Exercice – Créer une appliance virtuelle réseau et des machines virtuelles

Effectué

Dans la prochaine étape de l’implémentation de votre sécurité, vous allez déployer une appliance virtuelle réseau pour sécuriser et superviser le trafic entre vos serveurs publics front-end et les serveurs privés internes.

Tout d’abord, configurez l’appliance afin qu’elle transfère le trafic IP. Si le transfert IP n’est pas activé, le trafic qui est routé via votre appliance ne sera jamais reçu par les serveurs de destination prévus.

Dans cet exercice, vous allez déployer l’appliance réseau nva dans le sous-réseau dmzsubnet. Vous allez ensuite activer le transfert IP afin que le trafic en provenance de * et le trafic qui utilise la route personnalisée soient envoyés vers le sous-réseau privatesubnet.

Diagramme d’une appliance virtuelle de réseau dont le transfert IP est activé.

Dans les étapes suivantes, vous allez déployer une appliance virtuelle réseau. Ensuite, vous mettrez à jour la carte réseau virtuelle Azure et les paramètres réseau de l’appliance de façon à activer le transfert IP.

Déployer l’appliance virtuelle réseau

Pour générer l’appliance virtuelle réseau, déployez une instance Ubuntu LTS.

  1. Dans Cloud Shell, exécutez la commande suivante pour déployer l’appliance. Remplacez <password> par un mot de passe approprié de votre choix pour le compte administrateur azureuser.

    az vm create \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --name nva \
        --vnet-name vnet \
        --subnet dmzsubnet \
        --image Ubuntu2204 \
        --admin-username azureuser \
        --admin-password <password>
    

Activer le transfert IP pour l’interface réseau Azure

Dans les étapes suivantes, vous activez le transfert IP pour l’appliance réseau nva. Lorsque le trafic circule jusqu’à l’appliance virtuelle réseau mais est destiné à une autre cible, l’appliance virtuelle réseau route ce trafic vers sa destination correcte.

  1. Exécutez la commande suivante pour obtenir l’ID de l’interface réseau de l’appliance virtuelle réseau :

    NICID=$(az vm nic list \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --vm-name nva \
        --query "[].{id:id}" --output tsv)
    
    echo $NICID
    
  2. Exécutez la commande suivante pour obtenir le nom de l’interface réseau de l’appliance virtuelle réseau :

    NICNAME=$(az vm nic show \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --vm-name nva \
        --nic $NICID \
        --query "{name:name}" --output tsv)
    
    echo $NICNAME
    
  3. Exécutez la commande suivante afin d’activer le transfert IP de l’interface réseau :

    az network nic update --name $NICNAME \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --ip-forwarding true
    

Activer le transfert IP dans l’appliance

  1. Exécutez la commande suivante pour enregistrer l’adresse IP publique de la machine virtuelle de l’appliance virtuelle réseau dans la variable NVAIP :

    NVAIP="$(az vm list-ip-addresses \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --name nva \
        --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
        --output tsv)"
    
    echo $NVAIP
    
  2. Exécutez la commande suivante pour activer le transfert IP dans l’appliance virtuelle réseau :

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
    

    Quand vous y êtes invité, entrez le mot de passe que vous avez utilisé au moment de créer la machine virtuelle.