Share via

البرنامج التعليمي: إنشاء شبكة نظام محوري آمن

  • مقالة

في هذا البرنامج التعليمي، يمكنك إنشاء طوبولوجيا شبكة محورية ومركز باستخدام Azure Virtual Network Manager. ثم تقوم بنشر بوابة شبكة ظاهرية في الشبكة الظاهرية المركزية للسماح للموارد في الشبكات الظاهرية المحورية بالاتصال بالشبكات البعيدة باستخدام VPN. أيضا، يمكنك تكوين تكوين أمان لمنع حركة مرور الشبكة الصادرة إلى الإنترنت على المنفذين 80 و443. وأخيرا، تحقق من تطبيق التكوينات بشكل صحيح من خلال النظر في إعدادات الشبكة الظاهرية والجهاز الظاهري.

هام

يتوفر Azure Virtual Network Manager بشكل عام لتكوينات اتصال النظام المحوري وتكوينات الأمان مع قواعد مسؤول الأمان. تظل تكوينات اتصال الشبكة في المعاينة العامة.

يتم توفير إصدار المعاينة هذا دون اتفاقية مستوى الخدمة، ولا يوصى به لأحمال العمل الخاصة بالإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة. لمزيد من المعلومات، راجع ⁧⁩شروط الاستخدام التكميلية لمعاينات Microsoft Azure⁧⁩.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إنشاء شبكات ظاهرية متعددة.
  • نشر بوابة شبكة ظاهرية.
  • إنشاء مخطط شبكة نظام محوري.
  • إنشاء تكوين أمان حظر حركة المرور على المنفذ 80 و443.
  • تم تطبيق تكوينات التحقق.

رسم تخطيطي لمكونات المخطط المحوري والمركز الآمن.

المتطلب الأساسي

  • حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
  • قبل أن تتمكن من إكمال الخطوات في هذا البرنامج التعليمي، يجب عليك أولاً إنشاء واجهة أمامية. يحتاج المثيل إلى تضمين ميزات مسؤول الاتصال والأمان. استخدم هذا البرنامج التعليمي مثيل إدارة الشبكة الظاهرية المسمى vnm-learn-eastus-001.

إنشاء الشبكات الظاهرية.

يرشدك هذا الإجراء من خلال إنشاء ثلاث شبكات ظاهرية سيتم توصيلها باستخدام تخطيط شبكة النظام المحوري.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد + إنشاء مورد وابحث عن الشبكة الظاهرية. ثم حدد إنشاء لبدء تكوين الشبكة الظاهرية.

  3. في علامة التبويب "Basics"، أدخل المعلومات التالية أو حددها:

    لقطة شاشة لعلامة التبويب الأساسيات لشبكة افتراضية لنظام محوري.

    الإعداد القيمة‬
    الاشتراك حدد الاشتراك الذي تريد نشر هذه الشبكة الظاهرية فيه.
    مجموعة الموارد حدد أو قم بإنشاء مجموعة موارد جديدة لتخزين الشبكة الظاهرية. يستخدم هذا التشغيل السريع مجموعة موارد تسمى rg-learn-eastus-001.
    الاسم أدخل vnet-learn-prod-eastus-001 لاسم الشبكة الظاهرية.
    المنطقة حدد منطقة شرق الولايات المتحدة.

  4. حدد Next: IP Addresses وقم بتكوين مساحة عنوان الشبكة التالية:

    لقطة شاشة لعلامة تبويب عناوين IP لإنشاء شبكة ظاهرية لنظام محوري.

    الإعداد القيمة‬
    مساحة العنوان IPv4 أدخل 10.0.0.0/16 كمساحة العنوان.
    اسم الشبكة الفرعية أدخل الاسم الافتراضي للشبكة الفرعية.
    مساحة عنوان الشبكة الفرعية أدخل مساحة عنوان الشبكة الفرعية 10.0.0.0/24.

  5. حدد مراجعة + إنشاء ثم حدد إنشاء لتوزيع الشبكة الظاهرية.

  6. كرر الخطوات من 2 إلى 5 لإنشاء شبكتين ظاهريتين في نفس مجموعة الموارد بالمعلومات التالية:

    الإعداد القيمة‬
    الاشتراك حدد نفس الاشتراك الذي حددته في الخطوة 3.
    مجموعة الموارد حدد rg-learn-eastus-001.
    الاسم أدخل vnet-learn-prod-eastus-002 وvnet-learn-hub-eastus-001 للشبكتين الظاهريتين.
    المنطقة حدّد (الولايات المتحدة) شرق الولايات المتحدة
    عناوين IP vnet-learn-prod-eastus-002 مساحة عنوان IPv4: 10.1.0.0/16
    اسم الشبكة الفرعية: مساحة عنوان الشبكة الفرعية الافتراضية
    : 10.1.0.0/24
    عناوين IP vnet-learn-hub-eastus-001 مساحة عنوان IPv4: 10.2.0.0/16
    اسم الشبكة الفرعية: مساحة عنوان الشبكة الفرعية الافتراضية
    : 10.2.0.0/24

توزيع بوابة شبكة ظاهرية

توزيع بوابة شبكة ظاهرية في شبكة الاتصال الظاهرية للمركز. شبكة الشبكة الظاهرية هذه ضرورية للأنظمة إلى استخدام مركز كإعداد بوابة.

  1. حدد + إنشاء مورد ثم ابحث عن بوابة الشبكة الظاهرية. ثم حدد إنشاء لبدء تكوين بوابة الشبكة الظاهرية.

  2. في علامة التبويب الأساسيات، أدخل الإعدادات التالية أو حددها:

    لقطة شاشة لإنشاء علامة التبويب أساسيات بوابة الشبكة الظاهرية.

    الإعداد القيمة‬
    الاشتراك حدد الاشتراك الذي تريد نشر هذه الشبكة الظاهرية فيه.
    الاسم أدخل gw-learn-hub-eastus-001 لاسم بوابة الشبكة الظاهرية.
    وحدة حفظ المخزون SKU حدد VpnGW1 ل SKU.
    الجيل حدد Generation1 للجيل.
    الشبكة الظاهرية حدد vnet-learn-hub-eastus-001 للشبكة الظاهرية.
    عنوان IP العام
    اسم عنوان IP عام أدخل اسم gwpip-learn-hub-eastus-001 ل IP العام.
    عنوان IP العام الثاني
    اسم عنوان IP عام أدخل اسم gwpip-learn-hub-eastus-002 ل IP العام.

  3. حدد "مراجعة + إنشاء"، ثم حدد "إنشاء" بعد إتمام التحقق من الصحة. قد يستغرق توزيع بوابة شبكة ظاهرية حوالي 30 دقيقة. يمكنك الانتقال إلى المقطع التالي أثناء انتظار اكتمال هذا التوزيع. ومع ذلك، قد تجد أن gw-learn-hub-eastus-001 لا يعرض أن لديه بوابة بسبب التوقيت والمزامنة عبر مدخل Azure.

إنشاء مجموعة شبكة ديناميكية

  1. انتقل إلى مثيل Virtual Network Manager لـ Azure. يفترض هذا البرنامج التعليمي أنك أنشأت واحداً باستخدام دليل التشغيل السريع. تسمى مجموعة الشبكة في هذا البرنامج التعليمي ng-learn-prod-eastus-001.

  2. حدد مجموعات الشبكة ضمن الإعدادات، ثم حدد + إنشاء لإنشاء مجموعة شبكة جديدة.

    لقطة شاشة لإضافة زر مجموعة شبكة.

  3. في شاشة إنشاء مجموعة شبكة، أدخل المعلومات التالية:

    لقطة شاشة لعلامة التبويب

    الإعداد القيمة‬
    الاسم أدخل ng-learn-prod-eastus-001 لاسم مجموعة الشبكة.
    ‏‏الوصف تقديم وصف حول مجموعة الشبكة هذه.

  4. حدد Create لإنشاء مجموعة الشبكة الظاهرية.

  5. من صفحة مجموعات الشبكة، حدد مجموعة الشبكة التي تم إنشاؤها من الأعلى لتكوين مجموعة الشبكة.

  6. في صفحة Overview ، حدد Create Azure Policy ضمن Create policy لإضافة الأعضاء ديناميكيا.

    لقطة شاشة لزر العضوية الديناميكية المحدد.

  7. في صفحة Create Azure Policy ، حدد المعلومات التالية أو أدخلها:

    لقطة شاشة لإنشاء علامة تبويب عبارات شرطية لمجموعة شبكة الاتصال.

    الإعداد القيمة‬
    اسم السياسة أدخل azpol-learn-prod-eastus-001 في مربع النص.
    النطاق حدد تحديد النطاقات واختر اشتراكك الحالي.
    المعايير
    المعلمة‬ حدد Name من القائمة المنسدلة.
    عامل تشغيل حدد Contains من القائمة المنسدلة.
    الشرط أدخل -prod للشرط في مربع النص.

  8. حدد معاينة الموارد لعرض صفحة الشبكات الظاهرية الفعالة وحدد إغلاق. تعرض هذه الصفحة الشبكات الظاهرية التي ستتم إضافتها إلى مجموعة الشبكة استنادا إلى الشروط المحددة في نهج Azure.

    لقطة شاشة لصفحة الشبكات الظاهرية الفعالة مع نتائج العبارة الشرطية.

  9. حدد حفظ لنشر عضوية المجموعة. قد يستغرق تطبيق النهج ما يصل إلى دقيقة واحدة وإضافته إلى مجموعة الشبكة.

  10. في صفحة مجموعة الشبكة ضمن الإعدادات، حدد أعضاء المجموعة لعرض عضوية المجموعة استنادا إلى الشروط المحددة في نهج Azure. يتم سرد المصدر باسم azpol-learn-prod-eastus-001.

    لقطة شاشة لعضوية المجموعة الديناميكية ضمن عضوية المجموعة.

إنشاء تكوين اتصال للنظام المحوري

  1. حدد Configurations ضمن الإعدادات، ثم حدد + Create.

  2. حدد الاتصال ivity configuration من القائمة المنسدلة لبدء إنشاء تكوين اتصال.

  3. في صفحة Basics ، أدخل المعلومات التالية، وحدد Next: Topology >.

    لقطة شاشة لإضافة صفحة تكوين اتصال.

    الإعداد القيمة‬
    الاسم أدخل cc-learn-prod-eastus-001.
    ‏‏الوصف (اختياري) توفير وصف حول تكوين الاتصال هذا.

  4. في علامة التبويب تخطيط الشبكة ، حدد Hub and Spoke. هذا يكشف عن إعدادات أخرى.

    لقطة شاشة لتحديد لوحة وصل لتكوين الاتصال.

  5. حدد Select a hub ضمن Hub setting. ثم حدد vnet-learn-hub-eastus-001 ليكون بمثابة مركز الشبكة وحدد Select.

    لقطة شاشة لتحديد تكوين المركز.

    إشعار

    اعتمادا على توقيت النشر، قد لا ترى المركز الظاهري الهدف متصلا بشبكة كما هو الحال مع بوابة ضمن Has gateway. ويرجع ذلك إلى نشر بوابة الشبكة الظاهرية. قد يستغرق النشر ما يصل إلى 30 دقيقة، وقد لا يتم عرضه على الفور في طرق عرض مدخل Microsoft Azure المختلفة.

  6. ضمن مجموعات شبكة Spoke، حدد + إضافة. ثم حدد ng-learn-prod-eastus-001 لمجموعة الشبكة وحدد Select.

    لقطة شاشة لصفحة Add network groups.

  7. بعد إضافة مجموعة الشبكة، حدد الخيارات التالية. ثم حدد إضافة لإنشاء تكوين الاتصال.

    لقطة شاشة لإعدادات تكوين مجموعة الشبكة.

    الإعداد القيمة‬
    الاتصال المباشرة حدد خانة الاختيار تمكين الاتصال داخل مجموعة الشبكة. يسمح هذا الإعداد للشبكات الظاهرية المحورية في مجموعة الشبكة في نفس المنطقة بالاتصال ببعضها البعض مباشرة.
    شبكة عالمية اترك الخيار Enable mesh connectivity across regions غير محدد. هذا الإعداد غير مطلوب لأن كلا المتحدثين موجودان في نفس المنطقة
    المركز كبوابة حدد خانة الاختيار ل Hub كبوابة.

  8. حدد Next: Review + create > ثم أنشئ تكوين الاتصال.

توزيع تكوين الاتصال

تأكد من أن بوابة الشبكة الظاهرية قد تم توزيعها بنجاح قبل توزيع تكوين الاتصال. إذا قمت بنشر تكوين لوحة الوصل والتحدث مع استخدام المركز كبوابة ممكنة ولا توجد بوابة، يفشل النشر. للمزيد من المعلومات، راجع استخدام المركز كبوابة.

  1. حدد Deployments ضمن الإعدادات، ثم حدد Deploy configuration.

    لقطة شاشة لصفحة عمليات النشر في Network Manager.

  2. حدد الإعدادات التالية:

    لقطة شاشة لتوزيع صفحة تكوين.

    الإعداد القيمة‬
    تكوينات حدد تضمين تكوينات الاتصال في حالة هدفك .
    تكوينات الاتصال ivity حدد cc-learn-prod-eastus-001.
    المناطق المستهدفة حدد شرق الولايات المتحدة كمنطقة توزيع.

  3. حدد Next ثم حدد Deploy لإكمال النشر.

    لقطة شاشة لرسالة تأكيد التوزيع.

  4. يتم عرض التوزيع في القائمة للمنطقة المحددة. قد يستغرق نشر التكوين بضع دقائق حتى يكتمل.

    لقطة شاشة لنشر التكوين في حالة التقدم.

إنشاء تكوين مسؤول أمان

  1. حدد Configuration ضمن الإعدادات مرة أخرى، ثم حدد + Create، وحدد Security مسؤول من القائمة لبدء إنشاء تكوين Security مسؤول.

  2. أدخل الاسم sac-learn-prod-eastus-001 للتكوين، ثم حدد Next: Rule collections.

    لقطة شاشة لصفحة تكوين مسؤول الأمان.

  3. أدخل الاسم rc-learn-prod-eastus-001 لمجموعة القواعد وحدد ng-learn-prod-eastus-001 لمجموعة الشبكة المستهدفة. ثم حدد + إضافة.

    لقطة شاشة لإضافة صفحة مجموعة قواعد.

  4. أدخل الإعدادات التالية وحددها، ثم حدد إضافة:

    لقطة شاشة لإضافة صفحة قاعدة وإعدادات القاعدة.

    الإعداد القيمة‬
    الاسم أدخل DENY_INTERNET
    ‏‏الوصف أدخل هذه القاعدة تحظر حركة المرور إلى الإنترنت على HTTP وHTTPS
    أولوية أدخِل 1
    الإجراء حدد رفض
    الاتجاه تحديد الصادر
    البروتوكول تحديد TCP
    Source
    نوع المصدر تحديد IP
    مصدر عناوين IP أدخل *
    الوجهه
    نوع الوجهة تحديد عناوين IP
    عناوين IP لموفر الوجهة أدخل *
    منفذ الوجهة أدخل 80، 443

  5. حدد Add لإضافة مجموعة القواعد إلى التكوين.

    لقطة شاشة لزر الحفظ لمجموعة قواعد.

  6. حدد Review + create and Create لإنشاء تكوين مسؤول الأمان.

نشر تكوين مسؤول الأمان

  1. حدد Deployments ضمن الإعدادات، ثم حدد Deploy configurations.

  2. ضمن التكوينات، حدد تضمين مسؤول الأمان في حالة هدفك وتكوين sac-learn-prod-eastus-001 الذي أنشأته في القسم الأخير. ثم حدد شرق الولايات المتحدة كمنطقة مستهدفة وحدد التالي.

    لقطة شاشة لتوزيع تكوين أمان.

  3. حدد Next ثم Deploy. يجب أن تشاهد الآن ظهور التوزيع في قائمة المنطقة المحددة. قد يستغرق نشر التكوين بضع دقائق حتى يكتمل.

التحقق من توزيع التكوينات

التحقق من شبكة ظاهرية

  1. انتقل إلى الشبكة الظاهرية vnet-learn-prod-eastus-001 وحدد Network Manager ضمن الإعدادات. تسرد علامة التبويب تكوينات الاتصال ivity تكوين اتصال cc-learn-prod-eastus-001 المطبق في الشبكة الظاهرية

    لقطة شاشة لتكوين الاتصال المطبق على الشبكة الظاهرية.

  2. حدد علامة التبويب Security admin configurations وقم بتوسيع Outbound لسرد قواعد مسؤول الأمان المطبقة على هذه الشبكة الظاهرية.

    لقطة شاشة لتكوين مسؤول الأمان المطبق على الشبكة الظاهرية.

  3. حدد Peerings ضمن الإعدادات لسرد نظيرات الشبكة الظاهرية التي تم إنشاؤها بواسطة Virtual Network Manager. يبدأ اسمه ANM_.

    لقطة شاشة لأقران الشبكة الظاهرية التي تم إنشاؤها بواسطة Virtual Network Manager.

التحقق من جهاز ظاهري

  1. نشر جهاز ظاهري تجريبي في vnet-learn-prod-eastus-001.

  2. انتقل إلى اختبار الجهاز الظاهري الذي تم إنشاؤه في vnet-learn-prod-eastus-001 وحدد Networking ضمن الإعدادات. حدد قواعد المنفذ الصادر وتحقق من تطبيق قاعدة DENY_INTERNET .

    لقطة شاشة لاختبار قواعد أمان الشبكة الخاصة بالجهاز الظاهري.

  3. حدد اسم واجهة الشبكة وحدد المسارات الفعالة ضمن تعليمات للتحقق من المسارات لنظيرات الشبكة الظاهرية. المسار 10.2.0.0/16 مع نوعVNet peering الوثب التالي هو المسار إلى الشبكة الظاهرية للمركز.

    لقطة شاشة للمسارات الفعالة من

تنظيف الموارد

إذا لم تعد بحاجة إلى Azure Virtual Network Manager، فستحتاج إلى التأكد من صحة كل ما يلي قبل أن تتمكن من حذف المورد:

  • لا توجد عمليات نشر التكوينات إلى أي منطقة.
  • تم حذف كافة التكوينات.
  • تم حذف كافة مجموعات شبكة الاتصال.

استخدم قائمة اختيار إزالة المكونات للتأكد من عدم توفر موارد تابعة قبل حذف مجموعة الموارد.

الخطوات التالية

تعرف على كيفية حظر حركة مرور الشبكة باستخدام تكوين مسؤول أمان.