anda dari jaringan virtual, pilih Putuskan Sambungan. Aplikasi Anda dimulai ulang saat Anda memutuskan sambungan dari jaringan virtual. Memutuskan sambungan tidak mengubah jaringan virtual Anda. Subnet atau gateway tidak dihapus. Jika kemudian Anda ingin menghapus jaringan virtual, pertama-tama putuskan sambungan aplikasi dari jaringan virtual dan hapus sumber daya di dalamnya, seperti gateway.

UI integrasi jaringan virtual paket App Service menunjukkan kepada Anda semua integrasi jaringan virtual yang digunakan oleh aplikasi dalam paket App Service. Untuk melihat detail pada setiap jaringan virtual, pilih jaringan virtual yang Anda minati. Ada dua tindakan yang dapat Anda lakukan di sini untuk integrasi jaringan virtual yang diperlukan gateway:

  • Sinkronkan jaringan: Operasi jaringan sinkronisasi hanya digunakan untuk fitur integrasi jaringan virtual yang diperlukan gateway. Dengan melakukan operasi jaringan sinkronisasi akan dapat memastikan bahwa sertifikat dan informasi jaringan Anda sinkron. Jika Anda menambah atau mengubah DNS jaringan virtual, lakukan operasi sinkronisasi jaringan. Operasi ini memulai ulang aplikasi apa pun yang menggunakan jaringan virtual ini. Operasi ini tidak akan berfungsi jika Anda menggunakan aplikasi dan jaringan virtual milik langganan yang berbeda.
  • Tambahkan rute: Dengan menambahkan rute akan mengarahkan lalu lintas keluar ke jaringan virtual Anda.

IP privat yang ditetapkan ke instans dipaparkan melalui variabel lingkungan, WEBSITE_PRIVATE_IP. UI konsol Kudu juga menampilkan daftar variabel lingkungan yang tersedia untuk aplikasi web. IP ini adalah IP dari rentang alamat kumpulan alamat titik-ke-situs yang dikonfigurasi pada gateway jaringan virtual. IP ini akan digunakan oleh aplikasi web untuk terhubung ke sumber daya melalui jaringan virtual Azure.

Catatan

Nilai WEBSITE_PRIVATE_IP terikat untuk berubah. Namun, ini akan menjadi IP dalam rentang alamat rentang alamat titik-ke-situs, jadi Anda harus mengizinkan akses dari seluruh rentang alamat.

Perutean integrasi jaringan virtual yang diperlukan gateway

Rute yang ditentukan di jaringan virtual digunakan untuk mengarahkan lalu lintas ke jaringan virtual dari aplikasi Anda. Untuk mengirim lebih banyak lalu lintas keluar ke jaringan virtual, tambahkan blok alamat tersebut di sini. Kemampuan ini hanya berfungsi dengan integrasi jaringan virtual yang diperlukan gateway. Tabel rute tidak memengaruhi lalu lintas aplikasi saat Anda menggunakan integrasi jaringan virtual yang diperlukan gateway.

Sertifikat integrasi jaringan virtual yang diperlukan gateway

Saat integrasi jaringan virtual yang diperlukan gateway diaktifkan, ada pertukaran sertifikat yang diperlukan untuk memastikan keamanan koneksi. Disertakan dengan sertifikat adalah konfigurasi DNS, rute, dan hal serupa lainnya yang menggambarkan jaringan.

Jika sertifikat atau informasi jaringan diubah, pilih Sinkronkan Jaringan. Jika memilih Sinkronkan Jaringan, Anda menyebabkan pemutusan singkat dalam konektivitas antara aplikasi dan jaringan virtual Anda. Aplikasi Anda tidak dimulai ulang, tetapi hilangnya konektivitas dapat menyebabkan situs Anda tidak berfungsi dengan baik.

Perpanjangan sertifikat

Sertifikat yang digunakan oleh integrasi jaringan virtual yang diperlukan gateway memiliki masa pakai 8 tahun. Jika Anda memiliki aplikasi dengan integrasi jaringan virtual yang diperlukan gateway yang hidup lebih lama, Anda harus memperbarui sertifikat. Anda dapat memvalidasi apakah sertifikat Anda telah kedaluwarsa atau memiliki waktu kurang dari 6 bulan untuk kedaluwarsa dengan mengunjungi halaman Integrasi VNet di portal Azure.

Screenshot that shows a near expiry gateway-required virtual network integration certificate.

Anda dapat memperbarui sertifikat saat portal memperlihatkan sertifikat yang hampir kedaluwarsa atau kedaluwarsa. Untuk memperbarui sertifikat, Anda perlu memutuskan sambungan dan menyambungkan kembali jaringan virtual. Menyambungkan kembali akan menyebabkan pemadaman singkat dalam konektivitas antara aplikasi dan jaringan virtual Anda. Aplikasi Anda tidak dimulai ulang, tetapi hilangnya konektivitas dapat menyebabkan situs Anda tidak berfungsi dengan baik.

Detail harga

Tiga biaya terkait dengan penggunaan fitur integrasi jaringan virtual yang diperlukan gateway:

  • Biaya tingkat harga paket App Service: Aplikasi Anda harus menggunakan paket App Service Dasar, Standar, Premium, Premium v2, atau Premium v3. Untuk informasi selengkapnya tentang biaya tersebut, lihat harga Azure App Service.
  • Biaya transfer data: Ada biaya untuk keluarnya data, bahkan jika jaringan virtual berada di pusat data yang sama. Biaya tersebut dijelaskan dalam Detail harga transfer data.
  • Biaya gateway VPN: Ada biaya untuk gateway jaringan virtual yang diperlukan untuk VPN titik-ke-situs. Untuk informasi selengkapnya, lihat harga gateway VPN.

Pemecahan Masalah

Banyak hal dapat mencegah aplikasi Anda menjangkau host dan port tertentu. Sering kali, hal tersebut salah satu dari yang berikut:

  • Firewall ada di jalan. Jika Anda memiliki firewall di jalan, Anda mencapai batas waktu TCP. Batas waktu TCP adalah 21 detik dalam hal ini. Gunakan alat tcpping untuk menguji konektivitas. Batas waktu TCP dapat disebabkan oleh banyak hal di luar firewall, tetapi mulai dari sana.
  • DNS tidak dapat diakses. Batas waktu DNS adalah 3 detik per server DNS. Jika Anda memiliki dua server DNS, batas waktunya adalah 6 detik. Gunakan nameresolve untuk melihat apakah DNS berfungsi. Anda tidak dapat menggunakan nslookup, karena nslookup tidak menggunakan DNS yang dikonfigurasi oleh jaringan virtual Anda. Jika tidak dapat diakses, Anda bisa memiliki firewall atau NSG yang memblokir akses ke DNS atau tidak berfungsi.

Jika item tersebut tidak menyelesaikan masalah Anda, carilah terlebih dahulu hal-hal seperti:

  • Apakah rentang alamat titik-ke-situs berada dalam rentang RFC 1918 (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Apakah gateway muncul di portal? Jika gateway Anda tidak berfungsi, maka periksa kembali.
  • Apakah sertifikat ditampilkan sebagai sedang disinkronkan, atau apakah Anda menduga bahwa konfigurasi jaringan telah diubah? Jika sertifikat Anda tidak sinkron atau Anda menduga bahwa perubahan dilakukan pada konfigurasi jaringan virtual yang tidak disinkronkan dengan ASP Anda, pilih Sinkronkan Jaringan.
  • Jika Anda akan melintasi VPN, apakah gateway lokal Anda dikonfigurasi untuk merutekan lalu lintas kembali ke Azure? Jika Anda dapat mencapai titik akhir di jaringan virtual tetapi bukan lokal, periksa rute Anda.
  • Apakah Anda mencoba menggunakan gateway koeksistensi yang mendukung titik ke situs dan ExpressRoute? Gateway koeksistensi tidak didukung dengan Integrasi jaringan virtual.

Masalah jaringan penelusuran masalah menjadi tantangannya karena Anda tidak dapat melihat apa yang memblokir akses ke kombinasi host:port tertentu. Beberapa penyebab antara lain:

  • Anda memiliki firewall di host Anda yang mencegah akses ke port aplikasi dari rentang IP titik-ke-situs Anda. Subnet penyeberangan sering kali membutuhkan akses publik.
  • Target host Anda tidak berfungsi.
  • Aplikasi tidak berfungsi.
  • Anda memasukkan IP atau nama host yang salah.
  • Aplikasi Anda mendengarkan di port yang berbeda dari yang Anda harapkan. Anda dapat mencocokkan ID proses dengan port mendengarkan menggunakan "netstat -aon" pada host titik akhir.
  • Grup keamanan jaringan Anda dikonfigurasi sedemikian rupa sehingga untuk mencegah akses ke host aplikasi dan port Anda dari rentang IP titik-ke-situs Anda.

Anda tidak tahu alamat yang sebenarnya digunakan aplikasi Anda. Ini bisa menjadi alamat apa pun dalam rentang alamat titik-ke-situs, jadi Anda perlu mengizinkan akses dari seluruh rentang alamat.

Langkah-langkah debug lainnya meliputi:

  • Sambungkan ke VM di jaringan virtual Anda dan coba jangkau host:port sumber daya dari sana. Untuk menguji akses TCP, gunakan perintah PowerShell Test-NetConnection. Sintaksnya adalah:
Test-NetConnection hostname [optional: -Port]
  • Munculkan aplikasi pada VM dan uji akses ke host dan port tersebut dari konsol dari aplikasi Anda menggunakan tcpping.

Sumber daya lokal

Jika aplikasi Anda tidak dapat menjangkau sumber daya lokal, periksa apakah Anda dapat menjangkau sumber daya dari jaringan virtual Anda. Gunakan perintah PowerShell Test-NetConnection untuk memeriksa akses TCP. Jika VM Anda tidak dapat menjangkau sumber daya lokal Anda, koneksi VPN atau ExpressRoute Anda mungkin tidak dikonfigurasi dengan benar.

Jika VM yang di-hosting jaringan virtual dapat menjangkau sistem lokal tetapi aplikasi Anda tidak dapat melakukannya, penyebabnya kemungkinan salah satu dari hal berikut:

  • Rute Anda tidak dikonfigurasi dengan rentang alamat subnet atau titik-ke-situs di gateway lokal Anda.
  • Grup keamanan jaringan Anda memblokir akses untuk rentang IP titik-ke-situs.
  • Firewall lokal Anda memblokir lalu lintas dari rentang IP titik-ke-situs.
  • Anda mencoba menjangkau alamat non-RFC 1918 menggunakan fitur Integrasi jaringan virtual wilayah.

Untuk informasi selengkapnya, lihat panduan pemecahan masalah integrasi jaringan virtual.