Bagikan melalui

Tutorial: Membuat dan mengelola jaringan virtual Azure untuk mesin virtual Windows dengan Azure PowerShell

  • Artikel

Berlaku untuk:✔️ ️ VM Windows

Mesin virtual Azure menggunakan jaringan Azure untuk komunikasi jaringan internal dan eksternal. Tutorial ini meliputi penyebaran dua mesin virtual dan konfigurasi jaringan Azure untuk VM ini. Contoh dalam tutorial ini mengasumsikan bahwa komputer virtual menghosting aplikasi web dengan database ujung belakang, namun aplikasi tidak digunakan dalam tutorial. Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat jaringan virtual dan subnet
  • Membuat alamat IP publik
  • Membuat VM front-end
  • Mengamankan lalu lintas jaringan
  • Membuat VM back-end

Ikhtisar jaringan VM

Jaringan virtual Azure memungkinkan koneksi jaringan yang aman antara mesin virtual, internet, dan layanan Azure lainnya seperti Azure SQL Database. Jaringan virtual dipecah menjadi segmen logis yang disebut subnet. Subnet digunakan untuk mengontrol aliran jaringan, dan sebagai batas keamanan. Saat menyebarkan VM, umumnya mencakup antarmuka jaringan virtual, yang dipasang ke subnet.

Saat menyelesaikan tutorial ini, Anda dapat melihat sumber daya ini membuat:

Jaringan virtual dengan dua subnet

  • myVNet - Jaringan virtual yang digunakan VM untuk berkomunikasi dengan satu sama lain dan internet.
  • myFrontendSubnet - Subnet di myVNet yang digunakan oleh sumber daya front-end.
  • myPublicIPAddress - Alamat IP publik yang digunakan untuk mengakses myFrontendVM dari internet.
  • myFrontendNic - Antarmuka jaringan yang digunakan oleh myFrontendVM untuk berkomunikasi dengan myBackendVM.
  • myFrontendVM - VM yang digunakan untuk berkomunikasi antara internet dan myBackendVM.
  • myBackendNSG - Grup keamanan jaringan yang mengontrol komunikasi antara myFrontendVM dan myBackendVM.
  • myBackendSubnet - Subnet yang terkait dengan myBackendNSG dan digunakan oleh sumber daya back-end.
  • myBackendNic - Antarmuka jaringan yang digunakan oleh myBackendVM untuk berkomunikasi dengan myFrontendVM.
  • myBackendVM - Komputer virtual yang menggunakan port 1433 untuk berkomunikasi dengan myFrontendVM.

Meluncurkan Azure Cloud Shell

Azure Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.

Untuk membuka Cloud Shell, cukup pilih Cobalah dari sudut kanan atas blok kode. Anda juga dapat meluncurkan Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan ke Cloud Shell, dan tekan masukkan untuk menjalankannya.

Membuat subnet

Untuk tutorial ini, satu jaringan virtual dibuat dengan dua subnet. Subnet front-end untuk menghosting aplikasi web, dan subnet back-end untuk menghosting server database.

Sebelum Anda dapat membuat jaringan virtual, buat grup sumber daya menggunakan New-AzResourceGroup. Contoh berikut ini membuat grup sumber daya bernama myRGNetwork di lokasi EastUS:

New-AzResourceGroup -ResourceGroupName myRGNetwork -Location EastUS

Buat konfigurasi subnet bernama myFrontendSubnet menggunakan New-AzVirtualNetworkSubnetConfig:

$frontendSubnet = New-AzVirtualNetworkSubnetConfig `
  -Name myFrontendSubnet `
  -AddressPrefix 10.0.0.0/24

Dan, buat konfigurasi subnet bernama myBackendSubnet:

$backendSubnet = New-AzVirtualNetworkSubnetConfig `
  -Name myBackendSubnet `
  -AddressPrefix 10.0.1.0/24

Membuat jaringan virtual

Buat VNET bernama myVNet menggunakan myFrontendSubnet dan myBackendSubnet menggunakan New-AzVirtualNetwork:

$vnet = New-AzVirtualNetwork `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myVNet `
  -AddressPrefix 10.0.0.0/16 `
  -Subnet $frontendSubnet, $backendSubnet

Pada titik ini, jaringan telah dibuat dan disegmentasi menjadi dua subnet, satu untuk layanan front-end, dan yang lainnya untuk layanan back-end. Di bagian berikutnya, mesin virtual dibuat dan dihubungkan ke subnet ini.

Membuat alamat IP publik

Alamat IP publik memungkinkan sumber daya Azure untuk dapat diakses di internet. Metode alokasi alamat IP publik dapat dikonfigurasi secara dinamis atau statis. Secara default, alamat IP publik dialokasikan secara dinamis. Alamat IP dinamis dirilis ketika VM batal dialokasikan. Perilaku ini menyebabkan alamat IP berubah selama operasi apa pun yang termasuk pembatalan alokasi VM.

Metode alokasi dapat diatur ke statis, yang memastikan bahwa alamat IP tetap ditetapkan ke komputer virtual, bahkan selama keadaan terputus. Jika Anda menggunakan alamat IP statis, alamat IP tersebut tidak dapat ditentukan. Sebaliknya, hal itu dialokasikan dari kumpulan alamat yang tersedia.

Buat alamat IP publik bernama myPublicIPAddress menggunakan New-AzPublicIpAddress:

$pip = New-AzPublicIpAddress `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -AllocationMethod Dynamic `
  -Name myPublicIPAddress

Anda dapat mengubah parameter -AllocationMethod ke Static untuk menetapkan alamat IP publik statis.

Membuat VM front-end

Agar komputer virtual dapat berkomunikasi dalam jaringan virtual, komputer virtual memerlukan antarmuka jaringan virtual (NIC). Buat NIC menggunakan New-AzNetworkInterface:

$frontendNic = New-AzNetworkInterface `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myFrontend `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id

Atur nama pengguna dan kata sandi yang diperlukan untuk akun administrator pada komputer virtual menggunakan Get-Credential. Anda menggunakan info masuk ini untuk menyambungkan ke komputer virtual dalam langkah tambahan:

$cred = Get-Credential

Buat komputer virtual menggunakan New-AzVM.

New-AzVM `
   -Credential $cred `
   -Name myFrontend `
   -PublicIpAddressName myPublicIPAddress `
   -ResourceGroupName myRGNetwork `
   -Location "EastUS" `
   -Size Standard_D1 `
   -SubnetName myFrontendSubnet `
   -VirtualNetworkName myVNet

Mengamankan lalu lintas jaringan

Grup keamanan jaringan (NSG) berisi daftar aturan keamanan yang mengizinkan atau menolak lalu lintas jaringan ke sumber daya yang terhubung ke Azure Virtual Networks (VNet). NSG dapat dikaitkan dengan subnet atau antarmuka jaringan individual. NSG yang terkait dengan antarmuka jaringan hanya berlaku untuk Mesin Virtual terkait. Saat NSG dikaitkan dengan subnet, aturan berlaku untuk semua sumber daya yang terhubung ke subnet.

Aturan grup keamanan jaringan

Aturan NSG menentukan port jaringan untuk mengizinkan atau menolak lalu lintas. Aturan dapat mencakup rentang alamat IP sumber dan tujuan sehingga lalu lintas dikendalikan antara sistem atau subnet tertentu. Aturan NSG juga mencakup prioritas (antara 1—dan 4096). Aturan dievaluasi dalam urutan prioritas. Aturan dengan prioritas 100 dievaluasi sebelum aturan dengan prioritas 200.

Semua NSG berisi sekumpulan aturan default. Aturan default tidak dapat dihapus, tetapi karena diberi prioritas terendah, aturan tersebut dapat ditimpa oleh aturan yang Anda buat.

  • Jaringan virtual - Lalu lintas yang bermula dan berakhir di jaringan virtual diizinkan baik dalam arah masuk maupun keluar.
  • Internet - Lalu lintas keluar diperbolehkan, tetapi lalu lintas masuk diblokir.
  • Load balancer - Memperbolehkan load balancer Azure untuk memeriksa kondisi VM dan instans peran Anda. Jika tidak menggunakan kumpulan load balancer, Anda dapat menimpa aturan ini.

Buat grup keamanan jaringan

Buat aturan masuk bernama myFrontendNSGRule untuk memungkinkan lalu lintas web masuk pada myFrontendVM menggunakan New-AzNetworkSecurityRuleConfig:

$nsgFrontendRule = New-AzNetworkSecurityRuleConfig `
  -Name myFrontendNSGRule `
  -Protocol Tcp `
  -Direction Inbound `
  -Priority 200 `
  -SourceAddressPrefix * `
  -SourcePortRange * `
  -DestinationAddressPrefix * `
  -DestinationPortRange 80 `
  -Access Allow

Anda dapat membatasi lalu lintas internal ke myBackendVM hanya dari myFrontendVM dengan membuat NSG untuk subnet ujung belakang. Contoh berikut membuat aturan NSG bernama myBackendNSGRule:

$nsgBackendRule = New-AzNetworkSecurityRuleConfig `
  -Name myBackendNSGRule `
  -Protocol Tcp `
  -Direction Inbound `
  -Priority 100 `
  -SourceAddressPrefix 10.0.0.0/24 `
  -SourcePortRange * `
  -DestinationAddressPrefix * `
  -DestinationPortRange 1433 `
  -Access Allow

Tambahkan kelompok keamanan jaringan bernama myFrontendNSG menggunakan New-AzNetworkSecurityGroup:

$nsgFrontend = New-AzNetworkSecurityGroup `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myFrontendNSG `
  -SecurityRules $nsgFrontendRule

Sekarang, tambahkan kelompok keamanan jaringan bernama myBackendNSG menggunakan New-AzNetworkSecurityGroup:

$nsgBackend = New-AzNetworkSecurityGroup `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myBackendNSG `
  -SecurityRules $nsgBackendRule

Menambahkan grup keamanan jaringan ke subnet:

$vnet = Get-AzVirtualNetwork `
  -ResourceGroupName myRGNetwork `
  -Name myVNet
$frontendSubnet = $vnet.Subnets[0]
$backendSubnet = $vnet.Subnets[1]
$frontendSubnetConfig = Set-AzVirtualNetworkSubnetConfig `
  -VirtualNetwork $vnet `
  -Name myFrontendSubnet `
  -AddressPrefix $frontendSubnet.AddressPrefix `
  -NetworkSecurityGroup $nsgFrontend
$backendSubnetConfig = Set-AzVirtualNetworkSubnetConfig `
  -VirtualNetwork $vnet `
  -Name myBackendSubnet `
  -AddressPrefix $backendSubnet.AddressPrefix `
  -NetworkSecurityGroup $nsgBackend
Set-AzVirtualNetwork -VirtualNetwork $vnet

Buat komputer virtual ujung belakang

Cara termudah untuk membuat komputer virtual ujung belakang untuk tutorial ini adalah dengan menggunakan gambar Microsoft SQL Server. Tutorial ini hanya membuat komputer virtual dengan server database, tetapi tidak menyediakan informasi tentang mengakses database.

Buat myBackendNic:

$backendNic = New-AzNetworkInterface `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myBackend `
  -SubnetId $vnet.Subnets[1].Id

Atur nama pengguna dan kata sandi yang diperlukan untuk akun administrator di VM menggunakan Get-Credential:

$cred = Get-Credential

Buat myBackendVM.

New-AzVM `
   -Credential $cred `
   -Name myBackend `
   -ImageName "MicrosoftSQLServer:SQL2016SP1-WS2016:Enterprise:latest" `
   -ResourceGroupName myRGNetwork `
   -Location "EastUS" `
   -SubnetName MyBackendSubnet `
   -VirtualNetworkName myVNet

Gambar dalam contoh ini telah menginstal SQL Server, tetapi itu tidak digunakan dalam tutorial ini. Gambar ini juga untuk menunjukkan kepada Anda cara mengonfigurasi komputer virtual untuk menangani lalu lintas web dan komputer virtual untuk menangani pengelolaan database.

Langkah berikutnya

Dalam tutorial ini, Anda membuat dan mengamankan jaringan Azure yang terkait dengan mesin virtual.

  • Membuat jaringan virtual dan subnet
  • Membuat alamat IP publik
  • Membuat VM front-end
  • Mengamankan lalu lintas jaringan
  • Buat komputer virtual ujung belakang

Untuk mempelajari tentang melindungi disk komputer virtual Anda, lihat Pencadangan dan pemulihan bencana untuk disk.