练习 - 在 Azure 上实现中心辐射型网络拓扑

  • 10 分钟

你已决定按中心辐射型配置来为你的资源部署网络基础结构。 此外,内部 HR 部门想托管一个无法从 Internet 访问的新的内部 HR 系统。 公司中的每个人都应该可以访问 HR 系统,不管他们是在总部还是在分支办事处工作。

在此练习中,你将部署网络基础结构,然后创建新的虚拟网络来托管公司新 HR 系统的服务器。

Diagram showing adding a new HR spoke to the network.

设置环境

此部署将创建与前面的示意图匹配的 Azure 网络资源。 准备好这些资源后,便可以添加新的 HR 虚拟网络。

为你的服务器资源创建虚拟网络和子网: 运行以下命令:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

在虚拟网络中创建新的分支

可以使用 Azure 门户、Azure CLI 或 Azure PowerShell 创建虚拟网络。 让我们通过 Azure 门户来完成本练习的其余部分。

  1. 使用激活沙盒时所用的同一帐户登录到 Azure 门户

  2. 在 Azure 门户的左上角,选择“创建资源”。 此时会显示“创建资源”窗格。

  3. 在搜索框中,输入“虚拟网络”。

  4. 从“市场”中选择“虚拟网络”。 这会显示“创建虚拟网络”窗格。

  5. 要开始配置虚拟网络,请选择“创建”。 此时,“创建虚拟网络”窗格显示。

配置虚拟网络设置

门户上的资源创建体验是一个向导,该向导将引导你完成虚拟网络的初始配置。

  1. 若要创建虚拟网络,请在“基本信息”选项卡上,为每个设置输入以下值。

    设置
    项目详细信息
    订阅 Concierge 订阅
    资源组 从下拉列表中,选择 [沙盒资源组名称]
    实例详细信息
    虚拟网络名称 HRappVnet
    区域 保留默认区域。

  2. 选择“IP 地址”选项卡或选择“下一步 > 下一步”

  3. 为每个设置输入以下值。

    设置
    IPv4 地址空间 将文本框中的默认地址替换为 10.10.0.0/16。
    子网名称 选择“默认值”。 此时将显示“编辑子网”窗格。 为每个设置输入以下值。
    设置
    子网名称 HRsystems
    开始地址 10.10.1.0/24

  4. 选择“保存”。

  5. 选择“查看 + 创建”。 验证通过后,若要开始预配虚拟网络,请选择“创建”。

  6. 部署成功完成后,选择“转到资源”。 这将显示名为 HRappVnet 的虚拟网络窗格。

配置中心虚拟网络对等互联

现在,你已创建第三个分支,需要在中心和分支之间配置虚拟网络对等互连。

  1. 转到 Azure 门户的主页。 选择“所有资源”。 此时将显示“所有资源”窗格。

    应该会看到这些虚拟网络:HubVNet、WebVNet、QuoteVNet 和 HRappVnet。

  2. 请选择“HubVNet”。 这会显示“HubVnet”窗格。

  3. 在左侧菜单窗格的“设置”下,选择“对等互连”。 这会显示 HubVnet 窗格的“对等互连”窗格。

  4. 在顶部菜单栏中,选择“+ 添加”。 这会显示 HubVnet 的“添加对等互连”窗格。

  5. 在“添加对等互连”页上,在“虚拟网络”中选择“HRappVnet”,然后完成对等互连配置的其余部分。

  6. 为每个设置输入以下值。

    设置
    此虚拟网络
    对等互连链接名称 输入“gwPeering_hubVNet_HRappVnet”。 此名称是从 HubvNet 到 HRappVnet 的对等互连链接名称。
    允许“HubVnet”访问“HRappVnet” 选中复选框以“允许访问”。
    允许“HubVnet”接收来自“HRappVnet”的转发流量 取消选中复选框,以阻止源自此虚拟网络外部的流量。
    允许“HubVnet”中的网关将流量转发到“HRappVnet” 取消选中复选框。
    启用“HubVnet”以使用“HRappVnet”远程网关 取消选中复选框。
    远程虚拟网络
    对等互连链接名称 gwPeering_HRappVnet_hubVNet。 此名称是从 HRappVnet 到 HubVnet 的对等互连链接名称。
    虚拟网络部署模型 选择“资源管理器”
    订阅 选择“礼宾订阅”
    虚拟网络 选择“HRappVnet”
    允许“HRappVnet”访问“HubVnet” 选中复选框以“允许访问”。
    允许“HRappVnet”接收来自“HubVnet”的转发流量 取消选中复选框,以阻止源自此虚拟网络外部的流量。
    允许“HRappVnet”中的网关将流量转发到“HubVnet” 取消选中复选框
    启用“HRappVnet”以使用“HubVnet”远程网关 取消选中复选框

  7. 若要创建对等互连,请选择“添加”。 “对等互连”窗格会随着新的对等互连重新出现。

现已将中心虚拟网络与分支虚拟网络对等互联。 已允许在配置中使用 VPN 网关将流量从中心转发到分支。

为虚拟网络创建网络安全组

要配置流量流,请创建网络安全组。

  1. 转到门户的主页,然后选择“创建资源”。 此时会显示“创建资源”窗格。

  2. 在搜索框中,输入“网络安全组”,然后在列表中选择具有相同标题的链接。 此时将显示“网络安全组 - 创建”窗格。

  3. 要开始配置虚拟网络,请选择“创建”。 此时将显示“创建网络安全组”。

  4. 在“基本信息”选项卡上,为每个设置输入以下值。

    设置
    项目详细信息
    订阅 Concierge 订阅
    资源组 从下拉列表中,选择 [沙盒资源组名称]
    实例详细信息
    名称 输入“HRNsg”
    区域 保留默认位置。

  5. 选择“查看 + 创建”。

  6. 通过验证后,如果要部署网络安全组,请选择“创建”。 此时将显示 NSG 的“概述”窗格。

  7. 选择“转到资源”并记下 NSG HRNsg。

现在,你已创建可分配给每个虚拟网络的网络安全组。

将网络安全组关联到新的 HR 虚拟网络

现在,将该网络安全组关联到虚拟网络。

  1. 如果关闭了“HRNsg”窗口,请转到门户的“主页”。 选择“所有资源”,然后选择“HRNsg”。 此时将显示“HRNsg”窗格。 否则,请转到下一步。

  2. 在左侧菜单窗格的“设置”下,选择“子网”。 此时将显示 HRNsg 网络安全组的“子网”窗格。

  3. 在顶部菜单栏中,选择“+ 关联”。 此时将显示“关联子网”窗格。

  4. 从“虚拟网络”下拉列表中,选择“HRappVnet”。

  5. 从“子网”下拉列表中,选择“HRsystems”。

  6. 要关联网络安全组,请选择“确定”。 此时将重新显示 HRNsg 网络安全组的“子网”窗格。

将网络安全组规则配置为阻止入站 HTTP 流量

将 HR 应用程序托管在 HRappVnet 上需要满足一个安全要求。 即,不得存在来自分支的任何入站 HTTP 流量,因为只有内部员工需要对其进行访问。 配置网络安全组规则以满足此要求。

  1. 在“HRNsg |子网”页上的“设置”下,选择“入站安全规则”。 此时将显示 HRNsg 网络安全组的“入站安全规则”窗格。

  2. 在顶部菜单栏中,选择“+ 添加”。 此时会显示“添加入站安全规则”窗格。

  3. 为每个设置输入以下值。

    设置
    Source 从下拉列表中选择“任何”
    源端口范围 保留 * 的默认值。
    目标 从下拉列表中选择“服务标记”
    目标服务标记 选择“VirtualNetwork”。
    服务 选择“自定义”。
    目标端口范围 输入80,443
    协议 选择“任何”
    操作 选择“拒绝”
    优先级 输入 100
    名称 输入“Block-Inbound-HTTP-HTTPS”
    说明 输入“阻止来自分支的入站 HTTP 和 HTTPS 流量”

  4. 要添加规则,请选择“添加”。 此时将显示网络安全组的“入站安全规则”窗格。

现已阻止来自端口 80 和 443 上的分支的入站 HTTP 访问。

在此场景中,你创建了一个分支 Azure 虚拟网络,然后将其与现有的中心虚拟网络对等互连。 然后通过阻止端口 80 和 443 上的入站访问来保护来自此分支的流量,并确保其可以通过中心进行连接。