Udostępnij za pośrednictwem

Symulowanie zdalnej łączności sieciowej przy użyciu wirtualnej sieci platformy Azure

  • Artykuł

W tym artykule wyjaśniono, jak symulować zdalną łączność sieciową przy użyciu zdalnej sieci wirtualnej rozległej (vWAN). Jeśli chcesz symulować łączność sieci zdalnej przy użyciu bramy sieci wirtualnej platformy Azure (VNG), zobacz artykuł Simulate remote network connectivity using Azure VNG (Symulowanie zdalnej łączności sieciowej przy użyciu sieci wirtualnej platformy Azure).

Wymagania wstępne

Aby wykonać kroki opisane w tym procesie, należy spełnić następujące wymagania wstępne:

  • Subskrypcja platformy Azure i uprawnienia do tworzenia zasobów w witrynie Azure Portal.
  • Podstawowa wiedza na temat wirtualnych sieci rozległych (vWAN).
  • Podstawowa wiedza na temat połączeń sieci VPN typu lokacja-lokacja.
  • Dzierżawa firmy Microsoft Entra z przypisaną rolą administratora globalnego bezpiecznego dostępu.
  • Podstawowa wiedza na temat pulpitów wirtualnych platformy Azure lub maszyn wirtualnych platformy Azure.

W tym dokumencie są używane następujące przykładowe wartości wraz z wartościami na obrazach i krokach. Możesz skonfigurować te ustawienia zgodnie z własnymi wymaganiami.

  • Subskrypcja: Visual Studio Enterprise
  • Nazwa grupy zasobów: GlobalSecureAccess_Documentation
  • Region: Południowo-środkowe stany USA

Ogólne kroki

Kroki tworzenia sieci zdalnej przy użyciu usługi Azure vWAN wymagają dostępu zarówno do witryny Azure Portal, jak i centrum administracyjnego firmy Microsoft Entra. Aby łatwo przełączać się między nimi, pozostaw platformę Azure i firmę Microsoft Entra otwartą na osobnych kartach. Ponieważ wdrożenie niektórych zasobów może potrwać ponad 30 minut, należy odłożyć co najmniej dwie godziny na ukończenie tego procesu. Przypomnienie: Zasoby, które pozostają uruchomione, mogą kosztować Pieniądze. Po zakończeniu testowania lub na końcu projektu warto usunąć zasoby, których już nie potrzebujesz.

  1. Konfigurowanie wirtualnej sieci WAN w witrynie Azure Portal
    1. Tworzenie wirtualnej sieci WAN
    2. Tworzenie koncentratora wirtualnego za pomocą bramysieci VPN typu lokacja-lokacja Centrum wirtualne trwa około 30 minut.
    3. Uzyskiwanie informacji o bramie sieci VPN
  2. Tworzenie sieci zdalnej w centrum administracyjnym firmy Microsoft Entra
  3. Tworzenie lokacji sieci VPN przy użyciu bramy firmy Microsoft
    1. Tworzenie lokacji sieci VPN
    2. Utworzenie połączenialokacja-lokacja Połączenie lokacja-lokacja trwa około 30 minut.
    3. Sprawdzanie łączności protokołu bramy obramowania i poznanych tras w witrynie Microsoft Azure Portal
    4. Sprawdzanie łączności w centrum administracyjnym firmy Microsoft Entra
  4. Konfigurowanie funkcji zabezpieczeń na potrzeby testowania
    1. Tworzenie sieci wirtualnej
    2. Dodawanie połączenia sieci wirtualnej z siecią wirtualną do sieci vWAN
    3. Tworzenie usługi Azure Virtual DesktopWdrażanie usługi Azure Virtual Desktop trwa około 30 minut. Usługa Bastion zajmuje kolejne 30 minut.
  5. Testowanie funkcji zabezpieczeń za pomocą usługi Azure Virtual Desktop (AVD)
    1. Testowanie ograniczenia dzierżawy
    2. Testowanie przywracania źródłowego adresu IP

Konfigurowanie wirtualnej sieci WAN w witrynie Azure Portal

Istnieją trzy główne kroki konfigurowania sieci vWAN:

  1. Tworzenie wirtualnej sieci WAN
  2. Tworzenie koncentratora wirtualnego za pomocą bramy sieci VPN typu lokacja-lokacja
  3. Uzyskiwanie informacji o bramie sieci VPN

Tworzenie wirtualnej sieci WAN

Utwórz wirtualną sieć WAN, aby nawiązać połączenie z zasobami na platformie Azure. Aby uzyskać więcej informacji na temat sieci vWAN, zobacz omówienie sieci vWAN.

  1. W witrynie Microsoft Azure Portal na pasku Wyszukaj zasoby wpisz vWAN w polu wyszukiwania i wybierz Enter.
  2. Wybierz pozycję vWANs z wyników. Na stronie sieci vWAN wybierz pozycję + Utwórz, aby otworzyć stronę Tworzenie sieci WAN.
  3. Na stronie Tworzenie sieci WAN na karcie Podstawy wypełnij pola. Zmodyfikuj przykładowe wartości, aby zastosować je do środowiska.
    • Subskrypcja: wybierz subskrypcję, której chcesz użyć.
    • Grupa zasobów: utwórz nową lub użyj istniejącej.
    • Lokalizacja grupy zasobów: wybierz lokalizację zasobu z listy rozwijanej. Sieć WAN jest zasobem globalnym i nie mieszka w określonym regionie. Należy jednak wybrać region do zarządzania i lokalizowania utworzonego zasobu sieci WAN.
    • Nazwa: wpisz nazwę, którą chcesz wywołać vWAN.
    • Typ: Podstawowa lub Standardowa. Wybierz opcję Standardowa. W przypadku wybrania pozycji Podstawowa należy zrozumieć, że podstawowe sieci vWAN mogą zawierać tylko podstawowe koncentratory. Podstawowe koncentratory mogą być używane tylko w przypadku połączeń typu lokacja-lokacja.
  4. Po wypełnieniu pól w dolnej części strony wybierz pozycję Przejrzyj i utwórz. Zrzut ekranu przedstawiający stronę Tworzenie sieci WAN z wypełnionymi polami.
  5. Po zakończeniu walidacji wybierz przycisk Utwórz .

Tworzenie koncentratora wirtualnego za pomocą bramy sieci VPN

Następnie utwórz koncentrator wirtualny z bramą wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja:

  1. W ramach nowej sieci vWAN w obszarze Łączność wybierz pozycję Koncentratory.
  2. Wybierz pozycję + Nowe centrum.
  3. Na stronie Tworzenie koncentratora wirtualnego na karcie Podstawy wypełnij pola zgodnie ze środowiskiem.
    • Region: wybierz region, w którym chcesz wdrożyć koncentrator wirtualny.
    • Nazwa: nazwa, według której ma być znane centrum wirtualne.
    • Prywatna przestrzeń adresowa centrum: w tym przykładzie użyj adresu 10.101.0.0/24. Aby utworzyć koncentrator, zakres adresów musi znajdować się w notacji Routing międzydomenowy (CIDR) bez klas i mieć minimalną przestrzeń adresową /24.
    • Pojemność koncentratora wirtualnego: w tym przykładzie wybierz pozycję 2 jednostki infrastruktury routingu, router 3 Gb/s, obsługuje 2000 maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Ustawienia koncentratora wirtualnego.
    • Preferencja routingu koncentratora: pozostaw wartość domyślną. Aby uzyskać więcej informacji, zobacz Preferencja routingu koncentratora wirtualnego.
    • Wybierz pozycję Dalej: lokacja-lokacja >. Zrzut ekranu przedstawiający stronę Tworzenie koncentratora wirtualnego na karcie Podstawy z wypełnionymi polami.
  4. Na karcie Lokacja-lokacja wypełnij następujące pola:
    • Wybierz pozycję Tak , aby utworzyć bramę typu lokacja-lokacja (brama sieci VPN).
    • Numer AS: nie można edytować pola Numer AS.
    • Jednostki skalowania bramy: w tym przykładzie wybierz pozycję 1 jednostka skalowania — 500 Mb/s x 2. Ta wartość powinna być zgodna z zagregowaną przepływnością bramy sieci VPN tworzonej w koncentratonie wirtualnym.
    • Preferencja routingu: w tym przykładzie wybierz pozycję Sieć firmy Microsoft, aby kierować ruch między platformą Azure a Internetem. Aby uzyskać więcej informacji na temat preferencji routingu za pośrednictwem sieci firmy Microsoft lub usługodawcy internetowego (ISP), zobacz artykuł Preferencja routingu. Zrzut ekranu przedstawiający stronę Tworzenie koncentratora wirtualnego na karcie Lokacja-lokacja z wypełnionymi polami.
  5. Pozostaw wartości domyślne pozostałych opcji kart i wybierz pozycję Przejrzyj i utwórz , aby zweryfikować.
  6. Wybierz pozycję Utwórz , aby utworzyć centrum i bramę. Ten proces może potrwać do 30 minut.
  7. Po 30 minutach odśwież, aby wyświetlić centrum na stronie Koncentratory, a następnie wybierz pozycję Przejdź do zasobu, aby przejść do zasobu.

Uzyskiwanie informacji o bramie sieci VPN

Aby utworzyć sieć zdalną w centrum administracyjnym firmy Microsoft Entra, musisz wyświetlić i zarejestrować informacje o bramie sieci VPN dla koncentratora wirtualnego utworzonego w poprzednim kroku.

  1. W ramach nowej sieci vWAN w obszarze Łączność wybierz pozycję Koncentratory.
  2. Wybierz koncentrator wirtualny.
  3. Wybierz pozycję VPN (lokacja-lokacja).
  4. Na stronie Koncentrator wirtualny wybierz link Brama sieci VPN. Zrzut ekranu przedstawiający stronę sieci VPN (lokacja-lokacja) z widocznym linkiem bramy sieci VPN.
  5. Na stronie Brama sieci VPN wybierz pozycję Widok JSON.
  6. Skopiuj tekst JSON do pliku, aby uzyskać odwołanie w kolejnych krokach. Zanotuj numer systemu autonomicznego (ASN), adres IP urządzenia i adres BGP (Device Border Gateway Protocol) do użycia w centrum administracyjnym firmy Microsoft Entra w następnym kroku. 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Napiwek

Nie można zmienić wartości asn.

Tworzenie sieci zdalnej w centrum administracyjnym firmy Microsoft Entra

W tym kroku użyj informacji o sieci z bramy sieci VPN, aby utworzyć sieć zdalną w centrum administracyjnym firmy Microsoft Entra. Pierwszym krokiem jest podanie nazwy i lokalizacji sieci zdalnej.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
  2. Przejdź do pozycji Global Secure Access Connect Remote Networks (Global Secure Access>Connect>Remote Networks).
  3. Wybierz przycisk Utwórz sieć zdalną i podaj szczegóły.
    • Nazwa: W tym przykładzie użyj Azure_vWAN.
    • Region: W tym przykładzie wybierz pozycję Południowo-środkowe stany USA.
  4. Wybierz pozycję Dalej: Łączność, aby przejść do karty Łączność.Zrzut ekranu przedstawiający stronę Tworzenie sieci zdalnej na karcie Podstawy z wyróżnionym przyciskiem Dalej: łączność.
  5. Na karcie Łączność dodaj łącza urządzenia dla sieci zdalnej. Utwórz jeden link dla wystąpienia bramy sieci VPN, a drugi link dla wystąpienia bramy sieci VPN1:
    1. Wybierz pozycję + Dodaj link.
    2. Wypełnij pola na karcie Ogólne w formularzu Dodawanie łącza przy użyciu konfiguracji Wystąpienia0 bramy sieci VPN z widoku JSON:

      • Nazwa łącza: Nazwa sprzętu lokalnego klienta (CPE). W tym przykładzie wystąpienie0.

      • Typ urządzenia: wybierz opcję urządzenia z listy rozwijanej. Ustaw wartość Inne.

      • Adres IP urządzenia: publiczny adres IP urządzenia. W tym przykładzie użyj polecenia 203.0.113.250.

      • Adres protokołu BGP urządzenia: wprowadź adres IP protokołu BGP (Border Gateway Protocol) cpE. W tym przykładzie użyj wartości 10.101.0.4.

      • Numer ASN urządzenia: podaj numer systemu autonomicznego (ASN) CPE. W tym przykładzie nazwa ASN to 65515.

      • Nadmiarowość: ustaw wartość Brak nadmiarowości.

      • Strefowo nadmiarowy lokalny adres protokołu BGP: to pole opcjonalne jest wyświetlane tylko w przypadku wybrania opcji Nadmiarowość strefy.

        • Wprowadź adres IP protokołu BGP, który nie jest częścią sieci lokalnej, w której znajduje się serwer CPE i różni się od lokalnego adresu BGP.

      • Pojemność przepustowości (Mb/s): określ przepustowość tunelu. W tym przykładzie ustawiono wartość 250 Mb/s.

      • Lokalny adres protokołu BGP: użyj adresu IP protokołu BGP, który nie jest częścią sieci lokalnej, w której znajduje się serwer CPE, na przykład 192.168.10.10.

        • Zapoznaj się z prawidłową listą adresów BGP, aby użyć wartości zarezerwowanych, których nie można użyć.

        Zrzut ekranu przedstawiający formularz Dodawanie łącza ze strzałkami pokazującymi relację między kodem JSON i informacjami o linku.

    3. Wybierz przycisk Dalej, aby wyświetlić kartę Szczegóły. Zachowaj ustawienia domyślne.
    4. Wybierz przycisk Dalej, aby wyświetlić kartę Zabezpieczenia.
    5. Wprowadź klucz wstępny (PSK). Ten sam klucz tajny musi być używany w procesorze CPE.
    6. Wybierz przycisk zapisywania.

Aby uzyskać więcej informacji na temat linków, zobacz artykuł How to manage remote network device links (Jak zarządzać linkami zdalnych urządzeń sieciowych).

  1. Powtórz powyższe kroki, aby utworzyć drugie łącze urządzenia przy użyciu konfiguracji wystąpienia1 bramy sieci VPN.
    1. Wybierz pozycję + Dodaj link.
    2. Wypełnij pola na karcie Ogólne w formularzu Dodawanie łącza przy użyciu konfiguracji Wystąpienia1 bramy sieci VPN z widoku JSON:
      • Nazwa łącza: Wystąpienie1
      • Typ urządzenia: Inne
      • Adres IP urządzenia: 203.0.113.251
      • Adres protokołu BGP urządzenia: 10.101.0.5
      • Nazwa ASN urządzenia: 65515
      • Nadmiarowość: brak nadmiarowości
      • Pojemność przepustowości (Mb/s): 250 Mb/s
      • Lokalny adres protokołu BGP: 192.168.10.11
    3. Wybierz przycisk Dalej, aby wyświetlić kartę Szczegóły. Zachowaj ustawienia domyślne.
    4. Wybierz przycisk Dalej, aby wyświetlić kartę Zabezpieczenia.
    5. Wprowadź klucz wstępny (PSK). Ten sam klucz tajny musi być używany w procesorze CPE.
    6. Wybierz przycisk zapisywania.
  2. Przejdź do karty Profile ruchu, aby wybrać profil ruchu, aby połączyć się z siecią zdalną.
  3. Wybierz pozycję Profil ruchu platformy Microsoft 365.
  4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz sieć zdalną.

Przejdź do strony Sieć zdalna, aby wyświetlić szczegóły nowej sieci zdalnej. Powinien istnieć jeden region i dwa łącza.

  1. W obszarze Szczegóły łączności wybierz link Wyświetl konfigurację. Zrzut ekranu przedstawiający stronę Sieć zdalna z nowo utworzonym regionem, jego dwoma linkami i wyróżnionym linkiem Wyświetl konfigurację.
  2. Skopiuj tekst konfiguracji sieci zdalnej do pliku, aby uzyskać informacje w kolejnych krokach. Zanotuj adres Endpoint, ASN i BGP dla każdego z łączy (Instance0 i Instance1). 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Tworzenie lokacji sieci VPN przy użyciu bramy firmy Microsoft

W tym kroku utwórz lokację sieci VPN, skojarz lokację sieci VPN z centrum, a następnie zweryfikuj połączenie.

Tworzenie lokacji sieci VPN

  1. W witrynie Microsoft Azure Portal zaloguj się do koncentratora wirtualnego utworzonego w poprzednich krokach.
  2. Przejdź do pozycji Łączność>VPN (lokacja-lokacja).
  3. Wybierz pozycję + Utwórz nową witrynę sieci VPN.
  4. Na stronie Tworzenie witryny sieci VPN wypełnij pola na karcie Podstawy.
  5. Przejdź do karty Łącza . Dla każdego linku wprowadź konfigurację bramy firmy Microsoft z konfiguracji sieci zdalnej zanotowaną w kroku "Wyświetl szczegóły":
    • Nazwa łącza: w tym przykładzie wystąpienie0; Wystąpienie1.
    • Szybkość łącza: w tym przykładzie 250 dla obu łączy.
    • Nazwa dostawcy łącza: ustaw wartość Inne dla obu łączy.
    • Połącz adres IP/nazwę FQDN: użyj adresu punktu końcowego. W tym przykładzie 203.0.113.32; 203.0.113.34.
    • Adres BGP łącza: użyj adresu BGP, 192.168.10.10; 192.168.10.11.
    • Połącz nazwę ASN: użyj nazwy ASN. W tym przykładzie 65476 dla obu łączy. Zrzut ekranu przedstawiający stronę Tworzenie sieci VPN na karcie Linki z wypełnionymi polami.
  6. Wybierz pozycję Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Tworzenie połączenia typu lokacja-lokacja

W tym kroku skojarz lokację sieci VPN z poprzedniego kroku z koncentratorem. Następnie usuń domyślne skojarzenie centrum:

  1. Przejdź do pozycji Łączność>VPN (lokacja-lokacja).
  2. Wybierz ikonę X , aby usunąć domyślne skojarzenie centrum: połączono z tym filtrem koncentratora , aby witryna sieci VPN pojawiła się na liście dostępnych lokacji sieci VPN. Zrzut ekranu przedstawiający stronę sieci VPN (lokacja-lokacja) z wyróżnioną wartością X dla filtru skojarzenia centrum.
  3. Wybierz lokację sieci VPN z listy i wybierz pozycję Połącz lokacje sieci VPN.
  4. W formularzu Łączenie witryn wpisz ten sam klucz wstępny (PSK) używany w centrum administracyjnym firmy Microsoft Entra.
  5. Wybierz pozycję Połącz.
  6. Po około 30 minutach lokacja sieci VPN aktualizuje ikony powodzenia dla stanu aprowizacji połączenia i stanu łączności. Zrzut ekranu przedstawiający stronę sieci VPN (lokacja-lokacja) z wyświetlonym stanem pomyślnym dla aprowizacji połączeń i łączności.

Sprawdzanie łączności protokołu BGP i poznanych tras w witrynie Microsoft Azure Portal

W tym kroku użyj pulpitu nawigacyjnego protokołu BGP, aby sprawdzić listę poznanych tras, które uczy się brama lokacja-lokacja.

  1. Przejdź do pozycji Łączność>VPN (lokacja-lokacja).
  2. Wybierz lokację sieci VPN utworzoną w poprzednich krokach.
  3. Wybierz pozycję Pulpit nawigacyjny protokołu BGP.

Pulpit nawigacyjny protokołu BGP zawiera listę elementów równorzędnych protokołu BGP (bram sieci VPN i lokacji sieci VPN), które powinny mieć stan Połączono.

  1. Aby wyświetlić listę poznanych tras, wybierz pozycję Trasy, do których uczy się brama lokacja-lokacja.

Lista poznanych tras pokazuje, że brama typu lokacja-lokacja uczy się tras platformy Microsoft 365 wymienionych w profilu ruchu platformy Microsoft 365. Zrzut ekranu przedstawiający stronę Poznane trasy z wyróżnionymi trasami platformy Microsoft 365.

Na poniższej ilustracji przedstawiono zasady i reguły profilu ruchu dla profilu platformy Microsoft 365, które powinny być zgodne z trasami uzyskanymi z bramy typu lokacja-lokacja. Zrzut ekranu przedstawiający profile przesyłania dalej ruchu platformy Microsoft 365 z pasującymi trasami.

Sprawdzanie łączności w centrum administracyjnym firmy Microsoft Entra

Wyświetl dzienniki kondycji sieci zdalnej, aby zweryfikować łączność w centrum administracyjnym firmy Microsoft Entra.

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Globalne dzienniki kondycji sieci zdalnej monitora>dostępu>zdalnego.
  2. Wybierz Dodaj filtr.
  3. Wybierz źródłowy adres IP i wpisz źródłowy adres IP wystąpienia lub wystąpienia1 bramy sieci VPN. Wybierz Zastosuj.
  4. Połączenie powinno mieć wartość "Zdalna sieć aktywna".

Możesz również sprawdzić poprawność, filtrując według tuneluPołączone lub BGPConnected. Aby uzyskać więcej informacji, zobacz Co to są dzienniki kondycji sieci zdalnej?.

Konfigurowanie funkcji zabezpieczeń na potrzeby testowania

W tym kroku przygotowujemy się do testowania, konfigurując sieć wirtualną, dodając połączenie sieci wirtualnej z siecią wirtualną do sieci vWAN i tworząc usługę Azure Virtual Desktop.

Tworzenie sieci wirtualnej

W tym kroku użyj witryny Azure Portal, aby utworzyć sieć wirtualną.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Sieci wirtualne.
  2. Na stronie Sieci wirtualne wybierz pozycję + Utwórz.
  3. Ukończ kartę Podstawowe, w tym subskrypcję, grupę zasobów, nazwę sieci wirtualnej i region.
  4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
  5. W sekcji Azure Bastion wybierz pozycję Włącz usługę Bastion.
    • Wpisz nazwę hosta usługi Azure Bastion. W tym przykładzie użyj Virtual_network_01-bastionu.
    • Wybierz publiczny adres IP usługi Azure Bastion. W tym przykładzie wybierz pozycję (Nowa) wartość domyślna. Zrzut ekranu przedstawiający ekran Tworzenie sieci wirtualnej na karcie Zabezpieczenia z ustawieniami usługi Bastion.
  6. Wybierz przycisk Dalej , aby przejść do karty Adresy IP. Skonfiguruj przestrzeń adresową sieci wirtualnej przy użyciu co najmniej jednego zakresu adresów IPv4 lub IPv6.

Napiwek

Nie używaj nakładających się przestrzeni adresowych. Jeśli na przykład koncentrator wirtualny utworzony w poprzednich krokach używa przestrzeni adresowej 10.0.0.0/16, utwórz tę sieć wirtualną z przestrzenią adresową 10.2.0.0/16. 7. Wybierz pozycję Przejrzyj i utwórz. Po zakończeniu walidacji wybierz pozycję Utwórz.

Dodawanie połączenia sieci wirtualnej z siecią wirtualną do sieci vWAN

W tym kroku połącz sieć wirtualną z siecią vWAN.

  1. Otwórz sieć vWAN utworzoną w poprzednich krokach i przejdź do pozycji Łączność Połączenia>połączenia sieci wirtualnej.
  2. Wybierz przycisk + Add connection (Dodaj połączenie).
  3. Wypełnij formularz Dodawanie połączenia, wybierając wartości z koncentratora wirtualnego i sieci wirtualnej utworzonej w poprzednich sekcjach:
    • Nazwa połączenia: VirtualNetwork
    • Koncentratory: hub1
    • Subskrypcja: Subskrypcja platformy Azure firmy Contoso
    • Grupa zasobów: GlobalSecureAccess_Documentation
    • Sieć wirtualna: VirtualNetwork
  4. Pozostaw pozostałe pola ustawione na wartości domyślne, a następnie wybierz pozycję Utwórz. Zrzut ekranu przedstawiający formularz Dodawanie połączenia z przykładowymi informacjami w wymaganych polach.

Tworzenie usługi Azure Virtual Desktop

W tym kroku utwórz pulpit wirtualny i hostuj go za pomocą usługi Bastion.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure Virtual Desktop.
  2. Na stronie Azure Virtual Desktop wybierz pozycję Utwórz pulę hostów.
  3. Ukończ kartę Podstawowe , wykonując następujące czynności:
    • Nazwa puli hostów. W tym przykładzie virtualdesktops.
    • Lokalizacja obiektu usługi Azure Virtual Desktop. W tym przypadku południowo-środkowe stany USA.
    • Preferowany typ grupy aplikacji: wybierz pozycję Pulpit.
    • Typ puli hostów: wybierz pozycję Pula.
    • Algorytm równoważenia obciążenia: wybierz pozycję Zakres pierwszy.
    • Maksymalny limit sesji: wybierz pozycję 2.
  4. Wybierz pozycję Dalej: Maszyny wirtualne.
  5. Ukończ kartę Dalej: Maszyny wirtualne, wykonując następujące czynności:
    • Dodawanie maszyn wirtualnych: Tak
    • Żądana grupa zasobów. W tym przykładzie GlobalSecureAccess_Documentation.
    • Prefiks nazwy: avd
    • Typ maszyny wirtualnej: wybierz pozycję Maszyna wirtualna platformy Azure.
    • Lokalizacja maszyny wirtualnej: Południowo-środkowe stany USA.
    • Opcje dostępności: wybierz pozycję Brak wymaganej nadmiarowości infrastruktury.
    • Typ zabezpieczeń: wybierz pozycję Zaufana maszyna wirtualna uruchamiania.
    • Włącz bezpieczny rozruch: Tak
    • Włącz maszynę wirtualną vTPM: Tak
    • Obraz: Na potrzeby tego przykładu wybierz wielosesjową sesję systemu Windows 11 Enterprise i aplikacje platformy Microsoft 365 w wersji 22H2.
    • Rozmiar maszyny wirtualnej: wybierz pozycję Standardowa D2s v3, 2 procesory wirtualne, 8 GB pamięci.
    • Liczba maszyn wirtualnych: 1
    • Sieć wirtualna: wybierz sieć wirtualną utworzoną w poprzednim kroku VirtualNetwork.
    • Domena do przyłączenia: wybierz pozycję Microsoft Entra ID.
    • Wprowadź poświadczenia konta administratora.
  6. Pozostaw inne opcje domyślne i wybierz pozycję Przejrzyj i utwórz.
  7. Po zakończeniu walidacji wybierz pozycję Utwórz.
  8. Po około 30 minutach pula hostów zostanie zaktualizowana, aby pokazać, że wdrożenie zostało ukończone.
  9. Przejdź do strony głównej platformy Microsoft Azure i wybierz pozycję Maszyny wirtualne.
  10. Wybierz maszynę wirtualną utworzoną w poprzednich krokach.
  11. Wybierz pozycję Połącz za>pośrednictwem usługi Bastion.
  12. Wybierz pozycję Wdróż usługę Bastion. Wdrożenie hosta usługi Bastion trwa około 30 minut.
  13. Po wdrożeniu usługi Bastion wprowadź te same poświadczenia administratora, które zostały użyte do utworzenia usługi Azure Virtual Desktop.
  14. Wybierz pozycję Połącz. Zostanie uruchomiony pulpit wirtualny.

Testowanie funkcji zabezpieczeń za pomocą usługi Azure Virtual Desktop (AVD)

W tym kroku używamy usługi AVD do testowania ograniczeń dostępu do sieci wirtualnej.

Testowanie ograniczenia dzierżawy

Przed rozpoczęciem testowania włącz ograniczenia dzierżawy w sieci wirtualnej.

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do obszaru Globalne zarządzanie ustawieniami> bezpiecznego dostępu.>
  2. Ustaw przełącznik Włącz tagowanie, aby wymusić ograniczenia dzierżawy na przełączniku sieci.
  3. Wybierz pozycję Zapisz.
  4. Zasady dostępu między dzierżawami można zmodyfikować, przechodząc do pozycji Tożsamość>Tożsamości zewnętrzne ustawienia dostępu między dzierżawami.> Aby uzyskać więcej informacji, zobacz artykuł Omówienie dostępu między dzierżawami.
  5. Zachowaj ustawienia domyślne, które uniemożliwiają użytkownikom logowanie się przy użyciu kont zewnętrznych na urządzeniach zarządzanych.

Aby przetestować:

  1. Zaloguj się do maszyny wirtualnej usługi Azure Virtual Desktop utworzonej w poprzednich krokach.
  2. Przejdź do www.office.com i zaloguj się przy użyciu wewnętrznego identyfikatora organizacji. Ten test powinien zostać pomyślnie ukończony.
  3. Powtórz poprzedni krok, ale przy użyciu konta zewnętrznego. Ten test powinien zakończyć się niepowodzeniem z powodu zablokowanego dostępu.
    Zrzut ekranu przedstawiający komunikat

Testowanie przywracania źródłowego adresu IP

Przed rozpoczęciem testowania włącz dostęp warunkowy.

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do obszaru Globalne zarządzanie ustawieniami> bezpiecznego dostępu.>
  2. Wybierz kartę Dostęp adaptacyjny.
  3. Ustaw przełącznik Włącz globalny bezpieczny dostęp w przełączniku Dostęp warunkowy na wartość włączone.
  4. Wybierz pozycję Zapisz. Aby uzyskać więcej informacji, zobacz artykuł Przywracanie źródłowego adresu IP.

Aby przetestować (opcja 1): Powtórz test ograniczeń dzierżawy z poprzedniej sekcji:

  1. Zaloguj się do maszyny wirtualnej usługi Azure Virtual Desktop utworzonej w poprzednich krokach.
  2. Przejdź do www.office.com i zaloguj się przy użyciu wewnętrznego identyfikatora organizacji. Ten test powinien zostać pomyślnie ukończony.
  3. Powtórz poprzedni krok, ale przy użyciu konta zewnętrznego. Ten test powinien zakończyć się niepowodzeniem, ponieważ źródłowy adres IP w komunikacie o błędzie pochodzi z publicznego adresu IP bramy sieci VPN zamiast serwera proxy microsoft SSE wysyłającego żądanie do firmy Microsoft Entra.
    Zrzut ekranu przedstawiający komunikat

Aby przetestować (opcja 2):

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Globalne dzienniki kondycji sieci zdalnej monitora>dostępu>zdalnego.
  2. Wybierz Dodaj filtr.
  3. Wybierz pozycję Źródłowy adres IP i wpisz publiczny adres IP bramy sieci VPN. Wybierz Zastosuj. Zrzut ekranu przedstawiający stronę Dzienniki kondycji sieci zdalnej z otwartym menu Dodaj filtr gotowy do wpisywania źródłowego adresu IP.

System przywraca adres IP sprzętu klienta (CPE) biura oddziału. Ponieważ brama sieci VPN reprezentuje cpE, dzienniki kondycji pokazują publiczny adres IP bramy sieci VPN, a nie adres IP serwera proxy.

Usuwanie niepotrzebnych zasobów

Po zakończeniu testowania lub na końcu projektu warto usunąć zasoby, których już nie potrzebujesz. Uruchomione zasoby mogą generować koszty. Zasoby możesz usuwać pojedynczo lub jako grupę zasobów, usuwając cały zestaw zasobów.