Edit

Topologi jaringan hub-spoke di Azure

Azure Bastion
Azure Firewall
Azure Network Watcher
Azure Virtual Network
Azure VPN Gateway

Arsitektur referensi ini menerapkan pola jaringan hub-spoke dengan komponen infrastruktur hub yang dikelola pelanggan. Untuk solusi infrastruktur hub yang dikelola Microsoft, lihat Topologi jaringan hub-spoke dengan Azure Virtual WAN.

Sistem

Diagram yang menunjukkan topologi jaringan virtual hub-spoke di Azure dengan jaringan spoke yang terhubung melalui hub atau secara langsung.

Unduh file Visio arsitektur ini.

Alur kerja

Konfigurasi jaringan hub-spoke ini menggunakan elemen arsitektur berikut:

  • Jaringan virtual hub. Jaringan virtual hub menghosting layanan Azure bersama. Beban kerja yang dihosting di jaringan virtual spoke dapat menggunakan layanan ini. Jaringan virtual hub adalah titik pusat konektivitas untuk jaringan lintas lokasi.

  • Jaringan virtual spoke. Jaringan virtual spoke mengisolasi dan mengelola beban kerja secara terpisah di setiap spoke. Setiap beban kerja dapat mencakup beberapa tingkatan, dengan beberapa subnet yang terhubung melalui load balancer Azure. Spoke dapat ada di langganan yang berbeda dan mewakili lingkungan yang berbeda, seperti Produksi dan Non-produksi.

  • Konektivitas jaringan virtual. Arsitektur ini menghubungkan jaringan virtual dengan menggunakan koneksi peering atau grup yang terhubung. Koneksi peering dan grup yang terhubung adalah koneksi latensi rendah yang tidak transitif antar jaringan virtual. Jaringan virtual yang di-peering atau terhubung dapat bertukar lalu lintas melalui tulang punggung Azure tanpa memerlukan router. Azure Virtual Network Manager membuat dan mengelola grup jaringan dan koneksinya.

  • Host Azure Bastion. Azure Bastion menyediakan konektivitas yang aman dari portal Azure ke komputer virtual (VM) dengan menggunakan browser Anda. Host Azure Bastion yang disebarkan di dalam jaringan virtual Azure dapat mengakses VM di jaringan virtual tersebut atau di jaringan virtual yang terhubung.

  • Azure Firewall. Instans firewall terkelola Azure Firewall ada di subnetnya sendiri.

  • Azure VPN Gateway atau gateway Azure ExpressRoute. Gateway jaringan virtual memungkinkan jaringan virtual untuk terhubung ke perangkat jaringan privat virtual (VPN) atau sirkuit Azure ExpressRoute. Gateway menyediakan konektivitas jaringan lintas lokasi. Untuk informasi selengkapnya, lihat Koneksi jaringan lokal ke jaringan virtual Microsoft Azure dan Memperluas jaringan lokal menggunakan VPN.

  • Perangkat VPN. Perangkat atau layanan VPN menyediakan konektivitas eksternal ke jaringan lintas lokasi. Perangkat VPN dapat menjadi perangkat keras atau solusi perangkat lunak seperti Perutean dan Layanan Akses Jarak Jauh (RRAS) di Windows Server. Untuk informasi selengkapnya, lihat Perangkat VPN tervalidasi dan panduan konfigurasi perangkat.

Komponen

  • Virtual Network Manager adalah layanan manajemen yang membantu Anda mengelompokkan, mengonfigurasi, menyebarkan, dan mengelola jaringan virtual dalam skala besar di seluruh langganan, wilayah, dan penyewa Azure. Dengan Virtual Network Manager, Anda dapat menentukan grup jaringan virtual untuk mengidentifikasi dan secara logis mengelompokkan jaringan virtual Anda. Anda dapat menentukan dan menerapkan konfigurasi konektivitas dan keamanan di semua jaringan virtual dalam grup jaringan sekaligus.

  • Azure Virtual Network adalah blok bangunan dasar untuk jaringan privat di Azure. Virtual Network memungkinkan banyak sumber daya Azure, seperti Azure VM, untuk berkomunikasi satu sama lain dengan aman, jaringan lintas lokasi, dan internet.

  • Azure Bastion adalah layanan terkelola penuh yang menyediakan akses Protokol Desktop Jarak Jauh (RDP) dan Protokol Shell Aman (SSH) yang lebih aman dan lancar ke VM tanpa mengekspos alamat IP publik mereka.

  • Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Virtual Network. Layanan firewall stateful ini memiliki ketersediaan tinggi bawaan dan skalabilitas cloud yang tidak dibatasi untuk membantu Anda membuat, menerapkan, dan mencatat aplikasi dan kebijakan konektivitas jaringan di seluruh langganan dan jaringan virtual.

  • VPN Gateway adalah jenis gateway jaringan virtual tertentu yang mengirim lalu lintas terenkripsi antara jaringan virtual dan lokasi lokal melalui internet publik. Anda juga dapat menggunakan VPN Gateway untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure melalui jaringan Microsoft.

  • Azure Monitor dapat mengumpulkan, menganalisis, dan bertindak berdasarkan data telemetri dari lingkungan lintas tempat, termasuk Azure dan lokal. Azure Monitor membantu Anda memaksimalkan performa dan ketersediaan aplikasi Anda dan secara proaktif mengidentifikasi masalah dalam hitungan detik.

Detail skenario

Arsitektur referensi ini menerapkan pola jaringan hub-spoke di mana jaringan virtual hub bertindak sebagai titik pusat konektivitas ke banyak jaringan virtual spoke. Jaringan virtual spoke terhubung dengan hub dan dapat digunakan untuk mengisolasi beban kerja. Anda juga dapat mengaktifkan skenario lintas lokasi dengan menggunakan hub untuk menyambungkan ke jaringan lokal.

Arsitektur ini menjelaskan pola jaringan dengan komponen infrastruktur hub yang dikelola pelanggan. Untuk solusi infrastruktur hub yang dikelola Microsoft, lihat Topologi jaringan hub-spoke dengan Azure Virtual WAN.

Manfaat menggunakan konfigurasi hub dan spoke meliputi:

  • Penghematan biaya
  • Mengatasi batas langganan
  • Isolasi beban kerja

Untuk informasi selengkapnya, lihat Topologi jaringan Hub-and-spoke.

Kemungkinan kasus penggunaan

Penggunaan umum untuk arsitektur hub dan spoke mencakup beban kerja yang:

  • Memiliki beberapa lingkungan yang memerlukan layanan bersama. Misalnya, beban kerja mungkin memiliki lingkungan pengembangan, pengujian, dan produksi. Layanan bersama mungkin mencakup ID DNS, Protokol Waktu Jaringan (NTP), atau Active Directory Domain Services (AD DS). Layanan bersama ditempatkan di jaringan virtual hub, dan setiap lingkungan disebarkan ke spoke yang berbeda untuk mempertahankan isolasi.
  • Tidak memerlukan konektivitas satu sama lain, tetapi memerlukan akses ke layanan bersama.
  • Memerlukan kontrol pusat atas keamanan, seperti firewall jaringan perimeter (juga dikenal sebagai DMZ) di hub dengan manajemen beban kerja yang dipisahkan di setiap spoke.
  • Memerlukan kontrol pusat atas konektivitas, seperti konektivitas selektif atau isolasi antara spoke lingkungan atau beban kerja tertentu.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang mengambil alih.

Grup sumber daya, langganan, dan wilayah

Contoh solusi ini menggunakan satu grup sumber daya Azure. Anda juga dapat menerapkan hub dan setiap spoke di grup sumber daya dan langganan yang berbeda.

Saat Anda melakukan peering jaringan virtual dalam langganan yang berbeda, Anda dapat mengaitkan langganan ke penyewa Microsoft Entra yang sama atau berbeda. Fleksibilitas ini memungkinkan manajemen terdesentralisasi dari setiap beban kerja sambil mempertahankan layanan bersama di hub. Lihat Membuat peering jaringan virtual - Resource Manager, langganan yang berbeda, dan penyewa Microsoft Entra.

Sebagai aturan umum, yang terbaik adalah memiliki setidaknya satu hub per wilayah. Konfigurasi ini membantu menghindari satu titik kegagalan, misalnya untuk menghindari sumber daya Wilayah A yang terpengaruh di tingkat jaringan oleh pemadaman di Wilayah B.

Subnet jaringan virtual

Rekomendasi berikut menguraikan cara mengonfigurasi subnet di jaringan virtual.

GatewaySubnet

Gateway jaringan virtual memerlukan subnet ini. Anda juga dapat menggunakan topologi hub-spoke tanpa gateway jika Anda tidak memerlukan konektivitas jaringan lintas lokasi.

Buat subnet bernama GatewaySubnet dengan rentang alamat setidaknya /27. /27 Rentang alamat memberikan opsi konfigurasi skalabilitas subnet yang cukup untuk mencegah mencapai batasan ukuran gateway di masa mendatang. Untuk informasi lebih lajut tentang pengaturan gateway, lihat arsitektur referensi berikut, bergantung pada jenis koneksi Anda:

Untuk ketersediaan yang lebih tinggi, Anda dapat menggunakan ExpressRoute plus VPN untuk failover. Lihat Menyambungkan jaringan lokal ke Azure menggunakan ExpressRoute dengan failover VPN.

AzureFirewallSubnet

Buat subnet bernama AzureFirewallSubnet dengan rentang alamat setidaknya /26. Terlepas dari skala, /26 rentang alamat adalah ukuran yang direkomendasikan dan mencakup batasan ukuran di masa mendatang. Subnet ini tidak mendukung kelompok keamanan jaringan (NSG).

Azure Firewall memerlukan subnet ini. Jika Anda menggunakan appliance virtual jaringan mitra (NVA), ikuti persyaratan jaringannya.

Konektivitas jaringan spoke

Peering jaringan virtual atau grup yang terhubung adalah hubungan non-transitif antara jaringan virtual. Jika Anda memerlukan jaringan virtual spoke untuk terhubung satu sama lain, tambahkan koneksi peering antara spoke tersebut atau letakkan di grup jaringan yang sama.

Koneksi spoke melalui Azure Firewall atau NVA

Jumlah peering jaringan virtual per jaringan virtual terbatas. Jika Anda memiliki banyak spoke yang perlu terhubung satu sama lain, Anda bisa kehabisan koneksi peering. grup Koneksi juga memiliki batasan. Untuk informasi selengkapnya, lihat Batas jaringan dan batas grup yang Koneksi.

Dalam skenario ini, pertimbangkan untuk menggunakan rute yang ditentukan pengguna (UDR) untuk memaksa lalu lintas spoke dikirim ke Azure Firewall atau NVA lain yang bertindak sebagai router di hub. Perubahan ini memungkinkan spoke untuk terhubung satu sama lain. Untuk mendukung konfigurasi ini, Anda harus menerapkan Azure Firewall dengan konfigurasi terowongan paksa diaktifkan. Untuk informasi selengkapnya, lihat Azure Firewall memaksa penerowongan.

Topologi dalam desain arsitektur ini memfasilitasi alur keluar. Meskipun Azure Firewall terutama untuk keamanan keluar, azure Firewall juga dapat menjadi titik masuk. Untuk pertimbangan selengkapnya tentang perutean masuk NVA hub, lihat Firewall dan Application Gateway untuk jaringan virtual.

Koneksi spoke ke jaringan jarak jauh melalui gateway hub

Untuk mengonfigurasi spoke untuk berkomunikasi dengan jaringan jarak jauh melalui gateway hub, Anda dapat menggunakan peering jaringan virtual atau grup jaringan yang terhubung.

Untuk menggunakan peering jaringan virtual, dalam penyiapan Peering jaringan virtual:

  • Konfigurasikan koneksi peering di hub ke Izinkan transit gateway.
  • Konfigurasikan koneksi peering di setiap spoke untuk Menggunakan gateway jaringan virtual jarak jauh.
  • Konfigurasikan semua koneksi peering ke Izinkan lalu lintas yang diteruskan.

Untuk informasi selengkapnya, lihat Membuat peering jaringan virtual.

Untuk menggunakan grup jaringan yang tersambung:

  1. Di Virtual Network Manager, buat grup jaringan dan tambahkan jaringan virtual anggota.
  2. Buat konfigurasi konektivitas hub dan spoke.
  3. Untuk grup jaringan Spoke, pilih Hub sebagai gateway.

Untuk informasi selengkapnya, lihat Membuat topologi hub dan spoke dengan Azure Virtual Network Manager.

Komunikasi jaringan spoke

Ada dua cara utama untuk memungkinkan jaringan virtual spoke berkomunikasi satu sama lain:

  • Komunikasi melalui NVA seperti firewall dan router. Metode ini menimbulkan hop antara kedua spoke.
  • Komunikasi dengan menggunakan peering jaringan virtual atau konektivitas langsung Virtual Network Manager antar spoke. Pendekatan ini tidak menyebabkan lompatan antara kedua spoke dan direkomendasikan untuk meminimalkan latensi.

Komunikasi melalui NVA

Jika Anda memerlukan konektivitas antara spoke, pertimbangkan untuk menyebarkan Azure Firewall atau NVA lain di hub. Kemudian buat rute untuk meneruskan lalu lintas dari spoke ke firewall atau NVA, yang kemudian dapat merutekan ke spoke kedua. Dalam skenario ini, Anda harus mengonfigurasi koneksi peering untuk memungkinkan lalu lintas yang diteruskan.

Diagram yang memperlihatkan perutean antar spoke menggunakan Azure Firewall

Anda juga dapat menggunakan gateway VPN untuk merutekan lalu lintas antar spoke, meskipun pilihan ini memengaruhi latensi dan throughput. Untuk detail konfigurasi, lihat Mengonfigurasi transit gateway VPN untuk peering jaringan virtual.

Evaluasi layanan yang Anda bagikan di hub untuk memastikan bahwa hub menskalakan untuk jumlah spoke yang lebih besar. Misalnya, jika hub Anda menyediakan layanan firewall, pertimbangkan batas bandwidth solusi firewall Anda saat Anda menambahkan beberapa spoke. Anda dapat memindahkan beberapa layanan bersama ini ke tingkat hub kedua.

Komunikasi langsung antara jaringan spoke

Untuk terhubung langsung antara jaringan virtual spoke tanpa melintasi jaringan virtual hub, Anda dapat membuat koneksi peering antara spoke atau mengaktifkan konektivitas langsung untuk grup jaringan. Yang terbaik adalah membatasi peering atau konektivitas langsung ke jaringan virtual spoke yang merupakan bagian dari lingkungan dan beban kerja yang sama.

Saat menggunakan Virtual Network Manager, Anda dapat menambahkan jaringan virtual spoke ke grup jaringan secara manual, atau menambahkan jaringan secara otomatis berdasarkan kondisi yang Anda tentukan. Untuk informasi selengkapnya, lihat Jaringan spoke-to-spoke.

Diagram berikut mengilustrasikan menggunakan Virtual Network Manager untuk konektivitas langsung antar spoke.

Diagram yang menunjukkan penggunaan Virtual Network Manager untuk konektivitas langsung antar spoke.

Rekomendasi manajemen

Untuk mengelola kontrol konektivitas dan keamanan secara terpusat, gunakan Virtual Network Manager untuk membuat topologi jaringan virtual hub dan spoke baru atau topologi onboarding yang ada. Menggunakan Virtual Network Manager memastikan bahwa topologi jaringan hub dan spoke Anda disiapkan untuk pertumbuhan masa depan skala besar di beberapa langganan, grup manajemen, dan wilayah.

Contoh skenario kasus penggunaan Virtual Network Manager meliputi:

  • Demokratisasi manajemen jaringan virtual spoke ke grup seperti unit bisnis atau tim aplikasi. Demokratisasi dapat mengakibatkan sejumlah besar konektivitas jaringan virtual ke jaringan virtual dan persyaratan aturan keamanan jaringan.
  • Standardisasi beberapa arsitektur replika di beberapa wilayah Azure untuk memastikan jejak global untuk aplikasi.

Untuk memastikan konektivitas seragam dan aturan keamanan jaringan, Anda dapat menggunakan grup jaringan untuk mengelompokkan jaringan virtual dalam langganan, grup manajemen, atau wilayah apa pun di bawah penyewa Microsoft Entra yang sama. Anda dapat melakukan onboarding jaringan virtual secara otomatis atau manual ke grup jaringan melalui penetapan keanggotaan dinamis atau statis.

Anda menentukan penemuan jaringan virtual yang dikelola Virtual Network Manager dengan menggunakan Cakupan. Fitur ini memberikan fleksibilitas untuk sejumlah instans manajer jaringan yang diinginkan, yang memungkinkan demokratisasi manajemen lebih lanjut untuk grup jaringan virtual.

Untuk menyambungkan jaringan virtual spoke dalam grup jaringan yang sama satu sama lain, gunakan Virtual Network Manager untuk menerapkan peering jaringan virtual atau konektivitas langsung. Gunakan opsi jala global untuk memperluas konektivitas langsung jala ke jaringan spoke di berbagai wilayah. Diagram berikut menunjukkan konektivitas jala global antar wilayah.

Diagram memperlihatkan konektivitas langsung jala global spoke di atas wilayah.

Anda dapat mengaitkan jaringan virtual dalam grup jaringan ke sekumpulan dasar aturan admin keamanan. Aturan admin keamanan grup jaringan mencegah pemilik jaringan virtual spoke menimpa aturan keamanan garis besar, sambil membiarkan mereka menambahkan sekumpulan aturan keamanan dan NSG mereka sendiri secara independen. Untuk contoh penggunaan aturan admin keamanan di topologi hub dan spoke, lihat Tutorial: Membuat jaringan hub dan spoke yang aman.

Untuk memfasilitasi peluncuran grup jaringan, konektivitas, dan aturan keamanan yang terkontrol, penyebaran konfigurasi Virtual Network Manager membantu Anda merilis perubahan konfigurasi yang berpotensi merusak lingkungan hub dan spoke dengan aman. Untuk informasi selengkapnya, lihat Penyebaran konfigurasi di Azure Virtual Network Manager.

Untuk mulai menggunakan Virtual Network Manager, lihat Membuat topologi hub dan spoke dengan Azure Virtual Network Manager.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

Untuk memastikan serangkaian aturan keamanan dasar, pastikan untuk mengaitkan aturan admin keamanan dengan jaringan virtual dalam grup jaringan. Aturan admin keamanan lebih diutamakan dan dievaluasi sebelum aturan NSG. Seperti aturan NSG, aturan admin keamanan mendukung prioritas, tag layanan, dan protokol L3-L4. Untuk informasi selengkapnya, lihat Aturan admin keamanan di Virtual Network Manager.

Gunakan penyebaran Virtual Network Manager untuk memfasilitasi peluncuran terkontrol dari perubahan yang berpotensi melanggar aturan keamanan grup jaringan.

Azure DDoS Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk memberikan lebih banyak pertahanan terhadap serangan DDoS. Anda harus mengaktifkan Azure DDOS Protection di jaringan virtual perimeter apa pun.

Pengoptimalan biaya

Pengoptimalan biaya adalah tentang cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

Pertimbangkan faktor terkait biaya berikut saat Anda menyebarkan dan mengelola jaringan hub dan spoke. Untuk informasi selebihnya, lihat Harga jaringan virtual.

Biaya Azure Firewall

Arsitektur ini menyebarkan instans Azure Firewall di jaringan hub. Menggunakan penyebaran Azure Firewall sebagai solusi bersama yang digunakan oleh beberapa beban kerja dapat secara signifikan menghemat biaya cloud dibandingkan dengan NVA lainnya. Untuk informasi selengkapnya, lihat Azure Firewall vs. appliance virtual jaringan.

Untuk menggunakan semua sumber daya yang disebarkan secara efektif, pilih ukuran Azure Firewall yang tepat. Tentukan fitur apa yang Anda butuhkan dan tingkat mana yang paling sesuai dengan set beban kerja Anda saat ini. Untuk mempelajari tentang SKU Azure Firewall yang tersedia, lihat Apa itu Azure Firewall?

Biaya alamat IP privat

Anda dapat menggunakan alamat IP privat untuk merutekan lalu lintas antara jaringan virtual yang di-peering atau antar jaringan dalam grup yang terhubung. Pertimbangan biaya berikut berlaku:

  • Lalu lintas masuk dan keluar dikenakan biaya di kedua ujung jaringan yang di-peering atau terhubung. Misalnya, transfer data dari jaringan virtual di zona 1 ke jaringan virtual lain di zona 2 menimbulkan laju transfer keluar untuk zona 1 dan tingkat masuk untuk zona 2.
  • Zona yang berbeda memiliki kecepatan transfer yang berbeda.

Rencanakan untuk alamat IP berdasarkan persyaratan peering Anda, dan pastikan ruang alamat tidak tumpang tindih di seluruh lokasi lintas lokasi dan lokasi Azure.

Keunggulan operasional

Keunggulan operasional mencakup proses operasi yang menyebarkan aplikasi dan membuatnya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.

Gunakan Azure Network Watcher untuk memantau dan memecahkan masalah komponen jaringan dengan alat berikut:

  • Analitik Lalu Lintas menunjukkan sistem di jaringan virtual Anda yang menghasilkan lalu lintas terbanyak. Anda dapat mengidentifikasi hambatan secara visual sebelum menjadi masalah.
  • Monitor Performa Jaringan memantau informasi tentang sirkuit ExpressRoute.
  • Diagnostik VPN membantu memecahkan masalah koneksi VPN situs-ke-situs yang menghubungkan aplikasi Anda ke pengguna lokal.

Pertimbangkan juga untuk mengaktifkan pembuatan log diagnostik Azure Firewall untuk mendapatkan wawasan yang lebih baik tentang permintaan DNS dan hasil izinkan/tolak dalam log.

Menyebarkan skenario ini

Penyebaran ini mencakup satu jaringan virtual hub dan dua spoke yang terhubung, dan juga menyebarkan instans Azure Firewall dan host Azure Bastion. Secara opsional, penyebaran dapat menyertakan VM di jaringan spoke pertama dan gateway VPN.

Anda dapat memilih antara peering jaringan virtual atau grup yang terhubung dengan Virtual Network Manager untuk membuat koneksi jaringan. Setiap metode memiliki beberapa opsi penyebaran.

Menggunakan peering jaringan virtual

  1. Jalankan perintah berikut untuk membuat grup sumber daya bernama hub-spoke di eastus wilayah untuk penyebaran. Pilih Coba untuk menggunakan shell yang disematkan.

    az group create --name hub-spoke --location eastus

  2. Jalankan perintah berikut untuk mengunduh templat Bicep.

    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/bicep/main.bicep > main.bicep

  3. Jalankan perintah berikut untuk menyebarkan konfigurasi jaringan hub dan spoke, peering jaringan virtual antara hub dan spoke, dan host Azure Bastion. Saat diminta, masukkan nama pengguna dan kata sandi. Anda dapat menggunakan nama pengguna dan kata sandi ini untuk mengakses VM di jaringan spoke.

    az deployment group create --resource-group hub-spoke --template-file main.bicep

Untuk informasi terperinci dan opsi penyebaran tambahan, lihat templat Hub dan Spoke ARM dan Bicep yang menyebarkan solusi ini.

Menggunakan grup yang terhubung dengan Virtual Network Manager

  1. Jalankan perintah berikut untuk membuat grup sumber daya untuk penyebaran. Pilih Coba untuk menggunakan shell yang disematkan.

    az group create --name hub-spoke --location eastus

  2. Jalankan perintah berikut untuk mengunduh templat Bicep.

    curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/main.bicep > main.bicep

  3. Jalankan perintah berikut untuk mengunduh semua modul yang diperlukan ke direktori baru.

    mkdir modules

curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/avnm.bicep > modules/avnm.bicep
curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/avnmDeploymentScript.bicep > modules/avnmDeploymentScript.bicep
curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/hub.bicep > modules/hub.bicep
curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/spoke.bicep > modules/spoke.bicep

  4. Jalankan perintah berikut untuk menyebarkan konfigurasi jaringan hub dan spoke, koneksi jaringan virtual antara hub dan spoke, dan host Bastion. Saat diminta, masukkan nama pengguna dan kata sandi. Anda dapat menggunakan nama pengguna dan kata sandi ini untuk mengakses VM di jaringan spoke.

    az deployment group create --resource-group hub-spoke --template-file main.bicep

Untuk informasi terperinci dan opsi penyebaran tambahan, lihat templat Hub dan Spoke ARM dan Bicep yang menyebarkan solusi ini.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Alejandra Palacios | Insinyur Pelanggan Senior

Kontributor lain:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya

  • Untuk mempelajari tentang hub virtual aman dan kebijakan keamanan dan perutean terkait yang dikonfigurasi Azure Firewall Manager , lihat Apa itu hub virtual yang aman?

  • Hub dalam topologi jaringan hub-spoke adalah komponen utama langganan konektivitas di zona pendaratan Azure. Untuk informasi selengkapnya tentang membangun jaringan skala besar di Azure dengan perutean dan keamanan yang dikelola oleh pelanggan atau oleh Microsoft, lihat Menentukan topologi jaringan Azure.

Jelajahi arsitektur terkait berikut: