Arsitektur referensi ini menunjukkan jaringan hibrid aman yang memperluas jaringan lokal ke Azure. Arsitektur mengimplementasikan jaringan perimeter, juga disebut DMZ, antara jaringan lokal dan jaringan virtual Azure. Semua lalu lintas masuk dan keluar akan melewati Azure Firewall.
Arsitektur
Unduh file Visio arsitektur ini.
Alur kerja
Arsitektur terdiri dari aspek-aspek berikut:
Jaringan lokal. Jaringan area lokal privat yang diterapkan dalam organisasi.
Azure virtual network. Jaringan virtual menghosting aplikasi dan sumber daya lain yang berjalan di Azure.
Gateway. Gateway menyediakan konektivitas antara router di jaringan lokal dan jaringan virtual. Gateway ditempatkan di subnetnya sendiri.
Azure Firewall. Azure Firewall adalah firewall terkelola sebagai layanan. Instans Firewall ditempatkan di subnetnya sendiri.
Rute jaringan virtual. Rute jaringan virtual menentukan alur lalu lintas IP dalam jaringan virtual Azure. Dalam diagram yang ditunjukkan di atas, ada dua tabel rute yang ditentukan pengguna.
- Di subnet gateway, lalu lintas yang dikirim ke subnet tingkat web (10.0.1.0/24) dirutekan melalui instans Azure Firewall.
- Di subnet tingkat web, Karena tidak ada rute untuk ruang alamat jaringan virtual itu sendiri untuk menunjuk ke firewall Azure, instans tingkat web dapat berkomunikasi langsung satu sama lain, bukan melalui Azure Firewall.
Catatan
Bergantung pada persyaratan koneksi VPN, Anda dapat mengonfigurasi rute Border Gateway Protocol (BGP) untuk menerapkan aturan penerusan yang mengarahkan lalu lintas kembali melalui jaringan lokal.
Kelompok keamanan jaringan. Gunakan kelompok keamanan untuk membatasi lalu lintas dalam jaringan virtual. Misalnya, dalam penyebaran yang disediakan dengan arsitektur referensi ini, subnet tingkat web mengizinkan lalu lintas TCP dari jaringan lokal dan dari dalam jaringan virtual; tingkat bisnis mengizinkan lalu lintas dari tingkat web, dan tingkat data mengizinkan lalu lintas dari tingkat bisnis.
Azure Bastion. Azure Bastion memungkinkan Anda untuk masuk ke komputer virtual (VM) di jaringan virtual melalui SSH atau protokol desktop jarak jauh (RDP) tanpa mengekspos VM langsung ke internet. Gunakan Bastion untuk mengelola mesin virtual di jaringan virtual.
Komponen
Teknologi utama dalam arsitektur ini meliputi:
Potensi penggunaan kasus
Arsitektur ini memerlukan koneksi ke pusat data lokal Anda, baik menggunakan gateway VPN atau koneksi ExpressRoute. Penggunaan umum untuk arsitektur ini meliputi:
- Aplikasi hibrid tempat beban kerja dijalankan sebagian di lokal dan sebagian di Azure.
- Infrastruktur yang memerlukan kontrol menyeluruh atas lalu lintas yang memasuki jaringan virtual Azure dari pusat data lokal.
- Aplikasi yang harus mengaudit lalu lintas keluar. Hal ini sering menjadi persyaratan peraturan dari banyak sistem komersial dan dapat membantu mencegah pengungkapan ke publik atas informasi pribadi.
Rekomendasi
Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang mengesampingkan rekomendasi tersebut.
Rekomendasi kontrol akses
Gunakan Kontrol akses berbasis peran Azure (RBAC Azure) untuk mengelola sumber daya di aplikasi Anda. Pertimbangkan untuk membuat peran kustom berikut:
Peran DevOps dengan izin untuk mengelola infrastruktur aplikasi, menyebarkan komponen aplikasi, serta memantau dan menghidupkan ulang mesin virtual.
Peran administrator TI terpusat untuk mengelola dan memantau sumber daya jaringan.
Peran administrator TI keamanan untuk mengelola sumber daya jaringan yang aman seperti firewall.
Peran administrator DevOps dan TI tidak boleh memiliki akses ke sumber daya firewall. Akses harus dibatasi untuk peran administrator TI keamanan.
Rekomendasi grup sumber daya
Sumber daya Azure seperti mesin virtual, jaringan virtual, dan load balancer dapat dengan mudah dikelola dengan mengelompokkannya ke dalam grup sumber daya. Tetapkan peran Azure ke setiap grup sumber daya untuk membatasi akses.
Sebaiknya buat grup sumber daya berikut:
- Grup sumber daya yang berisi jaringan virtual (tidak termasuk mesin virtual), NSG, dan sumber daya gateway untuk menghubungkan ke jaringan lokal. Tetapkan peran administrator TI terpusat ke grup sumber daya ini.
- Grup sumber daya yang berisi mesin virtual untuk instans Azure Firewall dan rute yang ditentukan pengguna untuk subnet gateway. Tetapkan peran administrator TI keamanan ke grup sumber daya ini.
- Pisahkan grup sumber daya untuk setiap tingkat aplikasi yang berisi load balancer dan mesin virtual. Perhatikan bahwa grup sumber daya ini tidak boleh menyertakan subnet untuk setiap tingkat. Tetapkan peran DevOps ke grup sumber daya ini.
Rekomendasi jaringan
Untuk menerima lalu lintas masuk dari internet, tambahkan aturan Destination Network Address Translation (DNAT) ke Azure Firewall.
- Alamat tujuan = Alamat IP publik dari instans firewall.
- Alamat yang diterjemahkan = Alamat IP privat dalam jaringan virtual.
Contoh penyebaran merutekan lalu lintas internet untuk port 80 ke load balancer tingkat web.
Rutekan paksa semua lalu lintas internet keluar melalui jaringan lokal Anda menggunakan terowongan VPN site-to-site, dan rutekan ke internet menggunakan network address translation (NAT). Hal ini mencegah kebocoran informasi rahasia apa pun yang tidak disengaja yang disimpan di tingkat data Anda dan memungkinkan inspeksi serta audit dari semua lalu lintas keluar.
Jangan sepenuhnya memblokir lalu lintas internet dari tingkat aplikasi, karena hal ini akan mencegah tingkat ini menggunakan layanan PaaS Azure yang mengandalkan alamat IP publik, seperti pembuatan log diagnostik mesin virtual, pengunduhan ekstensi mesin virtual, dan fungsi lainnya. Diagnostik Azure juga mengharuskan komponen dapat membaca dan menulis ke akun Azure Storage.
Verifikasi bahwa lalu lintas internet keluar dirutekan paksa dengan benar. Jika Anda menggunakan koneksi VPN dengan layanan perutean dan akses jarak jauh di server lokal, gunakan alat seperti WireShark.
Pertimbangkan untuk menggunakan Application Gateway atau Azure Front Door untuk penghentian SSL.
Pertimbangan
Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.
Efisiensi performa
Efisiensi performa adalah kemampuan beban kerja Anda untuk menskalakan untuk memenuhi tuntutan yang diberikan oleh pengguna dengan cara yang efisien. Untuk informasi selengkapnya, lihat Gambaran umum pilar efisiensi performa.
Untuk detail tentang batas bandwidth VPN Gateway, lihat SKU Gateway. Untuk bandwidth yang lebih tinggi, pertimbangkan untuk meningkatkan ke gateway ExpressRoute. ExpressRoute menyediakan bandwidth hingga 10 Gbps dengan latensi lebih rendah daripada koneksi VPN.
Untuk informasi selengkapnya tentang skalabilitas gateway Azure, lihat bagian pertimbangan skalabilitas di Menerapkan arsitektur jaringan hibrid dengan Azure dan VPN lokal dan Menerapkan arsitektur jaringan hibrid dengan Azure ExpressRoute.
Untuk detail tentang mengelola jaringan virtual dan NSG dalam skala besar, lihat Azure Virtual Network Manager (AVNM): Membuat jaringan hub dan spoke aman untuk membuat hub baru (dan onboarding yang ada) dan topologi jaringan virtual spoke untuk manajemen pusat konektivitas dan aturan NSG.
Keandalan
Keandalan memastikan aplikasi Anda dapat mencapai komitmen yang Anda buat kepada pelanggan Anda. Untuk informasi selengkapnya, lihat Gambaran umum pilar keandalan.
Jika Anda menggunakan Azure ExpressRoute untuk menyediakan konektivitas antara jaringan virtual dan jaringan lokal, konfigurasikan gateway VPN untuk menyediakan failover jika koneksi ExpressRoute tidak tersedia.
Untuk informasi spesifik tentang menjaga ketersediaan koneksi VPN dan ExpressRoute, lihat pertimbangan ketersediaan di Menerapkan arsitektur jaringan hibrid dengan Azure dan VPN lokal dan Menerapkan arsitektur jaringan hibrid dengan Azure ExpressRoute.
Keunggulan operasional
Keunggulan operasional mencakup proses operasi yang menyebarkan aplikasi dan menjaganya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.
Jika konektivitas gateway dari jaringan lokal Anda ke Azure tidak aktif, Anda masih dapat menjangkau mesin virtual di jaringan virtual Azure melalui Azure Bastion.
Setiap subnet tingkat dalam arsitektur referensi dilindungi oleh aturan NSG. Anda mungkin perlu membuat aturan untuk membuka port 3389 untuk akses protokol desktop jarak jauh (RDP) di mesin virtual Windows atau port 22 untuk akses shell aman (SSH) di mesin virtual Linux. Alat manajemen dan pemantauan lainnya mungkin memerlukan aturan untuk membuka port tambahan.
Jika Anda menggunakan ExpressRoute untuk menyediakan konektivitas antara pusat data lokal dan Azure, gunakan Azure Connectivity Toolkit (AzureCT) untuk memantau dan memecahkan masalah koneksi.
Anda dapat menemukan informasi tambahan tentang memantau serta mengelola koneksi VPN dan ExpressRoute di artikel Menerapkan arsitektur jaringan hibrid dengan Azure dan VPN lokal.
Keamanan
Keamanan memberikan jaminan terhadap serangan yang disengaja dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.
Arsitektur referensi ini menerapkan beberapa tingkat keamanan.
Merutekan semua permintaan pengguna lokal melalui Azure Firewall
Rute yang ditentukan pengguna di subnet gateway memblokir semua permintaan pengguna selain yang diterima dari lokal. Rute melewati permintaan yang diizinkan ke firewall, dan permintaan ini diteruskan ke aplikasi jika diizinkan oleh aturan firewall. Anda dapat menambahkan rute lain, tetapi pastikan rute tersebut tidak melewati firewall atau memblokir lalu lintas administratif yang ditujukan untuk subnet manajemen secara tidak sengaja.
Menggunakan NSG untuk memblokir/melewati lalu lintas antar tingkat aplikasi
Lalu lintas antara tingkat dibatasi dengan menggunakan NSG. Tingkat bisnis memblokir semua lalu lintas yang tidak berasal dari tingkat web, dan tingkat data memblokir semua lalu lintas yang tidak berasal dari tingkat bisnis. Jika Anda memiliki persyaratan untuk memperluas aturan NSG untuk memungkinkan akses yang lebih luas ke tingkat ini, pertimbangkan persyaratan ini dengan risiko keamanan. Setiap jalur masuk baru mewakili peluang kebocoran data atau kerusakan aplikasi yang tidak disengaja atau disengaja.
Menggunakan AVNM untuk membuat aturan Admin Keamanan garis besar
AVNM memungkinkan Anda membuat garis besar aturan keamanan, yang dapat diprioritaskan daripada aturan kelompok keamanan jaringan. Aturan admin keamanan dievaluasi sebelum aturan NSG dan memiliki sifat NSG yang sama, dengan dukungan untuk prioritas, tag layanan, dan protokol L3-L4. Ini akan memungkinkan IT pusat untuk memberlakukan garis besar aturan keamanan, sambil memungkinkan independensi aturan NSG tambahan oleh pemilik jaringan virtual spoke. Untuk memfasilitasi peluncuran perubahan aturan keamanan yang terkontrol, fitur penyebaran AVNM memungkinkan Anda merilis perubahan melanggar konfigurasi ini dengan aman ke lingkungan hub-and-spoke.
Akses DevOps
Gunakan RBAC Azure untuk membatasi operasi yang dapat dilakukan DevOps di setiap tingkat. Saat memberikan izin, gunakan prinsip dengan hak istimewa paling rendah. Catat semua operasi administratif dan lakukan audit rutin untuk memastikan perubahan konfigurasi telah direncanakan.
Pengoptimalan biaya
Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.
Gunakan kalkulator harga Azure untuk memperkirakan biaya. Pertimbangan lain dijelaskan di bagian Pengoptimalan biaya di Microsoft Azure Well-Architected Framework.
Berikut adalah pertimbangan biaya untuk layanan yang digunakan dalam arsitektur ini.
Azure Firewall
Dalam arsitektur ini, Azure Firewall disebarkan di jaringan virtual untuk mengontrol lalu lintas antara subnet gateway dan subnet tempat tingkat aplikasi berjalan. Dengan cara ini Azure Firewall menjadi hemat biaya karena digunakan sebagai solusi bersama yang digunakan oleh banyak beban kerja. Berikut adalah model harga Azure Firewall:
- Tarif tetap per jam penyebaran.
- Data diproses per GB untuk mendukung penskalaan otomatis.
Jika dibandingkan dengan appliance virtual jaringan (NVA), dengan Azure Firewall Anda dapat menghemat hingga 30-50%. Untuk informasi selengkapnya, lihat Azure Firewall vs NVA.
Azure Bastion
Azure Bastion terhubung dengan aman ke mesin virtual Anda melalui RDP dan SSH tanpa perlu mengonfigurasi IP publik di mesin virtual.
Penagihan bastion sebanding dengan komputer virtual tingkat rendah dasar yang dikonfigurasi sebagai jump box. Membandingkan Bastion dengan jump box, Bastion lebih hemat biaya mengingat fitur keamanan bawaan Bastion dan tidak ada biaya tambahan yang dikeluarkan untuk penyimpanan dan pengelolaan server terpisah.
Azure Virtual Network
Azure Virtual Network adalah gratis. Anda dapat membuat hingga 50 jaringan virtual di semua wilayah dalam langganan. Semua lalu lintas yang terjadi dalam batas-batas jaringan virtual gratis. Jadi, jika dua VM yang berada dalam jaringan virtual yang sama saling berbicara maka tidak ada biaya yang akan terjadi.
Load balancer internal
Penyeimbangan beban dasar antara mesin virtual yang berada di jaringan virtual yang sama gratis.
Dalam arsitektur ini, load balancer internal digunakan untuk menyeimbangkan beban lalu lintas di dalam jaringan virtual.
Menyebarkan skenario ini
Penyebaran ini membuat dua grup sumber daya; yang pertama memegang jaringan lokal tiruan, yang kedua satu set jaringan hub dan spoke. Jaringan lokal tiruan dan jaringan hub terhubung menggunakan Azure Virtual Network gateway untuk membentuk koneksi situs-ke-situs. Konfigurasi ini sangat mirip dengan bagaimana Anda akan menghubungkan pusat data lokal Anda ke Azure.
Penyebaran ini dapat memakan waktu hingga 45 menit untuk menyelesaikannya. Metode penyebaran yang disarankan adalah menggunakan opsi portal yang ditemukan di bawah ini.
Gunakan tombol berikut untuk menyebarkan referensi menggunakan portal Microsoft Azure.
Setelah penyebaran selesai, verifikasi konektivitas situs-ke-situs dengan melihat sumber daya koneksi yang baru dibuat. Saat berada di portal Microsoft Azure, cari 'koneksi' dan perhatikan status setiap koneksi.
Instans IIS yang ditemukan di jaringan spoke dapat diakses dari komputer virtual yang terletak di jaringan lokal tiruan. Buat koneksi ke mesin virtual menggunakan host Azure Bastion yang disertakan, buka browser web, dan arahkan ke alamat penyeimbang beban jaringan aplikasi.
Untuk informasi terperinci dan opsi penyebaran tambahan, lihat templat Azure Resource Manager (templat ARM) yang digunakan untuk menyebarkan solusi ini: Jaringan Hibrid Aman.