Partilhar via

Tutorial: Criar uma rede hub-and-spoke segura

Neste tutorial, você cria uma topologia de rede hub-and-spoke usando o Gerenciador de Rede Virtual do Azure. Em seguida, você implanta um gateway de rede virtual na rede virtual do hub para permitir que os recursos nas redes virtuais dos grupos de rede spoke se comuniquem com redes remotas usando VPN. Você também configura uma configuração de administrador de segurança para bloquear o tráfego de rede de saída para a Internet nas portas 80 e 443. Finalmente, você verifica se as configurações foram aplicadas corretamente observando as configurações de rede virtual e máquina virtual.

Neste tutorial, irá aprender a:

  • Crie várias redes virtuais.
  • Implante um gateway de rede virtual.
  • Crie uma topologia de rede hub-and-spoke.
  • Crie uma configuração de administrador de segurança bloqueando o tráfego nas portas 80 e 443.
  • Verifique se as configurações foram aplicadas.

Diagrama dos componentes de uma topologia segura hub-and-spoke.

Pré-requisito

Criar redes virtuais

Este procedimento orienta você na criação de três redes virtuais a serem conectadas usando uma configuração de conectividade hub-and-spoke.

  1. Inicie sessão no portal do Azure.

  2. Selecione + Criar um recurso e procure por Rede virtual. Em seguida, selecione Criar para começar a configurar a rede virtual.

  3. Na guia Noções básicas, insira ou selecione as seguintes informações:

    Definição Valor
    Subscrição Selecione a assinatura na qual você deseja implantar essa rede virtual.
    Grupo de recursos Selecione ou crie um novo grupo de recursos para armazenar a rede virtual. Este guia de início rápido usa um grupo de recursos chamado rg-learn-eastus-001.
    Nome Digite vnet-learn-prod-eastus-001 para o nome da rede virtual.
    País/Região Selecione a região Leste dos EUA .

  4. Selecione Next: IP Addresses e configure o seguinte espaço de endereço de rede:

    Definição Valor
    Espaço de endereçamento IPv4 Digite 10.0.0.0/16 como o espaço de endereço.
    Nome da sub-rede Insira o nome padrão para a sub-rede.
    Espaço de endereços da sub-rede Insira o espaço de endereço da sub-rede de 10.0.0.0/24.

  5. Selecione Rever + criar e, em seguida, selecione Criar para implementar a rede virtual.

  6. Repita as etapas 2 a 5 para criar mais duas redes virtuais no mesmo grupo de recursos com as seguintes informações:

    Definição Valor
    Subscrição Selecione a mesma subscrição que selecionou no passo 3.
    Grupo de recursos Selecione o rg-learn-eastus-001.
    Nome Digite vnet-learn-prod-eastus-002 e vnet-learn-hub-eastus-001 para as duas redes virtuais.
    País/Região Selecionar (EUA) Leste dos EUA
    vnet-learn-prod-eastus-002 endereços IP Espaço de endereçamento IPv4: 10.1.0.0/16
    Nome da sub-rede: padrão
    Espaço de endereço da sub-rede: 10.1.0.0/24
    Endereços IP vnet-learn-hub-eastus-001 Espaço de endereçamento IPv4: 10.2.0.0/16
    Nome da sub-rede: padrão
    Espaço de endereço da sub-rede: 10.2.0.0/24

Criar uma sub-rede de gateway de rede virtual

Crie uma sub-rede de gateway de rede virtual na rede virtual do hub. Essa sub-rede é usada pelo gateway de rede virtual para rotear o tráfego de e para a rede virtual.

  1. Vá para a rede virtual vnet-learn-hub-eastus-001 e selecione Sub-redes em Configurações.

  2. Selecione + Sub-rede para criar uma nova sub-rede.

  3. Na página Adicionar sub-rede , insira ou selecione as seguintes informações:

    Definição Valor
    Finalidade da sub-rede Selecione Porta de acesso de rede virtual no menu suspenso.
    IPv4
    Tamanho Selecionar /27 a partir do menu pendente.

  4. Selecione Adicionar e verifique se a nova sub-rede foi criada.

Nota

A sub-rede do gateway é uma sub-rede especial usada pelo gateway de rede virtual. O tamanho da sub-rede do gateway deve ser pelo menos /27. O espaço de endereço da sub-rede do gateway não deve sobrepor-se a quaisquer outras sub-redes na rede virtual. O espaço de endereço da sub-rede do gateway deve ser um subconjunto do espaço de endereço da rede virtual. Essa sub-rede de gateway deve ser chamada GatewaySubnet. Se não der à sub-rede o nome GatewaySubnet, o gateway de rede virtual não terá capacidade para usá-la.

Implantar um gateway de rede virtual

Implante um gateway de rede virtual na rede virtual do hub. Este gateway de rede virtual é necessário para que os grupos de rede ramificada da configuração de conectividade ativem a definição Usar hub como gateway.

  1. Selecione + Criar um recurso e procure Gateway de rede virtual. Em seguida, selecione Criar para começar a configurar o gateway de rede virtual.

  2. Na guia Noções básicas, insira ou selecione as seguintes configurações:

    Definição Valor
    Subscrição Selecione a assinatura na qual você deseja implantar essa rede virtual.
    Nome Digite gw-learn-hub-eastus-001 para o nome do gateway de rede virtual.
    SKU Selecione VpnGW1 para a SKU.
    Geração Selecione Geração1 para a geração.
    Rede virtual Selecione vnet-learn-hub-eastus-001 para a rede virtual.
    Endereço IP público
    Nome do endereço IP público Digite o nome gwpip-learn-hub-eastus-001 para o IP público.
    SEGUNDO ENDEREÇO IP PÚBLICO
    Nome do endereço IP público Digite o nome gwpip-learn-hub-eastus-002 para o IP público.

  3. Selecione Rever + criar e, em seguida, selecione Criar após a validação ter passado. A implantação de um gateway de rede virtual pode levar cerca de 30 minutos. Você pode passar para a próxima seção enquanto aguarda a conclusão dessa implantação. No entanto, você pode achar que o gw-learn-hub-eastus-001 não exibe que ele tem um gateway devido ao tempo e à sincronização no portal do Azure.

Criar um grupo de rede

Nota

Este guia de instruções pressupõe que você criou uma instância do Azure Virtual Network Manager usando o guia de início rápido . O grupo de rede neste tutorial é chamado ng-learn-prod-eastus-001.

  1. Navegue até o grupo de recursos e selecione o recurso do gerenciador de rede.

  2. Em Configurações, selecione Grupos de rede. Em seguida, selecione + Criar.

  3. No painel Criar um grupo de rede e, em seguida, selecione Criar:

    Definição Valor
    Nome Insira o grupo de rede.
    Descrição (Opcional) Forneça uma descrição sobre este grupo de rede.
    Tipo de membro Selecione Rede virtual no menu suspenso.

  4. Confirme se o novo grupo de rede está agora listado no painel Grupos de rede .

Configurar associação de grupo dinâmico com a Azure Policy

  1. Na lista de grupos de rede, selecione ng-learn-prod-eastus-001. Em Criar política para adicionar membros dinamicamente, selecione Criar política do Azure.

  2. Na página Criar Política do Azure, selecione ou insira as seguintes informações:

    Captura de ecrã do separador Criar instruções condicionais de um grupo de rede.

    Definição Valor
    Nome da política Digite azpol-learn-prod-eastus-001 na caixa de texto.
    Âmbito Selecione Selecionar escopos e escolha sua assinatura atual.
    Critérios
    Parâmetro Selecione Nome na lista suspensa.
    Operador Selecione Contém na lista suspensa.
    Condição Digite -prod para a condição na caixa de texto.

  3. Selecione Visualizar recursos para exibir o painel Redes virtuais efetivas e selecione Fechar. Esta página mostra as redes virtuais que serão adicionadas ao grupo de redes com base nas condições definidas na Política do Azure.

  4. Selecione Salvar para implantar a associação ao grupo. Pode levar até um minuto para que a política entre em vigor e seja adicionada ao seu grupo de rede.

  5. Na página Grupo de Rede, em Configurações, selecione Membros do Grupo para exibir a associação ao grupo com base nas condições definidas na Política do Azure. A fonte está listada como azpol-learn-prod-eastus-001.

    Captura de ecrã da associação a um grupo dinâmico em Associação a um grupo.

Criar uma configuração de conectividade hub-and-spoke

  1. Selecione Configurações em Configurações e, em seguida, selecione + Criar.

  2. Selecione Configuração de conectividade no menu suspenso para começar a criar uma configuração de conectividade.

  3. Na página Noções básicas, insira as seguintes informações e selecione Avançar: Topologia >.

    Definição Valor
    Nome Digite cc-learn-prod-eastus-001.
    Descrição (Opcional) Forneça uma descrição sobre essa configuração de conectividade.

  4. Na guia Topologia, selecione Hub e Spoke. Isso revela outras configurações.

  5. Selecione Selecionar um hub em Configuração de hub . Em seguida, selecione vnet-learn-hub-eastus-001 para servir como hub da sua configuração e selecione Selecionar.

    Nota

    Dependendo do momento da implementação, poderá não conseguir ver a rede virtual do hub de destino como tendo um gateway em Tem gateway. Isso se deve à implantação do gateway de rede virtual. Pode levar até 30 minutos para implantar e pode não ser exibido imediatamente nas várias exibições do portal do Azure.

  6. Em Grupos de rede falados, selecione + Adicionar. Em seguida, selecione ng-learn-prod-eastus-001 como um grupo de rede spoke e selecione Selecionar.

  7. Depois de adicionar o grupo de rede, selecione as seguintes opções.

    Captura de ecrã das definições para a configuração do grupo de rede.

    Definição Valor
    Conectividade direta Marque a caixa de seleção Habilitar conectividade dentro do grupo de rede. Essa configuração permite que as redes virtuais dos grupos de rede spoke na mesma região se comuniquem diretamente entre si.
    Malha Global Deixe a opção Ativar conectividade de malha entre regiõesdesmarcada. Essa configuração não é necessária, pois ambas as redes virtuais faladas estão na mesma região.
    Hub como gateway Marque a caixa de seleção Hub como gateway.

  8. Selecione Seguinte: Rever + criar > e, em seguida, crie a configuração de conectividade.

Implantar a configuração de conectividade

Verifique se o gateway de rede virtual foi implantado com êxito antes de implantar a configuração de conectividade. Se você implantar uma configuração hub-and-spoke com Usar o hub como um gateway habilitado e não houver gateway, a implantação falhará. Para obter mais informações, consulte Usar hub como gateway.

  1. Selecione Implantações em Configurações e, em seguida, selecione Implantar configuração.

  2. Selecione as definições seguintes:

    Definição Valor
    Configurações Selecione Incluir configurações de conectividade no estado de meta .
    Configurações de conectividade Selecione cc-learn-prod-eastus-001.
    Regiões de destino Selecione Leste dos EUA como a região de implantação.

  3. Selecione Avançar e, em seguida, selecione Implantar para concluir a implantação.

  4. A implantação é exibida na lista da região selecionada. A implantação da configuração pode levar alguns minutos para ser concluída.

    Captura de tela do status da implantação da configuração em andamento.

Criar uma configuração de administrador de segurança

  1. Selecione Configuração em Configurações novamente, selecione + Criar e selecione Configuração de administrador de segurança no menu para começar a criar uma configuração de administrador de segurança.

  2. Digite o nome sac-learn-prod-eastus-001 para a configuração e selecione Next: Rule collections.

  3. Digite o nome rc-learn-prod-eastus-001 para a coleção de regras e selecione ng-learn-prod-eastus-001 para o grupo de rede de destino. Em seguida, selecione + Adicionar.

  4. Insira e selecione as seguintes configurações e, em seguida, selecione Adicionar:

    Captura de ecrã a mostrar a adição de uma página de regras e definições de regras.

    Definição Valor
    Nome Insira DENY_INTERNET
    Descrição Enter Esta regra bloqueia o tráfego para a Internet em HTTP e HTTPS
    Prioridade Digite 1
    Ação Selecione Negar
    Direção Selecione Saída
    Protocolo Selecione TCP
    Fonte
    Tipo de fonte Selecionar IP
    Endereços IP de origem Introduzir *
    Destino
    Tipo de destino Selecione endereços IP
    Endereços IP de destino Introduzir *
    Porta de destino Digite 80, 443

  5. Selecione Adicionar para adicionar a coleção de regras à configuração do administrador de segurança.

  6. Selecione Rever + criar e Criar para criar a configuração de administrador de segurança.

Implantar a configuração de administrador de segurança

  1. Selecione Implantações em Configurações e, em seguida, selecione Implantar configurações.

  2. Em Configurações, selecione Incluir administrador de segurança no estado de meta e na configuração sac-learn-prod-eastus-001 criada na última seção. Em seguida, selecione Leste dos EUA como a região de destino e selecione Avançar.

  3. Selecione Avançar e, em seguida, Implantar. Agora você deve ver a implantação aparecer na lista da região selecionada. A implantação da configuração pode levar alguns minutos para ser concluída.

Verificar a implantação de configurações

Verificar a partir de uma rede virtual

  1. Vá para a rede virtual vnet-learn-prod-eastus-001 e selecione Network Manager em Configurações. A guia Configurações de conectividade lista a configuração cc-learn-prod-eastus-001 aplicada na rede virtual.

    Captura de tela da configuração de conectividade aplicada à rede virtual.

  2. Selecione a guia Configurações de administrador de segurança e expanda Saída para listar as regras de administração de segurança aplicadas a essa rede virtual.

    Captura de ecrã da configuração do administrador de segurança aplicada à rede virtual.

  3. Vá para vnet-learn-hub-eastus-001 e selecione Emparelhamento em Configurações para listar os emparelhamentos de rede virtual criados pelo Gerenciador de Rede Virtual do Azure. Seu nome começa com ANM_.

    Captura de ecrã de emparelhamentos de rede virtual criados pelo Azure Virtual Network Manager.

Verificar a partir de uma máquina virtual

  1. Implante uma máquina virtual de teste no vnet-learn-prod-eastus-001.

  2. Vá para a VM de teste criada em vnet-learn-prod-eastus-001 e selecione Rede em Configurações. Selecione Regras de porta de saída e verifique se a regra de DENY_INTERNET é aplicada.

    Captura de tela das regras de segurança de rede da VM de teste.

  3. Selecione o nome da interface de rede e selecione Rotas efetivas em Ajuda para verificar as rotas para os emparelhamentos de rede virtual. A 10.2.0.0/16 rota com o Next Hop Type de é a rota para a rede virtual do VNet peering hub.

Clean up resources (Limpar recursos)

Se você não precisar mais do Gerenciador de Rede Virtual do Azure, precisará verificar se todos os itens a seguir são verdadeiros antes de excluir o recurso:

  • Não há implantações de configurações em nenhuma região.
  • Todas as configurações foram excluídas.
  • Todos os grupos de rede foram excluídos.

Use a lista de verificação de remoção de componentes para garantir que nenhum recurso filho ainda esteja disponível antes de excluir o grupo de recursos.

Próximos passos

Saiba como bloquear o tráfego de rede com uma configuração de administrador de segurança.

  • Last updated on