Menyebarkan NVA yang sangat andal

Artikel ini menjelaskan cara umum untuk menyebarkan sekumpulan appliance virtual jaringan (NVA) untuk ketersediaan tinggi di Azure. NVA biasanya mengontrol arus lalu lintas antar segmen jaringan yang memiliki tingkat keamanan yang berbeda. Misalnya, Anda dapat menggunakan NVA antara jaringan virtual perimeter dan internet publik, atau untuk menghubungkan lokasi eksternal ke Azure melalui appliance jaringan privat virtual (VPN) atau appliance WAN yang ditetapkan oleh perangkat lunak (SD-WAN).

Artikel ini mengasumsikan bahwa Anda memiliki pemahaman dasar tentang jaringan Azure, load balancer Azure, perutean lalu lintas jaringan virtual, dan rute yang ditentukan pengguna (UDR).

Banyak pola desain menggunakan NVA untuk memeriksa lalu lintas antara zona keamanan yang berbeda. Pola-pola ini mungkin menggunakan NVA untuk tujuan berikut:

• Untuk memeriksa lalu lintas keluar dari komputer virtual ke internet dan mencegah penyelundupan data.

• Untuk memeriksa lalu lintas masuk dari internet ke komputer virtual dan mencegah serangan.

• Untuk memfilter lalu lintas antara komputer virtual di Azure untuk mencegah pemindahan lateral sistem yang disusupi.

• Untuk memfilter lalu lintas antara sistem lokal dan komputer virtual Azure, terutama jika mereka termasuk dalam tingkat keamanan yang berbeda. Misalnya, Azure menghosting jaringan perimeter, sementara lingkungan lokal menghosting aplikasi internal.

• Untuk menghentikan terowongan VPN atau SD-WAN dari lokasi eksternal, seperti jaringan di lokasi atau cloud publik lainnya.

Anda dapat menambahkan NVA berikut ke desain Azure dengan menggunakan pola dalam artikel ini:

• Firewall jaringan
• Proksi terbalik Lapisan-4
• Titik akhir VPN Internet Protocol Security (IPsec)
• perangkat SD-WAN
• Proksi terbalik berbasis web yang memiliki fitur Web Application Firewall
• Proksi internet untuk membatasi halaman internet mana yang dapat diakses dari Azure
• Load balancer Lapisan-7

NVA asli Azure, seperti Azure Firewall dan Azure Application Gateway, gunakan desain yang dijelaskan nanti dalam artikel ini. Anda harus memahami opsi ini dari perspektif desain dan untuk tujuan pemecahan masalah jaringan.

NVA sering memerlukan ketersediaan tinggi karena mengontrol komunikasi antar segmen jaringan. Jika NVA menjadi tidak tersedia, lalu lintas jaringan tidak dapat mengalir dan aplikasi berhenti berfungsi. Pemadaman terjadwal dan tidak terjadwal terkadang mematikan instans NVA, mirip dengan komputer virtual lainnya di Azure atau di cloud lainnya. Instans NVA mungkin dimatikan bahkan jika Anda mengonfigurasinya dengan Azure Premium SSD, yang menyediakan perjanjian tingkat layanan instans tunggal di Azure. Aplikasi yang memiliki ketersediaan tinggi memerlukan setidaknya dua NVA untuk membantu memastikan konektivitas.

Saat Anda memilih opsi terbaik untuk menyebarkan NVA ke jaringan virtual Azure, aspek terpenting adalah apakah vendor NVA telah mengevaluasi dan memvalidasi desainnya. Vendor juga harus menyediakan konfigurasi NVA yang diperlukan untuk mengintegrasikan NVA ke Azure. Jika vendor NVA menyediakan beberapa opsi desain yang didukung, pertimbangkan faktor-faktor berikut untuk membuat keputusan Anda:

• Waktu konvergensi: Waktu yang dibutuhkan setiap desain untuk mengalihkan lalu lintas dari instans NVA yang gagal

• Dukungan topologi: Konfigurasi NVA yang didukung setiap opsi desain, seperti NVA aktif/aktif, aktif/siaga, atau kluster NVA yang dapat diperluas dengan penambahan unit untuk redundansi.

• Simetri lalu lintas: Apakah desain tertentu memaksa NVA untuk melakukan Terjemahan Alamat Jaringan Sumber (SNAT) pada paket guna menghindari perutean asimetris, atau jika desain tersebut memberlakukan simetri lalu lintas dengan metode lain

Nota

Artikel ini berfokus pada desain pusat dan cabang (hub-and-spoke). Artikel ini tidak mencakup Azure Virtual WAN karena memiliki panduan yang lebih preskriptif untuk menyebarkan NVA, tergantung pada apakah hub Virtual Wan mendukung NVA tertentu. Untuk informasi selengkapnya, lihat NVA di hub Virtual WAN.

Bagian berikut menjelaskan arsitektur umum yang dapat Anda gunakan untuk mengintegrasikan NVA ke dalam jaringan hub-and-spoke.

Gambaran umum arsitektur ketersediaan tinggi

Solusi	Keuntungan	Pertimbangan
Penyeimbang Beban Azure	Solusi ini mendukung konfigurasi aktif/aktif dan aktif/siaga, serta NVA dengan pemekaran skala dan waktu konvergensi yang cepat.	NVA perlu menyediakan port untuk pemeriksaan kesehatan, terutama untuk penyebaran aktif/siaga. Untuk perangkat stateful, seperti firewall yang memerlukan simetri lalu lintas, aliran ke dan dari internet memerlukan SNAT.
Azure Route Server	NVA harus mendukung Border Gateway Protocol (BGP). Solusi ini mendukung NVA aktif/aktif/siaga, dan peluasan skala.	Simetri lalu lintas memerlukan SNAT dalam solusi ini.
Azure Gateway Load Balancer	Simetri lalu lintas dijamin tanpa SNAT. NVA dapat dibagikan di seluruh penyewa. Solusi ini memiliki waktu konvergensi yang baik dan mendukung konfigurasi aktif/aktif, aktif/siaga, serta kemampuan ekspansi untuk Perangkat Virtual Jaringan (NVAs).	Solusi ini mendukung alur ke dan dari internet dan tidak mendukung alur East-West.
Alamat IP privat dinamis dan UDR	NVA tidak memerlukan fitur khusus. Solusi ini menjamin lalu lintas simetris.	Solusi ini hanya untuk desain aktif/pasif. Ini memiliki waktu konvergensi yang tinggi dari satu hingga dua menit.

Penyeimbang Beban

Desain Load Balancer menggunakan dua penyeimbang muatan Azure untuk mengekspos kluster NVA ke jaringan lainnya. Pendekatan ini sesuai dengan NVA stateful dan stateless.

• Pengalih beban internal mengalihkan lalu lintas internal dari Azure dan lokal ke NVA. Penyeimbang beban internal ini dikonfigurasi dengan aturan port ketersediaan tinggi sehingga setiap port Protokol Kontrol Transmisi (TCP) dan Protokol Datagram Pengguna (UDP) dialihkan ke instans NVA.

• Load balancer publik mengekspos alat virtual jaringan (NVA) ke internet. Port ketersediaan tinggi adalah untuk lalu lintas masuk, sehingga setiap port TCP/UDP perlu dibuka dalam aturan penyeimbangan beban khusus.

Diagram berikut menunjukkan urutan hop yang diambil paket dari internet ke server aplikasi dalam jaringan virtual spoke. Paket-paket ini melintasi NVA firewall untuk mengontrol lalu lintas ke dan dari internet publik, juga disebut lalu lintasNorth-South.

Diagram ini menunjukkan hub dan dua jeruji. Hub berisi subnet gateway dan subnet NVA. Subnet gateway mengandung gateway VPN atau Azure ExpressRoute. Subnet NVA berisi penyeimbang beban Azure internal dan NVA. Setiap spoke berisi server aplikasi. Spoke2 memiliki catatan yang berbunyi bahwa tabel rute spoke 0.0.0.0/0 menuju 10.0.0.36 dan menonaktifkan penyebaran gateway. Arus lalu lintas masuk dari internet publik ke NVA melalui load balancer Azure publik. Lalu lintas ini kemudian mengalir ke server aplikasi di Spoke2. Mengembalikan arus lalu lintas dari server aplikasi ini ke NVA melalui load balancer Azure internal. Lalu lintas ini kemudian mengalir ke internet publik.

Unduh file Visio dari arsitektur ini.

Untuk mengirim lalu lintas dari spoke ke internet publik melalui NVA, desain ini menggunakan UDR untuk 0.0.0.0/0. Lompatan berikutnya adalah alamat IP penyeimbang beban internal.

Untuk lalu lintas antara Azure dan internet publik, setiap arah arus lalu lintas melintasi penyeimbang muatan Azure yang berbeda. Proses ini terjadi bahkan jika firewall NVA memiliki satu kartu antarmuka jaringan (NIC) untuk jaringan publik dan internal karena paket ingress melewati load balancer Azure publik dan paket keluar melewati load balancer Azure internal. Kedua arah aliran melalui penyeimbang beban yang berbeda. Jadi, jika Anda memerlukan simetri lalu lintas, instans NVA harus melakukan SNAT untuk menarik lalu lintas balik dan memastikan simetri lalu lintas. Sebagian besar firewall memerlukan simetri lalu lintas.

Diagram berikut menunjukkan cara menggunakan desain load balancer yang sama untuk memeriksa lalu lintas antara jaringan Azure dan lokal, atau lalu lintasEast-West, yang hanya melibatkan load balancer internal. Anda juga dapat menggunakan metode ini untuk mengirim lalu lintas antar spoke melalui NVA.

Diagram ini menunjukkan hub dan dua jeruji. Hub berisi subnet gateway dan subnet NVA. Subnet gateway memuat Gateway VPN atau Gateway ExpressRoute. Subnet NVA berisi penyeimbang beban Azure internal dan NVA. Setiap spoke berisi server aplikasi. Spoke2 memiliki catatan yang berbunyi bahwa tabel rute spoke 0.0.0.0/0 menuju 10.0.0.36 dan menonaktifkan penyebaran gateway. Arus lalu lintas masuk mengalir dari lokasi fisik ke perangkat virtual jaringan (NVAs) melalui gateway VPN atau ExpressRoute, lalu ke load balancer Azure internal. Lalu lintas ini kemudian mengalir ke server aplikasi di Spoke2. Mengembalikan arus lalu lintas dari server aplikasi ini ke NVA melalui load balancer Azure internal. Lalu lintas ini kemudian mengalir ke lokal melalui GATEWAY VPN atau ExpressRoute.

Pada diagram sebelumnya, spoke1 tidak tahu tentang jangkauan spoke2. Oleh karena itu, 0.0.0.0/0 UDR mengirimkan lalu lintas yang ditujukan untuk spoke2 ke penyeimbang muatan Azure internal NVA.

Untuk lalu lintas antara jaringan lokal dan Azure, atau antara komputer virtual Azure, simetri lalu lintas dijamin dalam NVA NIC tunggal oleh penyeimbang beban Azure internal. Saat kedua arah arus lalu lintas melintasi load balancer Azure yang sama, load balancer memilih instans NVA yang sama untuk kedua arah. Jika desain NVA dual-NIC memiliki load balancer internal untuk setiap arah komunikasi, SNAT memastikan simetri lalu lintas. Diagram North-South sebelumnya memberikan contoh desain ini.

Dalam desain ini, NVA dual-NIC harus menentukan di mana mengirim balasan ke cek kesehatan penyeimbang beban. Load Balancer selalu menggunakan alamat IP yang sama dengan sumber untuk pemeriksaan kesehatan, yaitu 168.63.129.16. NVA harus mengirim respons pemeriksaan kesehatan ini kembali melalui antarmuka yang sama tempat mereka diterima. Proses ini biasanya memerlukan beberapa tabel routing dalam sistem operasi karena routing berbasis tujuan mengirimkan balasan melalui kartu antarmuka jaringan yang sama.

Penyeimbang beban Azure memiliki waktu konvergensi yang baik pada saat terjadi gangguan NVA individual. Anda dapat mengirim pemeriksaan kesehatan setiap lima detik, dan dibutuhkan tiga pemeriksaan yang gagal untuk menyatakan instans back-end keluar dari layanan. Jadi biasanya diperlukan waktu 10 hingga 15 detik agar load balancer Azure dapat menyatukan lalu lintas ke instans NVA yang berbeda.

Penyiapan ini mendukung konfigurasi aktif/aktif dan aktif/siaga. Untuk konfigurasi aktif/siaga, instans NVA harus menyediakan port TCP atau UDP atau endpoint HTTP yang hanya merespons pemeriksaan kesehatan penyeimbang beban untuk instans yang sedang menjalankan peran aktif.

Load balancer Lapisan-7

Desain khusus untuk perangkat keamanan menggantikan load balancer publik Azure dengan load balancer Layer-7 seperti Azure Application Gateway, yang bisa dianggap sebagai NVA itu sendiri.

Dalam skenario ini, NVA hanya memerlukan load balancer internal untuk lalu lintas dari sistem beban kerja. Perangkat Dual-NIC terkadang menggunakan pendekatan ini untuk menghindari masalah perutean dengan pemeriksaan kesehatan penyeimbang muatan Azure (Azure). Desain ini hanya mendukung protokol Layer-7 yang didukung load balancer Layer-7, yang biasanya HTTP dan HTTPS.

NVA harus menangani lalu lintas masuk untuk protokol yang tidak didukung oleh load balancer Layer-7. NVA mungkin juga menangani lalu lintas keluar. Untuk informasi selengkapnya, lihat Firewall dan Application Gateway untuk jaringan virtual.

Server Rute

Route Server adalah layanan yang memungkinkan NVA berinteraksi dengan jaringan yang ditentukan perangkat lunak Azure melalui BGP. NVA mempelajari prefiks alamat IP mana yang ada di jaringan virtual Azure. Mereka juga dapat menyuntikkan rute dalam tabel rute komputer virtual yang efektif di Azure.

Diagram ini menunjukkan hub dan dua jeruji. Hub berisi subnet gateway, subnet NVA, dan subnet Route Server. Subnet gateway memuat Gateway VPN atau Gateway ExpressRoute. Subnet NVA berisi dua NVA. Subnet dari Route Server berisi Route Server. Setiap spoke berisi server aplikasi. Spoke2 memiliki catatan yang berbunyi rute efektif spoke 0.0.0.0/0 ke 10.0.0.37 dan 0.0.0.0/0 ke 10.0.0.38. Arus lalu lintas masuk dari internet publik mengalir ke NVA1 melalui penyeimbang beban publik Azure. Lalu lintas ini kemudian mengalir ke server aplikasi di Spoke2. Kembalikan arus lalu lintas dari server aplikasi ini ke NVA1 lalu ke internet publik. Kedekatan BGP menghubungkan NVA1, NVA2, dan Route Server. NVA2 dan Route Server terhubung melalui eBGP.

Dalam diagram sebelumnya, setiap instans NVA terhubung ke Route Server melalui BGP. Desain ini tidak memerlukan tabel rute di subnet spoke karena Route Server memprogram rute yang diiklankan NVA. Jika dua rute atau lebih diprogram di komputer virtual Azure, rute tersebut menggunakan perutean multi-jalur dengan biaya yang sama untuk memilih salah satu instans NVA untuk setiap arus lalu lintas. Oleh karena itu, Anda harus menyertakan SNAT dalam desain ini jika Anda memerlukan simetri lalu lintas.

Metode penyisipan ini mendukung konfigurasi aktif/aktif dan aktif/siaga. Dalam konfigurasi aktif/aktif, semua NVA mengiklankan rute yang sama ke Route Server. Dalam konfigurasi aktif/siaga, satu NVA mengiklankan rute dengan jalur Sistem Otonom (AS) yang lebih pendek daripada yang lain. Route Server mendukung hingga delapan kedekatan BGP. Jadi, jika Anda menggunakan kluster skala-out NVA aktif, desain ini mendukung maksimum delapan entitas NVA.

Pengaturan ini memiliki waktu konvergensi yang cepat. Timer keepalive dan holdtime dari hubungan BGP memengaruhi waktu konvergensi. Route Server memiliki timer keepalive default yang diatur ke 60 detik dan timer holdtime diatur ke 180 detik. Namun, NVA dapat menegosiasikan timer yang lebih rendah selama pembentukan hubungan BGP. Mengatur timer ini terlalu rendah dapat menyebabkan ketidakstabilan BGP.

Desain ini sesuai dengan para NVA yang perlu berinteraksi dengan pengaturan Azure. Contohnya termasuk NVA SD-WAN atau IPsec, yang biasanya memiliki dukungan BGP yang baik. NVA ini perlu mempelajari awalan yang dikonfigurasi di jaringan virtual Azure atau mengiklankan rute tertentu melalui peering privat ExpressRoute. Jenis appliance ini biasanya tanpa status, sehingga simetri lalu lintas tidak menjadi masalah dan SNAT tidak diperlukan.

Penyeimbang Beban Gateway

Gateway Load Balancer menyediakan cara memasukkan NVA di jalur data tanpa perlu merutekan lalu lintas dengan menggunakan UDR. Untuk komputer virtual yang mengekspos beban kerja mereka melalui load balancer Azure atau alamat IP publik, Anda dapat mengalihkan lalu lintas masuk dan keluar secara transparan ke kluster NVA yang terletak di jaringan virtual yang berbeda. Diagram berikut menunjukkan jalur yang diikuti paket untuk lalu lintas masuk dari internet publik jika beban kerja mengekspos aplikasi melalui load balancer Azure.

Diagram ini menunjukkan jaringan virtual NVA dan jaringan virtual aplikasi. Jaringan virtual NVA berisi Gateway Load Balancer dan NVA. Jaringan virtual aplikasi berisi server web. Alur pengguna beralih dari internet ke server web melalui load balancer Azure standar publik. Alur yang dikontrol oleh Gateway Load Balancer beralih dari load balancer Azure standar publik ke Gateway Load Balancer lalu ke NVA. Alur ini membalikkan arah dan beralih dari NVA ke Gateway Load Balancer lalu ke load balancer Azure standar publik.

Metode injeksi NVA ini memberikan manfaat berikut:

• Metode ini tidak memerlukan SNAT untuk menjamin simetri lalu lintas.

• Anda dapat menggunakan NVA yang sama untuk memeriksa lalu lintas ke dan dari berbagai jaringan virtual, yang memberikan kemampuan multitenansi dari sudut pandang NVA.

• Peering jaringan virtual tidak diperlukan antara jaringan virtual NVA dan jaringan virtual beban kerja, yang menyederhanakan konfigurasi.

• UDR tidak diperlukan dalam jaringan virtual beban kerja, yang juga menyederhanakan konfigurasi.

Anda dapat menggunakan penyuntikan layanan melalui Gateway Load Balancer untuk lalu lintas masuk ke load balancer publik Azure, lalu lintas baliknya, dan lalu lintas keluar dari Azure. East-West lalu lintas antara komputer virtual Azure tidak dapat menggunakan Gateway Load Balancer untuk injeksi NVA.

Di kluster NVA, pemeriksaan kesehatan Azure Load Balancer mendeteksi adanya kegagalan pada instans NVA individu, yang menyediakan waktu konvergensi cepat sekitar 10 hingga 15 detik.

Alamat IP publik dinamis dan manajemen UDR

Tujuan dari desain ini adalah untuk memiliki pengaturan yang berfungsi tanpa redundansi NVA dan dapat dimodifikasi jika NVA mengalami kegagalan. Diagram berikut menunjukkan bagaimana alamat IP publik Azure terkait dengan NVA aktif (NVA1 dalam diagram). UDR di dalam spoke menggunakan alamat IP NVA yang aktif (10.0.0.37) sebagai lintasan berikutnya.

Diagram ini menunjukkan hub dan dua jeruji. Hub berisi subnet gateway dan subnet NVA. Subnet gateway memuat Gateway VPN atau Gateway ExpressRoute. Subnet NVA berisi dua NVA. NVA1 diberi label aktif dan NVA2 diberi label siaga. Setiap spoke berisi server aplikasi. Spoke2 memiliki catatan bahwa membaca tabel rute spoke 0.0.0.0/0 hingga 10.0.0.37 dan menonaktifkan penyebaran gateway. Arus lalu lintas masuk dari internet ke NVA1 melalui alamat IP publik. Lalu lintas ini kemudian mengalir ke Spoke2. Mengembalikan arus lalu lintas dari Spoke2 ke NVA1 lalu ke internet.

Jika NVA aktif menjadi tidak tersedia, NVA siaga memanggil Azure API untuk memetakan ulang alamat IP publik dan UDR spoke ke dirinya sendiri, atau mengambil alih alamat IP privat. Panggilan API ini dapat memakan waktu beberapa menit agar efektif. Desain ini memberikan waktu konvergensi terburuk di antara opsi dalam artikel ini.

Desain ini hanya mendukung konfigurasi aktif/siaga, yang dapat menyebabkan masalah skalabilitas. Jika Anda perlu meningkatkan bandwidth yang didukung NVA, Anda harus meningkatkan kapasitas kedua instans tersebut.

Desain ini tidak memerlukan SNAT untuk menjamin simetri lalu lintas karena hanya satu NVA yang aktif pada waktu tertentu.

Kontributor

Microsoft mempertahankan artikel ini. Kontributor berikut menulis artikel ini.

Penulis utama:

• Keith Mayer | Arsitek Solusi Cloud Utama
• Telmo Sampaio | Manajer Teknik Layanan Utama
• Jose Moreno | Insinyur Utama

Untuk melihat profil LinkedIn nonpublik, masuk ke LinkedIn.

Langkah selanjutnya

• Jaringan perimeter

Sumber daya terkait

• Menerapkan jaringan hibrid yang aman dengan menggunakan Azure Firewall