Pusat data virtual: Perspektif jaringan

  • Artikel
  • 41 menit untuk membaca

Aplikasi yang dimigrasikan dari lokal mungkin mendapat manfaat dari infrastruktur hemat biaya Azure yang aman, bahkan dengan perubahan aplikasi minimal. Perusahaan mungkin ingin menyesuaikan arsitektur mereka untuk meningkatkan kelincahan dan memanfaatkan kemampuan Azure.

Microsoft Azure memberikan layanan dan infrastruktur berskala masif dengan kemampuan dan keandalan tingkat perusahaan. Layanan dan infrastruktur ini menawarkan banyak pilihan dalam konektivitas hibrid, yang memungkinkan pelanggan untuk mengaksesnya melalui internet atau koneksi jaringan privat. Mitra Microsoft juga dapat memberikan kemampuan yang ditingkatkan dengan menawarkan layanan keamanan dan peralatan virtual yang dioptimalkan untuk berjalan di Azure.

Pelanggan dapat menggunakan Azure untuk memperluas infrastruktur mereka ke cloud dan membangun arsitektur multitingkat dengan mulus.

Apa itu pusat data virtual?

Cloud dimulai sebagai platform untuk meng-host aplikasi yang menghadap ke publik. Perusahaan mengenali nilai cloud dan mulai memigrasikan aplikasi lini bisnis internal. Aplikasi ini menghadirkan lebih banyak pertimbangan keamanan, keandalan, performa, dan biaya yang membutuhkan lebih banyak fleksibilitas saat memberikan layanan cloud. Infrastruktur dan layanan jaringan baru dirancang untuk memberikan fleksibilitas. Fitur baru memberikan skala elastis, pemulihan bencana, dan pertimbangan lainnya.

Solusi cloud awalnya dirancang untuk menghosting aplikasi tunggal yang relatif terisolasi dalam spektrum publik, yang bekerja dengan baik selama beberapa tahun. Ketika keuntungan solusi cloud menjadi jelas, beberapa beban kerja skala besar di-host di cloud. Mengatasi masalah keamanan, keandalan, performa, dan biaya sangat penting untuk penyebaran dan siklus hidup layanan cloud Anda.

Dalam contoh diagram penyebaran cloud di bawah ini, kotak merah menyoroti celah keamanan. Kotak kuning menunjukkan kesempatan untuk mengoptimalkan peralatan virtual jaringan di seluruh beban kerja.

Diagram that shows a cloud deployment and networking virtual datacenter.

Pusat data virtual membantu mencapai skala yang diperlukan untuk beban kerja perusahaan. Skala harus mengatasi tantangan yang diperkenalkan saat menjalankan aplikasi skala besar di cloud publik.

Implementasi pusat data virtual mencakup lebih dari beban kerja aplikasi di cloud. Ini juga menyediakan layanan jaringan, keamanan, manajemen, DNS, dan Direktori Aktif. Saat perusahaan memigrasikan lebih banyak beban kerja ke Azure, pertimbangkan infrastruktur dan objek yang mendukung beban kerja ini. Manajemen sumber daya yang baik membantu menghindari peningkatan "pulau beban kerja" yang dikelola secara terpisah dengan aliran data independen, model keamanan, dan tantangan kepatuhan.

Konsep pusat data virtual memberikan rekomendasi dan desain tingkat tinggi untuk menerapkan kumpulan entitas yang terpisah namun terkait. Entitas ini sering memiliki fungsi, fitur, dan infrastruktur pendukung umum. Melihat beban kerja Anda sebagai pusat data virtual membantu mewujudkan pengurangan biaya dari skala ekonomi. Ini juga membantu keamanan yang dioptimalkan melalui sentralisasi komponen dan aliran data, dan audit operasi, manajemen, dan kepatuhan yang lebih mudah.

Catatan

Pusat data virtual bukan layanan Azure tertentu. Sebaliknya, berbagai fitur dan kemampuan Azure digabungkan untuk memenuhi kebutuhan Anda. Pusat data virtual adalah cara berpikir tentang beban kerja dan penggunaan Azure Anda untuk mengoptimalkan sumber daya dan kemampuan Anda di cloud. Ini menyediakan pendekatan modular untuk menyediakan layanan TI di Azure, sekaligus menghormati peran dan tanggung jawab organisasi perusahaan.

Pusat data virtual membantu perusahaan menyebarkan beban kerja dan aplikasi di Azure untuk skenario berikut:

  • Meng-host beberapa beban kerja terkait.
  • Migrasi beban kerja dari lingkungan lokal ke Azure.
  • Menerapkan persyaratan keamanan dan akses bersama atau terpusat di seluruh beban kerja.
  • Mencampur Azure DevOps dan IT terpusat dengan tepat untuk perusahaan besar.

Siapa yang harus menerapkan pusat data virtual?

Setiap pelanggan yang memutuskan untuk mengadopsi Azure dapat memperoleh manfaat dari efisiensi mengonfigurasi serangkaian sumber daya untuk penggunaan umum oleh semua aplikasi. Tergantung pada ukurannya, bahkan aplikasi tunggal dapat mengambil keuntungan dari penggunaan pola dan komponen yang digunakan untuk membangun implementasi VDC.

Beberapa organisasi memiliki tim atau departemen terpusat untuk IT, jaringan, keamanan, atau kepatuhan. Menerapkan VDC dapat membantu menegakkan titik kebijakan, memisahkan tanggung jawab, dan memastikan konsistensi komponen umum yang mendasar. Tim aplikasi dapat mempertahankan kebebasan dan kontrol yang sesuai dengan persyaratan mereka.

Organisasi dengan pendekatan DevOps juga dapat menggunakan konsep VDC untuk menyediakan kantong resmi sumber daya Azure. Metode ini memastikan grup DevOps memiliki kontrol total dalam pengelompokan tersebut, baik di tingkat langganan atau dalam grup sumber daya dalam langganan umum. Pada saat yang sama, batas jaringan dan keamanan tetap sesuai. Kepatuhan ditentukan oleh kebijakan terpusat di jaringan hub dan grup sumber daya yang dikelola secara terpusat.

Pertimbangan untuk menerapkan pusat data virtual

Saat merancang pusat data virtual, pertimbangkan masalah penting ini:

Layanan identitas dan direktori

Layanan identitas dan direktori adalah kemampuan kunci dari pusat data lokal dan cloud. Identitas mencakup semua aspek akses dan otorisasi ke layanan dalam implementasi VDC. Untuk memastikan bahwa hanya pengguna dan proses yang berwenang yang mengakses sumber daya Azure Anda, Azure menggunakan beberapa jenis informasi masuk untuk autentikasi, termasuk kata sandi akun, kunci kriptografi, tanda tangan digital, dan sertifikat. Azure Active Directory Autentikasi Multifaktor menyediakan lapisan keamanan tambahan untuk mengakses layanan Azure. Autentikasi yang kuat dengan berbagai opsi verifikasi yang mudah (panggilan telepon, pesan teks, atau pemberitahuan aplikasi seluler) memungkinkan pelanggan untuk memilih metode yang mereka sukai.

Perusahaan besar perlu menentukan proses manajemen identitas yang menjelaskan manajemen identitas individu, autentikasi, otorisasi, peran, dan hak istimewa mereka di dalam atau di seluruh VDC mereka. Tujuan dari proses ini dapat meningkatkan keamanan dan produktivitas, sekaligus mengurangi biaya, waktu henti, dan tugas manual berulang.

Organisasi perusahaan mungkin memerlukan campuran layanan yang menuntut untuk lini bisnis yang berbeda. Karyawan sering memiliki peran yang berbeda ketika terlibat dengan proyek yang berbeda. VDC membutuhkan kerja sama yang baik antara tim yang berbeda, masing-masing dengan definisi peran tertentu untuk membuat sistem berjalan dengan tata kelola yang baik. Matriks tanggung jawab, akses, dan hak bisa menjadi kompleks. Manajemen identitas di VDC diimplementasikan melalui kontrol akses berbasis peran Azure (Azure RBAC) dan Azure Active Directory (Azure AD).

Layanan direktori adalah infrastruktur informasi bersama yang mengatur lokasi, mengelola, memberikan, dan mengatur item sehari-hari dan sumber daya jaringan. Sumber daya ini dapat mencakup volume, folder, file, printer, pengguna, grup, perangkat, dan objek lainnya. Setiap sumber daya di jaringan dianggap sebagai objek oleh server direktori. Informasi tentang sumber daya disimpan sebagai kumpulan atribut yang terkait dengan sumber daya atau objek tersebut.

Semua layanan bisnis online Microsoft bergantung pada Azure Active Directory (Azure AD) untuk masuk dan kebutuhan identitas lainnya. Azure Active Directory adalah solusi cloud manajemen identitas dan akses yang komprehensif dan sangat tersedia yang menggabungkan layanan direktori inti, tata kelola identitas tingkat lanjut, dan manajemen akses aplikasi. Azure AD dapat berintegrasi dengan Active Directory lokal untuk mengaktifkan akses menyeluruh untuk semua aplikasi yang di-host lokal dan berbasis cloud. Atribut pengguna Active Directory lokal dapat disinkronkan secara otomatis ke Azure AD.

Satu administrator global tidak diperlukan untuk menetapkan semua izin dalam implementasi VDC. Sebaliknya, setiap departemen, grup pengguna, atau layanan tertentu di Layanan Direktori dapat memiliki izin yang diperlukan untuk mengelola sumber daya mereka sendiri dalam implementasi VDC. Penataan izin membutuhkan penyeimbangan. Terlalu banyak izin dapat menghambat efisiensi performa, dan terlalu sedikit atau longgar dapat meningkatkan risiko keamanan. Kontrol akses berbasis peran Azure (Azure RBAC) membantu mengatasi masalah ini dengan menawarkan manajemen akses terperinci untuk sumber daya dalam implementasi VDC.

Infrastruktur keamanan

Infrastruktur keamanan mengacu pada pemisahan lalu lintas di segmen jaringan virtual spesifik implementasi VDC. Infrastruktur ini menentukan cara masuk (ingress) dan keluar (egress) dikendalikan dalam implementasi VDC. Azure didasarkan pada arsitektur multipenyewa yang mencegah lalu lintas yang tidak sah dan tidak disengaja antara penyebaran. Ini dilakukan dengan menggunakan isolasi jaringan virtual, daftar kontrol akses, load balancer, filter IP, dan kebijakan arus lalu lintas. Terjemahan alamat jaringan (network address translation/NAT) memisahkan lalu lintas jaringan internal dari lalu lintas eksternal.

Azure fabric mengalokasikan sumber daya infrastruktur ke beban kerja penyewa dan mengelola komunikasi ke dan dari Virtual Machines (VM). Hypervisor Azure memberlakukan pemisahan memori dan proses antar-VM dan dengan aman merutekan lalu lintas jaringan ke penyewa OS tamu.

Konektivitas ke cloud

Pusat data virtual memerlukan konektivitas ke jaringan eksternal untuk menawarkan layanan kepada pelanggan, mitra, atau pengguna internal. Kebutuhan akan konektivitas ini tidak hanya mengacu pada Internet, tetapi juga ke jaringan lokal dan pusat data.

Pelanggan mengontrol layanan yang dapat mengakses dan diakses dari internet publik. Akses ini dikendalikan dengan menggunakan Azure Firewall atau jenis appliance jaringan virtual (NVAs) lainnya, kebijakan perutean kustom dengan menggunakan rute yang ditentukan pengguna, dan pemfilteran jaringan dengan menggunakan grup keamanan jaringan. Kami menyarankan agar semua sumber daya yang terhubung ke internet dilindungi oleh Standar Azure DDoS Protection.

Perusahaan mungkin perlu menghubungkan pusat data virtual mereka ke pusat data lokal atau sumber daya lainnya. Konektivitas antara Azure dan jaringan lokal ini merupakan aspek penting ketika merancang arsitektur yang efektif. Perusahaan memiliki dua cara berbeda untuk membuat interkoneksi ini: transit melalui Internet atau melalui koneksi privat langsung.

VPN Situs ke Situs Azure menghubungkan jaringan lokal ke pusat data virtual Anda di Azure. Tautan ini dibuat melalui koneksi terenkripsi yang aman (terowongan IPsec). Koneksi VPN Situs-ke-Situs Azure fleksibel, cepat dibuat, dan biasanya tidak memerlukan pengadaan perangkat keras lagi. Berdasarkan protokol standar industri, sebagian besar perangkat jaringan saat ini dapat membuat koneksi VPN ke Azure melalui internet atau jalur konektivitas yang tersedia.

ExpressRoute memungkinkan koneksi privat antara pusat data virtual Anda dan jaringan lokal mana pun. Koneksi ExpressRoute menawarkan keamanan, keandalan, dan kecepatan yang lebih tinggi (hingga 100 Gbps), beserta dengan latensi yang konsisten. ExpressRoute memberikan keuntungan aturan kepatuhan yang terkait dengan koneksi privat. Dengan ExpressRoute Direct, Anda dapat terhubung langsung ke perute Microsoft pada kecepatan 10 Gbps atau 100 Gbps.

Menyebarkan koneksi ExpressRoute biasanya melibatkan keterlibatan dengan penyedia layanan ExpressRoute (ExpressRoute Direct menjadi pengecualian). Bagi pelanggan yang perlu memulai dengan cepat, umum awalnya untuk menggunakan VPN Situs ke Situs untuk membangun konektivitas antara pusat data virtual dan sumber daya lokal. Setelah interkoneksi fisik dengan penyedia layanan Anda selesai, migrasikan konektivitas melalui koneksi ExpressRoute Anda.

Untuk beberapa koneksi VPN, Azure Virtual WAN adalah layanan jaringan yang memberikan konektivitas cabang ke cabang yang optimal dan otomatis melalui Azure. Virtual WAN memungkinkan Anda menghubungkan dan mengonfigurasikan perangkat cabang untuk berkomunikasi dengan Azure. Menghubungkan dan mengonfigurasi dapat dilakukan baik secara manual, atau dengan menggunakan perangkat penyedia yang disukai melalui mitra Virtual WAN. Menggunakan perangkat penyedia pilihan memungkinkan kemudahan penggunaan, penyederhanaan konektivitas, dan manajemen konfigurasi. Dasbor bawaan Azure WAN menyediakan wawasan pemecahan masalah instan yang dapat membantu menghemat waktu, dan menyediakan cara mudah untuk melihat konektivitas situs-ke-situs berskala besar. Virtual WAN juga menyediakan layanan keamanan dengan Azure Firewall dan Firewall Manager opsional di hub Virtual WAN Anda.

Konektivitas di dalam cloud

Azure Virtual Networks dan peering jaringan virtual adalah komponen jaringan dasar dalam pusat data virtual. Jaringan virtual menjamin batas isolasi untuk sumber daya pusat data virtual. Peering memungkinkan interkomunikasi antara jaringan virtual yang berbeda dalam wilayah Azure yang sama, lintas wilayah, dan bahkan antar jaringan dalam langganan yang berbeda. Arus lalu lintas dapat dikontrol di dalam dan di antara jaringan virtual dengan serangkaian aturan keamanan yang ditentukan untuk grup keamanan jaringan, kebijakan firewall (Azure Firewall atau appliance virtual jaringan), dan rute khusus yang ditentukan pengguna.

Jaringan virtual adalah titik jangkar untuk mengintegrasikan platform sebagai layanan (PaaS) produk Azure seperti Azure Storage, Azure SQL, dan layanan publik terintegrasi lainnya yang memiliki titik akhir publik. Dengan titik akhir layanan dan Azure Private Link, Anda dapat mengintegrasikan layanan publik dengan jaringan privat Anda. Anda bahkan dapat mengambil layanan publik Anda secara pribadi, tetapi masih menikmati keuntungan dari layanan PaaS yang dikelola Azure.

Gambaran umum pusat data virtual

Topologi

Pusat data virtual dapat dibangun menggunakan salah satu topologi tingkat tinggi ini, berdasarkan kebutuhan dan persyaratan skala Anda:

Dalam topologi Datar, semua sumber daya disebarkan dalam satu jaringan virtual. Subnet memungkinkan kontrol aliran dan segregasi.

11

Dalam topologi Jala, peering jaringan virtual menghubungkan semua jaringan virtual secara langsung satu sama lain.

12

Hub peering dan topologi spoke sangat cocok untuk aplikasi terdistribusi dan tim dengan tanggung jawab yang didelegasikan.

13

Topologi Azure Virtual WAN dapat mendukung skenario kantor cabang berskala besar dan layanan WAN global.

14

Topologi peering hub dan spoke dan topologi Azure Virtual WAN keduanya menggunakan hub dan desain spoke, yang optimal untuk komunikasi, sumber daya bersama, dan kebijakan keamanan terpusat. Hub dibangun menggunakan hub peering jaringan virtual (diberi label seperti Hub Virtual Network di diagram) atau hub Virtual WAN (diberi label seperti Azure Virtual WAN di diagram). Azure Virtual WAN dirancang untuk komunikasi cabang-ke-cabang dan cabang-ke-Azure yang berskala besar, atau untuk menghindari kompleksitas pembangunan semua komponen secara individual di hub peering jaringan virtual. Dalam beberapa kasus, persyaratan Anda mungkin memberikan mandat desain hub peering jaringan virtual, seperti kebutuhan akan appliance virtual jaringan di hub.

Dalam topologi hub dan spoke, hub adalah zona jaringan pusat yang mengontrol dan memeriksa semua lalu lintas antara zona yang berbeda seperti internet, lokal, dan spoke. Topologi hub dan spoke membantu departemen IT secara terpusat menegakkan kebijakan keamanan. Ini juga mengurangi potensi kesalahan konfigurasi dan paparan.

Hub sering berisi komponen layanan umum yang dikonsumsi oleh spoke. Contoh-contoh berikut adalah layanan pusat umum:

  • Infrastruktur Windows Active Directory diperlukan untuk autentikasi pengguna pihak ketiga yang mengakses dari jaringan yang tidak tepercaya sebelum mereka mendapatkan akses ke beban kerja di spoke. Ini termasuk Active Directory Federation Services terkait (AD FS)
  • Layanan Sistem Nama Terdistribusi (DNS) digunakan untuk menyelesaikan penamaan beban kerja di spoke dan untuk mengakses sumber daya lokal dan di internet jika Azure DNS tidak digunakan
  • Infrastruktur kunci umum (PKI) digunakan untuk mengimplementasikan akses menyeluruh pada beban kerja
  • Flow kontrol lalu lintas TCP dan UDP antara zona jaringan spoke dan internet
  • Flow kontrol antara spoke dan lokal
  • Jika diperlukan, kontrol alur antara satu spoke dan spoke lainnya

Pusat data virtual mengurangi biaya keseluruhan dengan menggunakan infrastruktur hub bersama di antara beberapa spoke.

Peran setiap spoke dapat menjadi host berbagai jenis beban kerja. Spoke juga menyediakan pendekatan modular untuk penyebaran berulang dari beban kerja yang sama. Contohnya termasuk dev/test, pengujian penerimaan pengguna, praproduksi, dan produksi. Spoke juga dapat memisahkan dan memungkinkan kelompok yang berbeda dalam organisasi Anda. Grup DevOps adalah contoh yang baik dari apa yang dapat dilakukan spoke. Di dalam spoke, dimungkinkan untuk menyebarkan beban kerja dasar atau beban kerja multitingkat yang kompleks dengan kontrol lalu lintas antara tingkatan.

Batas langganan dan beberapa hub

Penting

Berdasarkan ukuran penyebaran Azure, Anda mungkin memerlukan beberapa strategi hub. Saat merancang strategi hub dan spoke Anda, tanyakan "Dapatkah skala desain ini menggunakan jaringan virtual hub lain di wilayah ini?" dan "Dapatkah skala desain ini mengakomodasi beberapa wilayah?" Jauh lebih baik merencanakan desain yang menskalakan dan tidak membutuhkannya, daripada gagal merencanakan dan membutuhkannya.

Kapan harus menskalakan ke hub sekunder (atau lebih) tergantung pada beberapa faktor, biasanya berdasarkan batas yang melekat pada skala. Pastikan untuk meninjau langganan, jaringan virtual, dan batas mesin virtual saat merancang untuk penskalaan.

Di Azure, setiap komponen, apa pun jenisnya, disebarkan dalam langganan Azure. Isolasi komponen Azure dalam langganan Azure yang berbeda dapat memenuhi persyaratan berbagai lini bisnis, seperti menyiapkan tingkat akses dan otorisasi yang beragam.

Implementasi VDC tunggal dapat meningkatkan sejumlah besar spoke. Meskipun, seperti halnya setiap sistem IT, ada batas platform. Penyebaran hub terikat pada langganan Azure tertentu, yang memiliki batasan dan batas (misalnya, jumlah maksimum peering jaringan virtual. Untuk detailnya, lihat Langganan Azure dan batas, kuota, dan batasan layanan). Dalam kasus di mana batas mungkin menjadi masalah, arsitektur dapat ditingkatkan lebih lanjut dengan memperluas model dari satu hub-spoke ke kluster hub dan spoke. Beberapa hub di satu atau beberapa wilayah Azure dapat disambungkan menggunakan peering jaringan virtual, ExpressRoute, Virtual WAN, atau VPN Situs-ke-Situs.

2

Pengenalan beberapa hub meningkatkan biaya dan upaya manajemen sistem. Ini hanya dibenarkan karena skalabilitas, batas sistem, redundansi, replikasi regional untuk performa pengguna akhir, atau pemulihan bencana. Dalam skenario yang membutuhkan beberapa hub, semua hub akan berusaha untuk menawarkan set layanan yang sama untuk kemudahan operasional.

Interkoneksi antar-spoke

Di dalam satu spoke, atau desain jaringan datar, dimungkinkan untuk menerapkan beban kerja multitingkat yang kompleks. Konfigurasi multitier dapat diimplementasikan menggunakan subnet, yang merupakan satu untuk setiap tingkatan atau aplikasi dalam jaringan virtual yang sama. Kontrol dan pemfilteran lalu lintas dilakukan menggunakan grup keamanan jaringan dan rute yang ditentukan pengguna.

Seorang arsitek mungkin ingin menyebarkan beban kerja multitingkat di beberapa jaringan virtual. Dengan peering jaringan virtual, spoke dapat tersambung ke spoke lain di hub yang sama atau hub yang berbeda. Contoh umum dari skenario ini adalah kasus di mana server pemrosesan aplikasi berada dalam satu jaringan spoke, atau virtual. Database menyebarkan dalam jaringan spoke, atau virtual yang berbeda. Dalam hal ini, mudah untuk menghubungkan spoke dengan peering jaringan virtual, yang menghindari transit melalui hub. Selesaikan tinjauan arsitektur dan keamanan yang cermat untuk memastikan bahwa melewati hub tidak melewati titik keamanan atau audit penting yang mungkin hanya ada di hub.

3

Spoke juga dapat terhubung ke spoke yang bertindak sebagai hub. Pendekatan ini menciptakan hierarki dua tingkat. Spoke di tingkat yang lebih tinggi (tingkat 0) menjadi hub spoke yang lebih rendah (tingkat 1) dari hierarki. Spoke untuk implementasi VDC diperlukan untuk meneruskan lalu lintas ke hub pusat. Lalu lintas kemudian dapat transit ke tujuannya baik di jaringan lokal atau internet publik. Arsitektur dengan dua tingkat hub memperkenalkan perutean kompleks yang menghilangkan keuntungan dari hubungan hub-spoke sederhana.

Meskipun Azure memungkinkan topologi yang kompleks, salah satu prinsip inti dari konsep VDC adalah pengulangan dan kesederhanaan. Untuk meminimalkan upaya manajemen, desain hub-spoke sederhana adalah arsitektur referensi VDC yang kami rekomendasikan.

Komponen

Pusat data virtual terdiri dari empat jenis komponen dasar: Infrastruktur, Jaringan Perimeter, Beban Kerja, dan Pemantauan.

Setiap jenis komponen terdiri atas berbagai fitur dan sumber daya Azure. Implementasi VDC Anda terdiri dari instans dari beberapa jenis komponen dan beberapa variasi dari jenis komponen yang sama. Misalnya, Anda mungkin memiliki banyak instans beban kerja yang berbeda dan dipisahkan secara logis yang mewakili aplikasi yang berbeda. Anda menggunakan berbagai jenis komponen dan instans ini untuk membangun VDC.

4

Arsitektur konseptual tingkat tinggi VDC sebelumnya menunjukkan berbagai jenis komponen yang digunakan di berbagai zona topologi hub-spoke. Diagram menunjukkan komponen infrastruktur di berbagai bagian arsitektur.

Sebagai praktik yang baik secara umum, hak akses dan hak istimewa dapat berbasis grup. Berurusan dengan grup daripada pengguna individu memudahkan pemeliharaan kebijakan akses, dengan menyediakan cara yang konsisten untuk mengelolanya di seluruh tim, yang membantu meminimalkan kesalahan konfigurasi. Menetapkan dan menghapus pengguna ke dan dari grup yang sesuai membantu menjaga hak istimewa pengguna tertentu tetap terbarui.

Setiap grup peran dapat memiliki awalan unik pada namanya. Awalan ini memudahkan untuk mengidentifikasi beban kerja mana yang dikaitkan dengan grup. Misalnya, beban kerja yang meng-host layanan autentikasi mungkin memiliki grup yang bernama AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, dan AuthServiceInfraOps. Peran terpusat, atau peran yang tidak terkait dengan layanan tertentu, dapat diawali dengan Corp. Contohnya adalah CorpNetOps.

Banyak organisasi menggunakan variasi grup berikut untuk memberikan perincian utama peran:

  • Tim IT pusat bernama Corp memiliki hak kepemilikan untuk mengontrol komponen infrastruktur. Contohnya adalah jaringan dan keamanan. Grup harus memiliki peran kontributor di langganan, kontrol hub, dan hak kontributor jaringan dalam spoke. Organisasi besar sering membagi tanggung jawab manajemen ini di antara beberapa tim. Contohnya adalah grup CorpNetOps operasi jaringan dengan fokus eksklusif pada jaringan dan operasi keamanan grup CorpSecOps yang bertanggung jawab atas kebijakan firewall dan keamanan. Dalam kasus khusus ini, dua kelompok yang berbeda perlu dibuat untuk penugasan peran kustom ini.
  • Grup dev/test bernama AppDevOps memiliki tanggung jawab untuk menerapkan beban kerja aplikasi atau layanan. Grup ini mengambil peran kontributor mesin virtual untuk penyebaran IaaS atau satu atau lebih peran kontributor PaaS. Untuk informasi selengkapnya, lihat Peran bawaan Azure. Secara opsional, tim dev/test mungkin memerlukan visibilitas di kebijakan keamanan (grup keamanan jaringan) dan kebijakan perutean (rute yang ditentukan pengguna) di dalam hub atau spoke tertentu. Selain peran kontributor untuk beban kerja, grup ini juga membutuhkan peran pembaca jaringan.
  • Grup operasi dan pemeliharaan yang disebut CorpInfraOps atau AppInfraOps memiliki tanggung jawab mengelola beban kerja dalam produksi. Grup ini harus menjadi kontributor langganan di beban kerja dalam langganan produksi apa pun. Beberapa organisasi mungkin juga mengevaluasi apakah mereka memerlukan grup tim dukungan eskalasi dengan peran kontributor langganan dalam produksi dan langganan hub pusat. Grup lain memperbaiki potensi masalah konfigurasi di lingkungan produksi.

VDC dirancang sehingga grup tim IT pusat yang mengelola hub memiliki grup yang sesuai di tingkat beban kerja. Selain mengelola sumber daya hub, tim IT pusat dapat mengontrol akses eksternal dan izin tingkat atas pada langganan. Grup beban kerja juga dapat mengontrol sumber daya dan izin jaringan virtual mereka secara independen dari tim IT pusat.

Pusat data virtual dipartisi untuk meng-host beberapa proyek dengan aman di berbagai lini bisnis. Semua proyek membutuhkan lingkungan terisolasi yang berbeda (dev, UAT, dan produksi). Langganan Azure terpisah untuk setiap lingkungan ini dapat memberikan isolasi alami.

5

Diagram sebelumnya menunjukkan hubungan antara proyek, pengguna, grup, dan lingkungan organisasi tempat komponen Azure disebarkan.

Biasanya di bidang IT, lingkungan (atau tingkat) adalah sistem tempat beberapa aplikasi disebarkan dan dijalankan. Perusahaan besar menggunakan lingkungan pengembangan (tempat perubahan dibuat dan diuji) dan lingkungan produksi (apa yang digunakan pengguna akhir). Lingkungan tersebut dipisahkan, sering kali dengan beberapa lingkungan penahapan di antaranya, untuk memungkinkan penyebaran bertahap (peluncuran), pengujian, dan pemutaran kembali jika masalah muncul. Arsitektur penyebaran bervariasi secara signifikan, tetapi biasanya proses dasar awal di pengembangan (DEV) dan akhir di produksi (PROD) masih diikuti.

Arsitektur umum untuk jenis lingkungan multitier ini mencakup DevOps untuk pengembangan dan pengujian, UAT untuk penahapan, dan lingkungan produksi. Organisasi dapat menggunakan satu atau beberapa penyewa Azure AD untuk menentukan akses dan hak atas lingkungan ini. Diagram sebelumnya menunjukkan kasus bahwa dua penyewa Azure AD yang berbeda digunakan: satu untuk DevOps dan UAT, sedangkan yang lainnya khusus untuk produksi.

Kehadiran beragam penyewa Azure AD memberlakukan pemisahan antarlingkungan. Grup pengguna yang sama, seperti tim IT pusat, perlu mengautentikasi dengan menggunakan URI yang berbeda untuk mengakses penyewa Azure AD yang berbeda. Ini memungkinkan tim untuk memodifikasi peran atau izin baik dari DevOps atau lingkungan produksi proyek. Adanya berbagai autentikasi pengguna untuk mengakses lingkungan yang beragam mengurangi kemungkinan pemadaman dan masalah lain yang disebabkan oleh kesalahan manusia.

Jenis komponen: infrastruktur

Jenis komponen ini adalah tempat sebagian besar infrastruktur pendukung berada. Ini juga adalah tempat tim IT, keamanan, dan kepatuhan terpusat Anda menghabiskan sebagian besar waktu mereka.

6

Komponen infrastruktur menyediakan interkoneksi untuk berbagai komponen implementasi VDC, dan tersedia di hub dan spoke. Tanggung jawab untuk mengelola dan memelihara komponen infrastruktur biasanya ditugaskan ke tim IT pusat atau tim keamanan.

Salah satu tugas utama tim infrastruktur IT adalah menjamin konsistensi skema alamat IP di seluruh perusahaan. Ruang alamat IP privat yang ditetapkan untuk implementasi VDC harus konsisten dan tidak tumpang tindih dengan alamat IP privat yang ditetapkan di jaringan lokal Anda.

Sementara NAT di perute tepi lokal atau di lingkungan Azure dapat menghindari konflik alamat IP, NAT menambah komplikasi pada komponen infrastruktur Anda. Kesederhanaan manajemen adalah salah satu tujuan utama VDC. Menggunakan NAT untuk menangani masalah IP, sementara solusi yang valid, bukanlah solusi yang direkomendasikan.

Komponen infrastruktur memiliki fungsi sebagai berikut:

  • Layanan identitas dan direktori: Akses ke setiap jenis sumber daya di Azure dikendalikan oleh identitas yang disimpan dalam layanan direktori. Layanan direktori tidak hanya menyimpan daftar pengguna, tetapi juga hak akses ke sumber daya dalam langganan Azure tertentu. Layanan ini dapat ada di cloud, atau dapat disinkronkan dengan identitas lokal yang disimpan di Direktori Aktif.
  • Jaringan virtual: Jaringan virtual adalah salah satu komponen utama VDC, dan memungkinkan Anda membuat batas isolasi lalu lintas di platform Azure. Jaringan virtual terdiri atas satu atau beberapa segmen jaringan virtual, setiap jaringan dengan prefiks jaringan IP tertentu (subnet, baik IPv4 atau tumpukan ganda IPv4/IPv6). Jaringan virtual mendefinisikan area perimeter internal tempat mesin virtual IaaS dan layanan PaaS dapat membangun komunikasi privat. VM (dan layanan PaaS) dalam satu jaringan virtual tidak dapat berkomunikasi langsung ke VM (dan layanan PaaS) di jaringan virtual yang berbeda. Ini berlaku bahkan jika kedua jaringan virtual dibuat oleh pelanggan yang sama, di bawah langganan yang sama. Isolasi adalah properti penting yang memastikan VM dan komunikasi pelanggan tetap privat dalam jaringan virtual. Di mana konektivitas lintas jaringan diinginkan, fitur berikut menjelaskan bagaimana konektivitas tersebut dapat dicapai.
  • Peering jaringan virtual: Fitur mendasar yang digunakan untuk membuat infrastruktur VDC adalah peering jaringan virtual, yang menghubungkan dua jaringan virtual di wilayah yang sama. Koneksi ini terjadi melalui jaringan pusat data Azure atau menggunakan tulang punggung Azure di seluruh dunia di seluruh wilayah.
  • Virtual Network titik akhir layanan: Titik akhir layanan memperluas ruang alamat privat jaringan virtual Anda untuk menyertakan ruang PaaS Anda. Titik akhir juga memperluas identitas jaringan virtual Anda ke layanan Azure melalui koneksi langsung. Titik akhir memungkinkan Anda mengamankan sumber daya layanan Azure penting ke jaringan virtual.
  • Private Link: Azure Private Link memungkinkan Anda mengakses Azure PaaS Services (misalnya, Azure Storage, Azure Cosmos DB, dan Azure SQL Database) dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda juga dapat membuat Layanan Private Link sendiri di jaringan virtual dan mengirimkannya secara privat ke konsumen Anda. Pengalaman penyiapan dan pemakaian menggunakan Azure Private Link bekerja secara konsisten di seluruh layanan Azure PaaS, milik pelanggan dan mitra bersama.
  • Rute yang ditentukan pengguna: Lalu lintas dalam jaringan virtual dirutekan secara default berdasarkan tabel perutean sistem. Rute yang ditentukan pengguna adalah tabel perutean kustom yang dapat dikaitkan administrator jaringan ke satu atau beberapa subnet untuk mengambil alih perilaku tabel perutean sistem dan menentukan jalur komunikasi dalam jaringan virtual. Kehadiran rute yang ditentukan pengguna menjamin lalu lintas dari transit spoke melalui VM kustom tertentu atau appliance virtual jaringan dan load balancer yang ada di hub dan spoke.
  • Grup keamanan jaringan: Grup keamanan jaringan adalah daftar aturan keamanan yang bertindak sebagai pemfilteran lalu lintas pada sumber IP, tujuan IP, protokol, port sumber IP, dan port tujuan IP (juga disebut Layer 4 five-tuple). Grup keamanan jaringan dapat diterapkan ke subnet, NIC Virtual yang terkait dengan Azure VM, atau keduanya. Grup keamanan jaringan sangat penting untuk menerapkan kontrol alur yang benar di hub dan di spoke. Tingkat keamanan yang diberikan oleh grup keamanan jaringan adalah fungsi port mana yang Anda buka, dan untuk tujuan apa. Pelanggan dapat menerapkan lebih banyak filter per VM dengan firewall berbasis host seperti iptable atau Windows Firewall.
  • DNS: DNS menyediakan resolusi nama untuk sumber daya di pusat data virtual. Azure menyediakan layanan DNS untuk resolusi nama publik dan privat. Zona privat menyediakan resolusi nama dalam jaringan virtual dan di seluruh jaringan virtual. Zona privat dapat mencakup seluruh jaringan virtual di wilayah yang sama, dan di seluruh wilayah dan langganan. Untuk resolusi publik, Azure DNS menyediakan layanan yang meng-host untuk domain DNS, yang menyediakan resolusi nama menggunakan infrastruktur Microsoft Azure. Dengan menghosting domain Anda di Azure, Anda bisa mengelola catatan DNS Anda menggunakan kredensial, API, alat, dan tagihan yang sama dengan layanan Azure lainnya.
  • Pengelolaan grup manajemen, langganan, dan grup sumber daya. Langganan mendefinisikan batas alami untuk membuat beberapa grup sumber daya di Azure. Pemisahan ini dapat untuk fungsi, pemisahan peran, atau penagihan. Sumber daya dalam langganan dirakit bersama dalam wadah logis yang dikenal sebagai grup sumber daya. Grup sumber daya mewakili grup logis untuk mengatur sumber daya dalam pusat data virtual. Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure menyediakan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang dikenal sebagai "grup manajemen" dan menerapkan syarat tata kelola ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen. Untuk melihat ketiga fitur ini dalam tampilan hierarki, lihat Mengatur sumber daya di Kerangka Adopsi Cloud.
  • Kontrol akses berbasis peran Azure (Azure RBAC): Azure RBAC dapat memetakan peran dan hak organisasi untuk mengakses sumber daya Azure tertentu. Ini memungkinkan Anda membatasi pengguna hanya untuk subset tindakan tertentu. Jika Anda menyinkronkan Azure Active Directory dengan Active Directory lokal, Anda dapat menggunakan grup Active Directory yang sama di Azure yang Anda gunakan di lokal. Dengan Azure RBAC, Anda dapat memberikan akses dengan menetapkan peran yang sesuai untuk pengguna, grup, dan aplikasi dalam cakupan yang relevan. Cakupan penetapan peran dapat menjadi langganan, grup sumber daya, atau satu sumber daya Azure. Azure RBAC memungkinkan pewarisan izin. Peran yang ditetapkan di cakupan induk juga memberikan akses ke turunan yang terkandung di dalamnya. Dengan Azure RBAC, Anda dapat memisahkan tugas, dan hanya memberikan jumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka. Misalnya, satu karyawan dapat mengelola mesin virtual dalam langganan, sementara yang lain dapat mengelola database SQL Server dalam langganan yang sama.

Tipe Komponen: Jaringan Perimeter

Komponen jaringan perimeter (kadang-kadang disebut jaringan DMZ) menghubungkan jaringan pusat data lokal atau fisik Anda, bersama dengan konektivitas internet apa pun. Perimeter biasanya membutuhkan investasi waktu yang signifikan dari tim jaringan dan tim keamanan Anda.

Paket masuk dapat mengalir melalui appliance keamanan di hub sebelum mencapai server dan layanan back-end di spoke. Contohnya termasuk firewall, IDS, dan IPS. Sebelum mereka meninggalkan jaringan, paket yang terikat internet dari beban kerja juga dapat mengalir melalui appliance keamanan di jaringan perimeter. Alur ini memungkinkan penegakan kebijakan, inspeksi, dan audit.

Komponen jaringan sekitar meliputi:

Biasanya, tim IT pusat dan tim keamanan memiliki tanggung jawab untuk penetapan persyaratan dan pengoperasian jaringan sekitar.

7

Diagram sebelumnya menunjukkan penegakan dua perimeter dengan akses ke internet dan jaringan lokal, keduanya berada di hub DMZ. Di hub DMZ, jaringan perimeter ke internet dapat ditingkatkan untuk mendukung banyak lini bisnis, menggunakan beberapa farm Web Application Firewall (WAF) atau Azure Firewalls. Hub juga memungkinkan konektivitas lokal melalui VPN atau ExpressRoute sesuai kebutuhan.

Catatan

Dalam diagram sebelumnya, dalam DMZ Hub, banyak fitur berikut dapat dibundel bersama-sama di hub Azure Virtual WAN (seperti jaringan virtual, rute yang ditentukan pengguna, grup keamanan jaringan, gateway VPN, gateway ExpressRoute, Azure Load Balancers, Azure Firewalls, Firewall Manager, dan DDOS). Menggunakan azure Virtual WAN hub dapat membuat pembuatan jaringan virtual hub dan VDC jauh lebih mudah, karena sebagian besar kompleksitas rekayasa ditangani untuk Anda oleh Azure saat Anda menyebarkan hub Azure Virtual WAN.

Jaringan virtual. Hub biasanya dibangun di atas jaringan virtual dengan beberapa subnet yang menghosting berbagai jenis layanan. Layanan ini memfilter dan memeriksa lalu lintas ke atau dari internet melalui instans Azure Firewall, NVA, WAF, dan Azure Application Gateway.

Rute yang ditentukan pengguna. Dengan menggunakan rute yang ditentukan pengguna, pelanggan dapat menyebarkan firewall, IDS/IPS, dan appliance virtual lainnya. Mereka dapat merutekan lalu lintas jaringan melalui appliance keamanan ini untuk penegakan kebijakan batas keamanan, audit, dan inspeksi. Rute yang ditentukan pengguna dapat dibuat di hub dan spoke untuk menjamin bahwa transit lalu lintas melalui VM kustom tertentu, Network Virtual Appliances, dan penyeimbang beban yang digunakan oleh implementasi VDC. Untuk menjamin bahwa lalu lintas yang dihasilkan dari komputer virtual dalam spoke transit ke appliance virtual yang benar, rute yang ditentukan pengguna perlu diatur dalam subnet spoke. Ini dilakukan dengan mengatur alamat IP front-end dari load balancer internal sebagai hop berikutnya. Penyeimbang beban internal mendistribusikan lalu lintas internal ke appliance virtual (kumpulan back-end penyeimbang beban).

Azure Firewall adalah layanan keamanan jaringan terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah firewall terkelola yang canggih dengan ketersediaan tinggi dan skalabilitas cloud. Anda dapat membuat, menerapkan, dan mencatat kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual. Azure Firewall menggunakan alamat IP publik statik untuk sumber daya jaringan virtual Anda. Ini memungkinkan firewall luar untuk mengidentifikasi lalu lintas yang berasal dari jaringan virtual Anda. Layanan terintegrasi penuh dengan Azure Monitor untuk logging dan analitik.

Jika Anda menggunakan topologi Azure Virtual WAN, Azure Firewall Manager adalah layanan manajemen keamanan yang menyediakan kebijakan keamanan pusat dan manajemen rute untuk perimeter keamanan berbasis cloud. Layanan ini berkerja sama dengan hub Azure Virtual WAN, sumber daya yang dikelola Microsoft yang memungkinkan Anda membuat arsitektur hub dan spoke dengan mudah. Saat kebijakan keamanan dan perutean dikaitkan dengan hub, kebijakan tersebut disebut sebagai hub virtual yang aman.

Appliance virtual jaringan. Di hub, jaringan perimeter dengan akses ke internet biasanya dikelola melalui instans Azure Firewall atau farm firewall atau firewall aplikasi web (WAF).

Lini bisnis yang berbeda biasanya menggunakan banyak aplikasi web, yang cenderung terbeban oleh karena berbagai kerentanan dan potensi eksploitasi. Firewall aplikasi web adalah jenis produk khusus yang digunakan untuk mendeteksi serangan terhadap aplikasi web dan HTTP/HTTPS lebih efektif daripada firewall generik. Dibandingkan dengan teknologi firewall tradisional, WAF memiliki seperangkat fitur khusus yang melindungi server web internal dari ancaman.

Firewall Azure Firewall atau NVA menggunakan sarana administrasi umum, dengan serangkaian aturan keamanan untuk melindungi beban kerja yang dihosting di spoke, dan mengontrol akses ke jaringan lokal. Azure Firewall memiliki skalabilitas bawaan, sementara firewall NVA dapat diskalakan secara manual di balik penyeimbang beban. Umumnya, firewall farm memiliki perangkat lunak yang kurang khusus dibandingkan dengan WAF, tetapi memiliki ruang lingkup aplikasi yang lebih luas untuk memfilter dan memeriksa semua jenis lalu lintas keluar dan masuk. Jika pendekatan NVA digunakan, mereka dapat ditemukan dan disebarkan dari Marketplace Azure.

Sebaiknya gunakan satu set instans Azure Firewall, atau NVA, untuk lalu lintas yang berasal dari internet. Gunakan yang lain untuk lalu lintas yang berasal dari tempat lokal. Hanya menggunakan satu set firewall untuk keduanya menimbulkan risiko keamanan karena tidak memberikan perimeter keamanan antara dua set lalu lintas jaringan. Menggunakan lapisan firewall terpisah mengurangi kompleksitas pemeriksaan aturan keamanan, yang membuatnya jelas aturan mana yang sesuai dengan permintaan jaringan masuk mana.

Azure Load Balancer menawarkan layanan Lapisan 4 (TCP/UDP) dengan ketersediaan tinggi, yang dapat mendistribusikan lalu lintas masuk di antara instans layanan yang ditetapkan dalam set yang bebannya diseimbangkan. Lalu lintas yang dikirim ke load balancer dari titik akhir front-end (titik akhir IP publik atau titik akhir IP privat) dapat didistribusikan ulang dengan atau tanpa terjemahan alamat ke sekumpulan kumpulan alamat IP back-end (seperti appliance virtual jaringan atau komputer virtual).

Azure Load Balancer dapat memeriksa kesehatan berbagai instans server. Saat instans gagal merespons pemeriksaan, penyeimbang beban berhenti mengirimkan lalu lintas ke instans yang tidak sehat. Di pusat data virtual, penyeimbang beban eksternal digunakan ke hub dan spoke. Di hub, load balancer digunakan untuk merutekan lalu lintas secara efisien di seluruh instans firewall. Dalam spoke, load balancer digunakan untuk mengelola lalu lintas aplikasi.

Azure Front Door (AFD) adalah platform akselerasi aplikasi web Microsoft yang sangat tersedia dan dapat diskalakan, penyeimbang muatan HTTP global, perlindungan aplikasi, dan jaringan pengiriman konten. Berjalan di lebih dari 100 lokasi di tepi Jaringan Global Microsoft, AFD memungkinkan Anda membangun, mengoperasikan, dan meluaskan skala aplikasi web dinamis dan konten statis Anda. AFD menyediakan aplikasi Anda dengan kinerja pengguna akhir kelas dunia, otomatisasi pemeliharaan regional/stempel terpadu, otomatisasi BCDR, informasi klien/pengguna terpadu, penembolokan, dan wawasan layanan.

Platform ini menawarkan:

  • Performa, keandalan, dan perjanjian tingkat layanan (SLA) dukungan.
  • Sertifikasi kepatuhan.
  • Praktik keamanan yang dapat diaudit yang dikembangkan, dioperasikan, dan didukung oleh Azure secara native.

Azure Front Door juga menyediakan firewall aplikasi web (WAF), yang melindungi aplikasi web dari eksploitasi dan kerentanan umum.

Azure Application Gateway adalah appliance virtual khusus yang menyediakan pengontrol pengiriman aplikasi terkelola. Ini menawarkan berbagai kemampuan penyeimbang beban Lapisan 7 untuk aplikasi Anda. Ini memungkinkan Anda untuk mengoptimalkan performa farm web dengan membongkar penghentian SSL intensif CPU ke gateway aplikasi. Ini juga menyediakan kemampuan perutean Lapisan 7 lainnya, seperti distribusi round-robin dari lalu lintas masuk, afinitas sesi berbasis cookie, perutean berbasis jalur URL, dan kemampuan untuk meng-host beberapa situs web di balik gateway aplikasi tunggal. Firewall aplikasi web (WAF) juga disediakan sebagai bagian dari SKU WAF gateway aplikasi. SKU ini memberikan perlindungan ke aplikasi web dari kerentanan dan eksploitasi web umum. Gateway aplikasi dapat dikonfigurasi sebagai gateway yang menghadap internet, gateway khusus internal, atau kombinasi keduanya.

IP Publik. Dengan beberapa fitur Azure, Anda dapat mengaitkan titik akhir layanan ke alamat IP publik sehingga sumber daya Anda dapat diakses dari internet. Titik akhir ini menggunakan NAT untuk merutekan lalu lintas ke alamat internal dan port di jaringan virtual di Azure. Jalur ini adalah cara utama bagi lalu lintas eksternal untuk masuk ke jaringan virtual. Anda dapat mengonfigurasi alamat IP publik untuk menentukan lalu lintas mana yang diteruskan, serta bagaimana dan di mana lalu lintas tersebut diterjemahkan ke jaringan virtual.

Azure DDoS Protection Standard menyediakan lebih banyak kemampuan mitigasi melalui tingkat layanan dasar yang disetel khusus untuk sumber daya jaringan virtual Azure. Standar DDoS Protection mudah diaktifkan dan tidak memerlukan perubahan aplikasi. Kebijakan perlindungan disetel melalui pemantauan lalu lintas khusus dan algoritme pembelajaran mesin. Kebijakan diterapkan ke alamat IP publik yang terkait dengan sumber daya yang disebarkan di jaringan virtual. Contohnya termasuk load balancer Azure, gateway aplikasi Azure, dan instans fabric layanan Azure. Log yang hampir real-time dan dihasilkan sistem tersedia melalui tampilan monitor Azure selama serangan dan riwayat. Perlindungan lapisan aplikasi dapat ditambahkan melalui firewall aplikasi web gateway aplikasi Azure. Proteksi diberikan untuk alamat IP publik Azure IPv4 dan IPv6.

Topologi hub dan spoke menggunakan peering jaringan virtual dan rute yang ditentukan pengguna untuk merutekan lalu lintas dengan benar.

8

Dalam diagram, rute yang ditentukan pengguna memastikan bahwa lalu lintas mengalir dari firewall sebelum diteruskan ke lokal melalui gateway ExpressRoute (jika kebijakan firewall mengizinkan alur tersebut).

Jenis komponen: pemantauan

Komponen pemantauan memberikan visibilitas dan peringatan dari semua jenis komponen lainnya. Semua tim dapat memiliki akses ke pemantauan untuk komponen dan layanan yang dapat mereka akses. Jika Anda memiliki help desk terpusat atau tim operasi, mereka memerlukan akses yang terintegrasi ke data yang disediakan oleh komponen-komponen ini.

Azure menawarkan berbagai jenis layanan pengelogan dan pemantauan untuk melacak perilaku sumber daya yang di-host Azure. Tata kelola dan kontrol beban kerja di Azure tidak hanya didasarkan pada pengumpulan data log, tetapi juga pada kemampuan untuk memicu tindakan berdasarkan peristiwa tertentu yang dilaporkan.

Azure Monitor. Microsoft Azure menyertakan beberapa layanan yang secara individual melakukan peran atau tugas tertentu di ruang pemantauan. Bersama-sama, layanan tersebut memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak atas log yang dihasilkan sistem dari aplikasi Anda dan sumber daya Azure yang mendukungnya. Mereka juga dapat bekerja untuk memantau sumber daya lokal penting untuk menyediakan lingkungan pemantauan hibrid. Memahami alat dan data yang tersedia adalah langkah pertama dalam mengembangkan strategi pemantauan lengkap untuk aplikasi Anda.

Ada dua jenis log dasar di Azure Monitor:

  • Metrik adalah nilai numerik yang menggambarkan beberapa aspek sistem pada titik waktu tertentu. Mereka ringan dan mampu mendukung skenario mendekati real-time. Untuk banyak sumber daya Azure, Anda akan melihat data yang dikumpulkan oleh Azure Monitor langsung di halaman gambaran umum mereka di portal Azure. Sebagai contoh, lihatlah komputer virtual apa pun, dan Anda akan melihat beberapa bagan yang menampilkan metrik performa. Pilih salah satu grafik untuk membuka data di penjelajah metrik di portal Azure, yang memungkinkan Anda membuat bagan nilai beberapa metrik dari waktu ke waktu. Anda dapat menampilkan bagan secara interaktif atau menyematkannya ke dasbor untuk menampilkannya dengan visualisasi lain.

  • Log berisi berbagai jenis data yang disusun ke dalam rekaman dengan set properti yang berbeda untuk setiap jenis. Peristiwa dan jejak disimpan sebagai log bersama dengan data performa, yang semuanya dapat digabungkan untuk analisis. Data log yang dikumpulkan oleh Azure Monitor dapat dianalisis dengan kueri untuk mengambil, mengonsolidasi, dan menganalisis data yang dikumpulkan dengan cepat. Log disimpan dan dikueri dari analitik log. Anda dapat membuat dan menguji kueri menggunakan analitik log di portal Azure, dan langsung menganalisis data menggunakan alat ini atau menyimpan kueri untuk digunakan dengan visualisasi atau aturan pemberitahuan.

9

Microsoft Azure Monitor dapat mengumpulkan data dari berbagai sumber. Anda dapat menganggap data pemantauan untuk aplikasi terjadi dalam tingkatan yang berkisar dari aplikasi ke semua OS, dan layanan yang diandalkannya, hingga ke platform Azure itu sendiri. Azure Monitor mengumpulkan data dari masing-masing tingkat berikut:

  • Data pemantauan aplikasi: Data tentang performa dan fungsionalitas kode yang Anda tulis, terlepas dari platformnya.
  • Data pemantauan OS tamu: Data tentang sistem operasi tempat aplikasi Anda berjalan. OS ini dapat berjalan di Azure, cloud lain, atau lokal.
  • Data pemantauan sumber daya Azure: Data tentang pengoperasian sumber daya Azure.
  • Data pemantauan langganan Azure: Data tentang operasi dan manajemen langganan Azure, serta kesehatan dan pengoperasian Azure itu sendiri.
  • Data pemantauan penyewa Azure: Data tentang operasi layanan Azure tingkat penyewa, seperti Microsoft Azure Active Directory.
  • Sumber kustom: Log yang dikirim dari sumber lokal juga dapat disertakan. Contohnya termasuk peristiwa server lokal atau output syslog perangkat jaringan.

Data pemantauan hanya berguna jika dapat meningkatkan visibilitas Anda ke dalam pengoperasian lingkungan komputasi Anda. Azure Monitor menyertakan beberapa fitur dan alat yang memberikan wawasan berharga tentang aplikasi Anda dan sumber daya lain yang bergantung padanya. Solusi dan fitur pemantauan seperti wawasan aplikasi dan Azure Monitor untuk kontainer memberikan wawasan mendalam tentang berbagai aspek aplikasi dan layanan Azure tertentu.

Solusi pemantauan di Azure Monitor adalah set logika paket yang memberikan wawasan untuk aplikasi atau layanan tertentu. Mereka termasuk logika untuk mengumpulkan data pemantauan untuk aplikasi atau layanan, kueri untuk menganalisis data itu, dan tampilan untuk visualisasi. Solusi pemantauan tersedia dari Microsoft dan mitra untuk menyediakan pemantauan untuk berbagai layanan Azure dan aplikasi lainnya.

Dengan kumpulan data kaya seperti itu, penting untuk mengambil tindakan proaktif pada peristiwa yang terjadi di lingkungan Anda, terutama di mana kueri manual saja tidak akan cukup. Pemberitahuan di Azure Monitor secara proaktif memberi tahu Anda tentang kondisi kritis dan berpotensi mencoba mengambil tindakan korektif. Aturan pemberitahuan berdasarkan metrik memberikan pemberitahuan mendekati real-time berdasarkan nilai numerik. Aturan pemberitahuan berdasarkan log memungkinkan logika kompleks di seluruh data dari berbagai sumber. Aturan pemberitahuan di Azure Monitor menggunakan grup tindakan, yang berisi set penerima dan tindakan unik yang dapat dibagikan di beberapa aturan. Berdasarkan kebutuhan Anda, grup tindakan dapat menggunakan webhook yang menyebabkan pemberitahuan memulai tindakan eksternal atau berintegrasi dengan alat ITSM Anda.

Azure Monitor juga memungkinkan pembuatan dasbor khusus. Dasbor Azure memungkinkan Anda menggabungkan berbagai jenis data, termasuk metrik dan log, ke dalam satu panel di portal Microsoft Azure. Anda dapat berbagi dasbor dengan pengguna Azure lainnya secara opsional. Elemen di seluruh Azure Monitor dapat ditambahkan ke dasbor Azure selain output dari setiap kueri log atau bagan metrik. Misalnya, Anda dapat membuat dasbor yang menggabungkan petak peta yang memperlihatkan grafik metrik, tabel log aktivitas, bagan penggunaan dari wawasan aplikasi, dan output kueri log.

Akhirnya, data Azure Monitor adalah sumber native untuk Power BI. Power BI adalah layanan analitik bisnis yang menyediakan visualisasi interaktif di berbagai sumber data. Ini juga merupakan cara yang efektif untuk menyediakan data bagi orang lain di dalam dan di luar organisasi Anda. Anda dapat mengonfigurasi Power BI untuk mengimpor data log secara otomatis dari Azure Monitor untuk memanfaatkan lebih banyak visualisasi ini.

Azure Network Watcher menyediakan alat untuk memantau, mendiagnosis, dan melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya di jaringan virtual di Azure. Ini adalah layanan multifaset yang memungkinkan fungsi berikut dan banyak lagi:

  • Pantau komunikasi antara komputer virtual dan endpoint.
  • Melihat sumber daya dalam jaringan virtual dan hubungannya.
  • Mendiagnosis masalah pemfilteran lalu lintas jaringan ke atau dari mesin virtual.
  • Mendiagnosis masalah perutean jaringan dari mesin virtual.
  • Mendiagnosis koneksi keluar dari sebuah mesin virtual.
  • Mengambil paket ke dan dari mesin virtual.
  • Mendiagnosis masalah dengan gateway dan koneksi jaringan virtual.
  • Menentukan latensi relatif antara wilayah Azure dan penyedia layanan internet.
  • Menampilkan aturan keamanan untuk antarmuka jaringan.
  • Menampilkan metrik jaringan.
  • Menganalisis lalu lintas ke atau dari grup keamanan jaringan.
  • Melihat log diagnostik untuk sumber daya jaringan.

Jenis komponen: Beban kerja

Komponen beban kerja adalah tempat aplikasi dan layanan Anda yang sebenarnya berada. Di situlah tim pengembangan aplikasi Anda menghabiskan sebagian besar waktu mereka.

Kemungkinan beban kerja tidaklah terbatas. Berikut ini hanya beberapa jenis beban kerja yang mungkin:

Aplikasi internal: Aplikasi lini bisnis sangat penting untuk operasi perusahaan. Aplikasi ini memiliki beberapa karakteristik umum:

  • Interaktif: Data dimasukkan, lalu hasil atau laporan didapat.
  • Berbasis data: Data intensif dengan akses yang sering ke database atau penyimpanan lainnya.
  • Terpadu: Menawarkan integrasi dengan sistem lain di dalam atau di luar organisasi.

Situs web yang menghadap ke pelanggan (menghadap ke internet atau menghadap secara internal): Sebagian besar aplikasi internet adalah situs web. Azure dapat menjalankan situs web melalui mesin virtual IaaS atau situs Aplikasi Web Azure (PaaS). Aplikasi web Azure terintegrasi dengan jaringan virtual untuk menyebarkan aplikasi web di zona jaringan spoke. Situs web yang menghadap secara internal tidak perlu mengekspos titik akhir internet publik karena sumber daya dapat diakses melalui alamat routable non-internet privat dari jaringan virtual privat.

Analitik big data: Ketika data perlu meningkatkan skala ke volume yang lebih besar, database relasional mungkin tidak berperforma baik di bawah beban ekstrem atau sifat data yang tidak terstruktur. Azure HDInsight adalah layanan analitik sumber terbuka dengan spektrum penuh yang terkelola di cloud untuk perusahaan. Anda dapat menggunakan kerangka kerja sumber terbuka seperti Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, dan R. HDInsight. Ini mendukung penyebaran ke jaringan virtual berbasis lokasi, yang dapat disebarkan ke kluster dalam spoke pusat data virtual.

Peristiwa dan olahpesan:Azure Event Hubs adalah platform streaming big data dan layanan penyerapan peristiwa. Layanan ini dapat menerima dan memproses jutaan peristiwa per detik. Ini memberikan latensi rendah dan retensi waktu yang dapat dikonfigurasi, memungkinkan Anda untuk menyerap sejumlah besar data ke Azure dan membacanya dari beberapa aplikasi. Satu aliran dapat mendukung alur berbasis real-time dan batch.

Anda dapat menerapkan layanan olahpesan cloud yang sangat andal antara aplikasi dan layanan melalui Azure Service Bus. Ini menawarkan olahpesan berperantara asinkron antara klien dan server, olahpesan first-in-first-out (FIFO) yang terstruktur, dan kemampuan menerbitkan dan berlangganan.

10

Contoh-contoh ini hampir tidak menggores permukaan jenis beban kerja yang dapat Anda buat di Azure. Anda dapat membuat semuanya mulai dari Web dasar dan aplikasi SQL hingga yang terbaru di IoT, big data, pembelajaran mesin, AI, dan banyak lagi.

Ketersediaan tinggi: beberapa pusat data virtual

Sejauh ini, artikel ini berfokus pada desain VDC tunggal, menggambarkan komponen dasar dan arsitektur yang berkontribusi terhadap ketahanan. Fitur Azure seperti Azure Load Balancer, NVA, zona ketersediaan, set ketersediaan, set skala, dan kemampuan lain yang membantu Anda menyertakan tingkat SLA yang solid ke dalam layanan produksi Anda.

Namun, karena pusat data virtual biasanya diimplementasikan dalam satu wilayah, mungkin pusat data ini rentan terhadap pemadaman yang memengaruhi seluruh wilayah. Pelanggan yang membutuhkan ketersediaan tinggi harus melindungi layanan melalui penyebaran proyek yang sama dalam dua atau lebih implementasi VDC yang digunakan ke berbagai wilayah.

Selain dalam kaitannya dengan SLA, beberapa skenario umum mendapat keuntungan dari menjalankan beberapa pusat data virtual:

  • Keberadaan regional atau global pengguna akhir atau mitra Anda.
  • Persyaratan pemulihan bencana.
  • Mekanisme untuk mengalihkan lalu lintas antara pusat data untuk beban atau performa.

Keberadaan regional/global

Pusat data Azure ada di banyak wilayah di seluruh dunia. Saat memilih beberapa pusat data Azure, pertimbangkan dua faktor terkait: jarak geografis dan latensi. Untuk mengoptimalkan pengalaman pengguna, evaluasi jarak antara setiap pusat data virtual dan jarak dari setiap pusat data virtual ke pengguna akhir.

Wilayah Azure yang meng-host pusat data virtual Anda harus sesuai dengan persyaratan peraturan dari yurisdiksi hukum mana pun tempat organisasi Anda beroperasi.

Pemulihan bencana

Desain rencana pemulihan bencana tergantung pada jenis beban kerja dan kemampuan untuk menyinkronkan keadaan beban kerja tersebut antara implementasi VDC yang berbeda. Idealnya, sebagian besar pelanggan menginginkan mekanisme fail-over yang cepat, dan persyaratan ini mungkin memerlukan sinkronisasi data aplikasi antara penyebaran yang berjalan dalam beberapa implementasi VDC. Namun, ketika merancang rencana pemulihan bencana, penting untuk mempertimbangkan bahwa sebagian besar aplikasi sensitif terhadap latensi yang dapat disebabkan oleh sinkronisasi data ini.

Sinkronisasi dan pemantauan detak jantung aplikasi dalam implementasi VDC yang berbeda mengharuskan mereka untuk berkomunikasi melalui jaringan. Beberapa implementasi VDC di berbagai wilayah dapat disambungkan melalui:

  • Komunikasi hub-ke-hub dibangun ke dalam hub Azure Virtual WAN di seluruh wilayah dalam Virtual WAN yang sama.
  • Peering jaringan virtual untuk menyambungkan hub di seluruh wilayah.
  • Peering privat ExpressRoute, ketika hub di setiap implementasi VDC terhubung ke sirkuit ExpressRoute yang sama.
  • Beberapa sirkuit ExpressRoute terhubung melalui penyokong (backbone) perusahaan Anda, dan beberapa implementasi VDC Anda terhubung ke sirkuit ExpressRoute.
  • Koneksi VPN Situs-ke-Situs antara zona hub implementasi VDC Anda di setiap wilayah Azure.

Biasanya, hub Virtual WAN, peering jaringan virtual, atau koneksi ExpressRoute lebih disukai untuk konektivitas jaringan, karena bandwidth yang lebih tinggi dan tingkat latensi yang konsisten saat melewati penyokong (backbone) Microsoft.

Jalankan tes kualifikasi jaringan untuk memverifikasi latensi dan bandwidth koneksi ini, dan putuskan apakah replikasi data sinkron atau asinkron sesuai berdasarkan hasilnya. Penting juga untuk menimbang hasil ini mengingat tujuan waktu pemulihan yang optimal (RTO).

Pemulihan bencana: mengalihkan lalu lintas dari satu wilayah ke wilayah lain

Baik Azure Traffic Manager maupun Azure Front Door secara berkala memeriksa kesehatan layanan titik akhir mendengarkan dalam implementasi VDC yang berbeda. Jika titik akhir tersebut gagal, Azure Traffic Manager dan Rute Azure Front Door secara otomatis ke VDC terdekat berikutnya. Traffic Manager menggunakan pengukuran pengguna real-time dan DNS untuk merutekan pengguna ke yang terdekat (atau terdekat berikutnya selama kegagalan). Azure Front Door adalah proksi terbalik di lebih dari 100 situs tepi backbone Microsoft, menggunakan anycast untuk merutekan pengguna ke titik akhir mendengarkan terdekat.

Ringkasan

Pendekatan pusat data virtual untuk migrasi adalah membuat arsitektur yang dapat diskalakan yang mengoptimalkan penggunaan sumber daya Azure, menurunkan biaya, dan menyederhanakan tata kelola sistem. Pusat data virtual umumnya berdasarkan topologi hub dan jaringan spoke (menggunakan peering jaringan virtual atau hub Virtual WAN). Layanan bersama umum yang disediakan di hub, dan aplikasi dan beban kerja tertentu disebarkan di spoke. Pusat data virtual juga cocok dengan struktur peran perusahaan, di mana departemen yang berbeda seperti TI pusat, DevOps, dan operasi dan pemeliharaan semuanya bekerja sama sambil melakukan peran spesifik mereka. Pusat data virtual mendukung migrasi beban kerja lokal yang tersedia ke Azure, tetapi juga memberikan banyak keuntungan bagi penyebaran cloud-native.

Referensi

Pelajari selengkapnya tentang kemampuan Azure yang dibahas dalam dokumen ini.

Fitur jaringan
Azure Virtual Networks
Kelompok Keamanan Jaringan
Titik Akhir Layanan
Private Link
Rute yang Ditentukan Pengguna
Appliance Virtual Jaringan
Alamat IP Publik
Azure DNS

Penyeimbangan Muatan
Azure Front Door
Azure Load Balancer (Lapisan 4)
Application Gateway (Lapisan 7)
Azure Traffic Manager

Konektivitas
Peering Virtual Network
Jaringan Privat Maya
Virtual WAN
ExpressRoute
ExpressRoute Direct

Identitas
Azure Active Directory
Microsoft Azure AD Multi-Factor Authentication
Kontrol akses berbasis peran Azure
Peran bawaan Azure

Pemantauan
Network Watcher
Azure Monitor
Log Analytics

Praktik terbaik
Grup Manajemen
Manajemen Langganan
Manajemen Grup Sumber Daya
Batas Langganan Azure

Keamanan
Azure Firewall
Firewall Manager
Application Gateway WAF
Front Door WAF
Azure DDoS

Layanan Azure lainnya
Azure Storage
Azure SQL
Azure Web Apps
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Pembelajaran Mesin Azure

Langkah berikutnya

  • Pelajari selengkapnya tentang peering jaringan virtual, teknologi inti hub dan topologi spoke.
  • Menerapkan Azure Active Directory untuk menggunakan kontrol akses berbasis peran Azure.
  • Kembangkan model langganan dan manajemen sumber daya menggunakan kontrol akses berbasis peran Azure yang sesuai dengan struktur, persyaratan, dan kebijakan organisasi Anda. Kegiatan yang paling penting adalah perencanaan. Menganalisis bagaimana penataan ulang, penggabungan, lini produk baru, dan pertimbangan lainnya akan memengaruhi model awal untuk memastikan Anda dapat menskalakannya sehingga memenuhi kebutuhan dan pertumbuhan di masa depan.