Руководство: создание защищенной звездообразной сети

  • Статья

В этом руководстве описано, как создать топологию концентратора и периферийной сети с помощью Azure виртуальная сеть Manager. Затем вы развернете шлюз виртуальной сети в концентраторе, чтобы разрешить ресурсам в периферийных виртуальных сетях взаимодействовать с удаленными сетями с помощью VPN. Кроме того, вы настроите конфигурацию безопасности для блокировки исходящего сетевого трафика в Интернет через порты 80 и 443. Наконец, убедитесь, что конфигурации были применены правильно, просматривая параметры виртуальной сети и виртуальной машины.

В этом руководстве описано следующее:

  • Создание нескольких виртуальных сетей.
  • Развертывание шлюза виртуальной сети.
  • Создание звездообразной топологии сети.
  • Создание конфигурации безопасности, блокирующей трафик через порты 80 и 443.
  • Проверка примененных конфигураций.

Схема компонентов безопасного концентратора и периферийной топологии.

Необходимые условия

Создание виртуальных сетей

В этой процедуре описывается создание трех виртуальных сетей, которые будут подключены с помощью концентратора и периферийной топологии сети.

  1. Войдите на портал Azure.

  2. Выберите +Создать ресурс и выполните поиск по фразе Виртуальная сеть. Затем выберите Создать, чтобы начать настройку виртуальной сети.

  3. На вкладке Основные сведения введите или выберите указанные ниже значения параметров.

    Снимок экрана: вкладка

    Параметр Значение
    Отток подписок Выберите подписку, в которой требуется развернуть эту виртуальную сеть.
    Группа ресурсов Выберите или создайте группу ресурсов для хранения виртуальной сети. В этом кратком руководстве используется группа ресурсов с именем rg-learn-eastus-001.
    Имя. Введите vnet-learn-prod-eastus-001 для имени виртуальной сети.
    Область/регион Выберите регион "Восточная часть США ".

  4. Нажмите кнопку Далее: IP-адреса и настройте следующее сетевое адресное пространство:

    Снимок экрана: вкладка

    Параметр Значение
    Диапазон IPv4-адресов Введите 10.0.0.0/16 в качестве адресного пространства.
    Имя подсети Введите имя default для подсети.
    Адресное пространство подсети Введите адресное пространство подсети 10.0.0.0/24.

  5. Нажмите Просмотр и создание и выберите Создать, чтобы развернуть виртуальную сеть.

  6. Повторите шаги 2–5 и создайте еще две виртуальные сети в той же группе ресурсов с указанными ниже параметрами.

    Параметр Значение
    Отток подписок Выберите ту же подписку, которая была выбрана на шаге 3.
    Группа ресурсов Выберите rg-learn-eastus-001.
    Имя. Введите vnet-learn-prod-eastus-002 и vnet-learn-hub-eastus-001 для двух виртуальных сетей.
    Область/регион Выберите регион (США) Восточная часть США.
    IP-адреса vnet-learn-prod-eastus-002 Адресное пространство IPv4: 10.1.0.0/16
    Имя подсети: адресное пространство подсети по умолчанию
    : 10.1.0.0/24
    IP-адреса vnet-learn-hub-eastus-001 Адресное пространство IPv4: 10.2.0.0/16
    Имя подсети: адресное пространство подсети по умолчанию
    : 10.2.0.0/24

Развертывание шлюза виртуальной сети

Разверните шлюз виртуальной сети в виртуальной сети со звездообразной топологией. Этот шлюз необходим для того, чтобы периферийные сети могли использовать концентратор в качестве шлюза.

  1. Выберите +Создать ресурс и выполните поиск по фразе шлюз виртуальной сети. Затем выберите Создать, чтобы начать настройку шлюза виртуальной сети.

  2. На вкладке Основные сведения введите или выберите указанные ниже значения параметров.

    Снимок экрана: вкладка

    Параметр Значение
    Отток подписок Выберите подписку, в которой требуется развернуть эту виртуальную сеть.
    Имя. Введите gw-learn-hub-eastus-001 для имени шлюза виртуальной сети.
    Номер SKU Выберите VpnGW1 для номера SKU.
    Поколение Выберите поколение 1 для создания.
    Виртуальная сеть Выберите vnet-learn-hub-eastus-001 для виртуальной сети.
    Общедоступный IP-адрес
    Имя общедоступного IP-адреса Введите имя gwpip-learn-hub-eastus-001 для общедоступного IP-адреса.
    ВТОРОЙ ОБЩЕДОСТУПНЫЙ IP-АДРЕС
    Имя общедоступного IP-адреса Введите имя gwpip-learn-hub-eastus-002 для общедоступного IP-адреса.

  3. Нажмите Просмотр и создание и выберите Создать после прохождения проверки. Развертывание шлюза виртуальной сети может длиться до 30 минут. Пока вы ожидаете завершения развертывания, можно перейти к следующему разделу. Однако вы можете найти gw-learn-hub-eastus-001 не отображает, что у него есть шлюз из-за времени и синхронизации между портал Azure.

Создание сетевой группы

Примечание.

В этом руководстве предполагается, что вы создали экземпляр диспетчера сети с помощью краткого руководства . Группа сети в этом руководстве называется ng-learn-prod-eastus-001.

  1. Перейдите к группе ресурсов rg-learn-eastus-001 и выберите экземпляр диспетчера сети vnm-learn-eastus-001 .

  2. В разделе "Параметры" выберите группы "Сеть". Затем щелкните + Создать.

    Снимок экрана: пустой список сетевых групп и кнопка для создания группы сети.

  3. На панели "Создать сетевую группу" и нажмите кнопку "Создать":

    Параметр Value
    Имя Введите ng-learn-prod-eastus-001.
    Description (Необязательно) Укажите описание этой сетевой группы.
    Тип элемента Выберите виртуальную сеть в раскрывающемся меню.

    и нажмите кнопку "Создать".

    Снимок экрана: панель создания сетевой группы.

  4. Убедитесь, что новая сетевая группа теперь указана на панели "Группы сети".

    Снимок экрана: только что созданная сетевая группа на панели, в которую перечислены группы сети.

Определение динамического членства в группах с помощью политики Azure

  1. В списке сетевых групп выберите ng-learn-prod-eastus-001. В разделе "Создание политики" для динамического добавления участников выберите " Создать политику Azure".

    Снимок экрана: определенная кнопка динамического членства.

  2. На странице "Создать Политика Azure" выберите или введите следующие сведения:

    Снимок экрана: вкладка

    Параметр Значение
    Имя политики В текстовом поле введите azpol-learn-prod-eastus-001 .
    Область Выберите "Выбрать области " и выберите текущую подписку.
    Критерии
    Параметр Выберите имя в раскрывающемся списке.
    Оператор Выберите "Содержит" в раскрывающемся списке.
    Condition Введите -prod для условия в текстовом поле.

  3. Выберите ресурсы предварительной версии, чтобы просмотреть страницу "Действующие виртуальные сети" и нажмите кнопку "Закрыть". На этой странице показаны виртуальные сети, которые будут добавлены в группу сети на основе условий, определенных в Политика Azure.

    Снимок экрана: страница

  4. Нажмите кнопку "Сохранить", чтобы развернуть членство в группе. Для принятия в силу политики может потребоваться до одной минуты и добавить ее в группу сети.

  5. На странице "Группа сети" в разделе "Параметры" выберите "Участники группы", чтобы просмотреть членство в группе на основе условий, определенных в Политика Azure. Источник указан как azpol-learn-prod-eastus-001.

    Снимок экрана: членство в динамической группе в группе.

Создание конфигурации подключения со звездообразной топологией

  1. Выберите "Конфигурации" в разделе "Параметры", а затем нажмите кнопку "+ Создать".

  2. Выберите конфигурацию подключения в раскрывающемся меню, чтобы начать создание конфигурации подключения.

  3. На странице "Основы" введите следующие сведения и нажмите кнопку "Далее: топология>".

    Снимок экрана: страница добавления конфигурации подключения.

    Параметр Значение
    Имя. Введите cc-learn-prod-eastus-001.
    Description Необязательно: введите описание конфигурации подключения.

  4. На вкладке "Топология" выберите "Концентратор" и "Периферийный". Это показывает другие параметры.

    Снимок экрана: выбор концентратора в конфигурации подключения.

  5. Выберите концентратор в разделе "Центр". Затем выберите vnet-learn-hub-eastus-001 , чтобы служить сетевым концентратором и выбрать команду Select.

    Снимок экрана: выбор конфигурации концентратора.

    Примечание.

    В зависимости от времени развертывания может не отображаться виртуальная сеть целевого концентратора как шлюз в шлюзе Has. Это связано с развертыванием шлюза виртуальной сети. Развертывание может занять до 30 минут и может не отображаться сразу в различных представлениях портал Azure.

  6. В разделе "Периферийные сетевые группы" выберите + добавить. Затем выберите ng-learn-prod-eastus-001 для сетевой группы и нажмите кнопку "Выбрать".

    Снимок экрана: страница

  7. После добавления сетевой группы выберите указанные ниже значения параметров. Затем нажмите кнопку "Добавить", чтобы создать конфигурацию подключения.

    Снимок экрана: параметров конфигурации сетевой группы.

    Параметр Значение
    Прямое подключение Установите флажок " Включить подключение" в группе сети. Этот параметр позволяет периферийным виртуальным сетям в группе сети в одном регионе напрямую взаимодействовать друг с другом.
    Глобальная сетка Оставьте флажок Включить подключение сетки между регионами без флажка. Этот параметр не требуется, так как оба периферийных устройства находятся в одном регионе.
    Концентратор в качестве шлюза Установите флажок для Концентратора в качестве шлюза.

  8. Нажмите кнопку "Далее": проверьте и создайте > конфигурацию подключения.

Развертывание конфигурации подключения

Перед развертыванием конфигурации подключения убедитесь, что успешно развернут шлюз виртуальной сети. При развертывании концентратора и периферийной конфигурации с использованием концентратора в качестве шлюза включен и нет шлюза, развертывание завершается сбоем. Дополнительные сведения об использовании концентратора в качестве шлюза см. здесь.

  1. Выберите "Развертывания" в разделе "Параметры", а затем выберите " Развернуть конфигурацию".

    Снимок экрана: страница развертываний в Диспетчере сетей.

  2. Выберите указанные ниже значения параметров.

    Снимок экрана: страница развертывания конфигурации.

    Параметр Значение
    Конфигурации Выберите "Включить конфигурации подключения" в состояние цели.
    Конфигурации подключения Выберите cc-learn-prod-eastus-001.
    Целевые регионы Выберите восточную часть США в качестве региона развертывания.

  3. Нажмите кнопку "Далее", а затем нажмите кнопку "Развернуть", чтобы завершить развертывание.

    Снимок экрана: сообщение о подтверждении развертывания.

  4. Развертывание отображается в списке для выбранного региона. Развертывание конфигурации может занять несколько минут.

    Снимок экрана: конфигурация в состоянии выполнения.

Создание конфигурации администратора безопасности

  1. Снова выберите "Конфигурация" в разделе "Параметры ", а затем нажмите кнопку "Создать" и выберите "SecurityAdmin" в меню, чтобы начать создание конфигурации SecurityAdmin .

  2. Введите имя sac-learn-prod-eastus-001 для конфигурации, а затем нажмите кнопку "Далее: коллекции правил".

    Снимок экрана: страница конфигурации управления безопасностью.

  3. Введите имя rc-learn-prod-eastus-001 для коллекции правил и выберите ng-learn-prod-eastus-001 для целевой группы сети. Затем щелкните + Добавить.

    Снимок экрана: страница добавления коллекции правил.

  4. Введите и выберите следующие параметры, а затем нажмите Добавить:

    Снимок экрана: добавление страницы правил и параметров правила.

    Параметр Значение
    Имя. Ввод DENY_INTERNET
    Description Введите это правило блокирует трафик в Интернет по ПРОТОКОЛу HTTP и HTTPS.
    Приоритет Введите 1
    Действие Выберите " Запретить"
    Направление Выбор исходящего трафика
    Протокол Выберите TCP.
    Источник
    Тип источника Выбор IP-адреса
    Исходные IP-адреса Введите *
    Назначение
    Тип назначения Выбор IP-адресов
    IP-адреса назначения Введите *
    Порт назначения Введите 80, 443

  5. Нажмите кнопку "Добавить ", чтобы добавить коллекцию правил в конфигурацию.

    Снимок экрана: кнопка

  6. Выберите "Проверить и создать", чтобы создать конфигурацию администратора безопасности.

Развертывание конфигурации управления безопасностью

  1. Выберите "Развертывания" в разделе "Параметры", а затем выберите " Развернуть конфигурации".

  2. В разделе "Конфигурации" выберите " Включить администратора безопасности" в состояние цели и конфигурацию sac-learn-prod-eastus-001 , созданную в последнем разделе. Затем выберите "Восточная часть США " в качестве целевого региона и нажмите кнопку "Далее".

    Снимок экрана: развертывание конфигурации безопасности.

  3. Нажмите кнопку "Далее" и "Развернуть". Вы увидите, что развертывание появилось в списке для выбранного региона. Развертывание конфигурации может занять несколько минут.

Проверка развертывания конфигураций

Проверка из виртуальной сети

  1. Перейдите в виртуальную сеть vnet-learn-prod-eastus-001 и выберите Network Manager в разделе "Параметры". На вкладке "Конфигурации подключения" перечислены конфигурации подключения cc-learn-prod-eastus-001 , примененные в виртуальной сети.

    Снимок экрана: конфигурация подключения применена к виртуальной сети.

  2. Перейдите на вкладку "Конфигурации администратора безопасности" и разверните исходящий трафик , чтобы получить список правил администратора безопасности, примененных к этой виртуальной сети.

    Снимок экрана: конфигурация администратора безопасности, примененная к виртуальной сети.

  3. Выберите пиринги в разделе "Параметры", чтобы перечислить пиринги виртуальной сети, созданные виртуальная сеть Manager. Его имя начинается с ANM_.

    Снимок экрана: пиринг между виртуальными сетями, созданный Диспетчером виртуальных сетей.

Проверка из виртуальной машины

  1. Разверните тестовую виртуальную машину в vnet-learn-prod-eastus-001.

  2. Перейдите к тестовой виртуальной машине, созданной в vnet-learn-prod-eastus-001 и выберите "Сеть" в разделе "Параметры". Выберите правила исходящего порта и убедитесь, что применяется правило DENY_INTERNET .

    Снимок экрана: правила сетевой безопасности тестовой виртуальной машины.

  3. Выберите имя сетевого интерфейса и выберите "Действующие маршруты" в разделе "Справка", чтобы проверить маршруты пиринга виртуальной сети. Маршрут 10.2.0.0/16 со типом следующего прыжка VNet peering — это маршрут к виртуальной сети концентратора.

    Снимок экрана: действующие маршруты от сетевого интерфейса тестовой виртуальной машины.

Очистка ресурсов

Если вам больше не нужен диспетчер виртуальная сеть Azure, перед удалением ресурса необходимо убедиться, что все следующее имеет значение true:

  • Ни в одном регионе не развернута ни одна конфигурация.
  • Все конфигурации удалены.
  • Все сетевые группы удалены.

Чтобы перед удалением группу ресурсов убедиться, что доступных дочерних ресурсов нет, используйте контрольный список удаления компонентов.

Следующие шаги

Узнайте, как блокировать сетевой трафик с помощью конфигурации управления безопасностью.