Sebuah perusahaan manufaktur global menyediakan arsitektur yang dijelaskan artikel ini. Departemen teknologi operasional dan teknologi informasi perusahaan sangat terintegrasi, yang menuntut satu jaringan internal. Tetapi lingkungan memiliki persyaratan keamanan dan performa yang sangat berbeda. Karena sifat sensitif dari operasi perusahaan, semua lalu lintas perlu dilindungi firewall, dan solusi Intrusion Detection and Protection System (IDPS) harus ada. Departemen teknologi informasi memiliki persyaratan keamanan yang kurang menuntut untuk jaringan, tetapi departemen itu ingin mengoptimalkan performa sehingga pengguna memiliki akses latensi rendah ke aplikasi TI.
Pengambil keputusan di perusahaan beralih ke Azure Virtual WAN untuk memenuhi kebutuhan global untuk satu jaringan dengan berbagai persyaratan keamanan dan performa. Mereka juga mendapat solusi yang mudah dikelola, disebarkan, dan diskalakan. Ketika menambahkan wilayah, mereka dapat terus tumbuh dengan mulus dengan jaringan yang sangat dioptimalkan untuk kebutuhan mereka.
Kemungkinan kasus penggunaan
Kasus penggunaan serupa untuk arsitektur ini meliputi:
- Organisasi global yang membutuhkan solusi file terpusat untuk pekerjaan yang penting untuk bisnis.
- Beban kerja file dengan performa tinggi yang memerlukan file cache lokal.
- Tenaga kerja jarak jauh yang fleksibel untuk pengguna baik di dalam maupun di luar kantor.
Sistem
Unduh file Visio arsitektur ini.
Berikut adalah ringkasan arsitektur:
- Pengguna mengakses jaringan virtual dari cabang.
- Azure ExpressRoute memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat, dengan bantuan penyedia konektivitas.
- Hub Virtual WAN merutekan lalu lintas dengan tepat untuk keamanan atau performa. Hub berisi berbagai titik akhir layanan untuk mengaktifkan konektivitas.
- Rute yang ditentukan pengguna memaksa lalu lintas ke NVA jika diperlukan.
- Setiap NVA memeriksa lalu lintas yang mengalir ke jaringan virtual.
- Peering jaringan virtual menyediakan inspeksi VNet-ke-VNet di lingkungan yang dioptimalkan untuk performa.
Perusahaan ini memiliki beberapa wilayah dan terus menyebarkan wilayah ke model. Perusahaan menyebarkan lingkungan yang dioptimalkan untuk keamanan atau dioptimalkan performa hanya jika diperlukan. Lingkungan merutekan lalu lintas berikut melalui alat virtual jaringan (NVA):
Jalur lalu lintas
| Tujuan | |||||||
|---|---|---|---|---|---|---|---|
| VNet1 | VNet2 | VNet3 | VNet4 | Cabang | Internet | ||
| Sumber yang dioptimalkan untuk keamanan | VNet1 | Intra VNet | NVA1-VNet2 | NVA1-hub-VNet3 | NVA1-hub-VNet4 | NVA1-hub-branch | NVA1-internet |
| Sumber yang dioptimalkan untuk performa | VNet3 | hub-NVA1-VNet1 | hub-NVA1-VNet2 | Intra VNet | NVA2-VNet4 | hub-branch | NVA2-internet |
| Sumber cabang | Cabang | hub-NVA1-VNet1 | hub-NVA1-VNet2 | hub-VNet3 | hub-VNet4 | Tidak berlaku | Tidak berlaku |
Seperti yang ditunjukkan oleh diagram sebelumnya, arsitektur NVA dan perutean memaksa semua jalur lalu lintas di lingkungan yang dioptimalkan untuk keamanan untuk menggunakan NVA antara jaringan virtual dan hub dalam arsitektur berlapis umum.
Lingkungan yang dioptimalkan untuk performa memiliki skema perutean yang lebih disesuaikan. Skema ini menyediakan firewall dan inspeksi lalu lintas saat dibutuhkan. Ini tidak menyediakan firewall saat tidak diperlukan. Lalu lintas VNet-ke-VNet di ruang yang dioptimalkan untuk performa dipaksa melalui NVA2, tetapi lalu lintas cabang-ke-VNet dapat langsung melintasi hub. Demikian juga, apa pun yang menuju ke lingkungan yang aman tidak perlu menuju NVA VNet2 karena diperiksa di tepi lingkungan yang aman oleh NVA di NVA VNet1. Hasilnya adalah akses berkecepatan tinggi ke cabang. Arsitekturnya masih menyediakan inspeksi VNet-ke-VNet di lingkungan yang dioptimalkan untuk performa. Ini tidak diperlukan untuk semua pelanggan tetapi dapat dicapai melalui peering yang dapat Anda lihat dalam arsitektur.
Asosiasi dan propagasi hub Virtual WAN
Konfigurasikan rute untuk hub Virtual WAN sebagai berikut:
| Nama | Terkait dengan | Menyebarkan ke |
|---|---|---|
| NVA VNet1 | defaultRouteTable | defaultRouteTable |
| NVA VNet2 | PerfOptimizedRouteTable | defaultRouteTable |
| VNet3 | PerfOptimizedRouteTable | defaultRouteTable |
| VNet4 | PerfOptimizedRouteTable | defaultRouteTable |
Persyaratan perutean
Rute kustom pada tabel rute default di hub Virtual WAN untuk merutekan semua lalu lintas untuk VNet1 dan VNet2 ke secOptConnection.
Nama rute Tipe tujuan Prefiks tujuan Lompatan berikutnya IP hop berikutnya Rute yang dioptimalkan untuk keamanan CIDR 10.1.0.0/16 secOptConnection <Alamat IP NVA1> Rute statis pada secOptConnection yang meneruskan lalu lintas untuk VNet1 dan VNet2 ke alamat IP NVA1.
Nama Awalan alamat Jenis hop berikutnya Alamat IP hop berikutnya rt-to-secOptimized 10.1.0.0/16 Appliance virtual <Alamat IP NVA1> Tabel rute kustom di hub Virtual WAN yang diberi nama perfOptimizedRouteTable. Tabel ini digunakan untuk memastikan jaringan virtual yang dioptimalkan untuk performa tidak dapat berkomunikasi satu sama lain melalui hub dan harus menggunakan peering ke NVA VNet2.
UDR yang terkait dengan semua subnet di VNet1 dan VNet2 untuk merutekan semua lalu lintas kembali ke NVA1.
Nama Awalan alamat Jenis hop berikutnya Alamat IP hop berikutnya rt-all 0.0.0.0/0 Appliance virtual <Alamat IP NVA1> UDR yang terkait dengan semua subnet di VNet3 dan VNet4 untuk merutekan lalu lintas VNet-ke-VNet dan lalu lintas internet ke NVA2.
Nama Awalan alamat Jenis hop berikutnya Alamat IP hop berikutnya rt-to-internet 0.0.0.0/0 Appliance virtual <IP alamat NVA2> vnet-to-vnet 10.2.0.0/16 Appliance virtual <Alamat IP NVA2>
Catatan
Anda dapat mengganti alamat IP NVA dengan alamat IP penyeimbang beban di perutean jika menyebarkan arsitektur ketersediaan tinggi dengan beberapa NVA di belakang penyeimbang beban.
Komponen
- Azure Virtual WAN. Virtual WAN adalah layanan jaringan yang membawa banyak fungsi jaringan, keamanan, dan perutean bersama-sama untuk menyediakan antarmuka operasional tunggal. Dalam hal ini, ini menyederhanakan dan menskalakan perutean ke jaringan dan cabang virtual terlampir.
- Azure ExpressRoute. ExpressRoute memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat.
- Azure Jaringan Virtual. Virtual Network adalah blok bangunan dasar untuk jaringan privat Anda di Azure. Virtual Network memungkinkan banyak jenis sumber daya Azure, seperti mesin virtual (VM) Azure, untuk berkomunikasi dengan peningkatan keamanan satu sama lain, internet, dan jaringan lokal.
- Hub Virtual WAN. Hub virtual adalah jaringan virtual yang dikelola Microsoft. Hub berisi berbagai titik akhir layanan untuk mengaktifkan konektivitas.
- Koneksi jaringan virtual hub. Sumber daya koneksi jaringan virtual hub menghubungkan hub dengan mulus ke jaringan virtual Anda.
- Rute statis. Rute statis menyediakan mekanisme untuk mengarahkan lalu lintas melalui IP hop berikutnya.
- Tabel rute hub. Anda dapat membuat rute hub virtual dan menerapkan rute ke tabel rute hub virtual.
- Peering jaringan virtual. Dengan menggunakan peering jaringan virtual, Anda dapat menghubungkan dua atau beberapa jaringan virtual di Azure dengan mulus.
- Rute yang ditentukan pengguna. Rute yang ditentukan pengguna adalah rute statis yang menimpa rute sistem Azure default atau menambahkan lebih banyak rute ke tabel rute subnet. Rute digunakan di sini untuk memaksa lalu lintas ke NVA jika diperlukan.
- Appliance virtual jaringan. Appliance virtual jaringan adalah appliance jaringan yang ditawarkan pasar. Dalam hal ini, perusahaan menyebarkan NVA Palo Alto, tetapi firewall NVA apa pun akan berfungsi di sini.
Alternatif
Untuk menyebarkan hanya lingkungan NVA dengan keamanan tinggi, Anda dapat mengikuti model ini: Merutekan lalu lintas melalui NVA.
Untuk menyebarkan model NVA kustom yang mendukung lalu lintas perutean ke firewall khusus untuk lalu lintas cabang internet dan perutean melalui NVA, lihat Merutekan lalu lintas melalui NVA dengan menggunakan pengaturan khusus.
Alternatif sebelumnya menyebarkan lingkungan dengan keamanan tinggi di belakang NVA dan menawarkan beberapa kemampuan untuk menyebarkan lingkungan khusus. Namun, berbeda dari kasus penggunaan yang dijelaskan dalam artikel ini dalam dua cara. Pertama, ini menunjukkan dua model dalam isolasi, bukan dalam kombinasi. Kedua, ini tidak mendukung lalu lintas VNet-ke-VNet di lingkungan khusus (yang kita sebut Lingkungan yang dioptimalkan performa di sini).
Pertimbangan
Dalam penyebaran ini, rute yang melintasi hub Virtual WAN ke lingkungan yang dioptimalkan untuk performa tidak melewati NVA di lingkungan itu. Ini menyajikan potensi masalah dengan lalu lintas regional yang diilustrasikan di sini:
Lalu lintas untuk lintas wilayah antara lingkungan yang dioptimalkan untuk performa tidak melintasi NVA. Ini adalah batasan lalu lintas hub perutean langsung ke jaringan virtual.
Ketersediaan
Virtual WAN adalah layanan jaringan yang sangat tersedia. Anda dapat menyiapkan lebih banyak konektivitas atau jalur dari cabang untuk mendapatkan beberapa jalur ke layanan Virtual WAN. Tetapi, Anda tidak memerlukan tambahan apa pun dalam layanan VWAN.
Anda harus menyiapkan NVA dalam arsitektur yang sangat tersedia mirip dengan yang dijelaskan di sini: Menyebarkan NVA yang sangat tersedia.
Performa
Solusi ini mengoptimalkan performa jaringan jika diperlukan. Anda dapat memodifikasi perutean sesuai dengan kebutuhan Anda sendiri, memungkinkan lalu lintas ke cabang melintasi NVA dan lalu lintas antara jaringan virtual mengalir bebas atau menggunakan firewall tunggal untuk egress internet.
Skalabilitas
Arsitektur ini dapat diskalakan di seluruh wilayah. Pertimbangkan kebutuhan Anda saat menyiapkan label perutean untuk mengelompokkan rute dan penerusan lalu lintas cabang antara hub virtual.
Keamanan
Dengan NVA, Anda dapat menggunakan fitur seperti IDPS dengan Virtual WAN.
Ketahanan
Untuk informasi tentang ketahanan, lihat Ketersediaan, sebelumnya di artikel ini.
Pengoptimalan biaya
Harga untuk arsitektur ini sangat tergantung pada NVA yang Anda sebarkan. Untuk koneksi ER 2 Gbps dan hub Virtual WAN yang memproses 10 TB per bulan, lihat perkiraan harga ini.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- John Poetzinger | Arsitek Solusi Cloud Senior
Langkah berikutnya
- Apa itu Azure Virtual WAN?
- Apa itu Azure ExpressRoute?
- Cara mengonfigurasi perutean hub virtual - Azure Virtual WAN
- Firewall dan Application Gateway untuk jaringan virtual
- Azure Virtual WAN dan mendukung pekerjaan jarak jauh