Exercício – Criar uma NVA e máquinas virtuais
Na próxima fase de sua implementação de segurança, você implantará uma NVA (solução de virtualização de rede) para proteger e monitorar o tráfego entre seus servidores públicos de front-end e servidores privados internos.
Primeiro, configure o dispositivo para encaminhar o tráfego IP. Se o encaminhamento de IP não estiver habilitado, o tráfego roteado por meio do seu dispositivo nunca será recebido por seus servidores de destino pretendidos.
Neste exercício, você implantará o dispositivo de rede nva na sub-rede dmzsubnet. Em seguida, você habilita o encaminhamento de IP para que o tráfego de * e o tráfego que usa a rota personalizada sejam enviados para a sub-rede privatesubnet.
Nas etapas a seguir, você implantará uma NVA. Em seguida, você atualizará a NIC virtual do Azure e as configurações de rede dentro do dispositivo, para habilitar o encaminhamento de IP.
Implantar a solução de virtualização de rede
Para criar a NVA, implante uma instância do Ubuntu LTS.
No Cloud Shell, execute o comando a seguir para implantar o dispositivo. Substitua
<password>por uma senha adequada de sua escolha para a conta do administrador azureuser.az vm create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --vnet-name vnet \ --subnet dmzsubnet \ --image Ubuntu2204 \ --admin-username azureuser \ --admin-password <password>
Habilitar o encaminhamento de IP para o adaptador de rede do Azure
Nas próximas etapas, você habilitará o encaminhamento de IP para o dispositivo de rede NVA. Quando o tráfego flui para o NVA, mas é destinado a outro destino, o NVA roteia esse tráfego para o destino correto.
Execute o comando a seguir para obter a ID do adaptador de rede da NVA:
NICID=$(az vm nic list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --query "[].{id:id}" --output tsv) echo $NICIDExecute o comando a seguir para obter o nome do adaptador de rede da NVA:
NICNAME=$(az vm nic show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --nic $NICID \ --query "{name:name}" --output tsv) echo $NICNAMEExecute o comando a seguir para habilitar o encaminhamento de IP para o adaptador de rede:
az network nic update --name $NICNAME \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --ip-forwarding true
Habilitar o encaminhamento de IP no dispositivo
Execute o comando a seguir para salvar o endereço IP público da máquina virtual da NVA para a variável
NVAIP:NVAIP="$(az vm list-ip-addresses \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \ --output tsv)" echo $NVAIPExecute o comando a seguir para habilitar o encaminhamento de IP dentro da NVA:
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'Quando solicitado, insira a senha que você usou quando criou a máquina virtual.