Arsitektur hub-spoke ini menyediakan solusi alternatif untuk arsitektur referensi topologi jaringan hub-spoke di Azure dan menerapkan jaringan hibrida yang aman.
Hub adalah jaringan virtual di Azure yang bertindak sebagai titik pusat konektivitas ke jaringan lokal Anda. Spoke adalah jaringan virtual yang melakukan peering dengan hub dan dapat digunakan untuk mengisolasi beban kerja. Alur lalu lintas antara pusat data lokal dan hub melalui koneksi ExpressRoute atau gateway VPN. Pembeda utama dari pendekatan ini adalah penggunaan Azure Virtual WAN (VWAN) untuk menggantikan hub sebagai layanan terkelola.
Arsitektur ini mencakup keuntungan topologi jaringan hub-spoke standar dan memperkenalkan keuntungan baru:
Overhead operasional lebih rendah dengan mengganti hub yang ada dengan layanan VWAN yang dikelola penuh.
Hemat biaya dengan menggunakan layanan terkelola dan menghilangkan kebutuhan akan appliance virtual jaringan.
Keamanan yang ditingkatkan dengan memperkenalkan Hub aman yang dikelola secara terpusat dengan Azure Firewall dan VWAN untuk meminimalkan risiko keamanan terkait kesalahan konfigurasi.
Pemisahan fokus antara TI pusat (SecOps, InfraOps) dan beban kerja (DevOps).
Kemungkinan kasus penggunaan
Penggunaan standar untuk arsitektur ini termasuk kasus di mana:
Konektivitas di antara beban kerja membutuhkan kontrol pusat dan akses ke layanan bersama.
Perusahaan membutuhkan kontrol pusat atas aspek keamanan, seperti firewall, dan memerlukan manajemen terpisah untuk beban kerja di setiap spoke.
Sistem
Unduh file Visio arsitektur ini.
Arsitektur terdiri dari:
Jaringan lokal. Jaringan area lokal privat (LAN) yang berjalan dalam suatu organisasi.
Perangkat VPN. Perangkat atau layanan yang menyediakan konektivitas eksternal ke jaringan lokal.
Gateway jaringan virtual VPN atau gateway ExpressRoute. Gateway jaringan virtual memungkinkan jaringan virtual tersambung ke perangkat VPN, atau sirkuit ExpressRoute, yang digunakan untuk konektivitas dengan jaringan lokal Anda.
Hub Virtual WAN. Virtual WAN digunakan sebagai hub dalam topologi hub-spoke. Hub adalah titik pusat konektivitas ke jaringan lokal Anda, dan tempat untuk meng-host layanan yang dapat digunakan oleh beban kerja berbeda yang dihosting di jaringan virtual spoke.
Hub virtual aman. Hub Virtual WAN dengan kebijakan keamanan dan perutean terkait yang dikonfigurasi oleh Azure Firewall Manager. Hub virtual yang aman dilengkapi dengan perutean bawaan sehingga tidak perlu mengonfigurasi rute yang ditentukan pengguna.
Subnet gateway. Gateway jaringan virtual disimpan di subnet yang sama.
Jaringan virtual spoke. Satu atau lebih jaringan virtual yang digunakan sebagai spoke dalam topologi hub-spoke. Spoke dapat digunakan untuk mengisolasi beban kerja di jaringan virtualnya sendiri dan dikelola secara terpisah dari spoke lainnya. Setiap beban kerja mungkin mencakup beberapa tingkatan, dengan beberapa subnet yang terhubung melalui penyeimbang beban Azure.
Peering jaringan virtual. Dua jaringan virtual dapat disambungkan menggunakan koneksi peering VNet. Koneksi peering adalah koneksi nontransitif dan latensi rendah antara jaringan virtual. Setelah dilakukan peering, jaringan virtual bertukar lalu lintas dengan menggunakan backbone Azure, tanpa perlu router. Dalam topologi jaringan hub-spoke, Anda menggunakan peering jaringan virtual untuk menghubungkan hub ke setiap spoke. Azure Virtual WAN memungkinkan transitivitas antar hub, yang tidak mungkin hanya menggunakan peering.
Komponen
- Microsoft Azure Virtual Network
- Azure Virtual WAN
- Azure VPN Gateway
- Azure ExpressRoute
- Azure Firewall
Alternatif
Arsitektur hub-spoke dapat dicapai dengan dua cara: infrastruktur hub yang dikelola pelanggan atau infrastruktur hub yang dikelola Microsoft. Dalam kedua kasus, spoke terhubung ke hub menggunakan peering jaringan virtual.
Kelebihan
Unduh file Visio arsitektur ini.
Diagram ini menggambarkan beberapa keuntungan yang dapat diberikan oleh arsitektur ini:
- Hub terintegrasi penuh di antara Azure Virtual Networks
- Konektivitas Cabang ke Azure
- Konektivitas Cabang ke Cabang
- Kombinasi penggunaan VPN dan ExpressRoute
- Kombinasi penggunaan VPN pengguna ke situs
- Koneksi VNET ke VNET
Rekomendasi
Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Jika Anda memiliki persyaratan khusus yang menimpanya.
Kelompok Sumber Daya
Hub dan setiap spoke dapat diterapkan dalam kelompok sumber daya yang berbeda, dan, bahkan lebih baik, dalam langganan yang berbeda. Saat Anda melakukan peering jaringan virtual dalam langganan yang berbeda, kedua langganan dapat dikaitkan dengan penyewa Microsoft Entra yang sama atau berbeda. Hal ini memungkinkan manajemen desentralisasi dari setiap beban kerja, sementara berbagi layanan yang dikelola di hub.
Virtual WAN
Buat Virtual WAN Standar jika Anda memiliki persyaratan untuk salah satu hal berikut:
Penskalaan untuk throughput yang lebih tinggi
Konektivitas Privat (memerlukan Sirkuit Premium di lokasi Jangkauan Global)
Interkoneksi VPN ExpressRoute
Pemantauan terintegrasi dengan Azure Monitor (Metrik dan Kesehatan Sumber Daya)
Virtual WAN Standar secara default tersambung dalam mesh penuh. Virtual WAN Standar mendukung konektivitas apa pun (titik akhir Situs ke Situs, VPN, VNet, ExpressRoute, Titik ke situs) dalam satu hub serta di seluruh hub. Virtual WAN dasar hanya mendukung konektivitas VPN Situs ke Situs, konektivitas cabang ke cabang, dan konektivitas cabang ke VNet dalam satu hub.
Hub Virtual WAN
A virtual hub adalah jaringan virtual yang dikelola oleh Microsoft. Hub berisi berbagai titik akhir layanan untuk mengaktifkan konektivitas. Hub adalah inti jaringan Anda di suatu wilayah. Mungkin ada beberapa hub per wilayah Azure. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Virtual WAN.
Saat Anda membuat hub menggunakan portal Microsoft Azure, hub membuat hub virtual VNet dan gateway VPN hub virtual. Hub Virtual WAN memerlukan rentang alamat minimal /24. Ruang alamat IP ini akan digunakan untuk memesan subnet untuk gateway dan komponen lainnya.
Hub virtual aman
Hub virtual dapat dibuat sebagai hub virtual yang aman atau dikonversi ke yang aman kapan saja setelah pembuatan. Untuk informasi selengkapnya, lihat Mengamankan hub virtual Anda menggunakan Azure Firewall Manager.
GatewaySubnet
Untuk informasi lebih lajut tentang pengaturan gateway, lihat arsitektur referensi berikut, bergantung pada jenis koneksi Anda:
Untuk ketersediaan yang lebih besar, Anda dapat menggunakan ExpressRoute plus VPN untuk failover. Lihat Menyambungkan jaringan lokal ke Azure menggunakan ExpressRoute dengan failover VPN.
Topologi hub-spoke tidak dapat digunakan tanpa gateway, bahkan jika Anda tidak memerlukan konektivitas dengan jaringan lokal Anda.
Peering jaringan virtual
Peering jaringan virtual adalah hubungan nontransitif antara dua jaringan virtual. Namun, Azure Virtual WAN memungkinkan spoke tersambung satu sama lain tanpa peering berdedikasi di antaranya.
Namun, jika Anda memiliki beberapa spoke yang perlu tersambung satu sama lain, Anda akan kehabisan kemungkinan koneksi peering dengan sangat cepat karena keterbatasan jumlah peering jaringan virtual per jaringan virtual. (Untuk informasi selengkapnya, lihat Batas jaringan.) Dalam skenario ini, Azure VWAN akan menyelesaikan masalah ini dengan fungsionalitas siap pakainya. Untuk informasi tambahan, lihat Arsitektur jaringan transit global dan Virtual WAN.
Anda juga dapat mengonfigurasi spoke untuk menggunakan hub gateway guna berkomunikasi dengan jaringan jarak jauh. Untuk memungkinkan lalu lintas gateway mengalir dari spoke ke hub, dan tersambung ke jaringan jarak jauh, Anda harus:
Mengonfigurasi koneksi peering di hub untuk memungkinkan transit gateway.
Mengonfigurasi koneksi peering di setiap spoke untuk menggunakan gateway jarak jauh.
Mengonfigurasi semua koneksi peering untuk memungkinkan lalu lintas yang diteruskan.
Untuk informasi tambahan, lihat Memilih antara peering jaringan virtual dan gateway VPN.
Ekstensi hub
Untuk mendukung layanan bersama di seluruh jaringan seperti sumber daya DNS, NVA kustom, Azure Bastion, dan lainnya, terapkan setiap layanan mengikuti pola ekstensi hub virtual. Mengikuti model ini, Anda dapat membangun dan mengoperasikan ekstensi tanggung jawab tunggal untuk mengekspos layanan bersama yang penting bagi bisnis ini secara individual yang tidak dapat Anda sebarkan langsung di hub virtual.
Pertimbangan
Operasional
Azure VWAN adalah layanan terkelola yang disediakan oleh Microsoft. Dari sudut pandang teknologi, Azure VWAN tidak sepenuhnya berbeda dari infrastruktur hub yang dikelola pelanggan. Azure Virtual WAN menyederhanakan arsitektur jaringan secara keseluruhan dengan menawarkan topologi jaringan mesh dengan konektivitas jaringan transitif antar spoke. Pemantauan Azure VWAN dapat dilakukan menggunakan Azure Monitor. Konfigurasi situs ke situs dan konektivitas antara jaringan lokal dan Azure dapat sepenuhnya diotomatiskan.
Keandalan
Azure Virtual WAN menangani perutean, yang membantu mengoptimalkan latensi jaringan antar spoke serta memastikan prediktabilitas latensi. Azure Virtual WAN juga menyediakan konektivitas yang andal di antara berbagai wilayah Azure untuk beban kerja yang mencakup beberapa wilayah. Dengan pengaturan ini, aliran menyeluruh dalam Azure menjadi lebih terlihat.
Performa
Dengan bantuan Azure Virtual WAN, latensi yang lebih rendah antar spoke dan lintas wilayah dapat dicapai. Azure Virtual WAN memungkinkan Anda meningkatkan throughput agregat hingga 20Gbps.
Skalabilitas
Azure Virtual WAN menyediakan konektivitas mesh penuh antar spoke dengan menjaga kemampuan untuk membatasi lalu lintas berdasarkan kebutuhan. Dengan arsitektur ini, Anda dapat memiliki performa situs ke situs berskala besar. Selain itu, Anda dapat membuat arsitektur jaringan transit global dengan memungkinkan konektivitas apa pun antara kumpulan beban kerja cloud yang didistribusikan secara global.
Keamanan
Hub di Azure VWAN dapat dikonversi menjadi HUB aman dengan memanfaatkan Azure Firewall. Rute yang ditentukan pengguna (UDR) masih dapat dimanfaatkan dengan cara yang sama untuk mencapai isolasi jaringan. Azure VWAN memungkinkan enkripsi lalu lintas antara jaringan lokal dan jaringan virtual Azure melalui ExpressRoute.
Azure DDoS Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk memberikan lebih banyak pertahanan terhadap serangan DDoS. Anda harus mengaktifkan Azure DDOS Protection di jaringan virtual perimeter apa pun.
Konektivitas dan layanan bersama yang digunakan
Konektivitas antar spoke telah dicapai menggunakan Azure Virtual WAN. Namun, menggunakan UDR dalam lalu lintas spoke berguna untuk mengisolasi jaringan virtual. Layanan bersama apa pun juga dapat dihosting di Virtual WAN yang sama dengan spoke.
Peering jaringan virtual - Koneksi hub
Peering jaringan virtual adalah hubungan nontransitif antara dua jaringan virtual. Saat menggunakan Azure Virtual WAN, peering jaringan virtual dikelola oleh Microsoft. Setiap koneksi yang ditambahkan ke hub juga akan mengonfigurasi peering jaringan virtual. Dengan bantuan Virtual WAN, semua spoke akan memiliki hubungan transitif.
Pengoptimalan biaya
Infrastruktur hub yang dikelola pelanggan memperkenalkan biaya manajemen ke sumber daya Azure yang mendasarinya. Untuk mencapai konektivitas transitif dengan latensi yang dapat diprediksi, Anda harus memiliki Network Virtual Appliance (NVA) atau Azure Firewall yang digunakan di setiap hub. Menggunakan Azure Firewall dengan salah satu pilihan akan menurunkan biaya dibandingkan dengan NVA. Biaya Azure Firewall sama untuk kedua opsi tersebut. Ada biaya tambahan untuk Azure Virtual WAN; namun, biaya ini jauh lebih murah daripada mengelola infrastruktur hub Anda sendiri.
Untuk informasi selengkapnya, lihat Harga Virtual WAN.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- Yunus Emre Alpozen | Beban Kerja Lintas Arsitek Program
Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.
Langkah berikutnya
Selengkapnya:
Menyambungkan jaringan lokal ke Azure menggunakan ExpressRoute
Mengamankan dan mengatur beban kerja dengan segmentasi tingkat jaringan