مشاركة عبر

البرنامج التعليمي: إنشاء شبكة مركز وتحدث آمنة

في هذا البرنامج التعليمي، يمكنك إنشاء طوبولوجيا شبكة محورية باستخدام Azure Virtual Network Manager. ثم تقوم بنشر بوابة شبكة ظاهرية في الشبكة الظاهرية المركزية للسماح للموارد في الشبكات الظاهرية لمجموعات الشبكة المحورية بالاتصال بالشبكات البعيدة باستخدام VPN. يمكنك أيضا تكوين مسؤول أمان لمنع حركة مرور الشبكة الصادرة إلى الإنترنت على المنفذين 80 و443. وأخيرا، تحقق من تطبيق التكوينات بشكل صحيح عن طريق مراقبة إعدادات الشبكة الظاهرية والجهاز الظاهري.

ستتعرف في هذا البرنامج التعليمي على:

  • إنشاء شبكات ظاهرية متعددة.
  • نشر بوابة شبكة ظاهرية.
  • إنشاء طوبولوجيا شبكة مركزية ومتحدثة.
  • إنشاء تكوين مسؤول أمان يمنع حركة المرور على المنفذين 80 و443.
  • تم تطبيق تكوينات التحقق.

رسم تخطيطي لمكونات تخطيط الشبكة المحورية الآمنة.

Prerequisite

  • حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
  • قبل أن تتمكن من إكمال الخطوات في هذا البرنامج التعليمي، يجب عليك أولاً إنشاء واجهة أمامية. يجب أن يتضمن المثيل ميزات مسؤول الاتصالوالأمان . يستخدم هذا البرنامج التعليمي مثيل Azure Virtual Network Manager باسم vnm-learn-eastus-001.

إنشاء الشبكات الظاهرية.

يرشدك هذا الإجراء خلال إنشاء ثلاث شبكات ظاهرية ليتم توصيلها باستخدام تكوين اتصال محوري.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد + إنشاء مورد وابحث عن الشبكة الظاهرية. ثم حدد إنشاء لبدء تكوين الشبكة الظاهرية.

  3. في علامة التبويب "Basics"، أدخل المعلومات التالية أو حددها:

    Setting Value
    Subscription حدد الاشتراك الذي تريد نشر هذه الشبكة الظاهرية فيه.
    مجموعة الموارد حدد أو قم بإنشاء مجموعة موارد جديدة لتخزين الشبكة الظاهرية. يستخدم هذا التشغيل السريع مجموعة موارد تسمى rg-learn-eastus-001.
    Name أدخل vnet-learn-prod-eastus-001 لاسم الشبكة الظاهرية.
    Region حدد منطقة شرق الولايات المتحدة .

  4. حدد Next: IP Addresses وقم بتكوين مساحة عنوان الشبكة التالية:

    Setting Value
    مساحة العنوان IPv4 أدخل 10.0.0.0/16 كمساحة العنوان.
    اسم الشبكة الفرعية أدخل الاسم الافتراضي للشبكة الفرعية.
    مساحة عنوان الشبكة الفرعية أدخل مساحة عنوان الشبكة الفرعية 10.0.0.0/24.

  5. حدد مراجعة + إنشاء ثم حدد إنشاء لتوزيع الشبكة الظاهرية.

  6. كرر الخطوات من 2 إلى 5 لإنشاء شبكتين ظاهريتين في نفس مجموعة الموارد بالمعلومات التالية:

    Setting Value
    Subscription حدد نفس الاشتراك الذي حددته في الخطوة 3.
    مجموعة الموارد حدد rg-learn-eastus-001.
    Name أدخل vnet-learn-prod-eastus-002 و vnet-learn-hub-eastus-001 للشبكتين الظاهريتين.
    Region حدّد (الولايات المتحدة) شرق الولايات المتحدة
    عناوين IP vnet-learn-prod-eastus-002 مساحة عنوان IPv4: 10.1.0.0/16
    اسم الشبكة الفرعية: مساحة عنوان الشبكة الفرعية الافتراضية
    : 10.1.0.0/24
    عناوين IP vnet-learn-hub-eastus-001 مساحة عنوان IPv4: 10.2.0.0/16
    اسم الشبكة الفرعية: مساحة عنوان الشبكة الفرعية الافتراضية
    : 10.2.0.0/24

إنشاء شبكة فرعية لبوابة شبكة ظاهرية

إنشاء شبكة فرعية لبوابة شبكة ظاهرية في الشبكة الظاهرية للمركز. يتم استخدام هذه الشبكة الفرعية بواسطة بوابة الشبكة الظاهرية لتوجيه نسبة استخدام الشبكة من وإلى الشبكة الظاهرية.

  1. انتقل إلى الشبكة الظاهرية vnet-learn-hub-eastus-001 وحدد الشبكات الفرعية ضمن الإعدادات.

  2. حدد + شبكة فرعية لإنشاء شبكة فرعية جديدة.

  3. في صفحة إضافة شبكة فرعية ، أدخل المعلومات التالية أو حددها:

    Setting Value
    الغرض من الشبكة الفرعية حدد Virtual network gateway من القائمة المنسدلة.
    IPv4
    Size حدد /27 من القائمة المنسدلة.

  4. حدد إضافة وتحقق من إنشاء الشبكة الفرعية الجديدة.

Note

الشبكة الفرعية للبوابة هي شبكة فرعية خاصة تستخدمها بوابة الشبكة الظاهرية. يجب أن يكون حجم الشبكة الفرعية للبوابة /27 على الأقل. يجب ألا تتداخل مساحة العنوان للشبكة الفرعية للبوابة مع أي شبكات فرعية أخرى في الشبكة الظاهرية. يجب أن تكون مساحة العنوان للشبكة الفرعية للبوابة مجموعة فرعية من مساحة العنوان للشبكة الظاهرية. يجب أن تكون هذه الشبكة الفرعية للبوابة باسم GatewaySubnet. إذا لم تقم بتسمية الشبكة الفرعية GatewaySubnet، فلن تتمكن بوابة الشبكة الظاهرية من استخدامها.

توزيع بوابة شبكة ظاهرية

توزيع بوابة شبكة ظاهرية في شبكة الاتصال الظاهرية للمركز. بوابة الشبكة الظاهرية هذه ضرورية لمجموعات الشبكة المحورية لتكوين الاتصال لتمكين إعداد استخدام المركز كبوابة .

  1. حدد + إنشاء مورد ثم ابحث عن بوابة الشبكة الظاهرية. ثم حدد إنشاء لبدء تكوين بوابة الشبكة الظاهرية.

  2. في علامة التبويب الأساسيات ، أدخل الإعدادات التالية أو حددها:

    Setting Value
    Subscription حدد الاشتراك الذي تريد نشر هذه الشبكة الظاهرية فيه.
    Name أدخل gw-learn-hub-eastus-001 لاسم بوابة الشبكة الظاهرية.
    SKU حدد VpnGW1 لرمز التخزين التعريفي.
    Generation حدد الجيل 1 للجيل.
    الشبكة الظاهرية حدد vnet-learn-hub-eastus-001 للشبكة الظاهرية.
    عنوان IP العام
    اسم عنوان IP عام أدخل الاسم gwpip-learn-hub-eastus-001 لعنوان IP العام.
    عنوان IP العام الثاني
    اسم عنوان IP عام أدخل الاسم gwpip-learn-hub-eastus-002 لعنوان IP العام.

  3. حدد "مراجعة + إنشاء"، ثم حدد "إنشاء" بعد إتمام التحقق من الصحة. قد يستغرق توزيع بوابة شبكة ظاهرية حوالي 30 دقيقة. يمكنك الانتقال إلى المقطع التالي أثناء انتظار اكتمال هذا التوزيع. ومع ذلك، قد تجد أن gw-learn-hub-eastus-001 لا يعرض أنه يحتوي على بوابة بسبب التوقيت والمزامنة عبر مدخل Microsoft Azure.

إنشاء مجموعة شبكة

Note

يفترض هذا الدليل الإرشادي أنك أنشأت مثيل Azure Virtual Network Manager باستخدام دليل التشغيل السريع . تسمى مجموعة الشبكة في هذا البرنامج التعليمي ng-learn-prod-eastus-001.

  1. استعرض وصولا إلى مجموعة الموارد الخاصة بك، وحدد مورد مدير الشبكة .

  2. ضمن الإعدادات، حدد مجموعات الشبكة. ثم حدد + إنشاء.

  3. في جزء Create a network group ، ثم حدد Create:

    Setting Value
    Name أدخل network-group.
    Description (اختياري) توفير وصف حول مجموعة الشبكة هذه.
    نوع العضو حدد الشبكة الظاهرية من القائمة المنسدلة.

  4. تأكد من إدراج مجموعة الشبكة الجديدة الآن في جزء مجموعات الشبكة .

تعريف عضوية المجموعة الديناميكية باستخدام نهج Azure

  1. من قائمة مجموعات الشبكة، حدد ng-learn-prod-eastus-001. ضمن Create policy لإضافة الأعضاء ديناميكيا، حدد Create Azure Policy.

  2. في صفحة Create Azure Policy ، حدد المعلومات التالية أو أدخلها:

    لقطة شاشة لإنشاء علامة تبويب عبارات شرطية لمجموعة شبكة الاتصال.

    Setting Value
    اسم السياسة أدخل azpol-learn-prod-eastus-001 في مربع النص.
    Scope حدد تحديد النطاقات واختر اشتراكك الحالي.
    Criteria
    Parameter حدد الاسم من القائمة المنسدلة.
    Operator حدد يحتوي من القائمة المنسدلة.
    Condition أدخل -prod للشرط في مربع النص.

  3. حدد معاينة الموارد لعرض جزء الشبكات الظاهرية الفعالة وحدد إغلاق. تعرض هذه الصفحة الشبكات الظاهرية التي ستتم إضافتها إلى مجموعة الشبكة استنادا إلى الشروط المحددة في نهج Azure.

  4. حدد حفظ لنشر عضوية المجموعة. قد يستغرق تطبيق النهج ما يصل إلى دقيقة واحدة وإضافته إلى مجموعة الشبكة.

  5. في صفحة مجموعة الشبكة ضمن الإعدادات، حدد أعضاء المجموعة لعرض عضوية المجموعة استنادا إلى الشروط المحددة في نهج Azure. المصدر مدرج على أنه azpol-learn-prod-eastus-001.

    لقطة شاشة لعضوية المجموعة الديناميكية ضمن عضوية المجموعة.

إنشاء تكوين اتصال محوري

  1. حدد التكوينات ضمن الإعدادات، ثم حدد + إنشاء.

  2. حدد تكوين الاتصال من القائمة المنسدلة لبدء إنشاء تكوين اتصال.

  3. في صفحة الأساسيات ، أدخل المعلومات التالية، وحدد التالي: مخطط >.

    Setting Value
    Name أدخل cc-learn-prod-eastus-001.
    Description (اختياري) قدم وصفا حول تكوين الاتصال هذا.

  4. في علامة التبويب المخطط ، حدد Hub and Spoke. هذا يكشف عن إعدادات أخرى.

  5. حدد Select a hub ضمن Hub setting. بعد ذلك، حدد vnet-learn-hub-eastus-001 ليكون بمثابة مركز التكوين الخاص بك وحدد تحديد.

    Note

    اعتمادا على توقيت النشر، قد لا ترى الشبكة الظاهرية للمركز الهدف على أنها تحتوي على بوابة ضمن بوابة لديها. ويرجع ذلك إلى نشر بوابة الشبكة الظاهرية. قد يستغرق النشر ما يصل إلى 30 دقيقة، وقد لا يتم عرضه على الفور في طرق عرض مدخل Microsoft Azure المختلفة.

  6. ضمن مجموعات شبكة Spoke، حدد + إضافة. بعد ذلك، حدد ng-learn-prod-eastus-001 كمجموعة شبكة محورية وحدد تحديد.

  7. بعد إضافة مجموعة الشبكة، حدد الخيارات التالية.

    لقطة شاشة لإعدادات تكوين مجموعة الشبكة.

    Setting Value
    الاتصال المباشر حدد خانة الاختيار تمكين الاتصال داخل مجموعة الشبكة. يسمح هذا الإعداد للشبكات الظاهرية لمجموعات الشبكة المحورية في نفس المنطقة بالاتصال ببعضها البعض مباشرة.
    شبكة عالمية اترك الخيار Enable mesh connectivity across regionsغير محدد. هذا الإعداد غير مطلوب لأن كلا الشبكتين الظاهريتين المحوريتين في نفس المنطقة.
    المركز كبوابة حدد خانة الاختيار ل Hub كبوابة.

  8. حدد Next: Review + create > ثم أنشئ تكوين الاتصال.

توزيع تكوين الاتصال

تأكد من أن بوابة الشبكة الظاهرية قد تم توزيعها بنجاح قبل توزيع تكوين الاتصال. إذا قمت بنشر تكوين لوحة الوصل والتحدث مع استخدام المركز كبوابة ممكنة ولا توجد بوابة، يفشل النشر. للمزيد من المعلومات، راجع استخدام المركز كبوابة.

  1. حدد Deployments ضمن Settings، ثم حدد Deploy configuration.

  2. حدد الإعدادات التالية:

    Setting Value
    Configurations حدد تضمين تكوينات الاتصال في حالة هدفك .
    تكوينات الاتصال حدد cc-learn-prod-eastus-001.
    المناطق المستهدفة حدد شرق الولايات المتحدة كمنطقة نشر.

  3. حدد التالي ثم حدد نشر لإكمال النشر.

  4. يتم عرض التوزيع في القائمة للمنطقة المحددة. قد يستغرق نشر التكوين بضع دقائق حتى يكتمل.

    لقطة شاشة لنشر التكوين في حالة التقدم.

إنشاء تكوين مسؤول أمان

  1. حدد التكوين ضمن الإعدادات مرة أخرى، ثم حدد + إنشاء، وحدد تكوين مسؤول الأمان من القائمة لبدء إنشاء تكوين مسؤول الأمان.

  2. أدخل الاسم sac-learn-prod-eastus-001 للتكوين، ثم حدد التالي: مجموعات القواعد.

  3. أدخل الاسم rc-learn-prod-eastus-001 لمجموعة القواعد وحدد ng-learn-prod-eastus-001 لمجموعة الشبكة المستهدفة. ثم حدد + إضافة.

  4. أدخل الإعدادات التالية وحددها، ثم حدد إضافة:

    لقطة شاشة لإضافة صفحة قاعدة وإعدادات القاعدة.

    Setting Value
    Name أدخل DENY_INTERNET
    Description أدخل هذه القاعدة تحظر حركة المرور إلى الإنترنت على HTTP وHTTPS
    Priority أدخل 1
    Action حدد رفض
    Direction حدد الصادر
    Protocol تحديد TCP
    Source
    نوع المصدر حدد IP
    مصدر عناوين IP أدخل *
    Destination
    نوع الوجهة حدد عناوين IP
    عناوين IP لموفر الوجهة أدخل *
    منفذ الوجهة أدخل 80 ، 443

  5. حدد إضافة لإضافة مجموعة القواعد إلى تكوين مسؤول الأمان.

  6. حدد Review + create and Create لإنشاء تكوين مسؤول الأمان.

نشر تكوين مسؤول الأمان

  1. حدد عمليات التوزيع ضمن الإعدادات، ثم حدد نشر التكوينات.

  2. ضمن التكوينات، حدد تضمين مسؤول الأمان في حالة هدفك وتكوين sac-learn-prod-eastus-001 الذي قمت بإنشائه في القسم الأخير. ثم حدد شرق الولايات المتحدة كمنطقة مستهدفة وحدد التالي.

  3. حدد التالي ثم نشر. يجب أن تشاهد الآن ظهور التوزيع في قائمة المنطقة المحددة. قد يستغرق نشر التكوين بضع دقائق حتى يكتمل.

التحقق من توزيع التكوينات

التحقق من شبكة ظاهرية

  1. انتقل إلى الشبكة الظاهرية vnet-learn-prod-eastus-001 وحدد إدارة الشبكة ضمن الإعدادات. تسرد علامة التبويب تكوينات الاتصالتكوين اتصال cc-learn-prod-eastus-001 المطبق في الشبكة الظاهرية.

    لقطة شاشة لتكوين الاتصال المطبق على الشبكة الظاهرية.

  2. حدد علامة التبويب Security admin configurations وقم بتوسيع Outbound لسرد قواعد مسؤول الأمان المطبقة على هذه الشبكة الظاهرية.

    لقطة شاشة لتكوين مسؤول الأمان المطبق على الشبكة الظاهرية.

  3. انتقل إلى vnet-learn-hub-eastus-001 وحدد التناظر ضمن الإعدادات لسرد نظائر الشبكة الظاهرية التي تم إنشاؤها بواسطة Azure Virtual Network Manager. يبدأ اسمها ب ANM_.

    لقطة شاشة لنظيرات الشبكة الظاهرية التي أنشأها Azure Virtual Network Manager.

التحقق من جهاز ظاهري

  1. نشر جهاز ظاهري تجريبي في vnet-learn-prod-eastus-001.

  2. انتقل إلى الجهاز الظاهري التجريبي الذي تم إنشاؤه في vnet-learn-prod-eastus-001 وحدد الشبكات ضمن الإعدادات. حدد قواعد المنفذ الصادر وتحقق من تطبيق قاعدة DENY_INTERNET .

    لقطة شاشة لاختبار قواعد أمان الشبكة الخاصة بالجهاز الظاهري.

  3. حدد اسم واجهة الشبكة وحدد المسارات الفعالة ضمن تعليمات للتحقق من مسارات تناظر الشبكة الظاهرية. المسار 10.2.0.0/16 مع نوعVNet peering الوثب التالي هو المسار إلى الشبكة الظاهرية للمركز.

تنظيف الموارد

إذا لم تعد بحاجة إلى Azure Virtual Network Manager، فستحتاج إلى التأكد من صحة كل ما يلي قبل أن تتمكن من حذف المورد:

  • لا توجد عمليات نشر التكوينات إلى أي منطقة.
  • تم حذف كافة التكوينات.
  • تم حذف كافة مجموعات شبكة الاتصال.

استخدم قائمة اختيار إزالة المكونات للتأكد من عدم توفر أي موارد تابعة قبل حذف مجموعة الموارد.

الخطوات التالية

تعرف على كيفية حظر حركة مرور الشبكة باستخدام تكوين مسؤول أمان.

  • Last updated on