Sdílet prostřednictvím


Kurz: Vytvoření zabezpečené hvězdicové sítě

V tomto kurzu vytvoříte hvězdicovou síťovou topologii pomocí Azure Virtual Network Manageru. Pak nasadíte bránu virtuální sítě v centrální virtuální síti, která umožní prostředkům v paprskových virtuálních sítích komunikovat se vzdálenými sítěmi pomocí sítě VPN. Nakonfigurujete také konfiguraci zabezpečení, která blokuje odchozí síťový provoz na internetu na portech 80 a 443. Nakonec ověříte, že se konfigurace správně použily, a to tak, že se podíváte na nastavení virtuální sítě a virtuálního počítače.

V tomto kurzu se naučíte:

  • Vytvořte několik virtuálních sítí.
  • Nasaďte bránu virtuální sítě.
  • Vytvořte hvězdicovou síťovou topologii.
  • Vytvořte konfiguraci zabezpečení, která blokuje provoz na portu 80 a 443.
  • Ověřte, že byly použity konfigurace.

Diagram komponent zabezpečené hvězdicové topologie

Požadavek

Vytvoření virtuálních sítí

Tento postup vás provede vytvořením tří virtuálních sítí, které budou připojeny pomocí hvězdicové síťové topologie.

  1. Přihlaste se k portálu Azure.

  2. Vyberte + Vytvořit prostředek a vyhledejte virtuální síť. Potom výběrem možnosti Vytvořit zahájíte konfiguraci virtuální sítě.

  3. Na kartě Základy zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Předplatné Vyberte předplatné, do kterého chcete tuto virtuální síť nasadit.
    Skupina prostředků Vyberte nebo vytvořte novou skupinu prostředků pro uložení virtuální sítě. V tomto rychlém startu se používá skupina prostředků s názvem rg-learn-eastus-001.
    Název Jako název virtuální sítě zadejte vnet-learn-prod-eastus-001 .
    Oblast Vyberte oblast USA – východ.
  4. Vyberte Další: IP adresy a nakonfigurujte následující adresní prostor sítě:

    Nastavení Hodnota
    Adresní prostor IPv4 Jako adresní prostor zadejte 10.0.0.0/16 .
    Název podsítě Zadejte výchozí název podsítě.
    Adresní prostor podsítě Zadejte adresní prostor podsítě 10.0.0.0/24.
  5. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit a nasaďte virtuální síť.

  6. Opakováním kroků 2 až 5 vytvořte do stejné skupiny prostředků dvě virtuální sítě s následujícími informacemi:

    Nastavení Hodnota
    Předplatné Vyberte stejné předplatné, které jste vybrali v kroku 3.
    Skupina prostředků Vyberte rg-learn-eastus-001.
    Název Zadejte vnet-learn-prod-eastus-002 a vnet-learn-hub-eastus-001 pro dvě virtuální sítě.
    Oblast Výběr (USA) – východ USA
    IP adresy vnet-learn-prod-eastus-002 Adresní prostor IPv4: 10.1.0.0/16
    Název podsítě: výchozí
    adresní prostor podsítě: 10.1.0.0/24
    IP adresy vnet-learn-hub-eastus-001 Adresní prostor IPv4: 10.2.0.0/16
    Název podsítě: výchozí
    adresní prostor podsítě: 10.2.0.0/24

Nasazení brány virtuální sítě

Nasaďte bránu virtuální sítě do centrální virtuální sítě. Tato brána virtuální sítě je nezbytná, aby paprsky používaly centrum jako nastavení brány .

  1. Vyberte + Vytvořit prostředek a vyhledejte bránu virtuální sítě. Pak vyberte Vytvořit a začněte konfigurovat bránu virtuální sítě.

  2. Na kartě Základy zadejte nebo vyberte následující nastavení:

    Snímek obrazovky s kartou Základy vytvoření brány virtuální sítě

    Nastavení Hodnota
    Předplatné Vyberte předplatné, do kterého chcete tuto virtuální síť nasadit.
    Název Jako název brány virtuální sítě zadejte gw-learn-hub-eastus-001 .
    Skladová jednotka (SKU) Jako skladovou položku vyberte VpnGW1 .
    Generace Vyberte generaci 1 . generace.
    Virtuální síť Vyberte virtuální síť vnet-learn-hub-eastus-001.
    Veřejná IP adresa
    Název veřejné IP adresy Zadejte název gwpip-learn-hub-eastus-001 pro veřejnou IP adresu.
    DRUHÁ VEŘEJNÁ IP ADRESA
    Název veřejné IP adresy Zadejte název gwpip-learn-hub-eastus-002 pro veřejnou IP adresu.
  3. Vyberte Zkontrolovat a vytvořit a potom vyberte Vytvořit po ověření. Nasazení brány virtuální sítě může trvat přibližně 30 minut. Během čekání na dokončení tohoto nasazení můžete přejít k další části. Možná ale zjistíte , že gw-learn-hub-eastus-001 nezobrazuje bránu kvůli načasování a synchronizaci na webu Azure Portal.

Vytvoření skupiny sítě

Poznámka:

Tento průvodce postupy předpokládá, že jste pomocí příručky pro rychlý start vytvořili instanci správce sítě. Skupina sítí v tomto kurzu se nazývá ng-learn-prod-eastus-001.

  1. Přejděte do skupiny prostředků rg-learn-eastus-001 a vyberte instanci správce sítě vnm-learn-eastus-001 .

  2. V části Nastavení vyberte Skupiny sítě. Pak vyberte + Vytvořit.

  3. V podokně Vytvořit skupinu sítě a pak vyberte Vytvořit:

    Nastavení Hodnota
    Název Zadejte ng-learn-prod-eastus-001.
    Popis (Volitelné) Zadejte popis této skupiny sítě.
    Typ členu V rozevírací nabídce vyberte Virtuální síť .

    a vyberte Vytvořit.

  4. Ověřte, že nová skupina sítě je teď uvedená v podokně Skupiny sítí.

Definování dynamického členství ve skupinách pomocí zásad Azure

  1. V seznamu skupin sítí vyberte ng-learn-prod-eastus-001. V části Vytvořit zásadu pro dynamické přidávání členů vyberte Vytvořit zásadu Azure.

  2. Na stránce Vytvořit azure Policy vyberte nebo zadejte následující informace:

    Snímek obrazovky s kartou Vytvořit podmíněné příkazy skupiny sítě

    Nastavení Hodnota
    Název zásady Do textového pole zadejte azpol-learn-prod-eastus-001 .
    Obor Vyberte Vybrat obory a zvolte aktuální předplatné.
    Kritéria
    Parametr V rozevíracím seznamu vyberte Název .
    Operátor V rozevíracím seznamu vyberte Contains (Obsahuje ).
    Podmínka Do textového pole zadejte -pro podmínku.
  3. Výběrem možnosti Náhled prostředků zobrazíte stránku Efektivní virtuální sítě a vyberete Zavřít. Tato stránka zobrazuje virtuální sítě, které se přidají do skupiny sítí na základě podmínek definovaných ve službě Azure Policy.

  4. Výběrem možnosti Uložit nasadíte členství ve skupině. Může trvat až jednu minutu, než se zásada projeví a přidá se do vaší skupiny sítě.

  5. Na stránce Skupina sítě v části Nastavení vyberte Členové skupiny, abyste zobrazili členství ve skupině na základě podmínek definovaných ve službě Azure Policy. Zdroj je uvedený jako azpol-learn-prod-eastus-001.

    Snímek obrazovky s dynamickým členstvím ve skupině v části Členství ve skupině

Vytvoření konfigurace připojení centra a paprsku

  1. V části Nastavení vyberte Konfigurace a pak vyberte + Vytvořit.

  2. V rozevírací nabídce vyberte konfiguraci připojení, abyste mohli začít vytvářet konfiguraci připojení.

  3. Na stránce Základy zadejte následující informace a vyberte Další: Topologie >.

    Nastavení Hodnota
    Name Zadejte cc-learn-prod-eastus-001.
    Popis (Volitelné) Zadejte popis této konfigurace připojení.
  4. Na kartě Topologie vyberte Centrum a paprsky. Tím se zobrazí další nastavení.

  5. V části Nastavení centra vyberte vybrat centrum. Pak vyberte vnet-learn-hub-eastus-001, aby sloužil jako vaše síťové centrum, a vyberte Vybrat.

    Poznámka:

    V závislosti na načasování nasazení se nemusí zobrazit virtuální síť cílového centra jako brána v části Má brána. Důvodem je nasazení brány virtuální sítě. Nasazení může trvat až 30 minut a nemusí se okamžitě zobrazit v různých zobrazeních webu Azure Portal.

  6. V části Skupiny sítě Paprsky vyberte + přidat. Pak pro skupinu sítí vyberte ng-learn-prod-eastus-001 a vyberte Vybrat.

  7. Po přidání skupiny sítě vyberte následující možnosti. Potom výběrem možnosti Přidat vytvořte konfiguraci připojení.

    Snímek obrazovky s nastavením konfigurace skupiny sítě

    Nastavení Hodnota
    Přímé připojení Zaškrtněte políčko Povolit připojení v rámci skupiny sítí. Toto nastavení umožňuje paprskovým virtuálním sítím ve skupině sítě ve stejné oblasti komunikovat mezi sebou přímo.
    Global Mesh Možnost Povolit síťové připojení mezi oblastmi ponechte nezaškrtnutou. Toto nastavení se nevyžaduje, protože oba paprsky jsou ve stejné oblasti.
    Centrum jako brána Zaškrtněte políčko pro Centrum jako bránu.
  8. Vyberte Další: Zkontrolujte a vytvořte > konfiguraci připojení.

Nasazení konfigurace připojení

Před nasazením konfigurace připojení se ujistěte, že se brána virtuální sítě úspěšně nasadila. Pokud nasadíte konfiguraci centra a paprsku s povoleným centrem Použít centrum jako bránu a neexistuje žádná brána, nasazení selže. Další informace najdete v tématu Použití centra jako brány.

  1. V části Nastavení vyberte Nasazení a pak vyberte Nasadit konfiguraci.

  2. Vyberte následující nastavení:

    Nastavení Hodnota
    Konfigurace Ve vašem cílovém stavu vyberte Zahrnout konfigurace připojení.
    Konfigurace připojení Vyberte cc-learn-prod-eastus-001.
    Cílové oblasti Jako oblast nasazení vyberte USA – východ.
  3. Vyberte Další a pak výběrem možnosti Nasadit dokončete nasazení.

  4. Nasazení se zobrazí v seznamu pro vybranou oblast. Dokončení nasazení konfigurace může trvat několik minut.

    Snímek obrazovky s probíhajícím stavem nasazení konfigurace

Vytvoření konfigurace správce zabezpečení

  1. Znovu vyberte Konfigurace v části Nastavení , pak vyberte + Vytvořit a v nabídce vyberte SecurityAdmin a začněte vytvářet konfiguraci SecurityAdmin.

  2. Zadejte název sac-learn-prod-eastus-001 pro konfiguraci a pak vyberte Další: Kolekce pravidel.

  3. Zadejte název rc-learn-prod-eastus-001 pro kolekci pravidel a jako cílovou skupinu sítě vyberte ng-learn-prod-eastus-001 . Pak vyberte + Přidat.

  4. Zadejte a vyberte následující nastavení a pak vyberte Přidat:

    Snímek obrazovky s přidáním stránky pravidla a nastavení pravidla

    Nastavení Hodnota
    Name Zadejte DENY_INTERNET
    Popis Zadejte toto pravidlo, které blokuje provoz na internetu na http a HTTPS.
    Priorita Enter 1
    Akce Výběr možnosti Odepřít
    Směr Výběr odchozích přenosů
    Protokol Vyberte TCP.
    Source
    Source type Vyberte IP adresu.
    Zdrojové IP adresy Zadejte *
    Cíl
    Typ cíle Výběr IP adres
    Cílové IP adresy Zadejte *
    Cílový port Zadejte 80, 443
  5. Výběrem možnosti Přidat přidáte kolekci pravidel do konfigurace.

  6. Vyberte Zkontrolovat a vytvořit a vytvořit konfiguraci správce zabezpečení.

Nasazení konfigurace správce zabezpečení

  1. V části Nastavení vyberte Nasazení a pak vyberte Nasadit konfigurace.

  2. V části Konfigurace vyberte Zahrnout správce zabezpečení ve vašem cílovém stavu a konfiguraci sac-learn-prod-eastus-001 , kterou jste vytvořili v poslední části. Pak jako cílovou oblast vyberte USA – východ a vyberte Další.

  3. Vyberte Další a pak Nasadit. Nasazení by se teď mělo zobrazit v seznamu pro vybranou oblast. Dokončení nasazení konfigurace může trvat několik minut.

Ověření nasazení konfigurací

Ověření z virtuální sítě

  1. Přejděte na virtuální síť vnet-learn-prod-eastus-001 a v části Nastavení vyberte Správce sítě. Karta Konfigurace připojení obsahuje seznam konfigurace připojení cc-learn-prod-eastus-001 použité ve virtuální síti.

    Snímek obrazovky s konfigurací připojení použitou pro virtuální síť

  2. Vyberte kartu Konfigurace správce zabezpečení a rozbalte Položku Odchozí a vypíšete pravidla správce zabezpečení použitá pro tuto virtuální síť.

    Snímek obrazovky s konfigurací správce zabezpečení použitou pro virtuální síť

  3. V části Nastavení vyberte Partnerské vztahy a vypíšete partnerské vztahy virtuálních sítí vytvořené nástrojem Virtual Network Manager. Jeho název začíná ANM_.

    Snímek obrazovky partnerských vztahů virtuálních sítí vytvořených nástrojem Virtual Network Manager

Ověření z virtuálního počítače

  1. Nasaďte testovací virtuální počítač do virtuální sítě vnet-learn-prod-eastus-001.

  2. Přejděte na testovací virtuální počítač vytvořený v síti vnet-learn-prod-eastus-001 a v části Nastavení vyberte Sítě. Vyberte pravidla odchozího portu a ověřte , že je použito pravidlo DENY_INTERNET .

    Snímek obrazovky s testovacími pravidly zabezpečení sítě virtuálního počítače

  3. Vyberte název síťového rozhraní a v části Nápověda vyberte Efektivní trasy a ověřte trasy pro partnerské vztahy virtuálních sítí. Trasa 10.2.0.0/16 s typem dalšího VNet peering segmentu směrování je trasa do virtuální sítě centra.

Vyčištění prostředků

Pokud už Azure Virtual Network Manager nepotřebujete, musíte se ujistit, že jsou splněné všechny následující podmínky, abyste mohli prostředek odstranit:

  • Neexistují žádná nasazení konfigurací do žádné oblasti.
  • Všechny konfigurace byly odstraněny.
  • Všechny skupiny sítě byly odstraněny.

Pomocí kontrolního seznamu odebrat součásti se ujistěte, že před odstraněním skupiny prostředků nejsou k dispozici žádné podřízené prostředky.

Další kroky

Zjistěte, jak blokovat síťový provoz pomocí konfigurace správce zabezpečení.