Udostępnij przez

Samouczek: tworzenie zabezpieczonej sieci piasty i szprych

W tym samouczku utworzysz topologię sieci hub-and-spoke przy użyciu Azure Virtual Network Manager. Następnie wdrożysz bramę sieciową wirtualną w sieci wirtualnej centrum, aby umożliwić zasobom w sieciach wirtualnych sieci obwodów komunikację z sieciami zdalnymi przy użyciu VPN. Należy również skonfigurować konfigurację administratora zabezpieczeń, aby blokować wychodzący ruch sieciowy do Internetu na portach 80 i 443. Na koniec sprawdź, czy konfiguracje zostały prawidłowo zastosowane, obserwując ustawienia sieci wirtualnej i maszyny wirtualnej.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Utwórz wiele sieci wirtualnych.
  • Wdrażanie bramy sieci wirtualnej.
  • Utwórz topologię sieci piasty i szprych.
  • Utwórz konfigurację administratora zabezpieczeń blokującą ruch na portach 80 i 443.
  • Sprawdź, czy zastosowano konfiguracje.

Diagram składników bezpiecznej topologii koncentrator-szprycha.

Warunek wstępny

Tworzenie sieci wirtualnych

Ta procedura wyjaśnia tworzenie trzech sieci wirtualnych, aby je połączyć przy użyciu konfiguracji hub-and-spoke.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję + Utwórz zasób i wyszukaj pozycję Sieć wirtualna. Następnie wybierz pozycję Utwórz , aby rozpocząć konfigurowanie sieci wirtualnej.

  3. Na karcie Podstawowe wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję, w której chcesz wdrożyć tę sieć wirtualną.
    Grupa zasobów Wybierz lub utwórz nową grupę zasobów do przechowywania sieci wirtualnej. W tym przewodniku Szybki start jest używana grupa zasobów o nazwie rg-learn-eastus-001.
    Nazwisko Wprowadź nazwę sieci wirtualnej vnet-learn-prod-eastus-001 .
    Region (Region) Wybierz region Wschodnie stany USA .

  4. Wybierz pozycję Dalej: Adresy IP i skonfiguruj następującą przestrzeń adresową sieci:

    Ustawienie Wartość
    Przestrzeń adresowa IPv4 Wprowadź przestrzeń adresową 10.0.0.0/16 .
    Nazwa podsieci Wprowadź nazwę domyślną dla podsieci.
    Przestrzeń adresowa podsieci Wprowadź przestrzeń adresową podsieci 10.0.0.0/24.

  5. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz , aby wdrożyć sieć wirtualną.

  6. Powtórz kroki 2–5, aby utworzyć dwie kolejne sieci wirtualne w tej samej grupie zasobów z następującymi informacjami:

    Ustawienie Wartość
    Subskrypcja Wybierz tę samą subskrypcję wybraną w kroku 3.
    Grupa zasobów Wybierz element rg-learn-eastus-001.
    Nazwisko Wprowadź ciąg vnet-learn-prod-eastus-002 i vnet-learn-hub-eastus-001 dla dwóch sieci wirtualnych.
    Region (Region) Wybierz (STANY USA) Wschodnie stany USA
    vnet-learn-prod-eastus-002 adresy IP Przestrzeń adresowa IPv4: 10.1.0.0/16
    Nazwa podsieci: domyślna
    przestrzeń adresowa podsieci: 10.1.0.0/24
    vnet-learn-hub-eastus-001 adresy IP Przestrzeń adresowa IPv4: 10.2.0.0/16
    Nazwa podsieci: domyślna
    przestrzeń adresowa podsieci: 10.2.0.0/24

Utwórz podsieć bramy sieci wirtualnej

Utwórz podsieć bramy sieci wirtualnej w sieci wirtualnej koncentratora. Ta podsieć jest używana przez bramę sieci wirtualnej do kierowania ruchu do i z sieci wirtualnej.

  1. Przejdź do sieci wirtualnej vnet-learn-hub-eastus-001 i wybierz pozycję Podsieci w obszarze Ustawienia.

  2. Wybierz pozycję + Podsieć , aby utworzyć nową podsieć.

  3. Na stronie Dodawanie podsieci wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Cel podsieci Z menu rozwijanego wybierz pozycję Brama sieci wirtualnej .
    Protokół IPv4
    Rozmiar Wybierz pozycję /27 z menu rozwijanego.

  4. Wybierz pozycję Dodaj i sprawdź, czy nowa podsieć została utworzona.

Uwaga

Podsieć bramy sieciowej to specjalna podsieć używana przez bramę sieci wirtualnej. Rozmiar podsieci bramki sieciowej musi wynosić co najmniej /27. Przestrzeń adresowa podsieci bramy nie może nakładać się na żadne inne podsieci w sieci wirtualnej. Przestrzeń adresowa podsieci bramy musi być podzbiorem przestrzeni adresowej sieci wirtualnej. Ta podsieć bramy musi mieć nazwę GatewaySubnet. Jeśli nie nadasz podsieci nazwy GatewaySubnet, brama sieci wirtualnej nie będzie mogła jej używać.

Wdrażanie bramy sieci wirtualnej

Wdróż bramę sieci wirtualnej w sieci wirtualnej koncentratora. Ta brama sieci wirtualnej jest niezbędna, aby włączyć ustawienie Użyj koncentratora jako bramy dla grupy sieci szprychowych konfiguracji łączności.

  1. Wybierz pozycję + Utwórz zasób i wyszukaj pozycję Brama sieci wirtualnej. Następnie wybierz pozycję Utwórz , aby rozpocząć konfigurowanie bramy sieci wirtualnej.

  2. Na karcie Podstawowe wprowadź lub wybierz następujące ustawienia:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję, w której chcesz wdrożyć tę sieć wirtualną.
    Nazwisko Wprowadź gw-learn-hub-eastus-001 jako nazwę bramy sieci wirtualnej.
    SKU Wybierz pozycję VpnGW1 dla jednostki SKU.
    Generowanie Wybierz pozycję Generacja1 dla generacji.
    Sieć wirtualna Wybierz sieć wirtualną vnet-learn-hub-eastus-001 dla sieci wirtualnej.
    Publiczny adres IP
    Nazwa publicznego adresu IP Wprowadź nazwę gwpip-learn-hub-eastus-001 dla publicznego adresu IP.
    DRUGI PUBLICZNY ADRES IP
    Nazwa publicznego adresu IP Wprowadź nazwę gwpip-learn-hub-eastus-002 dla publicznego adresu IP.

  3. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz po zakończeniu walidacji. Wdrożenie bramy sieci wirtualnej może potrwać około 30 minut. Możesz przejść do następnej sekcji podczas oczekiwania na ukończenie tego wdrożenia. Jednak może się okazać , że brama gw-learn-hub-eastus-001 nie wyświetla bramy z powodu chronometrażu i synchronizacji w witrynie Azure Portal.

Tworzenie grupy sieciowej

Uwaga

W tym przewodniku z instrukcjami założono, że utworzono wystąpienie usługi Azure Virtual Network Manager przy użyciu przewodnika Szybki start . Grupa sieci w tym samouczku nosi nazwę ng-learn-prod-eastus-001.

  1. Przejdź do grupy zasobów i wybierz zasób network-manager .

  2. W obszarze Ustawienia wybierz pozycję Grupy sieciowe. Następnie wybierz pozycję + Utwórz.

  3. W okienku Tworzenie grupy sieci wybierz pozycję Utwórz:

    Ustawienie Wartość
    Nazwa/nazwisko Wprowadź wartość network-group.
    Opis (Opcjonalnie) Podaj opis tej grupy sieciowej.
    Typ elementu członkowskiego Wybierz pozycję Sieć wirtualna z menu rozwijanego.

  4. Upewnij się, że nowa grupa sieci jest teraz wyświetlana w okienku Grupy sieciowe.

Definiowanie dynamicznego członkostwa w grupie za pomocą usługi Azure Policy

  1. Z listy grup sieci wybierz pozycję ng-learn-prod-eastus-001. W obszarze Tworzenie zasad w celu dynamicznego dodawania członków wybierz pozycję Utwórz usługę Azure Policy.

  2. Na stronie Tworzenie usługi Azure Policy wybierz lub wprowadź następujące informacje:

    Zrzut ekranu przedstawiający kartę tworzenia instrukcji warunkowych grupy sieci.

    Ustawienie Wartość
    Nazwa zasady Wprowadź polecenie azpol-learn-prod-eastus-001 w polu tekstowym.
    Scope Wybierz pozycję Wybierz zakresy i wybierz bieżącą subskrypcję.
    Kryterium
    Parametr Wybierz pozycję Nazwa z listy rozwijanej.
    Obsługujący Wybierz pozycję Zawiera z listy rozwijanej.
    Stan Wprowadź -prod warunku w polu tekstowym.

  3. Wybierz pozycję Podgląd zasobów , aby wyświetlić okienko Obowiązujące sieci wirtualne , a następnie wybierz pozycję Zamknij. Na tej stronie przedstawiono sieci wirtualne, które zostaną dodane do grupy sieci na podstawie warunków zdefiniowanych w usłudze Azure Policy.

  4. Wybierz pozycję Zapisz , aby wdrożyć członkostwo w grupie. Zastosowanie zasad i dodanie ich do grupy sieciowej może potrwać do jednej minuty.

  5. Na stronie Grupa sieci w obszarze Ustawienia wybierz pozycję Członkowie grupy, aby wyświetlić członkostwo grupy na podstawie warunków zdefiniowanych w usłudze Azure Policy. Źródło jest wyświetlane jako azpol-learn-prod-eastus-001.

    Zrzut ekranu przedstawiający dynamiczne członkostwo w grupie w obszarze Członkostwo w grupie.

Tworzenie konfiguracji łączności w topologii szprychowej

  1. Wybierz pozycję Konfiguracje w obszarze Ustawienia, a następnie wybierz pozycję + Utwórz.

  2. Wybierz pozycję Konfiguracja łączności z menu rozwijanego, aby rozpocząć tworzenie konfiguracji łączności.

  3. Na stronie Podstawy wprowadź następujące informacje, a następnie wybierz pozycję Dalej: Topologia >.

    Ustawienie Wartość
    Nazwisko Wprowadź ciąg cc-learn-prod-eastus-001.
    opis (Opcjonalnie) Podaj opis tej konfiguracji łączności.

  4. Na karcie Topologia wybierz pozycję Piasta i Szprycha. Spowoduje to wyświetlenie innych ustawień.

  5. Wybierz pozycję Wybierz centrum w obszarze Ustawienie Centrum . Następnie wybierz pozycję vnet-learn-hub-eastus-001 , aby służyć jako centrum konfiguracji, a następnie wybierz pozycję Wybierz.

    Uwaga

    W zależności od czasu wdrożenia docelowa sieć wirtualna koncentratora może nie być widoczna jako mająca bramę w obszarze Ma bramę. Jest to spowodowane wdrożeniem bramy sieci wirtualnej. Wdrożenie może potrwać do 30 minut i może nie być wyświetlane natychmiast w różnych widokach witryny Azure Portal.

  6. W obszarze Grupy sieci szprychowych wybierz pozycję + Dodaj. Następnie wybierz pozycję ng-learn-prod-eastus-001 jako grupę sieci szprych i wybierz pozycję Wybierz.

  7. Po dodaniu grupy sieciowej wybierz następujące opcje.

    Zrzut ekranu przedstawiający ustawienia konfiguracji grupy sieciowej.

    Ustawienie Wartość
    Łączność bezpośrednia Zaznacz pole wyboru włącz łączność w grupie sieciowej. To ustawienie umożliwia sieciom wirtualnym grup sieci szprychowych w tym samym regionie bezpośrednią komunikację między sobą.
    Siatka globalna Pozostaw niezaznaczoną opcję Włącz łączność siatki między regionami. To ustawienie nie jest wymagane, ponieważ obie sieci wirtualne szprych znajdują się w tym samym regionie.
    Koncentrator jako brama Zaznacz pole wyboru Centrum jako bramę.

  8. Wybierz pozycję Dalej: Przejrzyj i utwórz > , a następnie utwórz konfigurację łączności.

Wdrażanie konfiguracji łączności

Przed wdrożeniem konfiguracji łączności upewnij się, że brama sieci wirtualnej została pomyślnie wdrożona. Jeśli wdrożysz konfigurację typu hub-and-spoke z włączoną opcją Użyj koncentratora jako bramy i nie ma bramy, wdrożenie zakończy się niepowodzeniem. Aby uzyskać więcej informacji, zobacz używanie centrum jako bramy.

  1. Wybierz pozycję Wdrożenia w obszarze Ustawienia, a następnie wybierz pozycję Wdróż konfigurację.

  2. Wybierz następujące ustawienia:

    Ustawienie Wartość
    Konfiguracje Wybierz pozycję Uwzględnij konfiguracje łączności w stanie celu.
    Konfiguracje łączności Wybierz pozycję cc-learn-prod-eastus-001.
    Regiony docelowe Wybierz pozycję Wschodnie stany USA jako region wdrożenia.

  3. Wybierz pozycję Dalej , a następnie wybierz pozycję Wdróż , aby ukończyć wdrożenie.

  4. Wdrożenie zostanie wyświetlone na liście dla wybranego regionu. Wdrożenie konfiguracji może potrwać kilka minut.

    Zrzut ekranu przedstawiający stan wdrożenia konfiguracji w toku.

Tworzenie konfiguracji administratora zabezpieczeń

  1. Wybierz ponownie pozycję Konfiguracja w obszarze Ustawienia , a następnie wybierz pozycję + Utwórz, a następnie wybierz pozycję Konfiguracja administratora zabezpieczeń z menu, aby rozpocząć tworzenie konfiguracji administratora zabezpieczeń.

  2. Wprowadź nazwę sac-learn-prod-eastus-001 dla konfiguracji, a następnie wybierz pozycję Dalej: kolekcje reguł.

  3. Wprowadź nazwę rc-learn-prod-eastus-001 dla kolekcji reguł i wybierz pozycję ng-learn-prod-eastus-001 dla docelowej grupy sieci. Następnie wybierz pozycję + Dodaj.

  4. Wprowadź i wybierz następujące ustawienia, a następnie wybierz pozycję Dodaj:

    Zrzut ekranu przedstawiający dodawanie strony reguły i ustawień reguły.

    Ustawienie Wartość
    Nazwisko Wprowadź DENY_INTERNET
    opis Wprowadź wartość Ta reguła blokuje ruch do Internetu za pośrednictwem protokołów HTTP i HTTPS
    Priorytet Wprowadź wartość 1
    Akcja Wybierz pozycję Odmów
    Kierunek Wybierz pozycję Wychodzące
    Protokół Wybierz pozycję TCP
    Źródło
    Typ źródła Wybierz adres IP
    Źródłowe adresy IP Wprowadź *
    Lokalizacja docelowa
    Typ docelowy Wybieranie adresów IP
    Docelowe adresy IP Wprowadź *
    Port docelowy Wprowadź wartość 80, 443

  5. Wybierz pozycję Dodaj , aby dodać kolekcję reguł do konfiguracji administratora zabezpieczeń.

  6. Wybierz pozycję Przejrzyj i utwórz, aby utworzyć konfigurację administratora zabezpieczeń.

Wdrażanie konfiguracji administratora zabezpieczeń

  1. Wybierz pozycję Wdrożenia w obszarze Ustawienia, a następnie wybierz pozycję Wdróż konfiguracje.

  2. W obszarze Konfiguracje wybierz pozycję Uwzględnij administratora zabezpieczeń w stanie celu i konfigurację sac-learn-prod-eastus-001 utworzoną w ostatniej sekcji. Następnie wybierz pozycję Wschodnie stany USA jako region docelowy, a następnie wybierz pozycję Dalej.

  3. Wybierz pozycję Dalej , a następnie pozycję Wdróż. Powinno zostać wyświetlone wdrożenie na liście dla wybranego regionu. Wdrożenie konfiguracji może potrwać kilka minut.

Weryfikowanie wdrażania konfiguracji

Weryfikowanie z sieci wirtualnej

  1. Przejdź do sieci wirtualnej vnet-learn-prod-eastus-001 i wybierz pozycję Menedżer sieci w obszarze Ustawienia. Karta Konfiguracje łączności zawiera listę konfiguracji łączności cc-learn-prod-eastus-001 zastosowanych w sieci wirtualnej.

    Zrzut ekranu przedstawiający konfigurację łączności zastosowaną do sieci wirtualnej.

  2. Wybierz kartę Konfiguracje administratorów zabezpieczeń i rozwiń węzeł Wychodzący, aby wyświetlić listę reguł administratora zabezpieczeń zastosowanych do tej sieci wirtualnej.

    Zrzut ekranu przedstawiający konfigurację administratora zabezpieczeń zastosowaną do sieci wirtualnej.

  3. Przejdź do vnet-learn-hub-eastus-001 i wybierz Połączenia równorzędne w obszarze Ustawienia, aby wyświetlić listę połączeń równorzędnych sieci wirtualnych utworzonych przez usługę Azure Virtual Network Manager. Jego nazwa zaczyna się od ANM_.

    Zrzut ekranu przedstawiający peering sieci wirtualnych utworzony przez usługę Azure Virtual Network Manager.

Weryfikowanie z maszyny wirtualnej

  1. Wdróż testową maszynę wirtualną w sieci wirtualnej vnet-learn-prod-eastus-001.

  2. Przejdź do testowej maszyny wirtualnej utworzonej w obszarze Sieć wirtualna vnet-prod-eastus-001 i wybierz pozycję Sieć w obszarze Ustawienia. Wybierz pozycję Reguły portów wychodzących i sprawdź, czy reguła DENY_INTERNET jest stosowana.

    Zrzut ekranu przedstawiający testowe reguły zabezpieczeń sieci maszyny wirtualnej.

  3. Wybierz nazwę interfejsu sieciowego i wybierz pozycję Obowiązujące trasy w obszarze Pomoc , aby zweryfikować trasy dla komunikacji równorzędnej sieci wirtualnej. Trasa 10.2.0.0/16 z typemVNet peering następnego przeskoku to trasa do sieci wirtualnej koncentratora.

Czyszczenie zasobów

Jeśli nie potrzebujesz już menedżera usługi Azure Virtual Network Manager, przed usunięciem zasobu należy upewnić się, że wszystkie poniższe elementy są prawdziwe:

  • Nie ma wdrożeń konfiguracji w żadnym regionie.
  • Wszystkie konfiguracje zostały usunięte.
  • Wszystkie grupy sieciowe zostały usunięte.

Użyj listy kontrolnej usuwania komponentów aby upewnić się, że żadne zasoby podrzędne nadal nie istnieją przed usunięciem grupy zasobów.

Następne kroki

Dowiedz się, jak blokować ruch sieciowy przy użyciu konfiguracji administratora zabezpieczeń.

  • Last updated on