Předchozí

Další

Cvičení – implementace hvězdicové síťové topologie v Azure

Dokončeno

Rozhodli jste se nasadit síťovou infrastrukturu v konfiguraci hvězdicové architektury pro vaše prostředky. Vaše interní personální oddělení chce navíc hostovat nový interní personální systém, který by neměl být přístupný z internetu. Systém personálního oddělení by měl být přístupný všem uživatelům ve společnosti, ať už pracují v ústředí nebo v satelitní kanceláři.

V tomto cvičení nasadíte síťovou infrastrukturu a pak vytvoříte novou virtuální síť pro hostování serverů pro nový systém personálního oddělení vaší společnosti.

Nastavení prostředí

Toto nasazení vytvoří síťové prostředky Azure odpovídající předchozímu diagramu. S těmito prostředky můžete přidat novou virtuální síť personálního oddělení.

Vytvořte virtuální sítě a podsítě pro prostředky serveru. Spusťte následující příkaz:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

Vytvoření nového paprsku ve virtuální síti

K vytvoření virtuální sítě můžete použít Azure Portal, Azure CLI nebo Azure PowerShell. Pojďme pro zbytek tohoto cvičení použít Azure Portal.

1. Pomocí stejného účtu, kterým jste aktivovali sandbox, se přihlaste na Azure Portal.

2. V levém horním rohu webu Azure Portal vyberte Vytvořit prostředek. Zobrazí se podokno Vytvořit prostředek .

3. Do vyhledávacího pole zadejte virtuální síť.

4. Na Marketplace vyberte virtuální síť. Zobrazí se podokno Vytvoření virtuální sítě.

5. Výběrem příkazu Vytvořit spusťte konfiguraci virtuální sítě. Zobrazí se podokno Vytvořit virtuální síť .

Konfigurace nastavení virtuální sítě

Prostředí pro vytváření prostředků na portálu má formu průvodce, který vás provede počáteční konfigurací virtuální sítě.

1. Pokud chcete vytvořit virtuální síť, zadejte na kartě Základy následující hodnoty pro každé nastavení.

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Předplatné Concierge
   Skupina prostředků	V rozevíracím seznamu vyberte [název skupiny prostředků sandboxu]
   Podrobnosti o instanci
   Název virtuální sítě	HRappVnet
   Oblast	Ponechte výchozí oblast.

2. Vyberte kartu IP adresy nebo vyberte Další>.

3. Pro každé nastavení zadejte následující hodnoty.

   Nastavení	Hodnota
   Adresní prostor IPv4	V textovém poli nahraďte výchozí adresu 10.10.0.0/16 .
   Název podsítě	Vyberte výchozí nastavení. Zobrazí se podokno Upravit podsíť . Pro každé nastavení zadejte následující hodnoty.

   Nastavení	Hodnota
   Název podsítě	HRsystems
   Počáteční adresa	10.10.1.0/24

4. Zvolte Uložit.

5. Vyberte Zkontrolovat a vytvořit. Po úspěšném ověření spusťte zřizování virtuální sítě výběrem možnosti Vytvořit.

6. Po úspěšném dokončení nasazení vyberte Přejít k prostředku. Zobrazí se vaše virtuální síť s názvem podokno HRappVnet .

Konfigurace partnerského vztahu virtuální sítě v centru

Teď, když jste vytvořili třetí paprsk, musíte nakonfigurovat partnerský vztah virtuální sítě mezi centrem a paprsky.

1. Přejděte na domovskou stránku portálu. Vyberte Všechny prostředky. Zobrazí se podokno Všechny prostředky .

   Měli byste vidět virtuální sítě HubVNet, WebVNet, QuoteVNet a HRappVnet.

2. Vyberte HubVNet. Zobrazí se podokno HubVnet .

3. V levém podokně nabídek v části Nastavení vyberte Partnerské vztahy. Zobrazí se podokno Partnerské vztahy pro podokno HubVnet.

4. V horním řádku nabídek vyberte + Přidat. Zobrazí se podokno Přidat partnerský vztah pro vaši síť HubVnet.

5. Na stránce Přidat partnerský vztah vyberte HRappVnet pro virtuální síť před dokončením zbývající konfigurace partnerského vztahu.

6. Pro každé nastavení zadejte následující hodnoty.

   Nastavení	Hodnota
   Tato virtuální síť
   Název odkazu peeringu	Zadejte gwPeering_hubVNet_HRappVnet. Tento název je název partnerského propojení z HubvNet do HRappVnet.
   Povolit hubVnet přístup k HRappVnet	Zaškrtněte políčko Povolit přístup.
   Povolit službě HubVnet přijímat přesměrovaný provoz z HRappVnet	Pokud chcete blokovat provoz pocházející z mimo tuto virtuální síť, nechejte zaškrtnuto políčko zaškrtnuto.
   Povolit bráně ve službě HubVnet předávat provoz do HRappVnet	Nechejte zaškrtnuto políčko.
   Povolení hubVnetu pro použití vzdálené brány HRappVnet	Nechejte zaškrtnuto políčko.
   Vzdálená virtuální síť
   Název odkazu peeringu	gwPeering_HRappVnet_hubVNet. Tento název je název partnerského propojení z HRappVnet do HubVnet.
   Model nasazení virtuální sítě	Výběr Resource Manageru
   Předplatné	Výběr předplatného Concierge
   Virtuální síť	Výběr HRappVnet
   Povolit HRappVnet přístup ke službě HubVnet	Zaškrtněte políčko Povolit přístup.
   Povolit HRappVnet přijímat přesměrovaný provoz z HubVnet	Pokud chcete blokovat provoz pocházející z mimo tuto virtuální síť, nechejte zaškrtnuto políčko zaškrtnuto.
   Povolit bráně v HRappVnet předávat provoz do HubVnet	Nechejte zaškrtávací políčko nezaškrtnuté.
   Povolení vzdálené brány HRappVnet pro použití vzdálené brány HubVnet	Nechejte zaškrtávací políčko nezaškrtnuté.

7. Pokud chcete vytvořit partnerský vztah, vyberte Přidat. Podokno Partnerské vztahy se znovu zobrazí s novým partnerským vztahem.

Právě jste vytvořili partnerský vztah virtuální sítě v centru s virtuální sítí v paprscích. V konfiguraci jste povolili přesměrování provozu z centra do paprsku pomocí brány VPN.

Vytvoření skupiny zabezpečení sítě pro virtuální síť

Pokud chcete nakonfigurovat tok provozu, vytvoříte skupinu zabezpečení sítě.

1. Přejděte na domovskou stránku portálu a vyberte Vytvořit prostředek. Zobrazí se podokno Vytvořit prostředek .

2. Do vyhledávacího pole zadejte network security group a v seznamu vyberte odkaz se stejným názvem. Zobrazí se podokno Zabezpečení sítě – Vytvořit .

3. Výběrem příkazu Vytvořit spusťte konfiguraci virtuální sítě. Zobrazí se skupina zabezpečení sítě.

4. Na kartě Základy zadejte pro každé nastavení následující hodnoty.

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Předplatné Concierge
   Skupina prostředků	V rozevíracím seznamu vyberte [název skupiny prostředků sandboxu]
   Podrobnosti o instanci
   Název	Zadejte HRNsg.
   Oblast	Ponechte výchozí umístění.

5. Vyberte Zkontrolovat a vytvořit.

6. Po úspěšném ověření skupinu zabezpečení sítě nasadíte výběrem možnosti Vytvořit. Zobrazí se podokno Přehled skupiny zabezpečení sítě.

7. Vyberte Přejít k prostředku a poznamenejte si skupinu zabezpečení sítě (HRNsg).

Teď jste vytvořili skupinu zabezpečení sítě, kterou můžete přiřadit ke každé virtuální síti.

Přidružení skupiny zabezpečení sítě k nové virtuální síti personálního oddělení

Teď tuto skupinu zabezpečení sítě přidružíte k virtuální síti.

1. Pokud jste okno HRNsg zavřeli, přejděte na domovskou stránku portálu. Vyberte Všechny prostředky a vyberte HRNsg. Zobrazí se podokno HRNsg . Jinak přejděte k dalšímu kroku.

2. V levém podokně nabídek v části Nastavení vyberte Podsítě. Zobrazí se podokno Podsítě pro vaši skupinu zabezpečení sítě HRNsg.

3. V horním řádku nabídek vyberte + Přidružit. Zobrazí se podokno Přidružit podsíť .

4. V rozevíracím seznamu Virtuální síť vyberte HRappVnet.

5. V rozevíracím seznamu Podsíť vyberte HRsystems.

6. Výběrem tlačítka OK tuto skupinu zabezpečení sítě přidružte. Znovu se zobrazí podokno Podsítě pro vaši skupinu zabezpečení sítě HRNsg.

Konfigurace pravidla skupiny zabezpečení sítě, které zastaví příchozí provoz HTTP

U aplikace personálního oddělení, která se má hostovat v podsíti HRappVnet, musíte splnit požadavek na zabezpečení. Z tohoto paprsku by neměl pocházet žádný příchozí provoz HTTP, protože přístup potřebují jen interní zaměstnanci. Nakonfigurujete pravidlo skupiny zabezpečení sítě splňující tento požadavek.

1. Na hrNsg | Na stránce Podsítě vyberte příchozí pravidla zabezpečení v části Nastavení. Zobrazí se podokno Příchozí pravidla zabezpečení pro vaši skupinu zabezpečení sítě HRNsg.

2. V horním řádku nabídek vyberte + Přidat. Zobrazí se podokno Přidat příchozí pravidlo zabezpečení.

3. Pro každé nastavení zadejte následující hodnoty.

   Nastavení	Hodnota
   Source	V rozevíracím seznamu vyberte Libovolná.
   Rozsahy zdrojových portů	Ponechte výchozí hodnotu *.
   Cíl	V rozevíracím seznamu vyberte značka služby.
   Značka cílové služby	Vyberte VirtualNetwork.
   Služba	Vyberte Vlastní.
   Rozsahy cílových portů	Zadejte 80 443
   Protokol	Vyberte libovolnou položku.
   Akce	Vyberte Odepřít.
   Priorita	Zadejte 100.
   Název	Zadejte block-Inbound-HTTP-HTTPS.
   Popis	Zadejte blokovat příchozí provoz HTTP a HTTPS z paprsku.

4. Výběrem příkazu Přidat pravidlo přidejte. Podokno Příchozí pravidla zabezpečení se znovu zobrazí pro vaši skupinu zabezpečení sítě.

Právě jste zablokovali příchozí přístup HTTP z tohoto paprsku na portech 80 a 443.

V tomto scénáři jste vytvořili virtuální síť Azure v paprsku a následně pro ni vytvořili partnerský vztah s existující virtuální sítí v centru. Pak jste zabezpečili provoz z tohoto paprsku zablokováním příchozího přístupu na portech 80 a 443 a zajistili jeho připojení přes centrum.

Pokračovat