Delen via

Zelfstudie: Een beveiligd hub-and-spoke-netwerk maken

In deze zelfstudie maakt u een hub-and-spoke-netwerktopologie met behulp van Azure Virtual Network Manager. Vervolgens implementeert u een virtuele netwerkgateway in het virtuele hubnetwerk zodat resources in de virtuele netwerken van spoke-netwerkgroepen kunnen communiceren met externe netwerken met behulp van VPN. U configureert ook een configuratie van een beveiligingsbeheerder om uitgaand netwerkverkeer naar internet te blokkeren op poort 80 en 443. Ten slotte controleert u of de configuraties correct zijn toegepast door de instellingen van het virtuele netwerk en de virtuele machine te observeren.

In deze zelfstudie leert u het volgende:

  • Meerdere virtuele netwerken maken.
  • Implementeer een virtuele netwerkgateway.
  • Maak een hub-and-spoke-netwerktopologie.
  • Maak een configuratie van een beveiligingsbeheerder die verkeer blokkeert op poorten 80 en 443.
  • Controleer of configuraties zijn toegepast.

Diagram van beveiligde hub-and-spoke-topologieonderdelen.

Vereiste

  • Een Azure-account met een actief abonnement. Gratis een account maken
  • Voordat u de stappen in deze zelfstudie kunt uitvoeren, moet u eerst een Exemplaar van Azure Virtual Network Manager maken. Het exemplaar moet de connectiviteits- en beveiligingsbeheerdersfuncties bevatten. In deze zelfstudie wordt gebruikgemaakt van een exemplaar van de Azure Virtual Network Manager met de naam vnm-learn-eastus-001.

Virtuele netwerken maken

Deze procedure helpt u bij het maken van drie virtuele netwerken die moeten worden verbonden met behulp van een hub-and-spoke-connectiviteitsconfiguratie.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer + Een resource maken en zoek naar virtueel netwerk. Selecteer Vervolgens Maken om het virtuele netwerk te configureren.

  3. Voer op het tabblad Basisbeginselen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer het abonnement waarnaar u dit virtuele netwerk wilt implementeren.
    Resourcegroep Selecteer of maak een nieuwe resourcegroep om het virtuele netwerk op te slaan. In deze quickstart wordt een resourcegroep met de naam rg-learn-eastus-001 gebruikt.
    Naam Voer vnet-learn-prod-eastus-001 in als naam van het virtuele netwerk.
    Regio Selecteer de regio VS - oost.

  4. Selecteer Volgende: IP-adressen en configureer de volgende netwerkadresruimte:

    Instelling Weergegeven als
    IPv4-adresruimte Voer 10.0.0.0/16 in als de adresruimte.
    Subnetnaam Voer de standaardnaam in voor het subnet.
    Subnetadresruimte Voer de adresruimte van het subnet 10.0.0.0/24 in.

  5. Selecteer Beoordelen en maken en selecteer vervolgens Maken om het virtuele netwerk te implementeren.

  6. Herhaal stap 2-5 om nog twee virtuele netwerken in dezelfde resourcegroep te maken met de volgende informatie:

    Instelling Weergegeven als
    Abonnement Selecteer hetzelfde abonnement dat u in stap 3 hebt geselecteerd.
    Resourcegroep Selecteer de rg-learn-eastus-001.
    Naam Voer vnet-learn-prod-eastus-002 en vnet-learn-hub-eastus-001 in voor de twee virtuele netwerken.
    Regio Selecteer (US) VS - oost
    IP-adressen van vnet-learn-prod-eastus-002 IPv4-adresruimte: 10.1.0.0/16
    Subnetnaam: standaardadresruimte
    subnet: 10.1.0.0/24
    IP-adressen van vnet-learn-hub-eastus-001 IPv4-adresruimte: 10.2.0.0/16
    Subnetnaam: standaardadresruimte
    subnet: 10.2.0.0/24

Een gatewaysubnet voor een virtueel netwerk maken

Creëer een virtuele netwerkgateway subnet in het hub virtuele netwerk. Dit subnet wordt gebruikt door de gateway van het virtuele netwerk om verkeer naar en van het virtuele netwerk te routeren.

  1. Ga naar het virtuele netwerk vnet-learn-hub-eastus-001 en selecteer Subnetten onder Instellingen.

  2. Selecteer + Subnet om een nieuw subnet te maken.

  3. Voer op de pagina Subnet toevoegen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Doel van de subnet Selecteer Virtuele netwerkgateway uit de vervolgkeuzelijst.
    IPv4
    Grootte Selecteer /27 in de vervolgkeuzelijst.

  4. Selecteer Toevoegen en controleer of het nieuwe subnet is gemaakt.

Notitie

Het gatewaysubnet is een speciaal subnet dat wordt gebruikt door de gateway van het virtuele netwerk. De grootte van het gatewaysubnet moet ten minste /27 zijn. De adresruimte van het gatewaysubnet mag niet overlappen met andere subnetten in het virtuele netwerk. De adresruimte van het gatewaysubnet moet een subset van de adresruimte van het virtuele netwerk zijn. Dit gatewaysubnet moet de naam GatewaySubnet hebben. Als u het subnet GatewaySubnet niet een naam geeft, kan de gateway van het virtuele netwerk deze niet gebruiken.

Een virtuele netwerkgateway implementeren

Implementeer een virtuele netwerkgateway in het virtuele hubnetwerk. Deze virtuele netwerkgateway is noodzakelijk voor de netwerkgroepen van de connectiviteitsconfiguratie van de spokes om de instelling hub als gateway gebruiken mogelijk te maken.

  1. Selecteer + Een resource maken en zoek naar de gateway van het virtuele netwerk. Selecteer Vervolgens Maken om de gateway van het virtuele netwerk te configureren.

  2. Voer op het tabblad Basisbeginselen de volgende instellingen in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer het abonnement waarnaar u dit virtuele netwerk wilt implementeren.
    Naam Voer gw-learn-hub-eastus-001 in als naam van de gateway van het virtuele netwerk.
    Artikelnummer (SKU) Selecteer VpnGW1 voor de SKU.
    Generatie Selecteer Generation1 voor de generatie.
    Virtueel netwerk Selecteer de vnet-learn-hub-eastus-001 voor het VNet.
    Openbaar IP-adres
    Naam openbaar IP-adres Voer de naam gwpip-learn-hub-eastus-001 in voor het openbare IP-adres.
    TWEEDE OPENBAAR IP-ADRES
    Naam openbaar IP-adres Voer de naam gwpip-learn-hub-eastus-002 in voor het openbare IP-adres.

  3. Selecteer Beoordelen en maken en selecteer Vervolgens Maken nadat de validatie is geslaagd. De implementatie van een virtuele netwerkgateway kan ongeveer 30 minuten duren. U kunt verdergaan met de volgende sectie terwijl u wacht tot deze implementatie is voltooid. Mogelijk ziet u echter dat gw-learn-hub-eastus-001 niet wordt weergegeven dat deze een gateway heeft vanwege timing en synchronisatie in de Azure-portal.

Een netwerkgroep maken

Notitie

In deze handleiding wordt ervan uitgegaan dat u een exemplaar van de Azure Virtual Network Manager hebt gemaakt met behulp van de quickstart-gids. De netwerkgroep in deze zelfstudie heet ng-learn-prod-eastus-001.

  1. Blader naar uw resourcegroep en selecteer de netwerkbeheerresource .

  2. Selecteer netwerkgroepen onder Instellingen. Selecteer vervolgens + Maken.

  3. Selecteer in het deelvenster Een netwerkgroep maken de optie Maken:

    Instelling Waarde
    Naam Voer een netwerkgroep in.
    Beschrijving (Optioneel) Geef een beschrijving op over deze netwerkgroep.
    Type lid Selecteer Virtueel netwerk in de vervolgkeuzelijst.

  4. Controleer of de nieuwe netwerkgroep nu wordt weergegeven in het deelvenster Netwerkgroepen .

Dynamisch groepslidmaatschap definiëren met Azure Policy

  1. Selecteer in de lijst met netwerkgroepen de optie ng-learn-prod-eastus-001. Selecteer Onder Beleid maken om leden dynamisch toe te voegen, selecteert u Azure Policy maken.

  2. Selecteer of voer de volgende gegevens in op de pagina Azure Policy maken :

    Schermopname van het tabblad Voorwaardelijke instructies voor een netwerkgroep maken.

    Instelling Weergegeven als
    Beleidsnaam Voer azpol-learn-prod-eastus-001 in het tekstvak in.
    Bereik Selecteer Bereiken selecteren en kies uw huidige abonnement.
    Criterium
    Kenmerk Selecteer Naam in de vervolgkeuzelijst.
    Operateur Selecteer Bevat in de vervolgkeuzelijst.
    Conditie Voer -prod in voor de voorwaarde in het tekstvak.

  3. Selecteer Voorbeeldbronnen om het deelvenster Effectieve virtuele netwerken weer te geven en selecteer Sluiten. Op deze pagina ziet u de virtuele netwerken die worden toegevoegd aan de netwerkgroep op basis van de voorwaarden die zijn gedefinieerd in Azure Policy.

  4. Selecteer Opslaan om het groepslidmaatschap te implementeren. Het kan tot één minuut duren voordat het beleid van kracht wordt en wordt toegevoegd aan uw netwerkgroep.

  5. Selecteer op de pagina Netwerkgroep onder Instellingen groepsleden om het lidmaatschap van de groep weer te geven op basis van de voorwaarden die zijn gedefinieerd in Azure Policy. De bron wordt vermeld als azpol-learn-prod-eastus-001.

    Schermopname van dynamisch groepslidmaatschap onder Groepslidmaatschap.

Een hub-and-spoke-connectiviteitsconfiguratie maken

  1. Selecteer Configuraties onder Instellingen en selecteer vervolgens + Maken.

  2. Selecteer Connectiviteitsconfiguratie in de vervolgkeuzelijst om te beginnen met het maken van een connectiviteitsconfiguratie.

  3. Voer op de pagina Basisinformatie de volgende gegevens in en selecteer .>

    Instelling Weergegeven als
    Naam Voer cc-learn-prod-eastus-001 in.
    Beschrijving (Optioneel) Geef een beschrijving op over deze connectiviteitsconfiguratie.

  4. Selecteer Hub en Spoke op het tabblad Topologie. Hiermee worden andere instellingen zichtbaar.

  5. Selecteer een hub onder Hub-instelling . Selecteer vervolgens vnet-learn-hub-eastus-001 om te fungeren als de hub van uw configuratie en selecteer Selecteren.

    Notitie

    Afhankelijk van de timing van de implementatie, ziet u mogelijk het virtuele doelhubnetwerk niet als een netwerk met een gateway onder de weergave "Has gateway". Dit komt door de implementatie van de gateway van het virtuele netwerk. Het kan tot 30 minuten duren voordat de implementatie is uitgevoerd en wordt mogelijk niet onmiddellijk weergegeven in de verschillende Azure Portal-weergaven.

  6. Selecteer + Toevoegen onder Spoke-netwerkgroepen. Selecteer vervolgens ng-learn-prod-eastus-001 als spoke-netwerkgroep en selecteer Selecteren.

  7. Nadat u de netwerkgroep hebt toegevoegd, selecteert u de volgende opties.

    Schermopname van instellingen voor netwerkgroepconfiguratie.

    Instelling Weergegeven als
    Directe connectiviteit Schakel het selectievakje in voor Connectiviteit inschakelen binnen de netwerkgroep. Met deze instelling kunnen virtuele netwerken van spoke-netwerkgroepen in dezelfde regio rechtstreeks met elkaar communiceren.
    Global Mesh Laat de optie Mesh-connectiviteit inschakelen tussen regio'suitgeschakeld. Deze instelling is niet vereist omdat beide virtuele spoke-netwerken zich in dezelfde regio bevinden.
    Hub als gateway Schakel het selectievakje voor Hub in als gateway.

  8. Selecteer Volgende: Beoordelen en maken > en vervolgens de connectiviteitsconfiguratie maken.

De connectiviteitsconfiguratie implementeren

Zorg ervoor dat de gateway van het virtuele netwerk is geïmplementeerd voordat u de connectiviteitsconfiguratie implementeert. Als u een hub-and-spoke-configuratie implementeert met De hub gebruiken als gateway ingeschakeld en er geen gateway is, mislukt de implementatie. Zie Hub als gateway gebruiken voor meer informatie.

  1. Selecteer Implementaties onder Instellingen en selecteer vervolgens Configuratie implementeren.

  2. Selecteer de volgende instellingen:

    Instelling Weergegeven als
    Configuraties Selecteer Connectiviteitsconfiguraties opnemen in de doelstatus .
    Connectiviteitsconfiguraties Selecteer cc-learn-prod-eastus-001.
    Doelregio's Selecteer VS - oost als de implementatieregio.

  3. Selecteer Volgende en selecteer vervolgens Implementeren om de implementatie te voltooien.

  4. De implementatie wordt weergegeven in de lijst voor de geselecteerde regio. Het kan enkele minuten duren voordat de implementatie van de configuratie is voltooid.

    Schermopname van de status van de configuratie-implementatie die wordt uitgevoerd.

Een configuratie van een beveiligingsbeheerder maken

  1. Selecteer Configuratie opnieuw onder Instellingen , selecteer vervolgens + Maken en selecteer Configuratie van beveiligingsbeheerder in het menu om een configuratie van een beveiligingsbeheerder te maken.

  2. Voer de naam sac-learn-prod-eastus-001 in voor de configuratie en selecteer vervolgens Volgende: Regelverzamelingen.

  3. Voer de naam rc-learn-prod-eastus-001 in voor de regelverzameling en selecteer ng-learn-prod-eastus-001 voor de doelnetwerkgroep. Selecteer vervolgens + Toevoegen.

  4. Voer de volgende instellingen in en selecteer deze en selecteer vervolgens Toevoegen:

    Schermopname van het toevoegen van een regelpagina en regelinstellingen.

    Instelling Weergegeven als
    Naam Voer DENY_INTERNET in
    Beschrijving Voer deze regel in om verkeer naar internet op HTTP en HTTPS te blokkeren
    Prioriteit Voer 1 in
    Actie Weigeren selecteren
    Richting Uitgaand selecteren
    protocol Selecteer TCP
    Bron
    Brontype IP selecteren
    Bron-IP-adressen * invoeren
    Bestemming
    Doeltype IP-adressen selecteren
    Doel-IP-adressen * invoeren
    Doelpoort Voer 80, 443 in

  5. Selecteer Toevoegen om de regelverzameling toe te voegen aan de configuratie van de beveiligingsbeheerder.

  6. Selecteer Controleren en maken om de configuratie van de beveiligingsbeheerder te maken.

De configuratie van de beveiligingsbeheerder implementeren

  1. Selecteer Implementaties onder Instellingen en selecteer vervolgens Configuraties implementeren.

  2. Selecteer Onder Configuraties de optie Beveiligingsbeheerder opnemen in uw doelstatus en de configuratie sac-learn-prod-eastus-001 die u in de laatste sectie hebt gemaakt. Selecteer VERVOLGENS VS - oost als doelregio en selecteer Volgende.

  3. Selecteer Volgende en vervolgens Implementeren. U ziet nu dat de implementatie wordt weergegeven in de lijst voor de geselecteerde regio. Het kan enkele minuten duren voordat de implementatie van de configuratie is voltooid.

Implementatie van configuraties controleren

Verifiëren vanuit een virtueel netwerk

  1. Ga naar het virtuele netwerk vnet-learn-prod-eastus-001 en selecteer Netwerkbeheer onder Instellingen. Het tabblad Connectiviteitsconfiguraties bevat cc-learn-prod-eastus-001-connectiviteitsconfiguratie die is toegepast in het virtuele netwerk.

    Schermopname van de connectiviteitsconfiguratie die is toegepast op het virtuele netwerk.

  2. Selecteer het tabblad Configuraties van beveiligingsbeheerders en vouw Uitgaand uit om de beveiligingsbeheerdersregels weer te geven die zijn toegepast op dit virtuele netwerk.

    Schermopname van de configuratie van de beveiligingsbeheerder die is toegepast op het virtuele netwerk.

  3. Ga naar vnet-learn-hub-eastus-001 en selecteer Peerings onder Instellingen om de peerings van virtuele netwerken weer te geven die zijn gemaakt door Azure Virtual Network Manager. De naam begint met ANM_.

    Schermopname van peerings voor virtuele netwerken die zijn gemaakt door Azure Virtual Network Manager.

Verifiëren vanaf een virtuele machine

  1. Implementeer een virtuele testmachine in vnet-learn-prod-eastus-001.

  2. Ga naar de test-VM die is gemaakt in vnet-learn-prod-eastus-001 en selecteer Netwerken onder Instellingen. Selecteer Regels voor uitgaande poort en controleer of de DENY_INTERNET regel is toegepast.

    Schermopname van de netwerkbeveiligingsregels van de VM testen.

  3. Selecteer de naam van de netwerkinterface en selecteer Effectieve routes onder Help om de routes voor de peerings van het virtuele netwerk te controleren. De 10.2.0.0/16 route met het type volgende hopVNet peering is de route naar het virtuele hubnetwerk.

Resources opschonen

Als u Azure Virtual Network Manager niet meer nodig hebt, moet u ervoor zorgen dat alle volgende waarden waar zijn voordat u de resource kunt verwijderen:

  • Er zijn geen implementaties van configuraties naar een regio.
  • Alle configuraties zijn verwijderd.
  • Alle netwerkgroepen zijn verwijderd.

Gebruik de controlelijst voor het verwijderen van onderdelen om ervoor te zorgen dat er geen onderliggende resources meer beschikbaar zijn voordat u de resourcegroep verwijdert.

Volgende stappen

Meer informatie over het blokkeren van netwerkverkeer met een configuratie van een beveiligingsbeheerder.

  • Last updated on