Ikhtisar Arsitektur Jaringan Lingkungan Azure App Service
Penting
Artikel ini tentang Lingkungan App Service v1. App Service Environment v1 akan dihentikan pada 31 Agustus 2024. Terdapat versi baru Lingkungan App Service yang lebih mudah digunakan dan berjalan di infrastruktur yang lebih kuat. Untuk mempelajari selengkapnya tentang versi baru, mulai dengan Pengantar Lingkungan App Service. Jika saat ini Anda menggunakan Lingkungan App Service v1, ikuti langkah-langkah dalam artikel ini untuk bermigrasi ke versi baru.
Mulai 29 Januari 2024, Anda tidak dapat lagi membuat sumber daya App Service Environment v1 baru menggunakan salah satu metode yang tersedia termasuk templat ARM/Bicep, Portal Microsoft Azure, Azure CLI, atau REST API. Anda harus bermigrasi ke App Service Environment v3 sebelum 31 Agustus 2024 untuk mencegah penghapusan sumber daya dan kehilangan data.
Lingkungan Azure App Service selalu dibuat dalam subnet jaringan virtual - aplikasi yang berjalan di Lingkungan Azure App Service dapat berkomunikasi dengan titik akhir privat yang terletak di dalam topologi jaringan virtual yang sama. Karena pelanggan dapat mengunci bagian dari infrastruktur jaringan virtual mereka, penting untuk memahami jenis aliran komunikasi jaringan yang terjadi dengan Lingkungan Azure App Service.
Aliran Jaringan Umum
Ketika App Service Environment (ASE) menggunakan alamat IP virtual publik (VIP) untuk aplikasi, semua lalu lintas masuk tiba di VIP publik tersebut. Ini termasuk lalu lintas HTTP dan HTTPS untuk aplikasi, serta lalu lintas lain untuk FTP, fungsi pencarian kesalahan jarak jauh, dan operasi pengelolaan Azure. Untuk daftar lengkap port tertentu (diwajibkan dan opsional) yang tersedia di VIP publik, lihat artikel tentang mengontrol lalu lintas masuk ke Lingkungan Azure App Service.
Lingkungan Azure App Service juga mendukung aplikasi yang berjalan yang hanya terikat ke alamat internal jaringan virtual, juga disebut sebagai alamat ILB (penyeimbang beban internal). Pada ASE yang didukung ILB, lalu lintas HTTP dan HTTPS untuk aplikasi panggilan pencarian kesalahan jarak jauh tiba di alamat ILB. Untuk konfigurasi ILB-ASE yang paling umum, lalu lintas FTP/FTPS juga akan tiba di alamat ILB. Namun operasi manajemen Azure masih akan mengalir ke port 454/455 pada VIP publik dari ASE yang diaktifkan ILB.
Diagram di bawah ini menunjukkan gambaran umum berbagai aliran jaringan masuk dan keluar untuk Lingkungan Azure App Service di mana aplikasi terikat ke alamat IP virtual publik:
Lingkungan App Service dapat berkomunikasi dengan titik akhir pelanggan privat. Misalnya, aplikasi yang berjalan di Lingkungan Azure App Service dapat terhubung ke server database yang berjalan di komputer virtual IaaS di topologi jaringan virtual yang sama.
Penting
Melihat diagram jaringan, "Sumber Daya Komputasi Lainnya" disebarkan di Subnet yang berbeda dari Lingkungan Azure App Service. Menyebarkan sumber daya di Subnet yang sama dengan ASE akan memblokir konektivitas dari ASE ke sumber daya tersebut (kecuali untuk perutean intra-ASE tertentu). Sebarkan ke Subnet lain sebagai gantinya (di VNET yang sama). Lingkungan Azure App Service kemudian akan dapat terhubung. Tidak diperlukan konfigurasi tambahan.
Lingkungan Azure App Service juga berkomunikasi dengan sumber daya Sql DB dan Microsoft Azure Storage yang diperlukan untuk mengelola dan mengoperasikan Lingkungan Azure App Service. Beberapa sumber daya Sql dan Penyimpanan yang dikomunikasikan oleh Lingkungan Azure App Service terletak di wilayah yang sama dengan Lingkungan Azure App Service, sementara yang lain terletak di wilayah Azure jarak jauh. Akibatnya, konektivitas keluar ke Internet selalu diperlukan agar Lingkungan Azure App Service berfungsi dengan baik.
Karena Lingkungan Azure App Service diterapkan dalam subnet, grup keamanan jaringan dapat digunakan untuk mengontrol lalu lintas masuk ke subnet tersebut. Untuk detail tentang cara mengontrol lalu lintas masuk ke Lingkungan Azure App Service, lihat artikel berikut ini.
Untuk detail tentang cara mengizinkan konektivitas Internet keluar dari Lingkungan Azure App Service, lihat artikel berikut tentang bekerja dengan Express Route. Pendekatan yang sama dijelaskan dalam artikel ini berlaku saat bekerja dengan konektivitas Situs-ke-Situs dan menggunakan penerowongan paksa.
Alamat Jaringan Keluar
Saat Lingkungan Azure App Service melakukan panggilan keluar, Alamat IP selalu dikaitkan dengan panggilan keluar tersebut. Alamat IP spesifik yang digunakan tergantung pada apakah titik akhir yang dipanggil terletak di dalam topologi jaringan virtual, atau di luar topologi jaringan virtual.
Jika titik akhir yang dipanggil berada di luar topologi jaringan virtual, alamat keluar (juga disebut sebagai alamat NAT keluar) yang digunakan adalah VIP publik dari Lingkungan App Service. Alamat ini dapat ditemukan di antarmuka pengguna portal untuk Lingkungan App Service di bilah Properti.
Alamat ini juga dapat ditentukan untuk ASE yang hanya memiliki VIP publik dengan membuat aplikasi di Lingkungan Azure App Service, lalu melakukan nslookup pada alamat aplikasi. Alamat IP yang dihasilkan adalah VIP publik, serta alamat NAT keluar Lingkungan Azure App Service.
Jika titik akhir yang dipanggil berada di dalam topologi jaringan virtual, alamat keluar dari aplikasi panggilan akan menjadi alamat IP internal dari sumber daya komputasi individu yang menjalankan aplikasi. Namun tidak ada pemetaan terus-menerus alamat IP internal jaringan virtual ke aplikasi. Aplikasi dapat berpindah-pindah di berbagai sumber daya komputasi, dan kumpulan sumber daya komputasi yang tersedia di Lingkungan Azure App Service dapat berubah karena operasi penskalaan.
Namun, karena Lingkungan App Service selalu berada dalam subnet, dapat dipastikan bahwa alamat IP internal sumber daya komputasi yang menjalankan aplikasi akan selalu berada dalam rentang CIDR subnet. Akibatnya, ketika ACL terperinci atau grup keamanan jaringan digunakan untuk mengamankan akses ke titik akhir lain dalam jaringan virtual, jajaran subnet yang berisi Lingkungan Azure App Service perlu diberikan akses.
Diagram berikut menunjukkan konsep ini secara terperinci:
Dalam diagram di atas:
- Karena VIP publik Lingkungan Azure App Service adalah 192.23.1.2, itu adalah alamat IP keluar yang digunakan saat melakukan panggilan ke titik akhir "Internet".
- Rentang CIDR yang terdapat dalam subnet untuk Lingkungan Azure App Service adalah 10.0.1.0/26. Titik akhir lain dalam infrastruktur jaringan virtual yang sama akan melihat panggilan dari aplikasi sebagai berasal dari suatu tempat dalam rentang alamat ini.
Panggilan Antar Lingkungan Azure App Service
Skenario yang lebih kompleks dapat terjadi jika Anda menerapkan beberapa Lingkungan Azure App Service di jaringan virtual yang sama, dan melakukan panggilan keluar dari satu Lingkungan Azure App Service ke Lingkungan Azure App Service lainnya. Jenis panggilan lintas Lingkungan Azure App Service ini juga akan diperlakukan sebagai panggilan "Internet".
Diagram berikut menunjukkan contoh arsitektur berlapis dengan aplikasi di satu Lingkungan App Service (misalnya aplikasi web "Front door") yang memanggil aplikasi di Lingkungan App Service kedua (misalnya aplikasi API back-end internal yang tidak dimaksudkan untuk dapat diakses dari Internet).
Dalam contoh di atas Lingkungan Azure App Service "ASE One" memiliki alamat IP keluar 192.23.1.2. Jika aplikasi yang berjalan di Lingkungan Azure App Service ini melakukan panggilan keluar ke aplikasi yang berjalan di Lingkungan Azure App Service kedua ("ASE Two") yang terletak di jaringan virtual yang sama, panggilan keluar akan diperlakukan sebagai panggilan "Internet". Akibatnya lalu lintas jaringan yang tiba di Lingkungan App Service kedua seakan-akan terlihat berasal dari 192.23.1.2 (yang bukan rentang alamat subnet Lingkungan App Service pertama).
Meskipun panggilan antara Lingkungan Azure App Service yang berbeda diperlakukan sebagai panggilan "Internet", jika kedua Lingkungan Azure App Service terletak di wilayah Azure yang sama, lalu lintas jaringan akan tetap berada di jaringan Azure regional dan tidak akan mengalir secara fisik melalui Internet publik. Akibatnya Anda dapat menggunakan grup keamanan jaringan di subnet Lingkungan Azure App Service kedua untuk hanya mengizinkan panggilan masuk dari Lingkungan Azure App Service pertama (yang alamat IP keluarnya adalah 192.23.1.2), sehingga memastikan komunikasi yang aman antar Lingkungan Azure App Service.
Tautan dan Informasi Tambahan
Detail tentang port masuk yang digunakan oleh Lingkungan Azure App Service dan menggunakan grup keamanan jaringan untuk mengontrol lalu lintas masuk tersedia di sini.
Detail tentang cara menggunakan rute yang ditentukan pengguna untuk memberikan akses Internet keluar ke Lingkungan App Service tersedia di artikel ini.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk