Penyeimbangan beban multi-wilayah dengan Traffic Manager, Azure Firewall, dan Application Gateway

Arsitektur ini untuk aplikasi global yang terhubung ke internet yang menggunakan protokol HTTP(S) dan non-HTTP(S). Ini fitur penyeimbangan beban global berbasis DNS, dua bentuk penyeimbangan beban regional, dan peering jaringan virtual global untuk membuat arsitektur ketersediaan tinggi yang dapat menahan pemadaman regional. Inspeksi lalu lintas disediakan oleh Azure Web Application Firewall (WAF) dan Azure Firewall.

Catatan arsitektur

Arsitektur dalam dokumen ini mudah diperluas ke desain jaringan virtual hub-and-spoke, di mana Azure Firewall akan berada di jaringan hub, dan Application Gateway baik di jaringan hub maupun dalam spoke. Jika Application Gateway disebarkan di hub, Anda masih menginginkan beberapa Application Gateway, masing-masing untuk serangkaian aplikasi tertentu, untuk menghindari konflik RBAC dan mencegah mencapai batas Application Gateway (lihat Batas Application Gateway).

Di lingkungan Virtual WAN Application Gateways tidak dapat disebarkan di hub, sehingga akan diinstal di jaringan virtual spoke.

Arsitektur yang diusulkan memilih inspeksi ganda konten web melalui Web Application Firewall (berdasarkan Application Gateway) di depan Azure Firewall. Opsi lain ada, seperti yang didokumenkan di Firewall dan Application Gateway untuk jaringan virtual, tetapi opsi ini adalah yang paling fleksibel dan lengkap: ini mengekspos alamat IP klien di header X-Forwarded-For HTTP untuk aplikasi akhir, ini menyediakan enkripsi end-to-end, dan mencegah klien melewati WAF untuk mengakses aplikasi.

Jika hanya aplikasi web yang diekspos (tidak ada aplikasi non-HTTP), dan inspeksi ganda oleh WAF dan Azure Firewall dari lalu lintas web ini tidak diperlukan, Azure Front Door akan menjadi solusi penyeimbang beban global yang lebih baik daripada Traffic Manager. Front Door adalah load balancer lapisan-7 untuk konten HTTP(S) yang juga menyediakan penembolokan, akselerasi lalu lintas, penghentian SSL/TLS, manajemen sertifikat, pemeriksaan kesehatan, dan kemampuan lainnya. Namun, Application Gateway menawarkan integrasi yang lebih baik dengan Azure Firewall untuk pendekatan perlindungan berlapis.

Arus lalu lintas HTTP masuk

Unduh file Visio arsitektur ini.

1. Azure Traffic Manager menggunakan perutean berbasis DNS untuk menyeimbangkan beban lalu lintas masuk di dua wilayah. Traffic Manager menyelesaikan kueri DNS untuk aplikasi ke alamat IP publik titik akhir Azure Application Gateway. Titik akhir publik Application Gateway berfungsi sebagai titik akhir backend Traffic Manager untuk lalu lintas HTTP(S). Traffic Manager menyelesaikan kueri DNS berdasarkan pilihan berbagai metode perutean. Browser terhubung langsung ke titik akhir; Traffic Manager tidak melihat lalu lintas HTTP.

2. Application Gateway yang disebarkan di seluruh zona ketersediaan menerima lalu lintas HTTP dari browser, dan Web Application Firewalls Premium memeriksa lalu lintas untuk mendeteksi serangan web. Application Gateway akan mengirim lalu lintas ke backend mereka, load balancer internal untuk komputer virtual frontend. Untuk alur khusus ini, load balancer internal di depan server web tidak benar-benar diperlukan karena Application Gateway dapat melakukan penyeimbangan beban ini sendiri. Namun, ini termasuk untuk konsistensi dengan alur untuk aplikasi non-HTTP(S).

3. Lalu lintas antara Application Gateway dan load balancer internal frontend akan disadap oleh Azure Firewall Premium melalui Rute yang Ditentukan Pengguna yang diterapkan pada subnet Application Gateway. Azure Firewall Premium akan menerapkan inspeksi TLS ke lalu lintas untuk keamanan tambahan. Azure Firewall juga redundan zona. Jika Azure Firewall mendeteksi ancaman dalam lalu lintas, azure Firewall akan menghilangkan paket. Jika tidak, setelah inspeksi berhasil, Azure Firewall akan meneruskan lalu lintas ke load balancer internal tingkat web tujuan.

4. Tingkat web adalah lapisan pertama dari aplikasi tiga tingkat, berisi antarmuka pengguna dan juga mengurai interaksi pengguna. Load balancer tingkat web tersebar di ketiga zona ketersediaan, dan akan mendistribusikan lalu lintas ke masing-masing dari tiga komputer virtual tingkat web.

5. Komputer virtual tingkat web tersebar di ketiga zona ketersediaan, dan mereka akan berkomunikasi dengan tingkat bisnis melalui penyeimbang beban internal khusus.

6. Tingkat bisnis memproses interaksi pengguna dan menentukan langkah-langkah berikutnya, dan berada di antara tingkat web dan data. Penyeimbang beban internal tingkat bisnis mendistribusikan lalu lintas ke komputer virtual tingkat bisnis di tiga zona ketersediaan. Load balancer tingkat bisnis bersifat redundan zona, seperti load balancer tingkat web.

7. Komputer virtual tingkat bisnis tersebar di zona ketersediaan, dan mereka akan merutekan lalu lintas ke pendengar grup ketersediaan database.

8. Tingkat data menyimpan data aplikasi, biasanya dalam database, penyimpanan objek, atau berbagi file. Arsitektur ini memiliki server SQL pada komputer virtual yang didistribusikan di tiga zona ketersediaan. Mereka berada dalam grup ketersediaan dan menggunakan nama jaringan terdistribusi (DNN) untuk merutekan lalu lintas ke pendengar grup ketersediaan untuk penyeimbangan beban.

Arus lalu lintas non-HTTP masuk

Unduh file Visio arsitektur ini.

1. Azure Traffic Manager menggunakan perutean berbasis DNS untuk menyeimbangkan beban lalu lintas masuk di dua wilayah. Traffic Manager menyelesaikan kueri DNS untuk aplikasi ke alamat IP publik titik akhir Azure. Titik akhir publik Application Firewall berfungsi sebagai titik akhir backend Traffic Manager untuk lalu lintas non-HTTP(S). Traffic Manager menyelesaikan kueri DNS berdasarkan pilihan berbagai metode perutean. Browser terhubung langsung ke titik akhir; Traffic Manager tidak melihat lalu lintas HTTP.

2. Azure Firewall Premium bersifat redundansi zona, dan akan memeriksa lalu lintas masuk untuk keamanan. Jika Azure Firewall mendeteksi ancaman dalam lalu lintas, azure Firewall akan menghilangkan paket. Jika tidak, setelah pemeriksaan berhasil, Azure Firewall akan meneruskan lalu lintas ke load balancer internal tingkat web yang melakukan Destination Network Address Translation (DNAT) pada paket masuk.

3. Tingkat web adalah lapisan pertama dari aplikasi tiga tingkat, berisi antarmuka pengguna dan juga mengurai interaksi pengguna. Load balancer tingkat web tersebar di ketiga zona ketersediaan, dan akan mendistribusikan lalu lintas ke masing-masing dari tiga komputer virtual tingkat web.

4. Komputer virtual tingkat web tersebar di ketiga zona ketersediaan, dan mereka akan berkomunikasi dengan tingkat bisnis melalui penyeimbang beban internal khusus.

5. Tingkat bisnis memproses interaksi pengguna dan menentukan langkah-langkah berikutnya, dan berada di antara tingkat web dan data. Penyeimbang beban internal tingkat bisnis mendistribusikan lalu lintas ke komputer virtual tingkat bisnis di tiga zona ketersediaan. Load balancer tingkat bisnis bersifat redundan zona, seperti load balancer tingkat web.

6. Komputer virtual tingkat bisnis tersebar di zona ketersediaan, dan mereka akan merutekan lalu lintas ke pendengar grup ketersediaan database.

7. Tingkat data menyimpan data aplikasi, biasanya dalam database, penyimpanan objek, atau berbagi file. Arsitektur ini memiliki server SQL pada komputer virtual yang didistribusikan di tiga zona ketersediaan. Mereka berada dalam grup ketersediaan dan menggunakan nama jaringan terdistribusi (DNN) untuk merutekan lalu lintas ke pendengar grup ketersediaan untuk penyeimbangan beban.

Arus lalu lintas keluar (semua protokol)

Arus lalu lintas keluar untuk pembaruan patch komputer virtual atau konektivitas lain ke Internet akan berubah dari komputer virtual beban kerja ke Azure Firewall melalui Rute yang Ditentukan Pengguna. Azure Firewall akan menerapkan aturan konektivitas menggunakan kategori web serta aturan jaringan dan aplikasi untuk mencegah beban kerja mengakses konten yang tidak pantas atau skenario penyelundupan data.

Komponen

• Azure Firewall adalah firewall generasi berikutnya berbasis cloud yang dikelola Microsoft yang menyediakan inspeksi paket mendalam untuk arus lalu lintas Utara/Selatan dan Timur/Barat. Ini dapat tersebar di Zona Ketersediaan dan menawarkan penskalaan otomatis untuk mengatasi perubahan permintaan aplikasi.
• Azure Application Gateway adalah load balancer lapisan-7 dengan fungsionalitas Web Application Firewall (WAF) opsional. SKU v2 Application Gateway mendukung redundansi zona ketersediaan dan direkomendasikan untuk sebagian besar skenario. Application Gateway mencakup penskalaan otomatis horizontal yang dapat dikonfigurasi sehingga dapat bereaksi secara otomatis terhadap perubahan permintaan aplikasi.
• Azure Traffic Manager adalah penyeimbang beban lalu lintas global berbasis DNS yang mendistribusikan lalu lintas ke layanan di seluruh wilayah Azure global sambil memberikan ketersediaan dan responsivitas tinggi. Untuk informasi selengkapnya, lihat bagian Konfigurasi Traffic Manager.
• Azure Load Balancer adalah load balancer lapisan-4. Load balancer zona-redundan masih akan mendistribusikan lalu lintas dengan kegagalan zona ketersediaan ke zona yang tersisa.
• Azure DDoS Protection memiliki fitur yang ditingkatkan untuk melindungi dari serangan penolakan layanan terdistribusi (DDoS).
• Azure DNS adalah layanan hosting untuk domain DNS. Layanan ini memberikan resolusi nama menggunakan infrastruktur Microsoft Azure. Dengan menghosting domain Anda di Azure, Anda bisa mengelola catatan DNS Anda menggunakan kredensial, API, alat, dan tagihan yang sama dengan layanan Azure lainnya.
• Zona DNS Privat Azure adalah fitur Azure DNS. Zona Privat Azure DNS menyediakan resolusi nama dalam jaringan virtual, dan di antara jaringan virtual. Rekaman yang terkandung dalam zona DNS privat tidak dapat diputus dari Internet. Resolusi DNS terhadap zona DNS privat hanya berfungsi dari jaringan virtual yang ditautkan ke zona DNS tersebut.
• Azure Virtual Machines adalah sumber daya komputasi sesuai permintaan dan dapat diskalakan yang memberi Anda fleksibilitas virtualisasi tetapi menghilangkan tuntutan pemeliharaan perangkat keras fisik. Pilihan sistem operasi termasuk Windows dan Linux. Komponen tertentu dari aplikasi dapat diganti dengan sumber daya Azure platform-as-a-service (misalnya database dan tingkat frontend), tetapi arsitektur tidak akan berubah secara signifikan jika menggunakan Private Link dan Integrasi VNet App Service untuk membawa layanan PaaS tersebut ke jaringan virtual.
• Azure Virtual Machine Scale Sets adalah penskalaan komputer virtual otomatis dan seimbang beban yang menyederhanakan manajemen aplikasi Anda dan meningkatkan ketersediaan.
• SQL Server pada VM memungkinkan Anda menggunakan versi lengkap SQL Server di cloud tanpa harus mengelola perangkat keras lokal apa pun.
• Azure Virtual Network adalah jaringan masuk privat yang aman di cloud. Ini menghubungkan komputer virtual satu sama lain, ke Internet, dan ke jaringan lintas tempat.
• Rute yang Ditentukan Pengguna adalah mekanisme untuk mengambil alih perutean default di jaringan virtual. Dalam skenario ini mereka digunakan untuk memaksa lalu lintas masuk dan arus lalu lintas keluar untuk melintasi Azure Firewall.

Detail solusi

Traffic Manager - Kami mengonfigurasi Traffic Manager untuk menggunakan perutean performa. Ini merutekan lalu lintas ke titik akhir yang memiliki latensi terendah untuk pengguna. Traffic Manager secara otomatis menyesuaikan algoritma penyeimbangan bebannya saat latensi titik akhir berubah. Manajer lalu lintas menyediakan failover otomatis jika ada pemadaman regional. Ini menggunakan perutean prioritas dan pemeriksaan kesehatan reguler untuk menentukan tempat merutekan lalu lintas.

Zona Ketersediaan - Arsitektur menggunakan tiga zona ketersediaan. Zona membuat arsitektur ketersediaan tinggi untuk Application Gateways, load balancer internal, dan komputer virtual di setiap wilayah. Jika ada pemadaman zona, zona ketersediaan yang tersisa di wilayah tersebut akan mengambil alih beban, yang tidak akan memicu failover regional.

Application Gateway - Meskipun Traffic Manager menyediakan penyeimbangan beban regional berbasis DNS, Application Gateway memberi Anda banyak kemampuan yang sama dengan Azure Front Door tetapi di tingkat regional seperti:

• Web Application Firewall (WAF)
• Penghentian Keamanan Lapisan Transportasi (TLS)
• Perutean berbasis jalur
• Afinitas sesi berbasis cookie

Azure Firewall - Azure Firewall Premium menawarkan keamanan jaringan untuk aplikasi generik (lalu lintas web dan non-web), memeriksa tiga jenis alur dalam arsitektur ini:

• Alur HTTP masuk dari Application Gateway dilindungi dengan inspeksi Azure Firewall Premium TLS.
• Alur non-HTTP masuk dari Internet publik diperiksa dengan fitur Azure Firewall Premium lainnya.
• Alur keluar dari Azure Virtual Machines diperiksa oleh Azure Firewall untuk mencegah eksfiltrasi dan akses data ke situs dan aplikasi terlarang.

Peering jaringan virtual - Kami menyebut peering antar wilayah "peering jaringan virtual global." Peering jaringan virtual global menyediakan replikasi data dengan latensi rendah dan bandwidth tinggi antar wilayah. Anda dapat mentransfer data di seluruh langganan Azure, penyewa Microsoft Entra, dan model penyebaran dengan peering global ini. Dalam peering jaringan virtual lingkungan hub-spoke akan ada antara jaringan hub dan spoke.

Rekomendasi

Rekomendasi berikut mematuhi pilar Azure Well-Architected Framework (WAF). Pilar WAF memandu tenet yang membantu memastikan kualitas beban kerja cloud. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keandalan

Wilayah - Gunakan setidaknya dua wilayah Azure untuk ketersediaan tinggi. Anda dapat menerapkan aplikasi anda di beberapa wilayah Azure dalam konfigurasi aktif/pasif atau aktif/aktif. Beberapa wilayah juga membantu menghindari waktu henti aplikasi jika subsistem aplikasi gagal.

• Traffic Manager akan secara otomatis melakukan failover ke wilayah sekunder jika wilayah utama gagal.
• Memilih wilayah terbaik untuk kebutuhan Anda harus didasarkan pada pertimbangan teknis, peraturan, dan dukungan zona ketersediaan.

Pasangan wilayah - Gunakan Pasangan Wilayah untuk ketahanan terbanyak. Pastikan kedua Pasangan Wilayah mendukung semua layanan Azure yang dibutuhkan aplikasi Anda (lihat layanan menurut wilayah). Berikut adalah dua manfaat Pasangan Wilayah:

• Pembaruan Azure yang direncanakan diluncurkan ke wilayah yang dipasangkan satu per satu untuk meminimalkan waktu henti dan risiko pemadaman aplikasi.
• Data terus berada dalam geografi yang sama dengan pasangannya (kecuali Brasil Selatan) untuk tujuan pajak dan hukum.

Zona ketersediaan - Gunakan beberapa zona ketersediaan untuk mendukung Application Gateway, Azure Firewall, Azure Load Balancer, dan tingkat aplikasi Anda saat tersedia.

Penskalaan otomatis dan instans gateway aplikasi - Konfigurasikan Application Gateway dengan minimal dua instans untuk menghindari waktu henti, dan penskalaan otomatis untuk memberikan adaptasi dinamis terhadap perubahan tuntutan kapasitas aplikasi.

Untuk informasi selengkapnya, lihat:

• Kawasan dan zona ketersediaan di Azure
• Kelangsungan bisnis dan pemulihan bencana (BCDR): Wilayah Berpasangan Azure

Perutean global

Metode perutean global - Gunakan metode perutean lalu lintas yang paling sesuai dengan kebutuhan pelanggan Anda. Traffic Manager mendukung beberapa metode perutean lalu lintas untuk merutekan lalu lintas secara deterministik ke berbagai titik akhir layanan.

Konfigurasi berlapis - Gunakan Traffic Manager dalam konfigurasi berlapis jika Anda memerlukan kontrol yang lebih terperinci untuk memilih failover pilihan dalam suatu wilayah.

Untuk informasi selengkapnya, lihat:

• Mengonfigurasi metode perutean lalu lintas performa
• Metode perutean Microsoft Azure Traffic Manager

Tampilan lalu lintas global

Gunakan Tampilan Lalu Lintas di Traffic Manager untuk melihat pola lalu lintas dan metrik latensi. Tampilan Lalu Lintas dapat membantu Anda merencanakan ekspansi jejak Anda ke wilayah Azure baru.

Lihat tampilan lalu lintas Traffic Manager untuk detailnya.

Application Gateway

Gunakan Application Gateway v2 SKU untuk ketahanan otomatis siap pakai.

• Application Gateway v2 SKU secara otomatis memastikan bahwa instans baru muncul di seluruh domain kesalahan dan memperbarui domain. Jika Anda memilih redundansi zona, instans terbaru juga muncul di seluruh zona ketersediaan untuk memberikan toleransi kesalahan.

• Application Gateway v1 mendukung skenario ketersediaan tinggi ketika Anda menyebarkan dua instans atau lebih. Azure mendistribusikan instans ini di seluruh domain pembaruan dan kesalahan untuk memastikan bahwa instans tidak gagal secara bersamaan. SKU v1 mendukung skalabilitas dengan menambahkan beberapa instans gateway yang sama untuk berbagi beban.

Application Gateway perlu mempercayai sertifikat CA Azure Firewall.

Azure Firewall

Tingkat Premium Azure Firewall diperlukan dalam desain ini untuk memberikan inspeksi TLS. Azure Firewall akan mencegat sesi TLS antara Application Gateway dan komputer virtual tingkat web yang menghasilkan sertifikatnya sendiri, serta memeriksa arus lalu lintas keluar dari jaringan virtual ke Internet publik. Anda dapat menemukan informasi selengkapnya tentang desain ini di jaringan Zero-trust untuk aplikasi web dengan Azure Firewall dan Application Gateway.

Rekomendasi pemeriksaan kesehatan

Berikut adalah beberapa rekomendasi untuk pemeriksaan kesehatan di Traffic Manager, Application Gateway, dan Load Balancer.

Traffic Manager

Kesehatan titik akhir - Buat titik akhir yang melaporkan kesehatan keseluruhan aplikasi. Traffic Manager menggunakan pemeriksaan HTTP untuk memantau ketersediaan setiap wilayah. Pemeriksaan akan mengecek respons HTTP 200 untuk jalur URL yang ditentukan. Gunakan titik akhir yang Anda buat untuk pemeriksaan kesehatan. Jika tidak, probe mungkin melaporkan titik akhir yang sehat ketika bagian penting dari aplikasi gagal.

Untuk informasi selengkapnya, lihat pola pemantauan titik akhir kesehatan.

Penundaan failover - Traffic Manager mengalami penundaan failover. Faktor-faktor berikut menentukan durasi penundaan:

• Interval pemeriksaan: Seberapa sering pemeriksaan memeriksa kesehatan titik akhir.
• Jumlah kegagalan yang ditoleransi: Berapa banyak kegagalan yang ditoleransi pemeriksaan sebelum menandai titik akhir tidak sehat.
• Batas waktu pemeriksaan: berapa lama sebelum Traffic Manager menganggap titik akhir tidak sehat.
• Time-to-live (TTL): Server DNS harus memperbarui catatan DNS yang di-cache untuk alamat IP. Waktu yang diperlukan tergantung pada DNS TTL. TTL default adalah 300 detik (5 menit), tetapi Anda dapat mengonfigurasi nilai ini saat membuat profil Traffic Manager.

Untuk informasi selengkapnya, lihat Pemantauan Traffic Manager.

Application Gateway dan Load Balancer

Biasakan diri Anda dengan kebijakan pemeriksaan kesehatan Application Gateway dan load balancer untuk memastikan Anda memahami kesehatan VM Anda. Berikut adalah ringkasan singkat:

• Application Gateway selalu menggunakan probe HTTP.

• Load Balancer dapat mengevaluasi HTTP atau TCP. Gunakan pemeriksaan HTTP jika VM menjalankan server HTTP. Gunakan TCP untuk segala sesuatu yang lain.

• Probe HTTP mengirimkan permintaan HTTP GET ke jalur yang ditentukan dan mendengarkan respons HTTP 200. Jalur ini dapat berupa jalur root ("/"), atau titik akhir pemantauan kesehatan yang mengimplementasikan logika kustom untuk memeriksa kesehatan aplikasi.

• Titik akhir harus mengizinkan permintaan HTTP anonim. Jika pemeriksaan tidak dapat mencapai instans dalam periode batas waktu, Application Gateway atau Load Balancer berhenti mengirim lalu lintas ke VM tersebut. Probe terus memeriksa dan akan mengembalikan VM ke kumpulan back-end jika VM tersedia lagi.

Untuk informasi selengkapnya, lihat:

• Pemeriksaan kesehatan Load Balancer
• Ringkasan pemantauan kesehatan Application Gateway
• Pola pemantauan titik akhir kesehatan

Keunggulan operasional

Grup sumber daya - Gunakan grup sumber daya untuk mengelola sumber daya Azure berdasarkan masa pakai, pemilik, dan karakteristik lainnya.

Peering jaringan virtual - Gunakan peering jaringan virtual untuk menyambungkan dua jaringan virtual atau lebih dengan lancar di Azure. Jaringan virtual muncul sebagai satu kesatuan untuk tujuan konektivitas. Lalu lintas antara mesin virtual di jaringan virtual yang di-peering menggunakan infrastruktur backbone Microsoft. Pastikan bahwa ruang alamat jaringan virtual tidak tumpang tindih.

Jaringan virtual dan subnet - Buat subnet terpisah untuk setiap tingkat subnet Anda. Anda harus menyebarkan VM dan sumber daya, seperti Application Gateway dan Load Balancer, ke jaringan virtual dengan subnet.

Keamanan

Web Application Firewall - Fungsionalitas WAF Azure Application Gateway akan mendeteksi dan mencegah serangan di tingkat HTTP, seperti injeksi SQL (SQLi) atau scripting lintas situs (CSS).

Next-Generation Firewall - Azure Firewall Premium menyediakan lapisan pertahanan tambahan dengan memeriksa konten untuk serangan non-web, seperti file berbahaya yang diunggah melalui HTTP(S) atau protokol lainnya.

Enkripsi end-to-end - Lalu lintas dienkripsi setiap saat saat melintas jaringan Azure. Baik Application Gateway maupun Azure Firewall mengenkripsi lalu lintas sebelum mengirimkannya ke sistem backend yang sesuai.

Penolakan Layanan Terdistribusi (DDoS) - Gunakan Azure DDoS Network Protection untuk perlindungan DDoS yang lebih besar daripada perlindungan dasar yang disediakan Azure.

Kelompok keamanan jaringan (NSG) - Gunakan NSG untuk membatasi lalu lintas jaringan dalam jaringan virtual. Misalnya, dalam arsitektur tiga tingkat yang ditunjukkan di sini, tingkat data hanya menerima lalu lintas dari tingkat bisnis, bukan dari ujung depan web. Hanya tingkat bisnis yang dapat berkomunikasi langsung dengan tingkat database. Untuk menegakkan aturan ini, tingkat database harus memblokir semua lalu lintas masuk kecuali subnet tingkat bisnis.

1. Izinkan lalu lintas masuk dari subnet tingkat bisnis.
2. Izinkan lalu lintas masuk dari subnet tingkat database itu sendiri. Aturan ini memungkinkan komunikasi antara VM database. Replikasi database dan failover memerlukan aturan ini.
3. Tolak semua lalu lintas masuk dari jaringan virtual, menggunakan VirtualNetwork tag dalam aturan) untuk menimpa pernyataan izin yang disertakan dalam aturan NSG default.

Buat aturan 3 dengan prioritas yang lebih rendah (angka lebih tinggi) daripada aturan pertama.

Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol akses jaringan pada kelompok keamanan jaringan atau Azure Firewall.

Untuk informasi selengkapnya, lihat konfigurasi infrastruktur gateway aplikasi.

Pengoptimalan biaya

Untuk informasi selengkapnya, lihat:

• Harga Load Balancing
• Harga jaringan virtual
• Harga gateway aplikasi
• Pilih SKU Azure Firewall yang tepat untuk memenuhi kebutuhan Anda
• Harga Traffic Manager
• Kalkulator harga

Efisiensi kinerja

Set skala komputer virtual - Gunakan Virtual Machine Scale Sets untuk mengotomatiskan skalabilitas komputer virtual Anda. Set skala komputer virtual tersedia di semua ukuran komputer virtual Windows dan Linux. Anda hanya dikenakan biaya untuk komputer virtual yang disebarkan dan sumber daya infrastruktur yang mendasar yang digunakan. Tidak ada biaya tambahan. Manfaat Virtual Machine Scale Sets adalah:

• Membuat dan mengelola beberapa komputer virtual dengan mudah
• Ketersediaan tinggi dan ketahanan aplikasi
• Penskalakan otomatis saat permintaan sumber daya berubah

Untuk informasi selengkapnya, lihat Virtual Machine Scale Sets.

Langkah berikutnya

Untuk arsitektur referensi lainnya menggunakan teknologi yang sama, lihat:

• Aplikasi N-tier multi-wilayah
• Garis besar AKS untuk kluster multi-wilayah