Ćwiczenie — tworzenie urządzenia WUS i maszyn wirtualnych

  • 10 min

Następnym etapem implementacji zabezpieczeń będzie wdrożenie wirtualnego urządzenia sieciowego (WUS) w celu zabezpieczenia i monitorowania ruchu między serwerami publicznymi frontonu i wewnętrznymi serwerami prywatnymi.

Najpierw skonfiguruj urządzenie do przekazywania ruchu IP. Jeśli przekazywanie IP nie zostanie włączone, ruch kierowany przez urządzenie nigdy nie zostanie odebrany przez serwery docelowe.

W tym ćwiczeniu wdrożysz urządzenie sieciowe nva w podsieci dmzsubnet . Następnie włączysz przekazywanie adresów IP, aby ruch z * i ruch korzystający z trasy niestandardowej był wysyłany do podsieci privatesubnet .

Diagram przedstawiający wirtualne urządzenie sieciowe z włączonym przekazywaniem adresów IP.

W poniższych krokach wdrożysz urządzenie WUS. Następnie zaktualizujesz wirtualną kartę sieciową platformy Azure oraz ustawienia sieciowe w urządzeniu, aby włączyć przekazywanie IP.

Wdrażanie wirtualnego urządzenia sieciowego

Aby skompilować urządzenie WUS, wdróż wystąpienie systemu Ubuntu LTS.

  1. Uruchom następujące polecenie w usłudze Cloud Shell, aby wdrożyć urządzenie. Zastąp frazę <password> odpowiednim hasłem dla konta administratora azureuser.

    az vm create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

Włączanie przekazywania IP dla interfejsu sieciowego platformy Azure

W następnych krokach włączysz przekazywanie adresów IP dla urządzenia sieciowego nva . Jeśli ruch płynący do urządzenia WUS jest przeznaczony do innego miejsca docelowego, urządzenie WUS kieruje ten ruch do prawidłowej lokalizacji docelowej.

  1. Uruchom następujące polecenie, aby uzyskać identyfikator interfejsu sieciowego urządzenia WUS:

    NICID=$(az vm nic list \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. Uruchom następujące polecenie, aby uzyskać nazwę interfejsu sieciowego urządzenia WUS:

    NICNAME=$(az vm nic show \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. Uruchom następujące polecenie, aby włączyć przekazywanie adresów IP dla interfejsu sieciowego:

    az network nic update --name $NICNAME \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --ip-forwarding true

Włączanie przekazywania IP na urządzeniu

  1. Uruchom następujące polecenie, aby zapisać publiczny adres IP maszyny wirtualnej urządzenia WUS w zmiennej NVAIP:

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. Uruchom następujące polecenie, aby włączyć przekazywanie adresów IP w urządzeniu WUS:

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    Po wyświetleniu monitu wprowadź hasło, które zostało użyte podczas tworzenia maszyny wirtualnej.