Ćwiczenie — implementowanie topologii sieci piasty i szprych na platformie Azure

  • 10 min

Zdecydowałeś się wdrożyć infrastrukturę sieciową w konfiguracji hub-spoke dla swoich zasobów. Ponadto wewnętrzny dział kadr chce hostować nowy wewnętrzny system kadr, który nie powinien być dostępny z Internetu. System KADR powinien być dostępny dla wszystkich w firmie, niezależnie od tego, czy pracują w siedzibie firmy, czy w biurze satelitarnym.

W tym ćwiczeniu wdrożysz infrastrukturę sieci, a następnie utworzysz nową sieć wirtualną do hostowania serwerów dla nowego systemu kadr firmy.

Diagram przedstawiający dodawanie nowego węzła HR do sieci.

Konfigurowanie środowiska

To wdrożenie tworzy zasoby sieciowe platformy Azure pasujące do powyższego diagramu. Dzięki tym zasobom można dodać nową sieć wirtualną HR.

Utwórz sieci wirtualne i podsieci dla zasobów serwera. Uruchom następujące polecenie:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

Tworzenie nowej szprychy w sieci wirtualnej

Sieć wirtualną można utworzyć za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Wykonajmy resztę tego ćwiczenia za pośrednictwem witryny Azure Portal.

  1. Zaloguj się do witryny Azure Portal przy użyciu tego samego konta, które zostało użyte do aktywowania piaskownicy.

  2. W lewym górnym rogu witryny Azure Portal wybierz pozycję Utwórz zasób. Zostanie wyświetlone okienko Tworzenie zasobu.

  3. W polu wyszukiwania wprowadź Virtual Network.

  4. Wybierz pozycję Virtual Network z Marketplace . Pojawi się okienko Virtual Network-Create.

  5. Aby rozpocząć konfigurowanie sieci wirtualnej, wybierz pozycję Utwórz. Zostanie wyświetlone okienko Tworzenie sieci wirtualnej.

Konfigurowanie ustawień sieci wirtualnej

Środowisko tworzenia zasobów w portalu to kreator, który przeprowadzi Cię przez początkową konfigurację sieci wirtualnej.

  1. Aby utworzyć sieć wirtualną, na karcie Podstawowe wprowadź następujące wartości dla każdego ustawienia.

    Ustawienie Wartość
    szczegóły projektu
    Subskrypcja Subskrypcja Concierge
    Grupa zasobów Z listy rozwijanej wybierz pozycję [nazwa grupy zasobów piaskownicy]
    szczegóły wystąpienia
    Nazwa sieci wirtualnej HRappVnet
    Region Pozostaw region domyślny.

  2. Wybierz kartę adresów IP lub wybierz Dalej > Dalej.

  3. Wprowadź następujące wartości dla każdego ustawienia.

    Ustawienie Wartość
    przestrzeń adresowa IPv4 Zastąp adres domyślny 10.10.0.0/16 w polu tekstowym.
    Nazwa podsieci Wybierz domyślny. Wyświetlane jest okienko Edytowanie podsieci. Wprowadź następujące wartości dla każdego ustawienia.
    Ustawienie Wartość
    Nazwa podsieci Systemy HR
    Adres początkowy 10.10.1.0/24

  4. Wybierz pozycję Zapisz.

  5. Wybierz pozycję Przegląd i utwórz. Po zakończeniu walidacji, aby rozpocząć aprowizowanie sieci wirtualnej, wybierz pozycję Utwórz.

  6. Po pomyślnym zakończeniu wdrażania wybierz pozycję Przejdź do zasobu. Pojawi się okienko sieci wirtualnej o nazwie HRappVnet.

Konfigurowanie komunikacji równorzędnej sieci wirtualnych koncentratora

Po utworzeniu trzeciej szprychy należy skonfigurować peering sieci wirtualnej między piastą a szprychami.

  1. Przejdź do strony głównej portalu. Wybierz pozycję Wszystkie zasoby. Zostanie wyświetlone okienko Wszystkie zasoby.

    Powinny zostać wyświetlone sieci wirtualne HubVNet, WebVNet, QuoteVNeti HRappVnet.

  2. Wybierz HubVNet. Zostanie wyświetlone okienko HubVnet.

  3. W panelu menu po lewej stronie, w obszarze ustawienia, wybierz pozycję Peerings. Zostanie wyświetlone okienko połączeń równorzędnych dla okienka HubVnet.

  4. Na górnym pasku menu wybierz pozycję + Dodaj. Pojawi się okienko Dodawanie peeringu dla sieci HubVnet.

  5. Na stronie Dodawanie komunikacji równorzędnej wybierz HRappVnet dla virtual Network przed ukończeniem pozostałej części konfiguracji komunikacji równorzędnej.

  6. Wprowadź następujące wartości dla każdego ustawienia.

    Ustawienie Wartość
    ta sieć wirtualna
    Nazwa łącza równorzędnego Wprowadź gwPeering_hubVNet_HRappVnet. Ta nazwa to nazwa łącza równorzędnego z sieci HubvNet do sieci HRappVnet.
    Zezwalaj aplikacji "HubVnet" na dostęp do sieci HRappVnet Zaznacz pole wyboru, aby zezwolić na dostęp.
    Zezwalaj usłudze "HubVnet" na odbieranie przekazywanego ruchu z sieci "HRappVnet" Pozostaw pole wyboru niezaznaczone, aby zablokować ruch pochodzący spoza tej sieci wirtualnej.
    Zezwalaj bramie w sieci HubVnet na przekazywanie ruchu do sieci "HRappVnet" Pozostaw pole wyboru niezaznaczone.
    Włącz "HubVnet", aby użyć zdalnej bramy "HRappVnet" Pozostaw pole wyboru niezaznaczone.
    zdalna sieć wirtualna
    Nazwa łącza równorzędnego gwPeering_HRappVnet_hubVNet. Ta nazwa to nazwa łącza równorzędnego z sieci HRappVnet do sieci HubVnet.
    Model wdrażania sieci wirtualnej Wybierz Menedżer zasobów
    Subskrypcja Wybierz subskrypcji Concierge
    Sieć wirtualna Wybierz HRappVnet
    Zezwalaj aplikacji "HRappVnet" na dostęp do sieci "HubVnet" Zaznacz pole wyboru, aby zezwolić na dostęp.
    Zezwalaj usłudze "HRappVnet" na odbieranie przekazywanego ruchu z sieci "HubVnet" Pozostaw pole wyboru niezaznaczone, aby zablokować ruch pochodzący spoza tej sieci wirtualnej.
    Zezwalaj bramie w sieci "HRappVnet" na przekazywanie ruchu do sieci "HubVnet" Pozostaw pole wyboru niezaznaczone
    Włącz korzystanie przez 'HRappVnet' z zdalnej bramy 'HubVnet'. Pozostaw pole wyboru niezaznaczone

  7. Aby utworzyć połączenie równorzędne, wybierz Dodaj. Okienko Połączenia równorzędne ponownie się pojawia z nowym połączeniem równorzędnym.

Nawiązano peering sieci wirtualnej koncentratora z siecią wirtualną szprychy. Zezwoliłeś na przekazywanie ruchu z koncentratora do węzła za pomocą bramy sieci VPN w konfiguracji.

Tworzenie sieciowej grupy zabezpieczeń dla sieci wirtualnej

Aby skonfigurować przepływ ruchu, należy utworzyć sieciową grupę zabezpieczeń.

  1. Przejdź do strony głównej portalu i wybierz Utwórz zasób. Zostanie wyświetlone okienko Tworzenie zasobu.

  2. W polu wyszukiwania wprowadź grupa zabezpieczeń sieciowych, a następnie wybierz link o tym samym tytule na liście. Pojawi się okienko Grupa zabezpieczeń sieciowych – Utwórz.

  3. Aby rozpocząć konfigurowanie sieci wirtualnej, wybierz pozycję Utwórz. Pojawia się Tworzenie sieciowej grupy zabezpieczeń.

  4. Na karcie Podstawowe wprowadź następujące wartości dla każdego ustawienia.

    Ustawienie Wartość
    szczegóły projektu
    Subskrypcja Subskrypcja Concierge
    Grupa zasobów Z listy rozwijanej wybierz pozycję [nazwa grupy zasobów piaskownicy]
    szczegóły wystąpienia
    Nazwa Wprowadź HRNsg
    Region Pozostaw lokalizację domyślną.

  5. Wybierz Przejrzyj i utwórz.

  6. Po przejściu weryfikacji, aby wdrożyć sieciową grupę zabezpieczeń, wybierz opcję Utwórz. Zostanie wyświetlony panel Przegląd dla Twojej sieciowej grupy zabezpieczeń.

  7. Wybierz pozycję Przejdź do zasobu i zanotuj NSG, HRNsg.

Teraz utworzono sieciową grupę zabezpieczeń, którą można przypisać do każdej z sieci wirtualnych.

Kojarzenie sieciowej grupy zabezpieczeń z nową siecią wirtualną HR

Teraz powiąż grupę zabezpieczeń sieci z siecią wirtualną.

  1. Jeśli okno HRNsg zostało zamknięte, przejdź do strony głównej portalu. Wybierz pozycję Wszystkie zasoby i wybierz pozycję HRNsg. Zostanie wyświetlone okienko HRNsg. W przeciwnym razie przejdź do następnego kroku.

  2. W lewym panelu menu, w ustawieniach , wybierz pozycję Podsieci. Okienko podsieci pojawi się dla sieciowej grupy zabezpieczeń HRNsg.

  3. Na górnym pasku menu wybierz pozycję + Skojarz. Zostanie wyświetlone okienko podłączanie podsieci.

  4. Z listy rozwijanej sieć wirtualna wybierz pozycję HRappVnet.

  5. Z listy rozwijanej podsieci wybierz opcję HRsystems.

  6. Aby połączyć grupę zabezpieczeń sieci, wybierz pozycję OK. Okienko Podsieci dla grupy zabezpieczeń sieci HRNsg pojawia się ponownie.

Skonfiguruj regułę grupy zabezpieczeń sieci, aby zatrzymać przychodzący ruch HTTP

Musisz spełnić wymagania dotyczące zabezpieczeń, aby aplikacja HR była hostowana w sieci HRappVnet. Nie powinno być żadnego przychodzącego ruchu HTTP ze szprychy, ponieważ tylko pracownicy wewnętrzni potrzebują dostępu. Skonfiguruj regułę sieciowej grupy zabezpieczeń, aby spełnić to wymaganie.

  1. Na stronie HRNsg | Strona podsieci wybierz reguły bezpieczeństwa przychodzącego w sekcji Ustawienia. Okienko Reguły zabezpieczeń dla ruchu przychodzącego zostanie wyświetlone dla sieciowej grupy zabezpieczeń HRNsg.

  2. Na górnym pasku menu wybierz pozycję + Dodaj. Zostanie wyświetlone okienko Dodawanie reguły zabezpieczeń dla ruchu przychodzącego.

  3. Wprowadź następujące wartości dla każdego ustawienia.

    Ustawienie Wartość
    Źródło Z listy rozwijanej wybierz opcję Dowolna.
    Zakresy portów źródłowych Pozostaw wartość domyślną *.
    Cel Z listy rozwijanej wybierz identyfikator serwisowy .
    Docelowy tag usługi Wybierz VirtualNetwork.
    Usługa Wybierz Niestandardowe.
    Zakresy portów docelowych Wprowadź 80 443
    Protokół Wybierz dowolną.
    Akcja Wybierz opcję Odmów.
    Priorytet Wprowadź 100.
    Nazwa Wprowadź Block-Inbound-HTTP-HTTPS
    Opis Wprowadź , aby zablokować przychodzący ruch HTTP i HTTPS pochodzący ze szprychy.

  4. Aby dodać regułę, wybierz pozycję Dodaj. Okienko Reguły zabezpieczeń dla ruchu przychodzącego zostanie ponownie wyświetlone dla sieciowej grupy zabezpieczeń.

Dostęp przychodzący HTTP z szprychy został zablokowany na porcie 80 i 443.

W tym scenariuszu utworzono szprychową sieć wirtualną Azure, a następnie połączono ją z istniejącą siecią koncentratora. Następnie zabezpieczyliśmy ruch z tej szprychy, blokując dostęp przychodzący na porcie 80 i 443, zapewniając jednocześnie możliwość nawiązania połączenia za pośrednictwem koncentratora.