Tutorial: Erstellen eines geschützten Hub-and-Spoke-Netzwerks

In diesem Tutorial erstellen Sie mithilfe von Azure Virtual Network Manager eine Hub-and-Spoke-Netzwerktopologie. Anschließend stellen Sie ein Gateway für virtuelle Netzwerke im virtuellen Hub-Netzwerk bereit, damit Ressourcen in den virtuellen Spoke-Netzwerken über VPN mit Remote-Netzwerken kommunizieren können. Außerdem konfigurieren Sie eine Sicherheitskonfiguration, um ausgehenden Netzwerkdatenverkehr zum Internet an den Ports 80 und 443 zu blockieren. Schließlich überprüfen Sie anhand der Einstellungen für virtuelle Netzwerke und virtuelle Computer, ob die Konfigurationen ordnungsgemäß angewendet wurden.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen mehrerer Netzwerke
  • Bereitstellen eines Gateways für virtuelle Netzwerke
  • Erstellen einer Hub-and-Spoke-Netzwerktopologie
  • Erstellen einer Sicherheitskonfiguration, die Datenverkehr an den Ports 80 und 443 blockiert
  • Überprüfen, ob Konfigurationen angewendet wurden

Abbildung: Komponenten der sicheren Hub-and-Spoke-Topologie.

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
  • Bevor Sie die Schritte in diesem Tutorial ausführen können, müssen Sie zunächst eine Azure Virtual Network Manager-Instanz erstellen. Die Instanz muss die Features Konnektivität und Sicherheitsadministrator enthalten. In diesem Tutorial wurde eine Virtual Network Manager-Instanz namens vnm-learn-eastus-001 verwendet.

Erstellen virtueller Netzwerke

Dieses Verfahren führt Sie schrittweise durch das Erstellen von drei virtuellen Netzwerken, die mithilfe der Hub-and-Spoke-Netzwerktopologie verbunden werden.

  1. Melden Sie sich am Azure-Portal an.

  2. Wählen Sie + Ressource erstellen aus, und suchen Sie nach Virtuelles Netzwerk. Wählen Sie dann Erstellen aus, um mit dem Konfigurieren des virtuellen Netzwerks zu beginnen.

  3. Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen an, oder wählen Sie sie aus:

    Screenshot: Registerkarte mit Grundlagen für das virtuelle Hub-and-Spoke-Netzwerk

    Einstellung Wert
    Subscription Wählen Sie das Abonnement aus, in dem Sie dieses virtuelle Netzwerk bereitstellen möchten.
    Ressourcengruppe Wählen Sie eine Ressourcengruppe zum Speichern des virtuellen Netzwerks aus, oder erstellen Sie eine neue Ressourcengruppe. In diesem Schnellstart wird eine Ressourcengruppe namens rg-learn-eastus-001 verwendet.
    Name Geben Sie als Namen des virtuellen Netzwerks vnet-learn-prod-eastus-001 ein.
    Region Wählen Sie die Region USA, Osten aus.
  4. Wählen Sie Weiter: IP-Adressen aus und konfigurieren Sie die folgenden Netzwerkadressräume:

    Screenshot: Registerkarte „IP-Adressen“ für das virtuelle Hub-and-Spoke-Netzwerk

    Einstellung Wert
    IPv4-Adressraum Geben Sie 10.0.0.0/16 als Adressraum ein.
    Subnetzname Geben Sie den Namen default für das Subnetz ein.
    Subnetzadressraum Geben Sie den Subnetzadressraum 10.0.0.0/24 ein.
  5. Wählen Sie Überprüfen + erstellen und dann Erstellen aus, um das virtuelle Netzwerk bereitzustellen.

  6. Wiederholen Sie die Schritte 2–5, um zwei weitere virtuelle Netzwerke mit den folgenden Informationen in derselben Ressourcengruppe zu erstellen:

    Einstellung Wert
    Subscription Wählen Sie dasselbe Abonnement aus, das Sie in Schritt 3 ausgewählt haben.
    Ressourcengruppe Wählen Sie rg-learn-eastus-001 aus.
    Name Geben Sie vnet-learn-prod-eastus-002 und vnet-learn-hub-eastus-001 für die beiden virtuellen Netzwerke ein.
    Region Wählen Sie USA, Osten aus.
    IP-Adressen für vnet-learn-prod-eastus-002 IPv4-Adressraum: 10.1.0.0/16
    Subnetzname: Standard
    Subnetzadressraum: 10.1.0.0/24
    IP-Adressen für vnet-learn-hub-eastus-001 IPv4-Adressraum: 10.2.0.0/16
    Subnetzname: Standard
    Subnetzadressraum: 10.2.0.0/24

Bereitstellen eines Gateways für virtuelle Netzwerke

Stellen Sie im virtuellen Hubnetzwerk ein Gateway für virtuelle Netzwerke bereit. Dieses Gateway für virtuelle Netzwerke ist für die Spokeeinstellung Hub als Gateway verwenden erforderlich.

  1. Wählen Sie + Ressource erstellen aus, und suchen Sie nach Gateway für virtuelle Netzwerke. Wählen Sie dann Erstellen aus, um mit dem Konfigurieren des Gateways für virtuelle Netzwerke zu beginnen.

  2. Geben Sie auf der Registerkarte Grundlagen die folgenden Einstellungen an, oder wählen Sie sie aus:

    Screenshot: Registerkarte „Grundlagen“ auf der Seite zum Erstellen eines Gateways für virtuelle Netzwerke

    Einstellung Wert
    Subscription Wählen Sie das Abonnement aus, in dem Sie dieses virtuelle Netzwerk bereitstellen möchten.
    Name Geben Sie gw-learn-hub-eastus-001 als Name für das virtuelle Netzwerkgateway ein.
    SKU Wählen Sie VpnGW1 für die SKU aus.
    Generation Wählen Sie Generation1 für die Generation aus.
    Virtuelles Netzwerk Wählen Sie vnet-learn-hub-eastus-001 als VNet aus.
    Öffentliche IP-Adresse
    Name der öffentlichen IP-Adresse Geben Sie den Namen gwpip-learn-hub-eastus-001 als öffentliche IP-Adresse ein.
    ZWEITE ÖFFENTLICHE IP-ADRESSE
    Name der öffentlichen IP-Adresse Geben Sie den Namen gwpip-learn-hub-eastus-002 als öffentliche IP-Adresse ein.
  3. Wählen Sie Überprüfen + erstellen und nach erfolgreicher Validierung Erstellen aus. Die Bereitstellung eines Gateways für virtuelle Netzwerke kann etwa 30 Minuten dauern. Sie können mit dem nächsten Abschnitt fortfahren, während Sie auf den Abschluss dieser Bereitstellung warten. Es kann jedoch vorkommen, dass gw-learn-hub-eastus-001 aufgrund von Timing und Synchronisierung über das Azure-Portal nicht anzeigt, dass ein Gateway vorhanden ist.

Erstellen einer Netzwerkgruppe

Hinweis

In dieser Schrittanleitung wird davon ausgegangen, dass Sie mithilfe des Schnellstarts eine Netzwerkmanager-Instanz erstellt haben. Die Netzwerkgruppe in diesem Tutorial heißt ng-learn-prod-eastus-001.

  1. Navigieren Sie zur Ressourcengruppe rg-learn-eastus-001, und wählen Sie die Virtual Network Manager-Instanz vnm-learn-eastus-001 aus.

  2. Wählen Sie unter Einstellungen die Option Netzwerkgruppen aus. Wählen Sie dann + Erstellen aus.

    Screenshot einer leeren Liste von Netzwerkgruppen und der Schaltfläche zum Erstellen einer Netzwerkgruppe.

  3. Wählen Sie im Bereich Netzwerkgruppe erstellen die Option Erstellen aus:

    Einstellung Wert
    Name Geben Sie ng-learn-prod-eastus-001 ein.
    Beschreibung (Optional) Geben Sie eine Beschreibung dieser Netzwerkgruppe ein.
    Mitgliedstyp Wählen Sie in der Dropdownliste Virtual Network aus.

    Und wählen Sie Erstellen aus.

    Screenshot des Bereichs zum Erstellen einer Netzwerkgruppe.

  4. Vergewissern Sie sich, dass die neue Netzwerkgruppe jetzt im Bereich Netzwerkgruppen aufgeführt ist.

    Screenshot einer neu erstellten Netzwerkgruppe im Bereich mit der Liste der Netzwerkgruppen.

Definieren einer dynamischen Gruppenmitgliedschaft mit einer Azure-Richtlinie

  1. Wählen Sie in der Liste der Netzwerkgruppen ng-learn-prod-eastus-001 aus. Wählen Sie unter Richtlinie zum dynamischen Hinzufügen von Mitgliedern erstellen die Option Azure-Richtlinie erstellen aus.

    Screenshot: Schaltfläche „Definierte dynamische Mitgliedschaft“.

  2. Wählen Sie auf der Seite Azure-Richtlinie erstellen die folgenden Informationen aus, oder geben Sie sie ein:

    Screenshot: Registerkarte „Bedingungsanweisungen“ zum Erstellen einer Netzwerkgruppe

    Einstellung Wert
    Richtlinienname Geben Sie im Textfeld azpol-learn-prod-eastus-001 ein.
    `Scope` Wählen Sie Bereiche auswählen aus, und wählen Sie Ihr aktuelles Abonnement aus.
    Kriterien
    Parameter Wählen Sie Name in der Dropdownliste aus.
    Operator Wählen Sie Enthält in der Dropdownliste aus.
    Bedingung Geben Sie als Bedingung -prod in das Textfeld ein.
  3. Wählen Sie Ressourcenvorschau aus, um die Seite Effektive virtuelle Netzwerke anzuzeigen, und wählen Sie dann Schließen aus. Diese Seite zeigt die virtuellen Netzwerke an, die der Netzwerkgruppe basierend auf den in Azure Policy definierten Bedingungen hinzugefügt werden.

    Screenshot: Effektive virtuelle Netzwerke mit Ergebnissen einer bedingten Anweisung.

  4. Wählen Sie Speichern aus, um die Gruppenmitgliedschaft bereitzustellen. Es kann bis zu einer Minute dauern, bis die Richtlinie wirksam und ihrer Netzwerkgruppe hinzugefügt wird.

  5. Wählen Sie auf der Seite Netzwerkgruppe unter Einstellungen die Option Gruppenmitglieder aus, um die Mitgliedschaft der Gruppe basierend auf den in Azure Policy definierten Bedingungen anzuzeigen. Die Quelle wird als azpol-learn-prod-eastus-001 aufgeführt.

    Screenshot: Dynamische Gruppenmitgliedschaft unter „Gruppenmitgliedschaft“.

Erstellen einer Hub-and-Spoke-Konnektivitätskonfiguration

  1. Wählen Sie unter Einstellungen die Option Konfigurationen und anschließend + Erstellen aus.

  2. Wählen Sie im Dropdownmenü Konnektivitätskonfiguration aus, um mit dem Erstellen einer Konnektivitätskonfiguration zu beginnen.

  3. Geben Sie auf der Seite Grundlagen die folgenden Informationen ein, und wählen Sie Weiter: Topologie > aus.

    Screenshot der Seite „Konnektivitätskonfiguration hinzufügen“

    Einstellung Wert
    Name Geben Sie cc-learn-prod-eastus-001 ein.
    Beschreibung (Optional) Geben Sie eine Beschreibung dieser Konnektivitätskonfiguration an.
  4. Wählen Sie auf der Registerkarte Topologie die Option Hub-and-Spoke aus. Dadurch werden weitere Einstellungen angezeigt.

    Screenshot: Auswählen eines Hubs für die Konnektivitätskonfiguration

  5. Wählen Sie unter der Einstellung Hub die Option Hub auswählen. Wählen Sie dann vnet-learn-hub-eastus-001 als Netzwerkhub aus, und klicken Sie auf Auswählen.

    Screenshot: Auswahl einer Hubkonfiguration

    Hinweis

    In Abhängigkeit vom Zeitpunkt der Bereitstellung wird das virtuelle Netzwerk des Ziel-Hubs unter Gateway möglicherweise nicht als Gateway angezeigt. Dies ist auf die Bereitstellung des Gateways für virtuelle Netzwerke zurückzuführen. Die Bereitstellung kann bis zu 30 Minuten dauern und wird möglicherweise nicht sofort in den verschiedenen Ansichten des Azure-Portals angezeigt.

  6. Wählen Sie unter Spokenetzwerkgruppen die Option + Hinzufügen aus. Wählen Sie dann ng-learn-prod-eastus-001 als Netzwerkgruppe aus, und klicken Sie auf Auswählen.

    Screenshot: Seite „Netzwerkgruppen hinzufügen“

  7. Nachdem Sie die Netzwerkgruppe hinzugefügt haben, wählen Sie die folgenden Optionen aus. Wählen Sie dann „Hinzufügen“ aus, um die Konnektivitätskonfiguration zu erstellen.

    Screenshot: Einstellungen für die Netzwerkgruppenkonfiguration

    Einstellung Wert
    Direkte Konnektivität Aktivieren Sie das Kontrollkästchen Peering innerhalb der Netzwerkgruppe aktivieren. Diese Einstellung ermöglicht es virtuellen Spokenetzwerken in der Netzwerkgruppe in derselben Region, direkt miteinander zu kommunizieren.
    Globales Mesh Lassen Sie die Option Meshkonnektivität regionsübergreifend aktivierendeaktiviert. Diese Einstellung ist nicht erforderlich, da sich beide Spokes in derselben Region befinden.
    Hub als Gateway Aktivieren Sie das Kontrollkästchen für Hub als Gateway.
  8. Wählen Sie Weiter: Überprüfen und erstellen> aus und erstellen Sie dann die Konnektivitätskonfiguration.

Bereitstellen der Konnektivitätskonfiguration

Stellen Sie sicher, dass das Gateway für virtuelle Netzwerke erfolgreich bereitgestellt wurde, bevor Sie die Konnektivitätskonfiguration bereitstellen. Wenn Sie eine Hub-and-Spoke-Konfiguration mit aktivierter Option Hub als Gateway verwenden bereitstellen und kein Gateway vorhanden ist, tritt bei der Bereitstellung ein Fehler auf. Weitere Informationen finden Sie unter Verwenden eines Hubs als Gateway.

  1. Wählen Sie Bereitstellungen unter Einstellungen und dann Konfiguration bereitstellen aus.

    Screenshot der Seite „Bereitstellungen“ in Network Manager

  2. Wählen Sie die folgenden Einstellungen aus:

    Screenshot der Seite „Konfiguration bereitstellen“

    Einstellung Wert
    Configurations Wählen Sie Konnektivitätskonfigurationen in den Zielzustand einschließen aus.
    Konnektivitätskonfigurationen Wählen Sie cc-learn-prod-eastus-001 aus.
    Zielregionen Wählen Sie USA, Osten als Bereitstellungsregion aus.
  3. Wählen Sie Weiter und dann Bereitstellen aus, um die Bereitstellung abzuschließen.

    Screenshot der Bestätigungsmeldung für die Bereitstellung

  4. Die Bereitstellung wird in der Liste für die ausgewählte Region angezeigt. Die Bereitstellung der Konfiguration kann einige Minuten dauern.

    Screenshot einer Konfigurationsbereitstellung mit dem Status „In Bearbeitung“

Erstellen einer Sicherheitsadministratorkonfiguration

  1. Wählen Sie Konfiguration unter Einstellungen erneut aus, wählen Sie dann + Erstellen aus, und wählen Sie SecurityAdmin aus dem Menü aus, um mit dem Erstellen einer SecurityAdmin-Konfiguration zu beginnen.

  2. Geben Sie den Namen sac-learn-prod-eastus-001 für die Konfiguration ein, und wählen Sie dann Weiter: Regelsammlungen aus.

    Screenshot: Seite „Sicherheitsadministratorkonfiguration“

  3. Geben Sie den Namen rc-learn-prod-eastus-001 für die Regelsammlung ein, und wählen Sie ng-learn-prod-eastus-001 als Zielnetzwerkgruppe aus. Wählen Sie dann + Hinzufügen aus.

    Screenshot: Seite „Regelsammlung hinzufügen“

  4. Geben Sie die folgenden Einstellungen ein, wählen Sie sie aus, und wählen Sie dann Hinzufügen aus:

    Screenshot: „Regelsammlung hinzufügen“ und Regeleinstellungen

    Einstellung Wert
    Name Geben Sie DENY_INTERNET ein.
    BESCHREIBUNG Geben Sie Diese Regel blockiert den Datenverkehr zum Internet auf HTTP und HTTPS ein.
    Priorität 1 eingeben
    Aktion Wählen Sie Ablehnen aus.
    Direction Wählen Sie Ausgehend aus.
    Protocol Wählen Sie TCP aus.
    Quelle
    Quellentyp Auswählen der IP
    Quell-IP-Adressen Geben Sie * ein.
    Ziel
    Zieltyp Auswählen von IP-Adressen
    Ziel-IP-Adressen Geben Sie * ein.
    Zielport Geben Sie 80, 443 ein.
  5. Wählen Sie Hinzufügen aus, um die Regelsammlung zur Konfiguration hinzuzufügen.

    Screenshot: Schaltfläche „Speichern“ für eine Regelsammlung

  6. Wählen Sie Überprüfen + Erstellen und Erstellen aus, um die Konfiguration des Sicherheitsadministrators abzuschließen.

Bereitstellen der Sicherheitsverwaltungskonfiguration

  1. Wählen Sie Bereitstellungen unter Einstellungen und dann Konfigurationen bereitstellen aus.

  2. Wählen Sie unter Konfigurationen die Option Sicherheitsadministrator in Ihren Zielzustand einschließen und die im letzten Abschnitt erstellte Konfiguration sac-learn-prod-eastus-001 aus. Wählen Sie USA, Osten als Zielregion und dann Weiter aus.

    Screenshot: Bereitstellen einer Sicherheitskonfiguration

  3. Wählen Sie Weiter und dann Bereitstellen aus. Die Bereitstellung sollte nun in der Liste für die ausgewählte Region angezeigt werden. Die Bereitstellung der Konfiguration kann einige Minuten dauern.

Überprüfen der Bereitstellung von Konfigurationen

Überprüfen über ein virtuelles Netzwerk

  1. Wechseln Sie zum virtuellen Netzwerk vnet-learn-prod-eastus-001 und wählen Sie unter Einstellungen die Option Netzwerk-Manager aus. Die Registerkarte Konnektivitätskonfigurationen listet die im virtuellen Netzwerk angewendete cc-learn-prod-eastus-001-Konnektivitätskonfiguration auf

    Screenshot: auf das virtuelle Netzwerk angewendete Konnektivitätskonfiguration

  2. Wählen Sie die Registerkarte Sicherheitsadministratorkonfigurationen aus, und erweitern Sie Ausgehend, um die Sicherheitsadministratorregeln aufzulisten, die auf dieses virtuelle Netzwerk angewendet werden.

    Screenshot: Auf das virtuelle Netzwerk angewendete Sicherheitsadministratorkonfiguration.

  3. Wählen Sie unter Einstellungen die Option Peerings aus, um die von Virtual Network Manager erstellten Peerings virtueller Netzwerke aufzulisten. Der Name beginnt mit ANM_

    Screenshot: von Virtual Network Manager erstellte VNet-Peerings

Überprüfen über einen virtuellen Computer

  1. Stellen Sie eine Test-VM in vnet-learn-prod-eastus-001 bereit.

  2. Navigieren Sie zu der in vnet-learn-prod-eastus-001 erstellten Test-VM, und wählen Sie unter Einstellungen die Option Netzwerk aus. Wählen Sie Regeln für ausgehenden Port aus, und überprüfen Sie, ob die DENY_INTERNET Regel angewendet wird.

    Screenshot: Netzwerksicherheitsregeln der Test-VM

  3. Wählen Sie den Namen der Netzwerkschnittstelle aus, und wählen Sie unter Hilfe die Option Effektive Routen aus, um die Routen für die Peerings virtueller Netzwerke zu überprüfen. Die 10.2.0.0/16-Route mit dem Typ des nächsten Hops von VNet peering ist die Route zum virtuellen Hubnetzwerk.

    Screenshot: effektive Routen von der Netzwerkschnittstelle der Test-VM

Bereinigen von Ressourcen

Wenn Sie Azure Virtual Network Manager nicht mehr benötigen, müssen Sie sicherstellen, dass alle der folgenden Bedingungen erfüllt sind, bevor Sie die Ressource löschen:

  • In keiner Region sind Konfigurationen bereitgestellt.
  • Alle Konfigurationen wurden gelöscht.
  • Alle Netzwerkgruppen wurden gelöscht.

Verwenden Sie die Prüfliste zum Entfernen von Komponenten, um sicherzustellen, dass keine untergeordneten Ressourcen mehr vorhanden, bevor Sie die Ressourcengruppe löschen.

Nächste Schritte

Erfahren Sie, wie Sie Netzwerkdatenverkehr mit einer Sicherheitsadministratorkonfiguration blockieren.