Tutorial: Criar um hub seguro e uma rede spoke

  • Artigo

Neste tutorial, você cria uma topologia de rede hub and spoke usando o Gerenciador de Rede Virtual do Azure. Em seguida, você implanta um gateway de rede virtual na rede virtual do hub para permitir que os recursos nas redes virtuais spoke se comuniquem com redes remotas usando VPN. Além disso, você configura uma configuração de segurança para bloquear o tráfego de rede de saída para a Internet nas portas 80 e 443. Por último, verifique se as configurações foram aplicadas corretamente examinando as configurações de rede virtual e máquina virtual.

Neste tutorial, irá aprender a:

  • Crie várias redes virtuais.
  • Implante um gateway de rede virtual.
  • Crie uma topologia de rede hub and spoke.
  • Crie uma configuração de segurança bloqueando o tráfego nas portas 80 e 443.
  • Verifique se as configurações foram aplicadas.

Diagrama de componentes de topologia de hub e spoke seguros.

Pré-requisito

Criar redes virtuais

Este procedimento orienta você na criação de três redes virtuais que serão conectadas usando a topologia de rede hub e spoke.

  1. Inicie sessão no portal do Azure.

  2. Selecione + Criar um recurso e procure por Rede virtual. Em seguida, selecione Criar para começar a configurar a rede virtual.

  3. Na guia Noções básicas, insira ou selecione as seguintes informações:

    Captura de tela da guia noções básicas para hub e rede virtual spoke.

    Definição Value
    Subscrição Selecione a assinatura na qual você deseja implantar essa rede virtual.
    Grupo de recursos Selecione ou crie um novo grupo de recursos para armazenar a rede virtual. Este guia de início rápido usa um grupo de recursos chamado rg-learn-eastus-001.
    Nome Digite vnet-learn-prod-eastus-001 para o nome da rede virtual.
    País/Região Selecione a região Leste dos EUA .

  4. Selecione Next: IP Addresses e configure o seguinte espaço de endereço de rede:

    Captura de ecrã do separador Endereços IP para a rede virtual hub e spoke.

    Definição Value
    Espaço de endereçamento IPv4 Digite 10.0.0.0/16 como o espaço de endereço.
    Nome da sub-rede Insira o nome padrão para a sub-rede.
    Espaço de endereços da sub-rede Insira o espaço de endereço da sub-rede de 10.0.0.0/24.

  5. Selecione Rever + criar e, em seguida, selecione Criar para implementar a rede virtual.

  6. Repita as etapas 2 a 5 para criar mais duas redes virtuais no mesmo grupo de recursos com as seguintes informações:

    Definição Value
    Subscrição Selecione a mesma subscrição que selecionou no passo 3.
    Grupo de recursos Selecione o rg-learn-eastus-001.
    Nome Digite vnet-learn-prod-eastus-002 e vnet-learn-hub-eastus-001 para as duas redes virtuais.
    País/Região Selecionar (EUA) Leste dos EUA
    vnet-learn-prod-eastus-002 endereços IP Espaço de endereçamento IPv4: 10.1.0.0/16
    Nome da sub-rede: padrão
    Espaço de endereço da sub-rede: 10.1.0.0/24
    Endereços IP vnet-learn-hub-eastus-001 Espaço de endereçamento IPv4: 10.2.0.0/16
    Nome da sub-rede: padrão
    Espaço de endereço da sub-rede: 10.2.0.0/24

Implantar um gateway de rede virtual

Implante um gateway de rede virtual na rede virtual do hub. Esse gateway de rede virtual é necessário para que os raios usem o hub como uma configuração de gateway .

  1. Selecione + Criar um recurso e procure Gateway de rede virtual. Em seguida, selecione Criar para começar a configurar o gateway de rede virtual.

  2. Na guia Noções básicas, insira ou selecione as seguintes configurações:

    Captura de tela da guia Noções básicas do gateway de rede virtual.

    Definição Value
    Subscrição Selecione a assinatura na qual você deseja implantar essa rede virtual.
    Nome Digite gw-learn-hub-eastus-001 para o nome do gateway de rede virtual.
    SKU Selecione VpnGW1 para a SKU.
    Geração Selecione Geração1 para a geração.
    Rede virtual Selecione vnet-learn-hub-eastus-001 para a rede virtual.
    Endereço IP público
    Nome do endereço IP público Digite o nome gwpip-learn-hub-eastus-001 para o IP público.
    SEGUNDO ENDEREÇO IP PÚBLICO
    Nome do endereço IP público Digite o nome gwpip-learn-hub-eastus-002 para o IP público.

  3. Selecione Rever + criar e, em seguida, selecione Criar após a validação ter passado. A implantação de um gateway de rede virtual pode levar cerca de 30 minutos. Você pode passar para a próxima seção enquanto aguarda a conclusão dessa implantação. No entanto, você pode achar que o gw-learn-hub-eastus-001 não exibe que ele tem um gateway devido ao tempo e à sincronização no portal do Azure.

Criar um grupo de rede

Nota

Este guia de instruções pressupõe que você criou uma instância do gerenciador de rede usando o guia de início rápido. O grupo de rede neste tutorial é chamado ng-learn-prod-eastus-001.

  1. Navegue até o grupo de recursos rg-learn-eastus-001 e selecione a instância do gerenciador de rede vnm-learn-eastus-001 .

  2. Em Configurações, selecione Grupos de rede. Em seguida, selecione + Criar.

    Captura de ecrã de uma lista vazia de grupos de rede e do botão para criar um grupo de rede.

  3. No painel Criar um grupo de rede e, em seguida, selecione Criar:

    Definição Valor
    Nome Digite ng-learn-prod-eastus-001.
    Descrição (Opcional) Forneça uma descrição sobre este grupo de rede.
    Tipo de membro Selecione Rede virtual no menu suspenso.

    e selecione Criar.

    Captura de ecrã do painel para criar um grupo de rede.

  4. Confirme se o novo grupo de rede está agora listado no painel Grupos de rede .

    Captura de ecrã de um grupo de rede recém-criado no painel que lista grupos de rede.

Definir associação de grupo dinâmico com a política do Azure

  1. Na lista de grupos de rede, selecione ng-learn-prod-eastus-001. Em Criar política para adicionar membros dinamicamente, selecione Criar política do Azure.

    Captura de ecrã do botão de associação dinâmica definido.

  2. Na página Criar Política do Azure, selecione ou insira as seguintes informações:

    Captura de ecrã do separador Criar instruções condicionais de um grupo de rede.

    Definição Value
    Nome da política Digite azpol-learn-prod-eastus-001 na caixa de texto.
    Âmbito Selecione Selecionar escopos e escolha sua assinatura atual.
    Critérios
    Parâmetro Selecione Nome na lista suspensa.
    Operador Selecione Contém na lista suspensa.
    Condição Digite -prod para a condição na caixa de texto.

  3. Selecione Visualizar recursos para exibir a página Redes virtuais efetivas e selecione Fechar. Esta página mostra as redes virtuais que serão adicionadas ao grupo de redes com base nas condições definidas na Política do Azure.

    Captura de ecrã da página Redes virtuais eficazes com resultados da instrução condicional.

  4. Selecione Salvar para implantar a associação ao grupo. Pode levar até um minuto para que a política entre em vigor e seja adicionada ao seu grupo de rede.

  5. Na página Grupo de Rede, em Configurações, selecione Membros do Grupo para exibir a associação ao grupo com base nas condições definidas na Política do Azure. A fonte está listada como azpol-learn-prod-eastus-001.

    Captura de ecrã da associação a um grupo dinâmico em Associação a um grupo.

Criar uma configuração de conectividade de hub e spoke

  1. Selecione Configurações em Configurações e, em seguida, selecione + Criar.

  2. Selecione Configuração de conectividade no menu suspenso para começar a criar uma configuração de conectividade.

  3. Na página Noções básicas, insira as seguintes informações e selecione Avançar: Topologia >.

    Captura de ecrã a mostrar a adição de uma página de configuração de conectividade.

    Definição Valor
    Nome Digite cc-learn-prod-eastus-001.
    Description (Opcional) Forneça uma descrição sobre essa configuração de conectividade.

  4. Na guia Topologia, selecione Hub e Spoke. Isso revela outras configurações.

    Captura de tela mostrando a seleção de um hub para a configuração de conectividade.

  5. Selecione Selecionar um hub em Configuração de hub . Em seguida, selecione vnet-learn-hub-eastus-001 para servir como seu hub de rede e selecione Selecionar.

    Captura de tela de Selecione uma configuração de hub.

    Nota

    Dependendo do tempo de implantação, você pode não ver o hub de destino em rede virtual como se tivesse um gateway em Tem gateway. Isso se deve à implantação do gateway de rede virtual. Pode levar até 30 minutos para implantar e pode não ser exibido imediatamente nas várias exibições do portal do Azure.

  6. Em Grupos de rede Spoke, selecione + adicionar. Em seguida, selecione ng-learn-prod-eastus-001 para o grupo de rede e selecione Selecionar.

    Captura de ecrã da página Adicionar grupos de rede.

  7. Depois de adicionar o grupo de rede, selecione as seguintes opções. Em seguida, selecione adicionar para criar a configuração de conectividade.

    Captura de ecrã das definições para a configuração do grupo de rede.

    Definição Value
    Conectividade direta Marque a caixa de seleção Habilitar conectividade dentro do grupo de rede. Essa configuração permite que redes virtuais faladas no grupo de rede na mesma região se comuniquem diretamente entre si.
    Malha Global Deixe a opção Ativar conectividade de malha entre regiões desmarcada. Essa configuração não é necessária, pois ambos os raios estão na mesma região
    Hub como gateway Marque a caixa de seleção Hub como gateway.

  8. Selecione Seguinte: Rever + criar > e, em seguida, crie a configuração de conectividade.

Implantar a configuração de conectividade

Verifique se o gateway de rede virtual foi implantado com êxito antes de implantar a configuração de conectividade. Se você implantar uma configuração de hub e spoke com Usar o hub como um gateway habilitado e não houver gateway, a implantação falhará. Para obter mais informações, consulte Usar hub como gateway.

  1. Selecione Implantações em Configurações e, em seguida, selecione Implantar configuração.

    Captura de ecrã da página de implementações no Network Manager.

  2. Selecione as seguintes configurações:

    Captura de tela de implantar uma página de configuração.

    Definição Value
    Configurações Selecione Incluir configurações de conectividade no estado de meta .
    Configurações de conectividade Selecione cc-learn-prod-eastus-001.
    Regiões de destino Selecione Leste dos EUA como a região de implantação.

  3. Selecione Avançar e, em seguida, selecione Implantar para concluir a implantação.

    Captura de tela da mensagem de confirmação de implantação.

  4. A implantação é exibida na lista da região selecionada. A implantação da configuração pode levar alguns minutos para ser concluída.

    Captura de tela do status da implantação da configuração em andamento.

Criar uma configuração de administrador de segurança

  1. Selecione Configuração em Configurações novamente, selecione + Criar e selecione SecurityAdmin no menu para começar a criar uma configuração SecurityAdmin.

  2. Digite o nome sac-learn-prod-eastus-001 para a configuração e selecione Next: Rule collections.

    Captura de ecrã da página de configuração do administrador de segurança.

  3. Digite o nome rc-learn-prod-eastus-001 para a coleção de regras e selecione ng-learn-prod-eastus-001 para o grupo de rede de destino. Em seguida, selecione + Adicionar.

    Captura de ecrã a mostrar a adição de uma página de recolha de regras.

  4. Insira e selecione as seguintes configurações e, em seguida, selecione Adicionar:

    Captura de ecrã a mostrar a adição de uma página de regras e definições de regras.

    Definição Valor
    Nome Insira DENY_INTERNET
    Description Enter Esta regra bloqueia o tráfego para a Internet em HTTP e HTTPS
    Prioridade Digite 1
    Ação Selecione Negar
    Direção Selecione Saída
    Protocolo Selecione TCP
    Source
    Source type Selecionar IP
    Endereços IP de origem Introduzir *
    Destino
    Tipo de destino Selecione endereços IP
    Endereços IP de destino Introduzir *
    Porta de destino Digite 80, 443

  5. Selecione Adicionar para adicionar a coleção de regras à configuração.

    Captura de ecrã do botão Guardar para uma coleção de regras.

  6. Selecione Rever + criar e Criar para criar a configuração de administrador de segurança.

Implantar a configuração de administrador de segurança

  1. Selecione Implantações em Configurações e, em seguida, selecione Implantar configurações.

  2. Em Configurações, selecione Incluir administrador de segurança no estado de meta e na configuração sac-learn-prod-eastus-001 criada na última seção. Em seguida, selecione Leste dos EUA como a região de destino e selecione Avançar.

    Captura de tela da implantação de uma configuração de segurança.

  3. Selecione Avançar e, em seguida, Implantar. Agora você deve ver a implantação aparecer na lista da região selecionada. A implantação da configuração pode levar alguns minutos para ser concluída.

Verificar a implantação de configurações

Verificar a partir de uma rede virtual

  1. Vá para a rede virtual vnet-learn-prod-eastus-001 e selecione Network Manager em Configurações. A guia Configurações de conectividade lista a configuração de conectividade cc-learn-prod-eastus-001 aplicada na rede virtual

    Captura de tela da configuração de conectividade aplicada à rede virtual.

  2. Selecione a guia Configurações de administrador de segurança e expanda Saída para listar as regras de administração de segurança aplicadas a essa rede virtual.

    Captura de ecrã da configuração do administrador de segurança aplicada à rede virtual.

  3. Selecione Emparelhamento em Configurações para listar os emparelhamentos de rede virtual criados pelo Virtual Network Manager. Seu nome começa com ANM_.

    Captura de ecrã de emparelhamentos de rede virtual criados pelo Virtual Network Manager.

Verificar a partir de uma VM

  1. Implante uma máquina virtual de teste no vnet-learn-prod-eastus-001.

  2. Vá para a VM de teste criada em vnet-learn-prod-eastus-001 e selecione Rede em Configurações. Selecione Regras de porta de saída e verifique se a regra de DENY_INTERNET é aplicada.

    Captura de tela das regras de segurança de rede da VM de teste.

  3. Selecione o nome da interface de rede e selecione Rotas efetivas em Ajuda para verificar as rotas para os emparelhamentos de rede virtual. A 10.2.0.0/16 rota com o Next Hop Type de é a rota para a rede virtual do VNet peering hub.

    Captura de tela de rotas efetivas da interface de rede VM de teste.

Clean up resources (Limpar recursos)

Se você não precisar mais do Gerenciador de Rede Virtual do Azure, precisará verificar se todos os itens a seguir são verdadeiros antes de excluir o recurso:

  • Não há implantações de configurações em nenhuma região.
  • Todas as configurações foram excluídas.
  • Todos os grupos de rede foram excluídos.

Use a lista de verificação de remoção de componentes para certificar-se de que nenhum recurso filho ainda esteja disponível antes de excluir o grupo de recursos.

Próximos passos

Saiba como bloquear o tráfego de rede com uma configuração de administrador de segurança.