Bagikan melalui

Topologi jaringan Azure Tradisional

Penting

Coba pengalaman topologi, yang menawarkan visualisasi sumber daya Azure untuk kemudahan manajemen inventarisasi dan jaringan pemantauan dalam skala besar. Gunakan fitur topologi untuk memvisualisasikan sumber daya dan dependensinya di seluruh langganan, wilayah, dan lokasi.

Artikel ini menjelaskan pertimbangan dan rekomendasi desain utama untuk topologi jaringan di Microsoft Azure. Diagram berikut menunjukkan topologi jaringan Azure tradisional:

Diagram yang mengilustrasikan topologi jaringan Azure tradisional.

Pertimbangan Desain

  • Berbagai topologi jaringan dapat menghubungkan beberapa jaringan virtual zona pendaratan. Contoh topologi jaringan termasuk topologi hub-and-spoke, full-mesh, dan hybrid. Anda juga dapat memiliki beberapa jaringan virtual yang terhubung melalui beberapa sirkuit atau koneksi Azure ExpressRoute.

  • Jaringan virtual tidak dapat melintasi batas langganan. Namun, Anda dapat menggunakan peering jaringan virtual, sirkuit ExpressRoute, atau gateway VPN untuk mencapai konektivitas antara jaringan virtual di berbagai langganan.

  • Peering jaringan virtual adalah metode pilihan untuk menghubungkan jaringan virtual di Azure. Anda dapat menggunakan peering jaringan virtual untuk menyambungkan jaringan virtual di wilayah yang sama, di berbagai wilayah Azure, dan di berbagai penyewa Microsoft Entra.

  • Peering jaringan virtual dan peering jaringan virtual global tidak transitif. Untuk mengaktifkan jaringan transit, Anda memerlukan rute yang ditentukan pengguna (UDR) dan appliance virtual jaringan (NVA). Untuk informasi selengkapnya, lihat Topologi jaringan hub-spoke di Azure.

  • Anda dapat berbagi paket Azure DDoS Protection di semua jaringan virtual dalam satu penyewa Microsoft Entra untuk melindungi sumber daya dengan alamat IP publik. Untuk informasi selengkapnya, lihat DDoS Protection.

    • Paket DDoS Protection hanya mencakup sumber daya dengan alamat IP publik.

    • Biaya paket DDoS Protection mencakup 100 alamat IP publik di seluruh jaringan virtual yang dilindungi yang terkait dengan paket DDoS Protection. Perlindungan untuk lebih banyak biaya sumber daya. Untuk informasi selengkapnya, lihat Harga DDoS Protection atau FAQ.

    • Tinjau sumber daya paket DDoS Protection yang didukung.

  • Anda dapat menggunakan sirkuit ExpressRoute untuk membangun konektivitas di seluruh jaringan virtual dalam wilayah geopolitik yang sama atau menggunakan add-on premium untuk konektivitas di seluruh wilayah geopolitik. Ingat poin-poin ini:

    • Lalu lintas jaringan-ke-jaringan mungkin mengalami lebih banyak latensi, karena lalu lintas harus jepit rambut di router Microsoft Enterprise edge (MSEE).

    • SKU gateway ExpressRoute membatasi bandwidth.

    • Sebarkan dan kelola UDR jika Anda perlu memeriksa atau mencatat UDR untuk lalu lintas di seluruh jaringan virtual.

  • Gateway VPN dengan Border Gateway Protocol (BGP) transitif dalam jaringan Azure dan lokal, tetapi tidak menyediakan akses transitif ke jaringan yang terhubung melalui ExpressRoute secara default. Jika Anda memerlukan akses transitif ke jaringan yang terhubung melalui ExpressRoute, pertimbangkan Azure Route Server.

  • Saat Anda menyambungkan beberapa sirkuit ExpressRoute ke jaringan virtual yang sama, gunakan bobot koneksi dan teknik BGP untuk memastikan jalur optimal untuk lalu lintas antara jaringan lokal dan Azure. Untuk informasi selengkapnya, lihat Mengoptimalkan perutean ExpressRoute.

Jika Anda menggunakan metrik BGP untuk memengaruhi perutean ExpressRoute, Anda perlu mengubah konfigurasi di luar platform Azure. Organisasi atau penyedia konektivitas Anda harus mengonfigurasi router lokal yang sesuai.

  • Sirkuit ExpressRoute dengan add-on premium menyediakan konektivitas global.

  • ExpressRoute memiliki batas tertentu, termasuk jumlah maksimum koneksi ExpressRoute untuk setiap gateway ExpressRoute. Dan peering privat ExpressRoute memiliki batas maksimum untuk jumlah rute yang dapat diidentifikasi dari Azure ke lokal. Untuk informasi selengkapnya, lihat Batas ExpressRoute.

  • Throughput agregat maksimum gateway VPN adalah 10 gigabit per detik. Gateway VPN mendukung hingga 100 terowongan situs-ke-situs atau jaringan-ke-jaringan.

  • Jika NVA adalah bagian dari arsitektur, pertimbangkan Route Server untuk menyederhanakan perutean dinamis antara NVA dan jaringan virtual Anda. Gunakan Route Server untuk bertukar informasi perutean langsung melalui BGP antara NVA apa pun yang mendukung BGP dan jaringan yang ditentukan perangkat lunak (SDN) Azure di jaringan virtual Azure. Anda tidak perlu mengonfigurasi atau memelihara tabel rute secara manual dengan pendekatan ini.

Rekomendasi desain

  • Pertimbangkan desain jaringan berdasarkan topologi jaringan hub-dan-spoke tradisional untuk skenario berikut:

    • Arsitektur jaringan yang disebarkan dalam satu wilayah Azure.

    • Arsitektur jaringan yang mencakup beberapa wilayah Azure, tanpa perlu konektivitas transitif antarjaringan virtual untuk zona pendaratan di seluruh wilayah.

    • Arsitektur jaringan yang mencakup beberapa wilayah Azure, dan peering jaringan virtual global yang dapat menghubungkan jaringan virtual di seluruh wilayah Azure.

    • Tidak perlu konektivitas transitif antara koneksi VPN dan ExpressRoute.

    • Metode konektivitas hibrid utama yang diberlakukan adalah ExpressRoute, dan jumlah koneksi VPN kurang dari 100 per gateway VPN.

    • Ada dependensi pada NVA terpusat dan perutean granular.

  • Untuk penyebaran regional, terutama gunakan topologi hub-and-spoke dengan hub regional untuk setiap wilayah Azure spoke. Gunakan jaringan virtual zona pendaratan aplikasi yang menggunakan peering jaringan virtual untuk terhubung ke jaringan virtual hub pusat regional untuk skenario berikut:

    • Konektivitas lintas lokasi melalui ExpressRoute yang diaktifkan di dua lokasi peering yang berbeda. Untuk informasi selengkapnya, lihat Desain dan arsitek ExpressRoute untuk ketahanan.

    • VPN untuk konektivitas cabang.

    • Konektivitas spoke-to-spoke melalui NVA dan UDR.

    • Perlindungan internet-keluar melalui Azure Firewall atau NVA non-Microsoft lainnya.

  • Diagram berikut menunjukkan topologi hub-and-spoke. Gunakan konfigurasi ini untuk memastikan kontrol lalu lintas yang sesuai dan untuk memenuhi sebagian besar persyaratan untuk segmentasi dan inspeksi.

    Diagram yang menggambarkan topologi jaringan hub-and-spoke.

  • Gunakan topologi yang memiliki beberapa jaringan virtual yang terhubung melalui beberapa sirkuit ExpressRoute di lokasi peering yang berbeda jika:

    • Anda membutuhkan tingkat isolasi yang tinggi. Untuk informasi selengkapnya, lihat Desain dan arsitek ExpressRoute untuk ketahanan.

    • Anda memerlukan bandwidth ExpressRoute khusus untuk unit bisnis tertentu.

    • Anda mencapai jumlah maksimum koneksi untuk setiap gateway ExpressRoute. Untuk menentukan jumlah maksimum, lihat Batas ExpressRoute.

  • Diagram berikut menunjukkan topologi ini.

    Diagram yang mengilustrasikan beberapa jaringan virtual yang terhubung dengan beberapa sirkuit ExpressRoute.

  • Untuk peering dual-homed dalam kota yang sama, pertimbangkan ExpressRoute Metro.

  • Sebarkan Azure Firewall atau NVA mitra di jaringan virtual hub pusat untuk perlindungan dan pemfilteran lalu lintas timur/barat atau selatan/utara.

  • Sebarkan serangkaian layanan bersama minimal, termasuk gateway ExpressRoute, gateway VPN (sesuai kebutuhan), dan Azure Firewall atau NVA mitra (sesuai kebutuhan) di jaringan virtual hub pusat. Jika perlu, sebarkan juga pengontrol domain Active Directory dan server DNS.

  • Sebarkan satu paket standar DDoS Protection dalam langganan konektivitas. Gunakan paket ini untuk semua zona pendaratan dan jaringan virtual platform.

  • Gunakan jaringan, pengalihan label multiprotokl (MPLS) yang ada, dan SD-WAN untuk menghubungkan lokasi cabang dengan kantor pusat perusahaan. Jika Anda tidak menggunakan Route Server, maka Anda tidak memiliki dukungan untuk transit di Azure antara koneksi ExpressRoute dan gateway VPN.

  • Sebarkan Azure Firewall atau NVA mitra untuk perlindungan dan pemfilteran lalu lintas timur/barat atau selatan/utara, di jaringan virtual hub pusat.

  • Saat Anda menyebarkan teknologi jaringan mitra atau NVA, ikuti panduan vendor mitra untuk memastikan bahwa:

    • Vendor mendukung penyebaran.

    • Panduan ini mendukung ketersediaan tinggi dan performa maksimum.

    • Tidak ada konfigurasi yang berlawanan dengan jaringan Azure.

  • Jangan menyebarkan NVA masuk Lapisan 7, seperti Azure Application Gateway, sebagai layanan bersama di jaringan virtual hub pusat. Sebagai gantinya, sebarkan bersama dengan aplikasi di zona pendaratan masing-masing.

  • Sebarkan satu paket perlindungan standar DDoS dalam langganan konektivitas.

    • Semua zona pendaratan dan jaringan virtual platform harus menggunakan paket ini.

  • Gunakan jaringan yang sudah ada, pengalihan label multiprotokol, dan SD-WAN untuk menghubungkan lokasi cabang dengan kantor pusat perusahaan. Jika Anda tidak menggunakan Route Server, maka tidak ada dukungan untuk transit di Azure antara gateway ExpressRoute dan VPN.

  • Jika Anda memerlukan transitivitas antara gateway ExpressRoute dan VPN dalam skenario hub-and-spoke, gunakan Route Server. Untuk informasi selengkapnya, lihat Dukungan Route Server untuk ExpressRoute dan Azure VPN.

    Diagram yang mengilustrasikan transitivitas antara gateway ER dan VPN dengan Route Server.

  • Saat Anda memiliki jaringan hub dan spoke di beberapa wilayah Azure, dan Anda perlu menghubungkan beberapa zona pendaratan di seluruh wilayah, gunakan peering jaringan virtual global. Anda dapat langsung menyambungkan jaringan virtual zona pendaratan yang perlu merutekan lalu lintas satu sama lain. Tergantung pada SKU komputer virtual yang berkomunikasi, peering jaringan virtual global dapat memberikan throughput jaringan tinggi. Lalu lintas yang berjalan di antara jaringan virtual zona pendaratan yang di-peering langsung melewati NVA dalam jaringan virtual hub. Batasan peering jaringan virtual global berlaku untuk lalu lintas.

  • Saat Anda memiliki jaringan hub-and-spoke di beberapa wilayah Azure, dan Anda perlu menghubungkan sebagian besar zona pendaratan di seluruh wilayah, gunakan NVA hub untuk menghubungkan jaringan virtual hub di setiap wilayah satu sama lain dan untuk merutekan lalu lintas di seluruh wilayah. Anda juga dapat menggunakan pendekatan ini jika Anda tidak dapat menggunakan peering langsung ke NVA hub bypass karena ketidaksesuaian dengan persyaratan keamanan Anda. Peering jaringan virtual global atau sirkuit ExpressRoute dapat membantu menghubungkan jaringan virtual hub dengan cara berikut:

    • Peering jaringan virtual global menyediakan latensi rendah dan koneksi throughput tinggi tetapi menghasilkan biaya lalu lintas.

    • Jika Anda merutekan melalui ExpressRoute, Anda mungkin meningkatkan latensi karena hairpin MSEE. SKU gateway ExpressRoute yang dipilih membatasi throughput.

Diagram berikut menunjukkan opsi untuk konektivitas hub-ke-hub:

Diagram yang mengilustrasikan opsi untuk konektivitas hub-ke-hub.

  • Saat Anda perlu menghubungkan dua wilayah Azure, gunakan peering jaringan virtual global untuk menyambungkan jaringan virtual hub di setiap wilayah.

  • Gunakan arsitektur jaringan transit global terkelola yang didasarkan pada Azure Virtual WAN jika organisasi Anda:

    • Memerlukan arsitektur jaringan hub-and-spoke di lebih dari dua wilayah Azure.

    • Memerlukan konektivitas transit global antara zona pendaratan jaringan virtual di seluruh wilayah Azure.

    • Ingin meminimalkan overhead manajemen jaringan.

  • Saat Anda perlu menyambungkan lebih dari dua wilayah Azure, kami sarankan jaringan virtual hub di setiap wilayah terhubung ke sirkuit ExpressRoute yang sama. Peering jaringan virtual global mengharuskan Anda mengelola sejumlah besar hubungan peering dan serangkaian UDR yang kompleks di beberapa jaringan virtual. Diagram berikut menunjukkan cara menyambungkan jaringan hub-and-spoke di tiga wilayah:

    Diagram yang mengilustrasikan ExpressRoute menyediakan konektivitas hub-ke-hub antara beberapa wilayah.

  • Saat Anda menggunakan sirkuit ExpressRoute untuk konektivitas lintas wilayah, spoke di berbagai wilayah berkomunikasi secara langsung dan melewati firewall karena mereka belajar melalui rute BGP ke spoke hub jarak jauh. Jika Anda memerlukan NVA firewall di jaringan virtual hub untuk memeriksa lalu lintas di seluruh spoke, Anda harus menerapkan salah satu opsi berikut:

    • Buat entri rute yang lebih spesifik di UDR spoke untuk firewall di jaringan virtual hub lokal untuk mengalihkan lalu lintas di seluruh hub.

    • Untuk menyederhanakan konfigurasi rute, nonaktifkan propagasi BGP pada tabel rute spoke.

  • Saat organisasi Anda memerlukan arsitektur jaringan hub-and-spoke di lebih dari dua wilayah Azure dan konektivitas transit global antara jaringan virtual zona pendaratan di seluruh wilayah Azure, dan Anda ingin meminimalkan overhead manajemen jaringan, kami merekomendasikan arsitektur jaringan transit global terkelola yang didasarkan pada Virtual WAN.

  • Sebarkan sumber daya jaringan hub masing-masing wilayah ke dalam grup sumber daya terpisah, dan sortir ke setiap wilayah yang disebarkan.

  • Gunakan Azure Virtual Network Manager untuk mengelola konfigurasi konektivitas dan keamanan jaringan virtual secara global di seluruh langganan.

  • Gunakan wawasan jaringan Azure Monitor untuk memantau status end-to-end jaringan Anda di Azure.

  • Anda harus mempertimbangkan dua batas berikut saat menyambungkan jaringan virtual spoke ke jaringan virtual hub pusat:

    • Jumlah maksimum koneksi peering jaringan virtual per jaringan virtual.

    • Jumlah maksimum prefiks yang diiklankan ExpressRoute dengan peering privat dari Azure ke lokal.

    • Pastikan jumlah jaringan virtual spoke yang terhubung ke jaringan virtual hub tidak melebihi batas ini.

Langkah selanjutnya

Topologi jaringan Virtual WAN