Rencanakan jaringan virtual

Membuat jaringan virtual untuk bereksperimen cukup mudah, tetapi kemungkinan besar, Anda akan menggunakan beberapa jaringan virtual dari waktu ke waktu untuk mendukung kebutuhan produksi organisasi Anda. Dengan beberapa perencanaan, Anda akan dapat menerapkan jaringan virtual dan menghubungkan sumber daya yang Anda butuhkan lebih efektif. Informasi dalam artikel ini paling membantu jika Anda sudah terbiasa dengan jaringan virtual dan memiliki beberapa pengalaman bekerja dengan mereka. Jika Anda tidak terbiasa dengan jaringan virtual, disarankan agar Anda membaca ikhtisar jaringan virtual.

Penamaan

Semua sumber daya Azure memiliki nama. Nama harus unik dalam lingkup, yang dapat bervariasi untuk setiap jenis sumber daya. Misalnya, nama jaringan virtual harus unik dalam grup sumber daya, tetapi dapat diduplikasi dalam langganan atau wilayah Azure. Mendefinisikan konvensi penamaan yang dapat Anda gunakan secara konsisten saat menamai sumber daya sangat membantu saat mengelola beberapa sumber daya jaringan dari waktu ke waktu. Untuk saran penamaan, lihat Konvensi penamaan.

Wilayah

Semua sumber daya Azure dibuat di wilayah Azure dan langganan. Sumber daya hanya dapat dibuat di jaringan virtual yang ada di wilayah yang sama dan berlangganan sebagai sumber daya. Namun, Anda dapat menghubungkan jaringan virtual yang ada di berbagai langganan dan wilayah. Untuk informasi selengkapnya, lihat konektivitas. Saat memutuskan wilayah mana yang akan menggunakan sumber daya, pertimbangkan di mana konsumen sumber daya berada secara fisik:

  • Konsumen sumber daya biasanya menginginkan latensi jaringan terendah untuk sumber daya mereka. Untuk menentukan laten relatif antara lokasi tertentu dan wilayah Azure, lihat Menampilkan laten relatif.
  • Apakah Anda memiliki persyaratan residensi, kedaulatan, kepatuhan, atau ketahanan data? Jika demikian, memilih wilayah yang selaras dengan persyaratan sangat penting. Untuk informasi selengkapnya, lihat geografi Azure.
  • Apakah Anda memerlukan ketahanan di seluruh Zona Ketersediaan Azure dalam wilayah Azure yang sama untuk sumber daya yang Anda terapkan? Anda dapat menerapkan sumber daya, seperti komputer virtual (VM) ke zona ketersediaan yang berbeda dalam jaringan virtual yang sama. Namun, tidak semua wilayah Azure mendukung zona ketersediaan. Untuk mempelajari selengkapnya tentang zona ketersediaan dan wilayah yang mendukungnya, lihat Zona ketersediaan.

Langganan

Anda dapat menggunakan jaringan virtual sebanyak yang diperlukan dalam setiap langganan, hingga batasnya. Beberapa organisasi memiliki langganan yang berbeda untuk departemen yang berbeda, misalnya. Untuk informasi dan pertimbangan selengkapnya seputar langganan, lihat Tata kelola langganan.

Segmentasi

Anda dapat membuat beberapa jaringan virtual per langganan dan per wilayah. Anda dapat membuat beberapa subnet dalam setiap jaringan virtual. Pertimbangan yang mengikuti membantu Anda menentukan berapa banyak jaringan virtual dan subnet yang Anda butuhkan:

Jaringan virtual

Jaringan virtual adalah bagian virtual yang terisolasi dari jaringan publik Azure. Setiap jaringan virtual didedikasikan untuk langganan Anda. Hal-hal yang perlu dipertimbangkan saat memutuskan apakah akan membuat satu jaringan virtual, atau beberapa jaringan virtual dalam langganan:

  • Apakah ada persyaratan keamanan organisasi untuk mengisolasi lalu lintas ke jaringan virtual terpisah? Anda bisa memilih untuk menyambungkan jaringan virtual atau tidak. Jika Anda menghubungkan jaringan virtual, Anda dapat menerapkan alat virtual jaringan, seperti firewall, untuk mengontrol arus lalu lintas antara jaringan virtual. Untuk informasi selengkapnya, lihat keamanan dan konektivitas.
  • Apakah ada persyaratan organisasi untuk mengisolasi jaringan virtual menjadi langganan atau wilayah terpisah?
  • Antarmuka jaringan memungkinkan VM berkomunikasi dengan sumber daya lain. Setiap antarmuka jaringan memiliki satu atau beberapa alamat IP privat yang ditetapkan untuknya. Berapa banyak antarmuka jaringan dan alamat IP pribadi yang Anda butuhkan dalam jaringan virtual? Ada batasan jumlah antarmuka jaringan dan alamat IP pribadi yang dapat Anda miliki dalam jaringan virtual.
  • Apakah Anda ingin menyambungkan jaringan virtual ke jaringan virtual atau jaringan lokal lainnya? Anda dapat memilih untuk menghubungkan beberapa jaringan virtual satu sama lain atau jaringan lokal, tetapi tidak yang lain. Untuk informasi selengkapnya, lihat konektivitas. Setiap jaringan virtual yang Anda sambungkan ke jaringan virtual lain, atau jaringan lokal, harus memiliki ruang alamat yang unik. Setiap jaringan virtual memiliki satu atau beberapa rentang alamat publik atau pribadi yang ditetapkan ke ruang alamatnya. Rentang alamat ditentukan dalam format perutean domain internet tanpa kelas (CIDR), seperti 10.0.0.0/16. Pelajari selengkapnya tentang rentang alamat untuk jaringan virtual.
  • Apakah Anda memiliki persyaratan administrasi organisasi untuk sumber daya di jaringan virtual yang berbeda? Jika demikian, Anda dapat memisahkan sumber daya ke jaringan virtual terpisah untuk menyederhanakan penetapan izin kepada individu di organisasi Anda atau menetapkan kebijakan yang berbeda ke jaringan virtual yang berbeda.
  • Saat Anda menerapkan beberapa sumber daya layanan Azure ke dalam jaringan virtual, mereka membuat jaringan virtual mereka sendiri. Untuk menentukan apakah layanan Azure membuat jaringan virtualnya sendiri, lihat informasi untuk setiap layanan Azure yang dapat digunakan ke dalam jaringan virtual.

Subnet

Jaringan virtual dapat disegmentasi menjadi satu atau beberapa subnet hingga batas. Hal-hal yang perlu dipertimbangkan saat memutuskan apakah akan membuat satu subnet, atau beberapa jaringan virtual dalam langganan:

  • Setiap subnet harus memiliki rentang alamat unik, yang ditentukan dalam format CIDR, dalam ruang alamat jaringan virtual. Rentang alamat tak bisa tumpang tindih dengan subnet lain dalam jaringan maya.
  • Jika Anda berencana untuk menerapkan beberapa sumber daya layanan Azure ke dalam jaringan virtual, mereka mungkin memerlukan, atau membuat, subnet mereka sendiri, sehingga harus ada cukup ruang yang tidak dialokasikan. Untuk menentukan apakah layanan Azure membuat subnet-nya sendiri, lihat informasi untuk setiap layanan Azure yang dapat digunakan ke dalam jaringan virtual. Misalnya, jika Anda menyambungkan jaringan virtual ke jaringan lokal menggunakan Azure VPN Gateway, jaringan virtual harus memiliki subnet khusus untuk gateway. Pelajari selengkapnya tentang subnet gateway.
  • Azure merutekan lalu lintas di antara semua subnet dalam jaringan virtual, secara default. Anda dapat mengganti perutean default Azure untuk mencegah perutean Azure antar subnet, atau merutekan lalu lintas antar subnet melalui appliance virtual jaringan, misalnya. Jika Anda memerlukan lalu lintas antara sumber daya dalam aliran jaringan virtual yang sama melalui alat virtual jaringan (NVA), terapkan sumber daya ke subnet yang berbeda. Pelajari selengkapnya dalam keamanan.
  • Anda dapat membatasi akses ke sumber daya Azure seperti akun penyimpanan Azure atau Azure SQL Database, ke subnet tertentu dengan titik akhir layanan jaringan virtual. Selanjutnya, Anda dapat menolak akses ke sumber daya dari internet. Anda dapat membuat beberapa subnet, dan mengaktifkan titik akhir layanan untuk sebagian subnet, tetapi bukan yang lain. Pelajari selengkapnya tentang titik akhir layanan, dan sumber daya Azure yang bisa Anda aktifkan.
  • Anda dapat mengaitkan nol atau satu kelompok keamanan jaringan ke setiap subnet dalam jaringan virtual. Anda dapat mengaitkan kelompok keamanan jaringan yang sama, atau yang berbeda ke setiap subnet. Setiap grup keamanan jaringan berisi aturan, yang memungkinkan atau menolak lalu lintas ke dan dari sumber dan tujuan. Pelajari selengkapnya tentang Kelompok Keamanan Jaringan.

Keamanan

Anda dapat memfilter lalu lintas jaringan ke dan dari sumber daya di jaringan virtual menggunakan kelompok keamanan jaringan dan peralatan virtual jaringan. Anda dapat mengontrol cara Azure merutekan lalu lintas dari subnet. Anda juga dapat membatasi siapa dalam organisasi Anda yang dapat bekerja dengan sumber daya di jaringan virtual.

Pemfilteran lalu lintas

  • Anda dapat memfilter lalu lintas jaringan antara sumber daya di jaringan virtual menggunakan kelompok keamanan jaringan, NVA yang memfilter lalu lintas jaringan, atau keduanya. Untuk menerapkan NVA, seperti firewall, untuk memfilter lalu lintas jaringan, lihat Azure Marketplace. Saat menggunakan NVA, Anda juga membuat rute khusus untuk merutekan lalu lintas dari subnet ke NVA. Pelajari selengkapnya tentang perutean lalu lintas.
  • Kelompok keamanan jaringan berisi beberapa aturan keamanan default yang mengizinkan atau menolak lalu lintas ke atau dari sumber daya. Kelompok keamanan jaringan dapat dikaitkan dengan antarmuka jaringan, subnet tempat antarmuka jaringan berada, atau keduanya. Untuk menyederhanakan pengelolaan aturan keamanan, Disarankan agar Anda mengaitkan kelompok keamanan jaringan ke subnet individual, bukan antarmuka jaringan individual dalam subnet, jika memungkinkan.
  • Jika VM yang berbeda dalam subnet memerlukan aturan keamanan yang berbeda yang diterapkan pada mereka, Anda dapat mengaitkan antarmuka jaringan di VM ke satu atau beberapa kelompok keamanan aplikasi. Aturan keamanan dapat menentukan kelompok keamanan aplikasi di sumber, tujuan, atau keduanya. Aturan itu kemudian hanya berlaku untuk antarmuka jaringan yang merupakan anggota kelompok keamanan aplikasi. Pelajari selengkapnya tentangkelompok keamanan jaringan dan kelompok keamanan aplikasi.
  • Ketika grup keamanan jaringan dikaitkan di tingkat subnet, hal ini berlaku untuk semua NIC di subnet, tidak hanya untuk lalu lintas yang berasal dari luar subnet. Artinya lalu lintas antara mesin virtual yang terdapat di dalam subnet juga dapat terpengaruh.
  • Azure membuat beberapa aturan keamanan default dalam setiap kelompok keamanan jaringan. Satu aturan default memungkinkan semua lalu lintas mengalir di antara semua sumber daya dalam jaringan virtual. Untuk mengubah perilaku ini, gunakan kelompok keamanan jaringan, perutean kustom untuk merutekan lalu lintas ke NVA, atau keduanya. Disarankan agar Anda membiasakan diri dengan semua aturan keamanan default Azure dan memahami bagaimana aturan kelompok keamanan jaringan diterapkan ke sumber daya.

Anda dapat melihat desain sampel untuk mengimplementasikan jaringan perimeter (juga dikenal sebagai DMZ) antara Azure dan internet menggunakan NVA.

Perutean lalu lintas

Azure membuat beberapa rute default untuk lalu lintas keluar dari subnet. Anda dapat mengganti perutean default Azure dengan membuat tabel rute dan mengaitkannya ke subnet. Alasan umum untuk mengubah perutean default Azure adalah:

  • Karena Anda ingin lalu lintas antar subnet mengalir melalui NVA. Untuk mempelajari selengkapnya tentang cara mengonfigurasi tabel rute untuk memaksa lalu lintas melalui NVA.
  • Karena Anda ingin memaksa semua lalu lintas yang terikat internet melalui NVA, atau lokal, melalui Azure VPN Gateway. Memaksa lalu lintas internet lokal untuk inspeksi dan logging sering disebut sebagai penerowongan paksa. Pelajari lebih lanjut cara mengonfigurasi penerowongan paksa.

Jika Anda perlu menerapkan perutean kustom, disarankan agar Anda membiasakan diri dengan perutean di Azure.

Konektivitas

Anda dapat menyambungkan jaringan virtual ke jaringan virtual lain menggunakan peering jaringan virtual, atau ke jaringan lokal Anda, menggunakan Azure VPN Gateway.

Peering

Saat menggunakan peering jaringan virtual, jaringan virtual dapat berada di wilayah Azure yang didukung, baik sama, atau berbeda. Jaringan virtual dapat berada di langganan Azure yang sama atau berbeda (bahkan langganan milik penyewa Layanan Azure Domain Active Directory yang berbeda). Sebelum membuat peering, sebaiknya Anda memahami semua persyaratan dan batasan peering. Bandwidth antara sumber daya yang di-peering di wilayah yang sama seperti jika sumber daya berada di jaringan virtual yang sama.

VPN Gateway

Anda bisa menggunakan Azure VPN Gateway untuk menyambungkan jaringan virtual ke jaringan lokal Anda menggunakan VPNVPN situs-ke-situs, atau menggunakan koneksi khusus dengan Azure ExpressRoute.

Anda dapat menggabungkan peering dan VPN gateway untuk membuat jarinangan hub dan spoke, di mana jaringan virtual spoke menyambung ke jaringan virtual hub, dan hub terhubung ke jaringan lokal, misalnya.

Resolusi Nama

Sumber daya di satu jaringan virtual tidak dapat menyelesaikan nama sumber daya di jaringan virtual yang di-peering menggunakan DNS bawaan Azure. Untuk mengatasi nama dalam jaringan virtual yang diinding, terapkan server DNS Anda sendiri, atau gunakan domain pribadi Azure DNS. Mengatasi nama antara sumber daya dalam jaringan virtual dan jaringan lokal juga mengharuskan Anda untuk menggunakan server DNS Anda sendiri.

Izin

Azure menggunakan kontrol akses berbasis peran Azure (Azure RBAC) ke sumber daya. Izin ditetapkan ke lingkup dalam hierarki berikut: grup manajemen, langganan, grup sumber daya, dan sumber daya individual. Untuk mempelajari selengkapnya tentang hierarki, lihat Menata sumber daya Anda. Untuk bekerja dengan jaringan virtual Azure dan semua kemampuan terkaitnya seperti peering, kelompok keamanan jaringan, titik akhir layanan, dan tabel rute, Anda dapat menetapkan anggota organisasi Anda ke peran Pemilik, Kontributor, atau Kontributor jaringan-bawaan, lalu menetapkan peran ke lingkup yang sesuai. Jika Anda ingin menetapkan izin tertentu untuk subset kapabilitas jaringan virtual, buat peran kustom dan tetapkan izin khusus yang diperlukan untuk jaringan virtual, subnet, dan titik akhir layanan, antarmuka jaringan, peering, kelompok keamanan jaringan dan aplikasi, atau tabel rute ke peran tersebut.

Kebijakan

Azure Policy memungkinkan Anda membuat, menetapkan, dan mengelola definisi kebijakan. Definisi Azure Policy memberlakukan aturan yang berbeda atas sumber daya Anda, sehingga sumber daya tetap mematuhi standar organisasi dan perjanjian tingkat layanan Anda. Azure Policy menjalankan evaluasi sumber daya Anda, memindai sumber daya yang tidak mematuhi definisi kebijakan yang Anda miliki. Misalnya, Anda dapat menentukan dan menerapkan kebijakan yang memungkinkan pembuatan jaringan virtual hanya di grup atau wilayah sumber daya tertentu. Kebijakan lain dapat mengharuskan setiap subnet memiliki kelompok keamanan jaringan yang terkait dengannya. Kebijakan kemudian dievaluasi saat membuat dan memperbarui sumber daya.

Kebijakan diterapkan ke hierarki berikut: grup manajemen, langganan, dan grup sumber daya. Pelajari selengkapnya tentang Azure Policy atau terapkan beberapa definisi kebijakan Azure jaringan virtual.

Langkah berikutnya

Pelajari tentang semua tugas, setelan, dan opsi untuk jaringan virtual, subnet dan titik akhir layanan, antarmuka jaringan, peering, grup keamanan jaringan dan aplikasi, atau tabel rute.