Cvičení – vytvoření síťového virtuálního zařízení (NVA) a virtuálních počítačů

  • 10 min

V další fázi implementace zabezpečení nasadíte síťové virtuální zařízení (NVA), abyste zabezpečili provoz mezi veřejnými front-end servery a interními privátními servery a mohli ho monitorovat.

Zařízení nakonfigurujete tak, aby předával provoz IP. Pokud není přesměrování IP povolené, provoz směrovaný přes toto zařízení se nikdy nedostane k zamýšleným cílovým serverům.

V tomto cvičení nasadíte síťové zařízení nva do podsítě dmzsubnet . Potom povolíte předávání IP, aby se provoz z * a provoz, který používá vlastní trasu , odeslal do podsítě privátní podsítě .

Visualization of a Network virtual appliance with IP forwarding enabled.

V následujících krocích nasadíte síťové virtuální zařízení. Pak aktualizujete virtuální síťovou kartu Azure a nastavení sítě v rámci zařízení, aby bylo možné předávání IP.

Nasazení síťového virtuálního zařízení

Pokud chcete vytvořit síťové virtuální zařízení, nasaďte instanci Ubuntu LTS.

  1. V Cloud Shellu spusťte následující příkaz, kterým zařízení nasadíte. V příkazu nahraďte <password> vhodným heslem podle svého výběru pro účet správce azureuser.

    az vm create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

Povolení předávání IP pro síťové rozhraní Azure

V dalších krocích povolíte předávání IP pro síťové zařízení NVA. Pokud provoz směřuje do síťového virtuálního zařízení (NVA), přestože je určen pro jiný cíl, přesměruje NVA tento provoz do správného cíle.

  1. Spuštěním následujícího příkazu získáte ID síťového rozhraní NVA.

    NICID=$(az vm nic list \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. Spuštěním následujícího příkazu získáte název síťového rozhraní NVA.

    NICNAME=$(az vm nic show \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. Spuštěním následujícího příkazu povolíte předávání IP pro síťové rozhraní.

    az network nic update --name $NICNAME \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --ip-forwarding true

Povolení předávání IP v zařízení

  1. Spuštěním následujícího příkazu uložíte veřejnou IP adresu virtuálního počítače NVA do proměnné NVAIP.

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. Spuštěním následujícího příkazu povolte předávání IP ve virtuálním síťovém zařízení.

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    Po zobrazení výzvy zadejte heslo, které jste použili při vytvoření virtuálního počítače.