Keandalan dan Virtual Network Azure
Blok penyusun dasar untuk jaringan privat Anda, Azure Virtual Network memungkinkan sumber daya Azure berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal.
Fitur utama Azure Virtual Network meliputi:
- Komunikasi dengan sumber daya Azure
- Komunikasi dengan internet
- Komunikasi dengan sumber daya lokal
- Pemfilteran lalu lintas jaringan
Untuk informasi selengkapnya, referensi Apa itu Azure Virtual Network?
Untuk memahami bagaimana Azure Virtual Network mendukung beban kerja yang andal, referensikan topik berikut:
- Tutorial: Memindahkan komputer virtual Azure diseluruh wilayah
- Mulai cepat: Buat jaringan virtual menggunakan portal Azure
- Jaringan Virtual – Keberlanjutan Bisnis
Mempertimbangkan rancangan
Virtual Network (VNet) mencakup pertimbangan desain berikut untuk beban kerja Azure yang andal:
- Ruang alamat IP yang tumpang tindih di seluruh wilayah lokal dan Azure menciptakan tantangan ketidaksesuaian besar.
- Meskipun ruang alamat Virtual Network dapat ditambahkan setelah pembuatan, proses ini memerlukan pemadaman jika Virtual Network sudah terhubung ke Virtual Network lain melalui peering. Pemadaman diperlukan karena peering Virtual Network dihapus dan dibuat ulang.
- Mengubah ukuran Virtual Network yang di-peering berada dalam pratinjau publik (20 Agustus 2021).
- Beberapa layanan Azure memang memerlukan subnet khusus, seperti:
- Azure Firewall
- Azure Bastion
- Gateway Virtual Network
- Subnet dapat didelegasikan ke layanan tertentu untuk membuat instans layanan tersebut dalam subnet.
- Azure mencadangkan lima alamat IP dalam setiap subnet, yang harus diperhitungkan saat mengukur Virtual Network dan subnet yang mencakup.
Daftar periksa
Sudahkah Anda mengonfigurasi Azure Virtual Network dengan ingat keandalan?
- Gunakan Paket Perlindungan Standar Azure DDoS untuk melindungi semua titik akhir publik yang dihosting dalam Jaringan Virtual pelanggan.
- Pelanggan perusahaan harus merencanakan alamat IP di Azure untuk memastikan tidak ada ruang alamat IP yang tumpang tindih di lokasi lokal dan wilayah Azure yang dipertimbangkan.
- Gunakan alamat IP dari alokasi alamat untuk internet privat (Request for Comment (RFC) 1918).
- Untuk lingkungan dengan ketersediaan alamat IP privat terbatas (RFC 1918), pertimbangkan untuk menggunakan IPv6.
- Jangan membuat Virtual Network yang tidak perlu besar (misalnya:
/16) untuk memastikan tidak ada limbah ruang alamat IP yang tidak perlu. - Jangan membuat Virtual Network tanpa merencanakan ruang alamat yang diperlukan terlebih dahulu.
- Jangan gunakan alamat IP publik untuk Virtual Network, terutama jika alamat IP publik bukan milik pelanggan.
- Gunakan Titik Akhir Layanan VNet untuk mengamankan akses ke layanan Azure Platform as a Service (PaaS) dari dalam VNet pelanggan.
- Untuk mengatasi masalah penyelundupan data dengan Titik Akhir Layanan, gunakan pemfilteran Network Virtual Appliance (NVA) dan Kebijakan Titik Akhir Layanan VNet untuk Azure Storage.
- Jangan terapkan penerowongan paksa untuk mengaktifkan komunikasi dari sumber daya Azure ke Azure.
- Akses layanan Azure PaaS dari lokal melalui ExpressRoute Private Peering.
- Untuk mengakses layanan Azure PaaS dari jaringan lokal saat injeksi VNet atau Private Link tidak tersedia, gunakan ExpressRoute dengan Microsoft Peering saat tidak ada masalah penyelundupan data.
- Jangan mereplikasi konsep dan arsitektur jaringan perimeter lokal (juga dikenal sebagai DMZ, zona demiliterisasi, dan subnet yang disaring) ke Azure.
- Pastikan komunikasi antara layanan Azure PaaS yang telah disuntikkan ke dalam Virtual Network dikunci dalam Virtual Network menggunakan rute yang ditentukan pengguna (UDR) dan kelompok keamanan jaringan (NSG).
- Jangan gunakan Titik Akhir Layanan VNet saat ada masalah penyelundupan data, kecuali pemfilteran NVA digunakan.
- Jangan aktifkan Titik Akhir Layanan VNet secara default di semua subnet.
Rekomendasi konfigurasi
Pertimbangkan rekomendasi berikut untuk mengoptimalkan keandalan saat mengonfigurasi Virtual Network Azure:
| Rekomendasi | Deskripsi |
|---|---|
| Jangan membuat Virtual Network tanpa merencanakan ruang alamat yang diperlukan terlebih dahulu. | Menambahkan ruang alamat akan menyebabkan pemadaman setelah Virtual Network terhubung melalui peering Virtual Network. |
| Gunakan Titik Akhir Layanan VNet untuk mengamankan akses ke layanan Azure Platform as a Service (PaaS) dari dalam VNet pelanggan. | Hanya ketika Private Link tidak tersedia dan ketika tidak ada masalah penyelundupan data. |
| Akses layanan Azure PaaS dari lokal melalui ExpressRoute Private Peering. | Gunakan injeksi VNet untuk layanan Azure khusus atau Azure Private Link untuk layanan Azure bersama yang tersedia. |
| Untuk mengakses layanan Azure PaaS dari jaringan lokal saat injeksi VNet atau Private Link tidak tersedia, gunakan ExpressRoute dengan Microsoft Peering saat tidak ada masalah penyelundupan data. | Menghindari transit melalui internet publik. |
| Jangan mereplikasi konsep dan arsitektur jaringan perimeter lokal (juga dikenal sebagai DMZ, zona demiliterisasi, dan subnet yang disaring) ke Azure. | Pelanggan bisa mendapatkan kemampuan keamanan serupa di Azure sebagai lokal, tetapi implementasi dan arsitektur harus disesuaikan dengan cloud. |
| Pastikan komunikasi antara layanan Azure PaaS yang telah disuntikkan ke dalam Virtual Network dikunci dalam Virtual Network menggunakan rute yang ditentukan pengguna (UDR) dan kelompok keamanan jaringan (NSG). | Layanan Azure PaaS yang telah disuntikkan ke Virtual Network masih melakukan operasi bidang manajemen menggunakan alamat IP publik. |
Langkah selanjutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk