Kurz: Vytvoření zabezpečené hvězdicové sítě
V tomto kurzu vytvoříte hvězdicovou síťovou topologii pomocí Azure Virtual Network Manageru. Pak nasadíte bránu virtuální sítě v centrální virtuální síti, která umožní prostředkům v paprskových virtuálních sítích komunikovat se vzdálenými sítěmi pomocí sítě VPN. Nakonfigurujete také konfiguraci zabezpečení, která blokuje odchozí síťový provoz na internetu na portech 80 a 443. Nakonec ověříte, že se konfigurace správně použily, a to tak, že se podíváte na nastavení virtuální sítě a virtuálního počítače.
V tomto kurzu se naučíte:
- Vytvořte několik virtuálních sítí.
- Nasaďte bránu virtuální sítě.
- Vytvořte hvězdicovou síťovou topologii.
- Vytvořte konfiguraci zabezpečení, která blokuje provoz na portu 80 a 443.
- Ověřte, že byly použity konfigurace.
Požadavek
- Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
- Než budete moct dokončit kroky v tomto kurzu, musíte nejprve vytvořit instanci Azure Virtual Network Manageru . Instance musí obsahovat funkce připojení a správce zabezpečení. V tomto kurzu se použila instance Virtual Network Manageru s názvem vnm-learn-eastus-001.
Vytvoření virtuálních sítí
Tento postup vás provede vytvořením tří virtuálních sítí, které budou připojeny pomocí hvězdicové síťové topologie.
Přihlaste se k portálu Azure.
Vyberte + Vytvořit prostředek a vyhledejte virtuální síť. Potom výběrem možnosti Vytvořit zahájíte konfiguraci virtuální sítě.
Na kartě Základy zadejte nebo vyberte následující informace:
Nastavení Hodnota Předplatné Vyberte předplatné, do kterého chcete tuto virtuální síť nasadit. Skupina prostředků Vyberte nebo vytvořte novou skupinu prostředků pro uložení virtuální sítě. V tomto rychlém startu se používá skupina prostředků s názvem rg-learn-eastus-001. Název Jako název virtuální sítě zadejte vnet-learn-prod-eastus-001 . Oblast Vyberte oblast USA – východ. Vyberte Další: IP adresy a nakonfigurujte následující adresní prostor sítě:
Nastavení Hodnota Adresní prostor IPv4 Jako adresní prostor zadejte 10.0.0.0/16 . Název podsítě Zadejte výchozí název podsítě. Adresní prostor podsítě Zadejte adresní prostor podsítě 10.0.0.0/24. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit a nasaďte virtuální síť.
Opakováním kroků 2 až 5 vytvořte do stejné skupiny prostředků dvě virtuální sítě s následujícími informacemi:
Nastavení Hodnota Předplatné Vyberte stejné předplatné, které jste vybrali v kroku 3. Skupina prostředků Vyberte rg-learn-eastus-001. Název Zadejte vnet-learn-prod-eastus-002 a vnet-learn-hub-eastus-001 pro dvě virtuální sítě. Oblast Výběr (USA) – východ USA IP adresy vnet-learn-prod-eastus-002 Adresní prostor IPv4: 10.1.0.0/16
Název podsítě: výchozí
adresní prostor podsítě: 10.1.0.0/24IP adresy vnet-learn-hub-eastus-001 Adresní prostor IPv4: 10.2.0.0/16
Název podsítě: výchozí
adresní prostor podsítě: 10.2.0.0/24
Nasazení brány virtuální sítě
Nasaďte bránu virtuální sítě do centrální virtuální sítě. Tato brána virtuální sítě je nezbytná, aby paprsky používaly centrum jako nastavení brány .
Vyberte + Vytvořit prostředek a vyhledejte bránu virtuální sítě. Pak vyberte Vytvořit a začněte konfigurovat bránu virtuální sítě.
Na kartě Základy zadejte nebo vyberte následující nastavení:
Nastavení Hodnota Předplatné Vyberte předplatné, do kterého chcete tuto virtuální síť nasadit. Název Jako název brány virtuální sítě zadejte gw-learn-hub-eastus-001 . Skladová jednotka (SKU) Jako skladovou položku vyberte VpnGW1 . Generace Vyberte generaci 1 . generace. Virtuální síť Vyberte virtuální síť vnet-learn-hub-eastus-001. Veřejná IP adresa Název veřejné IP adresy Zadejte název gwpip-learn-hub-eastus-001 pro veřejnou IP adresu. DRUHÁ VEŘEJNÁ IP ADRESA Název veřejné IP adresy Zadejte název gwpip-learn-hub-eastus-002 pro veřejnou IP adresu. Vyberte Zkontrolovat a vytvořit a potom vyberte Vytvořit po ověření. Nasazení brány virtuální sítě může trvat přibližně 30 minut. Během čekání na dokončení tohoto nasazení můžete přejít k další části. Možná ale zjistíte , že gw-learn-hub-eastus-001 nezobrazuje bránu kvůli načasování a synchronizaci na webu Azure Portal.
Vytvoření skupiny sítě
Poznámka:
Tento průvodce postupy předpokládá, že jste pomocí příručky pro rychlý start vytvořili instanci správce sítě. Skupina sítí v tomto kurzu se nazývá ng-learn-prod-eastus-001.
Přejděte do skupiny prostředků rg-learn-eastus-001 a vyberte instanci správce sítě vnm-learn-eastus-001 .
V části Nastavení vyberte Skupiny sítě. Pak vyberte + Vytvořit.
V podokně Vytvořit skupinu sítě a pak vyberte Vytvořit:
Nastavení Hodnota Název Zadejte ng-learn-prod-eastus-001. Popis (Volitelné) Zadejte popis této skupiny sítě. Typ členu V rozevírací nabídce vyberte Virtuální síť . a vyberte Vytvořit.
Ověřte, že nová skupina sítě je teď uvedená v podokně Skupiny sítí.
Definování dynamického členství ve skupinách pomocí zásad Azure
V seznamu skupin sítí vyberte ng-learn-prod-eastus-001. V části Vytvořit zásadu pro dynamické přidávání členů vyberte Vytvořit zásadu Azure.
Na stránce Vytvořit azure Policy vyberte nebo zadejte následující informace:
Nastavení Hodnota Název zásady Do textového pole zadejte azpol-learn-prod-eastus-001 . Obor Vyberte Vybrat obory a zvolte aktuální předplatné. Kritéria Parametr V rozevíracím seznamu vyberte Název . Operátor V rozevíracím seznamu vyberte Contains (Obsahuje ). Podmínka Do textového pole zadejte -pro podmínku. Výběrem možnosti Náhled prostředků zobrazíte stránku Efektivní virtuální sítě a vyberete Zavřít. Tato stránka zobrazuje virtuální sítě, které se přidají do skupiny sítí na základě podmínek definovaných ve službě Azure Policy.
Výběrem možnosti Uložit nasadíte členství ve skupině. Může trvat až jednu minutu, než se zásada projeví a přidá se do vaší skupiny sítě.
Na stránce Skupina sítě v části Nastavení vyberte Členové skupiny, abyste zobrazili členství ve skupině na základě podmínek definovaných ve službě Azure Policy. Zdroj je uvedený jako azpol-learn-prod-eastus-001.
Vytvoření konfigurace připojení centra a paprsku
V části Nastavení vyberte Konfigurace a pak vyberte + Vytvořit.
V rozevírací nabídce vyberte konfiguraci připojení, abyste mohli začít vytvářet konfiguraci připojení.
Na stránce Základy zadejte následující informace a vyberte Další: Topologie >.
Nastavení Hodnota Name Zadejte cc-learn-prod-eastus-001. Popis (Volitelné) Zadejte popis této konfigurace připojení. Na kartě Topologie vyberte Centrum a paprsky. Tím se zobrazí další nastavení.
V části Nastavení centra vyberte vybrat centrum. Pak vyberte vnet-learn-hub-eastus-001, aby sloužil jako vaše síťové centrum, a vyberte Vybrat.
Poznámka:
V závislosti na načasování nasazení se nemusí zobrazit virtuální síť cílového centra jako brána v části Má brána. Důvodem je nasazení brány virtuální sítě. Nasazení může trvat až 30 minut a nemusí se okamžitě zobrazit v různých zobrazeních webu Azure Portal.
V části Skupiny sítě Paprsky vyberte + přidat. Pak pro skupinu sítí vyberte ng-learn-prod-eastus-001 a vyberte Vybrat.
Po přidání skupiny sítě vyberte následující možnosti. Potom výběrem možnosti Přidat vytvořte konfiguraci připojení.
Nastavení Hodnota Přímé připojení Zaškrtněte políčko Povolit připojení v rámci skupiny sítí. Toto nastavení umožňuje paprskovým virtuálním sítím ve skupině sítě ve stejné oblasti komunikovat mezi sebou přímo. Global Mesh Možnost Povolit síťové připojení mezi oblastmi ponechte nezaškrtnutou. Toto nastavení se nevyžaduje, protože oba paprsky jsou ve stejné oblasti. Centrum jako brána Zaškrtněte políčko pro Centrum jako bránu. Vyberte Další: Zkontrolujte a vytvořte > konfiguraci připojení.
Nasazení konfigurace připojení
Před nasazením konfigurace připojení se ujistěte, že se brána virtuální sítě úspěšně nasadila. Pokud nasadíte konfiguraci centra a paprsku s povoleným centrem Použít centrum jako bránu a neexistuje žádná brána, nasazení selže. Další informace najdete v tématu Použití centra jako brány.
V části Nastavení vyberte Nasazení a pak vyberte Nasadit konfiguraci.
Vyberte následující nastavení:
Nastavení Hodnota Konfigurace Ve vašem cílovém stavu vyberte Zahrnout konfigurace připojení. Konfigurace připojení Vyberte cc-learn-prod-eastus-001. Cílové oblasti Jako oblast nasazení vyberte USA – východ. Vyberte Další a pak výběrem možnosti Nasadit dokončete nasazení.
Nasazení se zobrazí v seznamu pro vybranou oblast. Dokončení nasazení konfigurace může trvat několik minut.
Vytvoření konfigurace správce zabezpečení
Znovu vyberte Konfigurace v části Nastavení , pak vyberte + Vytvořit a v nabídce vyberte SecurityAdmin a začněte vytvářet konfiguraci SecurityAdmin.
Zadejte název sac-learn-prod-eastus-001 pro konfiguraci a pak vyberte Další: Kolekce pravidel.
Zadejte název rc-learn-prod-eastus-001 pro kolekci pravidel a jako cílovou skupinu sítě vyberte ng-learn-prod-eastus-001 . Pak vyberte + Přidat.
Zadejte a vyberte následující nastavení a pak vyberte Přidat:
Nastavení Hodnota Name Zadejte DENY_INTERNET Popis Zadejte toto pravidlo, které blokuje provoz na internetu na http a HTTPS. Priorita Enter 1 Akce Výběr možnosti Odepřít Směr Výběr odchozích přenosů Protokol Vyberte TCP. Source Source type Vyberte IP adresu. Zdrojové IP adresy Zadejte * Cíl Typ cíle Výběr IP adres Cílové IP adresy Zadejte * Cílový port Zadejte 80, 443 Výběrem možnosti Přidat přidáte kolekci pravidel do konfigurace.
Vyberte Zkontrolovat a vytvořit a vytvořit konfiguraci správce zabezpečení.
Nasazení konfigurace správce zabezpečení
V části Nastavení vyberte Nasazení a pak vyberte Nasadit konfigurace.
V části Konfigurace vyberte Zahrnout správce zabezpečení ve vašem cílovém stavu a konfiguraci sac-learn-prod-eastus-001 , kterou jste vytvořili v poslední části. Pak jako cílovou oblast vyberte USA – východ a vyberte Další.
Vyberte Další a pak Nasadit. Nasazení by se teď mělo zobrazit v seznamu pro vybranou oblast. Dokončení nasazení konfigurace může trvat několik minut.
Ověření nasazení konfigurací
Ověření z virtuální sítě
Přejděte na virtuální síť vnet-learn-prod-eastus-001 a v části Nastavení vyberte Správce sítě. Karta Konfigurace připojení obsahuje seznam konfigurace připojení cc-learn-prod-eastus-001 použité ve virtuální síti.
Vyberte kartu Konfigurace správce zabezpečení a rozbalte Položku Odchozí a vypíšete pravidla správce zabezpečení použitá pro tuto virtuální síť.
V části Nastavení vyberte Partnerské vztahy a vypíšete partnerské vztahy virtuálních sítí vytvořené nástrojem Virtual Network Manager. Jeho název začíná ANM_.
Ověření z virtuálního počítače
Nasaďte testovací virtuální počítač do virtuální sítě vnet-learn-prod-eastus-001.
Přejděte na testovací virtuální počítač vytvořený v síti vnet-learn-prod-eastus-001 a v části Nastavení vyberte Sítě. Vyberte pravidla odchozího portu a ověřte , že je použito pravidlo DENY_INTERNET .
Vyberte název síťového rozhraní a v části Nápověda vyberte Efektivní trasy a ověřte trasy pro partnerské vztahy virtuálních sítí. Trasa
10.2.0.0/16
s typem dalšíhoVNet peering
segmentu směrování je trasa do virtuální sítě centra.
Vyčištění prostředků
Pokud už Azure Virtual Network Manager nepotřebujete, musíte se ujistit, že jsou splněné všechny následující podmínky, abyste mohli prostředek odstranit:
- Neexistují žádná nasazení konfigurací do žádné oblasti.
- Všechny konfigurace byly odstraněny.
- Všechny skupiny sítě byly odstraněny.
Pomocí kontrolního seznamu odebrat součásti se ujistěte, že před odstraněním skupiny prostředků nejsou k dispozici žádné podřízené prostředky.
Další kroky
Zjistěte, jak blokovat síťový provoz pomocí konfigurace správce zabezpečení.