Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Virtual Network Manager menyederhanakan manajemen konektivitas, keamanan, perutean, dan lainnya di seluruh lingkungan jaringan Azure Anda. Konfigurasi konektivitas, termasuk topologi mesh dan hub-and-spoke, membantu Anda mengoptimalkan performa dan konektivitas jaringan pada skala organisasi Anda. Artikel ini membahas fitur seperti grup yang terhubung skala tinggi dan konektivitas jala global, bersama dengan kasus penggunaan dan pengaturan untuk setiap topologi.
Konfigurasi konektivitas
Dengan konfigurasi konektivitas, Anda dapat membuat dan memelihara topologi jaringan yang berbeda berdasarkan kebutuhan jaringan Anda. Anda memiliki dua topologi untuk dipilih: mesh dan hub-and-spoke. Pengaturan konfigurasi konektivitas Anda menentukan konektivitas antara jaringan virtual Anda. Anda menentukan jaringan virtual yang ingin Anda buat konektivitasnya melalui grup jaringan. Konfigurasi konektivitas Anda kemudian menggunakan grup jaringan untuk membangun konektivitas seperti yang dijelaskan oleh topologi yang Anda inginkan di antara jaringan virtual dalam grup jaringan.
Jika Anda mengaktifkan penghapusan peering yang ada untuk konfigurasi konektivitas Anda, Azure Virtual Network Manager menghapus peering apa pun yang tidak cocok dengan konten konfigurasi konektivitas ini, bahkan jika Anda membuat peering ini secara manual setelah menyebarkan konfigurasi ini. Jika Anda menghapus jaringan virtual dari grup jaringan yang digunakan dalam konfigurasi, instans Azure Virtual Network Manager Anda hanya menghapus konektivitas yang dibuatnya.
Saat Anda menyebarkan konfigurasi konektivitas, Azure Virtual Network Manager menetapkan konektivitas dua arah sesuai dengan topologi dan jenis hub yang dipilih:
- Untuk topologi jala, konektivitas dibuat dengan menggunakan grup yang terhubung.
- Untuk arsitektur hub-and-spoke dengan jaringan virtual hub, konektivitas dibangun menggunakan peering jaringan virtual.
- Untuk hub-and-spoke dengan hub Virtual WAN, konektivitas dibuat dengan membuat atau memperbarui koneksi jaringan virtual pada Virtual WAN.
Konektivitas ini dibuat sesuai dengan pengaturan yang Anda tentukan dan grup jaringan yang disertakan dalam konfigurasi konektivitas Anda.
Topologi jala
Topologi jala mendefinisikan konektivitas antara setiap jaringan virtual dalam grup jaringan. Semua jaringan virtual anggota terhubung dan dapat melewati lalu lintas dua arah satu sama lain.
Kasus penggunaan umum topologi jala adalah memungkinkan jaringan virtual spoke dalam topologi hub-and-spoke untuk langsung berkomunikasi satu sama lain tanpa merutekan lalu lintas melalui jaringan virtual hub. Pendekatan ini mengurangi latensi yang jika tidak akan timbul akibat mengarahkan lalu lintas melalui router di hub. Selain itu, Anda dapat menjaga keamanan dan pengawasan atas koneksi langsung antara jaringan virtual spoke dengan menerapkan aturan admin keamanan di Azure Virtual Network Manager atau aturan kelompok keamanan jaringan. Lalu lintas juga dapat dipantau dan direkam menggunakan log alur jaringan virtual.
Secara default, topologi jala yang ditentukan dalam konfigurasi konektivitas Anda adalah jala regional, yang berarti bahwa hanya jaringan virtual di wilayah yang sama yang dapat berkomunikasi satu sama lain. Anda dapat mengaktifkan opsi jala global dalam konfigurasi konektivitas Anda untuk membangun konektivitas antar jaringan virtual di semua wilayah Azure.
Catatan
Ruang alamat jaringan virtual dapat saling tumpang tindih dalam konfigurasi mesh, berbeda dengan peering jaringan virtual, tetapi lalu lintas antara subnet dengan ruang alamat yang tumpang tindih diblokir karena perutean tidak terprediksi.
Di balik layar: grup yang terhubung
Saat Anda membuat topologi jala atau mengaktifkan konektivitas langsung dalam topologi hub-and-spoke, Anda membuat konstruksi konektivitas baru yang eksklusif untuk Azure Virtual Network Manager. Konstruksi ini disebut grup yang terhubung. Jaringan virtual dalam grup yang terhubung dapat berkomunikasi satu sama lain seperti jaringan virtual yang terhubung secara manual. Saat Anda mengamati rute efektif untuk antarmuka jaringan, Anda akan melihat jenis hop berikutnya adalah ConnectedGroup. Jaringan virtual yang saling terhubung dalam sebuah grup koneksi tidak memiliki konfigurasi peering yang tercantum di bawah Peerings untuk jaringan virtual tersebut. Grup yang terhubung inilah yang memungkinkan Azure Virtual Network Manager mendukung skala konektivitas jaringan virtual yang lebih tinggi daripada peering jaringan virtual tradisional.
Catatan
Jaringan virtual dapat menjadi bagian dari maksimal dua grup yang terhubung, yang berarti dapat termasuk dalam hingga dua topologi mesh.
Mengaktifkan titik akhir privat berskala tinggi di grup yang terhubung dengan Azure Virtual Network Manager
Fitur titik akhir privat skala tinggi Azure Virtual Network Manager dalam fitur grup yang terhubung memberdayakan Anda untuk memperluas kapasitas jaringan Anda. Gunakan langkah-langkah berikut untuk mengaktifkan fitur ini untuk mendukung hingga 20.000 titik akhir privat di seluruh grup yang terhubung.
Menyiapkan setiap jaringan virtual dalam grup yang tersambung
Tinjau Peningkatan batas jaringan virtual Titik Akhir Privat untuk panduan terperinci tentang peningkatan batas ini. Mengaktifkan atau menonaktifkan fitur ini memulai reset koneksi satu kali. Lakukan perubahan ini selama jendela pemeliharaan.
Di setiap jaringan virtual dalam grup terhubung Anda, konfigurasikan Kebijakan Jaringan Titik Akhir Privat menjadi
EnabledatauRouteTableEnabled. Pengaturan ini memastikan jaringan virtual Anda siap untuk mendukung fungsionalitas titik akhir privat skala tinggi. Untuk panduan terperinci, lihat Meningkatkan batas jaringan virtual Titik Akhir Privat.
Mengonfigurasi topologi mesh untuk endpoint privat skala tinggi
Dalam langkah ini, Anda mengonfigurasi pengaturan topologi mesh dari konfigurasi sambungan untuk grup yang terhubung guna mengaktifkan titik akhir privat berskala besar. Langkah ini melibatkan pemilihan opsi yang sesuai di portal Microsoft Azure dan memverifikasi konfigurasi.
Dalam konfigurasi konektivitas mesh Anda, temukan dan pilih kotak centang untuk Mengaktifkan titik akhir privat skala tinggi. Opsi ini mengaktifkan fitur skala tinggi untuk grup anda yang tersambung.
Verifikasi setiap jaringan virtual di seluruh mesh Anda (grup yang terhubung) dikonfigurasi dengan titik akhir privat berkapasitas tinggi. Portal Microsoft Azure memvalidasi pengaturan di seluruh grup. Jika Anda menambahkan jaringan virtual tanpa konfigurasi skala tinggi nanti, jaringan tersebut tidak dapat berkomunikasi dengan titik akhir privat di jaringan virtual lainnya.
Setelah memverifikasi semua jaringan virtual dikonfigurasi dengan benar, sebarkan konfigurasi konektivitas. Langkah ini menyelesaikan penyiapan grup terhubung skala tinggi Anda.
Catatan
Topologi jala untuk titik akhir privat skala tinggi tidak didukung ketika jaringan virtual dalam jala memiliki alamat IP yang tumpang tindih.
Mengaktifkan konektivitas skala tinggi di grup yang terhubung dengan Azure Virtual Network Manager
Fitur konektivitas skala tinggi Azure Virtual Network Manager dalam fitur grup yang terhubung memberdayakan Anda untuk memperluas kapasitas jaringan Anda. Untuk menggunakan fitur ini, daftarkan fitur pratinjau "AllowHighScaleConnectedGroup" (Anda dapat menemukannya dengan Nama Tampilan "Aktifkan Grup Terhubung Skala Tinggi"). Fitur ini memungkinkan grup yang terhubung di wilayah yang didukung berisi hingga 5.000 jaringan virtual.
Topologi pusat dan jari-jari
Topologi hub-and-spoke mendefinisikan konektivitas antara hub yang dipilih dan jaringan virtual spoke yang merupakan anggota dari satu atau beberapa grup jaringan spoke yang dipilih. Hub yang dipilih dapat berupa jaringan virtual hub atau hub Virtual WAN.
- Jika Anda memilih jaringan virtual hub, Azure Virtual Network Manager membuat peering antarjaringan virtual antara hub dan masing-masing jaringan virtual spoke.
- Jika Anda memilih hub Virtual WAN, Azure Virtual Network Manager akan membuat atau memperbarui koneksi jaringan virtual Virtual WAN antara hub tersebut dan setiap jaringan virtual spoke.
Topologi ini berguna untuk mengisolasi jaringan virtual sambil mempertahankan konektivitas ke sumber daya umum di hub pusat.
Menggunakan hub Virtual WAN sebagai hub
Important
Penggunaan hub Azure Virtual WAN dalam konfigurasi konektivitas hub-and-spoke Azure Virtual Network Manager saat ini masih dalam pratinjau. Saat dalam pratinjau, fungsionalitas, ketersediaan, dan aspek lain dari fitur ini mungkin berubah sebagai respons terhadap umpan balik.
Versi pratinjau ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau dapat memiliki kemampuan yang dibatasi. Ini hanya tersedia di wilayah Azure berikut:
- Barat Sentral AS
- Australia Tengah
- Australia Tenggara
- Brasil Selatan
- Kanada Tengah
- Eropa Utara
- Prancis Selatan
- Jerman Timur Laut
- Jerman Barat Tengah
- India Tengah
- India Barat
- Jepang Timur
- Korea Tengah
- Malaysia Selatan
- Malaysia Barat
- Meksiko Tengah
- Norwegia Barat
- Qatar Tengah
- Afrika Selatan Utara
- Swedia Tengah
- Swiss Barat
- Taiwan Utara
- UAE Tengah
- US Timur
- US Barat
- Barat AS 2
Untuk informasi lebih lanjut, lihat Supplemental Terms of Use for Microsoft Azure Previews.
Saat Anda memilih hub Virtual WAN sebagai hub dalam konfigurasi konektivitas hub-and-spoke, Azure Virtual Network Manager menghubungkan jaringan virtual dalam grup jaringan spoke yang dipilih ke hub Virtual WAN dan menerapkan kebijakan koneksi yang dipilih.
Untuk mengonfigurasi pengalaman ini di portal Azure, buat konfigurasi konektivitas hub-and-spoke, pilih hub Virtual WAN, pilih atau buat kebijakan koneksi, dan tambahkan satu atau beberapa grup jaringan spoke. Kemudian sebarkan konfigurasi untuk menerapkan perubahan.
Dalam konfigurasi ini, Anda dapat mengaktifkan pengaturan seperti konektivitas langsung antara jaringan virtual spoke yang termasuk dalam grup jaringan spoke yang sama. Secara default, konektivitas ini hanya dibuat untuk jaringan virtual di wilayah yang sama. Untuk mengizinkan konektivitas di berbagai wilayah Azure, Anda perlu mengaktifkan pengaturan jala global untuk grup jaringan spoke. Anda juga dapat mengaktifkan transit gateway untuk memungkinkan jaringan virtual spoke menggunakan gateway VPN atau ExpressRoute yang disebarkan di jaringan virtual hub.
Mengaktifkan konektivitas langsung
Saat Anda mengaktifkan konektivitas langsung untuk grup jaringan pada konfigurasi spoke, Anda membentuk jaringan mesh, dan dengan demikian menciptakan grup yang terhubung di seluruh jaringan virtual grup jaringan spoke tersebut di atas topologi hub-and-spoke Anda. Konektivitas langsung memungkinkan jaringan virtual untuk berbicara langsung dengan jaringan virtual lain dalam grup jaringan spoke-nya, tetapi tidak mengaktifkan konektivitas dengan jaringan virtual di grup jaringan spoke lainnya.
Misalnya, Anda membuat dua grup jaringan dan menyertakannya sebagai grup jaringan spoke dalam konfigurasi konektivitas hub-and-spoke Anda. Anda mengaktifkan konektivitas langsung untuk grup jaringan Produksi tetapi tidak untuk grup jaringan Uji. Penyiapan ini menghubungkan jaringan virtual hub dengan semua jaringan virtual dalam grup jaringan Produksi dan Pengujian , tetapi hanya memungkinkan jaringan virtual dalam grup jaringan Produksi berkomunikasi satu sama lain. Jaringan virtual grup jaringan Produksi tidak memiliki konektivitas dengan jaringan virtual grup jaringan Uji , dan jaringan virtual grup jaringan Uji tidak memiliki konektivitas di antara mereka sendiri (kecuali Anda juga mengaktifkan konektivitas langsung untuk grup jaringan Pengujian ).
Saat Anda melihat rute efektif pada mesin virtual, rute antara hub dan jaringan virtual spoke memiliki jenis hop berikutnya VNetPeering atau GlobalVNetPeering. Rute antara jaringan virtual spoke muncul dengan tipe hop berikutnya adalah ConnectedGroup. Dengan contoh Produksi dan Pengujian , hanya grup jaringan Produksi yang memiliki ConnectedGroup karena konektivitas langsung diaktifkan.
Konektivitas langsung antara spoke jaringan virtual dapat membantu ketika Anda ingin memiliki perangkat jaringan virtual (NVA) atau layanan umum di jaringan virtual hub, tetapi hub tidak perlu selalu diakses agar spoke jaringan virtual tepercaya dapat saling berkomunikasi. Dibandingkan dengan jaringan hub-and-spoke tradisional, topologi ini meningkatkan performa dengan menghapus hop ekstra melalui jaringan virtual hub.
Jala global
Seperti halnya topologi jala, grup jaringan spoke yang konektivitas langsungnya diaktifkan telah dikonfigurasi sebagai regional secara default. Anda dapat mengaktifkan mesh global saat Anda ingin jaringan virtual grup jaringan spoke Anda berkomunikasi satu sama lain antar wilayah. Konektivitas ini terbatas pada jaringan virtual dalam grup jaringan yang sama. Untuk mengaktifkan konektivitas jala global ini untuk jaringan virtual di seluruh wilayah, Anda perlu Mengaktifkan konektivitas jala di seluruh wilayah untuk grup jaringan. Koneksi yang dibuat antara jaringan virtual spoke berada dalam grup yang tersambung.
Menggunakan hub sebagai gateway
Opsi lain yang dapat Anda aktifkan dalam konfigurasi hub dan spoke adalah menggunakan hub sebagai gateway. Pengaturan ini memungkinkan semua jaringan virtual dalam grup jaringan spoke untuk menggunakan gateway VPN atau ExpressRoute di jaringan virtual hub untuk melewati lalu lintas. Lihat Gateway dan konektivitas lokal.
Saat Anda menyebarkan topologi hub-and-spoke dari portal Microsoft Azure, opsi Gunakan hub sebagai gateway diaktifkan secara default untuk jaringan virtual spoke dalam grup jaringan. Azure Virtual Network Manager mencoba membuat koneksi peering jaringan virtual antara jaringan virtual hub dan jaringan virtual dalam grup jaringan spoke. Jika Anda mengaktifkan opsi ini namun tidak ada gateway di jaringan virtual hub, pembuatan peering dari jaringan virtual spoke ke hub akan gagal. Koneksi peering dari hub ke spoke masih dibuat tanpa koneksi yang sudah terjalin.
Menemukan topologi grup jaringan dengan Tampilan Topologi
Untuk membantu Anda memahami topologi grup jaringan Anda, Azure Virtual Network Manager menyediakan Tampilan Topologi yang menampilkan konektivitas antara grup jaringan dan jaringan virtual anggotanya. Anda dapat melihat topologi konfigurasi konektivitas Anda selama pembuatan konfigurasi konektivitas Anda dengan langkah-langkah berikut:
Buka halaman Konfigurasi dan buat konfigurasi konektivitas.
Pada tab Topologi , pilih jenis topologi yang Anda inginkan, tambahkan satu atau beberapa grup jaringan ke topologi, dan konfigurasikan pengaturan konektivitas lain yang diinginkan.
Pilih tab Tampilkan topologi untuk meninjau konektivitas konfigurasi Anda saat ini secara visual.
Selesaikan pembuatan konfigurasi konektivitas Anda.
Anda dapat meninjau topologi konfigurasi konektivitas saat ini dengan memilih Tampilkan topologi di bawah Pengaturan di halaman detail konfigurasi. Tampilan menunjukkan konektivitas antara jaringan virtual yang merupakan bagian dari konfigurasi konektivitas ini.
Cara menghindari alamat yang tumpang tindih dalam jaringan mesh
Secara default, Azure Virtual Network Manager memungkinkan alamat yang tumpang tindih dalam jaringan jala. Jika Anda menambahkan dua jaringan virtual dengan ruang alamat yang sama ke jaringan jala, ruang alamat yang tumpang tindih dihapus dari jala, sehingga komunikasi dengan sumber daya di ruang alamat tersebut tidak berfungsi. Penghapusan ini terjadi karena ketika lalu lintas dikirim ke ruang alamat tersebut, Azure Virtual Network Manager tidak dapat menentukan jaringan virtual mana yang harus menerima lalu lintas. Meskipun perilaku ini melindungi integritas jala, perilaku ini dapat menyebabkan pemadaman jika Anda menambahkan jaringan virtual baru yang tumpang tindih ke jala yang ada.
Azure Virtual Network Manager menyediakan mekanisme untuk mencegah ruang alamat IP yang tumpang tindih dalam topologi jaringan.
Gunakan properti ConnectedGroupAddressOverlap
Konfigurasi konektivitas mencakup properti - ConnectedGroupAddressOverlap:
- Default: Diperbolehkan
- Pengaturan Opsional: Tidak diizinkan
Saat Anda mengatur properti ini ke Disallowed, Azure Virtual Network Manager memberlakukan ruang alamat yang tidak tumpang tindih yang ketat di seluruh jaringan virtual yang terhubung.
Apa yang terjadi ketika Anda mengaktifkan Tidak Diizinkan?
Saat Anda mengatur properti ke Disallowed, Azure Virtual Network Manager memvalidasi perubahan alamat yang dapat memengaruhi konektivitas dalam jala.
Menambahkan jaringan virtual ke mesh
Azure Virtual Network Manager secara otomatis memverifikasi bahwa ruang alamat jaringan virtual baru tidak tumpang tindih dengan anggota yang ada. Jika sistem mendeteksi tumpang tindih, jaringan virtual tidak akan ditambahkan ke jaringan mesh.
Memperbarui ruang alamat atau menambahkan peering
Azure Virtual Network Manager memvalidasi setiap pembaruan yang dapat memengaruhi ruang alamat keseluruhan jaringan untuk memastikan tidak terjadi tumpang tindih. Contoh perubahan termasuk memperbarui ruang alamat jaringan virtual mesh, membuat peering ke jaringan virtual yang merupakan anggota dari mesh, atau mengubah ruang alamat pada jaringan virtual yang di-peering.
Cara menerapkan peering dengan menggunakan Azure Virtual Network Manager
Azure Virtual Network Manager memungkinkan Anda menerapkan hubungan peering dalam topologi jaringan Anda untuk tata kelola dan kepatuhan yang lebih kuat. Penerapan memastikan bahwa Anda tidak dapat menghapus atau memodifikasi peering di luar Azure Virtual Network Manager. Ini berlaku untuk peering baru dan yang sudah ada dalam topologi hub-and-spoke.
Membuat konfigurasi konektivitas hub-and-spoke dengan penerapan peering
Untuk menerapkan peering, Anda harus mengaktifkan opsi penegakan peering saat membuat konfigurasi konektivitas hub-and-spoke:
| Metode | Petunjuk |
|---|---|
| Portal Azure | Pilih kotak centang Terapkan peering saat konfigurasi. |
| Azure CLI / Klien lainnya | Atur properti peeringEnforcement di bawah connectivityCapabilities ke Enforced. |
Terapkan konfigurasi konektivitas
Setelah membuat dan menyebarkan konfigurasi ini:
- Semua peering yang dibuat oleh Azure Virtual Network Manager atau peering pelanggan yang sudah ada sebelumnya di dalam topologi diberlakukan.
- Jika peering termasuk dalam lebih dari satu topologi, konfigurasi yang ditandai sebagai diberlakukan akan berlaku pada peering tersebut.
Cara menghapus penegakan pada peering
Untuk menghapus penegakan:
- Perbarui konfigurasi konektivitas ke
Unenforced. - Sebarkan ulang konfigurasi.
Langkah berikutnya
- Pelajari cara membuat konfigurasi konektivitas mesh.
- Pelajari cara membuat konfigurasi konektivitas hub-and-spoke.
- Buat topologi hub-and-spoke yang aman dalam tutorial ini.
- Pelajari cara menyebarkan topologi hub-and-spoke dengan Azure Firewall.
- Pahami penyebaran konfigurasi untuk mengelola pengaturan jaringan Anda secara efektif.
- Blokir lalu lintas jaringan yang tidak diinginkan menggunakan konfigurasi admin keamanan.
- Sebarkan Azure Virtual Network Manager menggunakan Terraform untuk menyiapkan lingkungan Anda dengan cepat.