Übung: Erstellen eines virtuellen Netzwerkgeräts und virtueller Computer

  • 10 Minuten

In der nächsten Phase Ihrer Sicherheitsimplementierung stellen Sie ein virtuelles Netzwerkgerät bereit, um den Datenverkehr zwischen öffentlichen Front-End-Servern und privaten internen Servern zu schützen und zu überwachen.

Konfigurieren Sie zuerst die Appliance zum Weiterleiten des IP-Datenverkehrs. Wenn die IP-Weiterleitung nicht aktiviert ist, wird der Datenverkehr, der über Ihr Gerät geleitet wird, nicht von den vorgesehenen Zielservern empfangen.

In dieser Übung stellen Sie das virtuelle Netzwerkgerät (NVA) im Subnetz dmzsubnet bereit. Anschließend aktivieren Sie die IP-Weiterleitung, damit der Datenverkehr aus * und der Datenverkehr, der die benutzerdefinierte Route nutzt, an das Subnetz privatesubnet gesendet wird.

Diagramm eines virtuelles Netzwerkgeräts mit aktivierter IP-Weiterleitung.

In den folgenden Schritten stellen Sie ein virtuelles Netzwerkgerät bereit. Anschließend aktualisieren Sie die virtuelle Azure-NIC und die Netzwerkeinstellungen des Geräts, um die IP-Weiterleitung zu aktivieren.

Bereitstellen des virtuellen Netzwerkgeräts

Sie stellen eine Ubuntu LTS-Instanz bereit, um das virtuelle Netzwerkgerät zu erstellen.

  1. Führen Sie den folgenden Befehl in Cloud Shell aus, um das Gerät bereitzustellen. Ersetzen Sie <password> durch ein geeignetes Kennwort Ihrer Wahl für das Administratorkonto azureuser.

    az vm create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

Aktivieren der IP-Weiterleitung für die Azure-Netzwerkschnittstelle

In den nächsten Schritten aktivieren Sie die IP-Weiterleitung für das virtuelle Netzwerkgerät nva. Wenn Datenverkehr an das virtuelle Netzwerkgerät übermittelt wird, der jedoch für ein anderes Ziel vorgesehen ist, leitet das virtuelle Netzwerkgerät diesen Datenverkehr an das richtige Ziel weiter.

  1. Führen Sie den folgenden Befehl aus, um die ID der NVA-Netzwerkschnittstelle abzurufen:

    NICID=$(az vm nic list \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. Führen Sie den folgenden Befehl aus, um den Namen der NVA-Netzwerkschnittstelle abzurufen:

    NICNAME=$(az vm nic show \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. Führen Sie den folgenden Befehl aus, um die IP-Weiterleitung für die Netzwerkschnittstelle zu aktivieren:

    az network nic update --name $NICNAME \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --ip-forwarding true

Aktivieren der IP-Weiterleitung für das Gerät

  1. Führen Sie den folgenden Befehl aus, um die öffentliche IP-Adresse der NVA-VM in der Variable NVAIP zu speichern:

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. Führen Sie den folgenden Befehl aus, um die IP-Weiterleitung innerhalb der NVA zu aktivieren:

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    Geben Sie das Kennwort ein, das Sie beim Erstellen der VM festgelegt haben, wenn Sie dazu aufgefordert werden.