Cvičení – implementace hvězdicové síťové topologie v Azure

  • 10 min

Rozhodli jste se nasadit síťovou infrastrukturu v konfiguraci paprskového uspořádání pro vaše prostředky. Kromě toho chce interní personální oddělení hostovat nový interní personální systém, který by neměl být přístupný z internetu. Systém personálního oddělení by měl být přístupný všem uživatelům ve společnosti, ať už pracují v ústředí nebo v satelitní kanceláři.

V tomto cvičení nasadíte síťovou infrastrukturu a pak vytvoříte novou virtuální síť pro hostování serverů pro nový systém personálního oddělení vaší společnosti.

Diagram znázorňující přidání nového personálního uzlu do sítě.

Nastavení prostředí

Toto nasazení vytvoří síťové prostředky Azure odpovídající předchozímu diagramu. S těmito prostředky můžete přidat novou virtuální síť personálního oddělení.

Vytvořte virtuální sítě a podsítě pro prostředky serveru. Spusťte následující příkaz:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

Vytvořte nový uzel ve vaší virtuální síti

Virtuální síť můžete vytvořit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu. Pojďme provést zbytek tohoto cvičení prostřednictvím webu Azure Portal.

  1. Přihlaste se k webu Azure Portal pomocí stejného účtu, který jste použili k aktivaci sandboxu.

  2. V levém horním rohu portálu Azure zvolte Vytvořit prostředek. Zobrazí se okno Vytvoření prostředku.

  3. Do vyhledávacího pole zadejte Virtuální síť.

  4. Vyberte Virtuální síť v Marketplace. Zobrazí se podokno Vytvoření virtuální sítě.

  5. Pokud chcete začít konfigurovat virtuální síť, vyberte Vytvořit. Zobrazí se podokno Vytvořit virtuální síť.

Konfigurace nastavení virtuální sítě

Uživatelské rozhraní portálu pro tvorbu prostředků je průvodce, který vás provádí počáteční konfigurací virtuální sítě.

  1. Pokud chcete vytvořit virtuální síť, zadejte na kartě Základy následující hodnoty pro každé nastavení.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Předplatné Concierge
    Skupina prostředků V rozevíracím seznamu vyberte [název skupiny prostředků sandboxu]
    podrobností o instanci
    Název virtuální sítě HRappVnet
    Oblast Ponechte výchozí oblast.

  2. Vyberte kartu IP adresy nebo vyberte Další > Další.

  3. Pro každé nastavení zadejte následující hodnoty.

    Nastavení Hodnota
    adresního prostoru IPv4 Nahraďte výchozí adresu 10.10.0.0/16 v textovém poli.
    Název podsítě Vyberte výchozí. Zobrazí se podokno Upravit podsíť. Pro každé nastavení zadejte následující hodnoty.
    Nastavení Hodnota
    Název podsítě Systémy HR
    Počáteční adresa 10.10.1.0/24

  4. Vyberte Uložit.

  5. Vyberte Zkontrolovat a vytvořit. Po ověření spusťte zřizování virtuální sítě výběrem možnosti Vytvořit.

  6. Po úspěšném dokončení nasazení vyberte Přejít k prostředku. Zobrazí se vaše virtuální síť nazývaná HRappVnet panel.

Konfigurace partnerského vztahu virtuálních sítí centra

Teď, když jste vytvořili třetí paprsek, musíte nakonfigurovat peerování virtuální sítě mezi hubem a paprsky.

  1. Přejděte na domovskou stránku portálu. Vyberte Všechny prostředky. Zobrazí se podokno Všechny prostředky.

    Měli byste vidět virtuální sítě HubVNet, WebVNet, QuoteVNeta HRappVnet.

  2. Vyberte HubVNet. Zobrazí se podokno HubVnet.

  3. V levém podokně nabídek v části nastavenívyberte Peerings. Zobrazí se podokno Peerings pro vaše podokno HubVnet.

  4. Na horní liště menu vyberte + Přidat. Zobrazí se podokno Přidání připojení pro vaši síť HubVnet.

  5. Na stránce Přidat partnerský vztah vyberte HRappVnet pro virtual network před dokončením konfigurace partnerského vztahu.

  6. Pro každé nastavení zadejte následující hodnoty.

    Nastavení Hodnota
    tuto virtuální síť
    Název odkazu peeringu Zadejte gwPeering_hubVNet_HRappVnet. Tento název je název partnerského propojení z HubvNet do HRappVnet.
    Povolit 'HubVnet' přístup do 'HRappVnet'. Zaškrtněte políčko Povolit přístup.
    Povolit službě HubVnet přijímat přesměrovaný provoz z HRappVnet Chcete-li blokovat provoz pocházející zvenčí této virtuální sítě, ponechte zaškrtávací políčko nezaškrtnuté.
    Povolit bráně ve službě HubVnet předávat provoz do HRappVnet Nechejte zaškrtnuto políčko.
    Povolte HubVnet k použití vzdálené brány HRappVnet. Nechejte zaškrtnuto políčko.
    vzdálené virtuální sítě
    Název odkazu peeringu gwPeering_HRappVnet_hubVNet. Jedná se o název partnerského propojení z HRappVnet do HubVnet.
    Model nasazení virtuální sítě Vyberte správce prostředků
    Předplatné Vyberte předplatné Concierge.
    Virtuální síť Vyberte HRappVnet
    Povolit HRappVnet přístup ke službě HubVnet Zaškrtněte políčko Povolit přístup.
    Povolit HRappVnet přijímat přesměrovaný provoz z HubVnet Pokud chcete blokovat provoz pocházející z vně této virtuální sítě, nechejte políčko nezaškrtnuté.
    Povolit bráně v HRappVnet předávat provoz do HubVnet Nechejte zaškrtávací políčko nezaškrtnuté.
    Povolte HRappVnet k použití vzdálené brány HubVnet. Nechejte zaškrtávací políčko nezaškrtnuté.

  7. Chcete-li vytvořit propojení, vyberte Přidat. Podokno Peering se znovu zobrazí s novým peeringem.

Teď jste propojili virtuální síť rozbočovače s virtuální sítí paprsku. Povolili jste přesměrování provozu z centra do pobočky pomocí brány VPN v konfiguraci.

Vytvoření skupiny zabezpečení sítě pro virtuální síť

Pokud chcete nakonfigurovat tok provozu, vytvoříte skupinu zabezpečení sítě.

  1. Přejděte na Domovskou stránku portálu a vyberte Založit zdroj. Zobrazí se podokno Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte skupiny zabezpečení sítěa pak v seznamu vyberte odkaz se stejným názvem. Zobrazí se podokno Skupina zabezpečení sítě - Vytvořit.

  3. Pokud chcete začít konfigurovat virtuální síť, vyberte Vytvořit. Zobrazí se Vytvoření skupiny zabezpečení sítě.

  4. Na kartě Základy zadejte pro každé nastavení následující hodnoty.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Předplatné Concierge
    Skupina prostředků V rozevíracím seznamu vyberte [název skupiny prostředků sandboxu]
    podrobností o instanci
    Jméno Zadejte HRNsg
    Oblast Ponechte výchozí umístění.

  5. Vyberte Zkontrolovat + vytvořit.

  6. Po úspěšném ověření pro nasazení skupiny zabezpečení sítě vyberte možnost Vytvořit. Zobrazí se podokno Přehled vaší NSG (skupiny zabezpečení sítě).

  7. Vyberte Přejít k prostředku a poznamenejte si NSG, HRNsg.

Teď jste vytvořili skupinu zabezpečení sítě, kterou můžete přiřadit ke každé virtuální síti.

Přidružit skupinu zabezpečení sítě k nové virtuální síti HR

Teď k virtuální síti přidružíte skupinu zabezpečení sítě.

  1. Pokud jste zavřeli okno HRNsg, přejděte na domovskou stránku portálu. Vyberte Všechny prostředky a vyberte HRNsg . Zobrazí se podokno HRNsg. V opačném případě přejděte k dalšímu kroku.

  2. V levém podokně nabídek v části Nastavenívyberte Podsítě. Pro skupinu zabezpečení sítě HRNsg se zobrazí podokno podsítě .

  3. V horním řádku nabídek vyberte + Přidružit. Zobrazí se podokno Přidružení podsítě.

  4. Z rozevíracího seznamu Virtuální síť vyberte HRappVnet.

  5. V rozevíracím seznamu Podsíť vyberte HRsystems.

  6. Pokud chcete přidružit skupinu zabezpečení sítě, vyberte OK. Znovu se zobrazí podokno podsítí skupiny zabezpečení sítě HRNsg.

Konfigurace pravidla skupiny zabezpečení sítě pro zastavení příchozího provozu HTTP

Máte požadavek na zabezpečení, které musí být splněno pro HR aplikaci, která má být hostována v HRappVnet. Z spoku by neměl být žádný příchozí síťový provoz HTTP, jelikož přístup potřebují jenom interní zaměstnanci. Nakonfigurujte pravidlo skupiny zabezpečení sítě tak, aby splňovalo tento požadavek.

  1. Na stránce HRNsg | Podsítě vyberte Příchozí pravidla zabezpečení v Nastavení. Podokno Příchozí pravidla zabezpečení se zobrazí pro vaši skupinu zabezpečení sítě HRNsg.

  2. V horním řádku nabídek vyberte + Přidat. Zobrazí se podokno Přidat příchozí pravidlo zabezpečení.

  3. Pro každé nastavení zadejte následující hodnoty.

    Nastavení Hodnota
    Zdroj V rozevíracím seznamu vyberte Libovolný.
    Rozsahy zdrojových portů Ponechte výchozí hodnotu *.
    Cíl V rozevíracím seznamu vyberte štítek služby.
    Značka cílové služby Vyberte VirtualNetwork.
    Služba Vyberte Vlastní.
    Rozsahy cílových portů Zadejte 80 443
    Protokol Vyberte Libovolný.
    Akce Vyberte Odepřít.
    Priorita Zadejte 100.
    Jméno Zadejte Block-Inbound-HTTP-HTTPS
    Popis Zadejte Blokovat příchozí provoz HTTP a HTTPS z propojené sítě.

  4. Pravidlo přidáte tak, že vyberete Přidat. Podokno Příchozí pravidla zabezpečení se znovu objeví pro vaši skupinu zabezpečení sítě.

Nyní jste zablokovali příchozí přístup HTTP od spoke na portech 80 a 443.

V tomto scénáři jste vytvořili odchozí virtuální síť Azure a poté ji spárovali s existující virtuální sítí rozbočovače. Pak jste zabezpečili provoz z této větve tím, že jste zablokovali příchozí přístup na portech 80 a 443, a zároveň zajistili, že se může připojit přes centrum.