Tutorial: Erstellen eines geschützten Hub-and-Spoke-Netzwerks
In diesem Tutorial erstellen Sie mithilfe von Azure Virtual Network Manager eine Hub-and-Spoke-Netzwerktopologie. Anschließend stellen Sie ein Gateway für virtuelle Netzwerke im virtuellen Hub-Netzwerk bereit, damit Ressourcen in den virtuellen Spoke-Netzwerken über VPN mit Remote-Netzwerken kommunizieren können. Außerdem konfigurieren Sie eine Sicherheitskonfiguration, um ausgehenden Netzwerkdatenverkehr zum Internet an den Ports 80 und 443 zu blockieren. Schließlich überprüfen Sie anhand der Einstellungen für virtuelle Netzwerke und virtuelle Computer, ob die Konfigurationen ordnungsgemäß angewendet wurden.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen mehrerer Netzwerke
- Bereitstellen eines Gateways für virtuelle Netzwerke
- Erstellen einer Hub-and-Spoke-Netzwerktopologie
- Erstellen einer Sicherheitskonfiguration, die Datenverkehr an den Ports 80 und 443 blockiert
- Überprüfen, ob Konfigurationen angewendet wurden
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
- Bevor Sie die Schritte in diesem Tutorial ausführen können, müssen Sie zunächst eine Azure Virtual Network Manager-Instanz erstellen. Die Instanz muss die Features Konnektivität und Sicherheitsadministrator enthalten. In diesem Tutorial wurde eine Virtual Network Manager-Instanz namens vnm-learn-eastus-001 verwendet.
Erstellen virtueller Netzwerke
Dieses Verfahren führt Sie schrittweise durch das Erstellen von drei virtuellen Netzwerken, die mithilfe der Hub-and-Spoke-Netzwerktopologie verbunden werden.
Melden Sie sich am Azure-Portal an.
Wählen Sie + Ressource erstellen aus, und suchen Sie nach Virtuelles Netzwerk. Wählen Sie dann Erstellen aus, um mit dem Konfigurieren des virtuellen Netzwerks zu beginnen.
Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen an, oder wählen Sie sie aus:
Einstellung Wert Subscription Wählen Sie das Abonnement aus, in dem Sie dieses virtuelle Netzwerk bereitstellen möchten. Ressourcengruppe Wählen Sie eine Ressourcengruppe zum Speichern des virtuellen Netzwerks aus, oder erstellen Sie eine neue Ressourcengruppe. In diesem Schnellstart wird eine Ressourcengruppe namens rg-learn-eastus-001 verwendet. Name Geben Sie als Namen des virtuellen Netzwerks vnet-learn-prod-eastus-001 ein. Region Wählen Sie die Region USA, Osten aus. Wählen Sie Weiter: IP-Adressen aus und konfigurieren Sie die folgenden Netzwerkadressräume:
Einstellung Wert IPv4-Adressraum Geben Sie 10.0.0.0/16 als Adressraum ein. Subnetzname Geben Sie den Namen default für das Subnetz ein. Subnetzadressraum Geben Sie den Subnetzadressraum 10.0.0.0/24 ein. Wählen Sie Überprüfen + erstellen und dann Erstellen aus, um das virtuelle Netzwerk bereitzustellen.
Wiederholen Sie die Schritte 2–5, um zwei weitere virtuelle Netzwerke mit den folgenden Informationen in derselben Ressourcengruppe zu erstellen:
Einstellung Wert Subscription Wählen Sie dasselbe Abonnement aus, das Sie in Schritt 3 ausgewählt haben. Ressourcengruppe Wählen Sie rg-learn-eastus-001 aus. Name Geben Sie vnet-learn-prod-eastus-002 und vnet-learn-hub-eastus-001 für die beiden virtuellen Netzwerke ein. Region Wählen Sie USA, Osten aus. IP-Adressen für vnet-learn-prod-eastus-002 IPv4-Adressraum: 10.1.0.0/16
Subnetzname: Standard
Subnetzadressraum: 10.1.0.0/24IP-Adressen für vnet-learn-hub-eastus-001 IPv4-Adressraum: 10.2.0.0/16
Subnetzname: Standard
Subnetzadressraum: 10.2.0.0/24
Bereitstellen eines Gateways für virtuelle Netzwerke
Stellen Sie im virtuellen Hubnetzwerk ein Gateway für virtuelle Netzwerke bereit. Dieses Gateway für virtuelle Netzwerke ist für die Spokeeinstellung Hub als Gateway verwenden erforderlich.
Wählen Sie + Ressource erstellen aus, und suchen Sie nach Gateway für virtuelle Netzwerke. Wählen Sie dann Erstellen aus, um mit dem Konfigurieren des Gateways für virtuelle Netzwerke zu beginnen.
Geben Sie auf der Registerkarte Grundlagen die folgenden Einstellungen an, oder wählen Sie sie aus:
Einstellung Wert Subscription Wählen Sie das Abonnement aus, in dem Sie dieses virtuelle Netzwerk bereitstellen möchten. Name Geben Sie gw-learn-hub-eastus-001 als Name für das virtuelle Netzwerkgateway ein. SKU Wählen Sie VpnGW1 für die SKU aus. Generation Wählen Sie Generation1 für die Generation aus. Virtuelles Netzwerk Wählen Sie vnet-learn-hub-eastus-001 als VNet aus. Öffentliche IP-Adresse Name der öffentlichen IP-Adresse Geben Sie den Namen gwpip-learn-hub-eastus-001 als öffentliche IP-Adresse ein. ZWEITE ÖFFENTLICHE IP-ADRESSE Name der öffentlichen IP-Adresse Geben Sie den Namen gwpip-learn-hub-eastus-002 als öffentliche IP-Adresse ein. Wählen Sie Überprüfen + erstellen und nach erfolgreicher Validierung Erstellen aus. Die Bereitstellung eines Gateways für virtuelle Netzwerke kann etwa 30 Minuten dauern. Sie können mit dem nächsten Abschnitt fortfahren, während Sie auf den Abschluss dieser Bereitstellung warten. Es kann jedoch vorkommen, dass gw-learn-hub-eastus-001 aufgrund von Timing und Synchronisierung über das Azure-Portal nicht anzeigt, dass ein Gateway vorhanden ist.
Erstellen einer Netzwerkgruppe
Hinweis
In dieser Schrittanleitung wird davon ausgegangen, dass Sie mithilfe des Schnellstarts eine Netzwerkmanager-Instanz erstellt haben. Die Netzwerkgruppe in diesem Tutorial heißt ng-learn-prod-eastus-001.
Navigieren Sie zur Ressourcengruppe rg-learn-eastus-001, und wählen Sie die Virtual Network Manager-Instanz vnm-learn-eastus-001 aus.
Wählen Sie unter Einstellungen die Option Netzwerkgruppen aus. Wählen Sie dann + Erstellen aus.
Wählen Sie im Bereich Netzwerkgruppe erstellen die Option Erstellen aus:
Einstellung Wert Name Geben Sie ng-learn-prod-eastus-001 ein. Beschreibung (Optional) Geben Sie eine Beschreibung dieser Netzwerkgruppe ein. Mitgliedstyp Wählen Sie in der Dropdownliste Virtual Network aus. Und wählen Sie Erstellen aus.
Vergewissern Sie sich, dass die neue Netzwerkgruppe jetzt im Bereich Netzwerkgruppen aufgeführt ist.
Definieren einer dynamischen Gruppenmitgliedschaft mit einer Azure-Richtlinie
Wählen Sie in der Liste der Netzwerkgruppen ng-learn-prod-eastus-001 aus. Wählen Sie unter Richtlinie zum dynamischen Hinzufügen von Mitgliedern erstellen die Option Azure-Richtlinie erstellen aus.
Wählen Sie auf der Seite Azure-Richtlinie erstellen die folgenden Informationen aus, oder geben Sie sie ein:
Einstellung Wert Richtlinienname Geben Sie im Textfeld azpol-learn-prod-eastus-001 ein. `Scope` Wählen Sie Bereiche auswählen aus, und wählen Sie Ihr aktuelles Abonnement aus. Kriterien Parameter Wählen Sie Name in der Dropdownliste aus. Operator Wählen Sie Enthält in der Dropdownliste aus. Bedingung Geben Sie als Bedingung -prod in das Textfeld ein. Wählen Sie Ressourcenvorschau aus, um die Seite Effektive virtuelle Netzwerke anzuzeigen, und wählen Sie dann Schließen aus. Diese Seite zeigt die virtuellen Netzwerke an, die der Netzwerkgruppe basierend auf den in Azure Policy definierten Bedingungen hinzugefügt werden.
Wählen Sie Speichern aus, um die Gruppenmitgliedschaft bereitzustellen. Es kann bis zu einer Minute dauern, bis die Richtlinie wirksam und ihrer Netzwerkgruppe hinzugefügt wird.
Wählen Sie auf der Seite Netzwerkgruppe unter Einstellungen die Option Gruppenmitglieder aus, um die Mitgliedschaft der Gruppe basierend auf den in Azure Policy definierten Bedingungen anzuzeigen. Die Quelle wird als azpol-learn-prod-eastus-001 aufgeführt.
Erstellen einer Hub-and-Spoke-Konnektivitätskonfiguration
Wählen Sie unter Einstellungen die Option Konfigurationen und anschließend + Erstellen aus.
Wählen Sie im Dropdownmenü Konnektivitätskonfiguration aus, um mit dem Erstellen einer Konnektivitätskonfiguration zu beginnen.
Geben Sie auf der Seite Grundlagen die folgenden Informationen ein, und wählen Sie Weiter: Topologie > aus.
Einstellung Wert Name Geben Sie cc-learn-prod-eastus-001 ein. Beschreibung (Optional) Geben Sie eine Beschreibung dieser Konnektivitätskonfiguration an. Wählen Sie auf der Registerkarte Topologie die Option Hub-and-Spoke aus. Dadurch werden weitere Einstellungen angezeigt.
Wählen Sie unter der Einstellung Hub die Option Hub auswählen. Wählen Sie dann vnet-learn-hub-eastus-001 als Netzwerkhub aus, und klicken Sie auf Auswählen.
Hinweis
In Abhängigkeit vom Zeitpunkt der Bereitstellung wird das virtuelle Netzwerk des Ziel-Hubs unter Gateway möglicherweise nicht als Gateway angezeigt. Dies ist auf die Bereitstellung des Gateways für virtuelle Netzwerke zurückzuführen. Die Bereitstellung kann bis zu 30 Minuten dauern und wird möglicherweise nicht sofort in den verschiedenen Ansichten des Azure-Portals angezeigt.
Wählen Sie unter Spokenetzwerkgruppen die Option + Hinzufügen aus. Wählen Sie dann ng-learn-prod-eastus-001 als Netzwerkgruppe aus, und klicken Sie auf Auswählen.
Nachdem Sie die Netzwerkgruppe hinzugefügt haben, wählen Sie die folgenden Optionen aus. Wählen Sie dann „Hinzufügen“ aus, um die Konnektivitätskonfiguration zu erstellen.
Einstellung Wert Direkte Konnektivität Aktivieren Sie das Kontrollkästchen Peering innerhalb der Netzwerkgruppe aktivieren. Diese Einstellung ermöglicht es virtuellen Spokenetzwerken in der Netzwerkgruppe in derselben Region, direkt miteinander zu kommunizieren. Globales Mesh Lassen Sie die Option Meshkonnektivität regionsübergreifend aktivierendeaktiviert. Diese Einstellung ist nicht erforderlich, da sich beide Spokes in derselben Region befinden. Hub als Gateway Aktivieren Sie das Kontrollkästchen für Hub als Gateway. Wählen Sie Weiter: Überprüfen und erstellen> aus und erstellen Sie dann die Konnektivitätskonfiguration.
Bereitstellen der Konnektivitätskonfiguration
Stellen Sie sicher, dass das Gateway für virtuelle Netzwerke erfolgreich bereitgestellt wurde, bevor Sie die Konnektivitätskonfiguration bereitstellen. Wenn Sie eine Hub-and-Spoke-Konfiguration mit aktivierter Option Hub als Gateway verwenden bereitstellen und kein Gateway vorhanden ist, tritt bei der Bereitstellung ein Fehler auf. Weitere Informationen finden Sie unter Verwenden eines Hubs als Gateway.
Wählen Sie Bereitstellungen unter Einstellungen und dann Konfiguration bereitstellen aus.
Wählen Sie die folgenden Einstellungen aus:
Einstellung Wert Configurations Wählen Sie Konnektivitätskonfigurationen in den Zielzustand einschließen aus. Konnektivitätskonfigurationen Wählen Sie cc-learn-prod-eastus-001 aus. Zielregionen Wählen Sie USA, Osten als Bereitstellungsregion aus. Wählen Sie Weiter und dann Bereitstellen aus, um die Bereitstellung abzuschließen.
Die Bereitstellung wird in der Liste für die ausgewählte Region angezeigt. Die Bereitstellung der Konfiguration kann einige Minuten dauern.
Erstellen einer Sicherheitsadministratorkonfiguration
Wählen Sie Konfiguration unter Einstellungen erneut aus, wählen Sie dann + Erstellen aus, und wählen Sie SecurityAdmin aus dem Menü aus, um mit dem Erstellen einer SecurityAdmin-Konfiguration zu beginnen.
Geben Sie den Namen sac-learn-prod-eastus-001 für die Konfiguration ein, und wählen Sie dann Weiter: Regelsammlungen aus.
Geben Sie den Namen rc-learn-prod-eastus-001 für die Regelsammlung ein, und wählen Sie ng-learn-prod-eastus-001 als Zielnetzwerkgruppe aus. Wählen Sie dann + Hinzufügen aus.
Geben Sie die folgenden Einstellungen ein, wählen Sie sie aus, und wählen Sie dann Hinzufügen aus:
Einstellung Wert Name Geben Sie DENY_INTERNET ein. BESCHREIBUNG Geben Sie Diese Regel blockiert den Datenverkehr zum Internet auf HTTP und HTTPS ein. Priorität 1 eingeben Aktion Wählen Sie Ablehnen aus. Direction Wählen Sie Ausgehend aus. Protocol Wählen Sie TCP aus. Quelle Quellentyp Auswählen der IP Quell-IP-Adressen Geben Sie * ein. Ziel Zieltyp Auswählen von IP-Adressen Ziel-IP-Adressen Geben Sie * ein. Zielport Geben Sie 80, 443 ein. Wählen Sie Hinzufügen aus, um die Regelsammlung zur Konfiguration hinzuzufügen.
Wählen Sie Überprüfen + Erstellen und Erstellen aus, um die Konfiguration des Sicherheitsadministrators abzuschließen.
Bereitstellen der Sicherheitsverwaltungskonfiguration
Wählen Sie Bereitstellungen unter Einstellungen und dann Konfigurationen bereitstellen aus.
Wählen Sie unter Konfigurationen die Option Sicherheitsadministrator in Ihren Zielzustand einschließen und die im letzten Abschnitt erstellte Konfiguration sac-learn-prod-eastus-001 aus. Wählen Sie USA, Osten als Zielregion und dann Weiter aus.
Wählen Sie Weiter und dann Bereitstellen aus. Die Bereitstellung sollte nun in der Liste für die ausgewählte Region angezeigt werden. Die Bereitstellung der Konfiguration kann einige Minuten dauern.
Überprüfen der Bereitstellung von Konfigurationen
Überprüfen über ein virtuelles Netzwerk
Wechseln Sie zum virtuellen Netzwerk vnet-learn-prod-eastus-001 und wählen Sie unter Einstellungen die Option Netzwerk-Manager aus. Die Registerkarte Konnektivitätskonfigurationen listet die im virtuellen Netzwerk angewendete cc-learn-prod-eastus-001-Konnektivitätskonfiguration auf
Wählen Sie die Registerkarte Sicherheitsadministratorkonfigurationen aus, und erweitern Sie Ausgehend, um die Sicherheitsadministratorregeln aufzulisten, die auf dieses virtuelle Netzwerk angewendet werden.
Wählen Sie unter Einstellungen die Option Peerings aus, um die von Virtual Network Manager erstellten Peerings virtueller Netzwerke aufzulisten. Der Name beginnt mit ANM_
Überprüfen über einen virtuellen Computer
Stellen Sie eine Test-VM in vnet-learn-prod-eastus-001 bereit.
Navigieren Sie zu der in vnet-learn-prod-eastus-001 erstellten Test-VM, und wählen Sie unter Einstellungen die Option Netzwerk aus. Wählen Sie Regeln für ausgehenden Port aus, und überprüfen Sie, ob die DENY_INTERNET Regel angewendet wird.
Wählen Sie den Namen der Netzwerkschnittstelle aus, und wählen Sie unter Hilfe die Option Effektive Routen aus, um die Routen für die Peerings virtueller Netzwerke zu überprüfen. Die
10.2.0.0/16
-Route mit dem Typ des nächsten Hops vonVNet peering
ist die Route zum virtuellen Hubnetzwerk.
Bereinigen von Ressourcen
Wenn Sie Azure Virtual Network Manager nicht mehr benötigen, müssen Sie sicherstellen, dass alle der folgenden Bedingungen erfüllt sind, bevor Sie die Ressource löschen:
- In keiner Region sind Konfigurationen bereitgestellt.
- Alle Konfigurationen wurden gelöscht.
- Alle Netzwerkgruppen wurden gelöscht.
Verwenden Sie die Prüfliste zum Entfernen von Komponenten, um sicherzustellen, dass keine untergeordneten Ressourcen mehr vorhanden, bevor Sie die Ressourcengruppe löschen.
Nächste Schritte
Erfahren Sie, wie Sie Netzwerkdatenverkehr mit einer Sicherheitsadministratorkonfiguration blockieren.