Kényszerített bújtatás konfigurálása klasszikus üzemi modellel

  • Cikk

A kényszerített bújtatással a helyek közötti VPN-alagúton keresztül az internetre irányuló összes forgalom visszairányítható (kényszeríthető) a helyszíni helyre vizsgálat és naplózás céljából. Ez kritikus biztonsági követelmény a legtöbb vállalati informatikai szabályzat esetében. Kényszerített bújtatás nélkül az Azure-beli virtuális gépek internethez kötött forgalma mindig közvetlenül az internetre halad az Azure hálózati infrastruktúrájából anélkül, hogy lehetővé tenné a forgalom vizsgálatát vagy naplózását. A jogosulatlan internet-hozzáférés információfelfedéshez vagy más típusú biztonsági incidensekhez vezethet.

A cikkben szereplő lépések a klasszikus (örökölt) üzemi modellre vonatkoznak, és nem vonatkoznak az aktuális üzemi modellre, Resource Manager. Hacsak nem kifejezetten a klasszikus üzemi modellben szeretne dolgozni, javasoljuk, hogy a cikk Resource Manager verzióját használja.

Megjegyzés

Ez a cikk a klasszikus (örökölt) üzemi modellhez készült. Javasoljuk, hogy inkább a legújabb Azure-beli üzemi modellt használja. A Resource Manager üzemi modell a legújabb üzemi modell, és több lehetőséget és funkciókompatibilitást kínál, mint a klasszikus üzemi modell. A két üzembehelyezési modell közötti különbség megértéséhez tekintse meg az üzembehelyezési modellek és az erőforrások állapotának ismertetését.

Ha a cikk egy másik verzióját szeretné használni, használja a bal oldali panelen található tartalomjegyzéket.

Követelmények és szempontok

A kényszerített bújtatás az Azure-ban a virtuális hálózat felhasználó által megadott útvonalán (UDR) keresztül van konfigurálva. A forgalom helyszíni helyre való átirányítása alapértelmezett útvonalként van kifejezve az Azure VPN Gateway felé. A következő szakasz az Azure-Virtual Network útválasztási táblázatának és útvonalainak aktuális korlátozásait sorolja fel:

  • Minden virtuális hálózati alhálózat rendelkezik egy beépített rendszerútválasztási táblázattal. A rendszerútválasztási táblázat az alábbi három útvonalcsoporttal rendelkezik:

    • Helyi virtuális hálózati útvonalak: Közvetlenül az ugyanabban a virtuális hálózatban lévő cél virtuális gépekre.
    • Helyszíni útvonalak: Lépjen az Azure VPN Gatewayre.
    • Alapértelmezett útvonal: Közvetlenül az internetre. Az előző két útvonal által nem lefedett magánhálózati IP-címekre irányuló csomagokat a rendszer elveti.

  • A felhasználó által definiált útvonalak kiadásával létrehozhat egy útválasztási táblát egy alapértelmezett útvonal hozzáadásához, majd társíthatja az útválasztási táblát a VNet-alhálózat(ok)hoz, hogy engedélyezze a kényszerített bújtatást ezen alhálózatokon.

  • Be kell állítania egy "alapértelmezett helyet" a virtuális hálózathoz csatlakoztatott létesítmények közötti helyi helyek között.

  • A kényszerített bújtatást dinamikus útválasztású VPN-átjáróval (nem statikus átjáróval) rendelkező virtuális hálózathoz kell társítani.

  • Az ExpressRoute kényszerített bújtatása nem ezen a mechanizmuson keresztül van konfigurálva, hanem egy alapértelmezett útvonal az ExpressRoute BGP társviszony-létesítési munkameneteken keresztül történő meghirdetésével engedélyezve van. További információ: Mi az az ExpressRoute?

Konfiguráció áttekintése

Az alábbi példában az előtér-alhálózat nem kényszerített bújtatású. Az előtérbeli alhálózat számítási feladatai továbbra is közvetlenül fogadhatják és válaszolhatják meg az internetről érkező ügyfélkéréseket. A középszintű és a háttérbeli alhálózatok kényszerített bújtatásra kerülnek. A két alhálózatból az internetre irányuló kimenő kapcsolatok kényszerítettek vagy vissza lesznek irányítva egy helyszíni helyre az S2S VPN-alagutak egyikén keresztül.

Ezzel korlátozhatja és megvizsgálhatja az Azure-beli virtuális gépekről vagy felhőszolgáltatásokból származó internet-hozzáférést, miközben továbbra is engedélyezheti a többrétegű szolgáltatásarchitektúrát. Kényszerített bújtatást is alkalmazhat a teljes virtuális hálózatra, ha nincsenek internetkapcsolattal rendelkező számítási feladatok a virtuális hálózatokban.

A kényszerített bújtatási architektúrát bemutató ábra.

Előfeltételek

A konfigurálás megkezdése előtt győződjön meg arról, hogy rendelkezik a következőkkel:

  • Azure-előfizetés. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.
  • Konfigurált virtuális hálózat.
  • A klasszikus üzemi modell használata esetén nem használhatja az Azure Cloud Shell. Ehelyett helyileg kell telepítenie az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját a számítógépre. Ezek a parancsmagok eltérnek az AzureRM- vagy az Az-parancsmagoktól. Az SM-parancsmagok telepítéséhez lásd: Service Management-parancsmagok telepítése. A Azure PowerShell általában a Azure PowerShell dokumentációjában talál további információt.

Kényszerített bújtatás konfigurálása

Az alábbi eljárás segít meghatározni a kényszerített bújtatást egy virtuális hálózathoz. A konfigurációs lépések a VNet hálózati konfigurációs fájljának felelnek meg. Ebben a példában a "MultiTier-VNet" virtuális hálózat három alhálózattal rendelkezik: előtérbeli, midtier és háttérbeli alhálózatokkal, négy létesítmények közötti kapcsolattal: "DefaultSiteHQ" és három ággal.

<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
     <AddressSpace>
      <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="Frontend">
            <AddressPrefix>10.1.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Midtier">
            <AddressPrefix>10.1.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Backend">
            <AddressPrefix>10.1.2.0/23</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.1.200.0/28</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="DefaultSiteHQ">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch2">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch3">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSite>

A következő lépések a DefaultSiteHQ értéket állítják be alapértelmezett helykapcsolatként a kényszerített bújtatáshoz, és konfigurálják a Midtier és a Háttér alhálózatokat kényszerített bújtatás használatára.

  1. Nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal. Csatlakozzon a fiókjához az alábbi példával:

    Add-AzureAccount

  2. Hozzon létre egy útválasztási táblázatot. Az útvonaltábla létrehozásához használja az alábbi parancsmagot.

    New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"

  3. Adjon hozzá egy alapértelmezett útvonalat az útválasztási táblához.

    Az alábbi példa egy alapértelmezett útvonalat ad hozzá az 1. lépésben létrehozott útválasztási táblához. Az egyetlen támogatott útvonal a "0.0.0.0/0" célelőtagja a "VPNGateway" NextHop-hoz.

    Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGateway

  4. Társítsa az útválasztási táblát az alhálózatokhoz.

    Az útválasztási tábla létrehozása és az útvonal hozzáadása után az alábbi példában hozzáadhatja vagy társíthatja az útválasztási táblázatot egy virtuális hálózat alhálózatához. A példa hozzáadja a "MyRouteTable" útvonaltáblát a MultiTier-VNet virtuális hálózat Midtier és Backend alhálózataihoz.

    Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable"
Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"

  5. Rendeljen hozzá egy alapértelmezett helyet a kényszerített bújtatáshoz.

    Az előző lépésben a minta parancsmagszkriptek létrehozták az útválasztási táblát, és hozzárendelték az útválasztási táblázatot két virtuális hálózat alhálózatához. A fennmaradó lépés egy helyi hely kiválasztása a virtuális hálózat többhelyes kapcsolatai közül alapértelmezett helyként vagy alagútként.

    $DefaultSite = @("DefaultSiteHQ")
Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"

További PowerShell-parancsmagok

Útvonaltábla törlése

Remove-AzureRouteTable -Name <routeTableName>

Útvonaltábla listázása

Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]

Útvonal törlése egy útvonaltáblából

Remove-AzureRouteTable –Name <routeTableName>

Útvonal eltávolítása alhálózatról

Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Alhálózathoz társított útvonaltábla listázása

Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Alapértelmezett hely eltávolítása virtuális hálózati VPN-átjáróról

Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>