Упражнение. Реализация топологии центральной сети в Azure

  • 10 мин

Вы решили развернуть сетевую инфраструктуру в периферийной конфигурации для ресурсов. Кроме того, ваш внутренний отдел кадров хочет разместить новую внутреннюю систему кадров, которая не должна быть доступна из Интернета. Система кадров должна быть доступна всем в компании, независимо от того, работают ли они в штаб-квартире или в вспомогательном офисе.

В этом упражнении вы развернете сетевую инфраструктуру и создадите новую виртуальную сеть для размещения серверов для новой системы кадров вашей компании.

диаграмма, показывающая добавление нового кадрового узла в сеть.

Настройка среды

Это развертывание создает сетевые ресурсы Azure, соответствующие приведенной выше схеме. Используя эти ресурсы, вы можете добавить новую виртуальную сеть отдела кадров.

Создайте виртуальные сети и подсети для ресурсов сервера. Выполните следующую команду:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

Создайте новый сегмент в вашей виртуальной сети

Вы можете создать виртуальную сеть с помощью портала Azure, Azure CLI или Azure PowerShell. Давайте сделаем все это упражнение на портале Azure.

  1. Войдите на портал Azure с помощью той же учетной записи, которую вы использовали для активации песочницы.

  2. В левом верхнем углу портала Azure выберите Создать ресурс. Откроется панель создания ресурса.

  3. Введите Виртуальная сетьв поисковое поле.

  4. Выберите виртуальной сети из Marketplace. Появится панель Создать виртуальную сеть.

  5. Чтобы начать настройку виртуальной сети, выберите Создать. Откроется панель создания виртуальной сети .

Настройка параметров виртуальной сети

Процесс создания ресурсов на портале — это мастер настройки, который проводит вас через начальную конфигурацию виртуальной сети.

  1. Чтобы создать виртуальную сеть, на вкладке "Основы" введите следующие значения для каждого параметра.

    Настройка Ценность
    сведения о проекте
    Подписка Подписка на услуги консьержа
    Группа ресурсов В раскрывающемся списке выберите [имя группы ресурсов песочницы]
    Сведения об экземпляре
    Имя виртуальной сети HRappVnet
    Область Оставьте регион по умолчанию.

  2. Выберите вкладку IP-адреса или выберите Далее > Далее.

  3. Введите следующие значения для каждого параметра.

    Настройка Ценность
    адресное пространство IPv4 Замените адрес по умолчанию 10.10.0.0/16 в текстовом поле.
    Имя подсети Выберите по умолчанию. Откроется панель редактирования подсети. Введите следующие значения для каждого параметра.
    Настройка Ценность
    Имя подсети HRsystems
    Начальный адрес 10.10.1.0/24

  4. Выберите Сохранить.

  5. Выберите Проверка + создание. После успешной проверки, чтобы начать развертывание виртуальной сети, выберите Создать.

  6. После успешного завершения развертывания выберите Перейти к ресурсу. Появится виртуальная сеть с именем HRappVnet.

Настройте пиринг виртуальной сети концентратора

Теперь, когда вы создали третий периферийный узел, необходимо настроить пиринг виртуальной сети между концентратором и периферийными узлами.

  1. Перейдите на домашнюю страницу портала. Выберите Все ресурсы. Откроется панель Все ресурсы.

    Вы должны увидеть виртуальные сети HubVNet, WebVNet, QuoteVNetи HRappVnet.

  2. Выберите HubVNet. Откроется панель HubVnet.

  3. В области меню слева в разделе параметроввыберите пиринги. Откроется панель пиринга для панели в области HubVnet.

  4. В верхней строке меню выберите + Добавить. Откроется панель Добавления пиринга для HubVnet.

  5. На странице Добавление пиринга выберите HRappVnet для виртуальной сети перед завершением остальной конфигурации пиринга.

  6. Введите следующие значения для каждого параметра.

    Настройка Ценность
    этой виртуальной сети
    Имя пиринговой ссылки Введите gwPeering_hubVNet_HRappVnet. Это имя соединения пиринга из HubvNet в HRappVnet.
    Разрешить "HubVnet" получить доступ к HRappVnet Установите флажок "Разрешить доступ".
    Разрешить "HubVnet" получать переадресованный трафик из HRappVnet Оставьте флажок пустым, чтобы заблокировать трафик, исходящий извне этой виртуальной сети.
    Разрешить шлюзу в HubVnet перенаправить трафик в HRappVnet Оставьте флажок не отмеченным.
    Включите "HubVnet" для использования удаленного шлюза "HRappVnet". Оставьте флажок пустым.
    удаленной виртуальной сети
    Имя ссылки пиринга gwPeering_HRappVnet_hubVNet. Это название канала пиринга из HRappVnet в HubVnet.
    Модель развертывания виртуальной сети Выберите Менеджер ресурсов
    Подписка Выберите подписку Concierge
    Виртуальная сеть Выберите HRappVnet
    Разрешить "HRappVnet" получить доступ к HubVnet Установите флажок "Разрешить доступ".
    Разрешить "HRappVnet" получать переадресованный трафик из HubVnet Оставьте флажок пустым, чтобы заблокировать трафик, исходящий из-за пределов этой виртуальной сети.
    Разрешить шлюзу в HRappVnet перенаправить трафик в HubVnet Оставьте флажок неотмеченным
    Включите "HRappVnet" для использования удаленного шлюза HubVnet Оставьте флажок не отмеченным

  7. Чтобы создать пиринг, выберите Добавить. Панель пирингов снова появится с вашим новым пирингом.

Теперь вы связали виртуальную сеть концентратора с периферийной виртуальной сетью. Вы разрешили перенаправить трафик из концентратора на спицу с помощью VPN-шлюза в конфигурации.

Создание группы безопасности сети для виртуальной сети

Чтобы настроить поток трафика, создайте группу безопасности сети.

  1. Перейдите на домашнюю страницу портала и выберите Создать ресурс. Откроется панель создания ресурса.

  2. В поле поиска введите группу безопасности сети, а затем выберите ссылку с тем же заголовком в списке. Появится группа безопасности сети — панель создания.

  3. Чтобы начать настройку виртуальной сети, выберите Создать. Появится создание группы безопасности сети.

  4. На вкладке Базовые введите следующие значения для каждого параметра.

    Настройка Ценность
    сведения о проекте
    Подписка Подписка на услуги консьержа
    Группа ресурсов В раскрывающемся списке выберите [название группы ресурсов песочницы]
    сведения об экземпляре
    Имя Введите HRNsg
    Область Оставьте расположение по умолчанию.

  5. Выберите Проверка плюс создание.

  6. После прохождения проверки для развертывания группы безопасности сети выберите Создать. Открывается панель "Обзор" для вашего сетевого экрана безопасности.

  7. Выберите Перейти к ресурсу и отметьте NSG, HRNsg.

Теперь вы создали группу безопасности сети, которую можно назначить каждой из виртуальных сетей.

Связывание группы безопасности сети с новой виртуальной сетью отдела кадров

Теперь вы связываете группу безопасности сети с виртуальной сетью.

  1. Если вы закрыли окно HRNsg, перейдите на страницу Главная портала. Выберите Все ресурсы и выберите HRNsg. Отображается панель HRNsg. В противном случае перейдите к следующему шагу.

  2. В области меню слева в разделе Параметрывыберите Подсети. Появится панель подсетей для группы безопасности сети HRNsg.

  3. В верхней строке меню выберите + Ассоциировать. Появится панель связывания подсети .

  4. В раскрывающемся списке выберите виртуальную сетьHRappVnet.

  5. Из раскрывающегося списка подсети выберите HRsystems.

  6. Чтобы связать группу безопасности сети, нажмите кнопку ОК. Область подсетей для группы безопасности сети HRNsg снова появляется.

Настройка правила группы безопасности сети для остановки входящего HTTP-трафика

У вас есть требование по безопасности, которое необходимо выполнить для размещения приложения HR на HRappVnet. Не должно быть входящего HTTP-трафика из периферийной сети, так как только внутренние сотрудники нуждаются в доступе. Настройте правило группы безопасности сети для удовлетворения этого требования.

  1. На странице HRNsg | Подсети выберите правила безопасности для входящего трафика в разделе "Параметры". Откроется область правила безопасности для входящего трафика, для группы безопасности сети HRNsg.

  2. В верхней строке меню выберите + Добавить. Появится панель добавления правила безопасности для входящего трафика.

  3. Введите следующие значения для каждого параметра.

    Настройка Ценность
    Источник В раскрывающемся списке выберите Любой.
    Диапазоны исходных портов Оставьте значение по умолчанию *.
    Назначение В этом раскрывающемся списке выберите Service Tag.
    Тег службы назначения Выберите VirtualNetwork.
    Служба Выберите Свойства.
    Диапазоны портов назначения Введите 80 443
    Протокол Выберите Любой.
    Действие Выберите Запретить.
    Приоритет Введите 100.
    Имя Введите Block-Inbound-HTTP-HTTPS
    Описание Введите входящий трафик HTTP и HTTPS из периферийной.

  4. Чтобы добавить правило, выберите Добавить. В панели правил безопасности для входящего трафика снова появится ваша группа безопасности сети.

Теперь вы заблокировали входящий HTTP-доступ от спицевой сети на портах 80 и 443.

В этом сценарии вы создали виртуальную сеть Azure типа 'спица' и установили пиринговое соединение с существующей виртуальной сетью концентратора. Затем вы защитили трафик из этой периферийной сети, заблокировав входящий доступ через порты 80 и 443, при этом обеспечив возможность подключения через концентратор.