Mengonfigurasi penerowongan paksa menggunakan model penyebaran klasik
Penerowongan paksa memungkinkan Anda mengalihkan atau "memaksa" semua lalu lintas yang terikat Internet kembali ke lokasi lokal Anda melalui terowongan VPN Site-to-Site untuk inspeksi dan audit. Ini adalah persyaratan keamanan penting untuk sebagian besar kebijakan IT perusahaan. Tanpa penerowongan paksa, lalu lintas yang terikat Internet dari VM Anda di Azure akan selalu melintasi infrastruktur jaringan Azure langsung ke Internet, tanpa opsi yang memungkinkan Anda memeriksa atau mengaudit lalu lintas. Akses Internet yang tidak sah dapat berpotensi menyebabkan pengungkapan informasi atau jenis pelanggaran keamanan lainnya.
Langkah-langkah dalam artikel ini berlaku untuk model penyebaran klasik (warisan) dan tidak berlaku untuk model penyebaran saat ini, Resource Manager. Kecuali Anda ingin bekerja dalam model penyebaran klasik secara khusus, kami sarankan Anda menggunakan versi Resource Manager dari artikel ini.
Catatan
Artikel ini ditulis untuk model penyebaran klasik (warisan). Kami menyarankan agar Anda menggunakan model penyebaran Azure terbaru sebagai gantinya. Model penyebaran Resource Manager adalah model penyebaran terbaru dan menawarkan lebih banyak opsi dan kompatibilitas fitur daripada model penyebaran klasik. Untuk memahami perbedaan antara kedua model penyebaran ini, lihat Memahami model penyebaran dan status sumber daya Anda.
Jika Anda ingin menggunakan versi lain dari artikel ini, gunakan daftar isi di panel kiri.
Persyaratan dan pertimbangan
Penerowongan paksa di Azure dikonfigurasi melalui rute yang ditentukan pengguna (UDR) jaringan virtual. Mengalihkan lalu lintas ke situs lokal dinyatakan sebagai Rute Default ke gateway VPN Azure. Bagian berikut ini mencantumkan batasan tabel perutean dan rute saat ini untuk Jaringan Virtual Azure:
Setiap subnet jaringan virtual memiliki tabel perutean sistem bawaan. Tabel perutean sistem memiliki tiga grup rute berikut:
- Rute VNet lokal: Langsung ke VM tujuan dalam jaringan virtual yang sama.
- Rute lokal: Ke gateway VPN Azure.
- Rute default: Langsung ke Internet. Paket yang ditujukan ke alamat IP pribadi yang tidak dicakup oleh dua rute sebelumnya akan dihilangkan.
Dengan rilis rute yang ditentukan pengguna, Anda dapat membuat tabel perutean untuk menambahkan rute default, lalu mengaitkan tabel perutean ke subnet VNet Anda untuk mengaktifkan penerowongan paksa pada subnet tersebut.
Anda perlu menyetel "situs default" di antara situs lokal lintas tempat yang terhubung ke jaringan virtual.
Penerowongan paksa harus dikaitkan dengan VNet yang memiliki gateway VPN perutean dinamis (bukan gateway statis).
Penerowongan paksa ExpressRoute tidak dikonfigurasi melalui mekanisme ini, tetapi sebaliknya, diaktifkan dengan mengiklankan rute default melalui sesi peering ExpressRoute BGP. Untuk informasi selengkapnya, lihat Apa itu ExpressRoute?
Ringkasan konfigurasi
Dalam contoh berikut, subnet Frontend tidak terowongan paksa. Beban kerja di subnet Frontend dapat terus menerima dan menanggapi permintaan pelanggan dari Internet secara langsung. Subnet Mid-tier dan Backend merupakan penerowongan paksa. Setiap koneksi keluar dari kedua subnet ini ke Internet dipaksa atau dialihkan kembali ke situs lokal melalui salah satu terowongan VPN S2S.
Proses ini memungkinkan Anda untuk membatasi dan memeriksa akses Internet dari mesin virtual atau layanan cloud Anda di Azure, sambil terus mengaktifkan arsitektur layanan multitingkat Anda yang diperlukan. Anda juga dapat menerapkan penerowongan paksa ke seluruh jaringan virtual jika tidak ada beban kerja yang terhubung ke Internet di jaringan virtual Anda.
Prasyarat
Pastikan Anda memiliki item berikut sebelum memulai konfigurasi:
- Langganan Azure. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar untuk akun gratis.
- Jaringan virtual yang dikonfigurasi.
- Saat bekerja dengan model penyebaran klasik, Anda tidak dapat menggunakan Azure Cloud Shell. Sebagai gantinya, Anda harus menginstal versi terbaru cmdlet PowerShell Azure Service Management (SM) secara lokal di komputer Anda. Cmdlet ini berbeda dari cmdlet AzureRM atau Az. Untuk menginstal cmdlet SM, lihat Menginstal cmdlet Manajemen Layanan. Untuk informasi selengkapnya tentang Azure PowerShell secara umum, lihat Dokumentasi Microsoft Azure PowerShell.
Konfigurasi penerowongan paksa
Prosedur berikut membantu Anda menentukan penerowongan paksa untuk jaringan virtual. Langkah-langkah konfigurasi sesuai dengan file konfigurasi jaringan VNet. Dalam contoh ini, jaringan virtual 'MultiTier-VNet' memiliki tiga subnet: subnet Frontend, Midtier, dan Backend, dengan empat koneksi lintas lokasi: 'DefaultSiteHQ', dan tiga Cabang.
<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
<AddressSpace>
<AddressPrefix>10.1.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Frontend">
<AddressPrefix>10.1.0.0/24</AddressPrefix>
</Subnet>
<Subnet name="Midtier">
<AddressPrefix>10.1.1.0/24</AddressPrefix>
</Subnet>
<Subnet name="Backend">
<AddressPrefix>10.1.2.0/23</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>10.1.200.0/28</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="DefaultSiteHQ">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch2">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch3">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</Gateway>
</VirtualNetworkSite>
</VirtualNetworkSite>
Langkah-langkah berikut mengatur 'DefaultSiteHQ' sebagai koneksi situs default untuk penerowongan paksa, dan mengonfigurasi subnet Midtier dan Backend untuk menggunakan penerowongan paksa.
Buka konsol PowerShell Anda dengan hak yang ditinggikan. Hubungkan ke akun Anda menggunakan contoh berikut:
Add-AzureAccount
Buat tabel perutean. Gunakan cmdlet berikut untuk membuat tabel rute Anda.
New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"
Tambahkan rute default ke tabel perutean.
Contoh berikut menambahkan rute default ke tabel perutean yang dibuat di Langkah 1. Satu-satunya rute yang didukung adalah awalan tujuan "0.0.0.0/0" ke "VPNGateway" NextHop.
Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGateway
Kaitkan tabel perutean ke subnet.
Setelah tabel perutean dibuat dan rute ditambahkan, gunakan contoh berikut untuk menambahkan atau mengaitkan tabel rute ke subnet VNet. Contoh tersebut menambahkan tabel rute "MyRouteTable" ke subnet Midtier dan Backend dari VNet MultiTier-VNet.
Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable" Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"
Tetapkan situs default untuk penerowongan paksa.
Pada langkah sebelumnya, contoh skrip cmdlet membuat tabel perutean dan mengaitkan tabel rute ke dua subnet VNet. Langkah yang tersisa adalah memilih situs lokal di antara koneksi multisitus jaringan virtual sebagai situs atau terowongan default.
$DefaultSite = @("DefaultSiteHQ") Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
Cmdlet PowerShell tambahan
Untuk menghapus tabel rute
Remove-AzureRouteTable -Name <routeTableName>
Untuk mencantumkan tabel rute
Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]
Untuk menghapus rute dari tabel rute
Remove-AzureRouteTable –Name <routeTableName>
Untuk menghapus rute dari subnet
Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>
Untuk mencantumkan tabel rute yang terkait dengan subnet
Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>
Untuk menghapus situs default dari gateway VNet VPN
Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>