演習 - NVA と仮想マシンを作成する
セキュリティ実装の次のステージでは、ネットワーク仮想アプライアンス (NVA) をデプロイし、フロントエンド パブリック サーバーと内部プライベート サーバーの間のトラフィックをセキュリティで保護して監視します。
まず、IP トラフィックを転送するようにアプライアンスを構成します。 IP 転送が有効になっていない場合、アプライアンス経由でルーティングされるトラフィックは、目的の宛先サーバーで受信されません。
この演習では、nva ネットワーク アプライアンスを dmzsubnet サブネットにデプロイします。 その後、* からのトラフィックと、カスタム ルートを使用するトラフィックが、privatesubnet サブネットに送信されるように、IP 転送を有効にします。
次の手順では、NVA をデプロイします。 その後、Azure 仮想 NIC と、アプライアンス内のネットワーク設定を更新して、IP 転送を有効にします。
注
この演習は省略してもかまいません。 この演習を完了する場合は、開始する前に Azure サブスクリプションを作成する必要があります。 Azure アカウントを持っていない場合、または現時点で作成したくない場合は、指示を読んで、提示されている情報を理解することができます。
ネットワーク仮想アプライアンスをデプロイする
NVA をビルドするには、Ubuntu LTS インスタンスをデプロイします。
Azure Cloud Shell で、次のコマンドを実行してアプライアンスをデプロイします。
<password>を azureuser 管理者アカウントに適したパスワードに置き換え、myResourceGroupName をリソース グループの名前に置き換えます。az vm create \ --resource-group "myResourceGroupName" \ --name nva \ --vnet-name vnet \ --subnet dmzsubnet \ --image Ubuntu2204 \ --admin-username azureuser \ --admin-password <password>
Azure ネットワーク インターフェイスの IP 転送を有効にする
次の手順では、nva ネットワーク アプライアンスの IP 転送を有効にします。 トラフィックが NVA に流れていても、別のターゲットのためのものである場合、NVA ではそのトラフィックを適切な宛先にルーティングします。
次のコマンドを実行して、NVA ネットワーク インターフェイスの ID を取得します。
NICID=$(az vm nic list \ --resource-group "myResourceGroupName" \ --vm-name nva \ --query "[].{id:id}" --output tsv) echo $NICID次のコマンドを実行して、NVA ネットワーク インターフェイスの名前を取得します。
NICNAME=$(az vm nic show \ --resource-group "myResourceGroupName" \ --vm-name nva \ --nic $NICID \ --query "{name:name}" --output tsv) echo $NICNAME次のコマンドを実行して、ネットワーク インターフェイスでの IP 転送を有効にします。
az network nic update --name $NICNAME \ --resource-group "myResourceGroupName" \ --ip-forwarding true
アプライアンスで IP 転送を有効にする
次のコマンドを実行して、NVA 仮想マシンのパブリック IP アドレスを、変数
NVAIPに保存します。NVAIP="$(az vm list-ip-addresses \ --resource-group "myResourceGroupName" \ --name nva \ --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \ --output tsv)" echo $NVAIP次のコマンドを実行して、NVA 内での IP 転送を有効にします。
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'要求されたら、仮想マシンを作成したときに使ったパスワードを入力します。