Dela via

Självstudie: Skapa ett säkert nav-och-ekernätverk

I denna handledning skapar du en nätverkstopologi för nav och ekrar med hjälp av Azure Virtual Network Manager. Sedan distribuerar du en virtuell nätverksgateway i det virtuella hubbnätverket så att resurser i spoke-nätverkens virtuella nätverk kan kommunicera med fjärrnätverk via VPN. Du konfigurerar också en säkerhetsadministratörskonfiguration för att blockera utgående nätverkstrafik till Internet på portarna 80 och 443. Slutligen kontrollerar du att konfigurationerna har tillämpats korrekt genom att observera inställningarna för virtuella nätverk och virtuella datorer.

I den här handledningen får du lära dig att:

  • Skapa flera virtuella nätverk.
  • Distribuera en virtuell nätverksgateway.
  • Skapa en nätverkstopologi för nav och eker.
  • Skapa en säkerhetsadministratörskonfiguration som blockerar trafik på portarna 80 och 443.
  • Kontrollera att konfigurationerna har tillämpats.

Diagram över säkra topologikomponenter för nav och eker.

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
  • Innan du kan slutföra stegen i den här självstudien måste du först skapa en Azure Virtual Network Manager-instans . Instansen måste innehålla funktionerna Anslutnings- och säkerhetsadministratör . I denna handledning används en instans av Azure Virtual Network Manager med namnet vnm-learn-eastus-001.

Skapa virtuella nätverk

Den här proceduren vägleder dig genom att skapa tre virtuella nätverk som ska anslutas med hjälp av en anslutningskonfiguration för nav och eker.

  1. Logga in på Azure-portalen.

  2. Välj + Skapa en resurs och sök efter virtuellt nätverk. Välj sedan Skapa för att börja konfigurera det virtuella nätverket.

  3. På fliken Grundläggande anger eller väljer du följande information:

    Inställning Värde
    Prenumeration Välj den prenumeration som du vill distribuera det här virtuella nätverket till.
    Resursgrupp Välj eller skapa en ny resursgrupp för att lagra det virtuella nätverket. Den här snabbstarten använder en resursgrupp med namnet rg-learn-eastus-001.
    Namn Ange vnet-learn-prod-eastus-001 som namn på det virtuella nätverket.
    Region Välj regionen USA , östra.

  4. Välj Nästa: IP-adresser och konfigurera följande nätverksadressutrymme:

    Inställning Värde
    IPv4-adressutrymme Ange 10.0.0.0/16 som adressutrymme.
    Namn på undernät Ange namnet som standard för undernätet.
    Adressutrymme för undernätet Ange adressutrymmet för undernätet på 10.0.0.0/24.

  5. Välj Granska + skapa och välj sedan Skapa för att distribuera det virtuella nätverket.

  6. Upprepa steg 2–5 för att skapa ytterligare två virtuella nätverk i samma resursgrupp med följande information:

    Inställning Värde
    Prenumeration Välj samma prenumeration som du valde i steg 3.
    Resursgrupp Välj rg-learn-eastus-001.
    Namn Ange vnet-learn-prod-eastus-002 och vnet-learn-hub-eastus-001 för de två virtuella nätverken.
    Region Välj (USA) USA, östra
    ip-adresser för vnet-learn-prod-eastus-002 IPv4-adressutrymme: 10.1.0.0/16
    Undernätsnamn: standardadressutrymme
    för undernätet: 10.1.0.0/24
    vnet-learn-hub-eastus-001 IP-adresser IPv4-adressutrymme: 10.2.0.0/16
    Undernätsnamn: standardadressutrymme
    för undernätet: 10.2.0.0/24

Skapa ett undernät för virtuell nätverksgateway

Skapa ett virtuellt nätverksgatewayundernät i det virtuella hubbnätverket. Det här undernätet används av den virtuella nätverksgatewayen för att dirigera trafik till och från det virtuella nätverket.

  1. Gå till det virtuella nätverket vnet-learn-hub-eastus-001 och välj Undernät under Inställningar.

  2. Välj + Undernät för att skapa ett nytt undernät.

  3. På sidan Lägg till undernät anger eller väljer du följande information:

    Inställning Värde
    Undernätssyfte Välj Virtuell nätverksgateway på den nedrullningsbara menyn.
    IPv4
    Storlek Välj /27 på den nedrullningsbara menyn.

  4. Välj Lägg till och kontrollera att det nya undernätet har skapats.

Kommentar

Gateway-undernätet är ett särskilt undernät som används av den virtuella nätverksgatewayen. Storleken på gatewayundernätet måste vara minst /27. Adressutrymmet för gatewayundernätet får inte överlappa andra undernät i det virtuella nätverket. Adressutrymmet för gatewayundernätet måste vara en delmängd av adressutrymmet för det virtuella nätverket. Det här gatewayundernätet måste ha namnet GatewaySubnet. Om du inte namnger undernätet GatewaySubnet kan den virtuella nätverksgatewayen inte använda det.

Distribuera en virtuell nätverksgateway

Distribuera en virtuell nätverksgateway till det virtuella hubbnätverket. Den här virtuella nätverksgatewayen är nödvändig för att spoke-nätverksgrupper i anslutningskonfigurationen ska kunna aktivera inställningen Använd hubb som gateway.

  1. Välj + Skapa en resurs och sök efter virtuell nätverksgateway. Välj sedan Skapa för att börja konfigurera den virtuella nätverksgatewayen.

  2. På fliken Grundläggande anger eller väljer du följande inställningar:

    Inställning Värde
    Prenumeration Välj den prenumeration som du vill distribuera det här virtuella nätverket till.
    Namn Ange gw-learn-hub-eastus-001 som namn på den virtuella nätverksgatewayen.
    artikelnummer (SKU) Välj VpnGW1 för SKU:n.
    Generation Välj Generation1 för genereringen.
    Virtuellt nätverk Välj vnet-learn-hub-eastus-001 för det virtuella nätverket.
    Offentlig IP-adress
    Namn på offentlig IP-adress Ange namnet gwpip-learn-hub-eastus-001 för den offentliga IP-adressen.
    ANDRA OFFENTLIGA IP-ADRESSEN
    Namn på offentlig IP-adress Ange namnet gwpip-learn-hub-eastus-002 för den offentliga IP-adressen.

  3. Välj Granska + skapa och välj sedan Skapa när verifieringen har godkänts. Distributionen av en virtuell nätverksgateway kan ta cirka 30 minuter. Du kan gå vidare till nästa avsnitt i väntan på att distributionen ska slutföras. Det kan dock hända att gw-learn-hub-eastus-001 inte visar att den har en gateway på grund av tids- och synkronisering över Azure Portal.

Skapa en nätverksgrupp

Kommentar

Den här guiden förutsätter att du har skapat en Azure Virtual Network Manager-instans med hjälp av snabbstartsguiden . Nätverksgruppen i den här självstudien kallas ng-learn-prod-eastus-001.

  1. Bläddra till resursgruppen och välj resursen network-manager .

  2. Under Inställningar väljer du Nätverksgrupper. Välj sedan + Skapa.

  3. I fönstret Skapa en nätverksgrupp väljer du skapa:

    Inställning Värde
    Namn Ange nätverksgrupp.
    Beskrivning (Valfritt) Ange en beskrivning av den här nätverksgruppen.
    Medlemstyp Välj Virtuellt nätverk på den nedrullningsbara menyn.

  4. Bekräfta att den nya nätverksgruppen nu visas i fönstret Nätverksgrupper .

Definiera dynamiskt gruppmedlemskap med Azure Policy

  1. I listan över nätverksgrupper väljer du ng-learn-prod-eastus-001. Under Skapa princip för att dynamiskt lägga till medlemmar väljer du Skapa Azure Policy.

  2. På sidan Skapa Azure Policy väljer eller anger du följande information:

    Skärmbild av fliken Skapa villkorssatser för nätverksgrupper.

    Inställning Värde
    Principnamn Ange azpol-learn-prod-eastus-001 i textrutan.
    Omfattning Välj Välj omfång och välj din aktuella prenumeration.
    Villkor
    Parameter Välj Namn i listrutan.
    Operatör Välj Innehåller i listrutan.
    Villkor Ange -prod för villkoret i textrutan.

  3. Välj Förhandsgranska resurser för att visa fönstret Effektiva virtuella nätverk och välj Stäng. Den här sidan visar de virtuella nätverk som ska läggas till i nätverksgruppen baserat på de villkor som definierats i Azure Policy.

  4. Välj Spara för att distribuera gruppmedlemskapet. Det kan ta upp till en minut innan principen börjar gälla och läggas till i nätverksgruppen.

  5. På sidan Nätverksgrupp under Inställningar väljer du Gruppmedlemmar för att visa medlemskapet i gruppen baserat på de villkor som definierats i Azure Policy. Källan visas som azpol-learn-prod-eastus-001.

    Skärmbild av dynamiskt gruppmedlemskap under Gruppmedlemskap.

Skapa en konfiguration för hub-and-spoke-anslutning

  1. Välj Konfigurationer under Inställningar och välj sedan + Skapa.

  2. Välj Anslutningskonfiguration på den nedrullningsbara menyn för att börja skapa en anslutningskonfiguration.

  3. På sidan

    Inställning Värde
    Namn Ange cc-learn-prod-eastus-001.
    beskrivning (Valfritt) Ange en beskrivning av den här anslutningskonfigurationen.

  4. På fliken Topologi väljer du Hub och Spoke. Detta visar andra inställningar.

  5. Välj Välj en hubb under Hubbinställning . Välj sedan vnet-learn-hub-eastus-001 för att fungera som din konfigurations hubb och välj Välj.

    Kommentar

    Beroende på tidpunkten för distributionen kanske du inte ser att målhubbens virtuella nätverk har en gateway under Har gateway. Detta beror på distributionen av den virtuella nätverksgatewayen. Det kan ta upp till 30 minuter att distribuera och visas kanske inte direkt i de olika Azure Portal vyerna.

  6. Under Ekernätverksgrupper väljer du + Lägg till. Välj sedan ng-learn-prod-eastus-001 som en spoke-nätverksgrupp och välj Välj.

  7. När du har lagt till nätverksgruppen väljer du följande alternativ.

    Skärmbild av inställningar för konfiguration av nätverksgrupper.

    Inställning Värde
    Direktanslutning Markera kryssrutan för Aktivera anslutning i nätverksgruppen. Med den här inställningen kan virtuella nätverk i spoke-nätverksgrupper i samma region kommunicera direkt med varandra.
    Globalt nät Låt alternativet Aktivera mesh-anslutning mellan regionervara avmarkerat. Den här inställningen krävs inte eftersom båda spoke-nätverken finns i samma region.
    Hubb som gateway Markera kryssrutan för Hub som en gateway.

  8. Välj Nästa: Granska + skapa > och skapa sedan anslutningskonfigurationen.

Distribuera anslutningskonfigurationen

Kontrollera att den virtuella nätverksgatewayen har distribuerats innan du distribuerar anslutningskonfigurationen. Om du distribuerar en hub-and-spoke-konfiguration med Använd hubben som en gateway aktiverad och det inte finns någon gateway misslyckas distributionen. Mer information finns i använda hubben som en gateway.

  1. Välj Distributioner under Inställningar och välj sedan Distribuera konfiguration.

  2. Välj följande inställningar:

    Inställning Värde
    -konfigurationer Välj Inkludera anslutningskonfigurationer i måltillståndet .
    Anslutningskonfigurationer Välj cc-learn-prod-eastus-001.
    Målregioner Välj USA , östra som distributionsregion.

  3. Välj Nästa och välj sedan Distribuera för att slutföra distributionen.

  4. Distributionen visas i listan för den valda regionen. Det kan ta några minuter att slutföra distributionen av konfigurationen.

    Skärmbild av konfigurationsdistributionens status pågår.

Skapa en säkerhetsadministratörskonfiguration

  1. Välj Konfiguration under Inställningar igen, välj sedan + Skapa och välj Säkerhetsadministratörskonfiguration på menyn för att börja skapa en konfiguration för säkerhetsadministratör.

  2. Ange namnet sac-learn-prod-eastus-001 för konfigurationen och välj sedan Nästa: Regelsamlingar.

  3. Ange namnet rc-learn-prod-eastus-001 för regelsamlingen och välj ng-learn-prod-eastus-001 för målnätverksgruppen. Välj sedan + Lägg till.

  4. Ange och välj följande inställningar och välj sedan Lägg till:

    Skärmbild av att lägga till en regelsida och regelinställningar.

    Inställning Värde
    Namn Ange DENY_INTERNET
    beskrivning Ange Den här regeln blockerar trafik till Internet på HTTP och HTTPS
    Prioritet Ange 1
    Åtgärd Välj Neka
    Riktning Välj Utgående
    Protokoll Välj TCP
    Källa
    Typ av källa Välj IP
    Källans IP-adress Ange *
    Mål
    Måltyp Välj IP-adresser
    Mål-IP-adressen Ange *
    Målport Ange 80, 443

  5. Välj Lägg till för att lägga till regelsamlingen i säkerhetsadministratörskonfigurationen.

  6. Välj Granska + skapa och Skapa för att skapa säkerhetsadministratörskonfigurationen.

Distribuera säkerhetsadministratörskonfigurationen

  1. Välj Distributioner under Inställningar och välj sedan Distribuera konfigurationer.

  2. Under Konfigurationer väljer du Inkludera säkerhetsadministratör i måltillståndet och konfigurationen sac-learn-prod-eastus-001 som du skapade i det senaste avsnittet. Välj sedan USA , östra som målregion och välj Nästa.

  3. Välj Nästa och sedan Distribuera. Nu bör distributionen visas i listan för den valda regionen. Det kan ta några minuter att slutföra distributionen av konfigurationen.

Verifiera distributionen av konfigurationer

Verifiera från ett virtuellt nätverk

  1. Gå till det virtuella nätverket vnet-learn-prod-eastus-001 och välj Nätverkshanteraren under Inställningar. På fliken Anslutningskonfigurationer visas anslutningskonfigurationen cc-learn-prod-eastus-001 som tillämpas i det virtuella nätverket.

    Skärmbild av anslutningskonfiguration som tillämpas på det virtuella nätverket.

  2. Välj fliken Säkerhetsadministratörskonfigurationer och expandera Utgående för att visa en lista över de säkerhetsadministratörsregler som tillämpas på det här virtuella nätverket.

    Skärmbild av säkerhetsadministratörskonfiguration som tillämpas på det virtuella nätverket.

  3. Gå till vnet-learn-hub-eastus-001 och välj Peerings under Inställningar för att visa en lista över peerings för virtuella nätverk som skapats av Azure Virtual Network Manager. Namnet börjar med ANM_.

    Skärmbild av peering för virtuella nätverk som skapats av Azure Virtual Network Manager.

Verifiera från en virtuell dator

  1. Distribuera en virtuell testdator till vnet-learn-prod-eastus-001.

  2. Gå till den virtuella testdatorn som skapades i vnet-learn-prod-eastus-001 och välj Nätverk under Inställningar. Välj Regler för utgående port och kontrollera att regeln för DENY_INTERNET tillämpas.

    Skärmbild av test av den virtuella datorns nätverkssäkerhetsregler.

  3. Välj nätverksgränssnittets namn och välj Effektiva vägar under Hjälp för att verifiera vägarna för peerings för virtuella nätverk. Vägen 10.2.0.0/16 med nästa hopptypVNet peering är vägen till det virtuella hubbnätverket.

Rensa resurser

Om du inte längre behöver Azure Virtual Network Manager måste du kontrollera att alla följande är sanna innan du kan ta bort resursen:

  • Det finns inga distributioner av konfigurationer till någon region.
  • Alla konfigurationer har tagits bort.
  • Alla nätverksgrupper har tagits bort.

Använd checklistan ta bort komponenter för att säkerställa att inga underordnade resurser fortfarande är tillgängliga innan du tar bort resursgruppen.

Nästa steg

Lär dig hur du blockerar nätverkstrafik med en säkerhetsadministratörskonfiguration.