Topologi jaringan hub-spoke di Azure

Network Watcher
Firewall
Virtual Network
Bastion
VPN Gateway

Arsitektur referensi ini adalah tentang menerapkan pola jaringan hub-spoke dengan komponen infrastruktur hub yang dikelola pelanggan. Jaringan virtual hub bertindak sebagai titik pusat konektivitas ke banyak jaringan virtual spoke. Anda juga dapat mengaktifkan skenario lintas lokasi dengan menggunakan hub untuk menyambungkan ke jaringan lokal Anda. Jaringan virtual spoke serekan dengan hub dan dapat digunakan untuk mengisolasi beban kerja.

Untuk solusi infrastruktur hub yang dikelola Microsoft, lihat Topologi jaringan hub-spoke dengan Azure Virtual WAN.

Arsitektur

Tipologi hub-spoke di Azure

Unduh file Visio arsitektur ini.

Alur kerja

Arsitektur terdiri dari aspek-aspek berikut:

  • Jaringan virtual hub: Jaringan virtual hub adalah titik pusat konektivitas untuk jaringan lintas lokasi Anda. Ini adalah tempat untuk menghosting layanan di Azure yang dapat dikonsumsi oleh berbagai beban kerja yang dihosting di jaringan virtual spoke.

  • Jaringan virtual spoke: Jaringan virtual spoke digunakan untuk mengisolasi beban kerja dalam jaringan virtual mereka sendiri, dikelola secara terpisah dari spoke lainnya. Setiap beban kerja dapat mencakup beberapa tingkatan, dengan beberapa subnet yang terhubung melalui load balancer Azure.

  • Peering jaringan virtual:Dua jaringan virtual dapat disambungkan menggunakan sebuah koneksi peering. Koneksi peering adalah koneksi non-transitif dan latensi rendah antara jaringan virtual. Setelah di-peering, jaringan virtual bertukar lalu lintas menggunakan tulang punggung Azure tanpa memerlukan router.

  • Bastion Host: Azure Bastion memungkinkan Anda terhubung dengan aman ke mesin virtual menggunakan browser dan portal Azure. Host Azure Bastion disebarkan di dalam azure Virtual Network dan dapat mengakses komputer virtual di jaringan virtual (VNet) atau di VNet yang di-peering.

  • Azure Firewall: Azure Firewall adalah layanan firewall terkelola. Instans Firewall ditempatkan di subnetnya sendiri.

  • Gateway jaringan virtual VPN atau gateway ExpressRoute. Gateway jaringan virtual memungkinkan jaringan virtual terhubung ke perangkat VPN, atau sirkuit ExpressRoute, untuk konektivitas jaringan lintas lokasi. Untuk informasi selengkapnya, lihat Menyambungkan jaringan lokal ke jaringan virtual Microsoft Azure.

  • Perangkat VPN. Perangkat atau layanan yang menyediakan konektivitas eksternal ke jaringan lintas lokasi. Perangkat VPN dapat menjadi perangkat keras atau solusi perangkat lunak seperti Perutean dan Layanan Akses Jarak Jauh (RRAS) di Windows Server. Untuk informasi selengkapnya, lihat Perangkat VPN tervalidasi dan panduan konfigurasi perangkat.

Komponen

  • Azure Virtual Network. Azure Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan pribadi Anda di Azure. VNet memungkinkan banyak sumber daya Azure, seperti Azure Virtual Machines (VM), untuk berkomunikasi satu sama lain dengan aman, jaringan lintas lokasi Anda, dan internet.

  • Azure Bastion. Azure Bastion adalah layanan terkelola penuh yang menyediakan akses Protokol Desktop Jarak Jauh (RDP) dan Protokol Shell Aman (SSH) yang lebih aman dan mulus ke komputer virtual (VM), tanpa paparan melalui alamat IP publik.

  • Azure Firewall. Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Azure Virtual Network Anda. Layanan firewall stateful memiliki ketersediaan tinggi bawaan dan skalabilitas cloud yang tidak terbatas untuk membantu Anda membuat, menerapkan, dan mencatat kebijakan konektivitas aplikasi dan jaringan di seluruh langganan dan jaringan virtual.

  • VPN Gateway. VPN Gateway mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui internet publik. Anda juga dapat menggunakan VPN Gateway untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure melalui jaringan Microsoft. Gateway VPN adalah jenis gateway jaringan virtual spesifik.

  • Azure Monitor. Mengumpulkan, menganalisis, dan bertindak berdasarkan data telemetri dari lingkungan lintas lokasi Anda, termasuk Azure dan lokal. Azure Monitor membantu Anda memaksimalkan performa dan ketersediaan aplikasi dan membantu Anda mengidentifikasi masalah secara proaktif dalam hitungan detik.

Detail skenario

Manfaat menggunakan konfigurasi hub dan spoke termasuk penghematan biaya, mengatasi batas langganan, dan isolasi beban kerja.

Potensi penggunaan kasus

Penggunaan umum untuk arsitektur ini meliputi:

  • Beban kerja yang disebarkan di lingkungan yang berbeda, seperti pengembangan, pengujian, dan produksi, memerlukan layanan bersama seperti IDS DNS, NTP, atau AD DS. Layanan bersama ditempatkan di jaringan virtual hub, sementara setiap lingkungan disebarkan ke spoke untuk mempertahankan isolasi.
  • Beban kerja yang tidak memerlukan konektivitas satu sama lain, tetapi memerlukan akses ke layanan bersama.
  • Perusahaan yang memerlukan kontrol pusat atas aspek keamanan, seperti firewall di hub sebagai DMZ, dan manajemen terpisah untuk beban kerja di setiap spoke.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang mengesampingkan rekomendasi tersebut.

Grup sumber daya

Solusi sampel yang disertakan dalam dokumen ini menggunakan satu grup tunggal sumber daya Azure. Anda dapat menerapkan hub dan setiap spoke di grup sumber daya dan langganan yang berbeda. Saat Anda melakukan peering jaringan virtual dalam langganan berbeda, kedua langganan dapat dikaitkan dengan penyewa Azure Active Directory yang sama atau berbeda. Kelonggaran ini memungkinkan manajemen desentralisasi dari setiap beban kerja sementara layanan berbagi dikelola di hub. Lihat Membuat peering jaringan virtual - Resource Manager, langganan yang berbeda, dan penyewa Azure Active Directory.

Sebagai aturan umum praktis, rekomendasinya adalah memiliki setidaknya satu hub per wilayah. Konfigurasi ini membantu menghindari satu titik kegagalan. Misalnya, untuk menghindari sumber daya Wilayah A terpengaruh di tingkat jaringan karena pemadaman di Wilayah B.

Jaringan virtual dan subnet

Rekomendasi berikut menguraikan bagaimana subnet di jaringan virtual harus dikonfigurasi.

Topologi hub-spoke juga dapat digunakan tanpa gateway jika Anda tidak memerlukan konektivitas jaringan lintas lokasi.

GatewaySubnet

Buat subnet bernama GatewaySubnet, dengan rentang alamat setidaknya /27. Rentang alamat /27 memberinya opsi konfigurasi skalabilitas yang cukup untuk mencegah mencapai batasan ukuran gateway di masa mendatang. Gateway jaringan virtual memerlukan subnet ini.

Untuk informasi lebih lajut tentang pengaturan gateway, lihat arsitektur referensi berikut, bergantung pada jenis koneksi Anda:

Untuk ketersediaan yang lebih tinggi, Anda dapat menggunakan ExpressRoute plus VPN untuk failover. Lihat Menyambungkan jaringan lokal ke Azure menggunakan ExpressRoute dengan failover VPN.

AzureFirewallSubnet

Buat subnet bernama AzureFirewallSubnet, dengan rentang alamat setidaknya /26. Terlepas dari skalanya, rentang alamat /26 adalah ukuran yang direkomendasikan dan mencakup batasan ukuran apa pun di masa mendatang. Subnet ini tidak mendukung Kelompok Keamanan Jaringan (NSG). Azure Firewall memerlukan subnet ini. Jika Anda menggunakan NVA mitra, ikuti persyaratan jaringannya.

Perekanan jaringan virtual

Peering jaringan virtual adalah hubungan nontransitif antara dua jaringan virtual. Jika Anda memerlukan spoke untuk terhubung satu sama lain, pertimbangkan untuk menambahkan koneksi peering terpisah antara spoke itu.

Misalkan Anda memiliki beberapa spoke yang perlu terhubung satu sama lain. Dalam hal ini, Anda akan kehabisan kemungkinan koneksi peering dengan cepat karena jumlah peering jaringan virtual per jaringan virtual terbatas. Untuk informasi selengkapnya, lihat Batas jaringan. Dalam skenario ini, pertimbangkan untuk menggunakan rute yang ditentukan pengguna (UDR) untuk memaksa lalu lintas yang ditujukan ke spoke untuk dikirim ke Azure Firewall atau alat virtual jaringan yang bertindak sebagai router di hub. Perubahan ini akan memungkinkan spoke untuk terhubung satu sama lain.

Meskipun Azure Firewall terutama digunakan untuk keamanan keluar, Azure Firewall dapat digunakan sebagai titik masuk. Topologi dalam artikel ini dirancang untuk memfasilitasi alur keluar. Untuk pertimbangan ingress lainnya untuk hub appliance virtual jaringan dan perutean ingress, lihat Firewall dan Application Gateway untuk jaringan virtual.

Anda juga dapat mengonfigurasi spoke untuk menggunakan hub gateway guna berkomunikasi dengan jaringan jarak jauh. Untuk memungkinkan lalu lintas gateway mengalir dari spoke ke hub, dan tersambung ke jaringan jarak jauh, Anda harus:

  • Mengonfigurasi koneksi peering di hub untuk memungkinkan transit gateway.
  • Mengonfigurasi koneksi peering di setiap spoke untuk menggunakan gateway jarak jauh.
  • Mengonfigurasi semua koneksi peering untuk memungkinkan lalu lintas yang diteruskan.

Untuk informasi lebih lanjut, lihat Membuat VNet peering.

Konektivitas spoke

Jika Anda memerlukan konektivitas antar spoke, pertimbangkan untuk menerapkan Azure Firewall atau alat virtual jaringan lainnya. Kemudian buat rute untuk meneruskan lalu lintas dari spoke ke firewall atau alat virtual jaringan, yang kemudian dapat mengarahkan ke spoke kedua. Dalam skenario ini, Anda harus mengonfigurasi koneksi peering untuk memungkinkan lalu lintas yang diteruskan.

Perutean antar spoke menggunakan Azure Firewall

Unduh file Visio arsitektur ini.

Anda juga dapat menggunakan VPN gateway untuk merutekan lalu lintas di antara spoke, meskipun pilihan ini akan memengaruhi latensi dan throughput. Lihat Mengonfigurasi transit VPN gateway untuk peering jaringan virtual untuk rincian konfigurasi.

Pertimbangkan layanan apa yang dibagi di hub untuk memastikan hub menskala untuk jumlah spoke lebih besar. Misalnya, jika hub Anda menyediakan layanan firewall, pertimbangkan batas bandwidth solusi firewall Anda saat menambahkan beberapa spoke. Anda dapat memindahkan beberapa layanan bersama ini ke tingkat hub kedua.

Untuk informasi lebih mendalam, lihat jaringan spoke-to-spoke.

Manajemen

Gunakan Azure Virtual Network Manager (AVNM) untuk membuat hub baru (dan onboarding yang ada) dan topologi jaringan virtual spoke untuk manajemen pusat konektivitas dan kontrol keamanan.

AVNM memastikan bahwa topologi jaringan hub dan spoke Anda disiapkan untuk pertumbuhan masa depan skala besar di beberapa langganan, grup manajemen, dan wilayah. Lihat contoh skenario berikut:

  • Demokratisasi manajemen jaringan virtual spoke ke grup organisasi, seperti ke unit bisnis atau tim aplikasi, yang menghasilkan sejumlah besar persyaratan konektivitas VNet-ke-VNet dan aturan keamanan jaringan.
  • Standardisasi beberapa hub replika dan arsitektur spoke di beberapa wilayah Azure untuk memastikan jejak global untuk aplikasi.

Kemampuan penemuan jaringan virtual yang diinginkan untuk dikelola melalui AVNM dapat ditentukan menggunakan fitur Cakupan . Fitur ini memungkinkan fleksibilitas pada jumlah instans sumber daya AVNM yang diinginkan, yang memungkinkan demokratisasi manajemen lebih lanjut untuk grup VNet.

VNet di langganan, grup manajemen, atau wilayah apa pun di bawah penyewa Azure AD yang sama dapat dikelompokkan ke dalam grup jaringan untuk memastikan keseragaman pada konektivitas dan aturan jaringan yang diharapkan. Jaringan virtual dapat secara otomatis atau manual di-onboard ke grup jaringan melalui keanggotaan dinamis atau statis.

Spoke VNet dalam grup jaringan yang sama dapat dihubungkan satu sama lain dengan mengaktifkan peering VNet melalui fitur konektivitas langsung AVNM. Untuk memperluas kemampuan spoke di berbagai wilayah agar memiliki konektivitas langsung, gunakan fitur jala global , yang memfasilitasi pembuatan peering VNet global. Lihat contoh diagram di bawah ini:

Diagram memperlihatkan konektivitas langsung spoke.

Untuk informasi selengkapnya tentang cara memulai, lihat Membuat topologi hub dan spoke dengan Azure Virtual Network Manager.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian prinsip panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disengaja dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

Untuk memastikan serangkaian aturan keamanan dasar, VNet dalam grup jaringan yang sama dapat dikaitkan dengan aturan admin keamanan. Aturan admin keamanan dievaluasi sebelum aturan NSG dan memiliki sifat yang sama dengan NSG, dengan dukungan untuk prioritas, tag layanan, dan protokol L3-L4.

Terakhir, untuk memfasilitasi peluncuran grup jaringan, konektivitas, dan perubahan aturan keamanan yang terkontrol, fitur penyebaran AVNM memungkinkan Anda merilis perubahan yang merusak konfigurasi ini dengan aman ke lingkungan hub-and-spoke.

Pengoptimalan biaya

Pengoptimalan biaya adalah tentang cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

Pertimbangkan item terkait-biaya berikut saat menerapkan dan mengelola jaringan hub dan spoke.

Azure Firewall

Azure Firewall diterapkan di jaringan masuk hub dalam arsitektur ini. Saat digunakan sebagai solusi bersama dan digunakan oleh beberapa beban kerja, penyebaran Azure Firewall dapat menghemat pengeluaran cloud secara signifikan melalui appliance virtual jaringan lainnya. Untuk informasi selengkapnya, lihat Azure Firewall vs. appliance virtual jaringan.

Pertimbangkan untuk melakukan rightsizing Azure Firewall untuk memastikan Anda menggunakan semua sumber daya yang disebarkan secara efektif. Tinjau fitur apa yang Anda butuhkan dan putuskan tingkat apa yang paling cocok untuk serangkaian beban kerja Anda saat ini. Lihat Apa yang Azure Firewall untuk mempelajari tentang SKU yang tersedia.

Peering jaringan virtual

Dengan menggunakan alamat IP privat, Anda dapat menggunakan peering jaringan virtual untuk merutekan lalu lintas antarjaringan virtual. Berikut beberapa poinnya:

  • Lalu lintas masuk dan keluar dibebankan di kedua ujung peered networks.
  • Zona yang berbeda memiliki kecepatan transfer yang berbeda.

Misalnya, transfer data dari jaringan virtual di zona 1 ke jaringan virtual lain di zona 2 akan dikenakan tingkat transfer keluar untuk zona 1 dan tarif masuk untuk zona 2. Untuk informasi selebihnya, lihat Harga jaringan virtual.

Pertimbangkan perencanaan untuk alamat IP berdasarkan persyaratan peering Anda, dan pastikan ruang alamat tidak tumpang tindih di seluruh lokasi lintas lokasi dan lokasi Azure.

Keunggulan operasional

Keunggulan operasional mencakup proses operasi yang menyebarkan aplikasi dan membuatnya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.

Pemantauan jaringan

Gunakan Azure Network Watcher untuk memantau dan memecahkan masalah komponen jaringan. Alat seperti Traffic Analytics akan menunjukkan kepada Anda sistem di jaringan virtual Anda yang menghasilkan lalu lintas terbanyak. Kemudian Anda secara visual dapat mengidentifikasi kemacetan sebelum mereka memburuk menjadi masalah. Network Performance Manager adalah alat yang tepat untuk memantau informasi tentang sirkuit Microsoft ExpressRoute. Diagnostik VPN adalah alat lain untuk membantu memecahkan masalah koneksi VPN situs-ke-situs yang menghubungkan aplikasi Anda ke pengguna lokal.

Untuk informasi selengkapnya, lihat Azure Network Watcher.

Anda juga harus mempertimbangkan untuk mengaktifkan pembuatan log diagnostik Azure Firewall untuk mendapatkan wawasan yang lebih baik tentang permintaan DNS dan mengizinkan/menolak hasil dalam log.

Menyebarkan skenario ini

Penyebaran ini mencakup satu jaringan virtual hub, dan dua spoke yang di-peering. Host Azure Firewall dan Azure Bastion juga diterapkan. Secara opsional, penerapan dapat mencakup mesin virtual dalam jaringan spoke pertama dan VPN gateway.

Gunakan perintah berikut ini untuk membuat grup sumber daya untuk penyebaran. Pilih tombol Coba untuk menggunakan shell yang disematkan.

az group create --name hub-spoke --location eastus

Jalankan perintah berikut untuk menerapkan konfigurasi jaringan hub dan spoke, VNet peering antara hub dan spoke, dan host Bastion. Jika diminta, masukkan nama pengguna dan kata sandi. Nilai-nilai ini dapat digunakan untuk mengakses mesin virtual yang terletak di jaringan spoke.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/azuredeploy.json

Untuk informasi rinci dan opsi penerapan tambahan, lihat templat Azure Resource Manager (ARM) yang digunakan untuk menerapkankan solusi ini.

Langkah berikutnya

Pelajari selengkapnya tentang hub virtual aman dan kebijakan keamanan dan perutean terkait yang dikonfigurasi oleh Azure Firewall Manager.

Hub dalam topologi jaringan hub-spoke adalah komponen utama dalam langganan konektivitas di Zona Pendaratan Azure.

  • Lihat Menentukan topologi jaringan Azure untuk memperluas pemahaman Anda tentang membangun jaringan skala besar yang aman di Azure dengan perutean dan keamanan yang dikelola oleh pelanggan, atau dengan Microsoft.

Jelajahi arsitektur terkait berikut: