Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Virtual Network adalah blok penyusun dasar untuk membuat jaringan privat di Azure. Anda dapat menggunakannya untuk mengaktifkan komunikasi antara sumber daya Azure dan menyediakan konektivitas internet. Virtual Network juga terintegrasi dengan sistem lokal. Ini termasuk kemampuan pemfilteran bawaan untuk memastikan bahwa hanya lalu lintas yang diharapkan, diizinkan, dan aman yang mencapai komponen dalam batas jaringan.
Artikel ini mengasumsikan bahwa sebagai arsitek, Anda terbiasa dengan konstruksi jaringan di Azure. Panduan ini difokuskan pada rekomendasi arsitektur yang dipetakan ke prinsip pilar kerangka kerja Well-Architected.
Penting
Cara menggunakan panduan ini
Setiap bagian memiliki daftar pengecekan desain yang menyajikan aspek arsitektur yang perlu diperhatikan serta strategi desain yang disesuaikan dengan cakupan teknologi.
Juga termasuk rekomendasi untuk kemampuan teknologi yang dapat membantu mewujudkan strategi tersebut. Rekomendasi tidak mewakili daftar lengkap semua konfigurasi yang tersedia untuk Virtual Network dan dependensinya. Sebaliknya, mereka mencantumkan rekomendasi utama yang dipetakan ke perspektif desain. Gunakan rekomendasi untuk membangun bukti konsep Anda atau untuk mengoptimalkan lingkungan Anda yang ada.
Arsitektur dasar yang menunjukkan rekomendasi utama: topologi jaringan Hub-spoke di Azure.
cakupan teknologi
Tinjauan ini berfokus pada keputusan yang saling terkait untuk sumber daya Azure berikut:
- Virtual Network dan subnetnya
- Kartu antarmuka jaringan (NIC)
- Titik akhir pribadi
- Kelompok keamanan jaringan (NSG)
- Alamat IP dan alokasi alamat IP
- Tabel rute
- Manajer jaringan
Ada layanan lain yang terkait dengan Virtual Network, seperti load balancer. Layanan tersebut tercakup dalam panduan masing-masing.
Keandalan
Tujuan pilar Keandalan adalah untuk memberikan fungsionalitas berkelanjutan dengan membangun ketahanan yang cukup dan kemampuan untuk memulihkan dengan cepat dari kegagalan.
prinsip desain Keandalan menyediakan strategi desain tingkat tinggi yang diterapkan untuk komponen individu, alur sistem, dan sistem secara keseluruhan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keandalan. Tentukan relevansinya dengan persyaratan bisnis Anda sambil mengingat fitur Virtual Network dan dependensinya. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Tetapkan target keandalan Anda. Virtual Network dan sebagian besar sublayanannya tidak memiliki jaminan perjanjian tingkat layanan (SLA) yang didukung Microsoft. Namun, layanan tertentu seperti load balancer, NIC, dan alamat IP publik memang memiliki SLA. Anda harus memiliki pemahaman yang baik tentang cakupan berdasarkan persentil yang dipublikasikan oleh Azure. Perlu diingat bahwa organisasi layanan IT pusat Anda biasanya memiliki jaringan virtual dan layanan pusat. Pastikan penghitungan tujuan Anda menyertakan dependensi ini.
Mengurangi titik kegagalan. Lakukan analisis mode kegagalan dan identifikasi titik kegagalan tunggal dalam koneksi jaringan.
Contoh berikut menunjukkan titik kegagalan tunggal dalam koneksi jaringan:
Kegagalan Mitigasi Kegagalan alamat IP publik di dalam satu zona ketersediaan. Sebarkan sumber daya alamat IP di seluruh zona atau gunakan alamat IP sekunder dengan load balancer. Kegagalan perangkat virtual jaringan (NVA) dalam satu zona. Sebarkan NVA sekunder di zona lain dan gunakan load balancer untuk mengarahkan lalu lintas ke NVA. Latensi dalam beban kerja yang tersebar di seluruh wilayah atau zona, yang menurunkan throughput dan menyebabkan waktu habis. Menempatkan sumber daya bersama di satu wilayah atau zona. Mendesain ulang arsitektur supaya memanfaatkan pola keandalan, seperti unit penyebaran dengan penyeimbang beban, sehingga setiap unit dapat menangani beban dan bekerja sama dengan sumber daya di sekitarnya. Kegagalan beban kerja satu wilayah dengan situs failover dingin. Pra-konfigurasi pengaturan jaringan di wilayah failover. Pendekatan ini memastikan bahwa tidak ada alamat IP yang tumpang tindih. Kegagalan aplikasi dalam satu wilayah pada jaringan virtual yang berkomunikasi dengan database melalui Azure Private Link dengan menggunakan situs failover yang pasif. Replikasi koneksi di wilayah sekunder dan jaringan virtual rekan untuk komunikasi. Alokasi berlebihan ruang alamat IP. Untuk membantu memastikan penskalaan yang andal, strategi umum adalah memberikan kapasitas berlebih untuk mencegah kehabisan alamat IP. Namun, pendekatan ini memiliki trade-off antara keandalan dan efisiensi operasional. Subnet hanya boleh menggunakan sebagian ruang alamat jaringan virtual. Tujuannya adalah agar hanya memiliki ruang alamat ekstra yang cukup di jaringan virtual dan subnet Anda untuk menyeimbangkan keandalan dengan efisiensi operasional.
Waspadai batas jaringan. Azure memberlakukan batasan jumlah sumber daya yang dapat Anda sebarkan. Meskipun sebagian besar batas jaringan Azure diatur ke nilai maksimumnya, Anda dapat meningkatkan beberapa batas. Untuk informasi lebih lanjut, lihat Azure Resource Manager batas jaringan.
Buat diagram jaringan yang berfokus pada alur pengguna. Diagram ini dapat membantu Anda memvisualisasikan segmentasi jaringan, mengidentifikasi titik kegagalan potensial, dan menentukan transisi kunci seperti masuk internet dan titik keluar. Ini juga alat penting untuk audit dan respons insiden.
Sorot arus lalu lintas berprioritas tinggi antara pengguna dan sumber daya beban kerja. Misalnya, jika Anda memprioritaskan Azure ExpressRoute untuk alur jaringan perusahaan atau mengamankan permintaan pengguna dalam desain jaringan perimeter, Anda dapat memperoleh wawasan tentang perencanaan kapasitas untuk firewall dan layanan lainnya.
Tambahkan redundansi. Pertimbangkan untuk menyebarkan gateway NAT dan jaringan virtual di beberapa wilayah jika diperlukan. Pastikan bahwa alamat IP publik dan layanan yang menyadari zona ketersediaan memiliki redundansi zona yang diaktifkan, dan memastikan sumber daya bersama seperti firewall memiliki redundansi wilayah.
Untuk informasi selengkapnya, lihat kelangsungan bisnis Virtual Network .
Hindari kompleksitas. Perhatikan jaringan virtual, subnet, alamat IP, rute, kelompok keamanan aplikasi (ASG), dan tag. Konfigurasi sederhana mengurangi kemungkinan kesalahan konfigurasi dan kesalahan. Kesalahan konfigurasi dan kesalahan berkontribusi pada masalah keandalan dan menambah biaya operasional dan pemeliharaan. Beberapa contoh penyederhanaan meliputi:
- Gunakan DNS privat jika memungkinkan dan minimalkan jumlah zona DNS.
- Menyederhanakan konfigurasi perutean. Pertimbangkan untuk merutekan semua lalu lintas melalui firewall, jika digunakan dalam arsitektur.
Menguji ketahanan jaringan. Gunakan Azure Chaos Studio untuk mensimulasikan gangguan konektivitas jaringan. Pendekatan ini memastikan bahwa beban kerja Anda tetap berlebihan dan membantu Anda menilai efek potensi kegagalan.
Memantau lalu lintas jaringan untuk efek keandalan. Pemantauan arus lalu lintas adalah operasi penting untuk keandalan. Misalnya, Anda ingin mengidentifikasi komunikator volume tinggi di jaringan Anda untuk menentukan apakah mereka dapat menyebabkan gangguan. Azure menyediakan kemampuan pengelogan alur. Untuk informasi selengkapnya, lihat Keunggulan Operasional .
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
| Ukuran jaringan virtual dan subnet sesuai dengan strategi penskalakan Anda. Pilih jaringan virtual yang lebih sedikit dan lebih besar untuk mengakomodasi redundansi sebagai strategi mitigasi untuk kegagalan. Pastikan bahwa tidak ada ruang alamat yang tumpang tindih dengan jaringan virtual lain yang perlu Anda komunikasikan, dan rencanakan ruang alamat terlebih dahulu. Untuk informasi selengkapnya, lihat Membuat, mengubah, atau menghapus jaringan virtual. |
Dengan penyediaan berlebih, Anda dapat memastikan bahwa jaringan menskalakan secara efisien tanpa mengalami batasan ruang alamat. Rencanakan ruang alamat terlebih dahulu untuk membantu mencegah konflik dan memastikan arsitektur jaringan yang lancar dan dapat diskalakan. |
| Gunakan SKU IP Standar untuk dukungan keandalan yang lebih baik melalui zona ketersediaan. Secara default, alamat IP publik disebarkan di beberapa zona kecuali dibatasi untuk satu zona. | SKU ini membantu memastikan bahwa komunikasi dalam alamat IP publik tetap beroperasi selama kegagalan zonal. |
Keamanan
Tujuan pilar Keamanan adalah untuk memberikan jaminan kerahasiaan, integritas, dan ketersediaan terhadap beban kerja.
Prinsip desain Security menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dengan menerapkan pendekatan pada desain teknis jaringan virtual.
Daftar periksa desain
Mulai strategi perancangan Anda berdasarkan daftar periksa tinjauan rancangan untuk Keamanan dan identifikasi kerentanan serta kontrol untuk meningkatkan sikap keamanan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Buat garis besar keamanan. Tinjau garis besar keamanan untuk Virtual Network dan masukkan langkah-langkah yang berlaku di garis besar Anda.
Selalu perbarui perimeter jaringan Anda. Pengaturan keamanan, seperti NSG, ASG, dan rentang alamat IP harus diperbarui secara berkala. Aturan yang kedaluarsa mungkin tidak selaras dengan arsitektur jaringan atau pola lalu lintas saat ini. Kesenjangan keamanan ini dapat membuat jaringan Anda terpapar potensi serangan dengan menurunkan batasan lalu lintas masuk dan keluar.
Gunakan segmentasi untuk meningkatkan keamanan. Gunakan NSG sebagai firewall L4 di tingkat subnet. Rutekan semua lalu lintas eksternal melalui appliance virtual jaringan, seperti firewall, dengan menggunakan rute yang ditentukan pengguna untuk pemantauan dan manajemen. Gunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk memfilter akses internet.
Platform aman sebagai konektivitas layanan dengan titik akhir privat saat memblokir koneksi keluar.
Menerapkan prinsip hak istimewa paling sedikit. Konfigurasikan kontrol akses berbasis peran (RBAC) dengan pendekatan tanpa akses untuk peran terkait jaringan. Pastikan bahwa pengguna hanya dapat mengubah pengaturan sesuai kebutuhan oleh fungsi pekerjaan mereka.
Batasi alamat IP publik. Gunakan alamat IP publik bersama dari layanan seperti Azure Front Door untuk keamanan yang lebih baik dan pemeriksaan permintaan awal. Mengelola alamat IP publik khusus mengharuskan Anda mengawasi keamanannya, termasuk manajemen port dan meminta validasi. Jika memungkinkan, gunakan konektivitas privat.
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
| Gunakan enkripsi Virtual Network. | Dengan memberlakukan lalu lintas terenkripsi, Anda dapat melindungi data saat transit antara Azure Virtual Machines dan Azure Virtual Machine Scale Sets dalam jaringan virtual yang sama. Ini juga mengenkripsi lalu lintas antara jaringan virtual yang di-peering secara regional dan global. |
|
Aktifkan Pemverifikasi Jaringan Virtual di Azure Virtual Network Manager. Gunakan fitur ini di lingkungan praproduksi Anda untuk menguji konektivitas antar sumber daya. Fitur ini tidak direkomendasikan dalam produksi. |
Pastikan bahwa sumber daya Azure dalam jaringan dapat dijangkau dan tidak diblokir oleh kebijakan. |
| Aktifkan Azure DDoS Protection untuk jaringan virtual. Atau, Anda dapat melindungi alamat IP publik individual melalui Azure DDoS IP Protection. Tinjau fitur keamanan yang disediakan di DDoS IP Protection dan DDoS Network Protection dan pilih salah satu yang sesuai dengan kebutuhan Anda. Misalnya, tingkat Perlindungan Jaringan DDoS memberikan dukungan dari Tim Respons Cepat saat serangan terjadi. Tingkat DDoS IP Protection tidak menyediakan dukungan ini. |
Anda dapat melindungi dari serangan penolakan layanan terdistribusi. |
| Lindungi segmen dalam jaringan virtual dengan menggunakan NSG. Jika memungkinkan, gunakan ASG untuk menentukan aturan. |
Lalu lintas yang masuk dan meninggalkan jaringan dapat difilter berdasarkan alamat IP dan rentang port. ASG menyederhanakan manajemen dengan mengabstraksi rentang alamat IP yang mendasar. |
| Gunakan titik akhir privat untuk mengakses layanan Azure melalui alamat IP privat dalam jaringan virtual. Cara lain untuk menerapkan jaringan privat adalah melalui titik akhir layanan . Titik akhir ini merutekan lalu lintas ke layanan melalui backbone jaringan Azure. Jika tersedia untuk layanan, pilih titik akhir privat daripada titik akhir layanan. |
Titik akhir privat menghapus kebutuhan akan alamat IP publik, yang mengurangi permukaan serangan. |
Pengoptimalan Biaya
Pengoptimalan Biaya berfokus pada mendeteksi pola pengeluaran, memprioritaskan investasi di area penting, dan mengoptimalkan area lainnya untuk memenuhi anggaran organisasi sambil memenuhi persyaratan bisnis.
Prinsip desain pengoptimalan biaya menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dan membuat tradeoff seperlunya dalam desain teknis yang terkait dengan lingkungan jaringan Anda.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa peninjauan desain untuk optimasi biaya untuk investasi. Sesuaikan desain sehingga beban kerja selaras dengan anggaran yang dialokasikan untuk beban kerja. Desain Anda harus menggunakan kemampuan Azure yang tepat, memantau investasi, dan menemukan peluang untuk dioptimalkan dari waktu ke waktu.
Optimalkan transfer data volume tinggi antar titik akhir. Gunakan peering jaringan virtual untuk memindahkan data secara efisien antar jaringan virtual. Meskipun peering memiliki biaya masuk dan keluar, pendekatan ini dapat hemat biaya karena mengurangi konsumsi bandwidth dan masalah performa jaringan. Hindari perutean melalui hub untuk meminimalkan inefisiensi dan biaya.
Untuk mengoptimalkan transfer data antar wilayah, penting untuk mempertimbangkan frekuensi dan metode transfer. Misalnya, ketika Anda berurusan dengan cadangan, lokasi tempat Anda menyimpan cadangan dapat secara signifikan memengaruhi biaya. Menyimpan data cadangan di wilayah yang berbeda menimbulkan bandwidth. Untuk mengurangi biaya ini, pastikan bahwa data dikompresi sebelum Anda mentransfernya di seluruh wilayah. Anda dapat lebih mengoptimalkan biaya dan efisiensi dengan menyesuaikan frekuensi transfer data.
Sertakan komponen jaringan dalam model biaya Anda. Perhitungkan biaya tersembunyi saat Anda membuat atau menyesuaikan anggaran Anda. Misalnya, dalam arsitektur multiregion, biaya tambahan untuk mentransfer data antar wilayah.
Laporan biaya Azure mungkin tidak menyertakan pengeluaran yang terkait dengan NVA non-Microsoft, yang memiliki biaya lisensi terpisah. Mereka mungkin juga memiliki model penagihan yang berbeda untuk opsi harga tetap dan berbasis konsumsi. Pastikan untuk menyertakan faktor-faktor ini dalam pertimbangan anggaran Anda.
Beberapa sumber daya jaringan bisa mahal, seperti Azure Firewall dan ExpressRoute. Anda dapat menyediakan sumber daya ini dalam model hub terpusat, dan mengalokasikan biaya kepada tim untuk biaya yang dikeluarkan. Sertakan biaya tersebut dalam model biaya Anda.
Jangan membayar kemampuan yang tidak digunakan. Tinjau biaya komponen secara teratur dan hapus fitur warisan atau konfigurasi default. Batasi jumlah alamat IP publik untuk menghemat biaya. Pendekatan ini juga meningkatkan keamanan dengan mengurangi permukaan serangan.
Optimalkan titik akhir privat. Tentukan apakah Anda dapat menggunakan kembali tautan privat ke sumber daya dari jaringan virtual lainnya. Saat Anda menggunakan titik akhir privat dalam peering jaringan virtual regional, Anda tidak akan dikenakan biaya peering untuk lalu lintas ke dan dari titik akhir privat. Anda hanya membayar akses tautan privat itu sendiri, bukan untuk lalu lintas antara jaringan virtual. Untuk informasi lebih lanjut, lihat Private Link di jaringan hub-and-spoke.
Menyelaraskan fungsi inspeksi lalu lintas jaringan dengan persyaratan prioritas dan keamanan alur. Untuk persyaratan bandwidth besar, pertimbangkan untuk merutekan lalu lintas ke jalur dengan biaya lebih rendah. ExpressRoute cocok untuk lalu lintas besar, tetapi bisa mahal. Pertimbangkan alternatif seperti titik akhir publik untuk penghematan biaya. Namun, ada kompromi terhadap keamanan. Gunakan peering jaringan untuk komunikasi jaringan-ke-jaringan, menghindari firewall, dan menghindari pemeriksaan yang tidak diperlukan.
Hanya izinkan lalu lintas yang diperlukan antara komponen dan blokir lalu lintas tak terduga. Jika lalu lintas diharapkan dan alur selaras dengan persyaratan keamanan Anda, Anda dapat menghilangkan titik pemeriksaan tersebut. Misalnya, evaluasi apakah Anda perlu merutekan lalu lintas melalui firewall jika sumber daya jarak jauh berada dalam batas kepercayaan.
Evaluasi jumlah subnet dan NSG terkaitnya, bahkan dalam jaringan virtual. Semakin banyak NSG yang Anda miliki, semakin tinggi biaya operasional untuk mengelola seperangkat aturan. Jika memungkinkan, gunakan ASG untuk menyederhanakan manajemen dan mengurangi biaya.
Optimalkan biaya kode. Saat Anda mengembangkan aplikasi, pilih protokol yang lebih efisien dan terapkan kompresi data untuk mengoptimalkan performa. Misalnya, Anda dapat meningkatkan efisiensi di aplikasi web dengan mengonfigurasi komponen untuk mengompresi data. Pengoptimalan ini juga memengaruhi performa.
Manfaatkan sumber daya di jaringan virtual terpusat. Gunakan sumber daya terpusat untuk mengurangi duplikasi dan overhead. Selain itu, membongkar tanggung jawab kepada tim yang ada lebih lanjut dapat membantu mengoptimalkan biaya dan memungkinkan delegasi keahlian untuk fungsi tertentu.
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
|
Gunakan peering jaringan virtual agar aliran jaringan lebih efisien dengan mengabaikan kontrol. Hindari peering yang berlebihan. |
Mentransfer data langsung antara jaringan virtual yang di-peering tanpa melewati firewall, sehingga mengurangi konsumsi bandwidth dan masalah performa jaringan. Hindari menempatkan semua sumber daya Anda dalam satu jaringan virtual. Anda mungkin dikenakan biaya peering, tetapi tidak praktis untuk menempatkan semua sumber daya dalam satu jaringan virtual hanya untuk menghemat biaya. Hal ini dapat menghambat pertumbuhan. Jaringan virtual akhirnya dapat mencapai titik di mana sumber daya baru tidak cocok lagi. |
|
Minimalkan sumber daya alamat IP publik jika Anda tidak membutuhkannya. Sebelum penghapusan, pastikan bahwa alamat IP tidak ditautkan dengan konfigurasi alamat IP atau antarmuka jaringan komputer virtual apa pun. |
IP publik yang tidak perlu dapat meningkatkan biaya karena biaya sumber daya dan overhead operasional. |
Keunggulan Operasi
Keunggulan Operasional terutama berfokus pada prosedur untuk praktik pengembangan, observabilitas, dan manajemen rilis.
Prinsip desain Operational Excellence menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut menuju persyaratan operasional beban kerja.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keunggulan Operasional guna menentukan proses observabilitas, pengujian, dan penyebaran yang terkait dengan lingkungan jaringan Anda.
Pelajari konstruksi jaringan Azure baru. Saat Anda onboarding ke Azure, tim jaringan sering berasumsi bahwa pengetahuan yang ada sudah cukup. Namun, Azure memiliki banyak aspek yang berbeda. Pastikan bahwa tim memahami konsep jaringan Azure dasar, kompleksitas DNS, perutean, dan kemampuan keamanan. Bangun taksonomi layanan jaringan sehingga tim dapat berbagi pengetahuan dan memiliki pemahaman umum.
Formalisasi desain jaringan Anda dan upayakan kesederhanaan. Dokumentasikan desain dan perubahan apa pun, termasuk detail konfigurasi seperti tabel rute, NSG, dan aturan firewall. Sertakan kebijakan tata kelola yang ada, seperti memblokir port. Dokumentasi yang jelas membuat kolaborasi dengan tim dan pemangku kepentingan lain efektif.
Jaringan yang disederhanakan lebih mudah dipantau, dipelajari, dan dikelola. Misalnya, jika Anda memiliki topologi hub-and-spoke, minimalkan peering langsung antara spoke untuk mengurangi beban operasional dan memperkuat keamanan. Selalu dokumentasikan desain, dan berikan pembenaran untuk setiap keputusan desain.
Kurangi kompleksitas dengan menggunakan alias alih-alih rentang alamat IP langsung. Metode ini menurunkan beban operasional.
Gunakan pola desain yang mengoptimalkan lalu lintas jaringan. Untuk mengoptimalkan penggunaan dan konfigurasi jaringan, terapkan pola desain yang diketahui yang meminimalkan atau mengoptimalkan lalu lintas jaringan. Validasi konfigurasi jaringan selama build dengan menggunakan pemindai keamanan untuk memastikan bahwa semuanya disiapkan dengan benar.
Lakukan penyebaran jaringan yang konsisten. Gunakan infrastruktur sebagai kode (IaC) untuk semua komponen, termasuk peering jaringan dan titik akhir privat. Pahami bahwa komponen jaringan inti cenderung lebih jarang berubah daripada komponen lain. Terapkan pendekatan penyebaran berlapis untuk tumpukan Anda sehingga Anda dapat menyebarkan setiap lapisan secara independen. Hindari menggabungkan IaC dengan pembuatan skrip untuk mencegah kompleksitas.
Memantau lapisan jaringan. Pantau pola lalu lintas terus menerus untuk mengidentifikasi anomali dan masalah, seperti penurunan koneksi, sebelum menyebabkan kegagalan berkala. Jika memungkinkan, atur pemberitahuan untuk mendapatkan pemberitahuan tentang gangguan ini.
Mirip dengan komponen lain dalam arsitektur ini, ambil semua metrik dan log yang relevan dari berbagai komponen jaringan, seperti jaringan virtual, subnet, NSG, firewall, dan load balancer. Agregat, visualisasikan, dan analisis di dasbor Anda. Buat pemberitahuan untuk peristiwa penting.
Sertakan jaringan dalam strategi mitigasi kegagalan Anda. Jaringan virtual dan subnet awalnya disebarkan dan biasanya tetap tidak berubah, yang membuat pengembalian menjadi sulit. Namun, Anda dapat mengoptimalkan pemulihan Anda dengan mengikuti beberapa strategi:
Infrastruktur jaringan duplikat terlebih dahulu, terutama untuk penyiapan hibrid. Pastikan bahwa rute terpisah di berbagai wilayah siap untuk berkomunikasi satu sama lain sebelumnya. Replikasi dan pertahankan aturan NSG dan Azure Firewall yang konsisten di situs primer dan pemulihan bencana (DR). Proses ini dapat memakan waktu dan memerlukan persetujuan, tetapi melakukannya terlebih dahulu membantu mencegah masalah dan kegagalan. Pastikan Anda menguji tumpukan jaringan di situs DR.
Hindari rentang alamat IP yang tumpang tindih antara jaringan produksi dan DR Anda. Dengan mempertahankan rentang alamat IP yang berbeda, Anda dapat menyederhanakan manajemen jaringan dan mempercepat transisi selama peristiwa failover.
Pertimbangkan pertukaran antara biaya dan keandalan. Untuk informasi selengkapnya, lihat Kompromi.
Mendelegasikan operasi jaringan ke tim pusat. Pusatkan manajemen dan tata kelola infrastruktur jaringan, jika memungkinkan. Misalnya, dalam topologi hub-spoke, layanan seperti Azure Firewall dan ExpressRoute, DNS yang dimaksudkan untuk penggunaan bersama ditempatkan di jaringan hub. Lapisan jaringan itu harus dikelola secara terpusat, yang membebaskan tim beban kerja dari beban.
Alihkan pengelolaan jaringan virtual kepada tim pusat, bahkan dalam jaringan spoke. Minimalkan operasi jaringan hanya pada hal-hal yang relevan dengan beban kerja, seperti manajemen NSG.
Terus beri tahu tim pusat tentang setiap perubahan yang diperlukan dalam beban kerja yang mungkin memengaruhi konfigurasi sumber daya bersama. Alias menyederhanakan proses dengan menyamarkan alamat IP yang mendasar, sehingga operasi menjadi lebih sederhana.
Menentukan ukuran yang tepat untuk jaringan virtual dan subnet Anda. Pilih jaringan virtual yang lebih sedikit dan lebih besar untuk mengurangi overhead manajemen dan menghindari pembuatan subnet yang terlalu besar. Manajemen subnet dan NSG mereka dapat menambah beban operasional. Untuk lingkungan yang memiliki ketersediaan alamat IP privat terbatas (RFC 1918), pertimbangkan untuk menggunakan IPv6.
| Rekomendasi | Manfaat |
|---|---|
| Sebarkan Virtual Network Manager. | Alih-alih mengonfigurasi setiap jaringan virtual satu per satu, Virtual Network Manager mengelola konektivitas secara terpusat berdasarkan aturan. Pendekatan ini menyederhanakan operasi jaringan. |
| Gunakan alat pemantauan jaringan. Gunakan log alur jaringan virtual secara teratur dan analitik lalu lintas untuk mengidentifikasi perubahan permintaan dan pola. Gunakan fitur pemantau koneksi untuk menganalisis dan mengidentifikasi masalah seperti koneksi terputus sebelum memengaruhi aplikasi. |
Anda dapat memahami bagaimana data mengalir melalui jaringan Anda, mengidentifikasi hambatan, dan mengidentifikasi upaya akses yang tidak biasa atau tidak sah. |
| Saat Anda menentukan rute, gunakan tag layanan alih-alih alamat IP tertentu. Demikian pula, gunakan ASG saat Anda menentukan aturan lalu lintas untuk NSG. |
Pendekatan ini memastikan keandalan karena alamat IP dapat berubah tetapi konfigurasi tidak perlu. Selain itu, ini membantu mengatasi batasan jumlah rute atau aturan yang dapat Anda tetapkan dengan menggunakan nama yang lebih umum. |
Efisiensi Performa
Efisiensi Performa adalah tentang mempertahankan pengalaman pengguna bahkan ketika ada peningkatan beban dengan mengelola kapasitas. Strategi ini mencakup penskalaan sumber daya, mengidentifikasi dan mengoptimalkan potensi hambatan, dan mengoptimalkan performa puncak.
Prinsip desain Efisiensi Performa menyediakan strategi desain tingkat tinggi untuk mencapai tujuan kapasitas tersebut terhadap penggunaan yang diharapkan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Efisiensi Kinerja untuk menentukan patokan berdasarkan indikator kinerja utama.
Tentukan target performa. Untuk menentukan target performa, andalkan metrik pemantauan, khusus untuk latensi dan bandwidth. Gunakan data pemantau koneksi, seperti latensi dan jumlah hop, untuk mengatur target dan ambang batas untuk performa yang dapat diterima. Application Insights menyediakan tampilan terperinci tentang waktu yang dihabiskan permintaan beban kerja dalam jaringan, yang membantu menyempurnakan target ini.
Mengatur Ulang Ukuransubnet Anda. Saat Anda mengalokasikan subnet, penting untuk menyeimbangkan ukuran dan skalabilitas. Anda ingin subnet cukup besar untuk mengakomodasi proyeksi pertumbuhan tanpa beban operasional.
Untuk mengelola kapasitas secara efektif, strategi umum adalah kelebihan kapasitas provisi karena ketidakpastian, tetapi tujuannya harus dioptimalkan dari waktu ke waktu. Terus menganalisis data sehingga jaringan Anda dapat menangani beban tetapi Anda tidak membayar ekstra untuk sumber daya yang tidak digunakan.
Melakukan pengujian kinerja. Gunakan kombinasi data sintetis dan produksi untuk menguji latensi dan bandwidth. Pendekatan ini membantu menilai bagaimana faktor-faktor ini dapat memengaruhi performa beban kerja. Misalnya, ini dapat mendeteksi sumber daya yang menyebabkan masalah tetangga yang bising dan mengonsumsi lebih banyak bandwidth dari yang diharapkan. Selain itu, sistem ini mengidentifikasi lalu lintas yang membuat beberapa hop dan menyebabkan latensi tinggi.
Sebaiknya Anda menguji dalam produksi atau menangkap dan memutar ulang data produksi sebagai data pengujian. Pendekatan ini memastikan bahwa pengujian mencerminkan penggunaan aktual, yang membantu Anda menetapkan target performa yang realistis.
Memantau lalu lintas di seluruh wilayah. Penting untuk dipertimbangkan bahwa sumber daya beban kerja mungkin terletak di berbagai wilayah. Komunikasi di seluruh wilayah dapat menambahkan latensi yang signifikan. Lalu lintas di seluruh zona ketersediaan di wilayah yang sama memiliki latensi rendah, tetapi mungkin tidak cukup cepat untuk beberapa beban kerja khusus.
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
|
Aktifkan monitor koneksi Azure Network Watcher. Gunakan pemantau koneksi selama pengujian, yang dapat menghasilkan lalu lintas sintetis. |
Anda dapat mengumpulkan metrik yang menunjukkan kehilangan dan latensi di seluruh jaringan. Selain itu, Anda dapat melacak seluruh jalur lalu lintas, yang penting untuk mendeteksi penyempitan jaringan. |
| Jaga ruang alamat jaringan virtual cukup besar untuk mendukung penskalakan. | Anda dapat mengakomodasi proyeksi pertumbuhan tanpa beban operasional. |
Kompromi
Anda mungkin harus membuat kompromi desain jika Anda menggunakan pendekatan pada daftar periksa pilar. Contoh berikut menyoroti keuntungan dan kelemahannya.
Tumpukan jaringan redundan
Ketika Anda memilih untuk menerapkan stack jaringan redundan, termasuk NSG, rute, dan konfigurasi lainnya, akan ada biaya tambahan untuk infrastruktur dan pengujian menyeluruh.
Investasi di muka ini meningkatkan keandalan. Anda dapat yakin bahwa semuanya berfungsi seperti yang diharapkan dan mempercepat pemulihan selama gangguan.
peering jaringan virtual
Peering jaringan virtual langsung meningkatkan performa dengan mengurangi latensi karena menghindari kebutuhan untuk merutekan lalu lintas melalui hub tempat firewall mendekripsi, memeriksa, dan mengenkripsi ulang payload.
Perolehan performa tersebut dikenakan biaya penurunan keamanan. Tanpa inspeksi firewall yang disediakan oleh routing hub, beban kerja lebih rentan terhadap ancaman potensial.
subnet besar
Subnet besar menyediakan ruang alamat IP yang luas, memungkinkan beban kerja berkembang dengan mulus. Ruang alamat yang besar dapat melindungi dari lonjakan permintaan yang tidak terduga. Namun, ini mungkin menyebabkan penggunaan alamat IP yang tidak efisien. Seiring waktu, inefisiensi ini berpotensi menyebabkan kelelahan alamat IP saat beban kerja berevolusi. Selain itu, strategi ini dilengkapi dengan biaya operasional yang lebih tinggi. Dari perspektif Keunggulan Operasional, sangat ideal untuk menjaga subnet Anda sekecil mungkin.
Kebijakan Azure
Azure menyediakan serangkaian kebijakan bawaan yang luas yang terkait dengan Virtual Network dan dependensinya. Tentukan dan tetapkan kebijakan untuk membantu memastikan bahwa sumber daya mematuhi standar organisasi. Buat Dasbor Kepatuhan Azure Policy untuk mengidentifikasi sumber daya yang tidak patuh dan mengambil tindakan korektif.
Sekumpulan kebijakan Azure dapat mengaudit beberapa rekomendasi sebelumnya. Misalnya, Anda dapat mengatur kebijakan yang secara otomatis:
- Lindungi jaringan virtual dari serangan volumetrik dan protokol.
- Tolak pembuatan antarmuka jaringan yang memiliki alamat IP publik.
- Menyebarkan Network Watcher untuk jaringan virtual.
- Aktifkan analitik lalu lintas dan log alur untuk memantau pola lalu lintas.
Untuk tata kelola komprehensif, tinjau definisi bawaan Azure Policy dan kebijakan lain yang mungkin memengaruhi keamanan lapisan jaringan.
Rekomendasi Azure Advisor
Azure Advisor adalah konsultan cloud yang dipersonalisasi yang membantu Anda mengikuti praktik terbaik untuk mengoptimalkan penyebaran Azure Anda. Berikut adalah beberapa rekomendasi yang dapat membantu Anda meningkatkan keandalan, keamanan, efektivitas biaya, performa, dan keunggulan operasional jaringan virtual Anda.
- Keandalan
- Keamanan
- Pengoptimalan Biaya
- Performa
- Keunggulan Operasional
Langkah berikutnya
Artikel berikut menunjukkan rekomendasi yang dibahas dalam artikel ini.
Untuk topologi hub-spoke, gunakan arsitektur referensi topologi jaringan hub-spoke untuk menyiapkan stempel awal Anda.
Gunakan dokumentasi produk berikut untuk meningkatkan keahlian implementasi Anda:
- Jaringan Virtual
- dokumentasi Layanan IP Jaringan Virtual