Edit

Menyambungkan server mandiri dengan menggunakan Azure Network Adapter

Azure Bastion
Azure Virtual Network
Azure VPN Gateway
Windows Server
Azure Virtual Machines

Arsitektur referensi ini memperlihatkan cara menyambungkan server mandiri lokal ke jaringan virtual Microsoft Azure menggunakan Azure Network Adapter yang Anda gunakan melalui Windows Admin Center (WAC). Azure Network Adapter membuat koneksi virtual aman melalui internet, yang memperluas jaringan lokal Anda ke Azure.

Sistem

Gunakan Azure VPN untuk menyambungkan server mandiri ke jaringan virtual Azure dengan menyebarkan Azure Network Adapter menggunakan Windows Admin Center. Anda kemudian dapat mengelola mesin virtual (VM) Azure dari server mandiri menggunakan alamat IP privat VM.

Sebarkan Azure Network Adapter menggunakan Windows Admin Center untuk menyambungkan server mandiri melalui Azure VPN ke jaringan virtual Azure jaringan perusahaan, kantor cabang, atau jaringan penyedia cloud lainnya. Anda kemudian dapat menggunakan server mandiri untuk mengelola VM Azure melalui alamat IP privatnya, dari lokasi mana pun.

Unduh file Visio dari arsitektur ini.

Alur kerja

Arsitektur terdiri dari:

  • Jaringan lokal. Komponen ini adalah jaringan area lokal (LAN) privat organisasi.
  • Kantor cabang. Komponen ini adalah LAN privat di kantor cabang jarak jauh yang tersambung melalui jaringan area luas (WAN) perusahaan.
  • Penyedia cloud lainnya. Komponen ini adalah jaringan virtual privat yang ditawarkan oleh penyedia cloud. Ini tersambung melalui jaringan privat maya (VPN).
  • Windows Server dengan Windows Admin Center yang terpasang. Server yang Anda gunakan untuk menyebarkan Azure Network Adapter.
  • Windows Server (mandiri). Server tempat Azure Network Adapter dipasang. Server ini dapat berada di jaringan kantor cabang atau di jaringan penyedia cloud yang berbeda.
  • Azure Virtual Network (VNet). Server virtual, serta layanan dan komponen lainnya, untuk Azure VPN Gateway yang berada di jaringan virtual yang sama di dalam Azure.
  • Azure VPN Gateway. Layanan VPN Gateway yang memungkinkan Anda menyambungkan jaringan virtual ke jaringan lokal atau server mandiri melalui appliance VPN atau Azure Network Adapters. Untuk informasi selengkapnya, lihat Menyambungkan jaringan lokal ke jaringan virtual Microsoft Azure. Ada beberapa tingkatan harga, atau unit penyimpanan stok (SKU), yang tersedia untuk gateway VPN. Setiap SKU mendukung persyaratan yang berbeda berdasarkan jenis beban kerja, throughput, fitur, dan perjanjian tingkat layanan (SLA). Gateway VPN mencakup komponen berikut:
    • Gateway virtual (aktif). Sumber daya Azure ini menyediakan appliance VPN virtual untuk jaringan virtual, dan bertanggung jawab untuk merutekan lalu lintas bolak-balik antara jaringan lokal dan jaringan virtual.
    • Gateway virtual (pasif). Sumber daya Azure ini menyediakan appliance VPN virtual untuk jaringan virtual, dan merupakan instans siaga dari Azure VPN Gateway yang aktif. Untuk informasi selengkapnya, lihat Tentang redundansi Azure VPN gateway.
    • Subnet gateway. Gateway virtual disimpan di subnetnya sendiri, yang tunduk pada berbagai persyaratan yang dijelaskan di bagian Rekomendasi berikut.
    • Koneksi. Koneksi memiliki properti yang menentukan tipe koneksi. Properti ini mencakup keamanan Protokol Internet (IPsec), dan kunci yang dibagikan dengan appliance VPN lokal untuk mengenkripsi lalu lintas.
  • Aplikasi cloud. Komponen ini adalah aplikasi yang di-host di Azure. Ini dapat mencakup banyak tingkatan dengan beberapa subnet yang tersambung melalui penyeimbang beban Azure. Untuk informasi selengkapnya tentang infrastruktur aplikasi, lihat Menjalankan beban kerja Windows VM dan Menjalankan beban kerja VM Linux.
  • Penyeimbang beban internal. Lalu lintas dari gateway VPN dirutekan ke aplikasi cloud melalui penyeimbang beban internal, yang ada di subnet produksi aplikasi.
  • Azure Bastion. Azure Bastion memungkinkan Anda masuk ke VM di jaringan virtual Azure tanpa memaparkan VM langsung ke internet. Ini menggunakan Secure Shell (SSH) atau Remote Desktop Protocol (RDP). Jika Anda kehilangan konektivitas VPN, Anda masih dapat menggunakan Azure Bastion untuk mengelola VM Anda di jaringan virtual Azure. Namun, manajemen server lokal melalui Azure Bastion tidak didukung.

Komponen

  • Jaringan Virtual. Azure Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan pribadi Anda di Azure. VNet memungkinkan banyak jenis sumber daya Azure, seperti Azure Virtual Machines (VM), untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal.

  • Azure Bastion. Azure Bastion adalah layanan terkelola sepenuhnya yang menyediakan akses Protokol Desktop Jarakjauh (RDP) dan Secure Shell Protocol (SSH) yang lebih aman dan mulus ke mesin virtual (VM) tanpa eksposur melalui alamat IP publik.

  • VPN Gateway. VPN Gateway mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui internet publik. Anda juga dapat menggunakan VPN Gateway untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure melalui jaringan Microsoft. Gateway VPN adalah jenis gateway jaringan virtual spesifik.

  • Pusat Admin Windows. Windows Admin Center adalah aplikasi berbasis browser yang disebarkan secara lokal untuk mengelola server Windows, kluster, infrastruktur hyper-converged, serta PC Windows 10. Ini adalah produk gratis dan siap digunakan dalam produksi.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang menimpanya.

Menyambungkan server mandiri

Untuk menyambungkan server mandiri melalui WAC, Anda harus menambahkan server ke daftar server terkelola di penginstalan WAC server khusus. Setelah Anda menambahkan server ke daftar tersebut, Anda dapat memilih server tempat Anda ingin memasang Azure Network Adapters, lalu pilih Jaringan dari alat diikuti dengan "+ Tambahkan Azure Network Adapters (Pratinjau) " di panel Jaringan.

Tip

Jika Anda tidak melihat opsi "+ Tambahkan Azure Network Adapter (Pratinjau)" di jendela browser, Anda mungkin perlu memperbesar jendela, atau Anda mungkin melihat tombol Tindakan dengan tanda sisipan drop-down. Pilih tanda sisipan drop-down untuk mengakses opsi dan menambahkan Azure Network Adapter.

Saat Anda memilih opsi + Tambahkan Azure Network Adapter (Pratinjau), bilah konfigurasi Tambahkan Azure Network Adapter terbuka di jendela browser. Ada beberapa opsi yang dapat Anda konfigurasikan dalam bilah ini.

Catatan

Jika Anda belum pernah mengautentikasi dari WAC terhadap penyewa Azure yang ingin Anda gunakan, dialog autentikasi akan muncul. Berikan informasi autentikasi penyewa Anda untuk melanjutkan. Info masuk pengguna yang Anda gunakan untuk mengautentikasi harus memiliki izin yang memadai untuk membuat sumber daya Azure yang akan Anda konfigurasikan pada langkah berikutnya.

Informasi berikut diperlukan:

Bidang Nilai Informasi Tambahan
Langganan Pilih dari drop-down Bidang ini hanya mencantumkan langganan yang ditetapkan untuk penyewa Anda.
Location Pilih dari drop-down Pilih wilayah Azure untuk penyebaran Anda.
Virtual Network Pilih dari drop-down atau gunakan hyperlink yang disediakan untuk Membuat Virtual Network baru di portal Microsoft Azure Bergantung pada pilihan Anda, konten bidang akan bervariasi. Jika sudah ada Virtual Network, Anda akan melihat hyperlink yang dapat Anda ikuti untuk meninjau Virtual Network di portal Microsoft Azure. Jika VNet yang dipilih sudah berisi VNet Gateway, hyperlink ke sumber daya Azure tersebut akan disediakan.
Subnet Gateway Awalan subnet, seperti 10.0.1.0/24 Bergantung pada Virtual Network yang dipilih, bidang ini akan bervariasi. Jika VNet yang dipilih tidak berisi subnet berlabel GatewaySubnet, bidang akan diisi dengan awalan subnet yang menyertakan rentang alamat dan subnet mask. Jika VNet yang dipilih sudah berisi VNet Gateway, hyperlink ke sumber daya Azure tersebut akan disediakan.
SKU Gateway Pilih dari drop-down Untuk informasi selengkapnya, lihat SKU Gateway.
Ruang Alamat Klien Awalan subnet, seperti 192.168.1.0/24 Bidang akan diisi dengan awalan subnet yang mencakup rentang alamat dan subnet mask. Ini adalah jaringan yang akan digunakan antara server tempat Anda menambahkan Azure Network Adapter dan Azure VPN Gateway. Ini harus memiliki rentang alamat yang tidak tumpang tindih dengan rentang alamat mana pun yang digunakan di lingkungan lokal atau di salah satu Azure Virtual Network yang tersambung.
Sertifikat Autentikasi Pilih salah satu opsi Opsi "Akar dan Sertifikat klien yang ditandatangani sendiri yang dibuat secara otomatis" telah dipilih sebelumnya dan berfungsi paling baik di sebagian besar skenario. Ketika Anda memilih opsi "Gunakan akar dan sertifikat klien sendiri", Anda harus menyediakan dua file: sertifikat akar (.cer) dan sertifikat klien (.pfx), dan kemudian kata sandi untuk sertifikat klien.

Setelah Anda melengkapi semua bidang yang diperlukan, tombol Buat menjadi aktif, dan Anda harus memilihnya untuk memulai penyebaran Azure Network Adapter ke server yang dipilih.

Proses penyebaran memiliki dua bagian utama, yang pertama adalah penyebaran dan pemilihan Azure VPN Gateway. Jika Anda perlu menyebarkan Azure VPN Gateway terlebih dahulu, tunggu 25 hingga 45 menit hingga penyebaran selesai. (Beberapa konfigurasi dapat memakan waktu selama itu untuk disebarkan.) WAC akan memberikan informasi tentang kemajuan penyebaran. Bagian kedua adalah penginstalan sebenarnya dari Azure Network Adapter, yang dapat memakan waktu 10 menit. WAC juga akan memberi tahu Anda tentang kemajuan penginstalan.

Setelah penyebaran dimulai, Anda dapat mengubah fokus WAC dengan memilih alat atau server lain. Proses penyebaran berlanjut di latar belakang.

Jika Anda memilih opsi Akar dan Sertifikat klien yang ditandatangani sendiri yang dibuat secara otomatis, Azure membuat dua sertifikat yang diperlukan untuk Anda secara otomatis dan menyimpannya di penyimpanan sertifikat server yang dipilih. Anda dapat menggunakan alat Sertifikat di WAC untuk menemukannya, lalu Anda dapat menemukan sertifikat akar di kontainer Komputer Lokal/Akar. Nama sertifikat dimulai dengan Windows Admin Center-Created-vpngw dan berisi string P2SRoot. Ekor string menyertakan stempel waktu yang dikodekan dengan tanggal pembuatan sertifikat. Sertifikat ini juga akan disimpan dalam kontainer Komputer Lokal/CA. Sertifikat kedua disimpan di Komputer Lokal/Kontainer saya. Nama sertifikat ini dimulai dengan Windows Admin Center-Created-vpngw dan berisi string P2SClient. Ekor string menyertakan stempel waktu yang dikodekan dengan tanggal pembuatan sertifikat.

Setelah penyebaran selesai, alat Jaringan server yang dipilih diperbarui dengan Azure Network Adapter baru, yang secara otomatis dimulai setelah penyebaran berakhir dan menunjukkan status aktif. Anda dapat memilih adapter untuk mengaktifkan daftar drop-down Lainnya, yang dapat Anda pilih untuk memutuskan sambungan atau menghapus adapter. Di server sebenarnya, Azure Network Adapter dipasang sebagai koneksi VPN. Nama adapter dimulai dengan Windows Admin CenterVPN- diikuti dengan nomor tiga digit acak.

Saat Azure Network Adapter dipasang dan tersambung, Anda dapat menggunakan koneksi jaringan baru ini untuk tersambung langsung ke Azure VNets dan sistemnya. Jenis koneksi ini biasanya digunakan untuk membuat sesi desktop jarak jauh melalui alamat IP internal VM Azure, alih-alih menggunakan alamat IP publik VM.

Menggunakan server WAC khusus

Untuk administrasi terpusat, kami menyarankan Anda menggunakan penginstalan Windows Admin Server khusus, tempat Anda dapat menambahkan server lain. Pendekatan ini berarti tidak ada server yang dikelola yang memerlukan perangkat lunak tambahan. Untuk informasi selengkapnya, lihat Pusat Admin Windows.

Menyiapkan VNet khusus

Antarmuka penginstalan Azure Network Adapter mungkin tidak memenuhi konvensi penamaan atau kebutuhan tingkat harga Anda. Untuk menghindari konflik ini, Anda dapat membuat sumber daya Azure yang diperlukan sebelum menyebarkan adapter. Selama penyebaran, Anda memilih sumber daya yang sudah ada alih-alih membuatnya melalui antarmuka penginstalan.

Catatan

Pastikan Anda memilih SKU VPN Gateway yang benar, karena tidak semuanya mendukung koneksi VPN yang disertakan dengan Azure Network Adapter. Dialog penginstalan menawarkan Anda VpnGw1, VpnGw2, dan VpnGw3. Saat ini, adapter tidak mendukung VPN Gateway versi zona redundan.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Skalabilitas

  • VPN Gateway SKU:
    • SKU VPN Gateway yang Anda pilih menentukan berapa banyak koneksi yang dapat diambil secara paralel, dan bandwidth yang tersedia untuk semua koneksi tersebut. Jumlah koneksi bersamaan bervariasi dari 250 hingga 1.000 saat Anda menggunakan opsi P2S IKEv2/OpenVPN. IKE merujuk pada Pertukaran Kunci IPsec. Sebaiknya mulai dengan VpnGw1 dan tingkatkan skalanya nanti jika Anda membutuhkan lebih banyak koneksi. Jika Anda perlu mengganti generasi VPN Gateway, Anda perlu memasang gateway baru dan menyebarkan Azure Network Adapter baru untuk menyambungkannya.
  • Koneksi beberapa server mandiri:
    • Anda dapat menggunakan WAC untuk menyebarkan Azure Network Adapter ke server sebanyak yang Anda butuhkan. Anda juga dapat menambahkan banyak Azure Network Adapters ke satu server untuk tersambung ke Azure VNets yang berbeda. Setelah penyebaran awal VPN Gateway selesai, Anda dapat mengonfigurasi server tambahan untuk menggunakan gateway yang sama dengan memilih gateway yang ada di antarmuka penginstalan.
    • Server mandiri dapat ditempatkan di jaringan yang sama, di jaringan kantor cabang, atau di jaringan berbasis cloud yang berbeda. Anda dapat menggunakan koneksi jaringan yang telah Anda buat, seperti WAN perusahaan Anda atau VPN khusus ke penyedia cloud yang berbeda, jika port jaringan yang diperlukan tersedia melalui koneksi ini. Untuk informasi selengkapnya, lihat bagian "Pertimbangan keamanan" di artikel ini.
  • Koneksi Situs-ke-Situs Azure:
    • Azure Network Adapter adalah penginstalan tunggal pada satu server. Jika Anda ingin menyambungkan beberapa server, Anda dapat menghadapi upaya administratif yang signifikan. Namun, Anda dapat menghindari upaya ini dengan menyambungkan sistem lokal menggunakan metode koneksi Azure Site-2-Site (S2S), yang menyambungkan jaringan lokal yang ada ke Azure VNet dan subnetnya. Inti koneksi ini adalah Azure VPN Gateway tempat Anda dapat menyambungkan gateway VPN lokal dengan Azure VPN Gateway jarak jauh. Koneksi aman ini memungkinkan dua segmen jaringan untuk berkomunikasi secara transparan dengan satu sama lain.

Ketersediaan

  • Azure Network Adapter hanya mendukung konfigurasi aktif-pasif Azure VPN Gateway. Selama konfigurasi adapter, Anda dapat mengarahkan ke Azure VPN gateway aktif-aktif yang ada. Penyiapan akan mengonfigurasi ulang gateway ke konfigurasi aktif-pasif. Konfigurasi ulang gateway ke status aktif-aktif secara manual dapat dilakukan, tetapi Azure Network Adapter tidak akan tersambung ke gateway ini.

    Peringatan

    Mengonfigurasi Azure Network Adapter terhadap Azure VPN Gateway yang ada dengan konfigurasi aktif-aktif akan mengonfigurasi ulang gateway menjadi aktif-pasif. Ini akan memengaruhi semua koneksi VPN yang ada ke gateway ini. Mengubah dari konfigurasi aktif-aktif ke konfigurasi aktif-siaga akan menyebabkan penurunan salah satu dari dua tunnel VPN IPsec untuk setiap koneksi. Jangan lanjutkan tanpa mengevaluasi persyaratan sambungan keseluruhan dan berkonsultasi dengan administrator jaringan Anda.

Keterkelolaan

  • Akun administratif:

    • WAC adalah alat inti yang Anda gunakan untuk menyebarkan Azure Network Adapter dan mengonfigurasi penanganan akun. Untuk informasi selengkapnya tentang opsi yang tersedia, lihat Opsi akses pengguna dengan Windows Admin Center. Anda dapat mengonfigurasi akun individual per koneksi server.

      Catatan

      Kotak dialog tempat Anda mengonfigurasi akun administratif per server akan memvalidasi info masuk Anda saat Anda memilih Lanjutkan. Untuk membuka kotak dialog, di WAC, pilih baris dengan nama server yang berlaku, lalu pilih Kelola sebagai. Jangan memilih hyperlink yang mewakili server, karena akan langsung menyambungkan Anda ke server tersebut.

    • Selain itu, Anda harus mengonfigurasi akun pengguna untuk koneksi Azure dengan membuka kotak dialog Pengaturan di WAC dan memodifikasi bagian akun. Anda juga dapat beralih pengguna atau keluar dari sesi pengguna di kotak dialog Pengaturan.

  • Integrasi Azure Recovery Vault:
    • Saat Anda memasang Azure Network Adapter di server mandiri, Anda kemudian dapat menganggap server tersebut sebagai port untuk kelangsungan bisnis Anda. Anda dapat mengintegrasikan server tersebut ke dalam prosedur pencadangan dan pemulihan bencana menggunakan layanan Azure Recovery Vault yang Anda konfigurasikan dengan memilih Azure Backup di bagian Alat WAC. Azure Backup membantu melindungi server Windows Anda dari kerusakan, serangan, atau bencana dengan mencadangkan server Anda langsung ke Microsoft Azure.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

  • Port jaringan yang diperlukan:

    • Port jaringan untuk PowerShell remoting harus terbuka jika Anda ingin menggunakan WAC untuk menyebarkan Azure Network Adapter.

    • PowerShell Remoting menggunakan Windows Remote Management (WinRM). Untuk informasi selengkapnya, lihat Pertimbangan Keamanan PowerShell Remoting dan pengaturan default PowerShell Remoting.

    • Dalam beberapa skenario, Anda diharuskan menggunakan metode autentikasi tambahan. WAC dapat menggunakan PowerShell dengan protokol Penyedia Dukungan Keamanan Info masuk (CredSSP) untuk tersambung ke server jarak jauh. Untuk informasi selengkapnya, lihat PowerShell Remoting dan CredSSP dan cara Windows Admin Center menggunakan CredSSP.

    • PowerShell Remoting (dan WinRM) menggunakan port berikut:

      Protokol Port
      HTTP 5985
      HTTPS 5986

    • Cara Anda tersambung ke server tempat Windows Admin Center (WAC) dipasang bergantung pada jenis penginstalan WAC Anda. Port default bervariasi dan dapat berupa port 6516 saat dipasang pada Windows 10 atau port 443 saat dipasang pada Windows Server. Untuk informasi selengkapnya, lihat Memasang Windows Admin Center.

  • integrasi Microsoft Defender untuk Cloud:
    • Untuk membantu melindungi server tempat Azure Network Adapter dipasang, Anda dapat mengintegrasikan server ke Microsoft Defender untuk Cloud dengan memilih Microsoft Defender untuk Cloud dari bagian Alat di WAC. Selama integrasi, Anda harus memilih ruang kerja Azure Log Analytics yang ada atau membuat yang baru. Anda akan ditagih secara terpisah untuk setiap server yang Anda integrasikan dengan Microsoft Defender untuk Cloud. Untuk informasi selengkapnya, lihat harga Microsoft Defender untuk Cloud.

DevOps

  • Azure Automation:
    • WAC memberi Anda akses ke kode PowerShell yang membuat Azure Network Adapter, dan Anda dapat meninjaunya dengan memilih alat Jaringan, lalu memilih ikon Lihat skrip PowerShell di bagian atas dari halaman WAC. Nama skrip adalah Complete-P2SVPNConfiguration, dan diimplementasikan sebagai fungsi PowerShell. Kode ditandatangani secara digital dan siap digunakan kembali. Anda dapat mengintegrasikannya ke dalam Azure Automation dengan mengonfigurasi lebih banyak layanan di dalam portal Microsoft Azure.

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

  • Kalkulator Harga Azure:
    • Penggunaan Azure Network Adapter sebenarnya tidak akan dikenakan biaya apa pun, karena ini adalah komponen yang Anda sebarkan ke sistem lokal. Azure VPN Gateway, sebagai bagian dari solusi, memang menyebabkan biaya tambahan, seperti halnya penggunaan layanan lain, seperti Azure Recovery Vault atau Microsoft Defender untuk Cloud. Untuk informasi selengkapnya tentang biaya aktual, lihat Kalkulator Harga Azure. Perlu diperhatikan bahwa biaya aktual bervariasi berdasarkan wilayah Azure dan kontrak individual Anda. Hubungi perwakilan penjualan Microsoft untuk informasi selengkapnya tentang harga.
  • Biaya keluar:
    • Ada biaya tambahan yang terkait dengan transfer data Inter-VNet keluar. Biaya tersebut bergantung pada SKU VPN Gateway Anda dan jumlah aktual dari data yang Anda gunakan. Untuk informasi selengkapnya, lihat Kalkulator Harga Azure. Perlu diperhatikan bahwa biaya aktual bervariasi berdasarkan wilayah Azure dan kontrak individual Anda. Hubungi perwakilan penjualan Microsoft untuk informasi tambahan tentang harga.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya

Pelajari selengkapnya tentang teknologi komponen:

Jelajahi arsitektur terkait: