Pusat data virtual: Perspektif jaringan
Aplikasi yang dimigrasikan dari lokal mungkin mendapat manfaat dari infrastruktur hemat biaya Azure yang aman, bahkan dengan perubahan aplikasi minimal. Perusahaan mungkin ingin menyesuaikan arsitektur mereka untuk meningkatkan kelincahan dan memanfaatkan kemampuan Azure.
Microsoft Azure memberikan layanan dan infrastruktur berskala masif dengan kemampuan dan keandalan tingkat perusahaan. Layanan dan infrastruktur ini menawarkan banyak pilihan dalam konektivitas hibrid, yang memungkinkan pelanggan untuk mengaksesnya melalui internet atau koneksi jaringan privat. Mitra Microsoft juga dapat memberikan kemampuan yang ditingkatkan dengan menawarkan layanan keamanan dan peralatan virtual yang dioptimalkan untuk berjalan di Azure.
Pelanggan dapat menggunakan Azure untuk memperluas infrastruktur mereka ke {i>cloud
Apa itu pusat data virtual?
Cloud dimulai sebagai platform untuk meng-{i>host
Solusi cloud awalnya dirancang untuk menghosting aplikasi tunggal yang relatif terisolasi di spektrum publik, yang bekerja dengan baik selama beberapa tahun. Ketika keuntungan solusi {i>cloud
Dalam contoh diagram penyebaran {i>cloud
Pusat data virtual membantu mencapai skala yang diperlukan untuk beban kerja perusahaan. Skala harus mengatasi tantangan yang diperkenalkan saat menjalankan aplikasi skala besar di cloud publik.
Implementasi pusat data virtual mencakup lebih dari beban kerja aplikasi di cloud. Ini juga menyediakan layanan jaringan, keamanan, manajemen, DNS, dan Direktori Aktif. Saat perusahaan memigrasikan lebih banyak beban kerja ke Azure, pertimbangkan infrastruktur dan objek yang mendukung beban kerja ini. Manajemen sumber daya yang baik membantu menghindari peningkatan "pulau beban kerja" yang dikelola secara terpisah dengan aliran data independen, model keamanan, dan tantangan kepatuhan.
Konsep pusat data virtual memberikan rekomendasi dan desain tingkat tinggi untuk menerapkan kumpulan entitas yang terpisah namun terkait. Entitas ini sering memiliki fungsi, fitur, dan infrastruktur pendukung umum. Melihat beban kerja Anda sebagai pusat data virtual membantu mewujudkan pengurangan biaya dari ekonomi skala. Ini juga membantu dengan keamanan yang dioptimalkan melalui sentralisasi komponen dan aliran data, dan audit operasi, manajemen, dan kepatuhan yang lebih mudah.
Catatan
Pusat data virtual bukan layanan Azure tertentu. Sebaliknya, berbagai fitur dan kemampuan Azure digabungkan untuk memenuhi kebutuhan Anda. Pusat data virtual adalah cara berpikir tentang beban kerja dan penggunaan Azure Anda untuk mengoptimalkan sumber daya dan kemampuan Anda di {i>cloud
Pusat data virtual membantu perusahaan menyebarkan beban kerja dan aplikasi di Azure untuk skenario berikut:
- Meng-{i>host
- Migrasi beban kerja dari lingkungan lokal ke Azure.
- Menerapkan persyaratan keamanan dan akses bersama atau terpusat di seluruh beban kerja.
- Mencampur Azure DevOps dan IT terpusat dengan tepat untuk perusahaan besar.
Siapa yang harus menerapkan pusat data virtual?
Setiap pelanggan yang memutuskan untuk mengadopsi Azure dapat memperoleh manfaat dari efisiensi mengonfigurasi sekumpulan sumber daya untuk penggunaan umum oleh semua aplikasi. Tergantung pada ukurannya, bahkan aplikasi tunggal dapat mengambil keuntungan dari penggunaan pola dan komponen yang digunakan untuk membangun implementasi VDC.
Beberapa organisasi memiliki tim atau departemen terpusat untuk IT, jaringan, keamanan, atau kepatuhan. Menerapkan VDC dapat membantu menegakkan titik kebijakan, memisahkan tanggung jawab, dan memastikan konsistensi komponen umum yang mendasar. Tim aplikasi dapat mempertahankan kebebasan dan kontrol yang sesuai dengan persyaratan mereka.
Organisasi dengan pendekatan DevOps juga dapat menggunakan konsep VDC untuk menyediakan kantong resmi sumber daya Azure. Metode ini memastikan grup DevOps memiliki kontrol total dalam pengelompokan tersebut, baik di tingkat langganan atau dalam grup sumber daya dalam langganan umum. Pada saat yang sama, batas jaringan dan keamanan tetap patuh. Kepatuhan ditentukan oleh kebijakan terpusat di jaringan hub dan grup sumber daya yang dikelola secara terpusat.
Pertimbangan untuk menerapkan pusat data virtual
Saat merancang pusat data virtual, pertimbangkan masalah penting ini:
Layanan identitas dan direktori
Layanan identitas dan direktori adalah kemampuan kunci dari pusat data lokal dan {i>cloud
Perusahaan besar perlu menentukan proses manajemen identitas yang menjelaskan manajemen identitas individu, autentikasi, otorisasi, peran, dan hak istimewa mereka di dalam atau di seluruh VDC mereka. Tujuan dari proses ini dapat meningkatkan keamanan dan produktivitas, sekaligus mengurangi biaya, waktu henti, dan tugas manual berulang.
Organisasi perusahaan mungkin memerlukan campuran layanan yang menuntut untuk lini bisnis yang berbeda. Karyawan sering memiliki peran yang berbeda ketika terlibat dengan proyek yang berbeda. VDC membutuhkan kerja sama yang baik antara tim yang berbeda, masing-masing dengan definisi peran tertentu untuk membuat sistem berjalan dengan tata kelola yang baik. Matriks tanggung jawab, akses, dan hak bisa menjadi kompleks. Manajemen identitas di VDC diimplementasikan melalui ID Microsoft Entra dan kontrol akses berbasis peran Azure (Azure RBAC).
Layanan direktori adalah infrastruktur informasi bersama yang mengatur lokasi, mengelola, memberikan, dan mengatur {i>item
Semua layanan bisnis online Microsoft mengandalkan ID Microsoft Entra untuk masuk dan kebutuhan identitas lainnya. ID Microsoft Entra adalah solusi cloud manajemen identitas dan akses yang komprehensif dan sangat tersedia yang menggabungkan layanan direktori inti, tata kelola identitas tingkat lanjut, dan manajemen akses aplikasi. MICROSOFT Entra ID dapat diintegrasikan dengan Active Directory lokal untuk mengaktifkan akses menyeluruh untuk semua aplikasi lokal berbasis cloud dan yang dihosting secara lokal. Atribut pengguna Active Directory lokal dapat disinkronkan secara otomatis ke ID Microsoft Entra.
Satu administrator global tidak diperlukan untuk menetapkan semua izin dalam implementasi VDC. Sebaliknya, setiap departemen, grup pengguna, atau layanan tertentu di Layanan Direktori dapat memiliki izin yang diperlukan untuk mengelola sumber daya mereka sendiri dalam implementasi VDC. Penataan izin membutuhkan penyeimbangan. Terlalu banyak izin dapat menghambat efisiensi performa, dan terlalu sedikit atau longgar dapat meningkatkan risiko keamanan. Kontrol akses berbasis peran Azure (Azure RBAC) membantu mengatasi masalah ini dengan menawarkan manajemen akses terperinci untuk sumber daya dalam implementasi VDC.
Infrastruktur keamanan
Infrastruktur keamanan mengacu pada pemisahan lalu lintas di segmen jaringan virtual spesifik implementasi VDC. Infrastruktur ini menentukan cara masuk ({i>ingress
Azure fabric mengalokasikan sumber daya infrastruktur ke beban kerja penyewa dan mengelola komunikasi ke dan dari Virtual Machines (VM). Hypervisor Azure memberlakukan pemisahan memori dan proses antar-VM dan dengan aman merutekan lalu lintas jaringan ke penyewa OS tamu.
Konektivitas ke {i>cloud
Pusat data virtual memerlukan konektivitas ke jaringan eksternal untuk menawarkan layanan kepada pelanggan, mitra, atau pengguna internal. Kebutuhan akan konektivitas ini tidak hanya mengacu pada Internet, tetapi juga ke jaringan lokal dan pusat data.
Pelanggan mengontrol layanan yang dapat mengakses dan diakses dari internet publik. Akses ini dikontrol dengan menggunakan Azure Firewall atau jenis appliance jaringan virtual (NVA) lainnya, kebijakan perutean kustom dengan menggunakan rute yang ditentukan pengguna, dan pemfilteran jaringan dengan menggunakan kelompok keamanan jaringan. Kami menyarankan agar semua sumber daya yang terhubung ke internet dilindungi oleh Azure DDoS Protection.
Perusahaan mungkin perlu menghubungkan pusat data virtual mereka ke pusat data lokal atau sumber daya lainnya. Konektivitas antara Azure dan jaringan lokal ini merupakan aspek penting ketika merancang arsitektur yang efektif. Perusahaan memiliki dua cara berbeda untuk membuat interkoneksi ini: transit melalui Internet atau melalui koneksi privat langsung.
VPN Situs ke Situs Azure menghubungkan jaringan lokal ke pusat data virtual Anda di Azure. Tautan ini dibuat melalui koneksi terenkripsi yang aman (terowongan IPsec). Koneksi VPN Situs-ke-Situs Azure fleksibel, cepat dibuat, dan biasanya tidak memerlukan pengadaan perangkat keras lagi. Berdasarkan protokol standar industri, sebagian besar perangkat jaringan saat ini dapat membuat koneksi VPN ke Azure melalui internet atau jalur konektivitas yang tersedia.
ExpressRoute memungkinkan koneksi privat antara pusat data virtual Anda dan jaringan lokal mana pun. Koneksi ExpressRoute menawarkan keamanan, keandalan, dan kecepatan yang lebih tinggi (hingga 100 Gbps), beserta dengan latensi yang konsisten. ExpressRoute memberikan keuntungan aturan kepatuhan yang terkait dengan koneksi privat. Dengan ExpressRoute Direct, Anda dapat terhubung langsung ke perute Microsoft pada kecepatan 10 Gbps atau 100 Gbps.
Menyebarkan koneksi ExpressRoute biasanya melibatkan keterlibatan dengan penyedia layanan ExpressRoute (ExpressRoute Direct menjadi pengecualian). Bagi pelanggan yang perlu memulai dengan cepat, umum awalnya untuk menggunakan VPN Situs ke Situs untuk membangun konektivitas antara pusat data virtual dan sumber daya lokal. Setelah interkoneksi fisik dengan penyedia layanan Anda selesai, migrasikan konektivitas melalui koneksi ExpressRoute Anda.
Untuk beberapa koneksi VPN, Azure Virtual WAN adalah layanan jaringan yang memberikan konektivitas cabang ke cabang yang optimal dan otomatis melalui Azure. Virtual WAN memungkinkan Anda menghubungkan dan mengonfigurasikan perangkat cabang untuk berkomunikasi dengan Azure. Menghubungkan dan mengonfigurasi dapat dilakukan baik secara manual, atau dengan menggunakan perangkat penyedia yang disukai melalui mitra Virtual WAN. Menggunakan perangkat penyedia pilihan memungkinkan kemudahan penggunaan, penyederhanaan konektivitas, dan manajemen konfigurasi. Dasbor bawaan Azure WAN menyediakan wawasan pemecahan masalah instan yang dapat membantu menghemat waktu, dan menyediakan cara mudah untuk melihat konektivitas situs-ke-situs berskala besar. Virtual WAN juga menyediakan layanan keamanan dengan Azure Firewall dan Firewall Manager opsional di hub Virtual WAN Anda.
Konektivitas di dalam {i>cloud
Azure Virtual Networks dan peering jaringan virtual adalah komponen jaringan dasar di pusat data virtual. Jaringan virtual menjamin batas isolasi untuk sumber daya pusat data virtual. {i>Peeringgrup keamanan jaringan, kebijakan firewall (Azure Firewall atau appliance virtual jaringan), dan rute kustom yang ditentukan pengguna.
Jaringan virtual adalah titik jangkar untuk mengintegrasikan platform as a service (PaaS) produk Azure seperti Azure Storage, Azure SQL, dan layanan publik terintegrasi lainnya yang memiliki titik akhir publik. Dengan titik akhir layanan dan Azure Private Link, Anda dapat mengintegrasikan layanan publik dengan jaringan privat Anda. Anda bahkan dapat mengambil layanan publik Anda secara pribadi, tetapi masih menikmati keuntungan dari layanan PaaS yang dikelola Azure.
Gambaran umum pusat data virtual
Topologi
Pusat data virtual dapat dibangun menggunakan salah satu topologi tingkat tinggi ini, berdasarkan kebutuhan dan persyaratan skala Anda:
Dalam topologi Datar, semua sumber daya disebarkan dalam satu jaringan virtual. Subnet memungkinkan kontrol aliran dan segregasi.
Dalam topologi Mesh, peering jaringan virtual menghubungkan semua jaringan virtual langsung satu sama lain.
Topologi Peering hub dan spoke sangat cocok untuk aplikasi dan tim terdistribusi dengan tanggung jawab yang didelegasikan.
Topologi Azure Virtual WAN dapat mendukung skenario kantor cabang berskala besar dan layanan WAN global.
Topologi {i>peeringspokespokeHub Virtual Network dalam diagram) atau hub Virtual WAN (berlabel seperti Azure Virtual WAN dalam diagram). Azure Virtual WAN dirancang untuk komunikasi cabang-ke-cabang dan cabang-ke-Azure yang berskala besar, atau untuk menghindari kompleksitas pembangunan semua komponen secara individual di hub {i>peeringpeeringappliance
Di topologi hub dan spoke, hub adalah zona jaringan pusat yang mengontrol dan memeriksa semua lalu lintas antara zona yang berbeda seperti internet, lokal, dan spoke. Topologi hub dan {i>spoke
Hub sering berisi komponen layanan umum yang digunakan oleh spoke. Contoh-contoh berikut adalah layanan pusat umum:
- Infrastruktur Windows Active Directory diperlukan untuk autentikasi pengguna pihak ketiga yang mengakses dari jaringan yang tidak tepercaya sebelum mereka mendapatkan akses ke beban kerja di spoke. Ini termasuk Layanan Federasi Direktori Aktif (AD FS) terkait
- Layanan Sistem Nama Terdistribusi (DNS) digunakan untuk menyelesaikan penamaan beban kerja di spoke dan untuk mengakses sumber daya lokal dan di internet jika Azure DNS tidak digunakan
- Infrastruktur kunci umum (PKI) digunakan untuk mengimplementasikan akses menyeluruh pada beban kerja
- Kontrol aliran lalu lintas TCP dan UDP antara zona jaringan spoke dan internet
- Kontrol alur antara spoke dan lokal
- Jika diperlukan, kontrol aliran antara satu spoke dan spoke lainnya
Pusat data virtual mengurangi biaya keseluruhan dengan menggunakan infrastruktur hub bersama di antara beberapa {i>spoke
Peran setiap {i>spokeSpokeSpokespoke
Batas langganan dan beberapa hub
Penting
Berdasarkan ukuran penyebaran Azure, Anda mungkin memerlukan beberapa strategi hub. Saat merancang strategi hub dan spoke Anda, tanyakan "Bisakah desain ini menskalakan untuk menggunakan jaringan virtual hub lain di wilayah ini?" dan "Dapatkah skala desain ini mengakomodasi beberapa wilayah?" Jauh lebih baik merencanakan desain yang menskalakan dan tidak membutuhkannya, daripada gagal merencanakan dan membutuhkannya.
Kapan harus menskalakan ke hub sekunder (atau lebih) tergantung pada beberapa faktor, biasanya berdasarkan batas yang melekat pada skala. Pastikan untuk meninjau langganan, jaringan virtual, dan batas mesin virtual saat merancang untuk penskalaan.
Di Azure, setiap komponen, apa pun jenisnya, disebarkan dalam langganan Azure. Isolasi komponen Azure dalam langganan Azure yang berbeda dapat memenuhi persyaratan berbagai lini bisnis, seperti menyiapkan tingkat akses dan otorisasi yang berbeda.
Implementasi VDC tunggal dapat meningkatkan sejumlah besar spoke. Meskipun, seperti halnya setiap sistem IT, ada batas platform. Penyebaran hub terikat ke langganan Azure tertentu, yang memiliki batasan dan batasan (misalnya, jumlah maksimum peering jaringan virtual. Untuk detailnya, lihat Batas, kuota, dan batasan langganan dan layanan Azure). Dalam kasus di mana batas mungkin menjadi masalah, arsitektur dapat ditingkatkan lebih lanjut dengan memperluas model dari satu hub-spoke ke kluster hub dan spoke. Beberapa hub di satu atau beberapa wilayah Azure dapat disambungkan menggunakan {i>peering
Pengenalan beberapa hub meningkatkan biaya dan upaya manajemen sistem. Ini hanya dibenarkan karena skalabilitas, batas sistem, redundansi, replikasi regional untuk performa pengguna akhir, atau pemulihan bencana. Dalam skenario yang membutuhkan beberapa hub, semua hub akan berusaha untuk menawarkan set layanan yang sama untuk kemudahan operasional.
Interkoneksi antar-{i>spoke
Di dalam satu {i>spoke
Seorang arsitek mungkin ingin menyebarkan beban kerja multitingkat di beberapa jaringan virtual. Dengan {i>peeringspokespokespokeDatabasespoke
Spoke juga dapat saling terhubung ke spoke yang bertindak sebagai hub. Pendekatan ini menciptakan hierarki dua tingkat. Spoke di tingkat yang lebih tinggi (level 0) menjadi hub spoke yang lebih rendah (tingkat 1) dari hierarki. Spoke untuk implementasi VDC diperlukan untuk meneruskan lalu lintas ke hub pusat. Lalu lintas kemudian dapat transit ke tujuannya baik di jaringan lokal atau internet publik. Arsitektur dengan dua tingkat hub memperkenalkan perutean kompleks yang menghilangkan keuntungan dari hubungan hub-{i>spoke
Meskipun Azure memungkinkan topologi yang kompleks, salah satu prinsip inti dari konsep VDC adalah pengulangan dan kesederhanaan. Untuk meminimalkan upaya manajemen, desain hub-{i>spoke
Komponen
Pusat data virtual terdiri dari empat jenis komponen dasar: Infrastruktur, Jaringan Perimeter, Beban Kerja, dan Pemantauan.
Setiap jenis komponen terdiri atas berbagai fitur dan sumber daya Azure. Implementasi VDC Anda terdiri dari instans beberapa jenis komponen dan beberapa variasi dari jenis komponen yang sama. Misalnya, Anda mungkin memiliki banyak instans beban kerja yang berbeda dan dipisahkan secara logis yang mewakili aplikasi yang berbeda. Anda menggunakan berbagai jenis komponen dan instans ini untuk membangun VDC.
Arsitektur konseptual tingkat tinggi VDC sebelumnya menunjukkan berbagai jenis komponen yang digunakan di berbagai zona topologi hub-{i>spoke
Sebagai praktik yang baik secara umum, hak akses dan hak istimewa dapat berbasis grup. Berurusan dengan grup daripada pengguna individu memudahkan pemeliharaan kebijakan akses, dengan menyediakan cara yang konsisten untuk mengelolanya di seluruh tim, yang membantu meminimalkan kesalahan konfigurasi. Menetapkan dan menghapus pengguna ke dan dari grup yang sesuai membantu menjaga hak istimewa pengguna tertentu tetap terbarui.
Setiap grup peran dapat memiliki awalan unik pada namanya. Awalan ini memudahkan untuk mengidentifikasi beban kerja mana yang terkait dengan grup. Misalnya, beban kerja yang menghosting layanan autentikasi mungkin memiliki grup bernama AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, dan AuthServiceInfraOps. Peran terpusat, atau peran yang tidak terkait dengan layanan tertentu, dapat diawali dengan Corp. Contohnya adalah CorpNetOps.
Banyak organisasi menggunakan variasi grup berikut untuk memberikan perincian utama peran:
- Tim IT pusat bernama Corp memiliki hak kepemilikan untuk mengontrol komponen infrastruktur. Contohnya adalah jaringan dan keamanan. Grup harus memiliki peran kontributor di langganan, kontrol hub, dan hak kontributor jaringan dalam {i>spoke
operasi jaringan dengan fokus eksklusif pada jaringan dan operasi keamanan grup CorpSecOps yang bertanggung jawab atas firewall dan kebijakan keamanan. Dalam kasus khusus ini, dua kelompok yang berbeda perlu dibuat untuk penugasan peran kustom ini.
- Grup dev/test bernama AppDevOps memiliki tanggung jawab untuk menerapkan beban kerja aplikasi atau layanan. Grup ini mengambil peran kontributor mesin virtual untuk penyebaran IaaS atau satu atau lebih peran kontributor PaaS. Untuk informasi selengkapnya, lihat Peran bawaan Azure. Secara opsional, tim dev/test mungkin memerlukan visibilitas di kebijakan keamanan (grup keamanan jaringan) dan kebijakan perutean (rute yang ditentukan pengguna) di dalam hub atau {i>spoke
- Grup operasi dan pemeliharaan yang disebut CorpInfraOps atau AppInfraOps memiliki tanggung jawab mengelola beban kerja dalam produksi. Grup ini harus menjadi kontributor langganan di beban kerja dalam langganan produksi apa pun. Beberapa organisasi mungkin juga mengevaluasi apakah mereka memerlukan grup tim dukungan eskalasi dengan peran kontributor langganan dalam produksi dan langganan hub pusat. Grup lain memperbaiki potensi masalah konfigurasi di lingkungan produksi.
VDC dirancang sehingga grup tim IT pusat yang mengelola hub memiliki grup yang sesuai di tingkat beban kerja. Selain mengelola sumber daya hub, tim IT pusat dapat mengontrol akses eksternal dan izin tingkat atas pada langganan. Grup beban kerja juga dapat mengontrol sumber daya dan izin jaringan virtual mereka secara independen dari tim IT pusat.
Pusat data virtual dipartisi untuk meng-{i>host
Diagram sebelumnya menunjukkan hubungan antara proyek, pengguna, grup, dan lingkungan organisasi tempat komponen Azure disebarkan.
Biasanya di bidang IT, lingkungan (atau tingkat) adalah sistem tempat beberapa aplikasi disebarkan dan dijalankan. Perusahaan besar menggunakan lingkungan pengembangan (tempat perubahan dibuat dan diuji) dan lingkungan produksi (apa yang digunakan pengguna akhir). Lingkungan tersebut dipisahkan, seringkali dengan beberapa lingkungan penahapan di antaranya, untuk memungkinkan penyebaran bertahap (peluncuran), pengujian, dan pemutaran kembali jika masalah muncul. Arsitektur penyebaran bervariasi secara signifikan, tetapi biasanya proses dasar awal di pengembangan (DEV) dan akhir di produksi (PROD) masih diikuti.
Arsitektur umum untuk jenis lingkungan multitier ini mencakup DevOps untuk pengembangan dan pengujian, UAT untuk penahapan, dan lingkungan produksi. Organisasi dapat menggunakan satu atau beberapa penyewa Microsoft Entra untuk menentukan akses dan hak ke lingkungan ini. Diagram sebelumnya menunjukkan kasus di mana dua penyewa Microsoft Entra yang berbeda digunakan: satu untuk DevOps dan UAT, dan yang lainnya secara eksklusif untuk produksi.
Kehadiran penyewa Microsoft Entra yang berbeda memberlakukan pemisahan antar lingkungan. Grup pengguna yang sama, seperti tim IT pusat, perlu mengautentikasi dengan menggunakan URI yang berbeda untuk mengakses penyewa Microsoft Entra yang berbeda. Ini memungkinkan tim untuk memodifikasi peran atau izin baik dari DevOps atau lingkungan produksi proyek. Adanya berbagai autentikasi pengguna untuk mengakses lingkungan yang beragam mengurangi kemungkinan pemadaman dan masalah lain yang disebabkan oleh kesalahan manusia.
Jenis komponen: infrastruktur
Jenis komponen ini adalah tempat sebagian besar infrastruktur pendukung berada. Ini juga adalah tempat tim IT, keamanan, dan kepatuhan terpusat Anda menghabiskan sebagian besar waktu mereka.
Komponen infrastruktur menyediakan interkoneksi untuk berbagai komponen implementasi VDC, dan tersedia di hub dan {i>spoke
Salah satu tugas utama tim infrastruktur IT adalah menjamin konsistensi skema alamat IP di seluruh perusahaan. Ruang alamat IP privat yang ditetapkan untuk implementasi VDC harus konsisten dan tidak tumpang tindih dengan alamat IP privat yang ditetapkan di jaringan lokal Anda.
Sementara NAT di perute tepi lokal atau di lingkungan Azure dapat menghindari konflik alamat IP, NAT menambah komplikasi pada komponen infrastruktur Anda. Kesederhanaan manajemen adalah salah satu tujuan utama VDC. Menggunakan NAT untuk menangani masalah IP, sementara solusi yang valid, bukanlah solusi yang direkomendasikan.
Komponen infrastruktur memiliki fungsi sebagai berikut:
- Layanan identitas dan direktori: Akses ke setiap jenis sumber daya di Azure dikontrol oleh identitas yang disimpan dalam layanan direktori. Layanan direktori tidak hanya menyimpan daftar pengguna, tetapi juga hak akses ke sumber daya dalam langganan Azure tertentu. Layanan ini dapat ada di cloud, atau dapat disinkronkan dengan identitas lokal yang disimpan di Direktori Aktif.
- Jaringan virtual: Jaringan virtual adalah salah satu komponen utama VDC, dan memungkinkan Anda membuat batas isolasi lalu lintas di platform Azure. Jaringan virtual terdiri atas satu atau beberapa segmen jaringan virtual, setiap jaringan dengan prefiks jaringan IP tertentu (subnet, baik IPv4 atau tumpukan ganda IPv4/IPv6). Jaringan virtual mendefinisikan area perimeter internal tempat mesin virtual IaaS dan layanan PaaS dapat membangun komunikasi privat. VM (dan layanan PaaS) dalam satu jaringan virtual tidak dapat berkomunikasi langsung ke VM (dan layanan PaaS) di jaringan virtual yang berbeda. Ini berlaku bahkan jika kedua jaringan virtual dibuat oleh pelanggan yang sama, di bawah langganan yang sama. Isolasi adalah properti penting yang memastikan VM dan komunikasi pelanggan tetap privat dalam jaringan virtual. Di mana konektivitas lintas jaringan diinginkan, fitur berikut menjelaskan bagaimana konektivitas tersebut dapat dicapai.
- Peering jaringan virtual: Fitur mendasar yang digunakan untuk membuat infrastruktur VDC adalah peering jaringan virtual, yang menghubungkan dua jaringan virtual di wilayah yang sama. Koneksi ini terjadi melalui jaringan pusat data Azure atau menggunakan backbone Azure di seluruh dunia di seluruh wilayah.
- Titik akhir layanan Virtual Network: Titik akhir layanan memperluas ruang alamat privat jaringan virtual Anda untuk menyertakan ruang PaaS Anda. Titik akhir juga memperluas identitas jaringan virtual Anda ke layanan Azure melalui koneksi langsung. Titik akhir memungkinkan Anda mengamankan sumber daya layanan Azure penting ke jaringan virtual.
- Private Link: Azure Private Link memungkinkan Anda mengakses Azure PaaS Services (misalnya, Azure Storage, Azure Cosmos DB, dan Azure SQL Database) dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda juga dapat membuat Layanan Private Link sendiri di jaringan virtual dan mengirimkannya secara privat ke konsumen Anda. Pengalaman penyiapan dan pemakaian menggunakan Azure Private Link bekerja secara konsisten di seluruh layanan Azure PaaS, milik pelanggan dan mitra bersama.
- Rute yang ditentukan pengguna: Lalu lintas di jaringan virtual dirutekan secara default berdasarkan tabel perutean sistem. Rute yang ditentukan pengguna adalah tabel perutean kustom yang dapat dikaitkan administrator jaringan ke satu atau beberapa subnet untuk mengambil alih perilaku tabel perutean sistem dan menentukan jalur komunikasi dalam jaringan virtual. Kehadiran rute yang ditentukan pengguna menjamin lalu lintas dari spoke transit melalui VM kustom tertentu atau appliance virtual jaringan dan load balancer yang ada di hub dan spoke.
- Kelompok keamanan jaringan: Kelompok keamanan jaringan adalah daftar aturan keamanan yang bertindak sebagai pemfilteran lalu lintas pada sumber IP, tujuan IP, protokol, port sumber IP, dan port tujuan IP (juga disebut Lapisan 4 lima tuple). Grup keamanan jaringan dapat diterapkan ke subnet, NIC Virtual yang terkait dengan Azure VM, atau keduanya. Grup keamanan jaringan sangat penting untuk menerapkan kontrol alur yang benar di hub dan di {i>spoke
port
- DNS: DNS menyediakan resolusi nama untuk sumber daya di pusat data virtual. Azure menyediakan layanan DNS untuk resolusi nama publik dan privat. Zona privat menyediakan resolusi nama dalam jaringan virtual dan di seluruh jaringan virtual. Zona privat dapat mencakup seluruh jaringan virtual di wilayah yang sama, dan di seluruh wilayah dan langganan. Untuk resolusi publik, Azure DNS menyediakan layanan yang meng-{i>host
- Pengelolaan grup manajemen, langganan, dan grup sumber daya. Langganan mendefinisikan batas alami untuk membuat beberapa grup sumber daya di Azure. Pemisahan ini dapat untuk fungsi, pemisahan peran, atau penagihan. Sumber daya dalam langganan dirakit bersama dalam wadah logis yang dikenal sebagai grup sumber daya. Grup sumber daya mewakili grup logis untuk mengatur sumber daya dalam pusat data virtual. Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure memberikan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang dikenal sebagai "grup manajemen" dan menerapkan syarat tata kelola ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen. Untuk melihat ketiga fitur ini dalam tampilan hierarki, lihat Mengatur sumber daya di Kerangka Adopsi Cloud.
- Kontrol akses berbasis peran Azure (Azure RBAC): Azure RBAC dapat memetakan peran dan hak organisasi untuk mengakses sumber daya Azure tertentu. Ini memungkinkan Anda membatasi pengguna hanya untuk subset tindakan tertentu. Jika Anda menyinkronkan ID Microsoft Entra dengan Active Directory lokal, Anda dapat menggunakan grup Direktori Aktif yang sama di Azure yang Anda gunakan secara lokal. Dengan Azure RBAC, Anda dapat memberikan akses dengan menetapkan peran yang sesuai untuk pengguna, grup, dan aplikasi dalam cakupan yang relevan. Cakupan penetapan peran dapat menjadi langganan, grup sumber daya, atau satu sumber daya Azure. Azure RBAC memungkinkan pewarisan izin. Peran yang ditetapkan di cakupan induk juga memberikan akses ke turunan yang terkandung di dalamnya. Dengan Azure RBAC, Anda dapat memisahkan tugas, dan hanya memberikan jumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka. Misalnya, satu karyawan dapat mengelola mesin virtual dalam langganan, sementara yang lain dapat mengelola {i>database
Tipe Komponen: Jaringan Perimeter
Komponen jaringan perimeter (kadang-kadang disebut jaringan DMZ) menghubungkan jaringan pusat data lokal atau fisik Anda, bersama dengan konektivitas internet apa pun. Perimeter biasanya membutuhkan investasi waktu yang signifikan dari tim jaringan dan tim keamanan Anda.
Paket masuk dapat mengalir melalui appliance keamanan di hub sebelum mencapai server dan layanan back-end di spoke. Contohnya termasuk {i>firewall
Komponen jaringan sekitar meliputi:
- Jaringan virtual, rute yang ditentukan pengguna, dan grup keamanan jaringan
- Appliance virtual jaringan
- Penyeimbang Beban Azure
- Azure Application Gateway dan Web Application Firewall (WAF)
- IP Publik
- Azure Front Door dengan Web Application Firewall (WAF)
- Azure Firewall dan Azure Firewall Manager
- DDoS Protection Standar
Biasanya, tim IT pusat dan tim keamanan memiliki tanggung jawab untuk penetapan persyaratan dan pengoperasian jaringan sekitar.
Diagram sebelumnya menunjukkan penegakan dua perimeter dengan akses ke internet dan jaringan lokal, keduanya berada di hub DMZ. Di hub DMZ, jaringan perimeter ke internet dapat ditingkatkan untuk mendukung banyak lini bisnis, menggunakan beberapa {i>farm
Catatan
Dalam diagram sebelumnya, dalam DMZ Hub, banyak fitur berikut dapat dibundel bersama-sama di hub Azure Virtual WAN (seperti jaringan virtual, rute yang ditentukan pengguna, grup keamanan jaringan, gateway VPN, gateway ExpressRoute, Azure Load Balancer, Azure Firewalls, Firewall Manager, dan DDOS). Menggunakan hub Azure Virtual WAN dapat membuat pembuatan jaringan virtual hub dan VDC jauh lebih mudah, karena sebagian besar kompleksitas teknik ditangani untuk Anda oleh Azure saat Anda menyebarkan hub Azure Virtual WAN.
Jaringan virtual. Hub biasanya dibangun di jaringan virtual dengan beberapa subnet yang menghosting berbagai jenis layanan. Layanan ini memfilter dan memeriksa lalu lintas ke atau dari internet melalui instans Azure Firewall, NVA, WAF, dan Azure Application Gateway.
Rute yang ditentukan pengguna. Dengan menggunakan rute yang ditentukan pengguna, pelanggan dapat menyebarkan firewall, IDS/IPS, dan appliance virtual lainnya. Mereka dapat merutekan lalu lintas jaringan melalui appliance keamanan ini untuk penegakan kebijakan batas keamanan, audit, dan inspeksi. Rute yang ditentukan pengguna dapat dibuat di hub dan {i>spokeNetwork Virtual Appliancesapplianceback-end
Azure Firewall adalah layanan keamanan jaringan terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah {i>firewallcloudfirewall
Jika Anda menggunakan topologi Azure Virtual WAN, Azure Firewall Manager adalah layanan manajemen keamanan yang menyediakan kebijakan keamanan pusat dan manajemen rute untuk perimeter keamanan berbasis cloud. Layanan ini berkerja sama dengan hub Azure Virtual WAN, sumber daya yang dikelola Microsoft yang memungkinkan Anda membuat arsitektur hub dan {i>spoke
Appliance virtual jaringan. Di hub, jaringan perimeter dengan akses ke internet biasanya dikelola melalui instans Azure Firewall atau {i>farmfirewall
Lini bisnis yang berbeda biasanya menggunakan banyak aplikasi web, yang cenderung terbeban oleh karena berbagai kerentanan dan potensi eksploitasi. Firewall aplikasi web adalah jenis produk khusus yang digunakan untuk mendeteksi serangan terhadap aplikasi web dan HTTP/HTTPS lebih efektif daripada firewall generik. Dibandingkan dengan teknologi {i>firewall
Firewall Azure atau firewall NVA menggunakan sarana administrasi umum, dengan sekumpulan aturan keamanan untuk melindungi beban kerja yang dihosting di spoke, dan mengontrol akses ke jaringan lokal. Azure Firewall memiliki skalabilitas bawaan, sementara {i>firewallfirewall farm
Sebaiknya gunakan satu set instans Azure Firewall, atau NVA, untuk lalu lintas yang berasal dari internet. Gunakan yang lain untuk lalu lintas yang berasal dari tempat lokal. Hanya menggunakan satu set {i>firewall
Azure Load Balancer menawarkan layanan Lapisan 4 (TCP/UDP) dengan ketersediaan tinggi, yang dapat mendistribusikan lalu lintas masuk di antara instans layanan yang ditetapkan dalam set yang bebannya diseimbangkan. Lalu lintas yang dikirim ke load balancer dari titik akhir ujung depan (titik akhir IP publik atau titik akhir IP privat) dapat didistribusikan ulang dengan atau tanpa terjemahan alamat ke sekumpulan kumpulan alamat IP back-end (seperti appliance virtual jaringan atau komputer virtual).
Azure Load Balancer dapat memeriksa kesehatan berbagai instans server. Saat instans gagal merespons pemeriksaan, penyeimbang beban berhenti mengirimkan lalu lintas ke instans yang tidak sehat. Di pusat data virtual, penyeimbang beban eksternal digunakan ke hub dan {i>spoke
Azure Front Door (AFD) adalah platform akselerasi aplikasi web Microsoft yang sangat tersedia dan dapat diskalakan, penyeimbang muatan HTTP global, perlindungan aplikasi, dan jaringan pengiriman konten. Berjalan di lebih dari 100 lokasi di tepi Jaringan Global Microsoft, AFD memungkinkan Anda membangun, mengoperasikan, dan meluaskan skala aplikasi web dinamis dan konten statis Anda. AFD menyediakan aplikasi Anda dengan kinerja pengguna akhir kelas dunia, otomatisasi pemeliharaan regional/stempel terpadu, otomatisasi BCDR, informasi klien/pengguna terpadu, penembolokan, dan wawasan layanan.
Platform ini menawarkan:
- Performa, keandalan, dan perjanjian tingkat layanan (SLA) dukungan.
- Sertifikasi kepatuhan.
- Praktik keamanan yang dapat diaudit yang dikembangkan, dioperasikan, dan didukung oleh Azure secara {i>native
Azure Front Door juga menyediakan {i>firewall
Azure Application Gateway adalah appliance virtual khusus yang menyediakan pengontrol pengiriman aplikasi terkelola. Ini menawarkan berbagai kemampuan penyeimbang beban Lapisan 7 untuk aplikasi Anda. Ini memungkinkan Anda untuk mengoptimalkan performa {i>farmgatewayround-robincookiehostgatewayFirewallgateway
IP Publik. Dengan beberapa fitur Azure, Anda dapat mengaitkan titik akhir layanan ke alamat IP publik sehingga sumber daya Anda dapat diakses dari internet. Titik akhir ini menggunakan NAT untuk merutekan lalu lintas ke alamat internal dan {i>port
Azure DDoS Protection menyediakan lebih banyak kemampuan mitigasi melalui tingkat layanan dasar yang disetel khusus untuk sumber daya jaringan virtual Azure. DDoS Protection mudah diaktifkan dan tidak memerlukan perubahan aplikasi. Kebijakan perlindungan disetel melalui pemantauan lalu lintas khusus dan algoritme pembelajaran mesin. Kebijakan diterapkan ke alamat IP publik yang terkait dengan sumber daya yang disebarkan di jaringan virtual. Contohnya termasuk azure load balancer, gateway aplikasi Azure, dan instans service fabric Azure. Log yang hampir real-time dan dihasilkan sistem tersedia melalui tampilan azure monitor selama serangan dan untuk riwayat. Perlindungan lapisan aplikasi dapat ditambahkan melalui firewall aplikasi web gateway aplikasi Azure. Proteksi diberikan untuk alamat IP publik Azure IPv4 dan IPv6.
Topologi hub dan {i>spokepeering
Dalam diagram, rute yang ditentukan pengguna memastikan bahwa lalu lintas mengalir dari {i>firewallgatewayfirewall
Jenis komponen: pemantauan
Komponen pemantauan memberikan visibilitas dan peringatan dari semua jenis komponen lainnya. Semua tim dapat memiliki akses ke pemantauan untuk komponen dan layanan yang dapat mereka akses. Jika Anda memiliki {i>help desk
Azure menawarkan berbagai jenis layanan pengelogan dan pemantauan untuk melacak perilaku sumber daya yang di-{i>host
Azure Monitor. Microsoft Azure menyertakan beberapa layanan yang secara individual melakukan peran atau tugas tertentu di ruang pemantauan. Bersama-sama, layanan tersebut memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak atas log yang dihasilkan sistem dari aplikasi Anda dan sumber daya Azure yang mendukungnya. Mereka juga dapat bekerja untuk memantau sumber daya lokal penting untuk menyediakan lingkungan pemantauan hibrid. Memahami alat dan data yang tersedia adalah langkah pertama dalam mengembangkan strategi pemantauan lengkap untuk aplikasi Anda.
Ada dua jenis log dasar di Azure Monitor:
Metrik adalah nilai numerik yang menggambarkan beberapa aspek sistem pada titik waktu tertentu. Mereka ringan dan mampu mendukung skenario mendekati real-time. Untuk banyak sumber daya Azure, Anda akan melihat data yang dikumpulkan oleh Azure Monitor langsung di halaman gambaran umum mereka di portal Azure. Sebagai contoh, lihatlah komputer virtual apa pun, dan Anda akan melihat beberapa bagan yang menampilkan metrik performa. Pilih salah satu grafik untuk membuka data di penjelajah metrik di portal Azure, yang memungkinkan Anda membuat bagan nilai beberapa metrik dari waktu ke waktu. Anda dapat melihat bagan secara interaktif atau menyematkannya ke dasbor untuk melihatnya dengan visualisasi lain.
Log berisi berbagai jenis data yang disusun ke dalam rekaman dengan set properti yang berbeda untuk setiap jenis. Peristiwa dan jejak disimpan sebagai log bersama dengan data performa, yang semuanya dapat digabungkan untuk analisis. Data log yang dikumpulkan oleh Azure Monitor dapat dianalisis dengan kueri untuk mengambil, mengonsolidasi, dan menganalisis data yang dikumpulkan dengan cepat. Log disimpan dan dikueri dari analitik log. Anda dapat membuat dan menguji kueri menggunakan analitik log di portal Azure, dan langsung menganalisis data menggunakan alat ini atau menyimpan kueri untuk digunakan dengan visualisasi atau aturan pemberitahuan.
Microsoft Azure Monitor dapat mengumpulkan data dari berbagai sumber. Anda dapat menganggap data pemantauan untuk aplikasi terjadi dalam tingkatan yang berkisar dari aplikasi ke semua OS, dan layanan yang diandalkannya, hingga ke platform Azure itu sendiri. Azure Monitor mengumpulkan data dari setiap tingkatan berikut:
- Data pemantauan aplikasi: Data tentang kinerja dan fungsionalitas kode yang Anda tulis, apa pun platformnya.
- Data pemantauan OS tamu: Data tentang sistem operasi tempat aplikasi Anda berjalan. OS ini dapat berjalan di Azure, cloud lain, atau lokal.
- Data pemantauan sumber daya Azure: Data tentang pengoperasian sumber daya Azure.
- Data pemantauan langganan Azure: Data tentang operasi dan manajemen langganan Azure, serta kesehatan dan pengoperasian Azure itu sendiri.
- Data pemantauan penyewa Azure: Data tentang pengoperasian layanan Azure tingkat penyewa, seperti ID Microsoft Entra.
- Sumber kustom: Log yang dikirim dari sumber lokal juga dapat disertakan. Contohnya termasuk peristiwa server lokal atau {i>output
Data pemantauan hanya berguna jika dapat meningkatkan visibilitas Anda ke dalam pengoperasian lingkungan komputasi Anda. Azure Monitor mencakup beberapa fitur dan alat yang memberikan wawasan berharga tentang aplikasi Anda dan sumber daya lain yang bergantung padanya. Solusi dan fitur pemantauan seperti wawasan aplikasi dan Azure Monitor untuk kontainer memberikan wawasan mendalam tentang berbagai aspek aplikasi dan layanan Azure tertentu.
Solusi pemantauan di Azure Monitor adalah set logika paket yang memberikan wawasan untuk aplikasi atau layanan tertentu. Mereka termasuk logika untuk mengumpulkan data pemantauan untuk aplikasi atau layanan, kueri untuk menganalisis data itu, dan tampilan untuk visualisasi. Solusi pemantauan tersedia dari Microsoft dan mitra untuk menyediakan pemantauan untuk berbagai layanan Azure dan aplikasi lainnya.
Dengan kumpulan data yang kaya seperti itu, penting untuk mengambil tindakan proaktif pada peristiwa yang terjadi di lingkungan Anda, terutama di mana kueri manual saja tidak akan cukup. Pemberitahuan di Azure Monitor secara proaktif memberi tahu Anda tentang kondisi kritis dan berpotensi mencoba mengambil tindakan korektif. Aturan pemberitahuan berdasarkan metrik memberikan pemberitahuan mendekati real-time berdasarkan nilai numerik. Aturan pemberitahuan berdasarkan log memungkinkan logika kompleks di seluruh data dari beberapa sumber. Aturan pemberitahuan di Azure Monitor menggunakan grup tindakan, yang berisi set penerima dan tindakan unik yang dapat dibagikan di beberapa aturan. Berdasarkan kebutuhan Anda, grup tindakan dapat menggunakan webhook yang menyebabkan pemberitahuan memulai tindakan eksternal atau berintegrasi dengan alat ITSM Anda.
Azure Monitor juga memungkinkan pembuatan dasbor khusus. Dasbor Azure memungkinkan Anda menggabungkan berbagai jenis data, termasuk metrik dan log, ke dalam satu panel di portal Microsoft Azure. Anda dapat berbagi dasbor dengan pengguna Azure lainnya secara opsional. Elemen di seluruh Azure Monitor dapat ditambahkan ke dasbor Azure selain {i>output
Akhirnya, data Azure Monitor adalah sumber {i>native
Azure Network Watcher menyediakan alat untuk memantau, mendiagnosis, dan melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya di jaringan virtual di Azure. Ini adalah layanan multifaset yang memungkinkan fungsi berikut dan banyak lagi:
- Pantau komunikasi antara komputer virtual dan endpoint.
- Melihat sumber daya dalam jaringan virtual dan hubungannya.
- Mendiagnosis masalah pemfilteran lalu lintas jaringan ke atau dari mesin virtual.
- Mendiagnosis masalah perutean jaringan dari mesin virtual.
- Mendiagnosis koneksi keluar dari sebuah mesin virtual.
- Mengambil paket ke dan dari mesin virtual.
- Mendiagnosis masalah dengan gateway dan koneksi jaringan virtual.
- Menentukan latensi relatif antara wilayah Azure dan penyedia layanan internet.
- Menampilkan aturan keamanan untuk antarmuka jaringan.
- Menampilkan metrik jaringan.
- Menganalisis lalu lintas ke atau dari grup keamanan jaringan.
- Melihat log diagnostik untuk sumber daya jaringan.
Jenis komponen: Beban kerja
Komponen beban kerja adalah tempat aplikasi dan layanan Anda yang sebenarnya berada. Di situlah tim pengembangan aplikasi Anda menghabiskan sebagian besar waktu mereka.
Kemungkinan beban kerja tidaklah terbatas. Berikut ini hanya beberapa jenis beban kerja yang mungkin:
Aplikasi internal: Aplikasi lini bisnis sangat penting untuk operasi perusahaan. Aplikasi ini memiliki beberapa karakteristik umum:
- Interaktif: Data dimasukkan, lalu hasil atau laporan didapat.
- Berbasis data: Data intensif dengan akses yang sering ke database atau penyimpanan lainnya.
- Terpadu: Menawarkan integrasi dengan sistem lain di dalam atau di luar organisasi.
Situs web yang menghadap ke pelanggan (menghadap ke internet atau menghadap secara internal): Sebagian besar aplikasi internet adalah situs web. Azure dapat menjalankan situs web melalui mesin virtual IaaS atau situs Aplikasi Web Azure (PaaS). Aplikasi web Azure terintegrasi dengan jaringan virtual untuk menyebarkan aplikasi web di zona jaringan spoke. Situs web yang menghadap secara internal tidak perlu mengekspos titik akhir internet publik karena sumber daya dapat diakses melalui alamat {i>routable
Analitik big data: Ketika data perlu meningkatkan skala ke volume yang lebih besar, database relasional mungkin tidak berperforma baik di bawah beban ekstrem atau sifat data yang tidak terstruktur. Azure HDInsight adalah layanan analitik sumber terbuka dengan spektrum penuh yang terkelola di cloud untuk perusahaan. Anda dapat menggunakan kerangka kerja sumber terbuka seperti Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, dan R. HDInsight. Ini mendukung penyebaran ke jaringan virtual berbasis lokasi, yang dapat disebarkan ke kluster dalam spoke pusat data virtual.
Peristiwa dan olahpesan: Azure Event Hubs adalah platform streaming big data dan layanan penyerapan peristiwa. Layanan ini dapat menerima dan memproses jutaan peristiwa per detik. Ini memberikan latensi rendah dan retensi waktu yang dapat dikonfigurasi, memungkinkan Anda untuk menyerap sejumlah besar data ke Azure dan membacanya dari beberapa aplikasi. Satu aliran dapat mendukung alur berbasis {i>real-timebatch
Anda dapat menerapkan layanan olahpesan cloud yang sangat andal antara aplikasi dan layanan melalui Azure Bus Layanan. Ini menawarkan olahpesan berperantara asinkron antara klien dan server, olahpesan {i>first-in-first-out
Contoh-contoh ini hampir tidak menggores permukaan jenis beban kerja yang dapat Anda buat di Azure. Anda dapat membuat semuanya mulai dari aplikasi Web dan SQL dasar hingga yang terbaru di IoT, big data, pembelajaran mesin, AI, dan banyak lagi.
Ketersediaan tinggi: beberapa pusat data virtual
Sejauh ini, artikel ini berfokus pada desain VDC tunggal, menggambarkan komponen dasar dan arsitektur yang berkontribusi terhadap ketahanan. Fitur Azure seperti Azure Load Balancer, NVA, zona ketersediaan, set ketersediaan, set skala, dan kemampuan lain yang membantu Anda menyertakan tingkat SLA yang solid ke dalam layanan produksi Anda.
Namun, karena pusat data virtual biasanya diimplementasikan dalam satu wilayah, mungkin pusat data ini rentan terhadap pemadaman yang memengaruhi seluruh wilayah. Pelanggan yang membutuhkan ketersediaan tinggi harus melindungi layanan melalui penyebaran proyek yang sama dalam dua atau lebih implementasi VDC yang digunakan ke berbagai wilayah.
Selain dalam kaitannya dengan SLA, beberapa skenario umum mendapat keuntungan dari menjalankan beberapa pusat data virtual:
- Keberadaan regional atau global pengguna akhir atau mitra Anda.
- Persyaratan pemulihan bencana.
- Mekanisme untuk mengalihkan lalu lintas antara pusat data untuk beban atau performa.
Keberadaan regional/global
Pusat data Azure ada di banyak wilayah di seluruh dunia. Saat memilih beberapa pusat data Azure, pertimbangkan dua faktor terkait: jarak geografis dan latensi. Untuk mengoptimalkan pengalaman pengguna, evaluasi jarak antara setiap pusat data virtual dan jarak dari setiap pusat data virtual ke pengguna akhir.
Wilayah Azure yang meng-{i>host
Pemulihan dari bencana
Desain rencana pemulihan bencana tergantung pada jenis beban kerja dan kemampuan untuk menyinkronkan keadaan beban kerja tersebut antara implementasi VDC yang berbeda. Idealnya, sebagian besar pelanggan menginginkan mekanisme fail-over yang cepat, dan persyaratan ini mungkin memerlukan sinkronisasi data aplikasi antara penyebaran yang berjalan dalam beberapa implementasi VDC. Namun, ketika merancang rencana pemulihan bencana, penting untuk mempertimbangkan bahwa sebagian besar aplikasi sensitif terhadap latensi yang dapat disebabkan oleh sinkronisasi data ini.
Sinkronisasi dan pemantauan detak jantung aplikasi dalam implementasi VDC yang berbeda mengharuskan mereka untuk berkomunikasi melalui jaringan. Beberapa implementasi VDC di berbagai wilayah dapat disambungkan melalui:
- Komunikasi hub-ke-hub dibangun ke dalam hub Azure Virtual WAN di seluruh wilayah dalam Virtual WAN yang sama.
- {i>Peering
- {i>Peering
- Beberapa sirkuit ExpressRoute terhubung melalui penyokong ({i>backbone
- Koneksi VPN Situs-ke-Situs antara zona hub implementasi VDC Anda di setiap wilayah Azure.
Biasanya, hub Virtual WAN, {i>peeringbandwidthbackbone
Jalankan tes kualifikasi jaringan untuk memverifikasi latensi dan {i>bandwidth
Pemulihan bencana: mengalihkan lalu lintas dari satu wilayah ke wilayah lain
Baik Azure Traffic Manager maupun Azure Front Door secara berkala memeriksa kesehatan layanan mendengarkan titik akhir dalam implementasi VDC yang berbeda. Jika titik akhir tersebut gagal, Azure Traffic Manager dan Azure Front Door merutekan secara otomatis ke VDC terdekat berikutnya. Traffic Manager menggunakan pengukuran pengguna {i>real-timebackboneanycast
Ringkasan
Pendekatan pusat data virtual untuk migrasi adalah membuat arsitektur yang dapat diskalakan yang mengoptimalkan penggunaan sumber daya Azure, menurunkan biaya, dan menyederhanakan tata kelola sistem. Pusat data virtual umumnya berdasarkan topologi hub dan jaringan {i>spokepeeringspokecloud-native
Referensi
Pelajari selengkapnya tentang kemampuan Azure yang dibahas dalam dokumen ini.
Fitur jaringan
Jaringan Virtual Azure
Kelompok Keamanan Jaringan
Titik Akhir Layanan
Private Link
Rute yang Ditentukan Pengguna
Appliance Virtual Jaringan
Alamat IP Publik
DNS Azure
Identitas
Microsoft Entra ID
Autentikasi multifaktor Microsoft Entra
Kontrol akses berbasis peran Azure
Peran bawaan Azure
Pemantauan
Network Watcher
Azure Monitor
Log Analytics
Layanan Azure lainnya
Azure Storage
Azure SQL
Azure Web Apps
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Pembelajaran Mesin Azure
Langkah berikutnya
- Pelajari selengkapnya tentang peering jaringan virtual, teknologi inti topologi hub dan spoke.
- Terapkan ID Microsoft Entra untuk menggunakan kontrol akses berbasis peran Azure.
- Kembangkan model langganan dan manajemen sumber daya menggunakan kontrol akses berbasis peran Azure yang sesuai dengan struktur, persyaratan, dan kebijakan organisasi Anda. Kegiatan yang paling penting adalah perencanaan. Menganalisis bagaimana penataan ulang, penggabungan, lini produk baru, dan pertimbangan lainnya akan memengaruhi model awal untuk memastikan Anda dapat menskalakannya sehingga memenuhi kebutuhan dan pertumbuhan di masa depan.
Pusat data virtual memerlukan konektivitas ke jaringan eksternal untuk menawarkan layanan kepada pelanggan, mitra, atau pengguna internal. Kebutuhan akan konektivitas ini tidak hanya mengacu pada Internet, tetapi juga ke jaringan lokal dan pusat data.
Pelanggan mengontrol layanan yang dapat mengakses dan diakses dari internet publik. Akses ini dikontrol dengan menggunakan Azure Firewall atau jenis appliance jaringan virtual (NVA) lainnya, kebijakan perutean kustom dengan menggunakan rute yang ditentukan pengguna, dan pemfilteran jaringan dengan menggunakan kelompok keamanan jaringan. Kami menyarankan agar semua sumber daya yang terhubung ke internet dilindungi oleh Azure DDoS Protection.
Perusahaan mungkin perlu menghubungkan pusat data virtual mereka ke pusat data lokal atau sumber daya lainnya. Konektivitas antara Azure dan jaringan lokal ini merupakan aspek penting ketika merancang arsitektur yang efektif. Perusahaan memiliki dua cara berbeda untuk membuat interkoneksi ini: transit melalui Internet atau melalui koneksi privat langsung.
VPN Situs ke Situs Azure menghubungkan jaringan lokal ke pusat data virtual Anda di Azure. Tautan ini dibuat melalui koneksi terenkripsi yang aman (terowongan IPsec). Koneksi VPN Situs-ke-Situs Azure fleksibel, cepat dibuat, dan biasanya tidak memerlukan pengadaan perangkat keras lagi. Berdasarkan protokol standar industri, sebagian besar perangkat jaringan saat ini dapat membuat koneksi VPN ke Azure melalui internet atau jalur konektivitas yang tersedia.
ExpressRoute memungkinkan koneksi privat antara pusat data virtual Anda dan jaringan lokal mana pun. Koneksi ExpressRoute menawarkan keamanan, keandalan, dan kecepatan yang lebih tinggi (hingga 100 Gbps), beserta dengan latensi yang konsisten. ExpressRoute memberikan keuntungan aturan kepatuhan yang terkait dengan koneksi privat. Dengan ExpressRoute Direct, Anda dapat terhubung langsung ke perute Microsoft pada kecepatan 10 Gbps atau 100 Gbps.
Menyebarkan koneksi ExpressRoute biasanya melibatkan keterlibatan dengan penyedia layanan ExpressRoute (ExpressRoute Direct menjadi pengecualian). Bagi pelanggan yang perlu memulai dengan cepat, umum awalnya untuk menggunakan VPN Situs ke Situs untuk membangun konektivitas antara pusat data virtual dan sumber daya lokal. Setelah interkoneksi fisik dengan penyedia layanan Anda selesai, migrasikan konektivitas melalui koneksi ExpressRoute Anda.
Untuk beberapa koneksi VPN, Azure Virtual WAN adalah layanan jaringan yang memberikan konektivitas cabang ke cabang yang optimal dan otomatis melalui Azure. Virtual WAN memungkinkan Anda menghubungkan dan mengonfigurasikan perangkat cabang untuk berkomunikasi dengan Azure. Menghubungkan dan mengonfigurasi dapat dilakukan baik secara manual, atau dengan menggunakan perangkat penyedia yang disukai melalui mitra Virtual WAN. Menggunakan perangkat penyedia pilihan memungkinkan kemudahan penggunaan, penyederhanaan konektivitas, dan manajemen konfigurasi. Dasbor bawaan Azure WAN menyediakan wawasan pemecahan masalah instan yang dapat membantu menghemat waktu, dan menyediakan cara mudah untuk melihat konektivitas situs-ke-situs berskala besar. Virtual WAN juga menyediakan layanan keamanan dengan Azure Firewall dan Firewall Manager opsional di hub Virtual WAN Anda.
Konektivitas di dalam {i>cloud
Azure Virtual Networks dan peering jaringan virtual adalah komponen jaringan dasar di pusat data virtual. Jaringan virtual menjamin batas isolasi untuk sumber daya pusat data virtual. {i>Peeringgrup keamanan jaringan, kebijakan firewall (Azure Firewall atau appliance virtual jaringan), dan rute kustom yang ditentukan pengguna.
Jaringan virtual adalah titik jangkar untuk mengintegrasikan platform as a service (PaaS) produk Azure seperti Azure Storage, Azure SQL, dan layanan publik terintegrasi lainnya yang memiliki titik akhir publik. Dengan titik akhir layanan dan Azure Private Link, Anda dapat mengintegrasikan layanan publik dengan jaringan privat Anda. Anda bahkan dapat mengambil layanan publik Anda secara pribadi, tetapi masih menikmati keuntungan dari layanan PaaS yang dikelola Azure.
Gambaran umum pusat data virtual
Topologi
Pusat data virtual dapat dibangun menggunakan salah satu topologi tingkat tinggi ini, berdasarkan kebutuhan dan persyaratan skala Anda:
Dalam topologi Datar, semua sumber daya disebarkan dalam satu jaringan virtual. Subnet memungkinkan kontrol aliran dan segregasi.
Dalam topologi Mesh, peering jaringan virtual menghubungkan semua jaringan virtual langsung satu sama lain.
Topologi Peering hub dan spoke sangat cocok untuk aplikasi dan tim terdistribusi dengan tanggung jawab yang didelegasikan.
Topologi Azure Virtual WAN dapat mendukung skenario kantor cabang berskala besar dan layanan WAN global.
Topologi {i>peeringspokespokeHub Virtual Network dalam diagram) atau hub Virtual WAN (berlabel seperti Azure Virtual WAN dalam diagram). Azure Virtual WAN dirancang untuk komunikasi cabang-ke-cabang dan cabang-ke-Azure yang berskala besar, atau untuk menghindari kompleksitas pembangunan semua komponen secara individual di hub {i>peeringpeeringappliance
Di topologi hub dan spoke, hub adalah zona jaringan pusat yang mengontrol dan memeriksa semua lalu lintas antara zona yang berbeda seperti internet, lokal, dan spoke. Topologi hub dan {i>spoke
Hub sering berisi komponen layanan umum yang digunakan oleh spoke. Contoh-contoh berikut adalah layanan pusat umum:
- Infrastruktur Windows Active Directory diperlukan untuk autentikasi pengguna pihak ketiga yang mengakses dari jaringan yang tidak tepercaya sebelum mereka mendapatkan akses ke beban kerja di spoke. Ini termasuk Layanan Federasi Direktori Aktif (AD FS) terkait
- Layanan Sistem Nama Terdistribusi (DNS) digunakan untuk menyelesaikan penamaan beban kerja di spoke dan untuk mengakses sumber daya lokal dan di internet jika Azure DNS tidak digunakan
- Infrastruktur kunci umum (PKI) digunakan untuk mengimplementasikan akses menyeluruh pada beban kerja
- Kontrol aliran lalu lintas TCP dan UDP antara zona jaringan spoke dan internet
- Kontrol alur antara spoke dan lokal
- Jika diperlukan, kontrol aliran antara satu spoke dan spoke lainnya
Pusat data virtual mengurangi biaya keseluruhan dengan menggunakan infrastruktur hub bersama di antara beberapa {i>spoke
Peran setiap {i>spokeSpokeSpokespoke
Batas langganan dan beberapa hub
Penting
Berdasarkan ukuran penyebaran Azure, Anda mungkin memerlukan beberapa strategi hub. Saat merancang strategi hub dan spoke Anda, tanyakan "Bisakah desain ini menskalakan untuk menggunakan jaringan virtual hub lain di wilayah ini?" dan "Dapatkah skala desain ini mengakomodasi beberapa wilayah?" Jauh lebih baik merencanakan desain yang menskalakan dan tidak membutuhkannya, daripada gagal merencanakan dan membutuhkannya.
Kapan harus menskalakan ke hub sekunder (atau lebih) tergantung pada beberapa faktor, biasanya berdasarkan batas yang melekat pada skala. Pastikan untuk meninjau langganan, jaringan virtual, dan batas mesin virtual saat merancang untuk penskalaan.
Di Azure, setiap komponen, apa pun jenisnya, disebarkan dalam langganan Azure. Isolasi komponen Azure dalam langganan Azure yang berbeda dapat memenuhi persyaratan berbagai lini bisnis, seperti menyiapkan tingkat akses dan otorisasi yang berbeda.
Implementasi VDC tunggal dapat meningkatkan sejumlah besar spoke. Meskipun, seperti halnya setiap sistem IT, ada batas platform. Penyebaran hub terikat ke langganan Azure tertentu, yang memiliki batasan dan batasan (misalnya, jumlah maksimum peering jaringan virtual. Untuk detailnya, lihat Batas, kuota, dan batasan langganan dan layanan Azure). Dalam kasus di mana batas mungkin menjadi masalah, arsitektur dapat ditingkatkan lebih lanjut dengan memperluas model dari satu hub-spoke ke kluster hub dan spoke. Beberapa hub di satu atau beberapa wilayah Azure dapat disambungkan menggunakan {i>peering
Pengenalan beberapa hub meningkatkan biaya dan upaya manajemen sistem. Ini hanya dibenarkan karena skalabilitas, batas sistem, redundansi, replikasi regional untuk performa pengguna akhir, atau pemulihan bencana. Dalam skenario yang membutuhkan beberapa hub, semua hub akan berusaha untuk menawarkan set layanan yang sama untuk kemudahan operasional.
Interkoneksi antar-{i>spoke
Di dalam satu {i>spoke
Seorang arsitek mungkin ingin menyebarkan beban kerja multitingkat di beberapa jaringan virtual. Dengan {i>peeringspokespokespokeDatabasespoke
Spoke juga dapat saling terhubung ke spoke yang bertindak sebagai hub. Pendekatan ini menciptakan hierarki dua tingkat. Spoke di tingkat yang lebih tinggi (level 0) menjadi hub spoke yang lebih rendah (tingkat 1) dari hierarki. Spoke untuk implementasi VDC diperlukan untuk meneruskan lalu lintas ke hub pusat. Lalu lintas kemudian dapat transit ke tujuannya baik di jaringan lokal atau internet publik. Arsitektur dengan dua tingkat hub memperkenalkan perutean kompleks yang menghilangkan keuntungan dari hubungan hub-{i>spoke
Meskipun Azure memungkinkan topologi yang kompleks, salah satu prinsip inti dari konsep VDC adalah pengulangan dan kesederhanaan. Untuk meminimalkan upaya manajemen, desain hub-{i>spoke
Komponen
Pusat data virtual terdiri dari empat jenis komponen dasar: Infrastruktur, Jaringan Perimeter, Beban Kerja, dan Pemantauan.
Setiap jenis komponen terdiri atas berbagai fitur dan sumber daya Azure. Implementasi VDC Anda terdiri dari instans beberapa jenis komponen dan beberapa variasi dari jenis komponen yang sama. Misalnya, Anda mungkin memiliki banyak instans beban kerja yang berbeda dan dipisahkan secara logis yang mewakili aplikasi yang berbeda. Anda menggunakan berbagai jenis komponen dan instans ini untuk membangun VDC.
Arsitektur konseptual tingkat tinggi VDC sebelumnya menunjukkan berbagai jenis komponen yang digunakan di berbagai zona topologi hub-{i>spoke
Sebagai praktik yang baik secara umum, hak akses dan hak istimewa dapat berbasis grup. Berurusan dengan grup daripada pengguna individu memudahkan pemeliharaan kebijakan akses, dengan menyediakan cara yang konsisten untuk mengelolanya di seluruh tim, yang membantu meminimalkan kesalahan konfigurasi. Menetapkan dan menghapus pengguna ke dan dari grup yang sesuai membantu menjaga hak istimewa pengguna tertentu tetap terbarui.
Setiap grup peran dapat memiliki awalan unik pada namanya. Awalan ini memudahkan untuk mengidentifikasi beban kerja mana yang terkait dengan grup. Misalnya, beban kerja yang menghosting layanan autentikasi mungkin memiliki grup bernama AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, dan AuthServiceInfraOps. Peran terpusat, atau peran yang tidak terkait dengan layanan tertentu, dapat diawali dengan Corp. Contohnya adalah CorpNetOps.
Banyak organisasi menggunakan variasi grup berikut untuk memberikan perincian utama peran:
- Tim IT pusat bernama Corp memiliki hak kepemilikan untuk mengontrol komponen infrastruktur. Contohnya adalah jaringan dan keamanan. Grup harus memiliki peran kontributor di langganan, kontrol hub, dan hak kontributor jaringan dalam {i>spoke
operasi jaringan dengan fokus eksklusif pada jaringan dan operasi keamanan grup CorpSecOps yang bertanggung jawab atas firewall dan kebijakan keamanan. Dalam kasus khusus ini, dua kelompok yang berbeda perlu dibuat untuk penugasan peran kustom ini.
- Grup dev/test bernama AppDevOps memiliki tanggung jawab untuk menerapkan beban kerja aplikasi atau layanan. Grup ini mengambil peran kontributor mesin virtual untuk penyebaran IaaS atau satu atau lebih peran kontributor PaaS. Untuk informasi selengkapnya, lihat Peran bawaan Azure. Secara opsional, tim dev/test mungkin memerlukan visibilitas di kebijakan keamanan (grup keamanan jaringan) dan kebijakan perutean (rute yang ditentukan pengguna) di dalam hub atau {i>spoke
- Grup operasi dan pemeliharaan yang disebut CorpInfraOps atau AppInfraOps memiliki tanggung jawab mengelola beban kerja dalam produksi. Grup ini harus menjadi kontributor langganan di beban kerja dalam langganan produksi apa pun. Beberapa organisasi mungkin juga mengevaluasi apakah mereka memerlukan grup tim dukungan eskalasi dengan peran kontributor langganan dalam produksi dan langganan hub pusat. Grup lain memperbaiki potensi masalah konfigurasi di lingkungan produksi.
VDC dirancang sehingga grup tim IT pusat yang mengelola hub memiliki grup yang sesuai di tingkat beban kerja. Selain mengelola sumber daya hub, tim IT pusat dapat mengontrol akses eksternal dan izin tingkat atas pada langganan. Grup beban kerja juga dapat mengontrol sumber daya dan izin jaringan virtual mereka secara independen dari tim IT pusat.
Pusat data virtual dipartisi untuk meng-{i>host
Diagram sebelumnya menunjukkan hubungan antara proyek, pengguna, grup, dan lingkungan organisasi tempat komponen Azure disebarkan.
Biasanya di bidang IT, lingkungan (atau tingkat) adalah sistem tempat beberapa aplikasi disebarkan dan dijalankan. Perusahaan besar menggunakan lingkungan pengembangan (tempat perubahan dibuat dan diuji) dan lingkungan produksi (apa yang digunakan pengguna akhir). Lingkungan tersebut dipisahkan, seringkali dengan beberapa lingkungan penahapan di antaranya, untuk memungkinkan penyebaran bertahap (peluncuran), pengujian, dan pemutaran kembali jika masalah muncul. Arsitektur penyebaran bervariasi secara signifikan, tetapi biasanya proses dasar awal di pengembangan (DEV) dan akhir di produksi (PROD) masih diikuti.
Arsitektur umum untuk jenis lingkungan multitier ini mencakup DevOps untuk pengembangan dan pengujian, UAT untuk penahapan, dan lingkungan produksi. Organisasi dapat menggunakan satu atau beberapa penyewa Microsoft Entra untuk menentukan akses dan hak ke lingkungan ini. Diagram sebelumnya menunjukkan kasus di mana dua penyewa Microsoft Entra yang berbeda digunakan: satu untuk DevOps dan UAT, dan yang lainnya secara eksklusif untuk produksi.
Kehadiran penyewa Microsoft Entra yang berbeda memberlakukan pemisahan antar lingkungan. Grup pengguna yang sama, seperti tim IT pusat, perlu mengautentikasi dengan menggunakan URI yang berbeda untuk mengakses penyewa Microsoft Entra yang berbeda. Ini memungkinkan tim untuk memodifikasi peran atau izin baik dari DevOps atau lingkungan produksi proyek. Adanya berbagai autentikasi pengguna untuk mengakses lingkungan yang beragam mengurangi kemungkinan pemadaman dan masalah lain yang disebabkan oleh kesalahan manusia.
Jenis komponen: infrastruktur
Jenis komponen ini adalah tempat sebagian besar infrastruktur pendukung berada. Ini juga adalah tempat tim IT, keamanan, dan kepatuhan terpusat Anda menghabiskan sebagian besar waktu mereka.
Komponen infrastruktur menyediakan interkoneksi untuk berbagai komponen implementasi VDC, dan tersedia di hub dan {i>spoke
Salah satu tugas utama tim infrastruktur IT adalah menjamin konsistensi skema alamat IP di seluruh perusahaan. Ruang alamat IP privat yang ditetapkan untuk implementasi VDC harus konsisten dan tidak tumpang tindih dengan alamat IP privat yang ditetapkan di jaringan lokal Anda.
Sementara NAT di perute tepi lokal atau di lingkungan Azure dapat menghindari konflik alamat IP, NAT menambah komplikasi pada komponen infrastruktur Anda. Kesederhanaan manajemen adalah salah satu tujuan utama VDC. Menggunakan NAT untuk menangani masalah IP, sementara solusi yang valid, bukanlah solusi yang direkomendasikan.
Komponen infrastruktur memiliki fungsi sebagai berikut:
- Layanan identitas dan direktori: Akses ke setiap jenis sumber daya di Azure dikontrol oleh identitas yang disimpan dalam layanan direktori. Layanan direktori tidak hanya menyimpan daftar pengguna, tetapi juga hak akses ke sumber daya dalam langganan Azure tertentu. Layanan ini dapat ada di cloud, atau dapat disinkronkan dengan identitas lokal yang disimpan di Direktori Aktif.
- Jaringan virtual: Jaringan virtual adalah salah satu komponen utama VDC, dan memungkinkan Anda membuat batas isolasi lalu lintas di platform Azure. Jaringan virtual terdiri atas satu atau beberapa segmen jaringan virtual, setiap jaringan dengan prefiks jaringan IP tertentu (subnet, baik IPv4 atau tumpukan ganda IPv4/IPv6). Jaringan virtual mendefinisikan area perimeter internal tempat mesin virtual IaaS dan layanan PaaS dapat membangun komunikasi privat. VM (dan layanan PaaS) dalam satu jaringan virtual tidak dapat berkomunikasi langsung ke VM (dan layanan PaaS) di jaringan virtual yang berbeda. Ini berlaku bahkan jika kedua jaringan virtual dibuat oleh pelanggan yang sama, di bawah langganan yang sama. Isolasi adalah properti penting yang memastikan VM dan komunikasi pelanggan tetap privat dalam jaringan virtual. Di mana konektivitas lintas jaringan diinginkan, fitur berikut menjelaskan bagaimana konektivitas tersebut dapat dicapai.
- Peering jaringan virtual: Fitur mendasar yang digunakan untuk membuat infrastruktur VDC adalah peering jaringan virtual, yang menghubungkan dua jaringan virtual di wilayah yang sama. Koneksi ini terjadi melalui jaringan pusat data Azure atau menggunakan backbone Azure di seluruh dunia di seluruh wilayah.
- Titik akhir layanan Virtual Network: Titik akhir layanan memperluas ruang alamat privat jaringan virtual Anda untuk menyertakan ruang PaaS Anda. Titik akhir juga memperluas identitas jaringan virtual Anda ke layanan Azure melalui koneksi langsung. Titik akhir memungkinkan Anda mengamankan sumber daya layanan Azure penting ke jaringan virtual.
- Private Link: Azure Private Link memungkinkan Anda mengakses Azure PaaS Services (misalnya, Azure Storage, Azure Cosmos DB, dan Azure SQL Database) dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda juga dapat membuat Layanan Private Link sendiri di jaringan virtual dan mengirimkannya secara privat ke konsumen Anda. Pengalaman penyiapan dan pemakaian menggunakan Azure Private Link bekerja secara konsisten di seluruh layanan Azure PaaS, milik pelanggan dan mitra bersama.
- Rute yang ditentukan pengguna: Lalu lintas di jaringan virtual dirutekan secara default berdasarkan tabel perutean sistem. Rute yang ditentukan pengguna adalah tabel perutean kustom yang dapat dikaitkan administrator jaringan ke satu atau beberapa subnet untuk mengambil alih perilaku tabel perutean sistem dan menentukan jalur komunikasi dalam jaringan virtual. Kehadiran rute yang ditentukan pengguna menjamin lalu lintas dari spoke transit melalui VM kustom tertentu atau appliance virtual jaringan dan load balancer yang ada di hub dan spoke.
- Kelompok keamanan jaringan: Kelompok keamanan jaringan adalah daftar aturan keamanan yang bertindak sebagai pemfilteran lalu lintas pada sumber IP, tujuan IP, protokol, port sumber IP, dan port tujuan IP (juga disebut Lapisan 4 lima tuple). Grup keamanan jaringan dapat diterapkan ke subnet, NIC Virtual yang terkait dengan Azure VM, atau keduanya. Grup keamanan jaringan sangat penting untuk menerapkan kontrol alur yang benar di hub dan di {i>spoke
port
- DNS: DNS menyediakan resolusi nama untuk sumber daya di pusat data virtual. Azure menyediakan layanan DNS untuk resolusi nama publik dan privat. Zona privat menyediakan resolusi nama dalam jaringan virtual dan di seluruh jaringan virtual. Zona privat dapat mencakup seluruh jaringan virtual di wilayah yang sama, dan di seluruh wilayah dan langganan. Untuk resolusi publik, Azure DNS menyediakan layanan yang meng-{i>host
- Pengelolaan grup manajemen, langganan, dan grup sumber daya. Langganan mendefinisikan batas alami untuk membuat beberapa grup sumber daya di Azure. Pemisahan ini dapat untuk fungsi, pemisahan peran, atau penagihan. Sumber daya dalam langganan dirakit bersama dalam wadah logis yang dikenal sebagai grup sumber daya. Grup sumber daya mewakili grup logis untuk mengatur sumber daya dalam pusat data virtual. Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure memberikan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang dikenal sebagai "grup manajemen" dan menerapkan syarat tata kelola ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen. Untuk melihat ketiga fitur ini dalam tampilan hierarki, lihat Mengatur sumber daya di Kerangka Adopsi Cloud.
- Kontrol akses berbasis peran Azure (Azure RBAC): Azure RBAC dapat memetakan peran dan hak organisasi untuk mengakses sumber daya Azure tertentu. Ini memungkinkan Anda membatasi pengguna hanya untuk subset tindakan tertentu. Jika Anda menyinkronkan ID Microsoft Entra dengan Active Directory lokal, Anda dapat menggunakan grup Direktori Aktif yang sama di Azure yang Anda gunakan secara lokal. Dengan Azure RBAC, Anda dapat memberikan akses dengan menetapkan peran yang sesuai untuk pengguna, grup, dan aplikasi dalam cakupan yang relevan. Cakupan penetapan peran dapat menjadi langganan, grup sumber daya, atau satu sumber daya Azure. Azure RBAC memungkinkan pewarisan izin. Peran yang ditetapkan di cakupan induk juga memberikan akses ke turunan yang terkandung di dalamnya. Dengan Azure RBAC, Anda dapat memisahkan tugas, dan hanya memberikan jumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka. Misalnya, satu karyawan dapat mengelola mesin virtual dalam langganan, sementara yang lain dapat mengelola {i>database
Tipe Komponen: Jaringan Perimeter
Komponen jaringan perimeter (kadang-kadang disebut jaringan DMZ) menghubungkan jaringan pusat data lokal atau fisik Anda, bersama dengan konektivitas internet apa pun. Perimeter biasanya membutuhkan investasi waktu yang signifikan dari tim jaringan dan tim keamanan Anda.
Paket masuk dapat mengalir melalui appliance keamanan di hub sebelum mencapai server dan layanan back-end di spoke. Contohnya termasuk {i>firewall
Komponen jaringan sekitar meliputi:
- Jaringan virtual, rute yang ditentukan pengguna, dan grup keamanan jaringan
- Appliance virtual jaringan
- Penyeimbang Beban Azure
- Azure Application Gateway dan Web Application Firewall (WAF)
- IP Publik
- Azure Front Door dengan Web Application Firewall (WAF)
- Azure Firewall dan Azure Firewall Manager
- DDoS Protection Standar
Biasanya, tim IT pusat dan tim keamanan memiliki tanggung jawab untuk penetapan persyaratan dan pengoperasian jaringan sekitar.
Diagram sebelumnya menunjukkan penegakan dua perimeter dengan akses ke internet dan jaringan lokal, keduanya berada di hub DMZ. Di hub DMZ, jaringan perimeter ke internet dapat ditingkatkan untuk mendukung banyak lini bisnis, menggunakan beberapa {i>farm
Catatan
Dalam diagram sebelumnya, dalam DMZ Hub, banyak fitur berikut dapat dibundel bersama-sama di hub Azure Virtual WAN (seperti jaringan virtual, rute yang ditentukan pengguna, grup keamanan jaringan, gateway VPN, gateway ExpressRoute, Azure Load Balancer, Azure Firewalls, Firewall Manager, dan DDOS). Menggunakan hub Azure Virtual WAN dapat membuat pembuatan jaringan virtual hub dan VDC jauh lebih mudah, karena sebagian besar kompleksitas teknik ditangani untuk Anda oleh Azure saat Anda menyebarkan hub Azure Virtual WAN.
Jaringan virtual. Hub biasanya dibangun di jaringan virtual dengan beberapa subnet yang menghosting berbagai jenis layanan. Layanan ini memfilter dan memeriksa lalu lintas ke atau dari internet melalui instans Azure Firewall, NVA, WAF, dan Azure Application Gateway.
Rute yang ditentukan pengguna. Dengan menggunakan rute yang ditentukan pengguna, pelanggan dapat menyebarkan firewall, IDS/IPS, dan appliance virtual lainnya. Mereka dapat merutekan lalu lintas jaringan melalui appliance keamanan ini untuk penegakan kebijakan batas keamanan, audit, dan inspeksi. Rute yang ditentukan pengguna dapat dibuat di hub dan {i>spokeNetwork Virtual Appliancesapplianceback-end
Azure Firewall adalah layanan keamanan jaringan terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah {i>firewallcloudfirewall
Jika Anda menggunakan topologi Azure Virtual WAN, Azure Firewall Manager adalah layanan manajemen keamanan yang menyediakan kebijakan keamanan pusat dan manajemen rute untuk perimeter keamanan berbasis cloud. Layanan ini berkerja sama dengan hub Azure Virtual WAN, sumber daya yang dikelola Microsoft yang memungkinkan Anda membuat arsitektur hub dan {i>spoke
Appliance virtual jaringan. Di hub, jaringan perimeter dengan akses ke internet biasanya dikelola melalui instans Azure Firewall atau {i>farmfirewall
Lini bisnis yang berbeda biasanya menggunakan banyak aplikasi web, yang cenderung terbeban oleh karena berbagai kerentanan dan potensi eksploitasi. Firewall aplikasi web adalah jenis produk khusus yang digunakan untuk mendeteksi serangan terhadap aplikasi web dan HTTP/HTTPS lebih efektif daripada firewall generik. Dibandingkan dengan teknologi {i>firewall
Firewall Azure atau firewall NVA menggunakan sarana administrasi umum, dengan sekumpulan aturan keamanan untuk melindungi beban kerja yang dihosting di spoke, dan mengontrol akses ke jaringan lokal. Azure Firewall memiliki skalabilitas bawaan, sementara {i>firewallfirewall farm
Sebaiknya gunakan satu set instans Azure Firewall, atau NVA, untuk lalu lintas yang berasal dari internet. Gunakan yang lain untuk lalu lintas yang berasal dari tempat lokal. Hanya menggunakan satu set {i>firewall
Azure Load Balancer menawarkan layanan Lapisan 4 (TCP/UDP) dengan ketersediaan tinggi, yang dapat mendistribusikan lalu lintas masuk di antara instans layanan yang ditetapkan dalam set yang bebannya diseimbangkan. Lalu lintas yang dikirim ke load balancer dari titik akhir ujung depan (titik akhir IP publik atau titik akhir IP privat) dapat didistribusikan ulang dengan atau tanpa terjemahan alamat ke sekumpulan kumpulan alamat IP back-end (seperti appliance virtual jaringan atau komputer virtual).
Azure Load Balancer dapat memeriksa kesehatan berbagai instans server. Saat instans gagal merespons pemeriksaan, penyeimbang beban berhenti mengirimkan lalu lintas ke instans yang tidak sehat. Di pusat data virtual, penyeimbang beban eksternal digunakan ke hub dan {i>spoke
Azure Front Door (AFD) adalah platform akselerasi aplikasi web Microsoft yang sangat tersedia dan dapat diskalakan, penyeimbang muatan HTTP global, perlindungan aplikasi, dan jaringan pengiriman konten. Berjalan di lebih dari 100 lokasi di tepi Jaringan Global Microsoft, AFD memungkinkan Anda membangun, mengoperasikan, dan meluaskan skala aplikasi web dinamis dan konten statis Anda. AFD menyediakan aplikasi Anda dengan kinerja pengguna akhir kelas dunia, otomatisasi pemeliharaan regional/stempel terpadu, otomatisasi BCDR, informasi klien/pengguna terpadu, penembolokan, dan wawasan layanan.
Platform ini menawarkan:
- Performa, keandalan, dan perjanjian tingkat layanan (SLA) dukungan.
- Sertifikasi kepatuhan.
- Praktik keamanan yang dapat diaudit yang dikembangkan, dioperasikan, dan didukung oleh Azure secara {i>native
Azure Front Door juga menyediakan {i>firewall
Azure Application Gateway adalah appliance virtual khusus yang menyediakan pengontrol pengiriman aplikasi terkelola. Ini menawarkan berbagai kemampuan penyeimbang beban Lapisan 7 untuk aplikasi Anda. Ini memungkinkan Anda untuk mengoptimalkan performa {i>farmgatewayround-robincookiehostgatewayFirewallgateway
IP Publik. Dengan beberapa fitur Azure, Anda dapat mengaitkan titik akhir layanan ke alamat IP publik sehingga sumber daya Anda dapat diakses dari internet. Titik akhir ini menggunakan NAT untuk merutekan lalu lintas ke alamat internal dan {i>port
Azure DDoS Protection menyediakan lebih banyak kemampuan mitigasi melalui tingkat layanan dasar yang disetel khusus untuk sumber daya jaringan virtual Azure. DDoS Protection mudah diaktifkan dan tidak memerlukan perubahan aplikasi. Kebijakan perlindungan disetel melalui pemantauan lalu lintas khusus dan algoritme pembelajaran mesin. Kebijakan diterapkan ke alamat IP publik yang terkait dengan sumber daya yang disebarkan di jaringan virtual. Contohnya termasuk azure load balancer, gateway aplikasi Azure, dan instans service fabric Azure. Log yang hampir real-time dan dihasilkan sistem tersedia melalui tampilan azure monitor selama serangan dan untuk riwayat. Perlindungan lapisan aplikasi dapat ditambahkan melalui firewall aplikasi web gateway aplikasi Azure. Proteksi diberikan untuk alamat IP publik Azure IPv4 dan IPv6.
Topologi hub dan {i>spokepeering
Dalam diagram, rute yang ditentukan pengguna memastikan bahwa lalu lintas mengalir dari {i>firewallgatewayfirewall
Jenis komponen: pemantauan
Komponen pemantauan memberikan visibilitas dan peringatan dari semua jenis komponen lainnya. Semua tim dapat memiliki akses ke pemantauan untuk komponen dan layanan yang dapat mereka akses. Jika Anda memiliki {i>help desk
Azure menawarkan berbagai jenis layanan pengelogan dan pemantauan untuk melacak perilaku sumber daya yang di-{i>host
Azure Monitor. Microsoft Azure menyertakan beberapa layanan yang secara individual melakukan peran atau tugas tertentu di ruang pemantauan. Bersama-sama, layanan tersebut memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak atas log yang dihasilkan sistem dari aplikasi Anda dan sumber daya Azure yang mendukungnya. Mereka juga dapat bekerja untuk memantau sumber daya lokal penting untuk menyediakan lingkungan pemantauan hibrid. Memahami alat dan data yang tersedia adalah langkah pertama dalam mengembangkan strategi pemantauan lengkap untuk aplikasi Anda.
Ada dua jenis log dasar di Azure Monitor:
Metrik adalah nilai numerik yang menggambarkan beberapa aspek sistem pada titik waktu tertentu. Mereka ringan dan mampu mendukung skenario mendekati real-time. Untuk banyak sumber daya Azure, Anda akan melihat data yang dikumpulkan oleh Azure Monitor langsung di halaman gambaran umum mereka di portal Azure. Sebagai contoh, lihatlah komputer virtual apa pun, dan Anda akan melihat beberapa bagan yang menampilkan metrik performa. Pilih salah satu grafik untuk membuka data di penjelajah metrik di portal Azure, yang memungkinkan Anda membuat bagan nilai beberapa metrik dari waktu ke waktu. Anda dapat melihat bagan secara interaktif atau menyematkannya ke dasbor untuk melihatnya dengan visualisasi lain.
Log berisi berbagai jenis data yang disusun ke dalam rekaman dengan set properti yang berbeda untuk setiap jenis. Peristiwa dan jejak disimpan sebagai log bersama dengan data performa, yang semuanya dapat digabungkan untuk analisis. Data log yang dikumpulkan oleh Azure Monitor dapat dianalisis dengan kueri untuk mengambil, mengonsolidasi, dan menganalisis data yang dikumpulkan dengan cepat. Log disimpan dan dikueri dari analitik log. Anda dapat membuat dan menguji kueri menggunakan analitik log di portal Azure, dan langsung menganalisis data menggunakan alat ini atau menyimpan kueri untuk digunakan dengan visualisasi atau aturan pemberitahuan.
Microsoft Azure Monitor dapat mengumpulkan data dari berbagai sumber. Anda dapat menganggap data pemantauan untuk aplikasi terjadi dalam tingkatan yang berkisar dari aplikasi ke semua OS, dan layanan yang diandalkannya, hingga ke platform Azure itu sendiri. Azure Monitor mengumpulkan data dari setiap tingkatan berikut:
- Data pemantauan aplikasi: Data tentang kinerja dan fungsionalitas kode yang Anda tulis, apa pun platformnya.
- Data pemantauan OS tamu: Data tentang sistem operasi tempat aplikasi Anda berjalan. OS ini dapat berjalan di Azure, cloud lain, atau lokal.
- Data pemantauan sumber daya Azure: Data tentang pengoperasian sumber daya Azure.
- Data pemantauan langganan Azure: Data tentang operasi dan manajemen langganan Azure, serta kesehatan dan pengoperasian Azure itu sendiri.
- Data pemantauan penyewa Azure: Data tentang pengoperasian layanan Azure tingkat penyewa, seperti ID Microsoft Entra.
- Sumber kustom: Log yang dikirim dari sumber lokal juga dapat disertakan. Contohnya termasuk peristiwa server lokal atau {i>output
Data pemantauan hanya berguna jika dapat meningkatkan visibilitas Anda ke dalam pengoperasian lingkungan komputasi Anda. Azure Monitor mencakup beberapa fitur dan alat yang memberikan wawasan berharga tentang aplikasi Anda dan sumber daya lain yang bergantung padanya. Solusi dan fitur pemantauan seperti wawasan aplikasi dan Azure Monitor untuk kontainer memberikan wawasan mendalam tentang berbagai aspek aplikasi dan layanan Azure tertentu.
Solusi pemantauan di Azure Monitor adalah set logika paket yang memberikan wawasan untuk aplikasi atau layanan tertentu. Mereka termasuk logika untuk mengumpulkan data pemantauan untuk aplikasi atau layanan, kueri untuk menganalisis data itu, dan tampilan untuk visualisasi. Solusi pemantauan tersedia dari Microsoft dan mitra untuk menyediakan pemantauan untuk berbagai layanan Azure dan aplikasi lainnya.
Dengan kumpulan data yang kaya seperti itu, penting untuk mengambil tindakan proaktif pada peristiwa yang terjadi di lingkungan Anda, terutama di mana kueri manual saja tidak akan cukup. Pemberitahuan di Azure Monitor secara proaktif memberi tahu Anda tentang kondisi kritis dan berpotensi mencoba mengambil tindakan korektif. Aturan pemberitahuan berdasarkan metrik memberikan pemberitahuan mendekati real-time berdasarkan nilai numerik. Aturan pemberitahuan berdasarkan log memungkinkan logika kompleks di seluruh data dari beberapa sumber. Aturan pemberitahuan di Azure Monitor menggunakan grup tindakan, yang berisi set penerima dan tindakan unik yang dapat dibagikan di beberapa aturan. Berdasarkan kebutuhan Anda, grup tindakan dapat menggunakan webhook yang menyebabkan pemberitahuan memulai tindakan eksternal atau berintegrasi dengan alat ITSM Anda.
Azure Monitor juga memungkinkan pembuatan dasbor khusus. Dasbor Azure memungkinkan Anda menggabungkan berbagai jenis data, termasuk metrik dan log, ke dalam satu panel di portal Microsoft Azure. Anda dapat berbagi dasbor dengan pengguna Azure lainnya secara opsional. Elemen di seluruh Azure Monitor dapat ditambahkan ke dasbor Azure selain {i>output
Akhirnya, data Azure Monitor adalah sumber {i>native
Azure Network Watcher menyediakan alat untuk memantau, mendiagnosis, dan melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya di jaringan virtual di Azure. Ini adalah layanan multifaset yang memungkinkan fungsi berikut dan banyak lagi:
- Pantau komunikasi antara komputer virtual dan endpoint.
- Melihat sumber daya dalam jaringan virtual dan hubungannya.
- Mendiagnosis masalah pemfilteran lalu lintas jaringan ke atau dari mesin virtual.
- Mendiagnosis masalah perutean jaringan dari mesin virtual.
- Mendiagnosis koneksi keluar dari sebuah mesin virtual.
- Mengambil paket ke dan dari mesin virtual.
- Mendiagnosis masalah dengan gateway dan koneksi jaringan virtual.
- Menentukan latensi relatif antara wilayah Azure dan penyedia layanan internet.
- Menampilkan aturan keamanan untuk antarmuka jaringan.
- Menampilkan metrik jaringan.
- Menganalisis lalu lintas ke atau dari grup keamanan jaringan.
- Melihat log diagnostik untuk sumber daya jaringan.
Jenis komponen: Beban kerja
Komponen beban kerja adalah tempat aplikasi dan layanan Anda yang sebenarnya berada. Di situlah tim pengembangan aplikasi Anda menghabiskan sebagian besar waktu mereka.
Kemungkinan beban kerja tidaklah terbatas. Berikut ini hanya beberapa jenis beban kerja yang mungkin:
Aplikasi internal: Aplikasi lini bisnis sangat penting untuk operasi perusahaan. Aplikasi ini memiliki beberapa karakteristik umum:
- Interaktif: Data dimasukkan, lalu hasil atau laporan didapat.
- Berbasis data: Data intensif dengan akses yang sering ke database atau penyimpanan lainnya.
- Terpadu: Menawarkan integrasi dengan sistem lain di dalam atau di luar organisasi.
Situs web yang menghadap ke pelanggan (menghadap ke internet atau menghadap secara internal): Sebagian besar aplikasi internet adalah situs web. Azure dapat menjalankan situs web melalui mesin virtual IaaS atau situs Aplikasi Web Azure (PaaS). Aplikasi web Azure terintegrasi dengan jaringan virtual untuk menyebarkan aplikasi web di zona jaringan spoke. Situs web yang menghadap secara internal tidak perlu mengekspos titik akhir internet publik karena sumber daya dapat diakses melalui alamat {i>routable
Analitik big data: Ketika data perlu meningkatkan skala ke volume yang lebih besar, database relasional mungkin tidak berperforma baik di bawah beban ekstrem atau sifat data yang tidak terstruktur. Azure HDInsight adalah layanan analitik sumber terbuka dengan spektrum penuh yang terkelola di cloud untuk perusahaan. Anda dapat menggunakan kerangka kerja sumber terbuka seperti Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, dan R. HDInsight. Ini mendukung penyebaran ke jaringan virtual berbasis lokasi, yang dapat disebarkan ke kluster dalam spoke pusat data virtual.
Peristiwa dan olahpesan: Azure Event Hubs adalah platform streaming big data dan layanan penyerapan peristiwa. Layanan ini dapat menerima dan memproses jutaan peristiwa per detik. Ini memberikan latensi rendah dan retensi waktu yang dapat dikonfigurasi, memungkinkan Anda untuk menyerap sejumlah besar data ke Azure dan membacanya dari beberapa aplikasi. Satu aliran dapat mendukung alur berbasis {i>real-timebatch
Anda dapat menerapkan layanan olahpesan cloud yang sangat andal antara aplikasi dan layanan melalui Azure Bus Layanan. Ini menawarkan olahpesan berperantara asinkron antara klien dan server, olahpesan {i>first-in-first-out
Contoh-contoh ini hampir tidak menggores permukaan jenis beban kerja yang dapat Anda buat di Azure. Anda dapat membuat semuanya mulai dari aplikasi Web dan SQL dasar hingga yang terbaru di IoT, big data, pembelajaran mesin, AI, dan banyak lagi.
Ketersediaan tinggi: beberapa pusat data virtual
Sejauh ini, artikel ini berfokus pada desain VDC tunggal, menggambarkan komponen dasar dan arsitektur yang berkontribusi terhadap ketahanan. Fitur Azure seperti Azure Load Balancer, NVA, zona ketersediaan, set ketersediaan, set skala, dan kemampuan lain yang membantu Anda menyertakan tingkat SLA yang solid ke dalam layanan produksi Anda.
Namun, karena pusat data virtual biasanya diimplementasikan dalam satu wilayah, mungkin pusat data ini rentan terhadap pemadaman yang memengaruhi seluruh wilayah. Pelanggan yang membutuhkan ketersediaan tinggi harus melindungi layanan melalui penyebaran proyek yang sama dalam dua atau lebih implementasi VDC yang digunakan ke berbagai wilayah.
Selain dalam kaitannya dengan SLA, beberapa skenario umum mendapat keuntungan dari menjalankan beberapa pusat data virtual:
- Keberadaan regional atau global pengguna akhir atau mitra Anda.
- Persyaratan pemulihan bencana.
- Mekanisme untuk mengalihkan lalu lintas antara pusat data untuk beban atau performa.
Keberadaan regional/global
Pusat data Azure ada di banyak wilayah di seluruh dunia. Saat memilih beberapa pusat data Azure, pertimbangkan dua faktor terkait: jarak geografis dan latensi. Untuk mengoptimalkan pengalaman pengguna, evaluasi jarak antara setiap pusat data virtual dan jarak dari setiap pusat data virtual ke pengguna akhir.
Wilayah Azure yang meng-{i>host
Pemulihan dari bencana
Desain rencana pemulihan bencana tergantung pada jenis beban kerja dan kemampuan untuk menyinkronkan keadaan beban kerja tersebut antara implementasi VDC yang berbeda. Idealnya, sebagian besar pelanggan menginginkan mekanisme fail-over yang cepat, dan persyaratan ini mungkin memerlukan sinkronisasi data aplikasi antara penyebaran yang berjalan dalam beberapa implementasi VDC. Namun, ketika merancang rencana pemulihan bencana, penting untuk mempertimbangkan bahwa sebagian besar aplikasi sensitif terhadap latensi yang dapat disebabkan oleh sinkronisasi data ini.
Sinkronisasi dan pemantauan detak jantung aplikasi dalam implementasi VDC yang berbeda mengharuskan mereka untuk berkomunikasi melalui jaringan. Beberapa implementasi VDC di berbagai wilayah dapat disambungkan melalui:
- Komunikasi hub-ke-hub dibangun ke dalam hub Azure Virtual WAN di seluruh wilayah dalam Virtual WAN yang sama.
- {i>Peering
- {i>Peering
- Beberapa sirkuit ExpressRoute terhubung melalui penyokong ({i>backbone
- Koneksi VPN Situs-ke-Situs antara zona hub implementasi VDC Anda di setiap wilayah Azure.
Biasanya, hub Virtual WAN, {i>peeringbandwidthbackbone
Jalankan tes kualifikasi jaringan untuk memverifikasi latensi dan {i>bandwidth
Pemulihan bencana: mengalihkan lalu lintas dari satu wilayah ke wilayah lain
Baik Azure Traffic Manager maupun Azure Front Door secara berkala memeriksa kesehatan layanan mendengarkan titik akhir dalam implementasi VDC yang berbeda. Jika titik akhir tersebut gagal, Azure Traffic Manager dan Azure Front Door merutekan secara otomatis ke VDC terdekat berikutnya. Traffic Manager menggunakan pengukuran pengguna {i>real-timebackboneanycast
Ringkasan
Pendekatan pusat data virtual untuk migrasi adalah membuat arsitektur yang dapat diskalakan yang mengoptimalkan penggunaan sumber daya Azure, menurunkan biaya, dan menyederhanakan tata kelola sistem. Pusat data virtual umumnya berdasarkan topologi hub dan jaringan {i>spokepeeringspokecloud-native
Referensi
Pelajari selengkapnya tentang kemampuan Azure yang dibahas dalam dokumen ini.
Fitur jaringan
Jaringan Virtual Azure
Kelompok Keamanan Jaringan
Titik Akhir Layanan
Private Link
Rute yang Ditentukan Pengguna
Appliance Virtual Jaringan
Alamat IP Publik
DNS Azure
Identitas
Microsoft Entra ID
Autentikasi multifaktor Microsoft Entra
Kontrol akses berbasis peran Azure
Peran bawaan Azure
Pemantauan
Network Watcher
Azure Monitor
Log Analytics
Layanan Azure lainnya
Azure Storage
Azure SQL
Azure Web Apps
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Pembelajaran Mesin Azure
Langkah berikutnya
- Pelajari selengkapnya tentang peering jaringan virtual, teknologi inti topologi hub dan spoke.
- Terapkan ID Microsoft Entra untuk menggunakan kontrol akses berbasis peran Azure.
- Kembangkan model langganan dan manajemen sumber daya menggunakan kontrol akses berbasis peran Azure yang sesuai dengan struktur, persyaratan, dan kebijakan organisasi Anda. Kegiatan yang paling penting adalah perencanaan. Menganalisis bagaimana penataan ulang, penggabungan, lini produk baru, dan pertimbangan lainnya akan memengaruhi model awal untuk memastikan Anda dapat menskalakannya sehingga memenuhi kebutuhan dan pertumbuhan di masa depan.
Azure Virtual Networks dan peering jaringan virtual adalah komponen jaringan dasar di pusat data virtual. Jaringan virtual menjamin batas isolasi untuk sumber daya pusat data virtual. {i>Peering
Jaringan virtual adalah titik jangkar untuk mengintegrasikan platform as a service (PaaS) produk Azure seperti Azure Storage, Azure SQL, dan layanan publik terintegrasi lainnya yang memiliki titik akhir publik. Dengan titik akhir layanan dan Azure Private Link, Anda dapat mengintegrasikan layanan publik dengan jaringan privat Anda. Anda bahkan dapat mengambil layanan publik Anda secara pribadi, tetapi masih menikmati keuntungan dari layanan PaaS yang dikelola Azure.
Gambaran umum pusat data virtual
Topologi
Pusat data virtual dapat dibangun menggunakan salah satu topologi tingkat tinggi ini, berdasarkan kebutuhan dan persyaratan skala Anda:
Dalam topologi Datar, semua sumber daya disebarkan dalam satu jaringan virtual. Subnet memungkinkan kontrol aliran dan segregasi.
Dalam topologi Mesh, peering jaringan virtual menghubungkan semua jaringan virtual langsung satu sama lain.
Topologi Peering hub dan spoke sangat cocok untuk aplikasi dan tim terdistribusi dengan tanggung jawab yang didelegasikan.
Topologi Azure Virtual WAN dapat mendukung skenario kantor cabang berskala besar dan layanan WAN global.
Topologi {i>peeringAzure Virtual WAN dalam diagram). Azure Virtual WAN dirancang untuk komunikasi cabang-ke-cabang dan cabang-ke-Azure yang berskala besar, atau untuk menghindari kompleksitas pembangunan semua komponen secara individual di hub {i>peering
Di topologi hub dan spoke, hub adalah zona jaringan pusat yang mengontrol dan memeriksa semua lalu lintas antara zona yang berbeda seperti internet, lokal, dan spoke. Topologi hub dan {i>spoke
Hub sering berisi komponen layanan umum yang digunakan oleh spoke. Contoh-contoh berikut adalah layanan pusat umum:
- Infrastruktur Windows Active Directory diperlukan untuk autentikasi pengguna pihak ketiga yang mengakses dari jaringan yang tidak tepercaya sebelum mereka mendapatkan akses ke beban kerja di spoke. Ini termasuk Layanan Federasi Direktori Aktif (AD FS) terkait
- Layanan Sistem Nama Terdistribusi (DNS) digunakan untuk menyelesaikan penamaan beban kerja di spoke dan untuk mengakses sumber daya lokal dan di internet jika Azure DNS tidak digunakan
- Infrastruktur kunci umum (PKI) digunakan untuk mengimplementasikan akses menyeluruh pada beban kerja
- Kontrol aliran lalu lintas TCP dan UDP antara zona jaringan spoke dan internet
- Kontrol alur antara spoke dan lokal
- Jika diperlukan, kontrol aliran antara satu spoke dan spoke lainnya
Pusat data virtual mengurangi biaya keseluruhan dengan menggunakan infrastruktur hub bersama di antara beberapa {i>spoke
Peran setiap {i>spoke
Batas langganan dan beberapa hub
Penting
Berdasarkan ukuran penyebaran Azure, Anda mungkin memerlukan beberapa strategi hub. Saat merancang strategi hub dan spoke Anda, tanyakan "Bisakah desain ini menskalakan untuk menggunakan jaringan virtual hub lain di wilayah ini?" dan "Dapatkah skala desain ini mengakomodasi beberapa wilayah?" Jauh lebih baik merencanakan desain yang menskalakan dan tidak membutuhkannya, daripada gagal merencanakan dan membutuhkannya.
Kapan harus menskalakan ke hub sekunder (atau lebih) tergantung pada beberapa faktor, biasanya berdasarkan batas yang melekat pada skala. Pastikan untuk meninjau langganan, jaringan virtual, dan batas mesin virtual saat merancang untuk penskalaan.
Di Azure, setiap komponen, apa pun jenisnya, disebarkan dalam langganan Azure. Isolasi komponen Azure dalam langganan Azure yang berbeda dapat memenuhi persyaratan berbagai lini bisnis, seperti menyiapkan tingkat akses dan otorisasi yang berbeda.
Implementasi VDC tunggal dapat meningkatkan sejumlah besar spoke. Meskipun, seperti halnya setiap sistem IT, ada batas platform. Penyebaran hub terikat ke langganan Azure tertentu, yang memiliki batasan dan batasan (misalnya, jumlah maksimum peering jaringan virtual. Untuk detailnya, lihat Batas, kuota, dan batasan langganan dan layanan Azure). Dalam kasus di mana batas mungkin menjadi masalah, arsitektur dapat ditingkatkan lebih lanjut dengan memperluas model dari satu hub-spoke ke kluster hub dan spoke. Beberapa hub di satu atau beberapa wilayah Azure dapat disambungkan menggunakan {i>peering
Pengenalan beberapa hub meningkatkan biaya dan upaya manajemen sistem. Ini hanya dibenarkan karena skalabilitas, batas sistem, redundansi, replikasi regional untuk performa pengguna akhir, atau pemulihan bencana. Dalam skenario yang membutuhkan beberapa hub, semua hub akan berusaha untuk menawarkan set layanan yang sama untuk kemudahan operasional.
Interkoneksi antar-{i>spoke
Di dalam satu {i>spoke
Seorang arsitek mungkin ingin menyebarkan beban kerja multitingkat di beberapa jaringan virtual. Dengan {i>peeringspokespokespokeDatabasespoke
Spoke juga dapat saling terhubung ke spoke yang bertindak sebagai hub. Pendekatan ini menciptakan hierarki dua tingkat. Spoke di tingkat yang lebih tinggi (level 0) menjadi hub spoke yang lebih rendah (tingkat 1) dari hierarki. Spoke untuk implementasi VDC diperlukan untuk meneruskan lalu lintas ke hub pusat. Lalu lintas kemudian dapat transit ke tujuannya baik di jaringan lokal atau internet publik. Arsitektur dengan dua tingkat hub memperkenalkan perutean kompleks yang menghilangkan keuntungan dari hubungan hub-{i>spoke
Meskipun Azure memungkinkan topologi yang kompleks, salah satu prinsip inti dari konsep VDC adalah pengulangan dan kesederhanaan. Untuk meminimalkan upaya manajemen, desain hub-{i>spoke
Komponen
Pusat data virtual terdiri dari empat jenis komponen dasar: Infrastruktur, Jaringan Perimeter, Beban Kerja, dan Pemantauan.
Setiap jenis komponen terdiri atas berbagai fitur dan sumber daya Azure. Implementasi VDC Anda terdiri dari instans beberapa jenis komponen dan beberapa variasi dari jenis komponen yang sama. Misalnya, Anda mungkin memiliki banyak instans beban kerja yang berbeda dan dipisahkan secara logis yang mewakili aplikasi yang berbeda. Anda menggunakan berbagai jenis komponen dan instans ini untuk membangun VDC.
Arsitektur konseptual tingkat tinggi VDC sebelumnya menunjukkan berbagai jenis komponen yang digunakan di berbagai zona topologi hub-{i>spoke
Sebagai praktik yang baik secara umum, hak akses dan hak istimewa dapat berbasis grup. Berurusan dengan grup daripada pengguna individu memudahkan pemeliharaan kebijakan akses, dengan menyediakan cara yang konsisten untuk mengelolanya di seluruh tim, yang membantu meminimalkan kesalahan konfigurasi. Menetapkan dan menghapus pengguna ke dan dari grup yang sesuai membantu menjaga hak istimewa pengguna tertentu tetap terbarui.
Setiap grup peran dapat memiliki awalan unik pada namanya. Awalan ini memudahkan untuk mengidentifikasi beban kerja mana yang terkait dengan grup. Misalnya, beban kerja yang menghosting layanan autentikasi mungkin memiliki grup bernama AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, dan AuthServiceInfraOps. Peran terpusat, atau peran yang tidak terkait dengan layanan tertentu, dapat diawali dengan Corp. Contohnya adalah CorpNetOps.
Banyak organisasi menggunakan variasi grup berikut untuk memberikan perincian utama peran:
- Tim IT pusat bernama Corp memiliki hak kepemilikan untuk mengontrol komponen infrastruktur. Contohnya adalah jaringan dan keamanan. Grup harus memiliki peran kontributor di langganan, kontrol hub, dan hak kontributor jaringan dalam {i>spoke
operasi jaringan dengan fokus eksklusif pada jaringan dan operasi keamanan grup CorpSecOps yang bertanggung jawab atas firewall dan kebijakan keamanan. Dalam kasus khusus ini, dua kelompok yang berbeda perlu dibuat untuk penugasan peran kustom ini.
- Grup dev/test bernama AppDevOps memiliki tanggung jawab untuk menerapkan beban kerja aplikasi atau layanan. Grup ini mengambil peran kontributor mesin virtual untuk penyebaran IaaS atau satu atau lebih peran kontributor PaaS. Untuk informasi selengkapnya, lihat Peran bawaan Azure. Secara opsional, tim dev/test mungkin memerlukan visibilitas di kebijakan keamanan (grup keamanan jaringan) dan kebijakan perutean (rute yang ditentukan pengguna) di dalam hub atau {i>spoke
- Grup operasi dan pemeliharaan yang disebut CorpInfraOps atau AppInfraOps memiliki tanggung jawab mengelola beban kerja dalam produksi. Grup ini harus menjadi kontributor langganan di beban kerja dalam langganan produksi apa pun. Beberapa organisasi mungkin juga mengevaluasi apakah mereka memerlukan grup tim dukungan eskalasi dengan peran kontributor langganan dalam produksi dan langganan hub pusat. Grup lain memperbaiki potensi masalah konfigurasi di lingkungan produksi.
VDC dirancang sehingga grup tim IT pusat yang mengelola hub memiliki grup yang sesuai di tingkat beban kerja. Selain mengelola sumber daya hub, tim IT pusat dapat mengontrol akses eksternal dan izin tingkat atas pada langganan. Grup beban kerja juga dapat mengontrol sumber daya dan izin jaringan virtual mereka secara independen dari tim IT pusat.
Pusat data virtual dipartisi untuk meng-{i>host
Diagram sebelumnya menunjukkan hubungan antara proyek, pengguna, grup, dan lingkungan organisasi tempat komponen Azure disebarkan.
Biasanya di bidang IT, lingkungan (atau tingkat) adalah sistem tempat beberapa aplikasi disebarkan dan dijalankan. Perusahaan besar menggunakan lingkungan pengembangan (tempat perubahan dibuat dan diuji) dan lingkungan produksi (apa yang digunakan pengguna akhir). Lingkungan tersebut dipisahkan, seringkali dengan beberapa lingkungan penahapan di antaranya, untuk memungkinkan penyebaran bertahap (peluncuran), pengujian, dan pemutaran kembali jika masalah muncul. Arsitektur penyebaran bervariasi secara signifikan, tetapi biasanya proses dasar awal di pengembangan (DEV) dan akhir di produksi (PROD) masih diikuti.
Arsitektur umum untuk jenis lingkungan multitier ini mencakup DevOps untuk pengembangan dan pengujian, UAT untuk penahapan, dan lingkungan produksi. Organisasi dapat menggunakan satu atau beberapa penyewa Microsoft Entra untuk menentukan akses dan hak ke lingkungan ini. Diagram sebelumnya menunjukkan kasus di mana dua penyewa Microsoft Entra yang berbeda digunakan: satu untuk DevOps dan UAT, dan yang lainnya secara eksklusif untuk produksi.
Kehadiran penyewa Microsoft Entra yang berbeda memberlakukan pemisahan antar lingkungan. Grup pengguna yang sama, seperti tim IT pusat, perlu mengautentikasi dengan menggunakan URI yang berbeda untuk mengakses penyewa Microsoft Entra yang berbeda. Ini memungkinkan tim untuk memodifikasi peran atau izin baik dari DevOps atau lingkungan produksi proyek. Adanya berbagai autentikasi pengguna untuk mengakses lingkungan yang beragam mengurangi kemungkinan pemadaman dan masalah lain yang disebabkan oleh kesalahan manusia.
Jenis komponen: infrastruktur
Jenis komponen ini adalah tempat sebagian besar infrastruktur pendukung berada. Ini juga adalah tempat tim IT, keamanan, dan kepatuhan terpusat Anda menghabiskan sebagian besar waktu mereka.
Komponen infrastruktur menyediakan interkoneksi untuk berbagai komponen implementasi VDC, dan tersedia di hub dan {i>spoke
Salah satu tugas utama tim infrastruktur IT adalah menjamin konsistensi skema alamat IP di seluruh perusahaan. Ruang alamat IP privat yang ditetapkan untuk implementasi VDC harus konsisten dan tidak tumpang tindih dengan alamat IP privat yang ditetapkan di jaringan lokal Anda.
Sementara NAT di perute tepi lokal atau di lingkungan Azure dapat menghindari konflik alamat IP, NAT menambah komplikasi pada komponen infrastruktur Anda. Kesederhanaan manajemen adalah salah satu tujuan utama VDC. Menggunakan NAT untuk menangani masalah IP, sementara solusi yang valid, bukanlah solusi yang direkomendasikan.
Komponen infrastruktur memiliki fungsi sebagai berikut:
- Layanan identitas dan direktori: Akses ke setiap jenis sumber daya di Azure dikontrol oleh identitas yang disimpan dalam layanan direktori. Layanan direktori tidak hanya menyimpan daftar pengguna, tetapi juga hak akses ke sumber daya dalam langganan Azure tertentu. Layanan ini dapat ada di cloud, atau dapat disinkronkan dengan identitas lokal yang disimpan di Direktori Aktif.
- Jaringan virtual: Jaringan virtual adalah salah satu komponen utama VDC, dan memungkinkan Anda membuat batas isolasi lalu lintas di platform Azure. Jaringan virtual terdiri atas satu atau beberapa segmen jaringan virtual, setiap jaringan dengan prefiks jaringan IP tertentu (subnet, baik IPv4 atau tumpukan ganda IPv4/IPv6). Jaringan virtual mendefinisikan area perimeter internal tempat mesin virtual IaaS dan layanan PaaS dapat membangun komunikasi privat. VM (dan layanan PaaS) dalam satu jaringan virtual tidak dapat berkomunikasi langsung ke VM (dan layanan PaaS) di jaringan virtual yang berbeda. Ini berlaku bahkan jika kedua jaringan virtual dibuat oleh pelanggan yang sama, di bawah langganan yang sama. Isolasi adalah properti penting yang memastikan VM dan komunikasi pelanggan tetap privat dalam jaringan virtual. Di mana konektivitas lintas jaringan diinginkan, fitur berikut menjelaskan bagaimana konektivitas tersebut dapat dicapai.
- Peering jaringan virtual: Fitur mendasar yang digunakan untuk membuat infrastruktur VDC adalah peering jaringan virtual, yang menghubungkan dua jaringan virtual di wilayah yang sama. Koneksi ini terjadi melalui jaringan pusat data Azure atau menggunakan backbone Azure di seluruh dunia di seluruh wilayah.
- Titik akhir layanan Virtual Network: Titik akhir layanan memperluas ruang alamat privat jaringan virtual Anda untuk menyertakan ruang PaaS Anda. Titik akhir juga memperluas identitas jaringan virtual Anda ke layanan Azure melalui koneksi langsung. Titik akhir memungkinkan Anda mengamankan sumber daya layanan Azure penting ke jaringan virtual.
- Private Link: Azure Private Link memungkinkan Anda mengakses Azure PaaS Services (misalnya, Azure Storage, Azure Cosmos DB, dan Azure SQL Database) dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda juga dapat membuat Layanan Private Link sendiri di jaringan virtual dan mengirimkannya secara privat ke konsumen Anda. Pengalaman penyiapan dan pemakaian menggunakan Azure Private Link bekerja secara konsisten di seluruh layanan Azure PaaS, milik pelanggan dan mitra bersama.
- Rute yang ditentukan pengguna: Lalu lintas di jaringan virtual dirutekan secara default berdasarkan tabel perutean sistem. Rute yang ditentukan pengguna adalah tabel perutean kustom yang dapat dikaitkan administrator jaringan ke satu atau beberapa subnet untuk mengambil alih perilaku tabel perutean sistem dan menentukan jalur komunikasi dalam jaringan virtual. Kehadiran rute yang ditentukan pengguna menjamin lalu lintas dari spoke transit melalui VM kustom tertentu atau appliance virtual jaringan dan load balancer yang ada di hub dan spoke.
- Kelompok keamanan jaringan: Kelompok keamanan jaringan adalah daftar aturan keamanan yang bertindak sebagai pemfilteran lalu lintas pada sumber IP, tujuan IP, protokol, port sumber IP, dan port tujuan IP (juga disebut Lapisan 4 lima tuple). Grup keamanan jaringan dapat diterapkan ke subnet, NIC Virtual yang terkait dengan Azure VM, atau keduanya. Grup keamanan jaringan sangat penting untuk menerapkan kontrol alur yang benar di hub dan di {i>spoke
port
- DNS: DNS menyediakan resolusi nama untuk sumber daya di pusat data virtual. Azure menyediakan layanan DNS untuk resolusi nama publik dan privat. Zona privat menyediakan resolusi nama dalam jaringan virtual dan di seluruh jaringan virtual. Zona privat dapat mencakup seluruh jaringan virtual di wilayah yang sama, dan di seluruh wilayah dan langganan. Untuk resolusi publik, Azure DNS menyediakan layanan yang meng-{i>host
- Pengelolaan grup manajemen, langganan, dan grup sumber daya. Langganan mendefinisikan batas alami untuk membuat beberapa grup sumber daya di Azure. Pemisahan ini dapat untuk fungsi, pemisahan peran, atau penagihan. Sumber daya dalam langganan dirakit bersama dalam wadah logis yang dikenal sebagai grup sumber daya. Grup sumber daya mewakili grup logis untuk mengatur sumber daya dalam pusat data virtual. Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure memberikan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang dikenal sebagai "grup manajemen" dan menerapkan syarat tata kelola ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen. Untuk melihat ketiga fitur ini dalam tampilan hierarki, lihat Mengatur sumber daya di Kerangka Adopsi Cloud.
- Kontrol akses berbasis peran Azure (Azure RBAC): Azure RBAC dapat memetakan peran dan hak organisasi untuk mengakses sumber daya Azure tertentu. Ini memungkinkan Anda membatasi pengguna hanya untuk subset tindakan tertentu. Jika Anda menyinkronkan ID Microsoft Entra dengan Active Directory lokal, Anda dapat menggunakan grup Direktori Aktif yang sama di Azure yang Anda gunakan secara lokal. Dengan Azure RBAC, Anda dapat memberikan akses dengan menetapkan peran yang sesuai untuk pengguna, grup, dan aplikasi dalam cakupan yang relevan. Cakupan penetapan peran dapat menjadi langganan, grup sumber daya, atau satu sumber daya Azure. Azure RBAC memungkinkan pewarisan izin. Peran yang ditetapkan di cakupan induk juga memberikan akses ke turunan yang terkandung di dalamnya. Dengan Azure RBAC, Anda dapat memisahkan tugas, dan hanya memberikan jumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka. Misalnya, satu karyawan dapat mengelola mesin virtual dalam langganan, sementara yang lain dapat mengelola {i>database
Tipe Komponen: Jaringan Perimeter
Komponen jaringan perimeter (kadang-kadang disebut jaringan DMZ) menghubungkan jaringan pusat data lokal atau fisik Anda, bersama dengan konektivitas internet apa pun. Perimeter biasanya membutuhkan investasi waktu yang signifikan dari tim jaringan dan tim keamanan Anda.
Paket masuk dapat mengalir melalui appliance keamanan di hub sebelum mencapai server dan layanan back-end di spoke. Contohnya termasuk {i>firewall
Komponen jaringan sekitar meliputi:
- Jaringan virtual, rute yang ditentukan pengguna, dan grup keamanan jaringan
- Appliance virtual jaringan
- Penyeimbang Beban Azure
- Azure Application Gateway dan Web Application Firewall (WAF)
- IP Publik
- Azure Front Door dengan Web Application Firewall (WAF)
- Azure Firewall dan Azure Firewall Manager
- DDoS Protection Standar
Biasanya, tim IT pusat dan tim keamanan memiliki tanggung jawab untuk penetapan persyaratan dan pengoperasian jaringan sekitar.
Diagram sebelumnya menunjukkan penegakan dua perimeter dengan akses ke internet dan jaringan lokal, keduanya berada di hub DMZ. Di hub DMZ, jaringan perimeter ke internet dapat ditingkatkan untuk mendukung banyak lini bisnis, menggunakan beberapa {i>farm
Catatan
Dalam diagram sebelumnya, dalam DMZ Hub, banyak fitur berikut dapat dibundel bersama-sama di hub Azure Virtual WAN (seperti jaringan virtual, rute yang ditentukan pengguna, grup keamanan jaringan, gateway VPN, gateway ExpressRoute, Azure Load Balancer, Azure Firewalls, Firewall Manager, dan DDOS). Menggunakan hub Azure Virtual WAN dapat membuat pembuatan jaringan virtual hub dan VDC jauh lebih mudah, karena sebagian besar kompleksitas teknik ditangani untuk Anda oleh Azure saat Anda menyebarkan hub Azure Virtual WAN.
Jaringan virtual. Hub biasanya dibangun di jaringan virtual dengan beberapa subnet yang menghosting berbagai jenis layanan. Layanan ini memfilter dan memeriksa lalu lintas ke atau dari internet melalui instans Azure Firewall, NVA, WAF, dan Azure Application Gateway.
Rute yang ditentukan pengguna. Dengan menggunakan rute yang ditentukan pengguna, pelanggan dapat menyebarkan firewall, IDS/IPS, dan appliance virtual lainnya. Mereka dapat merutekan lalu lintas jaringan melalui appliance keamanan ini untuk penegakan kebijakan batas keamanan, audit, dan inspeksi. Rute yang ditentukan pengguna dapat dibuat di hub dan {i>spokeNetwork Virtual Appliancesapplianceback-end
Azure Firewall adalah layanan keamanan jaringan terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah {i>firewallcloudfirewall
Jika Anda menggunakan topologi Azure Virtual WAN, Azure Firewall Manager adalah layanan manajemen keamanan yang menyediakan kebijakan keamanan pusat dan manajemen rute untuk perimeter keamanan berbasis cloud. Layanan ini berkerja sama dengan hub Azure Virtual WAN, sumber daya yang dikelola Microsoft yang memungkinkan Anda membuat arsitektur hub dan {i>spoke
Appliance virtual jaringan. Di hub, jaringan perimeter dengan akses ke internet biasanya dikelola melalui instans Azure Firewall atau {i>farmfirewall
Lini bisnis yang berbeda biasanya menggunakan banyak aplikasi web, yang cenderung terbeban oleh karena berbagai kerentanan dan potensi eksploitasi. Firewall aplikasi web adalah jenis produk khusus yang digunakan untuk mendeteksi serangan terhadap aplikasi web dan HTTP/HTTPS lebih efektif daripada firewall generik. Dibandingkan dengan teknologi {i>firewall
Firewall Azure atau firewall NVA menggunakan sarana administrasi umum, dengan sekumpulan aturan keamanan untuk melindungi beban kerja yang dihosting di spoke, dan mengontrol akses ke jaringan lokal. Azure Firewall memiliki skalabilitas bawaan, sementara {i>firewallfirewall farm
Sebaiknya gunakan satu set instans Azure Firewall, atau NVA, untuk lalu lintas yang berasal dari internet. Gunakan yang lain untuk lalu lintas yang berasal dari tempat lokal. Hanya menggunakan satu set {i>firewall
Azure Load Balancer menawarkan layanan Lapisan 4 (TCP/UDP) dengan ketersediaan tinggi, yang dapat mendistribusikan lalu lintas masuk di antara instans layanan yang ditetapkan dalam set yang bebannya diseimbangkan. Lalu lintas yang dikirim ke load balancer dari titik akhir ujung depan (titik akhir IP publik atau titik akhir IP privat) dapat didistribusikan ulang dengan atau tanpa terjemahan alamat ke sekumpulan kumpulan alamat IP back-end (seperti appliance virtual jaringan atau komputer virtual).
Azure Load Balancer dapat memeriksa kesehatan berbagai instans server. Saat instans gagal merespons pemeriksaan, penyeimbang beban berhenti mengirimkan lalu lintas ke instans yang tidak sehat. Di pusat data virtual, penyeimbang beban eksternal digunakan ke hub dan {i>spoke
Azure Front Door (AFD) adalah platform akselerasi aplikasi web Microsoft yang sangat tersedia dan dapat diskalakan, penyeimbang muatan HTTP global, perlindungan aplikasi, dan jaringan pengiriman konten. Berjalan di lebih dari 100 lokasi di tepi Jaringan Global Microsoft, AFD memungkinkan Anda membangun, mengoperasikan, dan meluaskan skala aplikasi web dinamis dan konten statis Anda. AFD menyediakan aplikasi Anda dengan kinerja pengguna akhir kelas dunia, otomatisasi pemeliharaan regional/stempel terpadu, otomatisasi BCDR, informasi klien/pengguna terpadu, penembolokan, dan wawasan layanan.
Platform ini menawarkan:
- Performa, keandalan, dan perjanjian tingkat layanan (SLA) dukungan.
- Sertifikasi kepatuhan.
- Praktik keamanan yang dapat diaudit yang dikembangkan, dioperasikan, dan didukung oleh Azure secara {i>native
Azure Front Door juga menyediakan {i>firewall
Azure Application Gateway adalah appliance virtual khusus yang menyediakan pengontrol pengiriman aplikasi terkelola. Ini menawarkan berbagai kemampuan penyeimbang beban Lapisan 7 untuk aplikasi Anda. Ini memungkinkan Anda untuk mengoptimalkan performa {i>farmgatewayround-robincookiehostgatewayFirewallgateway
IP Publik. Dengan beberapa fitur Azure, Anda dapat mengaitkan titik akhir layanan ke alamat IP publik sehingga sumber daya Anda dapat diakses dari internet. Titik akhir ini menggunakan NAT untuk merutekan lalu lintas ke alamat internal dan {i>port
Azure DDoS Protection menyediakan lebih banyak kemampuan mitigasi melalui tingkat layanan dasar yang disetel khusus untuk sumber daya jaringan virtual Azure. DDoS Protection mudah diaktifkan dan tidak memerlukan perubahan aplikasi. Kebijakan perlindungan disetel melalui pemantauan lalu lintas khusus dan algoritme pembelajaran mesin. Kebijakan diterapkan ke alamat IP publik yang terkait dengan sumber daya yang disebarkan di jaringan virtual. Contohnya termasuk azure load balancer, gateway aplikasi Azure, dan instans service fabric Azure. Log yang hampir real-time dan dihasilkan sistem tersedia melalui tampilan azure monitor selama serangan dan untuk riwayat. Perlindungan lapisan aplikasi dapat ditambahkan melalui firewall aplikasi web gateway aplikasi Azure. Proteksi diberikan untuk alamat IP publik Azure IPv4 dan IPv6.
Topologi hub dan {i>spokepeering
Dalam diagram, rute yang ditentukan pengguna memastikan bahwa lalu lintas mengalir dari {i>firewallgatewayfirewall
Jenis komponen: pemantauan
Komponen pemantauan memberikan visibilitas dan peringatan dari semua jenis komponen lainnya. Semua tim dapat memiliki akses ke pemantauan untuk komponen dan layanan yang dapat mereka akses. Jika Anda memiliki {i>help desk
Azure menawarkan berbagai jenis layanan pengelogan dan pemantauan untuk melacak perilaku sumber daya yang di-{i>host
Azure Monitor. Microsoft Azure menyertakan beberapa layanan yang secara individual melakukan peran atau tugas tertentu di ruang pemantauan. Bersama-sama, layanan tersebut memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak atas log yang dihasilkan sistem dari aplikasi Anda dan sumber daya Azure yang mendukungnya. Mereka juga dapat bekerja untuk memantau sumber daya lokal penting untuk menyediakan lingkungan pemantauan hibrid. Memahami alat dan data yang tersedia adalah langkah pertama dalam mengembangkan strategi pemantauan lengkap untuk aplikasi Anda.
Ada dua jenis log dasar di Azure Monitor:
Metrik adalah nilai numerik yang menggambarkan beberapa aspek sistem pada titik waktu tertentu. Mereka ringan dan mampu mendukung skenario mendekati real-time. Untuk banyak sumber daya Azure, Anda akan melihat data yang dikumpulkan oleh Azure Monitor langsung di halaman gambaran umum mereka di portal Azure. Sebagai contoh, lihatlah komputer virtual apa pun, dan Anda akan melihat beberapa bagan yang menampilkan metrik performa. Pilih salah satu grafik untuk membuka data di penjelajah metrik di portal Azure, yang memungkinkan Anda membuat bagan nilai beberapa metrik dari waktu ke waktu. Anda dapat melihat bagan secara interaktif atau menyematkannya ke dasbor untuk melihatnya dengan visualisasi lain.
Log berisi berbagai jenis data yang disusun ke dalam rekaman dengan set properti yang berbeda untuk setiap jenis. Peristiwa dan jejak disimpan sebagai log bersama dengan data performa, yang semuanya dapat digabungkan untuk analisis. Data log yang dikumpulkan oleh Azure Monitor dapat dianalisis dengan kueri untuk mengambil, mengonsolidasi, dan menganalisis data yang dikumpulkan dengan cepat. Log disimpan dan dikueri dari analitik log. Anda dapat membuat dan menguji kueri menggunakan analitik log di portal Azure, dan langsung menganalisis data menggunakan alat ini atau menyimpan kueri untuk digunakan dengan visualisasi atau aturan pemberitahuan.
Microsoft Azure Monitor dapat mengumpulkan data dari berbagai sumber. Anda dapat menganggap data pemantauan untuk aplikasi terjadi dalam tingkatan yang berkisar dari aplikasi ke semua OS, dan layanan yang diandalkannya, hingga ke platform Azure itu sendiri. Azure Monitor mengumpulkan data dari setiap tingkatan berikut:
- Data pemantauan aplikasi: Data tentang kinerja dan fungsionalitas kode yang Anda tulis, apa pun platformnya.
- Data pemantauan OS tamu: Data tentang sistem operasi tempat aplikasi Anda berjalan. OS ini dapat berjalan di Azure, cloud lain, atau lokal.
- Data pemantauan sumber daya Azure: Data tentang pengoperasian sumber daya Azure.
- Data pemantauan langganan Azure: Data tentang operasi dan manajemen langganan Azure, serta kesehatan dan pengoperasian Azure itu sendiri.
- Data pemantauan penyewa Azure: Data tentang pengoperasian layanan Azure tingkat penyewa, seperti ID Microsoft Entra.
- Sumber kustom: Log yang dikirim dari sumber lokal juga dapat disertakan. Contohnya termasuk peristiwa server lokal atau {i>output
Data pemantauan hanya berguna jika dapat meningkatkan visibilitas Anda ke dalam pengoperasian lingkungan komputasi Anda. Azure Monitor mencakup beberapa fitur dan alat yang memberikan wawasan berharga tentang aplikasi Anda dan sumber daya lain yang bergantung padanya. Solusi dan fitur pemantauan seperti wawasan aplikasi dan Azure Monitor untuk kontainer memberikan wawasan mendalam tentang berbagai aspek aplikasi dan layanan Azure tertentu.
Solusi pemantauan di Azure Monitor adalah set logika paket yang memberikan wawasan untuk aplikasi atau layanan tertentu. Mereka termasuk logika untuk mengumpulkan data pemantauan untuk aplikasi atau layanan, kueri untuk menganalisis data itu, dan tampilan untuk visualisasi. Solusi pemantauan tersedia dari Microsoft dan mitra untuk menyediakan pemantauan untuk berbagai layanan Azure dan aplikasi lainnya.
Dengan kumpulan data yang kaya seperti itu, penting untuk mengambil tindakan proaktif pada peristiwa yang terjadi di lingkungan Anda, terutama di mana kueri manual saja tidak akan cukup. Pemberitahuan di Azure Monitor secara proaktif memberi tahu Anda tentang kondisi kritis dan berpotensi mencoba mengambil tindakan korektif. Aturan pemberitahuan berdasarkan metrik memberikan pemberitahuan mendekati real-time berdasarkan nilai numerik. Aturan pemberitahuan berdasarkan log memungkinkan logika kompleks di seluruh data dari beberapa sumber. Aturan pemberitahuan di Azure Monitor menggunakan grup tindakan, yang berisi set penerima dan tindakan unik yang dapat dibagikan di beberapa aturan. Berdasarkan kebutuhan Anda, grup tindakan dapat menggunakan webhook yang menyebabkan pemberitahuan memulai tindakan eksternal atau berintegrasi dengan alat ITSM Anda.
Azure Monitor juga memungkinkan pembuatan dasbor khusus. Dasbor Azure memungkinkan Anda menggabungkan berbagai jenis data, termasuk metrik dan log, ke dalam satu panel di portal Microsoft Azure. Anda dapat berbagi dasbor dengan pengguna Azure lainnya secara opsional. Elemen di seluruh Azure Monitor dapat ditambahkan ke dasbor Azure selain {i>output
Akhirnya, data Azure Monitor adalah sumber {i>native
Azure Network Watcher menyediakan alat untuk memantau, mendiagnosis, dan melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya di jaringan virtual di Azure. Ini adalah layanan multifaset yang memungkinkan fungsi berikut dan banyak lagi:
- Pantau komunikasi antara komputer virtual dan endpoint.
- Melihat sumber daya dalam jaringan virtual dan hubungannya.
- Mendiagnosis masalah pemfilteran lalu lintas jaringan ke atau dari mesin virtual.
- Mendiagnosis masalah perutean jaringan dari mesin virtual.
- Mendiagnosis koneksi keluar dari sebuah mesin virtual.
- Mengambil paket ke dan dari mesin virtual.
- Mendiagnosis masalah dengan gateway dan koneksi jaringan virtual.
- Menentukan latensi relatif antara wilayah Azure dan penyedia layanan internet.
- Menampilkan aturan keamanan untuk antarmuka jaringan.
- Menampilkan metrik jaringan.
- Menganalisis lalu lintas ke atau dari grup keamanan jaringan.
- Melihat log diagnostik untuk sumber daya jaringan.
Jenis komponen: Beban kerja
Komponen beban kerja adalah tempat aplikasi dan layanan Anda yang sebenarnya berada. Di situlah tim pengembangan aplikasi Anda menghabiskan sebagian besar waktu mereka.
Kemungkinan beban kerja tidaklah terbatas. Berikut ini hanya beberapa jenis beban kerja yang mungkin:
Aplikasi internal: Aplikasi lini bisnis sangat penting untuk operasi perusahaan. Aplikasi ini memiliki beberapa karakteristik umum:
- Interaktif: Data dimasukkan, lalu hasil atau laporan didapat.
- Berbasis data: Data intensif dengan akses yang sering ke database atau penyimpanan lainnya.
- Terpadu: Menawarkan integrasi dengan sistem lain di dalam atau di luar organisasi.
Situs web yang menghadap ke pelanggan (menghadap ke internet atau menghadap secara internal): Sebagian besar aplikasi internet adalah situs web. Azure dapat menjalankan situs web melalui mesin virtual IaaS atau situs Aplikasi Web Azure (PaaS). Aplikasi web Azure terintegrasi dengan jaringan virtual untuk menyebarkan aplikasi web di zona jaringan spoke. Situs web yang menghadap secara internal tidak perlu mengekspos titik akhir internet publik karena sumber daya dapat diakses melalui alamat {i>routable
Analitik big data: Ketika data perlu meningkatkan skala ke volume yang lebih besar, database relasional mungkin tidak berperforma baik di bawah beban ekstrem atau sifat data yang tidak terstruktur. Azure HDInsight adalah layanan analitik sumber terbuka dengan spektrum penuh yang terkelola di cloud untuk perusahaan. Anda dapat menggunakan kerangka kerja sumber terbuka seperti Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, dan R. HDInsight. Ini mendukung penyebaran ke jaringan virtual berbasis lokasi, yang dapat disebarkan ke kluster dalam spoke pusat data virtual.
Peristiwa dan olahpesan: Azure Event Hubs adalah platform streaming big data dan layanan penyerapan peristiwa. Layanan ini dapat menerima dan memproses jutaan peristiwa per detik. Ini memberikan latensi rendah dan retensi waktu yang dapat dikonfigurasi, memungkinkan Anda untuk menyerap sejumlah besar data ke Azure dan membacanya dari beberapa aplikasi. Satu aliran dapat mendukung alur berbasis {i>real-timebatch
Anda dapat menerapkan layanan olahpesan cloud yang sangat andal antara aplikasi dan layanan melalui Azure Bus Layanan. Ini menawarkan olahpesan berperantara asinkron antara klien dan server, olahpesan {i>first-in-first-out
Contoh-contoh ini hampir tidak menggores permukaan jenis beban kerja yang dapat Anda buat di Azure. Anda dapat membuat semuanya mulai dari aplikasi Web dan SQL dasar hingga yang terbaru di IoT, big data, pembelajaran mesin, AI, dan banyak lagi.
Ketersediaan tinggi: beberapa pusat data virtual
Sejauh ini, artikel ini berfokus pada desain VDC tunggal, menggambarkan komponen dasar dan arsitektur yang berkontribusi terhadap ketahanan. Fitur Azure seperti Azure Load Balancer, NVA, zona ketersediaan, set ketersediaan, set skala, dan kemampuan lain yang membantu Anda menyertakan tingkat SLA yang solid ke dalam layanan produksi Anda.
Namun, karena pusat data virtual biasanya diimplementasikan dalam satu wilayah, mungkin pusat data ini rentan terhadap pemadaman yang memengaruhi seluruh wilayah. Pelanggan yang membutuhkan ketersediaan tinggi harus melindungi layanan melalui penyebaran proyek yang sama dalam dua atau lebih implementasi VDC yang digunakan ke berbagai wilayah.
Selain dalam kaitannya dengan SLA, beberapa skenario umum mendapat keuntungan dari menjalankan beberapa pusat data virtual:
- Keberadaan regional atau global pengguna akhir atau mitra Anda.
- Persyaratan pemulihan bencana.
- Mekanisme untuk mengalihkan lalu lintas antara pusat data untuk beban atau performa.
Keberadaan regional/global
Pusat data Azure ada di banyak wilayah di seluruh dunia. Saat memilih beberapa pusat data Azure, pertimbangkan dua faktor terkait: jarak geografis dan latensi. Untuk mengoptimalkan pengalaman pengguna, evaluasi jarak antara setiap pusat data virtual dan jarak dari setiap pusat data virtual ke pengguna akhir.
Wilayah Azure yang meng-{i>host
Pemulihan dari bencana
Desain rencana pemulihan bencana tergantung pada jenis beban kerja dan kemampuan untuk menyinkronkan keadaan beban kerja tersebut antara implementasi VDC yang berbeda. Idealnya, sebagian besar pelanggan menginginkan mekanisme fail-over yang cepat, dan persyaratan ini mungkin memerlukan sinkronisasi data aplikasi antara penyebaran yang berjalan dalam beberapa implementasi VDC. Namun, ketika merancang rencana pemulihan bencana, penting untuk mempertimbangkan bahwa sebagian besar aplikasi sensitif terhadap latensi yang dapat disebabkan oleh sinkronisasi data ini.
Sinkronisasi dan pemantauan detak jantung aplikasi dalam implementasi VDC yang berbeda mengharuskan mereka untuk berkomunikasi melalui jaringan. Beberapa implementasi VDC di berbagai wilayah dapat disambungkan melalui:
- Komunikasi hub-ke-hub dibangun ke dalam hub Azure Virtual WAN di seluruh wilayah dalam Virtual WAN yang sama.
- {i>Peering
- {i>Peering
- Beberapa sirkuit ExpressRoute terhubung melalui penyokong ({i>backbone
- Koneksi VPN Situs-ke-Situs antara zona hub implementasi VDC Anda di setiap wilayah Azure.
Biasanya, hub Virtual WAN, {i>peeringbandwidthbackbone
Jalankan tes kualifikasi jaringan untuk memverifikasi latensi dan {i>bandwidth
Pemulihan bencana: mengalihkan lalu lintas dari satu wilayah ke wilayah lain
Baik Azure Traffic Manager maupun Azure Front Door secara berkala memeriksa kesehatan layanan mendengarkan titik akhir dalam implementasi VDC yang berbeda. Jika titik akhir tersebut gagal, Azure Traffic Manager dan Azure Front Door merutekan secara otomatis ke VDC terdekat berikutnya. Traffic Manager menggunakan pengukuran pengguna {i>real-timebackboneanycast
Ringkasan
Pendekatan pusat data virtual untuk migrasi adalah membuat arsitektur yang dapat diskalakan yang mengoptimalkan penggunaan sumber daya Azure, menurunkan biaya, dan menyederhanakan tata kelola sistem. Pusat data virtual umumnya berdasarkan topologi hub dan jaringan {i>spokepeeringspokecloud-native
Referensi
Pelajari selengkapnya tentang kemampuan Azure yang dibahas dalam dokumen ini.
Fitur jaringan
Jaringan Virtual Azure
Kelompok Keamanan Jaringan
Titik Akhir Layanan
Private Link
Rute yang Ditentukan Pengguna
Appliance Virtual Jaringan
Alamat IP Publik
DNS Azure
Identitas
Microsoft Entra ID
Autentikasi multifaktor Microsoft Entra
Kontrol akses berbasis peran Azure
Peran bawaan Azure
Pemantauan
Network Watcher
Azure Monitor
Log Analytics
Layanan Azure lainnya
Azure Storage
Azure SQL
Azure Web Apps
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Pembelajaran Mesin Azure
Langkah berikutnya
- Pelajari selengkapnya tentang peering jaringan virtual, teknologi inti topologi hub dan spoke.
- Terapkan ID Microsoft Entra untuk menggunakan kontrol akses berbasis peran Azure.
- Kembangkan model langganan dan manajemen sumber daya menggunakan kontrol akses berbasis peran Azure yang sesuai dengan struktur, persyaratan, dan kebijakan organisasi Anda. Kegiatan yang paling penting adalah perencanaan. Menganalisis bagaimana penataan ulang, penggabungan, lini produk baru, dan pertimbangan lainnya akan memengaruhi model awal untuk memastikan Anda dapat menskalakannya sehingga memenuhi kebutuhan dan pertumbuhan di masa depan.
Di dalam satu {i>spoke
Seorang arsitek mungkin ingin menyebarkan beban kerja multitingkat di beberapa jaringan virtual. Dengan {i>peering
Spoke juga dapat saling terhubung ke spoke yang bertindak sebagai hub. Pendekatan ini menciptakan hierarki dua tingkat. Spoke di tingkat yang lebih tinggi (level 0) menjadi hub spoke yang lebih rendah (tingkat 1) dari hierarki. Spoke untuk implementasi VDC diperlukan untuk meneruskan lalu lintas ke hub pusat. Lalu lintas kemudian dapat transit ke tujuannya baik di jaringan lokal atau internet publik. Arsitektur dengan dua tingkat hub memperkenalkan perutean kompleks yang menghilangkan keuntungan dari hubungan hub-{i>spoke
Meskipun Azure memungkinkan topologi yang kompleks, salah satu prinsip inti dari konsep VDC adalah pengulangan dan kesederhanaan. Untuk meminimalkan upaya manajemen, desain hub-{i>spoke
Komponen
Pusat data virtual terdiri dari empat jenis komponen dasar: Infrastruktur, Jaringan Perimeter, Beban Kerja, dan Pemantauan.
Setiap jenis komponen terdiri atas berbagai fitur dan sumber daya Azure. Implementasi VDC Anda terdiri dari instans beberapa jenis komponen dan beberapa variasi dari jenis komponen yang sama. Misalnya, Anda mungkin memiliki banyak instans beban kerja yang berbeda dan dipisahkan secara logis yang mewakili aplikasi yang berbeda. Anda menggunakan berbagai jenis komponen dan instans ini untuk membangun VDC.
Arsitektur konseptual tingkat tinggi VDC sebelumnya menunjukkan berbagai jenis komponen yang digunakan di berbagai zona topologi hub-{i>spoke
Sebagai praktik yang baik secara umum, hak akses dan hak istimewa dapat berbasis grup. Berurusan dengan grup daripada pengguna individu memudahkan pemeliharaan kebijakan akses, dengan menyediakan cara yang konsisten untuk mengelolanya di seluruh tim, yang membantu meminimalkan kesalahan konfigurasi. Menetapkan dan menghapus pengguna ke dan dari grup yang sesuai membantu menjaga hak istimewa pengguna tertentu tetap terbarui.
Setiap grup peran dapat memiliki awalan unik pada namanya. Awalan ini memudahkan untuk mengidentifikasi beban kerja mana yang terkait dengan grup. Misalnya, beban kerja yang menghosting layanan autentikasi mungkin memiliki grup bernama AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, dan AuthServiceInfraOps. Peran terpusat, atau peran yang tidak terkait dengan layanan tertentu, dapat diawali dengan Corp. Contohnya adalah CorpNetOps.
Banyak organisasi menggunakan variasi grup berikut untuk memberikan perincian utama peran:
- Tim IT pusat bernama Corp memiliki hak kepemilikan untuk mengontrol komponen infrastruktur. Contohnya adalah jaringan dan keamanan. Grup harus memiliki peran kontributor di langganan, kontrol hub, dan hak kontributor jaringan dalam {i>spoke
- Grup dev/test bernama AppDevOps memiliki tanggung jawab untuk menerapkan beban kerja aplikasi atau layanan. Grup ini mengambil peran kontributor mesin virtual untuk penyebaran IaaS atau satu atau lebih peran kontributor PaaS. Untuk informasi selengkapnya, lihat Peran bawaan Azure. Secara opsional, tim dev/test mungkin memerlukan visibilitas di kebijakan keamanan (grup keamanan jaringan) dan kebijakan perutean (rute yang ditentukan pengguna) di dalam hub atau {i>spoke
- Grup operasi dan pemeliharaan yang disebut CorpInfraOps atau AppInfraOps memiliki tanggung jawab mengelola beban kerja dalam produksi. Grup ini harus menjadi kontributor langganan di beban kerja dalam langganan produksi apa pun. Beberapa organisasi mungkin juga mengevaluasi apakah mereka memerlukan grup tim dukungan eskalasi dengan peran kontributor langganan dalam produksi dan langganan hub pusat. Grup lain memperbaiki potensi masalah konfigurasi di lingkungan produksi.
VDC dirancang sehingga grup tim IT pusat yang mengelola hub memiliki grup yang sesuai di tingkat beban kerja. Selain mengelola sumber daya hub, tim IT pusat dapat mengontrol akses eksternal dan izin tingkat atas pada langganan. Grup beban kerja juga dapat mengontrol sumber daya dan izin jaringan virtual mereka secara independen dari tim IT pusat.
Pusat data virtual dipartisi untuk meng-{i>host
Diagram sebelumnya menunjukkan hubungan antara proyek, pengguna, grup, dan lingkungan organisasi tempat komponen Azure disebarkan.
Biasanya di bidang IT, lingkungan (atau tingkat) adalah sistem tempat beberapa aplikasi disebarkan dan dijalankan. Perusahaan besar menggunakan lingkungan pengembangan (tempat perubahan dibuat dan diuji) dan lingkungan produksi (apa yang digunakan pengguna akhir). Lingkungan tersebut dipisahkan, seringkali dengan beberapa lingkungan penahapan di antaranya, untuk memungkinkan penyebaran bertahap (peluncuran), pengujian, dan pemutaran kembali jika masalah muncul. Arsitektur penyebaran bervariasi secara signifikan, tetapi biasanya proses dasar awal di pengembangan (DEV) dan akhir di produksi (PROD) masih diikuti.
Arsitektur umum untuk jenis lingkungan multitier ini mencakup DevOps untuk pengembangan dan pengujian, UAT untuk penahapan, dan lingkungan produksi. Organisasi dapat menggunakan satu atau beberapa penyewa Microsoft Entra untuk menentukan akses dan hak ke lingkungan ini. Diagram sebelumnya menunjukkan kasus di mana dua penyewa Microsoft Entra yang berbeda digunakan: satu untuk DevOps dan UAT, dan yang lainnya secara eksklusif untuk produksi.
Kehadiran penyewa Microsoft Entra yang berbeda memberlakukan pemisahan antar lingkungan. Grup pengguna yang sama, seperti tim IT pusat, perlu mengautentikasi dengan menggunakan URI yang berbeda untuk mengakses penyewa Microsoft Entra yang berbeda. Ini memungkinkan tim untuk memodifikasi peran atau izin baik dari DevOps atau lingkungan produksi proyek. Adanya berbagai autentikasi pengguna untuk mengakses lingkungan yang beragam mengurangi kemungkinan pemadaman dan masalah lain yang disebabkan oleh kesalahan manusia.
Jenis komponen: infrastruktur
Jenis komponen ini adalah tempat sebagian besar infrastruktur pendukung berada. Ini juga adalah tempat tim IT, keamanan, dan kepatuhan terpusat Anda menghabiskan sebagian besar waktu mereka.
Komponen infrastruktur menyediakan interkoneksi untuk berbagai komponen implementasi VDC, dan tersedia di hub dan {i>spoke
Salah satu tugas utama tim infrastruktur IT adalah menjamin konsistensi skema alamat IP di seluruh perusahaan. Ruang alamat IP privat yang ditetapkan untuk implementasi VDC harus konsisten dan tidak tumpang tindih dengan alamat IP privat yang ditetapkan di jaringan lokal Anda.
Sementara NAT di perute tepi lokal atau di lingkungan Azure dapat menghindari konflik alamat IP, NAT menambah komplikasi pada komponen infrastruktur Anda. Kesederhanaan manajemen adalah salah satu tujuan utama VDC. Menggunakan NAT untuk menangani masalah IP, sementara solusi yang valid, bukanlah solusi yang direkomendasikan.
Komponen infrastruktur memiliki fungsi sebagai berikut:
- Layanan identitas dan direktori: Akses ke setiap jenis sumber daya di Azure dikontrol oleh identitas yang disimpan dalam layanan direktori. Layanan direktori tidak hanya menyimpan daftar pengguna, tetapi juga hak akses ke sumber daya dalam langganan Azure tertentu. Layanan ini dapat ada di cloud, atau dapat disinkronkan dengan identitas lokal yang disimpan di Direktori Aktif.
- Jaringan virtual: Jaringan virtual adalah salah satu komponen utama VDC, dan memungkinkan Anda membuat batas isolasi lalu lintas di platform Azure. Jaringan virtual terdiri atas satu atau beberapa segmen jaringan virtual, setiap jaringan dengan prefiks jaringan IP tertentu (subnet, baik IPv4 atau tumpukan ganda IPv4/IPv6). Jaringan virtual mendefinisikan area perimeter internal tempat mesin virtual IaaS dan layanan PaaS dapat membangun komunikasi privat. VM (dan layanan PaaS) dalam satu jaringan virtual tidak dapat berkomunikasi langsung ke VM (dan layanan PaaS) di jaringan virtual yang berbeda. Ini berlaku bahkan jika kedua jaringan virtual dibuat oleh pelanggan yang sama, di bawah langganan yang sama. Isolasi adalah properti penting yang memastikan VM dan komunikasi pelanggan tetap privat dalam jaringan virtual. Di mana konektivitas lintas jaringan diinginkan, fitur berikut menjelaskan bagaimana konektivitas tersebut dapat dicapai.
- Peering jaringan virtual: Fitur mendasar yang digunakan untuk membuat infrastruktur VDC adalah peering jaringan virtual, yang menghubungkan dua jaringan virtual di wilayah yang sama. Koneksi ini terjadi melalui jaringan pusat data Azure atau menggunakan backbone Azure di seluruh dunia di seluruh wilayah.
- Titik akhir layanan Virtual Network: Titik akhir layanan memperluas ruang alamat privat jaringan virtual Anda untuk menyertakan ruang PaaS Anda. Titik akhir juga memperluas identitas jaringan virtual Anda ke layanan Azure melalui koneksi langsung. Titik akhir memungkinkan Anda mengamankan sumber daya layanan Azure penting ke jaringan virtual.
- Private Link: Azure Private Link memungkinkan Anda mengakses Azure PaaS Services (misalnya, Azure Storage, Azure Cosmos DB, dan Azure SQL Database) dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda juga dapat membuat Layanan Private Link sendiri di jaringan virtual dan mengirimkannya secara privat ke konsumen Anda. Pengalaman penyiapan dan pemakaian menggunakan Azure Private Link bekerja secara konsisten di seluruh layanan Azure PaaS, milik pelanggan dan mitra bersama.
- Rute yang ditentukan pengguna: Lalu lintas di jaringan virtual dirutekan secara default berdasarkan tabel perutean sistem. Rute yang ditentukan pengguna adalah tabel perutean kustom yang dapat dikaitkan administrator jaringan ke satu atau beberapa subnet untuk mengambil alih perilaku tabel perutean sistem dan menentukan jalur komunikasi dalam jaringan virtual. Kehadiran rute yang ditentukan pengguna menjamin lalu lintas dari spoke transit melalui VM kustom tertentu atau appliance virtual jaringan dan load balancer yang ada di hub dan spoke.
- Kelompok keamanan jaringan: Kelompok keamanan jaringan adalah daftar aturan keamanan yang bertindak sebagai pemfilteran lalu lintas pada sumber IP, tujuan IP, protokol, port sumber IP, dan port tujuan IP (juga disebut Lapisan 4 lima tuple). Grup keamanan jaringan dapat diterapkan ke subnet, NIC Virtual yang terkait dengan Azure VM, atau keduanya. Grup keamanan jaringan sangat penting untuk menerapkan kontrol alur yang benar di hub dan di {i>spoke
- DNS: DNS menyediakan resolusi nama untuk sumber daya di pusat data virtual. Azure menyediakan layanan DNS untuk resolusi nama publik dan privat. Zona privat menyediakan resolusi nama dalam jaringan virtual dan di seluruh jaringan virtual. Zona privat dapat mencakup seluruh jaringan virtual di wilayah yang sama, dan di seluruh wilayah dan langganan. Untuk resolusi publik, Azure DNS menyediakan layanan yang meng-{i>host
- Pengelolaan grup manajemen, langganan, dan grup sumber daya. Langganan mendefinisikan batas alami untuk membuat beberapa grup sumber daya di Azure. Pemisahan ini dapat untuk fungsi, pemisahan peran, atau penagihan. Sumber daya dalam langganan dirakit bersama dalam wadah logis yang dikenal sebagai grup sumber daya. Grup sumber daya mewakili grup logis untuk mengatur sumber daya dalam pusat data virtual. Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure memberikan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang dikenal sebagai "grup manajemen" dan menerapkan syarat tata kelola ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen. Untuk melihat ketiga fitur ini dalam tampilan hierarki, lihat Mengatur sumber daya di Kerangka Adopsi Cloud.
- Kontrol akses berbasis peran Azure (Azure RBAC): Azure RBAC dapat memetakan peran dan hak organisasi untuk mengakses sumber daya Azure tertentu. Ini memungkinkan Anda membatasi pengguna hanya untuk subset tindakan tertentu. Jika Anda menyinkronkan ID Microsoft Entra dengan Active Directory lokal, Anda dapat menggunakan grup Direktori Aktif yang sama di Azure yang Anda gunakan secara lokal. Dengan Azure RBAC, Anda dapat memberikan akses dengan menetapkan peran yang sesuai untuk pengguna, grup, dan aplikasi dalam cakupan yang relevan. Cakupan penetapan peran dapat menjadi langganan, grup sumber daya, atau satu sumber daya Azure. Azure RBAC memungkinkan pewarisan izin. Peran yang ditetapkan di cakupan induk juga memberikan akses ke turunan yang terkandung di dalamnya. Dengan Azure RBAC, Anda dapat memisahkan tugas, dan hanya memberikan jumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka. Misalnya, satu karyawan dapat mengelola mesin virtual dalam langganan, sementara yang lain dapat mengelola {i>database
Tipe Komponen: Jaringan Perimeter
Komponen jaringan perimeter (kadang-kadang disebut jaringan DMZ) menghubungkan jaringan pusat data lokal atau fisik Anda, bersama dengan konektivitas internet apa pun. Perimeter biasanya membutuhkan investasi waktu yang signifikan dari tim jaringan dan tim keamanan Anda.
Paket masuk dapat mengalir melalui appliance keamanan di hub sebelum mencapai server dan layanan back-end di spoke. Contohnya termasuk {i>firewall
Komponen jaringan sekitar meliputi:
- Jaringan virtual, rute yang ditentukan pengguna, dan grup keamanan jaringan
- Appliance virtual jaringan
- Penyeimbang Beban Azure
- Azure Application Gateway dan Web Application Firewall (WAF)
- IP Publik
- Azure Front Door dengan Web Application Firewall (WAF)
- Azure Firewall dan Azure Firewall Manager
- DDoS Protection Standar
Biasanya, tim IT pusat dan tim keamanan memiliki tanggung jawab untuk penetapan persyaratan dan pengoperasian jaringan sekitar.
Diagram sebelumnya menunjukkan penegakan dua perimeter dengan akses ke internet dan jaringan lokal, keduanya berada di hub DMZ. Di hub DMZ, jaringan perimeter ke internet dapat ditingkatkan untuk mendukung banyak lini bisnis, menggunakan beberapa {i>farm
Catatan
Dalam diagram sebelumnya, dalam DMZ Hub, banyak fitur berikut dapat dibundel bersama-sama di hub Azure Virtual WAN (seperti jaringan virtual, rute yang ditentukan pengguna, grup keamanan jaringan, gateway VPN, gateway ExpressRoute, Azure Load Balancer, Azure Firewalls, Firewall Manager, dan DDOS). Menggunakan hub Azure Virtual WAN dapat membuat pembuatan jaringan virtual hub dan VDC jauh lebih mudah, karena sebagian besar kompleksitas teknik ditangani untuk Anda oleh Azure saat Anda menyebarkan hub Azure Virtual WAN.
Jaringan virtual. Hub biasanya dibangun di jaringan virtual dengan beberapa subnet yang menghosting berbagai jenis layanan. Layanan ini memfilter dan memeriksa lalu lintas ke atau dari internet melalui instans Azure Firewall, NVA, WAF, dan Azure Application Gateway.
Rute yang ditentukan pengguna. Dengan menggunakan rute yang ditentukan pengguna, pelanggan dapat menyebarkan firewall, IDS/IPS, dan appliance virtual lainnya. Mereka dapat merutekan lalu lintas jaringan melalui appliance keamanan ini untuk penegakan kebijakan batas keamanan, audit, dan inspeksi. Rute yang ditentukan pengguna dapat dibuat di hub dan {i>spoke
Azure Firewall adalah layanan keamanan jaringan terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah {i>firewall
Jika Anda menggunakan topologi Azure Virtual WAN, Azure Firewall Manager adalah layanan manajemen keamanan yang menyediakan kebijakan keamanan pusat dan manajemen rute untuk perimeter keamanan berbasis cloud. Layanan ini berkerja sama dengan hub Azure Virtual WAN, sumber daya yang dikelola Microsoft yang memungkinkan Anda membuat arsitektur hub dan {i>spoke
Appliance virtual jaringan. Di hub, jaringan perimeter dengan akses ke internet biasanya dikelola melalui instans Azure Firewall atau {i>farm
Lini bisnis yang berbeda biasanya menggunakan banyak aplikasi web, yang cenderung terbeban oleh karena berbagai kerentanan dan potensi eksploitasi. Firewall aplikasi web adalah jenis produk khusus yang digunakan untuk mendeteksi serangan terhadap aplikasi web dan HTTP/HTTPS lebih efektif daripada firewall generik. Dibandingkan dengan teknologi {i>firewall
Firewall Azure atau firewall NVA menggunakan sarana administrasi umum, dengan sekumpulan aturan keamanan untuk melindungi beban kerja yang dihosting di spoke, dan mengontrol akses ke jaringan lokal. Azure Firewall memiliki skalabilitas bawaan, sementara {i>firewall
Sebaiknya gunakan satu set instans Azure Firewall, atau NVA, untuk lalu lintas yang berasal dari internet. Gunakan yang lain untuk lalu lintas yang berasal dari tempat lokal. Hanya menggunakan satu set {i>firewall
Azure Load Balancer menawarkan layanan Lapisan 4 (TCP/UDP) dengan ketersediaan tinggi, yang dapat mendistribusikan lalu lintas masuk di antara instans layanan yang ditetapkan dalam set yang bebannya diseimbangkan. Lalu lintas yang dikirim ke load balancer dari titik akhir ujung depan (titik akhir IP publik atau titik akhir IP privat) dapat didistribusikan ulang dengan atau tanpa terjemahan alamat ke sekumpulan kumpulan alamat IP back-end (seperti appliance virtual jaringan atau komputer virtual).
Azure Load Balancer dapat memeriksa kesehatan berbagai instans server. Saat instans gagal merespons pemeriksaan, penyeimbang beban berhenti mengirimkan lalu lintas ke instans yang tidak sehat. Di pusat data virtual, penyeimbang beban eksternal digunakan ke hub dan {i>spoke
Azure Front Door (AFD) adalah platform akselerasi aplikasi web Microsoft yang sangat tersedia dan dapat diskalakan, penyeimbang muatan HTTP global, perlindungan aplikasi, dan jaringan pengiriman konten. Berjalan di lebih dari 100 lokasi di tepi Jaringan Global Microsoft, AFD memungkinkan Anda membangun, mengoperasikan, dan meluaskan skala aplikasi web dinamis dan konten statis Anda. AFD menyediakan aplikasi Anda dengan kinerja pengguna akhir kelas dunia, otomatisasi pemeliharaan regional/stempel terpadu, otomatisasi BCDR, informasi klien/pengguna terpadu, penembolokan, dan wawasan layanan.
Platform ini menawarkan:
- Performa, keandalan, dan perjanjian tingkat layanan (SLA) dukungan.
- Sertifikasi kepatuhan.
- Praktik keamanan yang dapat diaudit yang dikembangkan, dioperasikan, dan didukung oleh Azure secara {i>native
Azure Front Door juga menyediakan {i>firewall
Azure Application Gateway adalah appliance virtual khusus yang menyediakan pengontrol pengiriman aplikasi terkelola. Ini menawarkan berbagai kemampuan penyeimbang beban Lapisan 7 untuk aplikasi Anda. Ini memungkinkan Anda untuk mengoptimalkan performa {i>farm
IP Publik. Dengan beberapa fitur Azure, Anda dapat mengaitkan titik akhir layanan ke alamat IP publik sehingga sumber daya Anda dapat diakses dari internet. Titik akhir ini menggunakan NAT untuk merutekan lalu lintas ke alamat internal dan {i>port
Azure DDoS Protection menyediakan lebih banyak kemampuan mitigasi melalui tingkat layanan dasar yang disetel khusus untuk sumber daya jaringan virtual Azure. DDoS Protection mudah diaktifkan dan tidak memerlukan perubahan aplikasi. Kebijakan perlindungan disetel melalui pemantauan lalu lintas khusus dan algoritme pembelajaran mesin. Kebijakan diterapkan ke alamat IP publik yang terkait dengan sumber daya yang disebarkan di jaringan virtual. Contohnya termasuk azure load balancer, gateway aplikasi Azure, dan instans service fabric Azure. Log yang hampir real-time dan dihasilkan sistem tersedia melalui tampilan azure monitor selama serangan dan untuk riwayat. Perlindungan lapisan aplikasi dapat ditambahkan melalui firewall aplikasi web gateway aplikasi Azure. Proteksi diberikan untuk alamat IP publik Azure IPv4 dan IPv6.
Topologi hub dan {i>spoke
Dalam diagram, rute yang ditentukan pengguna memastikan bahwa lalu lintas mengalir dari {i>firewall
Jenis komponen: pemantauan
Komponen pemantauan memberikan visibilitas dan peringatan dari semua jenis komponen lainnya. Semua tim dapat memiliki akses ke pemantauan untuk komponen dan layanan yang dapat mereka akses. Jika Anda memiliki {i>help desk
Azure menawarkan berbagai jenis layanan pengelogan dan pemantauan untuk melacak perilaku sumber daya yang di-{i>host
Azure Monitor. Microsoft Azure menyertakan beberapa layanan yang secara individual melakukan peran atau tugas tertentu di ruang pemantauan. Bersama-sama, layanan tersebut memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak atas log yang dihasilkan sistem dari aplikasi Anda dan sumber daya Azure yang mendukungnya. Mereka juga dapat bekerja untuk memantau sumber daya lokal penting untuk menyediakan lingkungan pemantauan hibrid. Memahami alat dan data yang tersedia adalah langkah pertama dalam mengembangkan strategi pemantauan lengkap untuk aplikasi Anda.
Ada dua jenis log dasar di Azure Monitor:
Metrik adalah nilai numerik yang menggambarkan beberapa aspek sistem pada titik waktu tertentu. Mereka ringan dan mampu mendukung skenario mendekati real-time. Untuk banyak sumber daya Azure, Anda akan melihat data yang dikumpulkan oleh Azure Monitor langsung di halaman gambaran umum mereka di portal Azure. Sebagai contoh, lihatlah komputer virtual apa pun, dan Anda akan melihat beberapa bagan yang menampilkan metrik performa. Pilih salah satu grafik untuk membuka data di penjelajah metrik di portal Azure, yang memungkinkan Anda membuat bagan nilai beberapa metrik dari waktu ke waktu. Anda dapat melihat bagan secara interaktif atau menyematkannya ke dasbor untuk melihatnya dengan visualisasi lain.
Log berisi berbagai jenis data yang disusun ke dalam rekaman dengan set properti yang berbeda untuk setiap jenis. Peristiwa dan jejak disimpan sebagai log bersama dengan data performa, yang semuanya dapat digabungkan untuk analisis. Data log yang dikumpulkan oleh Azure Monitor dapat dianalisis dengan kueri untuk mengambil, mengonsolidasi, dan menganalisis data yang dikumpulkan dengan cepat. Log disimpan dan dikueri dari analitik log. Anda dapat membuat dan menguji kueri menggunakan analitik log di portal Azure, dan langsung menganalisis data menggunakan alat ini atau menyimpan kueri untuk digunakan dengan visualisasi atau aturan pemberitahuan.
Microsoft Azure Monitor dapat mengumpulkan data dari berbagai sumber. Anda dapat menganggap data pemantauan untuk aplikasi terjadi dalam tingkatan yang berkisar dari aplikasi ke semua OS, dan layanan yang diandalkannya, hingga ke platform Azure itu sendiri. Azure Monitor mengumpulkan data dari setiap tingkatan berikut:
- Data pemantauan aplikasi: Data tentang kinerja dan fungsionalitas kode yang Anda tulis, apa pun platformnya.
- Data pemantauan OS tamu: Data tentang sistem operasi tempat aplikasi Anda berjalan. OS ini dapat berjalan di Azure, cloud lain, atau lokal.
- Data pemantauan sumber daya Azure: Data tentang pengoperasian sumber daya Azure.
- Data pemantauan langganan Azure: Data tentang operasi dan manajemen langganan Azure, serta kesehatan dan pengoperasian Azure itu sendiri.
- Data pemantauan penyewa Azure: Data tentang pengoperasian layanan Azure tingkat penyewa, seperti ID Microsoft Entra.
- Sumber kustom: Log yang dikirim dari sumber lokal juga dapat disertakan. Contohnya termasuk peristiwa server lokal atau {i>output
Data pemantauan hanya berguna jika dapat meningkatkan visibilitas Anda ke dalam pengoperasian lingkungan komputasi Anda. Azure Monitor mencakup beberapa fitur dan alat yang memberikan wawasan berharga tentang aplikasi Anda dan sumber daya lain yang bergantung padanya. Solusi dan fitur pemantauan seperti wawasan aplikasi dan Azure Monitor untuk kontainer memberikan wawasan mendalam tentang berbagai aspek aplikasi dan layanan Azure tertentu.
Solusi pemantauan di Azure Monitor adalah set logika paket yang memberikan wawasan untuk aplikasi atau layanan tertentu. Mereka termasuk logika untuk mengumpulkan data pemantauan untuk aplikasi atau layanan, kueri untuk menganalisis data itu, dan tampilan untuk visualisasi. Solusi pemantauan tersedia dari Microsoft dan mitra untuk menyediakan pemantauan untuk berbagai layanan Azure dan aplikasi lainnya.
Dengan kumpulan data yang kaya seperti itu, penting untuk mengambil tindakan proaktif pada peristiwa yang terjadi di lingkungan Anda, terutama di mana kueri manual saja tidak akan cukup. Pemberitahuan di Azure Monitor secara proaktif memberi tahu Anda tentang kondisi kritis dan berpotensi mencoba mengambil tindakan korektif. Aturan pemberitahuan berdasarkan metrik memberikan pemberitahuan mendekati real-time berdasarkan nilai numerik. Aturan pemberitahuan berdasarkan log memungkinkan logika kompleks di seluruh data dari beberapa sumber. Aturan pemberitahuan di Azure Monitor menggunakan grup tindakan, yang berisi set penerima dan tindakan unik yang dapat dibagikan di beberapa aturan. Berdasarkan kebutuhan Anda, grup tindakan dapat menggunakan webhook yang menyebabkan pemberitahuan memulai tindakan eksternal atau berintegrasi dengan alat ITSM Anda.
Azure Monitor juga memungkinkan pembuatan dasbor khusus. Dasbor Azure memungkinkan Anda menggabungkan berbagai jenis data, termasuk metrik dan log, ke dalam satu panel di portal Microsoft Azure. Anda dapat berbagi dasbor dengan pengguna Azure lainnya secara opsional. Elemen di seluruh Azure Monitor dapat ditambahkan ke dasbor Azure selain {i>output
Akhirnya, data Azure Monitor adalah sumber {i>native
Azure Network Watcher menyediakan alat untuk memantau, mendiagnosis, dan melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya di jaringan virtual di Azure. Ini adalah layanan multifaset yang memungkinkan fungsi berikut dan banyak lagi:
- Pantau komunikasi antara komputer virtual dan endpoint.
- Melihat sumber daya dalam jaringan virtual dan hubungannya.
- Mendiagnosis masalah pemfilteran lalu lintas jaringan ke atau dari mesin virtual.
- Mendiagnosis masalah perutean jaringan dari mesin virtual.
- Mendiagnosis koneksi keluar dari sebuah mesin virtual.
- Mengambil paket ke dan dari mesin virtual.
- Mendiagnosis masalah dengan gateway dan koneksi jaringan virtual.
- Menentukan latensi relatif antara wilayah Azure dan penyedia layanan internet.
- Menampilkan aturan keamanan untuk antarmuka jaringan.
- Menampilkan metrik jaringan.
- Menganalisis lalu lintas ke atau dari grup keamanan jaringan.
- Melihat log diagnostik untuk sumber daya jaringan.
Jenis komponen: Beban kerja
Komponen beban kerja adalah tempat aplikasi dan layanan Anda yang sebenarnya berada. Di situlah tim pengembangan aplikasi Anda menghabiskan sebagian besar waktu mereka.
Kemungkinan beban kerja tidaklah terbatas. Berikut ini hanya beberapa jenis beban kerja yang mungkin:
Aplikasi internal: Aplikasi lini bisnis sangat penting untuk operasi perusahaan. Aplikasi ini memiliki beberapa karakteristik umum:
- Interaktif: Data dimasukkan, lalu hasil atau laporan didapat.
- Berbasis data: Data intensif dengan akses yang sering ke database atau penyimpanan lainnya.
- Terpadu: Menawarkan integrasi dengan sistem lain di dalam atau di luar organisasi.
Situs web yang menghadap ke pelanggan (menghadap ke internet atau menghadap secara internal): Sebagian besar aplikasi internet adalah situs web. Azure dapat menjalankan situs web melalui mesin virtual IaaS atau situs Aplikasi Web Azure (PaaS). Aplikasi web Azure terintegrasi dengan jaringan virtual untuk menyebarkan aplikasi web di zona jaringan spoke. Situs web yang menghadap secara internal tidak perlu mengekspos titik akhir internet publik karena sumber daya dapat diakses melalui alamat {i>routable
Analitik big data: Ketika data perlu meningkatkan skala ke volume yang lebih besar, database relasional mungkin tidak berperforma baik di bawah beban ekstrem atau sifat data yang tidak terstruktur. Azure HDInsight adalah layanan analitik sumber terbuka dengan spektrum penuh yang terkelola di cloud untuk perusahaan. Anda dapat menggunakan kerangka kerja sumber terbuka seperti Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, dan R. HDInsight. Ini mendukung penyebaran ke jaringan virtual berbasis lokasi, yang dapat disebarkan ke kluster dalam spoke pusat data virtual.
Peristiwa dan olahpesan: Azure Event Hubs adalah platform streaming big data dan layanan penyerapan peristiwa. Layanan ini dapat menerima dan memproses jutaan peristiwa per detik. Ini memberikan latensi rendah dan retensi waktu yang dapat dikonfigurasi, memungkinkan Anda untuk menyerap sejumlah besar data ke Azure dan membacanya dari beberapa aplikasi. Satu aliran dapat mendukung alur berbasis {i>real-time
Anda dapat menerapkan layanan olahpesan cloud yang sangat andal antara aplikasi dan layanan melalui Azure Bus Layanan. Ini menawarkan olahpesan berperantara asinkron antara klien dan server, olahpesan {i>first-in-first-out
Contoh-contoh ini hampir tidak menggores permukaan jenis beban kerja yang dapat Anda buat di Azure. Anda dapat membuat semuanya mulai dari aplikasi Web dan SQL dasar hingga yang terbaru di IoT, big data, pembelajaran mesin, AI, dan banyak lagi.
Ketersediaan tinggi: beberapa pusat data virtual
Sejauh ini, artikel ini berfokus pada desain VDC tunggal, menggambarkan komponen dasar dan arsitektur yang berkontribusi terhadap ketahanan. Fitur Azure seperti Azure Load Balancer, NVA, zona ketersediaan, set ketersediaan, set skala, dan kemampuan lain yang membantu Anda menyertakan tingkat SLA yang solid ke dalam layanan produksi Anda.
Namun, karena pusat data virtual biasanya diimplementasikan dalam satu wilayah, mungkin pusat data ini rentan terhadap pemadaman yang memengaruhi seluruh wilayah. Pelanggan yang membutuhkan ketersediaan tinggi harus melindungi layanan melalui penyebaran proyek yang sama dalam dua atau lebih implementasi VDC yang digunakan ke berbagai wilayah.
Selain dalam kaitannya dengan SLA, beberapa skenario umum mendapat keuntungan dari menjalankan beberapa pusat data virtual:
- Keberadaan regional atau global pengguna akhir atau mitra Anda.
- Persyaratan pemulihan bencana.
- Mekanisme untuk mengalihkan lalu lintas antara pusat data untuk beban atau performa.
Keberadaan regional/global
Pusat data Azure ada di banyak wilayah di seluruh dunia. Saat memilih beberapa pusat data Azure, pertimbangkan dua faktor terkait: jarak geografis dan latensi. Untuk mengoptimalkan pengalaman pengguna, evaluasi jarak antara setiap pusat data virtual dan jarak dari setiap pusat data virtual ke pengguna akhir.
Wilayah Azure yang meng-{i>host
Pemulihan dari bencana
Desain rencana pemulihan bencana tergantung pada jenis beban kerja dan kemampuan untuk menyinkronkan keadaan beban kerja tersebut antara implementasi VDC yang berbeda. Idealnya, sebagian besar pelanggan menginginkan mekanisme fail-over yang cepat, dan persyaratan ini mungkin memerlukan sinkronisasi data aplikasi antara penyebaran yang berjalan dalam beberapa implementasi VDC. Namun, ketika merancang rencana pemulihan bencana, penting untuk mempertimbangkan bahwa sebagian besar aplikasi sensitif terhadap latensi yang dapat disebabkan oleh sinkronisasi data ini.
Sinkronisasi dan pemantauan detak jantung aplikasi dalam implementasi VDC yang berbeda mengharuskan mereka untuk berkomunikasi melalui jaringan. Beberapa implementasi VDC di berbagai wilayah dapat disambungkan melalui:
- Komunikasi hub-ke-hub dibangun ke dalam hub Azure Virtual WAN di seluruh wilayah dalam Virtual WAN yang sama.
- {i>Peering
- {i>Peering
- Beberapa sirkuit ExpressRoute terhubung melalui penyokong ({i>backbone
- Koneksi VPN Situs-ke-Situs antara zona hub implementasi VDC Anda di setiap wilayah Azure.
Biasanya, hub Virtual WAN, {i>peering
Jalankan tes kualifikasi jaringan untuk memverifikasi latensi dan {i>bandwidth
Pemulihan bencana: mengalihkan lalu lintas dari satu wilayah ke wilayah lain
Baik Azure Traffic Manager maupun Azure Front Door secara berkala memeriksa kesehatan layanan mendengarkan titik akhir dalam implementasi VDC yang berbeda. Jika titik akhir tersebut gagal, Azure Traffic Manager dan Azure Front Door merutekan secara otomatis ke VDC terdekat berikutnya. Traffic Manager menggunakan pengukuran pengguna {i>real-time
Ringkasan
Pendekatan pusat data virtual untuk migrasi adalah membuat arsitektur yang dapat diskalakan yang mengoptimalkan penggunaan sumber daya Azure, menurunkan biaya, dan menyederhanakan tata kelola sistem. Pusat data virtual umumnya berdasarkan topologi hub dan jaringan {i>spoke
Referensi
Pelajari selengkapnya tentang kemampuan Azure yang dibahas dalam dokumen ini.
Fitur jaringan
Jaringan Virtual Azure
Kelompok Keamanan Jaringan
Titik Akhir Layanan
Private Link
Rute yang Ditentukan Pengguna
Appliance Virtual Jaringan
Alamat IP Publik
DNS Azure
Identitas
Microsoft Entra ID
Autentikasi multifaktor Microsoft Entra
Kontrol akses berbasis peran Azure
Peran bawaan Azure
Pemantauan
Network Watcher
Azure Monitor
Log Analytics
Layanan Azure lainnya
Azure Storage
Azure SQL
Azure Web Apps
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Pembelajaran Mesin Azure
Langkah berikutnya
- Pelajari selengkapnya tentang peering jaringan virtual, teknologi inti topologi hub dan spoke.
- Terapkan ID Microsoft Entra untuk menggunakan kontrol akses berbasis peran Azure.
- Kembangkan model langganan dan manajemen sumber daya menggunakan kontrol akses berbasis peran Azure yang sesuai dengan struktur, persyaratan, dan kebijakan organisasi Anda. Kegiatan yang paling penting adalah perencanaan. Menganalisis bagaimana penataan ulang, penggabungan, lini produk baru, dan pertimbangan lainnya akan memengaruhi model awal untuk memastikan Anda dapat menskalakannya sehingga memenuhi kebutuhan dan pertumbuhan di masa depan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk