Kurz: Vytvoření zabezpečené hvězdicové sítě

  • Článek

V tomto kurzu vytvoříte hvězdicovou síťovou topologii pomocí Azure Virtual Network Manageru. Pak nasadíte bránu virtuální sítě v centrální virtuální síti, která umožní prostředkům v paprskových virtuálních sítích komunikovat se vzdálenými sítěmi pomocí sítě VPN. Nakonfigurujete také konfiguraci zabezpečení, která blokuje odchozí síťový provoz na internetu na portech 80 a 443. Nakonec ověříte, že se konfigurace správně použily, a to tak, že se podíváte na nastavení virtuální sítě a virtuálního počítače.

Důležité

Azure Virtual Network Manager je obecně dostupný pro Virtual Network Manager, konfigurace připojení hvězdicové architektury a konfigurace zabezpečení s pravidly správce zabezpečení. Konfigurace připojení sítě zůstávají ve verzi Public Preview.

Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

V tomto kurzu se naučíte:

  • Vytvořte několik virtuálních sítí.
  • Nasaďte bránu virtuální sítě.
  • Vytvořte hvězdicovou síťovou topologii.
  • Vytvořte konfiguraci zabezpečení, která blokuje provoz na portu 80 a 443.
  • Ověřte, že byly použity konfigurace.

Diagram komponent zabezpečené hvězdicové topologie

Požadavek

Vytvoření virtuálních sítí

Tento postup vás provede vytvořením tří virtuálních sítí, které budou připojeny pomocí hvězdicové síťové topologie.

  1. Přihlaste se k portálu Azure.

  2. Vyberte + Vytvořit prostředek a vyhledejte virtuální síť. Potom výběrem možnosti Vytvořit zahájíte konfiguraci virtuální sítě.

  3. Na kartě Základy zadejte nebo vyberte následující informace:

    Snímek obrazovky s kartou Základy pro hvězdicovou virtuální síť

    Nastavení Hodnota
    Předplatné Vyberte předplatné, do kterého chcete tuto virtuální síť nasadit.
    Skupina prostředků Vyberte nebo vytvořte novou skupinu prostředků pro uložení virtuální sítě. V tomto rychlém startu se používá skupina prostředků s názvem rg-learn-eastus-001.
    Název Jako název virtuální sítě zadejte vnet-learn-prod-eastus-001 .
    Oblast Vyberte oblast USA – východ.

  4. Vyberte Další: IP adresy a nakonfigurujte následující adresní prostor sítě:

    Snímek obrazovky s kartou IP adres pro hvězdicovou virtuální síť

    Nastavení Hodnota
    Adresní prostor IPv4 Jako adresní prostor zadejte 10.0.0.0/16 .
    Název podsítě Zadejte výchozí název podsítě.
    Adresní prostor podsítě Zadejte adresní prostor podsítě 10.0.0.0/24.

  5. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit a nasaďte virtuální síť.

  6. Opakováním kroků 2 až 5 vytvořte do stejné skupiny prostředků dvě virtuální sítě s následujícími informacemi:

    Nastavení Hodnota
    Předplatné Vyberte stejné předplatné, které jste vybrali v kroku 3.
    Skupina prostředků Vyberte rg-learn-eastus-001.
    Název Zadejte vnet-learn-prod-eastus-002 a vnet-learn-hub-eastus-001 pro dvě virtuální sítě.
    Oblast Výběr (USA) – východ USA
    IP adresy vnet-learn-prod-eastus-002 Adresní prostor IPv4: 10.1.0.0/16
    Název podsítě: výchozí
    adresní prostor podsítě: 10.1.0.0/24
    IP adresy vnet-learn-hub-eastus-001 Adresní prostor IPv4: 10.2.0.0/16
    Název podsítě: výchozí
    adresní prostor podsítě: 10.2.0.0/24

Nasazení brány virtuální sítě

Nasaďte bránu virtuální sítě do centrální virtuální sítě. Tato brána virtuální sítě je nezbytná, aby paprsky používaly centrum jako nastavení brány .

  1. Vyberte + Vytvořit prostředek a vyhledejte bránu virtuální sítě. Pak vyberte Vytvořit a začněte konfigurovat bránu virtuální sítě.

  2. Na kartě Základy zadejte nebo vyberte následující nastavení:

    Snímek obrazovky s kartou Základy vytvoření brány virtuální sítě

    Nastavení Hodnota
    Předplatné Vyberte předplatné, do kterého chcete tuto virtuální síť nasadit.
    Název Jako název brány virtuální sítě zadejte gw-learn-hub-eastus-001 .
    Skladová jednotka (SKU) Jako skladovou položku vyberte VpnGW1 .
    Generace Vyberte generaci 1 . generace.
    Virtuální síť Vyberte virtuální síť vnet-learn-hub-eastus-001.
    Veřejná IP adresa
    Název veřejné IP adresy Zadejte název gwpip-learn-hub-eastus-001 pro veřejnou IP adresu.
    DRUHÁ VEŘEJNÁ IP ADRESA
    Název veřejné IP adresy Zadejte název gwpip-learn-hub-eastus-002 pro veřejnou IP adresu.

  3. Vyberte Zkontrolovat a vytvořit a potom vyberte Vytvořit po ověření. Nasazení brány virtuální sítě může trvat přibližně 30 minut. Během čekání na dokončení tohoto nasazení můžete přejít k další části. Možná ale zjistíte , že gw-learn-hub-eastus-001 nezobrazuje bránu kvůli načasování a synchronizaci na webu Azure Portal.

Vytvoření dynamické skupiny sítě

  1. Přejděte do vaší instance Azure Virtual Network Manageru. V tomto kurzu se předpokládá, že jste ho vytvořili pomocí příručky pro rychlý start . Skupina sítí v tomto kurzu se nazývá ng-learn-prod-eastus-001.

  2. V části Nastavení vyberte Skupiny sítě a pak vyberte + Vytvořit a vytvořte novou skupinu sítě.

    Snímek obrazovky s tlačítkem přidat skupinu sítě

  3. Na obrazovce Vytvořit skupinu sítě zadejte následující informace:

    Snímek obrazovky s kartou Základy na stránce Vytvořit skupinu sítě

    Nastavení Hodnota
    Name Jako název skupiny sítě zadejte ng-learn-prod-eastus-001 .
    Popis Zadejte popis této skupiny sítě.

  4. Výběrem možnosti Vytvořit vytvořte skupinu virtuální sítě.

  5. Na stránce Skupiny sítí vyberte vytvořenou síťovou skupinu z výše uvedené skupiny a nakonfigurujte ji.

  6. Na stránce Přehled vyberte v části Vytvořit zásadu Vytvořit zásadu, abyste mohli dynamicky přidávat členy.

    Snímek obrazovky s tlačítkem definovaného dynamického členství

  7. Na stránce Vytvořit azure Policy vyberte nebo zadejte následující informace:

    Snímek obrazovky s kartou Vytvořit podmíněné příkazy skupiny sítě

    Nastavení Hodnota
    Název zásady Do textového pole zadejte azpol-learn-prod-eastus-001 .
    Obor Vyberte Vybrat obory a zvolte aktuální předplatné.
    Kritéria
    Parametr V rozevíracím seznamu vyberte Název .
    Operátor V rozevíracím seznamu vyberte Contains (Obsahuje ).
    Podmínka Do textového pole zadejte -pro podmínku.

  8. Výběrem možnosti Náhled prostředků zobrazíte stránku Efektivní virtuální sítě a vyberete Zavřít. Tato stránka zobrazuje virtuální sítě, které se přidají do skupiny sítí na základě podmínek definovaných ve službě Azure Policy.

    Snímek obrazovky se stránkou Efektivní virtuální sítě s výsledky podmíněného příkazu

  9. Výběrem možnosti Uložit nasadíte členství ve skupině. Může trvat až jednu minutu, než se zásada projeví a přidá se do vaší skupiny sítě.

  10. Na stránce Skupina sítě v části Nastavení vyberte Členy skupiny, abyste zobrazili členství ve skupině na základě podmínek definovaných ve službě Azure Policy. Zdroj je uvedený jako azpol-learn-prod-eastus-001.

    Snímek obrazovky s dynamickým členstvím ve skupině v části Členství ve skupině

Vytvoření konfigurace připojení centra a paprsku

  1. V části Nastavení vyberte Konfigurace a pak vyberte + Vytvořit.

  2. V rozevírací nabídce vyberte konfiguraci Připojení ivity a začněte vytvářet konfiguraci připojení.

  3. Na stránce Základy zadejte následující informace a vyberte Další: Topologie >.

    Snímek obrazovky s přidáním stránky konfigurace připojení

    Nastavení Hodnota
    Name Zadejte cc-learn-prod-eastus-001.
    Popis (Volitelné) Zadejte popis této konfigurace připojení.

  4. Na kartě Topologie vyberte Centrum a paprsky. Tím se zobrazí další nastavení.

    Snímek obrazovky s výběrem centra pro konfiguraci připojení

  5. V části Nastavení centra vyberte vybrat centrum. Pak vyberte vnet-learn-hub-eastus-001, aby sloužil jako vaše síťové centrum, a vyberte Vybrat.

    Snímek obrazovky s výběrem konfigurace centra

    Poznámka:

    V závislosti na načasování nasazení se nemusí zobrazit virtuální síť cílového centra jako brána v části Má brána. Důvodem je nasazení brány virtuální sítě. Nasazení může trvat až 30 minut a nemusí se okamžitě zobrazit v různých zobrazeních webu Azure Portal.

  6. V části Skupiny sítě Paprsky vyberte + přidat. Pak pro skupinu sítí vyberte ng-learn-prod-eastus-001 a vyberte Vybrat.

    Snímek obrazovky se stránkou Přidat skupiny sítě

  7. Po přidání skupiny sítě vyberte následující možnosti. Potom výběrem možnosti Přidat vytvořte konfiguraci připojení.

    Snímek obrazovky s nastavením konfigurace skupiny sítě

    Nastavení Hodnota
    Přímá Připojení ivity Zaškrtněte políčko Povolit připojení v rámci skupiny sítí. Toto nastavení umožňuje paprskovým virtuálním sítím ve skupině sítě ve stejné oblasti komunikovat mezi sebou přímo.
    Global Mesh Možnost Povolit síťové připojení mezi oblastmiponechte nezaškrtnutou. Toto nastavení se nevyžaduje, protože oba paprsky jsou ve stejné oblasti.
    Centrum jako brána Zaškrtněte políčko pro Centrum jako bránu.

  8. Vyberte Další: Zkontrolujte a vytvořte > konfiguraci připojení.

Nasazení konfigurace připojení

Před nasazením konfigurace připojení se ujistěte, že se brána virtuální sítě úspěšně nasadila. Pokud nasadíte konfiguraci centra a paprsku s povoleným centrem Použít centrum jako bránu a neexistuje žádná brána, nasazení selže. Další informace najdete v tématu Použití centra jako brány.

  1. V části Nastavení vyberte Nasazení a pak vyberte Nasadit konfiguraci.

    Snímek obrazovky se stránkou nasazení ve Správci sítě

  2. Vyberte následující nastavení:

    Snímek obrazovky se stránkou nasazení konfigurace

    Nastavení Hodnota
    Konfigurace Ve vašem cílovém stavu vyberte Zahrnout konfigurace připojení.
    konfigurace Připojení ivity Vyberte cc-learn-prod-eastus-001.
    Cílové oblasti Jako oblast nasazení vyberte USA – východ.

  3. Vyberte Další a pak výběrem možnosti Nasadit dokončete nasazení.

    Snímek obrazovky s potvrzovací zprávou o nasazení

  4. Nasazení se zobrazí v seznamu pro vybranou oblast. Dokončení nasazení konfigurace může trvat několik minut.

    Snímek obrazovky s probíhajícím stavem nasazení konfigurace

Vytvoření konfigurace správce zabezpečení

  1. V části Nastavení znovu vyberte Možnost Konfigurace a pak vyberte Vytvořit a v nabídce vyberte Zabezpečení Správa a začněte vytvářet konfiguraci Zabezpečení Správa.

  2. Zadejte název sac-learn-prod-eastus-001 pro konfiguraci a pak vyberte Další: Kolekce pravidel.

    Snímek obrazovky se stránkou konfigurace Správa zabezpečení

  3. Zadejte název rc-learn-prod-eastus-001 pro kolekci pravidel a jako cílovou skupinu sítě vyberte ng-learn-prod-eastus-001 . Pak vyberte + Přidat.

    Snímek obrazovky se stránkou pro přidání kolekce pravidel

  4. Zadejte a vyberte následující nastavení a pak vyberte Přidat:

    Snímek obrazovky s přidáním stránky pravidla a nastavení pravidla

    Nastavení Hodnota
    Name Zadejte DENY_INTERNET
    Popis Zadejte toto pravidlo, které blokuje provoz na internetu na http a HTTPS.
    Priorita Enter 1
    Akce Výběr možnosti Odepřít
    Směr Výběr odchozích přenosů
    Protokol Vyberte TCP.
    Source
    Source type Vyberte IP adresu.
    Zdrojové IP adresy Zadejte *
    Cíl
    Typ cíle Výběr IP adres
    Cílové IP adresy Zadejte *
    Cílový port Zadejte 80, 443

  5. Výběrem možnosti Přidat přidáte kolekci pravidel do konfigurace.

    Snímek obrazovky s tlačítkem Uložit pro kolekci pravidel

  6. Vyberte Zkontrolovat a vytvořit avytvořit konfiguraci správce zabezpečení.

Nasazení konfigurace správce zabezpečení

  1. V části Nastavení vyberte Nasazení a pak vyberte Nasadit konfigurace.

  2. V části Konfigurace vyberte Zahrnout správce zabezpečení ve vašem cílovém stavu a konfiguraci sac-learn-prod-eastus-001 , kterou jste vytvořili v poslední části. Pak jako cílovou oblast vyberte USA – východ a vyberte Další.

    Snímek obrazovky s nasazením konfigurace zabezpečení

  3. Vyberte Další a pak Nasadit. Nasazení by se teď mělo zobrazit v seznamu pro vybranou oblast. Dokončení nasazení konfigurace může trvat několik minut.

Ověření nasazení konfigurací

Ověření z virtuální sítě

  1. Přejděte na virtuální síť vnet-learn-prod-eastus-001 a v části Nastavení vyberte Správce sítě. Karta konfigurace Připojení ivity uvádí konfiguraci připojení cc-learn-prod-eastus-001 použitou ve virtuální síti.

    Snímek obrazovky s konfigurací připojení použitou pro virtuální síť

  2. Vyberte kartu Konfigurace správce zabezpečení a rozbalte Položku Odchozí a vypíšete pravidla správce zabezpečení použitá pro tuto virtuální síť.

    Snímek obrazovky s konfigurací správce zabezpečení použitou pro virtuální síť

  3. V části Nastavení vyberte Partnerské vztahy partnerských vztahů virtuálních sítí vytvořené nástrojem Virtual Network Manager. Jeho název začíná ANM_.

    Snímek obrazovky partnerských vztahů virtuálních sítí vytvořených nástrojem Virtual Network Manager

Ověření z virtuálního počítače

  1. Nasaďte testovací virtuální počítač do virtuální sítě vnet-learn-prod-eastus-001.

  2. Přejděte na testovací virtuální počítač vytvořený v síti vnet-learn-prod-eastus-001 a v části Nastavení vyberte Sítě. Vyberte pravidla odchozího portu a ověřte , že je použito pravidlo DENY_INTERNET .

    Snímek obrazovky s testovacími pravidly zabezpečení sítě virtuálního počítače

  3. Vyberte název síťového rozhraní a v části Nápověda vyberte Efektivní trasy a ověřte trasy pro partnerské vztahy virtuálních sítí. Trasa 10.2.0.0/16 s typem dalšího VNet peering segmentu směrování je trasa do virtuální sítě centra.

    Snímek obrazovky s efektivními trasami z testovacího síťového rozhraní virtuálního počítače

Vyčištění prostředků

Pokud už Azure Virtual Network Manager nepotřebujete, musíte se ujistit, že jsou splněné všechny následující podmínky, abyste mohli prostředek odstranit:

  • Neexistují žádná nasazení konfigurací do žádné oblasti.
  • Všechny konfigurace byly odstraněny.
  • Všechny skupiny sítě byly odstraněny.

Pomocí kontrolního seznamu odebrat součásti se ujistěte, že před odstraněním skupiny prostředků nejsou k dispozici žádné podřízené prostředky.

Další kroky

Zjistěte, jak blokovat síťový provoz pomocí konfigurace správce zabezpečení.