Azure untuk insinyur jaringan
Sebagai teknisi jaringan konvensional, Anda telah berurusan dengan aset fisik seperti router, sakelar, kabel, firewall untuk membangun infrastruktur. Pada lapisan logis, Anda telah mengonfigurasi LAN virtual (VLAN), Spanning Tree Protocol (STP), protokol perutean (RIP, OSPF, BGP). Anda telah mengelola jaringan Anda menggunakan alat manajemen dan CLI. Jaringan di cloud berbeda di mana titik akhir jaringan adalah logis dan penggunaan protokol perutean adalah minimum. Anda akan bekerja dengan API Azure Resource Manager, Azure CLI, dan PowerShell untuk mengonfigurasi dan mengelola aset di Azure. Anda akan memulai perjalanan jaringan Anda di cloud dengan memahami penyewa dasar jaringan Azure.
Jaringan virtual
Ketika merancang jaringan dari bawah ke atas, Anda mengumpulkan beberapa informasi dasar. Informasi ini bisa menjadi jumlah host, perangkat jaringan, jumlah subnet, perutean antar subnet, domain isolasi seperti VLAN. Informasi ini membantu dalam ukuran jaringan dan perangkat keamanan serta menciptakan arsitektur untuk mendukung aplikasi dan layanan.
Ketika berencana untuk menyebarkan aplikasi dan layanan di Azure, Anda akan mulai dengan membuat batas logis di Azure, yang disebut jaringan virtual. Jaringan virtual ini mirip dengan batas jaringan fisik. Karena ini adalah jaringan virtual, Anda tidak memerlukan perlengkapan fisik tetapi masih harus merencanakan entitas logis seperti alamat IP, subnet IP, perutean, dan kebijakan.
Saat Anda membuat jaringan virtual di Azure, jaringan tersebut telah dikonfigurasi dengan rentang IP (10.0.0.0/16). Rentang ini tidak tetap, Anda dapat menentukan rentang IP Anda sendiri. Anda dapat menentukan rentang alamat IPv4 dan IPv6. Rentang IP yang didefinisikan untuk jaringan virtual tidak diiklankan ke Internet. Anda dapat membuat beberapa subnet dari rentang IP Anda. Subnet ini akan digunakan untuk menetapkan alamat IP ke antarmuka jaringan virtual (vNIC). Empat alamat IP pertama dari setiap subnet dicadangkan dan tidak dapat digunakan untuk alokasi IP. Tidak ada konsep VLAN di cloud publik. Namun, Anda dapat membuat isolasi dalam jaringan virtual berdasarkan subnet yang ditentukan.
Anda dapat membuat satu subnet besar yang mencakup semua ruang alamat jaringan virtual atau memilih untuk membuat beberapa subnet. Namun, jika Anda menggunakan gateway jaringan virtual, Azure mengharuskan Anda membuat subnet dengan nama "gateway subnet". Azure akan menggunakan subnet ini untuk menetapkan alamat IP ke gateway jaringan virtual.
Alokasi IP
Ketika Anda menetapkan alamat IP ke host, Anda benar-benar menetapkan IP ke kartu antarmuka jaringan (NIC). Anda dapat menetapkan dua jenis alamat IP ke NIC di Azure:
- Alamat IP publik - Digunakan untuk berkomunikasi masuk dan keluar (tanpa terjemahan alamat jaringan (NAT)) dengan Internet dan sumber daya Azure lainnya yang tidak tersambung ke jaringan virtual. Menetapkan alamat IP publik ke NIC bersifat opsional. Alamat IP publik milik ruang alamat IP Microsoft.
- Alamat IP pribadi - Digunakan untuk komunikasi dalam jaringan virtual, jaringan lokal Anda, dan Internet (dengan NAT). Ruang alamat IP yang Anda tentukan di jaringan virtual dianggap privat bahkan jika mengonfigurasi ruang alamat IP publik Anda. Microsoft tidak mengiklankan ruang ini ke Internet. Anda harus menetapkan setidaknya satu alamat IP privat ke VM.
Seperti halnya host atau perangkat fisik, ada dua cara untuk mengalokasikan alamat IP ke sumber daya - dinamis atau statik. Di Azure, metode alokasi default bersifat dinamis, di mana alamat IP dialokasikan saat Anda membuat komputer virtual (VM) atau memulai VM yang dihentikan. Alamat IP dirilis saat Anda menghentikan atau menghapus komputer virtual. Untuk memastikan bahwa alamat IP untuk komputer virtual tetap sama, Anda dapat mengatur metode alokasi secara eksplisit menjadi statik. Dalam hal ini, alamat IP segera ditetapkan. Alamat ini hanya dirilis ketika Anda menghapus VM atau mengubah metode alokasi IP menjadi dinamis.
Alamat IP privat dialokasikan dari subnet yang telah Anda tentukan dalam jaringan virtual. Untuk VM, Anda memilih subnet untuk alokasi IP. Jika VM berisi beberapa NIC, Anda dapat memilih subnet yang berbeda untuk setiap NIC.
Perutean
Saat Anda membuat jaringan virtual, Azure membuat tabel perutean untuk jaringan Anda. Tabel perutean ini berisi jenis rute berikut.
- Rute sistem
- Rute default subnet
- Rute dari jaringan virtual lainnya
- Rute BGP
- Rute titik akhir layanan
- Rute yang Ditentukan Pengguna (UDR)
Saat Anda membuat jaringan virtual untuk pertama kalinya tanpa menentukan subnet, Azure membuat entri perutean dalam tabel perutean. Rute ini disebut rute sistem. Rute sistem ditentukan di lokasi ini. Anda tidak dapat mengubah rute ini. Namun, Anda dapat mengganti rute sistem dengan mengonfigurasi UDR.
Saat Anda membuat satu atau beberapa subnet di dalam jaringan virtual, Azure membuat entri default dalam tabel perutean untuk mengaktifkan komunikasi antara subnet ini dalam jaringan virtual. Rute ini dapat dimodifikasi dengan menggunakan rute statis, yaitu Rute Yang Ditentukan Pengguna (UDR) di Azure.
Saat Anda membuat peering jaringan virtual di antara dua jaringan virtual, sebuah rute ditambahkan untuk setiap rentang alamat dalam ruang alamat setiap jaringan virtual yang dibuat untuk peering.
Jika gateway jaringan lokal Anda bertukar rute protokol batas gateway (BGP) dengan gateway jaringan virtual Azure, rute ditambahkan untuk setiap rute yang disebarkan dari gateway jaringan lokal. Rute ini muncul di meja perutean sebagai rute BGP.
Alamat IP publik untuk layanan tertentu ditambahkan ke tabel rute oleh Azure saat Anda mengaktifkan titik akhir layanan ke layanan. Titik akhir layanan diaktifkan untuk subnet individual dalam jaringan virtual. Saat Anda mengaktifkan titik akhir layanan, rute hanya ditambahkan ke tabel rute subnet milik layanan ini. Azure mengelola alamat dalam tabel rute secara otomatis saat alamat berubah.
Rute yang ditentukan pengguna juga disebut Rute kustom. Anda membuat UDR di Azure untuk mengambil alih rute sistem default Azure, atau untuk menambahkan rute tambahan ke tabel rute subnet. Di Azure, Anda membuat tabel rute, lalu mengaitkan tabel rute ke subnet jaringan virtual.
Ketika Anda memiliki entri yang bersaing dalam tabel perutean, Azure memilih hop berikutnya berdasarkan prefiks terpanjang yang mirip dengan router tradisional. Namun, jika ada beberapa entri hop berikutnya dengan awalan alamat yang sama, maka Azure memilih rute dalam urutan berikut.
- Rute yang Ditentukan Pengguna (UDR)
- Rute BGP
- Rute sistem
Keamanan
Anda dapat memfilter lalu lintas jaringan ke dan dari sumber daya di jaringan virtual menggunakan grup keamanan jaringan. Anda juga dapat menggunakan appliance virtual jaringan (NVA) seperti Azure Firewall atau firewall dari vendor lain. Anda dapat mengontrol cara Azure merutekan lalu lintas dari subnet. Anda juga dapat membatasi siapa dalam organisasi Anda yang dapat bekerja dengan sumber daya di jaringan virtual.
Kelompok keamanan jaringan (NSG) berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet, NIC, atau keduanya. NSG dapat dikaitkan dengan subnet atau NIC individual yang terhubung ke subnet. Saat NSG dikaitkan dengan subnet, aturan ACL berlaku untuk semua komputer virtual di subnet tersebut. Selain itu, lalu lintas ke NIC individu dapat dibatasi dengan mengaitkan NSG langsung dengan NIC.
NSG berisi dua set aturan: masuk dan keluar. Prioritas untuk suatu aturan harus unik dalam setiap set. Setiap aturan memiliki properti protokol, rentang port sumber dan tujuan, awalan alamat, arah lalu lintas, prioritas, dan jenis akses. Semua NSG berisi sekumpulan aturan default. Aturan default tidak dapat dihapus, tetapi karena diberi prioritas terendah, aturan tersebut dapat ditimpa oleh aturan yang Anda buat.
Verifikasi
Rute dalam jaringan virtual
Kombinasi rute yang Anda buat, rute default Azure, dan rute apa pun yang disebarluaskan dari jaringan lokal melalui gateway Azure VPN (jika jaringan virtual Anda terhubung ke jaringan lokal) melalui protokol batas gateway (BGP), adalah rute yang efektif untuk semua antarmuka jaringan dalam subnet. Anda dapat melihat rute efektif ini dengan menavigasi ke NIC baik melalui Portal, PowerShell, atau CLI. Untuk informasi selengkapnya tentang rute efektif pada NIC, silakan lihat Get-AzEffectiveRouteTable.
Kelompok Keamanan Jaringan
Aturan keamanan efektif yang diterapkan ke antarmuka jaringan adalah agregasi aturan yang ada di NSG yang terkait dengan antarmuka jaringan, dan subnet tempat antarmuka jaringan berada. Anda dapat melihat semua aturan keamanan efektif dari NSG yang diterapkan ke antarmuka jaringan VM Anda dengan menavigasi ke NIC melalui Portal, PowerShell, atau CLI.
Langkah berikutnya
Pelajari tentang jaringan virtual.
Pelajari tentang perutean jaringan virtual.
Pelajari selengkapnya tentang kelompok keamanan jaringan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk