Udostępnij za pośrednictwem

Samouczek: tworzenie zabezpieczonej sieci piasty i szprych

  • Artykuł

W tym samouczku utworzysz topologię sieci piasty i szprych przy użyciu usługi Azure Virtual Network Manager. Następnie wdrożysz bramę sieci wirtualnej w sieci wirtualnej piasty, aby umożliwić zasobom w sieciach wirtualnych szprych komunikowanie się z sieciami zdalnymi przy użyciu sieci VPN. Ponadto należy skonfigurować konfigurację zabezpieczeń, aby blokować wychodzący ruch sieciowy do Internetu na portach 80 i 443. Na koniec sprawdź, czy konfiguracje zostały prawidłowo zastosowane, sprawdzając ustawienia sieci wirtualnej i maszyny wirtualnej.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Utwórz wiele sieci wirtualnych.
  • Wdrażanie bramy sieci wirtualnej.
  • Utwórz topologię sieci piasty i szprych.
  • Utwórz konfigurację zabezpieczeń blokującą ruch na porcie 80 i 443.
  • Sprawdź, czy zastosowano konfiguracje.

Diagram bezpiecznych składników topologii piasty i szprych.

Warunek wstępny

Tworzenie sieci wirtualnych

Ta procedura przeprowadzi Cię przez proces tworzenia trzech sieci wirtualnych, które będą połączone przy użyciu topologii sieci piasty i szprych.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję + Utwórz zasób i wyszukaj pozycję Sieć wirtualna. Następnie wybierz pozycję Utwórz , aby rozpocząć konfigurowanie sieci wirtualnej.

  3. Na karcie Podstawowe wprowadź lub wybierz następujące informacje:

    Zrzut ekranu przedstawiający kartę Podstawy dla sieci wirtualnej piasty i szprych.

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję, w której chcesz wdrożyć tę sieć wirtualną.
    Grupa zasobów Wybierz lub utwórz nową grupę zasobów do przechowywania sieci wirtualnej. W tym przewodniku Szybki start jest używana grupa zasobów o nazwie rg-learn-eastus-001.
    Nazwisko Wprowadź nazwę sieci wirtualnej vnet-learn-prod-eastus-001 .
    Region (Region) Wybierz region Wschodnie stany USA .

  4. Wybierz pozycję Dalej: Adresy IP i skonfiguruj następującą przestrzeń adresową sieci:

    Zrzut ekranu przedstawiający kartę Adresy IP dla sieci wirtualnej piasty i szprych.

    Ustawienie Wartość
    Przestrzeń adresowa IPv4 Wprowadź przestrzeń adresową 10.0.0.0/16 .
    Nazwa podsieci Wprowadź nazwę domyślną dla podsieci.
    Przestrzeń adresowa podsieci Wprowadź przestrzeń adresową podsieci 10.0.0.0/24.

  5. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz , aby wdrożyć sieć wirtualną.

  6. Powtórz kroki 2–5, aby utworzyć dwie kolejne sieci wirtualne w tej samej grupie zasobów z następującymi informacjami:

    Ustawienie Wartość
    Subskrypcja Wybierz tę samą subskrypcję wybraną w kroku 3.
    Grupa zasobów Wybierz element rg-learn-eastus-001.
    Nazwisko Wprowadź ciąg vnet-learn-prod-eastus-002 i vnet-learn-hub-eastus-001 dla dwóch sieci wirtualnych.
    Region (Region) Wybierz (STANY USA) Wschodnie stany USA
    vnet-learn-prod-eastus-002 adresy IP Przestrzeń adresowa IPv4: 10.1.0.0/16
    Nazwa podsieci: domyślna
    przestrzeń adresowa podsieci: 10.1.0.0/24
    vnet-learn-hub-eastus-001 adresy IP Przestrzeń adresowa IPv4: 10.2.0.0/16
    Nazwa podsieci: domyślna
    przestrzeń adresowa podsieci: 10.2.0.0/24

Wdrażanie bramy sieci wirtualnej

Wdróż bramę sieci wirtualnej w sieci wirtualnej koncentratora. Ta brama sieci wirtualnej jest niezbędna, aby szprychy używały koncentratora jako ustawienia bramy .

  1. Wybierz pozycję + Utwórz zasób i wyszukaj pozycję Brama sieci wirtualnej. Następnie wybierz pozycję Utwórz , aby rozpocząć konfigurowanie bramy sieci wirtualnej.

  2. Na karcie Podstawowe wprowadź lub wybierz następujące ustawienia:

    Zrzut ekranu przedstawiający kartę Podstawy tworzenia bramy sieci wirtualnej.

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję, w której chcesz wdrożyć tę sieć wirtualną.
    Nazwisko Wprowadź gw-learn-hub-eastus-001 jako nazwę bramy sieci wirtualnej.
    SKU Wybierz pozycję VpnGW1 dla jednostki SKU.
    Generowanie Wybierz pozycję Generacja1 dla generacji.
    Sieć wirtualna Wybierz sieć wirtualną vnet-learn-hub-eastus-001 dla sieci wirtualnej.
    Publiczny adres IP
    Nazwa publicznego adresu IP Wprowadź nazwę gwpip-learn-hub-eastus-001 dla publicznego adresu IP.
    DRUGI PUBLICZNY ADRES IP
    Nazwa publicznego adresu IP Wprowadź nazwę gwpip-learn-hub-eastus-002 dla publicznego adresu IP.

  3. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz po zakończeniu walidacji. Wdrożenie bramy sieci wirtualnej może potrwać około 30 minut. Możesz przejść do następnej sekcji podczas oczekiwania na ukończenie tego wdrożenia. Jednak może się okazać , że brama gw-learn-hub-eastus-001 nie wyświetla bramy z powodu chronometrażu i synchronizacji w witrynie Azure Portal.

Tworzenie grupy sieciowej

Uwaga

W tym przewodniku z instrukcjami założono, że utworzono wystąpienie menedżera sieci przy użyciu przewodnika Szybki start . Grupa sieci w tym samouczku nosi nazwę ng-learn-prod-eastus-001.

  1. Przejdź do grupy zasobów rg-learn-eastus-001 i wybierz wystąpienie menedżera sieci vnm-learn-eastus-001 .

  2. W obszarze Ustawienia wybierz pozycję Grupy sieciowe. Następnie wybierz pozycję + Utwórz.

    Zrzut ekranu przedstawiający pustą listę grup sieciowych i przycisk tworzenia grupy sieciowej.

  3. W okienku Tworzenie grupy sieci wybierz pozycję Utwórz:

    Ustawienie Wartość
    Nazwa/nazwisko Wprowadź ciąg ng-learn-prod-eastus-001.
    Opis (Opcjonalnie) Podaj opis tej grupy sieciowej.
    Typ elementu członkowskiego Wybierz pozycję Sieć wirtualna z menu rozwijanego.

    i wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający okienko tworzenia grupy sieciowej.

  4. Upewnij się, że nowa grupa sieci jest teraz wyświetlana w okienku Grupy sieciowe.

    Zrzut ekranu przedstawiający nowo utworzoną grupę sieciową w okienku zawierającym listę grup sieciowych.

Definiowanie członkostwa w grupie dynamicznej przy użyciu usługi Azure Policy

  1. Z listy grup sieci wybierz pozycję ng-learn-prod-eastus-001. W obszarze Tworzenie zasad w celu dynamicznego dodawania członków wybierz pozycję Utwórz zasady platformy Azure.

    Zrzut ekranu przedstawiający przycisk zdefiniowanego członkostwa dynamicznego.

  2. Na stronie Tworzenie usługi Azure Policy wybierz lub wprowadź następujące informacje:

    Zrzut ekranu przedstawiający kartę tworzenia instrukcji warunkowych grupy sieci.

    Ustawienie Wartość
    Nazwa zasady Wprowadź polecenie azpol-learn-prod-eastus-001 w polu tekstowym.
    Scope Wybierz pozycję Wybierz zakresy i wybierz bieżącą subskrypcję.
    Kryterium
    Parametr Wybierz pozycję Nazwa z listy rozwijanej.
    Operator Wybierz pozycję Zawiera z listy rozwijanej.
    Stan Wprowadź -prod warunku w polu tekstowym.

  3. Wybierz pozycję Podgląd zasobów , aby wyświetlić stronę Obowiązujące sieci wirtualne, a następnie wybierz pozycję Zamknij. Na tej stronie przedstawiono sieci wirtualne, które zostaną dodane do grupy sieci na podstawie warunków zdefiniowanych w usłudze Azure Policy.

    Zrzut ekranu przedstawiający stronę Obowiązujące sieci wirtualne z wynikami instrukcji warunkowej.

  4. Wybierz pozycję Zapisz , aby wdrożyć członkostwo w grupie. Zastosowanie zasad i dodanie ich do grupy sieciowej może potrwać do jednej minuty.

  5. Na stronie Grupa sieci w obszarze Ustawienia wybierz pozycję Członkowie grupy, aby wyświetlić członkostwo grupy na podstawie warunków zdefiniowanych w usłudze Azure Policy. Źródło jest wyświetlane jako azpol-learn-prod-eastus-001.

    Zrzut ekranu przedstawiający dynamiczne członkostwo w grupie w obszarze Członkostwo w grupie.

Tworzenie konfiguracji łączności piasty i szprych

  1. Wybierz pozycję Konfiguracje w obszarze Ustawienia, a następnie wybierz pozycję + Utwórz.

  2. Wybierz pozycję Konfiguracja łączności z menu rozwijanego, aby rozpocząć tworzenie konfiguracji łączności.

  3. Na stronie Podstawy wprowadź następujące informacje, a następnie wybierz pozycję Dalej: Topologia >.

    Zrzut ekranu przedstawiający dodawanie strony konfiguracji łączności.

    Ustawienie Wartość
    Nazwisko Wprowadź ciąg cc-learn-prod-eastus-001.
    opis (Opcjonalnie) Podaj opis tej konfiguracji łączności.

  4. Na karcie Topologia wybierz pozycję Piasta i Szprycha. Spowoduje to wyświetlenie innych ustawień.

    Zrzut ekranu przedstawiający wybieranie centrum dla konfiguracji łączności.

  5. Wybierz pozycję Wybierz centrum w obszarze Ustawienie Centrum . Następnie wybierz pozycję vnet-learn-hub-eastus-001 , aby służyć jako centrum sieci, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający wybieranie konfiguracji centrum.

    Uwaga

    W zależności od czasu wdrożenia może nie być widoczna docelowa sieć wirtualna koncentratora, ponieważ ma bramę w obszarze Ma bramę. Jest to spowodowane wdrożeniem bramy sieci wirtualnej. Wdrożenie może potrwać do 30 minut i może nie być wyświetlane natychmiast w różnych widokach witryny Azure Portal.

  6. W obszarze Grupy sieci szprych wybierz pozycję + dodaj. Następnie wybierz pozycję ng-learn-prod-eastus-001 dla grupy sieciowej i wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający stronę Dodawanie grup sieciowych.

  7. Po dodaniu grupy sieciowej wybierz następujące opcje. Następnie wybierz pozycję Dodaj, aby utworzyć konfigurację łączności.

    Zrzut ekranu przedstawiający ustawienia konfiguracji grupy sieciowej.

    Ustawienie Wartość
    Łączność bezpośrednia Zaznacz pole wyboru włącz łączność w grupie sieciowej. To ustawienie umożliwia sieciom wirtualnym szprych w grupie sieci w tym samym regionie bezpośrednie komunikowanie się ze sobą.
    Siatka globalna Pozostaw opcję Włącz łączność siatki między regionami niezaznaczone. To ustawienie nie jest wymagane, ponieważ obie szprychy znajdują się w tym samym regionie
    Koncentrator jako brama Zaznacz pole wyboru Centrum jako bramę.

  8. Wybierz pozycję Dalej: Przejrzyj i utwórz > , a następnie utwórz konfigurację łączności.

Wdrażanie konfiguracji łączności

Przed wdrożeniem konfiguracji łączności upewnij się, że brama sieci wirtualnej została pomyślnie wdrożona. Jeśli wdrożysz konfigurację piasty i szprych z włączonym użyciem koncentratora i nie ma bramy, wdrożenie zakończy się niepowodzeniem . Aby uzyskać więcej informacji, zobacz używanie centrum jako bramy.

  1. Wybierz pozycję Wdrożenia w obszarze Ustawienia, a następnie wybierz pozycję Wdróż konfigurację.

    Zrzut ekranu przedstawiający stronę wdrożeń w Menedżerze sieci.

  2. Wybierz następujące ustawienia:

    Zrzut ekranu przedstawiający stronę wdrażania konfiguracji.

    Ustawienie Wartość
    Konfiguracje Wybierz pozycję Uwzględnij konfiguracje łączności w stanie celu.
    Konfiguracje łączności Wybierz pozycję cc-learn-prod-eastus-001.
    Regiony docelowe Wybierz pozycję Wschodnie stany USA jako region wdrożenia.

  3. Wybierz pozycję Dalej , a następnie wybierz pozycję Wdróż , aby ukończyć wdrożenie.

    Zrzut ekranu przedstawiający komunikat potwierdzenia wdrożenia.

  4. Wdrożenie zostanie wyświetlone na liście dla wybranego regionu. Wdrożenie konfiguracji może potrwać kilka minut.

    Zrzut ekranu przedstawiający stan wdrożenia konfiguracji w toku.

Tworzenie konfiguracji administratora zabezpieczeń

  1. Wybierz ponownie pozycję Konfiguracja w obszarze Ustawienia , a następnie wybierz pozycję + Utwórz, a następnie wybierz pozycję SecurityAdmin z menu, aby rozpocząć tworzenie konfiguracji SecurityAdmin.

  2. Wprowadź nazwę sac-learn-prod-eastus-001 dla konfiguracji, a następnie wybierz pozycję Dalej: kolekcje reguł.

    Zrzut ekranu przedstawiający stronę konfiguracji administratora zabezpieczeń.

  3. Wprowadź nazwę rc-learn-prod-eastus-001 dla kolekcji reguł i wybierz pozycję ng-learn-prod-eastus-001 dla docelowej grupy sieci. Następnie wybierz pozycję + Dodaj.

    Zrzut ekranu przedstawiający stronę dodawania kolekcji reguł.

  4. Wprowadź i wybierz następujące ustawienia, a następnie wybierz pozycję Dodaj:

    Zrzut ekranu przedstawiający dodawanie strony reguły i ustawień reguły.

    Ustawienie Wartość
    Nazwisko Wprowadź DENY_INTERNET
    opis Wprowadź wartość Ta reguła blokuje ruch do Internetu za pośrednictwem protokołów HTTP i HTTPS
    Priorytet Wprowadź wartość 1
    Akcja Wybierz pozycję Odmów
    Kierunek Wybierz pozycję Wychodzące
    Protokół Wybierz pozycję TCP
    Source
    Source type Wybierz adres IP
    Źródłowe adresy IP Wprowadź *
    Lokalizacja docelowa
    Typ docelowy Wybieranie adresów IP
    Docelowe adresy IP Wprowadź *
    Port docelowy Wprowadź wartość 80, 443

  5. Wybierz pozycję Dodaj , aby dodać kolekcję reguł do konfiguracji.

    Zrzut ekranu przedstawiający przycisk zapisz dla kolekcji reguł.

  6. Wybierz pozycję Przejrzyj i utwórz, aby utworzyć konfigurację administratora zabezpieczeń.

Wdrażanie konfiguracji administratora zabezpieczeń

  1. Wybierz pozycję Wdrożenia w obszarze Ustawienia, a następnie wybierz pozycję Wdróż konfiguracje.

  2. W obszarze Konfiguracje wybierz pozycję Uwzględnij administratora zabezpieczeń w stanie celu i konfigurację sac-learn-prod-eastus-001 utworzoną w ostatniej sekcji. Następnie wybierz pozycję Wschodnie stany USA jako region docelowy, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający wdrażanie konfiguracji zabezpieczeń.

  3. Wybierz pozycję Dalej , a następnie pozycję Wdróż. Powinno zostać wyświetlone wdrożenie na liście dla wybranego regionu. Wdrożenie konfiguracji może potrwać kilka minut.

Weryfikowanie wdrażania konfiguracji

Weryfikowanie z sieci wirtualnej

  1. Przejdź do sieci wirtualnej vnet-learn-prod-eastus-001 i wybierz pozycję Menedżer sieci w obszarze Ustawienia. Karta Konfiguracje łączności zawiera listę konfiguracji łączności cc-learn-prod-eastus-001 zastosowanych w sieci wirtualnej

    Zrzut ekranu przedstawiający konfigurację łączności zastosowaną do sieci wirtualnej.

  2. Wybierz kartę Konfiguracje administratorów zabezpieczeń i rozwiń węzeł Wychodzący, aby wyświetlić listę reguł administratora zabezpieczeń zastosowanych do tej sieci wirtualnej.

    Zrzut ekranu przedstawiający konfigurację administratora zabezpieczeń zastosowaną do sieci wirtualnej.

  3. Wybierz pozycję Komunikacje równorzędne w obszarze Ustawienia , aby wyświetlić listę wirtualnych sieci równorzędnych utworzonych przez menedżera sieci wirtualnej. Jego nazwa zaczyna się od ANM_.

    Zrzut ekranu przedstawiający komunikację równorzędną sieci wirtualnych utworzoną przez menedżera sieci wirtualnej.

Weryfikowanie z poziomu maszyny wirtualnej

  1. Wdróż testową maszynę wirtualną w sieci wirtualnej vnet-learn-prod-eastus-001.

  2. Przejdź do testowej maszyny wirtualnej utworzonej w obszarze Sieć wirtualna vnet-prod-eastus-001 i wybierz pozycję Sieć w obszarze Ustawienia. Wybierz pozycję Reguły portów wychodzących i sprawdź, czy reguła DENY_INTERNET jest stosowana.

    Zrzut ekranu przedstawiający testowe reguły zabezpieczeń sieci maszyny wirtualnej.

  3. Wybierz nazwę interfejsu sieciowego i wybierz pozycję Obowiązujące trasy w obszarze Pomoc , aby zweryfikować trasy dla komunikacji równorzędnej sieci wirtualnej. Trasa 10.2.0.0/16 z typem VNet peering następnego przeskoku to trasa do sieci wirtualnej koncentratora.

    Zrzut ekranu przedstawiający obowiązujące trasy z testowego interfejsu sieciowego maszyny wirtualnej.

Czyszczenie zasobów

Jeśli nie potrzebujesz już menedżera usługi Azure Virtual Network Manager, przed usunięciem zasobu należy upewnić się, że wszystkie poniższe elementy są prawdziwe:

  • Nie ma wdrożeń konfiguracji w żadnym regionie.
  • Wszystkie konfiguracje zostały usunięte.
  • Wszystkie grupy sieciowe zostały usunięte.

Użyj listy kontrolnej usuwania składników, aby upewnić się, że żadne zasoby podrzędne nie są nadal dostępne przed usunięciem grupy zasobów.

Następne kroki

Dowiedz się, jak blokować ruch sieciowy przy użyciu konfiguracji administratora zabezpieczeń.