Delen via

Scenario voor virtueel apparaat

  • Artikel

Een veelvoorkomend scenario tussen grotere Azure-klanten is de noodzaak om een toepassing met twee lagen te bieden die beschikbaar is voor internet, terwijl het ook toegang biedt tot de back-laag vanuit een on-premises datacenter. In dit artikel wordt een scenario beschreven waarin routetabellen, een VPN-gateway en virtuele netwerkapparaten worden gebruikt om een omgeving met twee lagen te implementeren die voldoet aan de volgende vereisten:

  • Een webtoepassing moet alleen toegankelijk zijn vanaf het openbare internet.
  • Een webserver die als host fungeert voor de toepassing, moet toegang hebben tot een back-endtoepassingsserver.
  • Al het verkeer van internet naar de webtoepassing moet via een virtueel firewallapparaat gaan. Dit virtuele apparaat wordt alleen gebruikt voor internetverkeer.
  • Al het verkeer dat naar de toepassingsserver gaat, moet een virtueel firewallapparaat doorlopen. Dit virtuele apparaat wordt gebruikt voor toegang tot de back-endserver en voor toegang die afkomstig is van het on-premises netwerk via een VPN-gateway.
  • Beheerders moeten de virtuele firewallapparaten van hun on-premises computers kunnen beheren met behulp van een derde firewall virtueel apparaat dat uitsluitend wordt gebruikt voor beheerdoeleinden.

Dit voorbeeld is een standaardperimeternetwerk (ook wel DMZ genoemd) scenario met een DMZ en een beveiligd netwerk. U kunt dit scenario in Azure maken met behulp van netwerkbeveiligingsgroepen (NSG's), virtuele firewallapparaten of een combinatie van beide.

In de volgende tabel ziet u enkele voor- en nadelen voor NSG's en virtuele firewallapparaten.

Artikel Voordelen Nadelen
NSG Geen kosten.
Geïntegreerd in op rollen gebaseerde toegang van Azure.
Mogelijkheid om regels te maken in Azure Resource Manager-sjablonen.		 Complexiteit kan variëren in grotere omgevingen.
Firewall Volledige controle over het gegevensvlak.
Centraal beheer via firewallconsole.		 Kosten van het firewallapparaat.
Niet geïntegreerd met op rollen gebaseerde toegang van Azure.

De volgende oplossing maakt gebruik van virtuele firewallapparaten om een perimeternetwerk (DMZ)/beveiligd netwerkscenario te implementeren.

Overwegingen

U kunt de voorgaande omgeving in Azure implementeren met behulp van functies die momenteel beschikbaar zijn:

  • Virtueel netwerk: een virtueel Azure-netwerk fungeert op een vergelijkbare manier als een on-premises netwerk. U kunt deze segmenteren in een of meer subnetten om verkeersisolatie en scheiding van problemen te bieden.
  • Virtueel apparaat: verschillende partners bieden virtuele apparaten in Azure Marketplace die kunnen worden gebruikt voor de drie firewalls die eerder zijn beschreven.
  • Routetabellen: Routetabellen worden door Azure-netwerken gebruikt om de stroom van pakketten binnen een virtueel netwerk te beheren. U kunt deze routetabellen toepassen op subnetten. U kunt een routetabel toepassen op GatewaySubnet, waarmee al het verkeer dat in het virtuele Azure-netwerk binnenkomt, wordt doorgestuurd vanaf een hybride verbinding met een virtueel apparaat.
  • Doorsturen via IP: de Azure-netwerkengine stuurt pakketten standaard alleen door naar virtuele netwerkinterfacekaarten (NIC's) als het DOEL-IP-adres van het pakket overeenkomt met het IP-adres van de NIC. Als een routetabel definieert dat een pakket naar een specifiek virtueel apparaat moet worden verzonden, wordt dat pakket door de Azure-netwerkengine verwijderd. Om ervoor te zorgen dat het pakket wordt geleverd aan een virtuele machine (in dit geval een virtueel apparaat) dat niet de werkelijke bestemming voor het pakket is, schakelt u doorsturen via IP in voor het virtuele apparaat.
  • Netwerkbeveiligingsgroepen: In het volgende voorbeeld wordt geen gebruikgemaakt van NSG's, maar u kunt NSG's gebruiken die zijn toegepast op de subnetten of NIC's in deze oplossing. De NSG's filteren het verkeer verder in en uit deze subnetten en NIC's.

Diagram met IPv6-connectiviteit.

In dit voorbeeld bevat een abonnement de volgende items:

  • Twee resourcegroepen (niet weergegeven in het diagram):

    • ONPREMRG: bevat alle resources die nodig zijn om een on-premises netwerk te simuleren.
    • AZURERG: bevat alle resources die nodig zijn voor de omgeving van het virtuele Azure-netwerk.

  • Een virtueel netwerk met de naam onpremvnet is gesegmenteerd en wordt gebruikt om een on-premises datacenter na te bootsen:

    • onpremsn1: Een subnet met een virtuele machine (VM) waarop een Linux-distributie wordt uitgevoerd om een on-premises server na te bootsen.
    • onpremsn2: Een subnet met een VIRTUELE machine waarop een Linux-distributie wordt uitgevoerd om een on-premises computer na te bootsen die wordt gebruikt door een beheerder.

  • Eén virtueel firewallapparaat heeft de naam OPFWonpremvnet. Het wordt gebruikt om een tunnel te onderhouden naar azurevnet.

  • Een virtueel netwerk met de naam azurevnet wordt als volgt gesegmenteerd:

    • azsn1: Een subnet van een externe firewall dat uitsluitend wordt gebruikt voor de externe firewall. Al het internetverkeer komt binnen via dit subnet. Dit subnet bevat alleen een NIC die is gekoppeld aan de externe firewall.
    • azsn2: Een front-endsubnet dat als host fungeert voor een virtuele machine die wordt uitgevoerd als een webserver die toegankelijk is via internet.
    • azsn3: Een back-endsubnet dat als host fungeert voor een virtuele machine waarop een back-endtoepassingsserver wordt uitgevoerd die toegankelijk is voor de front-endwebserver.
    • azsn4: Een beheersubnet dat uitsluitend wordt gebruikt om beheertoegang te bieden tot alle virtuele firewallapparaten. Dit subnet bevat alleen een NIC voor elk virtueel firewallapparaat dat in de oplossing wordt gebruikt.
    • GatewaySubnet: Een subnet voor hybride Azure-verbindingen dat vereist is voor Azure ExpressRoute en Azure VPN Gateway om connectiviteit te bieden tussen virtuele Azure-netwerken en andere netwerken.

  • Er bevinden zich drie virtuele firewallapparaten in het azurevnet netwerk:

    • AZF1: Een externe firewall die wordt blootgesteld aan het openbare internet met behulp van een openbare IP-adresresource in Azure. U moet ervoor zorgen dat u een sjabloon hebt van Azure Marketplace of rechtstreeks van de leverancier van uw apparaat waarmee een virtueel apparaat met drie NIC's wordt geïmplementeerd.
    • AZF2: Een interne firewall die wordt gebruikt om verkeer tussen azsn2 en azsn3. Deze firewall is ook een virtueel apparaat met drie NIC's.
    • AZF3: Een beheerfirewall die toegankelijk is voor beheerders vanuit het on-premises datacenter en is verbonden met een beheersubnet dat wordt gebruikt om alle firewallapparaten te beheren. U vindt sjablonen voor virtuele apparaten met twee NIC's in Azure Marketplace. U kunt er ook rechtstreeks een aanvragen bij de leverancier van uw apparaat.

Routetabellen

Koppel elk subnet in Azure aan een routetabel om te definiëren hoe verkeer dat in dat subnet wordt geïnitieerd, wordt gerouteerd. Als er geen door de gebruiker gedefinieerde routes (UDR's) zijn gedefinieerd, gebruikt Azure standaardroutes om verkeer van het ene subnet naar het andere te laten stromen. Zie routetabellen en verkeersroutering in Azure voor meer informatie over routering van verkeer in virtuele netwerken.

Om ervoor te zorgen dat communicatie wordt uitgevoerd via het juiste firewallapparaat, op basis van de laatste vereiste die eerder is vermeld, moet u de volgende routetabel maken in azurevnet.

azgwudr

In dit scenario wordt het enige verkeer dat van on-premises naar Azure stroomt, gebruikt om de firewalls te beheren door verbinding te AZF3maken met , en dat verkeer moet via de interne firewall gaan, AZF2. Er is slechts één route nodig in GatewaySubnet, zoals hier wordt weergegeven:

Bestemming Volgende hop Uitleg
10.0.4.0/24 10.0.3.11 Hiermee staat u on-premises verkeer toe om de firewall voor beheer AZF3te bereiken.

azsn2udr

Bestemming Volgende hop Uitleg
10.0.3.0/24 10.0.2.11 Hiermee staat u verkeer toe naar het back-endsubnet dat als host fungeert voor de toepassingsserver.AZF2
0.0.0.0/0 10.0.2.10 Hiermee kan al het andere verkeer worden gerouteerd.AZF1

azsn3udr

Bestemming Volgende hop Uitleg
10.0.2.0/24 10.0.3.10 Hiermee kan verkeer azsn2 van een app-server naar de webserver stromen via AZF2.

U moet ook routetabellen voor de subnetten maken om het on-premises datacenter na te bootsen onpremvnet .

onpremsn1udr

Bestemming Volgende hop Uitleg
192.168.2.0/24 192.168.1.4 Hiermee staat u verkeer toe naar onpremsn2 .OPFW

onpremsn2udr

Bestemming Volgende hop Uitleg
10.0.3.0/24 192.168.2.4 Hiermee staat u verkeer naar het back-endsubnet in Azure toe via OPFW.
192.168.1.0/24 192.168.2.4 Hiermee staat u verkeer toe naar onpremsn1 .OPFW

Doorsturen via IP

Routetabellen en doorsturen via IP zijn functies die u in combinatie kunt gebruiken om virtuele apparaten toe te staan om de verkeersstroom in een virtueel Azure-netwerk te beheren. Een virtueel apparaat is niets meer dan een VIRTUELE machine waarop een toepassing wordt uitgevoerd die wordt gebruikt om netwerkverkeer op een of andere manier te verwerken, zoals een firewall of een apparaat voor het omzetten van netwerkadressen.

Deze virtuele apparaat-VM moet binnenkomend verkeer kunnen ontvangen dat niet aan zichzelf is geadresseerd. Als u wilt toestaan dat een VIRTUELE machine verkeer ontvangt dat is geadresseerd aan andere bestemmingen, moet u doorsturen via IP inschakelen voor de VIRTUELE machine. Deze instelling is een Azure-instelling, niet een instelling in het gastbesturingssysteem. Uw virtuele apparaat moet nog steeds een bepaald type toepassing uitvoeren om het binnenkomende verkeer te verwerken en deze op de juiste manier te routeren.

Zie Routering van verkeer van virtuele Azure-netwerken voor meer informatie over doorsturen via IP.

Stel dat u de volgende instellingen hebt in een virtueel Azure-netwerk:

  • Subnet onpremsn1 bevat een virtuele machine met de naam onpremvm1.
  • Subnet onpremsn2 bevat een virtuele machine met de naam onpremvm2.
  • Een virtueel apparaat met de naam OPFW is verbonden met onpremsn1 en onpremsn2.
  • Een UDR die is gekoppeld om aan te onpremsn1 geven dat al het verkeer moet onpremsn2 worden verzonden naar OPFW.

Op dit moment wordt, als onpremvm1 er wordt geprobeerd een verbinding onpremvm2tot stand te brengen, de UDR gebruikt en wordt verkeer verzonden OPFW naar als de volgende hop. De werkelijke pakketbestemming wordt niet gewijzigd. Het zegt nog steeds dat het onpremvm2 de bestemming is.

Zonder dat doorsturen via IP is ingeschakeld OPFW, worden de pakketten door de virtuele netwerklogica van Azure verwijderd, omdat er alleen pakketten naar een VIRTUELE machine kunnen worden verzonden als het IP-adres van de virtuele machine de bestemming voor het pakket is.

Met doorsturen via IP stuurt de logica van het virtuele Azure-netwerk de pakketten door naar OPFW, zonder het oorspronkelijke doeladres te wijzigen. OPFW moet de pakketten verwerken en bepalen wat u ermee moet doen.

Voordat het vorige scenario werkt, moet u doorsturen via IP inschakelen op de NIC's voor OPFW, AZF1AZF2en AZF3 die worden gebruikt voor routering (alle NIC's behalve de NIC's die zijn gekoppeld aan het beheersubnet).

Firewallregels

Zoals eerder beschreven, zorgt doorsturen via IP alleen ervoor dat pakketten naar de virtuele apparaten worden verzonden. Uw apparaat moet nog steeds beslissen wat u met deze pakketten moet doen. In het vorige scenario moet u de volgende regels in uw apparaten maken.

OPFW

OPFW vertegenwoordigt een on-premises apparaat met de volgende regels:

  • Route: Al het verkeer naar 10.0.0.0/16 (azurevnet) moet via de tunnel ONPREMAZUREworden verzonden.
  • Beleid: alle bidirectionele verkeer tussen port2 en ONPREMAZURE.

AZF1

AZF1 vertegenwoordigt een virtueel Azure-apparaat dat de volgende regel bevat:

Beleid: alle bidirectionele verkeer tussen port1 en port2.

AZF2

AZF2 vertegenwoordigt een virtueel Azure-apparaat dat de volgende regel bevat:

Beleid: alle bidirectionele verkeer tussen port1 en port2.

AZF3

AZF3 vertegenwoordigt een virtueel Azure-apparaat dat de volgende regel bevat:

Route: Al het verkeer naar 192.168.0.0/16 (onpremvnet) moet worden verzonden naar het IP-adres van de Azure-gateway (dat wil gezegd 10.0.0.1) tot en port1met .

Netwerkbeveiligingsgroepen

In dit scenario worden NSG's niet gebruikt. U kunt echter NSG's toepassen op elk subnet om inkomend en uitgaand verkeer te beperken. U kunt bijvoorbeeld de volgende NSG-regels toepassen op het subnet van de externe firewall.

Binnenkomend

  • Sta al het TCP-verkeer van internet toe naar poort 80 op een virtuele machine in het subnet.
  • Al het andere verkeer van internet weigeren.

Aftredend

Al het verkeer naar internet weigeren.

Stappen op hoog niveau

Voer de volgende stappen uit om dit scenario te implementeren:

  1. Meld u aan bij uw Azure-abonnement.

  2. Als u een virtueel netwerk wilt implementeren om het on-premises netwerk na te bootsen, implementeert u de resources die deel uitmaken van ONPREMRG.

  3. Implementeer de resources die deel uitmaken van AZURERG.

  4. Implementeer de tunnel van onpremvnet naar azurevnet.

  5. Nadat alle resources zijn ingericht, meldt u zich aan onpremvm2 bij en pingt u 10.0.3.101 om de connectiviteit tussen onpremsn2 en azsn3.