Menentukan topologi jaringan Azure

  • Artikel

Topologi jaringan adalah elemen penting dari arsitektur zona pendaratan karena menentukan bagaimana aplikasi dapat berkomunikasi satu sama lain. Bagian ini mengeksplorasi teknologi dan pendekatan topologi untuk penyebaran Azure. Ini berfokus pada dua pendekatan inti: topologi yang didasarkan pada Azure Virtual WAN, dan topologi tradisional.

VIRTUAL WAN digunakan untuk memenuhi persyaratan interkonektivitas skala besar. Karena ini adalah layanan yang dikelola Microsoft, ini juga mengurangi kompleksitas jaringan secara keseluruhan dan membantu memodernisasi jaringan organisasi Anda. Topologi Virtual WAN mungkin paling tepat jika salah satu persyaratan berikut berlaku untuk organisasi Anda:

  • Organisasi Anda ingin menyebarkan sumber daya di beberapa wilayah Azure dan memerlukan konektivitas global antara jaringan virtual di wilayah Azure ini dan beberapa lokasi lokal.
  • Organisasi Anda ingin mengintegrasikan jaringan cabang skala besar langsung ke Azure melalui penyebaran WAN (SD-WAN) yang ditentukan perangkat lunak atau memerlukan lebih dari 30 situs cabang untuk penghentian IPSec asli.
  • Anda memerlukan perutean transitif antara jaringan privat virtual (VPN) dan Azure ExpressRoute. Misalnya, cabang jarak jauh yang terhubung melalui VPN situs-ke-situs atau pengguna jarak jauh yang terhubung melalui VPN titik-ke-situs memerlukan konektivitas ke DC yang terhubung dengan ExpressRoute melalui Azure.

Topologi jaringan hub-and-spoke tradisional membantu Anda membangun jaringan berskala besar dan keamanan yang disesuaikan dan ditingkatkan di Azure. Dengan topologi ini, Anda mengelola perutean dan keamanan. Topologi tradisional mungkin paling tepat jika salah satu persyaratan berikut berlaku untuk organisasi Anda:

  • Organisasi Anda berniat untuk menyebarkan sumber daya di satu atau beberapa wilayah Azure dan, sementara beberapa lalu lintas di seluruh wilayah Azure diharapkan (misalnya, lalu lintas antara dua jaringan virtual di dua wilayah Azure yang berbeda), jaringan jala penuh di semua wilayah Azure tidak diperlukan.
  • Anda memiliki jumlah lokasi terpencil atau cabang yang rendah per wilayah. Artinya, Anda memerlukan kurang dari 30 terowongan situs-ke-situs IPSec.
  • Anda memerlukan kontrol penuh dan granularitas untuk mengonfigurasi kebijakan perutean jaringan Azure Anda secara manual.

Topologi jaringan Virtual WAN (dikelola Microsoft)

Diagram that illustrates a Virtual WAN network topology.

Topologi jaringan Azure Tradisional

Diagram that illustrates a traditional Azure network topology.

Azure Virtual Network Manager di zona pendaratan Azure

Arsitektur konseptual zona pendaratan Azure merekomendasikan salah satu dari dua topologi jaringan: topologi jaringan yang didasarkan pada Virtual WAN atau topologi jaringan yang didasarkan pada arsitektur hub-and-spoke tradisional. Saat persyaratan bisnis Anda berubah dari waktu ke waktu (misalnya, migrasi aplikasi lokal ke Azure yang memerlukan konektivitas hibrid), Anda dapat menggunakan Virtual Network Manager untuk memperluas dan menerapkan perubahan jaringan. Dalam banyak kasus, Anda dapat melakukannya tanpa mengganggu apa yang sudah disebarkan di Azure.

Anda dapat menggunakan Virtual Network Manager untuk membuat tiga jenis topologi di seluruh langganan untuk jaringan virtual yang sudah ada dan baru:

  • Topologi hub-and-spoke
  • Topologi hub-and-spoke dengan konektivitas langsung antara spoke
  • Topologi jala (dalam pratinjau)

Diagram that shows Azure virtual network topologies.

Catatan

Virtual Network Manager tidak mendukung hub Virtual WAN sebagai bagian dari grup jaringan atau sebagai hub dalam topologi. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Azure Virtual Network Manager.

Saat Anda membuat topologi hub-and-spoke dengan konektivitas langsung di Virtual Network Manager, di mana spoke terhubung satu sama lain secara langsung, konektivitas langsung antara jaringan virtual spoke dalam grup jaringan yang sama secara otomatis diaktifkan, dua arah, melalui fitur grup yang Koneksi.

Anda dapat menggunakan Virtual Network Manager untuk menambahkan jaringan virtual secara statis atau dinamis ke grup jaringan tertentu. Melakukannya menentukan dan membuat topologi yang diinginkan, berdasarkan konfigurasi konektivitas Anda di Virtual Network Manager.

Anda dapat membuat beberapa grup jaringan untuk mengisolasi grup jaringan virtual dari konektivitas langsung. Setiap grup jaringan menyediakan dukungan wilayah dan multi-wilayah yang sama untuk konektivitas spoke-to-spoke. Pastikan untuk tetap berada dalam batas yang ditentukan untuk Virtual Network Manager, yang dijelaskan dalam FAQ Azure Virtual Network Manager.

Dari perspektif keamanan, Virtual Network Manager menyediakan cara yang efisien untuk menerapkan aturan admin keamanan untuk menolak atau mengizinkan arus lalu lintas secara terpusat, terlepas dari apa yang ditentukan dalam NSG. Kemampuan ini memungkinkan administrator keamanan jaringan untuk menerapkan kontrol akses dan memungkinkan pemilik aplikasi mengelola aturan tingkat bawah mereka sendiri di NSG.

Anda dapat menggunakan Virtual Network Manager untuk mengelompokkan jaringan virtual. Anda kemudian dapat menerapkan konfigurasi ke grup daripada ke jaringan virtual individual. Fungsionalitas ini memungkinkan manajemen konektivitas, konfigurasi, dan topologi yang lebih efisien, aturan keamanan, dan penyebaran ke satu atau beberapa wilayah secara bersamaan tanpa kehilangan kontrol yang sangat halus.

Anda dapat mensegmentasi jaringan berdasarkan lingkungan, tim, lokasi, lini bisnis, atau beberapa fungsi lain yang sesuai dengan kebutuhan Anda. Anda dapat menentukan grup jaringan secara statis atau dinamis dengan membuat serangkaian kondisi yang mengatur keanggotaan grup.

Anda dapat menggunakan Virtual Network Manager untuk menerapkan prinsip desain zona pendaratan Azure untuk mengakomodasi semua migrasi, modernisasi, dan inovasi aplikasi dalam skala besar.

Pertimbangan Desain

  • Dalam penyebaran hub-and-spoke tradisional, koneksi peering jaringan virtual dibuat dan dikelola secara manual. Virtual Network Manager memperkenalkan lapisan otomatisasi untuk peering jaringan virtual, yang membuat topologi jaringan besar dan kompleks seperti jala lebih mudah dikelola dalam skala besar. Untuk informasi selengkapnya, lihat Gambaran umum grup jaringan.
  • Persyaratan keamanan dari berbagai fungsi bisnis menentukan kebutuhan untuk membuat grup jaringan. Grup jaringan adalah sekumpulan jaringan virtual yang dipilih secara manual atau melalui pernyataan kondisional, seperti yang dijelaskan sebelumnya dalam dokumen ini. Saat membuat grup jaringan, Anda perlu menentukan kebijakan, atau Virtual Network Manager dapat membuat kebijakan jika Anda mengizinkannya secara eksplisit. Kebijakan ini memungkinkan Virtual Network Manager untuk diberi tahu tentang perubahan. Untuk memperbarui inisiatif kebijakan Azure yang ada, Anda perlu menyebarkan perubahan ke grup jaringan dalam sumber daya Virtual Network Manager.
  • Untuk merancang grup jaringan yang sesuai, Anda harus mengevaluasi bagian mana dari karakteristik keamanan umum berbagi jaringan Anda. Misalnya, Anda dapat membuat grup jaringan untuk Perusahaan dan Online untuk mengelola aturan konektivitas dan keamanan mereka dalam skala besar.
  • Saat beberapa jaringan virtual di seluruh langganan organisasi Anda berbagi atribut keamanan yang sama, Anda dapat menggunakan Virtual Network Manager untuk menerapkannya secara efisien. Anda harus, misalnya, menempatkan semua sistem yang digunakan oleh unit bisnis seperti SDM atau Keuangan dalam grup jaringan terpisah karena Anda perlu menerapkan aturan admin yang berbeda untuk mereka.
  • Virtual Network Manager dapat menerapkan aturan admin keamanan secara terpusat, yang memiliki prioritas lebih tinggi daripada aturan NSG yang diterapkan di tingkat subnet. (Fitur ini dalam pratinjau.) Fitur ini memungkinkan tim jaringan dan keamanan untuk secara efektif menegakkan kebijakan perusahaan dan membuat pagar pembatas keamanan dalam skala besar, tetapi memungkinkan tim produk untuk secara bersamaan mempertahankan kontrol NSG dalam langganan zona pendaratan mereka.
  • Anda dapat menggunakan fitur aturan admin keamanan Virtual Network Manager untuk secara eksplisit mengizinkan atau menolak alur jaringan tertentu terlepas dari konfigurasi NSG di tingkat subnet atau antarmuka jaringan. Anda dapat menggunakan kemampuan ini, misalnya, untuk memungkinkan alur jaringan layanan manajemen selalu diizinkan. NSG yang dikendalikan oleh tim aplikasi tidak dapat mengambil alih aturan ini.
  • Jaringan virtual dapat menjadi bagian dari sebanyak dua grup yang terhubung.

Rekomendasi desain

  • Tentukan cakupan Virtual Network Manager. Terapkan aturan admin keamanan yang menerapkan aturan tingkat organisasi di grup manajemen akar (penyewa). Melakukannya secara hierarkis menerapkan aturan secara otomatis ke sumber daya yang ada dan baru dan ke semua grup manajemen terkait.
  • Buat instans Virtual Network Manager dalam langganan Koneksi ivity dengan cakupan grup manajemen akar menengah (misalnya, Contoso). Aktifkan fitur admin keamanan pada instans ini. Konfigurasi ini memungkinkan Anda menentukan aturan admin keamanan yang berlaku di semua jaringan virtual dan subnet di hierarki zona pendaratan Azure Anda dan membantu Anda mendemokratisasi NSG ke pemilik dan tim zona pendaratan aplikasi.
  • Jaringan segmentasi dengan mengelompokkan jaringan virtual baik secara statis (manual) atau dinamis (berbasis kebijakan).
  • Aktifkan konektivitas langsung antara spoke saat spoke yang dipilih perlu sering berkomunikasi, dengan latensi rendah dan throughput tinggi, satu sama lain, selain mengakses layanan umum atau NVA di hub.
  • Aktifkan jala global ketika semua jaringan virtual di seluruh wilayah perlu berkomunikasi satu sama lain.
  • Tetapkan nilai prioritas untuk setiap aturan admin keamanan di kumpulan aturan Anda. Semakin rendah nilainya, semakin tinggi prioritas aturan.
  • Gunakan aturan admin keamanan untuk secara eksplisit mengizinkan atau menolak alur jaringan, terlepas dari konfigurasi NSG yang dikontrol oleh tim aplikasi. Melakukannya juga memungkinkan Anda untuk sepenuhnya mendelegasikan kontrol NSG dan aturan mereka kepada tim aplikasi.