Tutorial: Erstellen eines geschützten Hub-and-Spoke-Netzwerks

  • Artikel
  • 8 Minuten Lesedauer

In diesem Tutorial erstellen Sie mit Azure Virtual Network Manager eine Hub-and-Spoke-Netzwerktopologie. Anschließend stellen Sie ein Gateway für virtuelle Netzwerke im virtuellen Hubnetzwerk bereit, damit Ressourcen in den virtuellen Spokenetzwerken über VPN mit Remotenetzwerken kommunizieren können. Außerdem konfigurieren Sie eine Sicherheitskonfiguration, um ausgehenden Netzwerkdatenverkehr zum Internet an den Ports 80 und 443 zu blockieren. Schließlich überprüfen Sie anhand der Einstellungen für virtuelle Netzwerke und Computer, ob die Konfigurationen ordnungsgemäß angewendet wurden.

Wichtig

Azure Virtual Network Manager befindet sich derzeit in der öffentlichen Vorschau. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen mehrerer Netzwerke
  • Bereitstellen eines Gateways für virtuelle Netzwerke
  • Erstellen einer Hub-and-Spoke-Netzwerktopologie
  • Erstellen einer Sicherheitskonfiguration, die Datenverkehr an den Ports 80 und 443 blockiert
  • Überprüfen, ob Konfigurationen angewendet wurden

Voraussetzung

Erstellen virtueller Netzwerke

Die folgenden Schritte führen Sie durch die Erstellung von drei virtuellen Netzwerken. Eins befindet sich in der Region USA, Westen, die anderen beiden in der Region USA, Osten.

  1. Melden Sie sich am Azure-Portal an.

  2. Wählen Sie + Ressource erstellen aus, und suchen Sie nach Virtuelles Netzwerk. Wählen Sie dann Erstellen aus, um mit dem Konfigurieren des virtuellen Netzwerks zu beginnen.

  3. Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen an, oder wählen Sie sie aus:

    Screenshot: Registerkarte mit Grundlagen für das virtuelle Hub-and-Spoke-Netzwerk

    Einstellung Wert
    Subscription Wählen Sie das Abonnement aus, in dem Sie dieses virtuelle Netzwerk bereitstellen möchten.
    Ressourcengruppe Wählen Sie eine Ressourcengruppe zum Speichern des virtuellen Netzwerks aus, oder erstellen Sie eine neue Ressourcengruppe. In dieser Schnellstartanleitung wird eine Ressourcengruppe namens myAVNMResourceGroup verwendet.
    Name Geben Sie VNet-A-WestUS als Namen des virtuellen Netzwerks ein.
    Region Wählen Sie die Region USA, Westen aus.

  4. Wählen Sie Weiter: IP-Adressen aus und konfigurieren Sie die folgenden Netzwerkadressräume:

    Screenshot: Registerkarte „IP-Adressen“ für das virtuelle Hub-and-Spoke-Netzwerk

    Einstellung Wert
    IPv4-Adressraum Geben Sie 10.3.0.0/16 als Adressraum ein.
    Subnetzname Geben Sie den Namen default für das Subnetz ein.
    Subnetzadressraum Geben Sie den Subnetzadressraum 10.3.0.0/24 ein.

  5. Wählen Sie Überprüfen + erstellen und dann Erstellen aus, um das virtuelle Netzwerk bereitzustellen.

  6. Wiederholen Sie die Schritte 2–5, um zwei weitere virtuelle Netzwerke mit den folgenden Informationen in derselben Ressourcengruppe zu erstellen:

    Zweites virtuelles Netzwerk:

    • Name: VNet-A-EastUS
    • Region: USA, Osten
    • IPv4-Adressraum: 10.4.0.0/16
    • Subnetzname: default
    • Subnetzadressraum: 10.4.0.0/24

    Drittes virtuelles Netzwerk:

    • Name: VNet-B-EastUS
    • Region: USA, Osten
    • IPv4-Adressraum: 10.5.0.0/16
    • Subnetzname: default
    • Subnetzadressraum: 10.5.0.0/24

Bereitstellen eines Gateways für virtuelle Netzwerke

Stellen Sie im virtuellen Hubnetzwerk ein Gateway für virtuelle Netzwerke bereit. Dieses Gateway für virtuelle Netzwerke ist für die Spokeeinstellung Hub als Gateway verwenden erforderlich.

  1. Wählen Sie + Ressource erstellen aus, und suchen Sie nach Gateway für virtuelle Netzwerke. Wählen Sie dann Erstellen aus, um mit dem Konfigurieren des Gateways für virtuelle Netzwerke zu beginnen.

  2. Geben Sie auf der Registerkarte Grundlagen die folgenden Einstellungen an, oder wählen Sie sie aus:

    Screenshot: Registerkarte „Grundlagen“ auf der Seite zum Erstellen eines Gateways für virtuelle Netzwerke

    Einstellung Wert
    Subscription Wählen Sie das Abonnement aus, in dem Sie dieses virtuelle Netzwerk bereitstellen möchten.
    Name Geben Sie VNet-A-WestUS-GW als Namen des virtuellen Gateways ein.
    SKU Wählen Sie VpnGW1 für die SKU aus.
    Generation Wählen Sie Generation1 für die Generation aus.
    Virtuelles Netzwerk Wählen Sie den VNet-A-WestUS für das VNet aus.
    Name der öffentlichen IP-Adresse Geben Sie den Namen VNet-A-WestUS-GW-IP für die öffentliche IP-Adresse ein.

  3. Wählen Sie Überprüfen + erstellen und nach erfolgreicher Validierung Erstellen aus. Die Bereitstellung eines Gateways für virtuelle Netzwerke kann etwa 30 Minuten dauern. Sie können mit dem nächsten Abschnitt fortfahren, während Sie auf den Abschluss dieser Bereitstellung warten.

Erstellen einer dynamischen Netzwerkgruppe

  1. Wechseln Sie zu Ihrer Azure Virtual Network Manager-Instanz. In diesem Tutorial wird davon ausgegangen, dass Sie mithilfe der Schnellstartanleitung bereits eine Instanz erstellt haben.

  2. Wählen Sie unter Einstellungen zunächst Netzwerkgruppen und dann + Erstellen aus, um eine neue Netzwerkgruppe zu erstellen.

    Screenshot der Schaltfläche „Netzwerkgruppe hinzufügen“

  3. Geben Sie auf dem Bildschirm Netzwerkgruppe erstellen die folgenden Informationen ein:

    Screenshot: Registerkarte „Grundlagen“ auf der Seite „Netzwerkgruppe erstellen“.

    Einstellung Wert
    Name Geben Sie myNetworkGroupB als Netzwerkgruppennamen ein.
    BESCHREIBUNG Geben Sie eine Beschreibung dieser Netzwerkgruppe an.

  4. Wählen Sie Erstellen aus, um eine neue virtuelle Netzwerkgruppe zu erstellen.

  5. Wählen Sie auf der Seite Netzwerkgruppen die erstellte Netzwerkgruppe von oben aus, um die Netzwerkgruppe zu konfigurieren.

    Screenshot: Seite „Netzwerkgruppen“

  6. Wählen Sie auf der Seite Übersicht die Option Azure-Richtlinie erstellen unter Richtlinie zum dynamischen Hinzufügen von Mitgliedern erstellen aus.

    Screenshot: Schaltfläche „Definierte dynamische Mitgliedschaft“.

  7. Wählen Sie auf der Seite Azure-Richtlinie erstellen die folgenden Informationen aus, oder geben Sie sie ein:

    Screenshot: Registerkarte „Bedingungsanweisungen“ zum Erstellen einer Netzwerkgruppe

    Einstellung Wert
    Richtlinienname Geben Sie VNetAZPolicy in das Textfeld ein.
    `Scope` Wählen Sie Bereiche auswählen aus, und wählen Sie Ihr aktuelles Abonnement aus.
    Kriterien
    Parameter Wählen Sie Name in der Dropdownliste aus.
    Operator Wählen Sie Enthält in der Dropdownliste aus.
    Bedingung Geben Sie -EastUS ein, um dieser Netzwerkgruppe die beiden virtuellen Netzwerke „USA, Osten“ dynamisch hinzuzufügen.

  8. Wählen Sie Speichern aus, um die Gruppenmitgliedschaft bereitzustellen.

  9. Wählen Sie unter Einstellungen die Option Gruppenmitglieder aus, um die Mitgliedschaft der Gruppe basierend auf den in Azure Policy definierten Bedingungen anzuzeigen. Screenshot: Dynamische Gruppenmitgliedschaft unter „Gruppenmitgliedschaft“.

Erstellen einer Hub-and-Spoke-Konnektivitätskonfiguration

  1. Wählen Sie unter Einstellungen die Option Konfiguration und anschließend + Konfiguration hinzufügen aus. Wählen Sie im Dropdownmenü Konnektivität aus.

    Screenshot des Dropdownmenüs „Konfiguration“

  2. Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen für die Konnektivitätskonfiguration ein und wählen Sie sie aus:

    Screenshot der Seite „Konnektivitätskonfiguration hinzufügen“

    Einstellung Wert
    Name Geben Sie HubA als Namen der Konfiguration ein.
    Beschreibung Geben Sie eine Beschreibung der Funktion dieser Konnektivitätskonfiguration an.

  3. Wählen Sie Weiter: Topologie> aus. Wählen Sie unter der Einstellung Topologie die Option Hub-and-Spoke-Modell aus. Dadurch werden andere Einstellungen angezeigt.

    Screenshot: Auswählen eines Hubs für die Konnektivitätskonfiguration

  4. Wählen Sie unter der Einstellung Hub die Option Hub auswählen. Wählen Sie dann VNet-A-WestUS als Netzwerkhub aus, und klicken Sie auf Auswählen.

    Screenshot: Auswahl einer Hubkonfiguration

  5. Wählen Sie unter Spokenetzwerkgruppen die Option + Hinzufügen aus. Wählen Sie dann myNetworkGroupB als Netzwerkgruppe aus, und klicken Sie auf Auswählen.

    Screenshot: Seite „Netzwerkgruppen hinzufügen“

  6. Nachdem Sie die Netzwerkgruppe hinzugefügt haben, wählen Sie die folgenden Optionen aus. Wählen Sie dann „Hinzufügen“ aus, um die Konnektivitätskonfiguration zu erstellen.

    Screenshot: Einstellungen für die Netzwerkgruppenkonfiguration

    Einstellung Wert
    Direkte Konnektivität Aktivieren Sie das Kontrollkästchen Peering innerhalb der Netzwerkgruppe aktivieren. Diese Einstellung ermöglicht es virtuellen Spokenetzwerken in der Netzwerkgruppe in derselben Region, direkt miteinander zu kommunizieren.
    Hub als Gateway Aktivieren Sie das Kontrollkästchen für Hub als Gateway verwenden.
    Globales Mesh Lassen Sie die Option Meshkonnektivität regionsübergreifend aktivierendeaktiviert. Diese Einstellung ist nicht erforderlich, da sich beide Spokes in derselben Region befinden.

  7. Wählen Sie Weiter: Überprüfen und erstellen> aus und erstellen Sie dann die Konnektivitätskonfiguration.

Bereitstellen der Konnektivitätskonfiguration

Stellen Sie sicher, dass das Gateway für virtuelle Netzwerke erfolgreich bereitgestellt wurde, bevor Sie die Konnektivitätskonfiguration bereitstellen. Wenn Sie eine Hub-and-Spoke-Konfiguration mit aktivierter Option Hub als Gateway verwenden bereitstellen und kein Gateway vorhanden ist, tritt bei der Bereitstellung ein Fehler auf. Weitere Informationen finden Sie unter Verwenden eines Hubs als Gateway.

  1. Wählen Sie Bereitstellungen unter Einstellungen und dann Konfiguration bereitstellen aus.

    Screenshot der Seite „Bereitstellungen“ in Network Manager

  2. Wählen Sie Konnektivitätskonfigurationen in Ihren Zielzustand einschließen und HubA als die Einstellung für Konnektivitätskonfigurationen aus. Wählen Sie USA, Westen und USA, Osten als Zielregionen und dann Weiter aus.

    Screenshot der Seite „Konfiguration bereitstellen“

  3. Klicken Sie auf Bereitstellen. Die Bereitstellung sollte jetzt in der Liste für diese Regionen angezeigt werden. Die Bereitstellung der Konfiguration kann mehrere Minuten dauern.

    Screenshot: „Bereitstellung wird ausgeführt“ in der Bereitstellungsliste

Erstellen einer Sicherheitskonfiguration

  1. Wählen Sie Konfiguration unter Einstellungen erneut aus, wählen Sie dann + Erstellen aus, und wählen Sie SecurityAdmin aus dem Menü aus, um mit dem Erstellen einer SecurityAdmin-Konfiguration zu beginnen.

  2. Geben Sie den Namen mySecurityConfig für die Konfiguration ein und wählen Sie dann Weiter: Regelsammlungen hinzufügen aus.

    Screenshot: Seite „Sicherheitsadministratorkonfiguration“

  3. Geben Sie den Namen myRuleCollection für die Regelsammlung ein, und wählen Sie myNetworkGroupB als Zielnetzwerkgruppe aus. Wählen Sie dann + Hinzufügen aus.

    Screenshot: Seite „Regelsammlung hinzufügen“

  4. Geben Sie die folgenden Einstellungen ein, wählen Sie sie aus, und wählen Sie dann Hinzufügen aus:

    Screenshot: „Regelsammlung hinzufügen“ und Regeleinstellungen

    Einstellung Wert
    Name Geben Sie DENY_INTERNET ein.
    BESCHREIBUNG Geben Sie Diese Regel blockiert den Datenverkehr zum Internet auf HTTP und HTTPS ein.
    Priorität 1 eingeben
    Aktion Wählen Sie Ablehnen aus.
    Direction Wählen Sie Ausgehend aus.
    Protocol Wählen Sie TCP aus.
    Zielport Geben Sie 80, 443 ein.

  5. Wählen Sie Hinzufügen aus, um die Regelsammlung zur Konfiguration hinzuzufügen.

    Screenshot: Schaltfläche „Speichern“ für eine Regelsammlung

  6. Wählen Sie Überprüfen + Erstellen und Erstellen aus, um die Konfiguration des Sicherheitsadministrators abzuschließen.

Bereitstellen der Sicherheitsverwaltungskonfiguration

  1. Wählen Sie Bereitstellungen unter Einstellungen und dann Konfigurationen bereitstellen aus.

  2. Wählen Sie den Konfigurationstyp Sicherheitsadministrator in Ihren Zielstatus einschließen und die Konfiguration für mySecurityConfig aus, die Sie im letzten Abschnitt erstellt haben. Wählen Sie USA, Westen und USA, Osten als Zielregionen und dann Weiter aus.

    Screenshot: Bereitstellen einer Sicherheitskonfiguration

  3. Wählen Sie Weiter und dann Bereitstellen aus. Die Bereitstellung sollte nun in der Liste für die ausgewählte Region angezeigt werden. Die Bereitstellung der Konfiguration kann etwa 15 bis 20 Minuten dauern.

Überprüfen der Bereitstellung von Konfigurationen

Überprüfen über ein virtuelles Netzwerk

  1. Wechseln Sie zum virtuellen Netzwerk VNet-A-WestUS und wählen Sie unter Einstellungen die Option Network Manager aus. Wie Sie sehen, wird die Konnektivitätskonfiguration HubA angewendet.

    Screenshot: auf das virtuelle Netzwerk angewendete Konnektivitätskonfiguration

  2. Wählen Sie unter Einstellungen die Option Peerings aus. Die VNet-Peerings, die von Virtual Network Manager erstellt wurden, weisen im Namen die Zeichenfolge AVNM auf.

    Screenshot: von Virtual Network Manager erstellte VNet-Peerings

  3. Wählen Sie die Registerkarte Sicherheitsadministrator aus, um die Sicherheitsadministratorregeln anzuzeigen, die auf dieses virtuelle Netzwerk angewendet werden.

    Screenshot: auf das virtuelle Netzwerk angewendete Sicherheitsadministratorregeln

Überprüfen über einen virtuellen Computer

  1. Stellen Sie eine Windows-Test-VM in VNet-A-EastUS bereit.

  2. Wechseln Sie zu der in VNet-A-EastUS erstellten Test-VM, und wählen Sie unter Einstellungen die Option Netzwerk aus. Wählen Sie Portregeln für ausgehenden Datenverkehr aus. Daraufhin wird die angewendete Sicherheitsadministratorregel angezeigt.

    Screenshot: Netzwerksicherheitsregeln der Test-VM

  3. Wählen Sie den Namen der Netzwerkschnittstelle aus.

    Screenshot: Netzwerkeinstellungen der Test-VM

  4. Wählen Sie dann unter Hilfe die Option Effektive Routen aus, um die Routen für das Peering virtueller Netzwerke anzuzeigen. Die Route 10.3.0.0/16 mit dem nächsten Hop VNetGlobalPeering ist die Route zum virtuellen Hubnetzwerk. Die Route 10.5.0.0/16 mit dem nächsten Hop ConnectedGroup ist die Route zum anderen virtuellen Spokenetzwerk. Alle virtuellen Spokenetzwerke befinden sich in einer ConnectedGroup, wenn die Transitivität aktiviert ist.

    Screenshot: effektive Routen von der Netzwerkschnittstelle der Test-VM

Bereinigen von Ressourcen

Wenn Sie die Azure Virtual Network Manager-Instanz nicht mehr benötigen, müssen Sie sicherstellen, dass alle der folgenden Bedingungen erfüllt sind, bevor Sie die Ressource löschen:

  • In keiner Region sind Konfigurationen bereitgestellt.
  • Alle Konfigurationen wurden gelöscht.
  • Alle Netzwerkgruppen wurden gelöscht.

Verwenden Sie die Prüfliste zum Entfernen von Komponenten, um sicherzustellen, dass keine untergeordneten Ressourcen mehr vorhanden, bevor Sie die Ressourcengruppe löschen.

Nächste Schritte

Erfahren Sie, wie Sie Netzwerkdatenverkehr mit einer Sicherheitsadministratorkonfiguration blockieren.