Ringkasan layanan jaringan Azure

Layanan jaringan di Azure menyediakan berbagai kemampuan jaringan yang dapat digunakan bersama atau terpisah. Pilih setiap skenario jaringan berikut untuk mempelajari selengkapnya tentang skenario tersebut:

• Fondasi jaringan: Layanan dasar jaringan Azure menyediakan konektivitas inti untuk sumber daya Anda di Azure - Virtual Network (VNet), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway, dan Traffic Manager.
• Penyeimbangan beban dan pengiriman konten: Penyeimbangan beban Azure dan layananpengiriman konten memungkinkan manajemen, distribusi, dan pengoptimalan aplikasi dan beban kerja Anda - Load balancer, Application Gateway, dan Azure Front Door.
• Konektivitas hibrid: Layanan konektivitas hibrid Azure mengamankan komunikasi ke dan dari sumber daya Anda di Azure - VPN Gateway, ExpressRoute, Virtual WAN, dan Peering Service.
• Keamanan jaringan: Layanan keamanan jaringan Azure melindungi aplikasi web dan layanan IaaS Anda dari serangan DDoS dan aktor berbahaya - Firewall Manager, Firewall, Web Application Firewall, dan DDoS Protection.
• Manajemen dan pemantauan Jaringan: Layanan manajemen dan pemantauan jaringan Azure menyediakan alat untuk mengelola dan memantau sumber daya jaringan Anda - Network Watcher, Azure Monitor, dan Azure Virtual Network Manager.

Fondasi jaringan

Bagian ini menjelaskan layanan yang menyediakan blok penyusun untuk merancang dan merancang lingkungan jaringan di Azure - Virtual Network (VNet), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway, dan Traffic Manager.

Jaringan virtual

Azure Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan pribadi Anda di Azure. Anda dapat menggunakan VNet untuk:

• Berkomunikasi antara sumber daya Azure: Anda dapat menyebarkan komputer virtual, dan beberapa jenis sumber daya Azure lainnya ke jaringan virtual, seperti Azure App Service Environments, Azure Kubernetes Service (AKS), dan Azure Virtual Machine Scale Sets. Untuk melihat daftar lengkap sumber daya Azure yang bisa Anda sebarkan ke jaringan virtual, lihat Integrasi layanan jaringan virtual.
• Berkomunikasi satu sama lain: Anda dapat menghubungkan jaringan virtual satu sama lain, memungkinkan sumber daya di jaringan virtual untuk berkomunikasi satu sama lain, menggunakan peering jaringan virtual atau Azure Virtual Network Manager. Jaringan virtual yang Anda sambungkan bisa berada di wilayah Azure yang sama, atau berbeda. Untuk informasi selengkapnya, lihat Peering jaringan virtual dan Azure Virtual Network Manager.
• Berkomunikasi ke internet: Semua sumber daya dalam jaringan virtual dapat berkomunikasi keluar ke internet, secara default. Anda dapat berkomunikasi masuk ke sumber daya dengan menetapkan alamat IP publik atau Load Balancer publik. Anda juga dapat menggunakan alamat IP Publik atau Load Balancer publik untuk mengelola koneksi keluar.
• Berkomunikasi dengan jaringan lokal: Anda dapat menghubungkan komputer dan jaringan lokal ke jaringan virtual menggunakan VPN Gateway atau ExpressRoute.
• Mengenkripsi lalu lintas antar sumber daya: Anda dapat menggunakan Enkripsi jaringan virtual untuk mengenkripsi lalu lintas antar sumber daya dalam jaringan virtual.

Grup keamanan jaringan

Anda dapat memfilter lalu lintas jaringan ke dan dari sumber daya Azure di jaringan virtual Azure dengan kelompok keamanan jaringan. Untuk informasi selengkapnya, lihat Kelompok keamanan jaringan.

Titik akhir layanan

Titik akhir layanan Virtual Network (VNet) memperluas ruang alamat privat jaringan virtual Anda dan identitas jaringan virtual Anda ke layanan Azure, melalui koneksi langsung. Titik akhir memungkinkan Anda mengamankan sumber daya layanan Azure penting ke jaringan virtual Anda saja. Lalu lintas dari jaringan virtual ke layanan Azure selalu tetap berada di jaringan backbone Microsoft Azure.

Tautan Privat Azure

Azure Private Link memungkinkan Anda mengakses Layanan PaaS Azure (misalnya, Azure Storage dan SQL Database) dan layanan milik pelanggan/mitra yang dihosting Azure melalui titik akhir privat di dalam jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan berjalan melalui jaringan tulang punggung Microsoft. Mengekspos layanan Anda ke internet publik tidak lagi diperlukan. Anda juga dapat membuat layanan tautan privat di jaringan virtual dan mengirimkannya ke pelanggan.

DNS Azure

Azure DNS menyediakan hosting dan resolusi DNS menggunakan infrastruktur Microsoft Azure. Azure DNS terdiri dari tiga layanan:

• Azure Public DNS adalah layanan hosting untuk domain DNS. Dengan menghosting domain Anda di Azure, Anda bisa mengelola rekaman DNS Anda menggunakan informasi masuk, API, alat, dan tagihan yang sama dengan layanan Azure lainnya.
• Azure Private DNS adalah layanan DNS untuk jaringan virtual Anda. Azure Private DNS mengelola dan menyelesaikan nama domain di jaringan virtual tanpa harus mengonfigurasi solusi DNS kustom.
• Azure DNS Private Resolver adalah layanan yang memungkinkan Anda mengkueri zona privat Azure DNS dari lingkungan lokal dan sebaliknya tanpa menyebarkan server DNS berbasis VM.

Dengan menggunakan Azure DNS, Anda dapat menghosting dan mengatasi domain publik, mengelola resolusi DNS di jaringan virtual Anda, dan mengaktifkan resolusi nama antara Azure dan sumber daya lokal Anda.

Azure Bastion

Azure Bastion adalah layanan yang dapat Anda sebarkan di jaringan virtual untuk memungkinkan Anda terhubung ke komputer virtual menggunakan browser dan portal Azure. Anda juga dapat terhubung menggunakan klien SSH atau RDP asli yang sudah diinstal di komputer lokal Anda. Layanan Azure Bastion adalah layanan PaaS yang dikelola sepenuhnya platform yang Anda sebarkan di dalam jaringan virtual Anda. Ini menyediakan konektivitas RDP/SSH yang aman dan lancar ke komputer virtual Anda langsung dari portal Microsoft Azure melalui TLS. Saat Anda tersambung melalui Azure Bastion, komputer virtual Anda tidak memerlukan alamat IP publik, agen, atau perangkat lunak klien khusus. Ada berbagai SKU/tingkatan berbeda yang tersedia untuk Azure Bastion. Tingkat yang Anda pilih memengaruhi fitur yang tersedia. Untuk informasi selengkapnya, lihat Tentang pengaturan konfigurasi Bastion.

Azure Route Server

Azure Route Server menyederhanakan perutean dinamis antara appliance virtual jaringan (NVA) dan jaringan virtual Anda. Azure Route Server tersebut memungkinkan Anda bertukar informasi perutean langsung melalui protokol perutean Protokol Gateway Batas (BGP) antar NVA yang mendukung protokol perutean BGP dan Azure Software Defined Network (SDN) di Azure Virtual Network (VNET) tanpa perlu mengonfigurasi atau memelihara tabel rute secara manual.

NAT Gateway

NAT Virtual Network (terjemahan alamat jaringan) menyederhanakan konektivitas Internet khusus keluar untuk jaringan virtual. Saat dikonfigurasi pada subnet, semua konektivitas keluar menggunakan alamat IP publik statis yang ditentukan. Konektivitas keluar dimungkinkan tanpa load balancer atau alamat IP publik yang langsung melekat pada komputer virtual. Untuk informasi selengkapnya, lihat Apa itu gateway Azure NAT?

Traffic Manager

Azure Traffic Manager adalah penyeimbang beban lalu lintas berbasis DNS yang memungkinkan Anda mendistribusikan lalu lintas secara optimal ke layanan di seluruh wilayah Azure global, sekaligus memberikan ketersediaan dan responsivitas tinggi. Traffic Manager menyediakan berbagai metode perutean lalu lintas untuk mendistribusikan lalu lintas seperti prioritas, tertimbang, performa, geografis, multinilai, atau subnet.

Diagram berikut menunjukkan perutean berbasis prioritas titik akhir dengan Traffic Manager:

Untuk informasi selengkapnya tentang Traffic Manager, lihat Apa itu Azure Traffic Manager?.

Penyeimbangan beban dan pengiriman konten

Bagian ini menjelaskan layanan jaringan di Azure yang membantu mengirimkan aplikasi dan beban kerja - Load Balancer, Application Gateway, dan Azure Front Door Service.

Load Balancer

Azure Load Balancer menyediakan penyeimbangan beban Lapisan 4 latensi rendah berkinerja tinggi untuk semua protokol UDP dan TCP. Azure Load Balancer mengelola koneksi masuk dan keluar. Anda dapat mengonfigurasi titik akhir publik dan internal yang seimbang. Anda dapat menentukan aturan untuk memetakan koneksi masuk ke tujuan kumpulan back-end dengan menggunakan opsi pemeriksaan kesehatan TCP dan HTTP untuk mengelola ketersediaan layanan.

Azure Load Balancer tersedia dalam SKU Standar, Regional, dan Gateway.

Gambar berikut menunjukkan aplikasi multi-tingkat yang menghadap internet, yang menggunakan penyeimbang muatan eksternal dan internal:

Application Gateway

Azure Application Gateway adalah penyeimbang beban lalu lintas web yang memungkinkan Anda mengelola lalu lintas ke aplikasi web Anda. Ini adalah Pengontrol Pengiriman Aplikasi (ADC) sebagai layanan, menawarkan berbagai kemampuan penyeimbangan beban lapisan 7 untuk aplikasi Anda.

Diagram berikut ini memperlihatkan perutean berbasis jalur url dengan Application Gateway.

Azure Front Door

Azure Front Door memungkinkan Anda menentukan, mengelola, dan memantau perutean global untuk lalu lintas web Anda dengan mengoptimalkan performa terbaik dan failover global instan untuk ketersediaan tinggi. Dengan Front Door, Anda dapat mengubah aplikasi pelanggan dan perusahaan global (multi-wilayah) menjadi aplikasi, API, dan konten yang kukuh, memiliki performa tinggi, dapat dipersonalisasi, dan modern yang dapat menjangkau audiens global bersama Azure.

Konektivitas hibrid

Bagian ini menjelaskan layanan konektivitas jaringan yang menyediakan komunikasi aman antara jaringan lokal Anda dan Azure - VPN Gateway, ExpressRoute, Virtual WAN, dan Peering Service.

VPN Gateway

VPN Gateway membantu Anda membuat koneksi lintas lokasi terenkripsi ke jaringan virtual Anda dari lokasi lokal, atau membuat koneksi terenkripsi antar VNet. Ada berbagai konfigurasi yang tersedia untuk koneksi VPN Gateway. Beberapa fitur utama meliputi:

• Konektivitas VPN Situs ke Situs
• Konektivitas VPN titik-ke-situs
• Konektivitas VPN VNet-ke-VNet

Diagram berikut ini mengilustrasikan beberapa koneksi VPN situs-ke-situs ke jaringan virtual yang sama. Untuk melihat diagram koneksi lainnya, lihat VPN Gateway - desain.

ExpressRoute

ExpressRoute memungkinkan Anda memperluas jaringan lokal Anda ke cloud Microsoft melalui koneksi privat yang difasilitasi oleh penyedia konektivitas. Sambungan ini bersifat privat. Lalu lintas tidak melalui internet. Dengan ExpressRoute, Anda dapat membuat koneksi ke layanan cloud Microsoft, seperti Microsoft Azure, Microsoft 365, dan Dynamics 365.

Virtual WAN

Azure Virtual WAN adalah layanan jaringan yang menyautkan banyak fungsi jaringan, keamanan, dan perutean untuk menyediakan satu antarmuka operasional. Konektivitas ke Azure VNet dibuat dengan menggunakan koneksi jaringan virtual. Beberapa fitur utama meliputi:

• Konektivitas cabang (melalui otomatisasi konektivitas dari perangkat Mitra Virtual WAN seperti SD-WAN atau VPN CPE)
• Konektivitas VPN Situs ke Situs
• Konektivitas VPN pengguna jarak jauh (titik-ke-situs)
• Konektivitas privat (ExpressRoute)
• Konektivitas intra-cloud (konektivitas transitif untuk jaringan virtual)
• VPN ExpressRoute antar-konektivitas
• Perutean, Azure Firewall, dan enkripsi untuk konektivitas privat

Layanan Peering

Azure Peering Service meningkatkan konektivitas pelanggan ke layanan cloud Microsoft seperti Microsoft 365, Dynamics 365, layanan perangkat lunak sebagai layanan (SaaS), Azure, atau layanan Microsoft apa pun yang dapat diakses melalui internet publik.

Keamanan jaringan

Bagian ini menjelaskan layanan jaringan di Azure yang melindungi dan memantau sumber daya jaringan Anda - Firewall Manager, Firewall, Web Application Firewall, dan DDoS Protection.

Firewall Manager

Azure Firewall Manager adalah layanan manajemen keamanan yang menyediakan kebijakan keamanan pusat dan manajemen perutean untuk perimeter keamanan berbasis cloud. Manajer firewall dapat menyediakan manajemen keamanan untuk dua jenis arsitektur jaringan yang berbeda: hub virtual yang aman dan jaringan virtual hub. Dengan Azure Firewall Manager, Anda dapat menyebarkan beberapa instans Azure Firewall di seluruh wilayah dan langganan Azure, menerapkan rencana perlindungan DDoS, mengelola kebijakan firewall aplikasi web, dan berintegrasi dengan keamanan sebagai layanan mitra untuk keamanan yang ditingkatkan.

Azure Firewall

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Microsoft Azure Virtual Network Anda. Dengan Azure Firewall, Anda dapat membuat, menerapkan, dan mencatat kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual. Azure Firewall memberikan alamat IP publik statis untuk sumber daya jaringan virtual Anda, memungkinkan firewall luar mengidentifikasi lalu lintas yang berasal dari jaringan virtual Anda.

Web Application Firewall

Azure Web Application Firewall (WAF) memberikan perlindungan pada aplikasi web dari eksploitasi dan kerentanan web umum seperti injeksi SQL dan pembuatan skrip lintas situs. Azure WAF menyediakan perlindungan luar biasa dari 10 kerentanan teratas OWASP melalui aturan terkelola. Selain itu pelanggan juga dapat mengonfigurasi aturan kustom, yang merupakan aturan yang dikelola pelanggan untuk memberikan perlindungan ekstra berdasarkan rentang IP sumber, dan atribut permintaan seperti header, cookie, bidang data formulir, atau parameter string kueri.

Pelanggan dapat memilih untuk menyebarkan Azure WAF dengan Application Gateway, yang memberikan perlindungan regional kepada entitas di ruang alamat publik dan privat. Pelanggan juga dapat memilih untuk menyebarkan Azure WAF dengan Front Door yang memberikan perlindungan di tepi jaringan ke titik akhir publik.

DDoS Protection

Azure DDoS Protection memberikan penanggulangan terhadap ancaman DDoS yang paling canggih. Layanan ini menyediakan kemampuan mitigasi DDoS yang ditingkatkan untuk aplikasi dan sumber daya yang digunakan di jaringan virtual Anda. Selain itu, pelanggan yang menggunakan Azure DDoS Protection memiliki akses ke dukungan Respons Cepat DDoS untuk melibatkan pakar DDoS selama serangan aktif.

Azure DDoS Protection terdiri dari dua tingkatan:

• DDoS Network Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk bertahan dari serangan DDoS. Fitur ini secara otomatis disetel untuk membantu melindungi sumber daya Azure spesifik dalam jaringan virtual.
• DDoS IP Protection adalah model IP bayar per dilindungi. DDoS IP Protection berisi fitur rekayasa inti yang sama dengan DDoS Network Protection, tetapi berbeda dalam layanan bernilai tambah berikut: Dukungan respons cepat DDoS, perlindungan biaya, dan diskon pada WAF.

Manajemen dan pemantauan Jaringan

Bagian ini menjelaskan layanan manajemen dan pemantauan jaringan di Azure - Network Watcher, Azure Monitor, dan Azure Virtual Network Manager.

Azure Network Watcher

Azure Network Watcher menyediakan alat untuk memantau, mendiagnosis, melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya di jaringan virtual Azure.

Azure Monitor

Azure Monitor memaksimalkan ketersediaan dan performa aplikasi Anda dengan memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak berdasarkan telemetri dari lingkungan cloud dan lokal Anda. Hal ini membantu Anda memahami performa aplikasi dan secara proaktif mengidentifikasi masalah yang mempengaruhinya dan sumber daya tempat aplikasi bergantung.

Azure Virtual Network Manager

Azure Virtual Network Manager adalah layanan manajemen yang memungkinkan Anda mengelompokkan, mengonfigurasi, menyebarkan, dan mengelola jaringan virtual secara global di seluruh langganan. Dengan Virtual Network Manager, Anda dapat menentukan grup jaringan untuk mengidentifikasi dan secara logis mengelompokkan jaringan virtual Anda. Kemudian Anda dapat menentukan konfigurasi konektivitas dan keamanan yang Anda inginkan dan menerapkannya di semua jaringan virtual yang dipilih dalam grup jaringan sekaligus.

Langkah berikutnya

• Buat jaringan virtual pertama Anda, dan sambungkan beberapa komputer virtual ke dalamnya, dengan menyelesaikan langkah-langkah di artikel Membuat jaringan virtual pertama Anda.
• Sambungkan komputer ke jaringan virtual dengan menyelesaikan langkah-langkah dalam artikel Konfigurasikan koneksi dari titik-ke-situs.
• Lakukan penyeimbangan beban lalu lintas Internet ke server publik dengan menyelesaikan langkah-langkah dalam artikel Buat penyeimbang beban yang menghadap internet.