Tutorial: Membuat dan mengelola jaringan virtual Azure untuk mesin virtual Windows dengan Azure PowerShell
Berlaku untuk: ✔️ VM Windows
Mesin virtual Azure menggunakan jaringan Azure untuk komunikasi jaringan internal dan eksternal. Tutorial ini mencakup penyebaran dua komputer virtual dan mengonfigurasi jaringan Azure untuk komputer virtual ini. Contoh dalam tutorial ini mengasumsikan bahwa komputer virtual menghosting aplikasi web dengan database ujung belakang, namun aplikasi tidak digunakan dalam tutorial. Dalam tutorial ini, Anda akan mempelajari cara:
- Membuat jaringan virtual dan subnet
- Membuat alamat IP publik
- Membuat komputer virtual ujung depan
- Mengamankan lalu lintas jaringan
- Membuat komputer virtual ujung belakang
Ringkasan jaringan komputer virtual
Jaringan virtual Azure memungkinkan koneksi jaringan yang aman antara komputer virtual, internet, dan layanan Azure lainnya seperti Microsoft Azure SQL Database. Jaringan virtual dipecah menjadi segmen logis yang disebut subnet. Subnet digunakan untuk mengontrol aliran jaringan, dan sebagai batas keamanan. Saat menyebarkan komputer virtual, umumnya mencakup antarmuka jaringan virtual, yang dilampirkan ke subnet.
Saat menyelesaikan tutorial ini, Anda dapat melihat sumber daya ini membuat:
- myVNet - Jaringan virtual yang digunakan komputer virtual untuk berkomunikasi dengan satu sama lain dan internet.
- myFrontendSubnet - Subnet di myVNet yang digunakan oleh sumber daya ujung depan.
- myPublicIPAddress - Alamat IP publik yang digunakan untuk mengakses myFrontendVM dari internet.
- myFrontendNic - Antarmuka jaringan yang digunakan oleh myFrontendVM untuk berkomunikasi dengan myBackendVM.
- myFrontendVM - Komputer virtual digunakan untuk berkomunikasi antara internet dan myBackendVM.
- myBackendNSG - Grup keamanan jaringan yang mengontrol komunikasi antara myFrontendVM dan myBackendVM.
- myBackendSubnet - Subnet yang terkait dengan myBackendNSG dan digunakan oleh sumber daya ujung belakang.
- myBackendNic - Antarmuka jaringan yang digunakan oleh myBackendVM untuk berkomunikasi dengan myFrontendVM.
- myBackendVM - Komputer virtual yang menggunakan port 1433 untuk berkomunikasi dengan myFrontendVM.
Meluncurkan Azure Cloud Shell
Azure Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.
Untuk membuka Cloud Shell, cukup pilih Coba dari sudut kanan atas blok kode. Anda juga dapat meluncurkan Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan ke Cloud Shell, dan tekan masukkan untuk menjalankannya.
Membuat subnet
Untuk tutorial ini, satu jaringan virtual dibuat dengan dua subnet. Subnet ujung depan untuk menghosting aplikasi web, dan subnet ujung belakang untuk menghosting server database.
Sebelum Anda dapat membuat jaringan virtual, buat grup sumber daya menggunakan New-AzResourceGroup. Contoh berikut ini membuat grup sumber daya bernama myRGNetwork di lokasi EastUS:
New-AzResourceGroup -ResourceGroupName myRGNetwork -Location EastUS
Buat konfigurasi subnet bernama myFrontendSubnet menggunakan New-AzVirtualNetworkSubnetConfig:
$frontendSubnet = New-AzVirtualNetworkSubnetConfig `
-Name myFrontendSubnet `
-AddressPrefix 10.0.0.0/24
Dan, buat konfigurasi subnet bernama myBackendSubnet:
$backendSubnet = New-AzVirtualNetworkSubnetConfig `
-Name myBackendSubnet `
-AddressPrefix 10.0.1.0/24
Membuat jaringan virtual
Buat VNET bernama myVNet menggunakan myFrontendSubnet dan myBackendSubnet menggunakan New-AzVirtualNetwork:
$vnet = New-AzVirtualNetwork `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myVNet `
-AddressPrefix 10.0.0.0/16 `
-Subnet $frontendSubnet, $backendSubnet
Pada titik ini, jaringan telah dibuat dan disegmentasi menjadi dua subnet, satu untuk layanan ujung depan, dan satu lagi untuk layanan ujung belakang. Di bagian berikutnya, komputer virtual dibuat dan terhubung ke subnet ini.
Membuat alamat IP publik
Alamat IP publik memungkinkan sumber daya Azure untuk dapat diakses di internet. Metode alokasi alamat IP publik dapat dikonfigurasi sebagai dinamis atau statis. Secara default, alamat IP publik dialokasikan secara dinamis. Alamat IP dinamis dirilis komputer virtual diputus. Perilaku ini menyebabkan alamat IP berubah selama operasi apa pun yang mencakup pemutusan komputer virtual.
Metode alokasi dapat diatur ke statis, yang memastikan bahwa alamat IP tetap ditetapkan ke komputer virtual, bahkan selama keadaan terputus. Jika Anda menggunakan alamat IP statis, alamat IP tersebut tidak dapat ditentukan. Sebaliknya, hal itu dialokasikan dari kumpulan alamat yang tersedia.
Buat alamat IP publik bernama myPublicIPAddress menggunakan New-AzPublicIpAddress:
$pip = New-AzPublicIpAddress `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-AllocationMethod Dynamic `
-Name myPublicIPAddress
Anda dapat mengubah parameter -AllocationMethod ke Static
untuk menetapkan alamat IP publik statis.
Membuat komputer virtual ujung depan
Agar komputer virtual dapat berkomunikasi dalam jaringan virtual, komputer virtual memerlukan antarmuka jaringan virtual (NIC). Buat NIC menggunakan New-AzNetworkInterface:
$frontendNic = New-AzNetworkInterface `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myFrontend `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $pip.Id
Atur nama pengguna dan kata sandi yang diperlukan untuk akun administrator pada komputer virtual menggunakan Get-Credential. Anda menggunakan info masuk ini untuk menyambungkan ke komputer virtual dalam langkah tambahan:
$cred = Get-Credential
Buat komputer virtual menggunakan New-AzVM.
New-AzVM `
-Credential $cred `
-Name myFrontend `
-PublicIpAddressName myPublicIPAddress `
-ResourceGroupName myRGNetwork `
-Location "EastUS" `
-Size Standard_D1 `
-SubnetName myFrontendSubnet `
-VirtualNetworkName myVNet
Mengamankan lalu lintas
Grup keamanan jaringan (NSG) berisi daftar aturan keamanan yang mengizinkan atau menolak lalu lintas ke sumber daya yang terhubung ke Azure Virtual Networks (VNet). NSG dapat dikaitkan dengan subnet atau antarmuka jaringan individual. NSG yang terkait dengan antarmuka jaringan hanya berlaku untuk Mesin Virtual terkait. Saat NSG dikaitkan dengan subnet, aturan berlaku untuk semua sumber daya yang terhubung ke subnet.
Aturan jaringan kelompok keamanan
Aturan NSG mendefinisikan port jaringan di mana lalu lintas diizinkan atau ditolak. Aturan dapat mencakup rentang alamat IP sumber dan tujuan sehingga lalu lintas dikendalikan antara sistem atau subnet tertentu. Aturan NSG juga mencakup prioritas (antara 1—dan 4096). Aturan dievaluasi dalam urutan prioritas. Aturan dengan prioritas 100 dievaluasi sebelum aturan dengan prioritas 200.
Semua NSG berisi sekumpulan aturan default. Aturan default tidak dapat dihapus, tetapi karena diberi prioritas terendah, aturan tersebut dapat ditimpa oleh aturan yang Anda buat.
- Jaringan virtual - Lalu lintas yang bermula dan berakhir di jaringan virtual diizinkan baik dalam arah masuk maupun keluar.
- Internet - Lalu lintas keluar diperbolehkan, tetapi lalu lintas masuk diblokir.
- Saldo muatan - mengizinkan saldo muatan Azure untuk menyelidiki kesehatan komputer virtual dan instans peran Anda. Jika Anda tidak menggunakan kumpulan saldo muatan, Anda bisa mengambil alih aturan ini.
Membuat kelompok keamanan jaringan
Buat aturan masuk bernama myFrontendNSGRule untuk memungkinkan lalu lintas web masuk pada myFrontendVM menggunakan New-AzNetworkSecurityRuleConfig:
$nsgFrontendRule = New-AzNetworkSecurityRuleConfig `
-Name myFrontendNSGRule `
-Protocol Tcp `
-Direction Inbound `
-Priority 200 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 80 `
-Access Allow
Anda dapat membatasi lalu lintas internal ke myBackendVM hanya dari myFrontendVM dengan membuat NSG untuk subnet ujung belakang. Contoh berikut membuat aturan NSG bernama myBackendNSGRule:
$nsgBackendRule = New-AzNetworkSecurityRuleConfig `
-Name myBackendNSGRule `
-Protocol Tcp `
-Direction Inbound `
-Priority 100 `
-SourceAddressPrefix 10.0.0.0/24 `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 1433 `
-Access Allow
Tambahkan kelompok keamanan jaringan bernama myFrontendNSG menggunakan New-AzNetworkSecurityGroup:
$nsgFrontend = New-AzNetworkSecurityGroup `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myFrontendNSG `
-SecurityRules $nsgFrontendRule
Sekarang, tambahkan kelompok keamanan jaringan bernama myBackendNSG menggunakan New-AzNetworkSecurityGroup:
$nsgBackend = New-AzNetworkSecurityGroup `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myBackendNSG `
-SecurityRules $nsgBackendRule
Menambahkan grup keamanan jaringan ke subnet:
$vnet = Get-AzVirtualNetwork `
-ResourceGroupName myRGNetwork `
-Name myVNet
$frontendSubnet = $vnet.Subnets[0]
$backendSubnet = $vnet.Subnets[1]
$frontendSubnetConfig = Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $vnet `
-Name myFrontendSubnet `
-AddressPrefix $frontendSubnet.AddressPrefix `
-NetworkSecurityGroup $nsgFrontend
$backendSubnetConfig = Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $vnet `
-Name myBackendSubnet `
-AddressPrefix $backendSubnet.AddressPrefix `
-NetworkSecurityGroup $nsgBackend
Set-AzVirtualNetwork -VirtualNetwork $vnet
Buat komputer virtual ujung belakang
Cara termudah untuk membuat komputer virtual ujung belakang untuk tutorial ini adalah dengan menggunakan gambar Microsoft SQL Server. Tutorial ini hanya membuat komputer virtual dengan server database, tetapi tidak menyediakan informasi tentang mengakses database.
Buat myBackendNic:
$backendNic = New-AzNetworkInterface `
-ResourceGroupName myRGNetwork `
-Location EastUS `
-Name myBackend `
-SubnetId $vnet.Subnets[1].Id
Atur nama pengguna dan kata sandi yang diperlukan untuk akun administrator pada komputer virtual menggunakan Get-Credential:
$cred = Get-Credential
Buat myBackendVM.
New-AzVM `
-Credential $cred `
-Name myBackend `
-ImageName "MicrosoftSQLServer:SQL2016SP1-WS2016:Enterprise:latest" `
-ResourceGroupName myRGNetwork `
-Location "EastUS" `
-SubnetName MyBackendSubnet `
-VirtualNetworkName myVNet
Gambar dalam contoh ini telah menginstal SQL Server, tetapi itu tidak digunakan dalam tutorial ini. Gambar ini juga untuk menunjukkan kepada Anda cara mengonfigurasi komputer virtual untuk menangani lalu lintas web dan komputer virtual untuk menangani pengelolaan database.
Langkah berikutnya
Dalam tutorial ini, Anda membuat dan mengamankan jaringan Azure yang terkait dengan komputer virtual.
- Membuat jaringan virtual dan subnet
- Membuat alamat IP publik
- Membuat VM front-end
- Mengamankan lalu lintas jaringan
- Buat komputer virtual ujung belakang
Untuk mempelajari tentang melindungi disk komputer virtual Anda, lihat Pencadangan dan pemulihan bencana untuk disk.