Tutorial: Membuat dan mengelola jaringan virtual Azure untuk mesin virtual Windows dengan Azure PowerShell

  • Artikel

Berlaku untuk: ✔️ VM Windows

Mesin virtual Azure menggunakan jaringan Azure untuk komunikasi jaringan internal dan eksternal. Tutorial ini mencakup penyebaran dua komputer virtual dan mengonfigurasi jaringan Azure untuk komputer virtual ini. Contoh dalam tutorial ini mengasumsikan bahwa komputer virtual menghosting aplikasi web dengan database ujung belakang, namun aplikasi tidak digunakan dalam tutorial. Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat jaringan virtual dan subnet
  • Membuat alamat IP publik
  • Membuat komputer virtual ujung depan
  • Mengamankan lalu lintas jaringan
  • Membuat komputer virtual ujung belakang

Ringkasan jaringan komputer virtual

Jaringan virtual Azure memungkinkan koneksi jaringan yang aman antara komputer virtual, internet, dan layanan Azure lainnya seperti Microsoft Azure SQL Database. Jaringan virtual dipecah menjadi segmen logis yang disebut subnet. Subnet digunakan untuk mengontrol aliran jaringan, dan sebagai batas keamanan. Saat menyebarkan komputer virtual, umumnya mencakup antarmuka jaringan virtual, yang dilampirkan ke subnet.

Saat menyelesaikan tutorial ini, Anda dapat melihat sumber daya ini membuat:

Jaringan virtual dengan dua subnet

  • myVNet - Jaringan virtual yang digunakan komputer virtual untuk berkomunikasi dengan satu sama lain dan internet.
  • myFrontendSubnet - Subnet di myVNet yang digunakan oleh sumber daya ujung depan.
  • myPublicIPAddress - Alamat IP publik yang digunakan untuk mengakses myFrontendVM dari internet.
  • myFrontendNic - Antarmuka jaringan yang digunakan oleh myFrontendVM untuk berkomunikasi dengan myBackendVM.
  • myFrontendVM - Komputer virtual digunakan untuk berkomunikasi antara internet dan myBackendVM.
  • myBackendNSG - Grup keamanan jaringan yang mengontrol komunikasi antara myFrontendVM dan myBackendVM.
  • myBackendSubnet - Subnet yang terkait dengan myBackendNSG dan digunakan oleh sumber daya ujung belakang.
  • myBackendNic - Antarmuka jaringan yang digunakan oleh myBackendVM untuk berkomunikasi dengan myFrontendVM.
  • myBackendVM - Komputer virtual yang menggunakan port 1433 untuk berkomunikasi dengan myFrontendVM.

Meluncurkan Azure Cloud Shell

Azure Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.

Untuk membuka Cloud Shell, cukup pilih Coba dari sudut kanan atas blok kode. Anda juga dapat meluncurkan Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan ke Cloud Shell, dan tekan masukkan untuk menjalankannya.

Membuat subnet

Untuk tutorial ini, satu jaringan virtual dibuat dengan dua subnet. Subnet ujung depan untuk menghosting aplikasi web, dan subnet ujung belakang untuk menghosting server database.

Sebelum Anda dapat membuat jaringan virtual, buat grup sumber daya menggunakan New-AzResourceGroup. Contoh berikut ini membuat grup sumber daya bernama myRGNetwork di lokasi EastUS:

New-AzResourceGroup -ResourceGroupName myRGNetwork -Location EastUS

Buat konfigurasi subnet bernama myFrontendSubnet menggunakan New-AzVirtualNetworkSubnetConfig:

$frontendSubnet = New-AzVirtualNetworkSubnetConfig `
  -Name myFrontendSubnet `
  -AddressPrefix 10.0.0.0/24

Dan, buat konfigurasi subnet bernama myBackendSubnet:

$backendSubnet = New-AzVirtualNetworkSubnetConfig `
  -Name myBackendSubnet `
  -AddressPrefix 10.0.1.0/24

Membuat jaringan virtual

Buat VNET bernama myVNet menggunakan myFrontendSubnet dan myBackendSubnet menggunakan New-AzVirtualNetwork:

$vnet = New-AzVirtualNetwork `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myVNet `
  -AddressPrefix 10.0.0.0/16 `
  -Subnet $frontendSubnet, $backendSubnet

Pada titik ini, jaringan telah dibuat dan disegmentasi menjadi dua subnet, satu untuk layanan ujung depan, dan satu lagi untuk layanan ujung belakang. Di bagian berikutnya, komputer virtual dibuat dan terhubung ke subnet ini.

Membuat alamat IP publik

Alamat IP publik memungkinkan sumber daya Azure untuk dapat diakses di internet. Metode alokasi alamat IP publik dapat dikonfigurasi sebagai dinamis atau statis. Secara default, alamat IP publik dialokasikan secara dinamis. Alamat IP dinamis dirilis komputer virtual diputus. Perilaku ini menyebabkan alamat IP berubah selama operasi apa pun yang mencakup pemutusan komputer virtual.

Metode alokasi dapat diatur ke statis, yang memastikan bahwa alamat IP tetap ditetapkan ke komputer virtual, bahkan selama keadaan terputus. Jika Anda menggunakan alamat IP statis, alamat IP tersebut tidak dapat ditentukan. Sebaliknya, hal itu dialokasikan dari kumpulan alamat yang tersedia.

Buat alamat IP publik bernama myPublicIPAddress menggunakan New-AzPublicIpAddress:

$pip = New-AzPublicIpAddress `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -AllocationMethod Dynamic `
  -Name myPublicIPAddress

Anda dapat mengubah parameter -AllocationMethod ke Static untuk menetapkan alamat IP publik statis.

Membuat komputer virtual ujung depan

Agar komputer virtual dapat berkomunikasi dalam jaringan virtual, komputer virtual memerlukan antarmuka jaringan virtual (NIC). Buat NIC menggunakan New-AzNetworkInterface:

$frontendNic = New-AzNetworkInterface `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myFrontend `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id

Atur nama pengguna dan kata sandi yang diperlukan untuk akun administrator pada komputer virtual menggunakan Get-Credential. Anda menggunakan info masuk ini untuk menyambungkan ke komputer virtual dalam langkah tambahan:

$cred = Get-Credential

Buat komputer virtual menggunakan New-AzVM.

New-AzVM `
   -Credential $cred `
   -Name myFrontend `
   -PublicIpAddressName myPublicIPAddress `
   -ResourceGroupName myRGNetwork `
   -Location "EastUS" `
   -Size Standard_D1 `
   -SubnetName myFrontendSubnet `
   -VirtualNetworkName myVNet

Mengamankan lalu lintas

Grup keamanan jaringan (NSG) berisi daftar aturan keamanan yang mengizinkan atau menolak lalu lintas ke sumber daya yang terhubung ke Azure Virtual Networks (VNet). NSG dapat dikaitkan dengan subnet atau antarmuka jaringan individual. NSG yang terkait dengan antarmuka jaringan hanya berlaku untuk Mesin Virtual terkait. Saat NSG dikaitkan dengan subnet, aturan berlaku untuk semua sumber daya yang terhubung ke subnet.

Aturan jaringan kelompok keamanan

Aturan NSG mendefinisikan port jaringan di mana lalu lintas diizinkan atau ditolak. Aturan dapat mencakup rentang alamat IP sumber dan tujuan sehingga lalu lintas dikendalikan antara sistem atau subnet tertentu. Aturan NSG juga mencakup prioritas (antara 1—dan 4096). Aturan dievaluasi dalam urutan prioritas. Aturan dengan prioritas 100 dievaluasi sebelum aturan dengan prioritas 200.

Semua NSG berisi sekumpulan aturan default. Aturan default tidak dapat dihapus, tetapi karena diberi prioritas terendah, aturan tersebut dapat ditimpa oleh aturan yang Anda buat.

  • Jaringan virtual - Lalu lintas yang bermula dan berakhir di jaringan virtual diizinkan baik dalam arah masuk maupun keluar.
  • Internet - Lalu lintas keluar diperbolehkan, tetapi lalu lintas masuk diblokir.
  • Saldo muatan - mengizinkan saldo muatan Azure untuk menyelidiki kesehatan komputer virtual dan instans peran Anda. Jika Anda tidak menggunakan kumpulan saldo muatan, Anda bisa mengambil alih aturan ini.

Membuat kelompok keamanan jaringan

Buat aturan masuk bernama myFrontendNSGRule untuk memungkinkan lalu lintas web masuk pada myFrontendVM menggunakan New-AzNetworkSecurityRuleConfig:

$nsgFrontendRule = New-AzNetworkSecurityRuleConfig `
  -Name myFrontendNSGRule `
  -Protocol Tcp `
  -Direction Inbound `
  -Priority 200 `
  -SourceAddressPrefix * `
  -SourcePortRange * `
  -DestinationAddressPrefix * `
  -DestinationPortRange 80 `
  -Access Allow

Anda dapat membatasi lalu lintas internal ke myBackendVM hanya dari myFrontendVM dengan membuat NSG untuk subnet ujung belakang. Contoh berikut membuat aturan NSG bernama myBackendNSGRule:

$nsgBackendRule = New-AzNetworkSecurityRuleConfig `
  -Name myBackendNSGRule `
  -Protocol Tcp `
  -Direction Inbound `
  -Priority 100 `
  -SourceAddressPrefix 10.0.0.0/24 `
  -SourcePortRange * `
  -DestinationAddressPrefix * `
  -DestinationPortRange 1433 `
  -Access Allow

Tambahkan kelompok keamanan jaringan bernama myFrontendNSG menggunakan New-AzNetworkSecurityGroup:

$nsgFrontend = New-AzNetworkSecurityGroup `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myFrontendNSG `
  -SecurityRules $nsgFrontendRule

Sekarang, tambahkan kelompok keamanan jaringan bernama myBackendNSG menggunakan New-AzNetworkSecurityGroup:

$nsgBackend = New-AzNetworkSecurityGroup `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myBackendNSG `
  -SecurityRules $nsgBackendRule

Menambahkan grup keamanan jaringan ke subnet:

$vnet = Get-AzVirtualNetwork `
  -ResourceGroupName myRGNetwork `
  -Name myVNet
$frontendSubnet = $vnet.Subnets[0]
$backendSubnet = $vnet.Subnets[1]
$frontendSubnetConfig = Set-AzVirtualNetworkSubnetConfig `
  -VirtualNetwork $vnet `
  -Name myFrontendSubnet `
  -AddressPrefix $frontendSubnet.AddressPrefix `
  -NetworkSecurityGroup $nsgFrontend
$backendSubnetConfig = Set-AzVirtualNetworkSubnetConfig `
  -VirtualNetwork $vnet `
  -Name myBackendSubnet `
  -AddressPrefix $backendSubnet.AddressPrefix `
  -NetworkSecurityGroup $nsgBackend
Set-AzVirtualNetwork -VirtualNetwork $vnet

Buat komputer virtual ujung belakang

Cara termudah untuk membuat komputer virtual ujung belakang untuk tutorial ini adalah dengan menggunakan gambar Microsoft SQL Server. Tutorial ini hanya membuat komputer virtual dengan server database, tetapi tidak menyediakan informasi tentang mengakses database.

Buat myBackendNic:

$backendNic = New-AzNetworkInterface `
  -ResourceGroupName myRGNetwork `
  -Location EastUS `
  -Name myBackend `
  -SubnetId $vnet.Subnets[1].Id

Atur nama pengguna dan kata sandi yang diperlukan untuk akun administrator pada komputer virtual menggunakan Get-Credential:

$cred = Get-Credential

Buat myBackendVM.

New-AzVM `
   -Credential $cred `
   -Name myBackend `
   -ImageName "MicrosoftSQLServer:SQL2016SP1-WS2016:Enterprise:latest" `
   -ResourceGroupName myRGNetwork `
   -Location "EastUS" `
   -SubnetName MyBackendSubnet `
   -VirtualNetworkName myVNet

Gambar dalam contoh ini telah menginstal SQL Server, tetapi itu tidak digunakan dalam tutorial ini. Gambar ini juga untuk menunjukkan kepada Anda cara mengonfigurasi komputer virtual untuk menangani lalu lintas web dan komputer virtual untuk menangani pengelolaan database.

Langkah berikutnya

Dalam tutorial ini, Anda membuat dan mengamankan jaringan Azure yang terkait dengan komputer virtual.

  • Membuat jaringan virtual dan subnet
  • Membuat alamat IP publik
  • Membuat VM front-end
  • Mengamankan lalu lintas jaringan
  • Buat komputer virtual ujung belakang

Untuk mempelajari tentang melindungi disk komputer virtual Anda, lihat Pencadangan dan pemulihan bencana untuk disk.