Übung: Implementieren einer Hub-Spoke-Netzwerktopologie in Azure

  • 10 Minuten

Sie haben entschieden, Ihre Netzwerkinfrastruktur in einer Hub-Spoke-Konfiguration für Ihre Ressourcen bereitstellen. Darüber hinaus möchte Ihre interne Personalabteilung ein neues internes Personalwirtschaftssystem hosten, das nicht über das Internet zugänglich sein darf. Das HR-System muss für alle im Unternehmen zugänglich sein, unabhängig davon, ob sie am Hauptsitz oder in einer Niederlassung tätig sind.

In dieser Übung stellen Sie Ihre Netzwerkinfrastruktur bereit und erstellen dann ein neues virtuelles Netzwerk, um die Server für das neue Personalsystem Ihres Unternehmens zu hosten.

Diagram showing adding a new HR spoke to the network.

Einrichten der Umgebung

Diese Bereitstellung erstellt die Azure-Netzwerkressourcen, die mit dem vorhergehenden Diagramm übereinstimmen. Wenn diese Ressourcen vorhanden sind, können Sie das neue virtuelle Personalwirtschaftsnetzwerk hinzufügen.

Erstellen Sie zuerst das virtuelle Netzwerk und die Subnetze für Ihre Serverressourcen. Führen Sie den folgenden Befehl aus:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

Erstellen einer neuen Spoke in Ihrem virtuellen Netzwerk

Sie können ein virtuelles Netzwerk im Azure-Portal, mit der Azure CLI oder Azure PowerShell erstellen. Der Rest dieser Übung wird im Azure-Portal ausgeführt.

  1. Melden Sie sich beim Azure-Portal mit dem gleichen Konto an, das Sie zum Aktivieren der Sandbox verwendet haben.

  2. Klicken Sie im Azure-Portal links oben auf Ressource erstellen. Der Bereich Ressource erstellen wird angezeigt.

  3. Geben Sie in das Suchfeld Virtuelles Netzwerk ein.

  4. Wählen Sie aus dem Marketplace die Option virtuelles Netzwerk aus. Der Bereich zum Erstellen eines virtuellen Netzwerks wird geöffnet.

  5. Klicken Sie auf Erstellen, um mit dem Konfigurieren des virtuellen Netzwerks zu beginnen. Der Bereich Virtuelles Netzwerk erstellen wird geöffnet.

Konfigurieren der Einstellungen des virtuellen Netzwerks

Die Umgebung zur Ressourcenerstellung im Portal ist ein Assistent, der Sie durch die anfängliche Konfiguration des virtuellen Netzwerks führt.

  1. Zum Erstellen des virtuellen Netzwerks geben auf der Registerkarte Allgemeine Informationen die folgenden Werte für die einzelnen Einstellungen ein.

    Einstellung Wert
    Projektdetails
    Subscription Concierge-Abonnement
    Ressourcengruppe Wählen Sie aus der Dropdownliste [Name der Sandboxressourcengruppe] aus.
    Instanzendetails
    Name des virtuellen Netzwerks HRappVnet
    Region Übernehmen Sie die Standardregion.

  2. Wählen Sie die Registerkarte IP-Adressen aus, oder klicken Sie auf Weiter > Weiter.

  3. Füllen Sie die folgenden Werte für jede Einstellung aus.

    Einstellung Wert
    IPv4-Adressraum Ersetzen Sie die Standardadresse im Textfeld durch 10.10.0.0/16.
    Subnetzname Wählen Sie Standard aus. Der Bereich Subnetz bearbeiten wird angezeigt. Füllen Sie die folgenden Werte für jede Einstellung aus.
    Einstellung Wert
    Subnetzname HRsystems
    Startadresse 10.10.1.0/24

  4. Wählen Sie Speichern.

  5. Klicken Sie auf Überprüfen + erstellen. Klicken Sie nach bestandener Überprüfung auf Erstellen, um mit der Bereitstellung des virtuellen Netzwerks zu beginnen.

  6. Klicken Sie auf Zu Ressource wechseln, nachdem die Bereitstellung erfolgreich abgeschlossen wurde. Ihr virtuelles Netzwerk namens HRappVnet wird angezeigt.

Konfigurieren des Peerings virtueller Netzwerke für den Hub

Nachdem Sie die dritte Spoke erstellt haben, müssen Sie das Peering virtueller Netzwerke zwischen Hub und Spokes konfigurieren.

  1. Wechseln Sie zur Startseite des Portals. Wählen Sie Alle Ressourcen. Der Bereich Alle Ressourcen wird angezeigt.

    Die virtuellen Netzwerke HubVNet, WebVNet, QuoteVNet und HRappVnet sollten angezeigt werden.

  2. Wählen Sie HubVNet aus. Der Bereich HubVnet wird angezeigt.

  3. Wählen Sie im linken Menübereich unter Einstellungen die Option Peerings aus. Der Bereich Peerings für Ihren HubVnet-Bereich wird angezeigt.

  4. Wählen Sie auf der oberen Menüleiste die Option + Hinzufügen aus. Der Bereich Peering hinzufügen wird für Ihr HubVnet angezeigt.

  5. Wählen Sie auf der Seite Peering hinzufügen die Option HRappVnet für virtuelles Netzwerk aus, bevor Sie die restliche Peeringkonfiguration abschließen.

  6. Füllen Sie die folgenden Werte für jede Einstellung aus.

    Einstellung Wert
    Dieses virtuelle Netzwerk
    Name des Peeringlinks Geben Sie gwPeering_hubVNet_HRappVnet ein. Dieser Name ist der Name des Peeringlinks von HubvNet zu HRappVnet.
    Zulassen von „HubVnet“ für den Zugriff auf „HRappVnet“ Aktivieren Sie das Kontrollkästchen, um den Zugriff zuzulassen.
    Zulassen von „HubVnet“, um weitergeleiteten Datenverkehr von „HRappVnet“ zu empfangen Lassen Sie das Kontrollkästchen deaktiviert, um den von außerhalb dieses virtuellen Netzwerks stammenden Datenverkehr zu blockieren.
    Zulassen von Gateway in „HubVnet“, um Datenverkehr an „HRappVnet“ weiterzuleiten Lassen Sie das Kontrollkästchen deaktiviert.
    Aktivieren von „HubVnet“, um Remotegateway von „HRappVnet“ zu verwenden Lassen Sie das Kontrollkästchen deaktiviert.
    Virtuelles Remotenetzwerk
    Name des Peeringlinks gwPeering_HRappVnet_hubVNet. Dieser Name ist der Name des Peeringlinks von HRappVnet zu HubvNet.
    Bereitstellungsmodell für das virtuelle Netzwerk Wählen Sie Ressourcen-Manager aus
    Subscription Wählen Sie Concierge-Abonnement aus
    Virtuelles Netzwerk Wählen Sie HRappVnet aus
    Zulassen von „HRappVnet“ für den Zugriff auf „HubVnet“ Aktivieren Sie das Kontrollkästchen, um den Zugriff zuzulassen.
    Zulassen von „HRappVnet“, um weitergeleiteten Datenverkehr von „HubVnet“ zu empfangen Lassen Sie das Kontrollkästchen deaktiviert, um den von außerhalb dieses virtuellen Netzwerks stammenden Datenverkehr zu blockieren.
    Zulassen von Gateway in „HRappVnet“, um Datenverkehr an „HubVnet“ weiterzuleiten Lassen Sie das Kontrollkästchen deaktiviert
    Aktivieren von „HRappVnet“, um Remotegateway von „HubVnet“ zu verwenden Lassen Sie das Kontrollkästchen deaktiviert

  7. Klicken Sie auf Hinzufügen, um das Peering zu erstellen. Der Bereich Peerings wird noch einmal mit dem neuen Peering angezeigt.

Sie haben nun ein Peering zwischen dem virtuellen Netzwerk des Hubs und dem der Spoke eingerichtet. Sie haben in der Konfiguration zugelassen, dass Datenverkehr vom Hub zur Spoke über ein VPN-Gateway weitergeleitet wird.

Erstellen einer Netzwerksicherheitsgruppe für das virtuelle Netzwerk

Sie erstellen eine Netzwerksicherheitsgruppe, um den Fluss des Datenverkehrs zu konfigurieren.

  1. Wechseln Sie zur Startseite des Portals, und klicken Sie auf Ressource erstellen. Der Bereich Ressource erstellen wird angezeigt.

  2. Geben Sie im Suchfeld Netzwerksicherheitsgruppe ein, und klicken Sie dann in der Liste auf den Link mit dem gleichen Titel. Der Bereich Netzwerksicherheitsgruppe – Erstellen wird angezeigt.

  3. Klicken Sie auf Erstellen, um mit dem Konfigurieren des virtuellen Netzwerks zu beginnen. Der Bereich Netzwerksicherheitsgruppe erstellen wird geöffnet.

  4. Füllen Sie auf der Registerkarte Grundlagen die folgenden Werte für jede Einstellung aus.

    Einstellung Wert
    Projektdetails
    Subscription Concierge-Abonnement
    Ressourcengruppe Wählen Sie aus der Dropdownliste [Name der Sandboxressourcengruppe] aus.
    Instanzendetails
    Name Geben Sie HRNsg ein
    Region Übernehmen Sie den standardmäßigen Standort.

  5. Klicken Sie auf Überprüfen + erstellen.

  6. Wählen Sie nach der erfolgreichen Überprüfung die Option Erstellen aus, um die Netzwerksicherheitsgruppe bereitzustellen. Der Übersichtsbereich der NSG wird geöffnet.

  7. Klicken Sie auf Zu Ressource wechseln, und notieren Sie sich die NSG, HRNsg.

Sie haben jetzt eine Netzwerksicherheitsgruppe erstellt, die jedem der virtuellen Netzwerke zugeordnet werden kann.

Zuordnen der Netzwerksicherheitsgruppe zum neuen virtuellen Netzwerk der Personalabteilung

Ordnen Sie nun die Netzwerksicherheitsgruppe dem virtuellen Netzwerk zu.

  1. Wenn Sie das Fenster HRNsg geschlossen haben, wechseln Sie zur Startseite des Portals. Wählen Sie zunächst Alle Ressourcen und dann HRNsg aus. Der Bereich HRNsg wird angezeigt. Andernfalls fahren Sie mit dem nächsten Schritt fort.

  2. Wählen Sie im linken Menübereich unter Einstellungen die Option Subnetze aus. Der Bereich Subnetze wird für Ihre Netzwerksicherheitsgruppe „HRNsg“ angezeigt.

  3. Wählen Sie auf der oberen Menüleiste die Option + Zuordnen aus. Der Bereich Subnetz zuordnen wird angezeigt.

  4. Wählen Sie aus der Dropdownliste Virtuelles Netzwerk die Option HRappVnet aus.

  5. Wählen Sie aus der Dropdownliste Subnetz die Option HRsystems aus.

  6. Klicken Sie auf OK, um die Netzwerksicherheitsgruppe zuzuordnen. Der Bereich Subnetze wird noch einmal für Ihre Netzwerksicherheitsgruppe „HRNsg“ angezeigt.

Konfigurieren der Netzwerksicherheitsgruppen-Regel zum Unterbinden des eingehenden HTTP-Datenverkehrs

Sie müssen eine Sicherheitsanforderung für die Anwendung der Personalabteilung erfüllen, damit sie in HRappVnet gehostet werden kann. Es darf kein eingehender HTTP-Datenverkehr von der Spoke stammen, da nur interne Mitarbeiter Zugriff haben sollen. Konfigurieren Sie nun die Netzwerksicherheitsgruppenregel, um diese Anforderung zu erfüllen.

  1. Wählen Sie auf der Seite HRNsg | Subnetze unter Einstellungen die Option Sicherheitsregeln für eingehenden Datenverkehr aus. Der Bereich Sicherheitsregeln für eingehenden Datenverkehr wird für Ihre Netzwerksicherheitsgruppe „HRNsg“ angezeigt.

  2. Wählen Sie auf der oberen Menüleiste die Option + Hinzufügen aus. Der Bereich Eingangssicherheitsregel hinzufügen wird angezeigt.

  3. Füllen Sie die folgenden Werte für jede Einstellung aus.

    Einstellung Wert
    `Source` Wählen Sie in der Dropdownliste die Option Alle aus.
    Source port ranges Lassen Sie den Standardwert * unverändert.
    Destination Wählen Sie in der Dropdownliste die Option Diensttag aus.
    Zieldiensttag Wählen Sie VirtualNetwork aus.
    Dienst Wählen Sie Benutzerdefiniert aus.
    Zielportbereiche Geben Sie 80,443 ein
    Protokoll Wählen Sie Alle aus.
    Aktion Wählen Sie Ablehnen aus.
    Priority Geben Sie 100 ein.
    Name Geben Sie Block-Inbound-HTTP-HTTPS ein
    Beschreibung Geben Sie Block inbound HTTP and HTTPS traffic from the spoke (Blockieren des eingehenden HTTP- und HTTPS-Datenverkehrs von der Spoke) ein.

  4. Klicken Sie auf Hinzufügen, um die Regel hinzuzufügen. Der Bereich Sicherheitsregeln für eingehenden Datenverkehr wird noch einmal für Ihre Netzwerksicherheitsgruppe angezeigt.

Sie haben nun den eingehenden HTTP-Zugriff von der Spoke an Port 80 und 443 blockiert.

In diesem Szenario haben Sie ein virtuelles Azure-Netzwerk erstellt und dann ein Peering mit einem bestehenden virtuellen Netzwerk des Hubs eingerichtet. Sie haben dann den von dieser Spoke stammenden Datenverkehr abgesichert, indem Sie den eingehenden Internetzugang an Port 80 und 443 blockiert haben und gleichzeitig sicherstellen, dass diese sich über den Hub verbinden kann.