WordPress yang aman dan dapat diskalakan di Azure

Gunakan Azure Content Delivery Network dan layanan Azure lainnya untuk menyebarkan penginstalan WordPress yang sangat dapat diskalakan dan aman.

Arsitektur

Aliran data

Skenario ini mencakup penginstalan WordPress yang aman dan dapat diskalakan serta menggunakan server web Ubuntu dan MariaDB. Ada dua aliran data yang berbeda dalam skenario ini. Yang pertama adalah pengguna mengakses situs:

1. Pengguna mengakses situs front-end melalui CDN.
2. CDN menggunakan load balancer Azure sebagai asal, dan menarik data apa pun yang tidak di-cache dari sana.
3. Azure load balancer mendistribusikan permintaan ke Virtual Machine Scale Sets server web.
4. Aplikasi WordPress menarik informasi dinamis apa pun dari kluster Maria DB, semua konten statis dihosting di Azure Files.
5. Kunci SSL disimpan Key Vault Azure.

Alur kerja kedua adalah bagaimana pembuat konten mengontribusikan konten baru:

1. Pembuat tersambung dengan aman ke gateway VPN publik.
2. Informasi autentikasi VPN disimpan di Azure Active Directory.
3. Koneksi kemudian ditetapkan ke kotak lompat Admin.
4. Dari kotak lompat admin, pembuat kemudian dapat tersambung ke penyeimbang beban Azure untuk kluster penulisan.
5. Load balancer Azure mendistribusikan lalu lintas ke Virtual Machine Scale Sets server web yang memiliki akses tulis ke kluster Maria DB.
6. Konten statis baru diunggah ke file Azure dan konten dinamis ditulis ke dalam kluster Maria DB.
7. Perubahan ini kemudian direplikasi ke wilayah alternatif melalui rsync atau replikasi primer/sekunder.

Komponen

• Azure Content Delivery Network (CDN) adalah jaringan server terdistribusi yang secara efisien mengirimkan konten web kepada pengguna. CDN meminimalkan latensi dengan menyimpan konten cache di server edge pada lokasi point-of-presence di dekat dengan pengguna akhir.
• Jaringan virtual memungkinkan sumber daya seperti VM berkomunikasi secara aman satu sama lain, dengan Internet, dan jaringan lokal. Jaringan virtual menyediakan isolasi dan segmentasi, filter dan lalu lintas rute, serta memungkinkan koneksi antarlokasi. Kedua jaringan tersambung melalui peering Vnet.
• Azure DDoS Protection Standard, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk memberikan lebih banyak pertahanan terhadap serangan DDoS. Anda harus mengaktifkan Azure DDOS Protection Standard di jaringan virtual perimeter apa pun.
• Kelompok keamanan jaringan berisi daftar aturan keamanan yang mengizinkan atau menolak lalu lintas jaringan masuk atau keluar berdasarkan protokol, port, dan alamat IP sumber atau tujuan. Jaringan virtual dalam skenario ini diamankan dengan aturan kelompok keamanan jaringan yang membatasi alur lalu lintas antarkomponen aplikasi.
• Penyeimbang beban mendistribusikan lalu lintas masuk sesuai dengan aturan dan probe kesehatan. Penyeimbang beban menyediakan latensi rendah dan throughput tinggi, serta menskalakan hingga jutaan alur untuk semua aplikasi TCP dan UDP. Penyeimbang beban digunakan dalam skenario ini untuk mendistribusikan lalu lintas dari jaringan pengiriman konten ke server web front-end.
• Virtual Machine Scale Sets memungkinkan Anda membuat dan mengelola sekelompok VM dengan beban seimbang yang identik. Jumlah instans komputer virtual bisa secara otomatis meningkat atau menurun sebagai respons terhadap permintaan atau jadwal yang ditentukan. Dua Virtual Machine Scale Sets terpisah digunakan dalam skenario ini - satu untuk server web front-end yang melayani konten, dan satu untuk server web front-end yang digunakan untuk menulis konten baru.
• Azure Files menyediakan berbagi file yang dikelola penuh di cloud yang menghosting semua konten WordPress dalam skenario ini, sehingga semua VM memiliki akses ke data.
• Azure Key Vault digunakan untuk menyimpan dan secara ketat mengontrol akses ke kata sandi, sertifikat, dan kunci.
• Azure Active Directory (Azure AD) adalah layanan multitenant manajemen identitas dan direktori berbasis cloud. Dalam skenario ini, Azure AD menyediakan layanan autentikasi untuk situs dan terowongan VPN.

Detail skenario

Contoh skenario ini dapat diterapkan pada perusahaan yang membutuhkan penginstalan WordPress yang sangat aman dan dapat diskalakan. Skenario ini didasarkan pada penyebaran yang digunakan untuk konvensi besar dan berhasil diskalakan untuk memenuhi lalu lintas lonjakan yang diarahkan ke situs oleh sesi.

Potensi penggunaan kasus

Kasus penggunaan lain yang relevan meliputi:

• Peristiwa media yang menyebabkan lonjakan lalu lintas.
• Blog yang menggunakan WordPress sebagai sistem manajemen konten mereka.
• Situs bisnis atau e-niaga yang menggunakan WordPress.
• Situs yang dibangun menggunakan sistem manajemen konten lainnya.

Alternatif

• SQL Server for Linux dapat menggantikan penyimpanan data MariaDB.
• Azure Database for MySQL dapat menggantikan penyimpanan data MariaDB jika Anda lebih memilih solusi yang dikelola penuh.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Ketersediaan

Instans VM dalam skenario ini disebarkan di beberapa wilayah, dengan data yang direplikasi antara keduanya melalui RSYNC untuk konten WordPress, dan replikasi primer/sekunder untuk kluster MariaDB.

Skalabilitas

Skenario ini menggunakan Virtual Machine Scale Sets untuk dua kluster server web front-end di setiap wilayah. Dengan set skala, jumlah instans VM yang menjalankan tingkat aplikasi front-end dapat otomatis diskalakan dalam menanggapi permintaan pelanggan, atau berdasarkan jadwal yang ditentukan. Untuk informasi selengkapnya, lihat Gambaran umum skala otomatis dengan Virtual Machine Scale Sets.

Back endnya adalah kluster MariaDB dalam set ketersediaan. Untuk informasi selengkapnya, lihat Tutorial kluster MariaDB.

Untuk panduan ketahanan dan skalabilitas lainnya, lihat daftar periksa ketahanan] di Azure Architecture Center.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disengaja dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran umum pilar keamanan.

Semua lalu lintas jaringan virtual menuju ke tingkat aplikasi front-end dan dilindungi oleh kelompok keamanan jaringan. Aturan membatasi alur lalu lintas sehingga hanya instans VM tingkat aplikasi front-end yang dapat mengakses tingkat database back-end. Tidak ada lalu lintas Internet keluar yang diizinkan dari tingkat database. Untuk mengurangi jejak serangan, tidak ada port manajemen jarak jauh langsung yang terbuka. Untuk informasi selengkapnya, lihat Kelompok keamanan jaringan Azure.

Untuk panduan umum tentang mendesain skenario aman, lihat Dokumentasi Keamanan Azure.

Resiliency

Dalam kombinasi dengan penggunaan beberapa wilayah, replikasi data, dan Virtual Machine Scale Sets, skenario ini menggunakan penyeimbang beban Azure. Komponen jaringan ini mendistribusikan lalu lintas ke instans VM yang tersambung, dan mencakup probe kesehatan yang memastikan lalu lintas hanya didistribusikan ke VM yang sehat. Semua komponen jaringan ini dilindungi melalui CDN. Ini membuat sumber daya jaringan dan aplikasi tahan terhadap masalah yang sebaliknya akan mengganggu lalu lintas dan memengaruhi akses pengguna akhir.

Untuk panduan umum tentang mendesain skenario tangguh, lihat Mendesain aplikasi Azure yang andal.

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

Untuk menjelajahi biaya menjalankan skenario ini, semua layanan telah dikonfigurasi sebelumnya dalam kalkulator biaya. Untuk melihat bagaimana harga akan berubah untuk kasus penggunaan khusus Anda, ubah variabel yang sesuai agar sesuai dengan lalu lintas yang Anda harapkan.

Kami telah menyediakan profil biaya yang telah dikonfigurasi sebelumnya berdasarkan diagram arsitektur yang disediakan di sini. Guna mengonfigurasi kalkulator harga untuk kasus penggunaan Anda, ada beberapa hal utama yang perlu dipertimbangkan:

• Berapa banyak lalu lintas yang Anda harapkan dalam satuan GB/bulan? Jumlah lalu lintas akan memiliki efek terbesar pada biaya Anda, karena akan menentukan jumlah VM yang diperlukan untuk memunculkan data dalam Virtual Machine Scale Set. Selain itu, hal ini akan secara langsung berkorelasi dengan jumlah data yang muncul melalui CDN.
• Berapa banyak data baru yang akan Anda tulis ke situs Anda? Data baru yang ditulis ke situs Anda berkorelasi dengan jumlah data yang dicerminkan di seluruh wilayah.
• Berapa banyak konten Anda yang bersifat dinamis? Berapa banyak yang bersifat statis? Varian konten dinamis dan statis mempengaruhi jumlah data yang harus diambil dari tingkat database versus jumlah yang akan di-cache di CDN.

Kontributor

Artikel ini dikelola oleh Microsoft. Awalnya ditulis oleh kontributor berikut.

Penulis utama:

• David Stanford | Manajer Program Utama

Langkah berikutnya

Dokumentasi produk:

• Tentang kunci Azure Key Vault
• Apa itu Virtual Machine Scale Sets?
• Apa itu jaringan pengiriman konten di Azure?
• Apa yang dimaksud dengan Azure Active Directory?
• Apa yang dimaksud dengan Azure Files?
• Apa yang dimaksud dengan Azure Load Balancer?
• Apa itu Azure Virtual Network?
• Apa itu VPN Gateway?

Modul Microsoft Learn:

• Membangun aplikasi yang dapat diskalakan dengan Virtual Machine Scale Sets
• Konfigurasikan Tim Azure Active Directory
• Konfigurasikan Azure Load Balancer
• Mengonfigurasi file Azure dan Sinkronisasi File Azure
• Membuat Content Delivery Network untuk Situs Anda dengan Azure CDN dan Blob Service
• Menerapkan Azure Key Vault
• Pengantar Azure Virtual Network

Sumber daya terkait

• Sepuluh prinsip desain untuk aplikasi Azure
• Aplikasi cloud yang dapat diskalakan dan rekayasa keandalan situs