Exercício – Implementar uma topologia de rede hub-spoke no Azure

  • 10 minutos

Você decidiu implantar a infraestrutura de rede em uma configuração hub-spoke para seus recursos. Além disso, seu departamento de RH interno deseja hospedar um novo sistema de RH interno que não esteja acessível pela Internet. O sistema de RH deve estar acessível a todos na empresa, quer trabalhem na sede ou em um escritório-satélite.

Neste exercício, você implanta a infraestrutura de rede e, em seguida, cria uma rede virtual para hospedar os servidores para o novo sistema de RH da sua empresa.

Diagram showing adding a new HR spoke to the network.

Configurar o ambiente

Essa implantação cria os recursos de rede do Azure que correspondem ao diagrama anterior. Com esses recursos em vigor, você pode adicionar a nova rede virtual de RH.

Crie as redes virtuais e as sub-redes para os recursos do servidor. Execute o comando a seguir:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

Criar um spoke na rede virtual

Crie uma rede virtual com o portal do Azure, a CLI do Azure ou o Azure PowerShell. Vamos fazer o restante deste exercício usando o portal do Azure.

  1. Entre no portal do Azure com a mesma conta usada para ativar a área restrita.

  2. No canto superior esquerdo do portal do Azure, selecione Criar um Recurso. O painel Criar um recurso será exibido.

  3. Na caixa de pesquisa, insira Rede Virtual.

  4. Selecione Rede Virtual no Marketplace. O painel Rede Virtual – Criar será exibido.

  5. Para iniciar a configuração da rede virtual, selecione Criar. O painel Criar rede virtual é exibido.

Definir as configurações da rede virtual

A experiência de criação de recursos no portal é um assistente que o conduz pela configuração inicial da rede virtual.

  1. Para criar a rede virtual, na guia Informações Básicas, insira os valores a seguir para cada configuração.

    Configuração Valor
    Detalhes do projeto
    Subscription Assinatura do Concierge
    Grupo de recursos Na lista suspensa, selecione o [nome do grupo de recursos da área restrita]
    Detalhes da instância
    Nome da rede virtual HRappVnet
    Region Mantenha a região padrão.

  2. Selecione a guia Endereços IP ou selecione Avançar > Avançar.

  3. Insira os valores a seguir para cada configuração.

    Configuração Valor
    Espaço de endereço IPv4 Substitua o endereço padrão por 10.10.0.0/16 na caixa de texto.
    Nome da sub-rede Selecione padrão. O painel Editar sub-rede é exibido. Insira os valores a seguir para cada configuração.
    Configuração Valor
    Nome da sub-rede HRsystems
    Endereço inicial 10.10.1.0/24

  4. Selecione Salvar.

  5. Selecione Examinar + criar. Após a aprovação da validação, para iniciar o provisionamento da rede virtual, selecione Criar.

  6. Depois que a implantação for concluída com êxito, selecione Ir para o recurso. O painel da rede virtual chamada HRappVNet será exibido.

Configurar o emparelhamento de rede virtual hub

Agora que criou o terceiro spoke, é necessário configurar o emparelhamento de rede virtual entre o hub e os spokes.

  1. Acesse a home page do portal. Selecione Todos os recursos. O painel Todos os recursos será exibido.

    Você deve ver as redes virtuais HubVNet, WebVNet, QuoteVNet e HRappVnet.

  2. Selecione HubVNet. O painel HubVNet será exibido.

  3. No painel do menu esquerdo, em configurações, selecione Emparelhamentos. O painel Emparelhamentos do painel HubVNet será exibido.

  4. Na barra de menus superior, selecione + Adicionar. O painel Adicionar emparelhamento será exibido para a HubVNet.

  5. Na página Adicionar emparelhamento, selecione HRappVnet para Rede Virtual antes de concluir o restante da configuração de emparelhamento.

  6. Insira os valores a seguir para cada configuração.

    Configuração Valor
    Esta rede virtual
    Nome do link de emparelhamento Insira gwPeering_hubVNet_HRappVnet. Esse é o nome do link de emparelhamento da HubvNet para a HRappVnet.
    Permita que "HubVnet" acesse "HRappVnet" Marque a caixa de seleção para permitir o acesso.
    Permita que "HubVnet" receba tráfego encaminhado de "HRappVnet" Deixe a caixa desmarcada para Bloquear o tráfego originado de fora desta rede virtual.
    Permita que o gateway em "HubVnet" encaminhe o tráfego para "HRappVnet" Deixe a caixa de seleção desmarcada.
    Permita que "HubVnet" use o gateway remoto "HRappVnet" Deixe a caixa de seleção desmarcada.
    Rede virtual remota
    Nome do link de emparelhamento gwPeering_HRappVnet_hubVNet. Esse é o nome do link de emparelhamento da HRappVnet para a HubVnet.
    Modelo de implantação de rede virtual Selecione o Gerenciador de recursos
    Subscription Selecione Assinatura do Concierge
    Rede virtual Selecione HRappVnet
    Permita que "HRappVnet" acesse "HubVnet" Marque a caixa de seleção para permitir o acesso.
    Permita que "HRappVnet" receba tráfego encaminhado de "HubVnet" Deixe a caixa desmarcada para Bloquear o tráfego originado de fora desta rede virtual.
    Permita que o gateway em "HRappVnet" encaminhe o tráfego para "HubVnet" Deixe a caixa de seleção desmarcada
    Permita que "HRappVnet" use o gateway remoto do "HubVnet" Deixe a caixa de seleção desmarcada

  7. Para criar o emparelhamento, selecione Adicionar. O painel Emparelhamentos será exibido novamente com o novo emparelhamento.

Agora você emparelhou a rede virtual hub com a rede virtual spoke. Você permitiu o encaminhamento do tráfego do hub para o spoke usando um gateway de VPN na configuração.

Criar um grupo de segurança de rede para a rede virtual

Para configurar o fluxo de tráfego, crie um grupo de segurança de rede.

  1. Acesse a home page do portal e selecione Criar um recurso. O painel Criar um Recurso será exibido.

  2. Na caixa de pesquisa, insira grupo de segurança de rede e, em seguida, selecione o link com o mesmo título na lista. O painel Grupo de segurança de rede – Criar será exibido.

  3. Para iniciar a configuração da rede virtual, selecione Criar. O painel Criar grupo de segurança de rede será exibido.

  4. Na guia Básico, insira os valores a seguir para cada configuração.

    Configuração Valor
    Detalhes do projeto
    Subscription Assinatura do Concierge
    Grupo de recursos Na lista suspensa, selecione o [nome do grupo de recursos da área restrita]
    Detalhes da instância
    Nome Insira HRNsg
    Region Mantenha o local padrão.

  5. Selecione Examinar + criar.

  6. Depois que a validação for aprovada, selecione Criar para implantar o grupo de segurança de rede. O painel Visão geral do NSG será exibido.

  7. Selecione Ir para o recurso e anote o NSG, HRNsg.

Agora você criou um grupo de segurança de rede que pode ser atribuído a cada uma das redes virtuais.

Associar o grupo de segurança de rede à nova rede virtual de RH

Agora, você associa o grupo de segurança de rede à rede virtual.

  1. Se você fechou a janela HRNsg, vá para a Página inicial do portal. Selecione Todos os recursos e selecione HRNsg. O painel HRNsg será exibido. Caso contrário, vá para a próxima etapa.

  2. No painel do menu à esquerda, em Configurações, selecione Sub-redes. O painel Sub-redes será exibido para o grupo de segurança de rede HRNsg.

  3. Na barra de menus superior, selecione + Associar. O painel Associar sub-rede será exibido.

  4. Na lista suspensa Rede virtual, selecione HRappVNet.

  5. Na lista suspensa Sub-rede, selecione HRsystems.

  6. Para associar o grupo de segurança de rede, selecione OK. O painel Sub-redes do grupo de segurança de rede HRNsg será exibido novamente.

Configurar a regra do grupo de segurança de rede para interromper o tráfego HTTP de entrada

Você precisa atender a um requisito de segurança para o aplicativo de RH a ser hospedado em HRappVnet. Não deve haver nenhum tráfego HTTP de entrada do spoke, porque apenas funcionários internos precisam do acesso. Configure a regra do grupo de segurança de rede para atender a esse requisito.

  1. No painel HRNsg | Sub-redes, selecione Regras de segurança de entrada em Configurações. O painel Regras de segurança de entrada será exibido para o grupo de segurança de rede HRNsg.

  2. Na barra de menus superior, selecione + Adicionar. O painel Adicionar regra de segurança de entrada é exibido.

  3. Insira os valores a seguir para cada configuração.

    Configuração Valor
    Fonte Na lista suspensa, selecione Qualquer.
    Intervalos de portas de origem Mantenha o padrão *.
    Destino Na lista suspensa, selecione Marca de Serviço.
    Marca de serviço de destino Selecione VirtualNetwork.
    Serviço selecione Personalizado.
    Intervalos de portas de destino Insira 80,443
    Protocolo Selecione Qualquer.
    Ação Selecione Negar.
    Prioridade Insira 100.
    Nome Insira Block-Inbound-HTTP-HTTPS
    Descrição Insira Bloquear tráfego de entrada HTTP e HTTPS do spoke.

  4. Para adicionar a regra, selecione Adicionar. O painel Regras de segurança de entrada será exibido novamente no grupo de segurança de rede.

Agora você bloqueou o acesso HTTP de entrada do spoke nas portas 80 e 443.

Nesse cenário, você criou uma rede virtual spoke do Azure e, em seguida, a emparelhou com uma rede virtual hub existente. Em seguida, você protegeu o tráfego desse spoke bloqueando o acesso de entrada nas portas 80 e 443, garantindo a conexão dele por meio do hub.