Tutorial: Criar um hub seguro e uma rede spoke
Neste tutorial, você cria uma topologia de rede hub and spoke usando o Gerenciador de Rede Virtual do Azure. Em seguida, você implanta um gateway de rede virtual na rede virtual do hub para permitir que os recursos nas redes virtuais spoke se comuniquem com redes remotas usando VPN. Além disso, você configura uma configuração de segurança para bloquear o tráfego de rede de saída para a Internet nas portas 80 e 443. Por último, verifique se as configurações foram aplicadas corretamente examinando as configurações de rede virtual e máquina virtual.
Neste tutorial, irá aprender a:
- Crie várias redes virtuais.
- Implante um gateway de rede virtual.
- Crie uma topologia de rede hub and spoke.
- Crie uma configuração de segurança bloqueando o tráfego nas portas 80 e 443.
- Verifique se as configurações foram aplicadas.
Pré-requisito
- Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
- Antes de concluir as etapas neste tutorial, você deve primeiro criar uma instância do Azure Virtual Network Manager . A instância precisa incluir os recursos de administração de Conectividade e Segurança. Este tutorial usou uma instância do Virtual Network Manager chamada vnm-learn-eastus-001.
Criar redes virtuais
Este procedimento orienta você na criação de três redes virtuais que serão conectadas usando a topologia de rede hub e spoke.
Inicie sessão no portal do Azure.
Selecione + Criar um recurso e procure por Rede virtual. Em seguida, selecione Criar para começar a configurar a rede virtual.
Na guia Noções básicas, insira ou selecione as seguintes informações:
Definição Value Subscrição Selecione a assinatura na qual você deseja implantar essa rede virtual. Grupo de recursos Selecione ou crie um novo grupo de recursos para armazenar a rede virtual. Este guia de início rápido usa um grupo de recursos chamado rg-learn-eastus-001. Nome Digite vnet-learn-prod-eastus-001 para o nome da rede virtual. País/Região Selecione a região Leste dos EUA . Selecione Next: IP Addresses e configure o seguinte espaço de endereço de rede:
Definição Value Espaço de endereçamento IPv4 Digite 10.0.0.0/16 como o espaço de endereço. Nome da sub-rede Insira o nome padrão para a sub-rede. Espaço de endereços da sub-rede Insira o espaço de endereço da sub-rede de 10.0.0.0/24. Selecione Rever + criar e, em seguida, selecione Criar para implementar a rede virtual.
Repita as etapas 2 a 5 para criar mais duas redes virtuais no mesmo grupo de recursos com as seguintes informações:
Definição Value Subscrição Selecione a mesma subscrição que selecionou no passo 3. Grupo de recursos Selecione o rg-learn-eastus-001. Nome Digite vnet-learn-prod-eastus-002 e vnet-learn-hub-eastus-001 para as duas redes virtuais. País/Região Selecionar (EUA) Leste dos EUA vnet-learn-prod-eastus-002 endereços IP Espaço de endereçamento IPv4: 10.1.0.0/16
Nome da sub-rede: padrão
Espaço de endereço da sub-rede: 10.1.0.0/24Endereços IP vnet-learn-hub-eastus-001 Espaço de endereçamento IPv4: 10.2.0.0/16
Nome da sub-rede: padrão
Espaço de endereço da sub-rede: 10.2.0.0/24
Implantar um gateway de rede virtual
Implante um gateway de rede virtual na rede virtual do hub. Esse gateway de rede virtual é necessário para que os raios usem o hub como uma configuração de gateway .
Selecione + Criar um recurso e procure Gateway de rede virtual. Em seguida, selecione Criar para começar a configurar o gateway de rede virtual.
Na guia Noções básicas, insira ou selecione as seguintes configurações:
Definição Value Subscrição Selecione a assinatura na qual você deseja implantar essa rede virtual. Nome Digite gw-learn-hub-eastus-001 para o nome do gateway de rede virtual. SKU Selecione VpnGW1 para a SKU. Geração Selecione Geração1 para a geração. Rede virtual Selecione vnet-learn-hub-eastus-001 para a rede virtual. Endereço IP público Nome do endereço IP público Digite o nome gwpip-learn-hub-eastus-001 para o IP público. SEGUNDO ENDEREÇO IP PÚBLICO Nome do endereço IP público Digite o nome gwpip-learn-hub-eastus-002 para o IP público. Selecione Rever + criar e, em seguida, selecione Criar após a validação ter passado. A implantação de um gateway de rede virtual pode levar cerca de 30 minutos. Você pode passar para a próxima seção enquanto aguarda a conclusão dessa implantação. No entanto, você pode achar que o gw-learn-hub-eastus-001 não exibe que ele tem um gateway devido ao tempo e à sincronização no portal do Azure.
Criar um grupo de rede
Nota
Este guia de instruções pressupõe que você criou uma instância do gerenciador de rede usando o guia de início rápido. O grupo de rede neste tutorial é chamado ng-learn-prod-eastus-001.
Navegue até o grupo de recursos rg-learn-eastus-001 e selecione a instância do gerenciador de rede vnm-learn-eastus-001 .
Em Configurações, selecione Grupos de rede. Em seguida, selecione + Criar.
No painel Criar um grupo de rede e, em seguida, selecione Criar:
Definição Valor Nome Digite ng-learn-prod-eastus-001. Descrição (Opcional) Forneça uma descrição sobre este grupo de rede. Tipo de membro Selecione Rede virtual no menu suspenso. e selecione Criar.
Confirme se o novo grupo de rede está agora listado no painel Grupos de rede .
Definir associação de grupo dinâmico com a política do Azure
Na lista de grupos de rede, selecione ng-learn-prod-eastus-001. Em Criar política para adicionar membros dinamicamente, selecione Criar política do Azure.
Na página Criar Política do Azure, selecione ou insira as seguintes informações:
Definição Value Nome da política Digite azpol-learn-prod-eastus-001 na caixa de texto. Âmbito Selecione Selecionar escopos e escolha sua assinatura atual. Critérios Parâmetro Selecione Nome na lista suspensa. Operador Selecione Contém na lista suspensa. Condição Digite -prod para a condição na caixa de texto. Selecione Visualizar recursos para exibir a página Redes virtuais efetivas e selecione Fechar. Esta página mostra as redes virtuais que serão adicionadas ao grupo de redes com base nas condições definidas na Política do Azure.
Selecione Salvar para implantar a associação ao grupo. Pode levar até um minuto para que a política entre em vigor e seja adicionada ao seu grupo de rede.
Na página Grupo de Rede, em Configurações, selecione Membros do Grupo para exibir a associação ao grupo com base nas condições definidas na Política do Azure. A fonte está listada como azpol-learn-prod-eastus-001.
Criar uma configuração de conectividade de hub e spoke
Selecione Configurações em Configurações e, em seguida, selecione + Criar.
Selecione Configuração de conectividade no menu suspenso para começar a criar uma configuração de conectividade.
Na página Noções básicas, insira as seguintes informações e selecione Avançar: Topologia >.
Definição Valor Nome Digite cc-learn-prod-eastus-001. Description (Opcional) Forneça uma descrição sobre essa configuração de conectividade. Na guia Topologia, selecione Hub e Spoke. Isso revela outras configurações.
Selecione Selecionar um hub em Configuração de hub . Em seguida, selecione vnet-learn-hub-eastus-001 para servir como seu hub de rede e selecione Selecionar.
Nota
Dependendo do tempo de implantação, você pode não ver o hub de destino em rede virtual como se tivesse um gateway em Tem gateway. Isso se deve à implantação do gateway de rede virtual. Pode levar até 30 minutos para implantar e pode não ser exibido imediatamente nas várias exibições do portal do Azure.
Em Grupos de rede Spoke, selecione + adicionar. Em seguida, selecione ng-learn-prod-eastus-001 para o grupo de rede e selecione Selecionar.
Depois de adicionar o grupo de rede, selecione as seguintes opções. Em seguida, selecione adicionar para criar a configuração de conectividade.
Definição Value Conectividade direta Marque a caixa de seleção Habilitar conectividade dentro do grupo de rede. Essa configuração permite que redes virtuais faladas no grupo de rede na mesma região se comuniquem diretamente entre si. Malha Global Deixe a opção Ativar conectividade de malha entre regiões desmarcada. Essa configuração não é necessária, pois ambos os raios estão na mesma região Hub como gateway Marque a caixa de seleção Hub como gateway. Selecione Seguinte: Rever + criar > e, em seguida, crie a configuração de conectividade.
Implantar a configuração de conectividade
Verifique se o gateway de rede virtual foi implantado com êxito antes de implantar a configuração de conectividade. Se você implantar uma configuração de hub e spoke com Usar o hub como um gateway habilitado e não houver gateway, a implantação falhará. Para obter mais informações, consulte Usar hub como gateway.
Selecione Implantações em Configurações e, em seguida, selecione Implantar configuração.
Selecione as definições seguintes:
Definição Value Configurações Selecione Incluir configurações de conectividade no estado de meta . Configurações de conectividade Selecione cc-learn-prod-eastus-001. Regiões de destino Selecione Leste dos EUA como a região de implantação. Selecione Avançar e, em seguida, selecione Implantar para concluir a implantação.
A implantação é exibida na lista da região selecionada. A implantação da configuração pode levar alguns minutos para ser concluída.
Criar uma configuração de administrador de segurança
Selecione Configuração em Configurações novamente, selecione + Criar e selecione SecurityAdmin no menu para começar a criar uma configuração SecurityAdmin.
Digite o nome sac-learn-prod-eastus-001 para a configuração e selecione Next: Rule collections.
Digite o nome rc-learn-prod-eastus-001 para a coleção de regras e selecione ng-learn-prod-eastus-001 para o grupo de rede de destino. Em seguida, selecione + Adicionar.
Insira e selecione as seguintes configurações e, em seguida, selecione Adicionar:
Definição Valor Nome Insira DENY_INTERNET Description Enter Esta regra bloqueia o tráfego para a Internet em HTTP e HTTPS Prioridade Digite 1 Ação Selecione Negar Direção Selecione Saída Protocolo Selecione TCP Source Source type Selecionar IP Endereços IP de origem Introduzir * Destino Tipo de destino Selecione endereços IP Endereços IP de destino Introduzir * Porta de destino Digite 80, 443 Selecione Adicionar para adicionar a coleção de regras à configuração.
Selecione Rever + criar e Criar para criar a configuração de administrador de segurança.
Implantar a configuração de administrador de segurança
Selecione Implantações em Configurações e, em seguida, selecione Implantar configurações.
Em Configurações, selecione Incluir administrador de segurança no estado de meta e na configuração sac-learn-prod-eastus-001 criada na última seção. Em seguida, selecione Leste dos EUA como a região de destino e selecione Avançar.
Selecione Avançar e, em seguida, Implantar. Agora você deve ver a implantação aparecer na lista da região selecionada. A implantação da configuração pode levar alguns minutos para ser concluída.
Verificar a implantação de configurações
Verificar a partir de uma rede virtual
Vá para a rede virtual vnet-learn-prod-eastus-001 e selecione Network Manager em Configurações. A guia Configurações de conectividade lista a configuração de conectividade cc-learn-prod-eastus-001 aplicada na rede virtual
Selecione a guia Configurações de administrador de segurança e expanda Saída para listar as regras de administração de segurança aplicadas a essa rede virtual.
Selecione Emparelhamento em Configurações para listar os emparelhamentos de rede virtual criados pelo Virtual Network Manager. Seu nome começa com ANM_.
Verificar a partir de uma VM
Implante uma máquina virtual de teste no vnet-learn-prod-eastus-001.
Vá para a VM de teste criada em vnet-learn-prod-eastus-001 e selecione Rede em Configurações. Selecione Regras de porta de saída e verifique se a regra de DENY_INTERNET é aplicada.
Selecione o nome da interface de rede e selecione Rotas efetivas em Ajuda para verificar as rotas para os emparelhamentos de rede virtual. A
10.2.0.0/16
rota com o Next Hop Type de é a rota para a rede virtual doVNet peering
hub.
Clean up resources (Limpar recursos)
Se você não precisar mais do Gerenciador de Rede Virtual do Azure, precisará verificar se todos os itens a seguir são verdadeiros antes de excluir o recurso:
- Não há implantações de configurações em nenhuma região.
- Todas as configurações foram excluídas.
- Todos os grupos de rede foram excluídos.
Use a lista de verificação de remoção de componentes para certificar-se de que nenhum recurso filho ainda esteja disponível antes de excluir o grupo de recursos.
Próximos passos
Saiba como bloquear o tráfego de rede com uma configuração de administrador de segurança.