Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: ✔️ Mesin Virtual Windows
Komputer virtual Azure menggunakan jaringan Azure untuk komunikasi jaringan internal dan eksternal. Tutorial ini menjelaskan cara menyebarkan dua komputer virtual dan mengonfigurasi jaringan Azure untuk VM ini. Contoh dalam tutorial ini mengasumsikan bahwa mesin virtual (VM) menghosting aplikasi web dengan basis data di sisi belakang, namun aplikasi tidak diimplementasikan dalam tutorial. Dalam tutorial ini, Anda mempelajari cara:
- Membuat jaringan virtual dan subnet
- Membuat alamat IP publik
- Membuat VM antarmuka depan
- Mengamankan lalu lintas jaringan
- Membuat back-end VM
Gambaran umum jaringan VM
Jaringan virtual Azure memungkinkan koneksi jaringan yang aman antara komputer virtual, internet, dan layanan Azure lainnya seperti Azure SQL Database. Jaringan virtual dipecah menjadi segmen logis yang disebut subnet. Subnet digunakan untuk mengontrol alur jaringan, dan sebagai batas keamanan. Saat menyebarkan VM, umumnya menyertakan antarmuka jaringan virtual, yang dilampirkan ke subnet.
Saat menyelesaikan tutorial ini, Anda dapat melihat sumber daya ini dibuat:
- myVNet - Jaringan virtual yang digunakan VM untuk berkomunikasi satu sama lain dan internet.
- myFrontendSubnet - Subnet di myVNet yang digunakan oleh sumber daya front-end.
- myPublicIPAddress - Alamat IP publik yang digunakan untuk mengakses myFrontendVM dari internet.
- myFrontendNic - Antarmuka jaringan yang digunakan oleh myFrontendVM untuk berkomunikasi dengan myBackendVM.
- myFrontendVM - VM yang digunakan untuk berkomunikasi antara internet dan myBackendVM.
- myBackendNSG - Kelompok keamanan jaringan yang mengontrol komunikasi antara myFrontendVM dan myBackendVM.
- myBackendSubnet - Subnet yang terkait dengan myBackendNSG dan digunakan oleh sumber daya back-end.
- myBackendNic - Antarmuka jaringan yang digunakan oleh myBackendVM untuk berkomunikasi dengan myFrontendVM.
- myBackendVM - VM yang menggunakan port 1433 untuk berkomunikasi dengan myFrontendVM.
Luncurkan Azure Cloud Shell
Azure Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Ini memiliki alat Azure umum yang telah diinstal sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.
Untuk membuka Cloud Shell, cukup pilih Cobalah dari sudut kanan atas blok kode. Anda juga dapat meluncurkan Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan ke Cloud Shell, dan tekan masukkan untuk menjalankannya.
Membuat subnet
Untuk tutorial ini, satu jaringan virtual dibuat dengan dua subnet. Subnet front-end untuk menghosting aplikasi web, dan subnet back-end untuk menghosting server database.
Sebelum Anda dapat membuat jaringan virtual, buat grup sumber daya menggunakan New-AzResourceGroup. Contoh berikut membuat grup sumber daya bernama myRGNetwork di lokasi EastUS :
New-AzResourceGroup -ResourceGroupName myRGNetwork -Location EastUS
Buat konfigurasi subnet bernama myFrontendSubnet menggunakan New-AzVirtualNetworkSubnetConfig:
$frontendSubnet = New-AzVirtualNetworkSubnetConfig `
-Name myFrontendSubnet `
-AddressPrefix 10.0.0.0/24
Dan, buat konfigurasi subnet bernama myBackendSubnet:
$backendSubnet = New-AzVirtualNetworkSubnetConfig `
-Name myBackendSubnet `
-AddressPrefix 10.0.1.0/24
Membuat jaringan virtual
Buat VNET bernama myVNet menggunakan myFrontendSubnet dan myBackendSubnet menggunakan New-AzVirtualNetwork:
$vnet = New-AzVirtualNetwork `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myVNet `
-AddressPrefix 10.0.0.0/16 `
-Subnet $frontendSubnet, $backendSubnet
Pada titik ini, jaringan telah dibuat dan disegmentasi menjadi dua subnet, satu untuk layanan front-end, dan satu lagi untuk layanan back-end. Di bagian berikutnya, komputer virtual dibuat dan terhubung ke subnet ini.
Membuat alamat IP publik
Alamat IP publik memungkinkan sumber daya Azure dapat diakses di internet. Metode alokasi alamat IP publik dapat dikonfigurasi sebagai dinamis atau statis. Secara default, alamat IP publik dialokasikan secara dinamis. Alamat IP dinamis dirilis saat VM dibatalkan alokasinya. Perilaku ini menyebabkan alamat IP berubah selama operasi apa pun yang mencakup alokasi VM.
Metode alokasi dapat diatur ke statis, yang memastikan bahwa alamat IP tetap ditetapkan ke VM, bahkan selama status dibatalkan alokasinya. Jika Anda menggunakan alamat IP statis, alamat IP itu sendiri tidak dapat ditentukan. Sebaliknya, ini didistribusikan dari kumpulan alamat yang tersedia.
Buat alamat IP publik bernama myPublicIPAddress menggunakan New-AzPublicIpAddress:
$pip = New-AzPublicIpAddress `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-AllocationMethod Dynamic `
-Name myPublicIPAddress
Anda dapat mengubah parameter -AllocationMethod menjadi Static untuk menetapkan alamat IP publik statis.
Membuat VM front-end
Agar VM dapat berkomunikasi dalam jaringan virtual, VM memerlukan antarmuka jaringan virtual (NIC). Buat NIC menggunakan New-AzNetworkInterface:
$frontendNic = New-AzNetworkInterface `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myFrontend `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $pip.Id
Atur nama pengguna dan kata sandi yang diperlukan untuk akun administrator pada VM menggunakan Get-Credential. Anda menggunakan kredensial ini untuk menyambungkan ke VM dalam langkah tambahan:
$cred = Get-Credential
Buat VM menggunakan New-AzVM.
New-AzVM `
-Credential $cred `
-Name myFrontend `
-PublicIpAddressName myPublicIPAddress `
-ResourceGroupName myRGNetwork `
-Location "EastUS" `
-Size Standard_D1 `
-SubnetName myFrontendSubnet `
-VirtualNetworkName myVNet
Mengamankan lalu lintas jaringan
Grup keamanan jaringan (NSG) berisi daftar aturan keamanan yang mengizinkan atau menolak lalu lintas jaringan ke sumber daya yang terhubung ke Azure Virtual Networks (VNet). NSG dapat dikaitkan dengan subnet atau antarmuka jaringan individual. NSG yang terkait dengan antarmuka jaringan hanya berlaku untuk VM terkait. Saat NSG dikaitkan dengan subnet, aturan berlaku untuk semua sumber daya yang terhubung ke subnet.
Aturan grup keamanan jaringan
Aturan NSG menentukan port jaringan di mana lalu lintas diizinkan atau ditolak. Aturan dapat mencakup rentang alamat IP sumber dan tujuan sehingga lalu lintas dikontrol antara sistem atau subnet tertentu. Aturan NSG juga mencakup prioritas (antara 1—dan 4096). Aturan dievaluasi dalam urutan prioritas. Aturan dengan prioritas 100 dievaluasi sebelum aturan dengan prioritas 200.
Semua NSG berisi sekumpulan aturan default. Aturan default tidak dapat dihapus, tetapi karena ditetapkan prioritas terendah, aturan tersebut dapat ditimpa oleh aturan yang Anda buat.
- Jaringan virtual - Lalu lintas yang berasal dan berakhiran jaringan virtual diizinkan baik dalam arah masuk maupun keluar.
- Internet - Lalu lintas keluar diizinkan, tetapi lalu lintas masuk diblokir.
- Load balancer - Izinkan penyeimbang muatan Azure untuk memeriksa kesehatan VM dan instans peran Anda. Jika Anda tidak menggunakan set load balancing, Anda dapat mengecualikan aturan ini.
Membuat grup keamanan jaringan
Buat aturan masuk bernama myFrontendNSGRule untuk mengizinkan lalu lintas web masuk di myFrontendVM menggunakan New-AzNetworkSecurityRuleConfig:
$nsgFrontendRule = New-AzNetworkSecurityRuleConfig `
-Name myFrontendNSGRule `
-Protocol Tcp `
-Direction Inbound `
-Priority 200 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 80 `
-Access Allow
Anda dapat membatasi lalu lintas internal ke myBackendVM hanya dari myFrontendVM dengan membuat NSG untuk subnet back-end. Contoh berikut membuat aturan NSG bernama myBackendNSGRule:
$nsgBackendRule = New-AzNetworkSecurityRuleConfig `
-Name myBackendNSGRule `
-Protocol Tcp `
-Direction Inbound `
-Priority 100 `
-SourceAddressPrefix 10.0.0.0/24 `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 1433 `
-Access Allow
Tambahkan grup keamanan jaringan bernama myFrontendNSG menggunakan New-AzNetworkSecurityGroup:
$nsgFrontend = New-AzNetworkSecurityGroup `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myFrontendNSG `
-SecurityRules $nsgFrontendRule
Sekarang, tambahkan grup keamanan jaringan bernama myBackendNSG menggunakan New-AzNetworkSecurityGroup:
$nsgBackend = New-AzNetworkSecurityGroup `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myBackendNSG `
-SecurityRules $nsgBackendRule
Tambahkan grup keamanan jaringan ke subnet:
$vnet = Get-AzVirtualNetwork `
-ResourceGroupName myRGNetwork `
-Name myVNet
$frontendSubnet = $vnet.Subnets[0]
$backendSubnet = $vnet.Subnets[1]
$frontendSubnetConfig = Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $vnet `
-Name myFrontendSubnet `
-AddressPrefix $frontendSubnet.AddressPrefix `
-NetworkSecurityGroup $nsgFrontend
$backendSubnetConfig = Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $vnet `
-Name myBackendSubnet `
-AddressPrefix $backendSubnet.AddressPrefix `
-NetworkSecurityGroup $nsgBackend
Set-AzVirtualNetwork -VirtualNetwork $vnet
Membuat VM back-end
Cara term mudah untuk membuat VM back-end untuk tutorial ini adalah dengan menggunakan gambar SQL Server. Tutorial ini hanya membuat VM dengan server database, tetapi tidak memberikan informasi tentang mengakses database.
Buat myBackendNic:
$backendNic = New-AzNetworkInterface `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myBackend `
-SubnetId $vnet.Subnets[1].Id
Atur nama pengguna dan kata sandi yang diperlukan untuk akun administrator di VM dengan Get-Credential:
$cred = Get-Credential
Buat myBackendVM.
New-AzVM `
-Credential $cred `
-Name myBackend `
-ImageName "MicrosoftSQLServer:SQL2016SP1-WS2016:Enterprise:latest" `
-ResourceGroupName myRGNetwork `
-Location "EastUS" `
-SubnetName MyBackendSubnet `
-VirtualNetworkName myVNet
Gambar dalam contoh ini telah menginstal SQL Server, tetapi tidak digunakan dalam tutorial ini. Ini disertakan untuk menunjukkan kepada Anda bagaimana Anda dapat mengonfigurasi VM untuk menangani lalu lintas web dan VM untuk menangani manajemen database.
Langkah berikutnya
Dalam tutorial ini, Anda membuat dan mengamankan jaringan Azure yang terkait dengan komputer virtual.
- Membuat jaringan virtual dan subnet
- Membuat alamat IP publik
- Membuat VM front-end
- Mengamankan lalu lintas jaringan
- Membuat VM back-end
Untuk mempelajari tentang melindungi disk VM Anda, lihat Pencadangan dan pemulihan bencana untuk disk.