Cvičení – vytvoření síťového virtuálního zařízení (NVA) a virtuálních počítačů

Dokončeno

V další fázi implementace zabezpečení nasadíte síťové virtuální zařízení (NVA), abyste zabezpečili provoz mezi veřejnými front-end servery a interními privátními servery a mohli ho monitorovat.

Nejprve nakonfigurujte zařízení tak, aby předával provoz IP. Pokud není přesměrování IP povolené, provoz směrovaný přes toto zařízení se nikdy nedostane k zamýšleným cílovým serverům.

V tomto cvičení nasadíte síťové zařízení nva do podsítě dmzsubnet . Potom povolíte předávání IP, aby se provoz z * a provoz, který používá vlastní trasu , odeslal do podsítě privátní podsítě .

V následujících krocích nasadíte síťové virtuální zařízení. Pak aktualizujete virtuální síťovou kartu Azure a nastavení sítě v rámci zařízení, aby bylo možné předávání IP.

Nasazení síťového virtuálního zařízení

Pokud chcete vytvořit síťové virtuální zařízení, nasaďte instanci Ubuntu LTS.

1. V Cloud Shellu spusťte následující příkaz, kterým zařízení nasadíte. V příkazu nahraďte <password> vhodným heslem podle svého výběru pro účet správce azureuser.

   az vm create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name nva \
       --vnet-name vnet \
       --subnet dmzsubnet \
       --image Ubuntu2204 \
       --admin-username azureuser \
       --admin-password <password>
   

Povolení předávání IP pro síťové rozhraní Azure

V dalších krocích povolíte předávání IP pro síťové zařízení nva . Pokud provoz směřuje do síťového virtuálního zařízení (NVA), přestože je určen pro jiný cíl, přesměruje NVA tento provoz do správného cíle.

1. Spuštěním následujícího příkazu získejte ID síťového rozhraní síťového virtuálního zařízení:

   NICID=$(az vm nic list \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --vm-name nva \
       --query "[].{id:id}" --output tsv)
   
   echo $NICID
   

2. Spuštěním následujícího příkazu získejte název síťového rozhraní síťového virtuálního zařízení:

   NICNAME=$(az vm nic show \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --vm-name nva \
       --nic $NICID \
       --query "{name:name}" --output tsv)
   
   echo $NICNAME
   

3. Spuštěním následujícího příkazu povolte předávání IP pro síťové rozhraní:

   az network nic update --name $NICNAME \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --ip-forwarding true
   

Povolení předávání IP v zařízení

1. Spuštěním následujícího příkazu uložte veřejnou IP adresu virtuálního počítače síťového virtuálního zařízení do proměnné NVAIP:

   NVAIP="$(az vm list-ip-addresses \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name nva \
       --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
       --output tsv)"
   
   echo $NVAIP
   

2. Spuštěním následujícího příkazu povolte předávání IP v rámci síťového virtuálního zařízení:

   ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
   

   Po zobrazení výzvy zadejte heslo, které jste použili při vytvoření virtuálního počítače.