Övning – Skapa en virtuell nätverksinstallation och virtuella datorer

  • 10 minuter

I nästa steg i din säkerhetsimplementering distribuerar du en virtuell nätverksinstallation som ska skydda och övervaka trafiken mellan klientdelens offentliga servrar och de interna privata servrarna.

Konfigurera först installationen för att vidarebefordra IP-trafik. Om IP-vidarebefordran inte är aktiverad tas inte trafik som har dirigerats via din nätverksinstallation emot av de avsedda målservrarna.

I den här övningen distribuerar du nva-nätverksinstallationen till undernätet dmzsubnet . Sedan aktiverar du IP-vidarebefordran så att trafik från * och trafik som använder den anpassade vägen skickas till undernätet privatesubnet .

Diagram över en virtuell nätverksinstallation med IP-vidarebefordran aktiverat.

I följande steg ska du distribuera en virtuell nätverksinstallation. Sedan uppdaterar du det virtuella Azure-nätverkskortet och nätverksinställningarna i installationen så att du aktiverar IP-vidarebefordran.

Distribuera den virtuella nätverksinstallationen

När du ska skapa den virtuella nätverksinstallationen distribuerar du en Ubuntu LTS-instans.

  1. Kör följande kommando i Cloud Shell för att distribuera installationen. Ersätt <password> med ett lämpligt lösenord för azureuser-administratörskontot.

    az vm create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

Aktivera IP-vidarebefordran för Azure-nätverksgränssnittet

I nästa steg aktiverar du IP-vidarebefordran för nva-nätverksinstallationen. När trafik till något annat mål flödar till nätverksinstallationen så dirigeras trafiken till rätt mål.

  1. Kör följande kommando för att hämta NVA-nätverksgränssnittets ID:

    NICID=$(az vm nic list \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. Kör följande kommando för att hämta nva-nätverksgränssnittets namn:

    NICNAME=$(az vm nic show \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. Kör följande kommando för att aktivera IP-vidarebefordran för nätverksgränssnittet:

    az network nic update --name $NICNAME \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --ip-forwarding true

Aktivera IP-vidarebefordring i installationen

  1. Kör följande kommando för att spara den virtuella NVA-datorns offentliga IP-adress i variabeln NVAIP:

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. Kör följande kommando för att aktivera IP-vidarebefordran i NVA:

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    När du uppmanas till det anger du lösenordet som du använde när du skapade den virtuella datorn.