Übung: Erstellen eines virtuellen Netzwerkgeräts und virtueller Computer
In der nächsten Phase Ihrer Sicherheitsimplementierung stellen Sie ein virtuelles Netzwerkgerät bereit, um den Datenverkehr zwischen öffentlichen Front-End-Servern und privaten internen Servern zu schützen und zu überwachen.
Hierzu konfigurieren Sie das virtuelle Netzwerkgerät zum Weiterleiten des IP-Datenverkehrs. Wenn die IP-Weiterleitung nicht aktiviert ist, wird der Datenverkehr, der über Ihr Gerät geleitet wird, nicht von den vorgesehenen Zielservern empfangen.
In dieser Übung stellen Sie das virtuelle Netzwerkgerät (NVA) im Subnetz dmzsubnet bereit. Anschließend aktivieren Sie die IP-Weiterleitung, damit der Datenverkehr aus * und der Datenverkehr, der die benutzerdefinierte Route nutzt, an das Subnetz privatesubnet gesendet wird.
In den folgenden Schritten stellen Sie ein virtuelles Netzwerkgerät bereit. Anschließend aktualisieren Sie die virtuelle Azure-NIC und die Netzwerkeinstellungen des Geräts, um die IP-Weiterleitung zu aktivieren.
Bereitstellen des virtuellen Netzwerkgeräts
Sie stellen eine Ubuntu LTS-Instanz bereit, um das virtuelle Netzwerkgerät zu erstellen.
Führen Sie den folgenden Befehl in Cloud Shell aus, um das Gerät bereitzustellen. Ersetzen Sie
<password>durch ein geeignetes Kennwort Ihrer Wahl für das Administratorkonto azureuser.az vm create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --vnet-name vnet \ --subnet dmzsubnet \ --image Ubuntu2204 \ --admin-username azureuser \ --admin-password <password>
Aktivieren der IP-Weiterleitung für die Azure-Netzwerkschnittstelle
In den nächsten Schritten aktivieren Sie die IP-Weiterleitung für das virtuelle Netzwerkgerät NVA. Wenn Datenverkehr an das virtuelle Netzwerkgerät übermittelt wird, der jedoch für ein anderes Ziel vorgesehen ist, leitet das virtuelle Netzwerkgerät diesen Datenverkehr an das richtige Ziel weiter.
Führen Sie den folgenden Befehl aus, um die ID der Netzwerkschnittstelle des virtuellen Netzwerkgeräts abzurufen.
NICID=$(az vm nic list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --query "[].{id:id}" --output tsv) echo $NICIDFühren Sie den folgenden Befehl aus, um den Namen der Netzwerkschnittstelle des virtuellen Netzwerkgeräts abzurufen.
NICNAME=$(az vm nic show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --nic $NICID \ --query "{name:name}" --output tsv) echo $NICNAMEFühren Sie den folgenden Befehl aus, um die IP-Weiterleitung für die Netzwerkschnittstelle zu aktivieren.
az network nic update --name $NICNAME \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --ip-forwarding true
Aktivieren der IP-Weiterleitung für das Gerät
Führen Sie den folgenden Befehl aus, um die öffentliche IP-Adresse der VM des virtuellen Netzwerkgeräts in der Variable
NVAIPzu speichern.NVAIP="$(az vm list-ip-addresses \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \ --output tsv)" echo $NVAIPFühren Sie den folgenden Befehl aus, um die IP-Weiterleitung innerhalb des virtuellen Netzwerkgeräts zu aktivieren.
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'Geben Sie das Kennwort ein, das Sie beim Erstellen der VM festgelegt haben, wenn Sie dazu aufgefordert werden.