Megosztás a következőn keresztül:

Kényszerített alagutazás konfigurálása klasszikus telepítési modellel

A kényszerített bújtatással a helyek közötti VPN-alagúton keresztül az internetre irányuló összes forgalom visszairányítható (kényszeríthető) a helyszíni helyre vizsgálat és naplózás céljából. Ez a legtöbb vállalati informatikai szabályzat esetében kritikus biztonsági követelmény. Kényszerített bújtatás nélkül az Azure-beli virtuális gépek internethez kötött forgalma mindig közvetlenül az internetre halad az Azure hálózati infrastruktúrából anélkül, hogy lehetővé tenné a forgalom vizsgálatát vagy naplózását. A jogosulatlan internet-hozzáférés adatfeltáráshoz vagy más típusú biztonsági incidensekhez vezethet.

A cikkben szereplő lépések a klasszikus (örökölt) üzemi modellre vonatkoznak, és nem vonatkoznak a Resource Manager aktuális üzemi modelljére. Hacsak nem kifejezetten a klasszikus üzemi modellben szeretne dolgozni, javasoljuk, hogy a cikk Resource Manager-verzióját használja.

Feljegyzés

Ez a cikk a klasszikus telepítési modellhez készült. Javasoljuk, hogy inkább a legújabb Azure-beli üzemi modellt használja. A Resource Manager-alapú üzemi modell a legújabb üzemi modell, és több lehetőséget és funkciókompatibilitást kínál, mint a klasszikus üzemi modell. A két üzemi modell közötti különbség megértéséhez tekintse meg az üzembehelyezési modellek és az erőforrások állapotát.

Ha a cikk másik verzióját szeretné használni, használja a bal oldali panelen található tartalomjegyzéket.

Követelmények és szempontok

A kényszerített bújtatás az Azure-ban a virtuális hálózat felhasználó által megadott útvonalán (UDR) keresztül van konfigurálva. A forgalom helyszíni helyre való átirányítása alapértelmezett útvonalként van kifejezve az Azure VPN-átjáróhoz. Az alábbi szakasz az Azure-beli virtuális hálózatok útválasztási táblázatának és útvonalainak aktuális korlátozását sorolja fel:

  • Minden virtuális hálózati alhálózat beépített rendszerútválasztási táblával rendelkezik. A rendszer útválasztási táblája az alábbi három útvonalcsoportot tartalmazza:

    • Helyi virtuális hálózatok útvonalai: Közvetlenül a cél virtuális gépekhez ugyanabban a virtuális hálózatban.
    • Helyszíni útvonalak: Az Azure VPN-átjáróhoz.
    • Alapértelmezett útvonal: Közvetlenül az internetre. Az előző két útvonal által nem lefedett magánhálózati IP-címekre szánt csomagokat a rendszer elveti.

  • A felhasználó által definiált útvonalak kiadásával létrehozhat egy útválasztási táblát egy alapértelmezett útvonal hozzáadásához, majd társíthatja az útválasztási táblát a virtuális hálózat alhálózatához, hogy engedélyezze a kényszerített bújtatást ezeken az alhálózatokon.

  • Az virtuális hálózatba csatlakozó helyi helyek között be kell állítania egy „alapértelmezett helyet”.

  • A kényszerített bújtatást dinamikus útválasztású VPN-átjáróval (nem statikus átjáróval) rendelkező virtuális hálózathoz kell társítani.

  • Az ExpressRoute kényszerített alagutazása nem ezen a mechanizmuson keresztül van konfigurálva, hanem az ExpressRoute BGP peering munkameneteken keresztüli alapértelmezett útvonal hirdetésével van engedélyezve. További információ: Mi az ExpressRoute?

Konfiguráció áttekintése

Az alábbi példában a Frontend alhálózat nincs kényszer útvonalvezérlés alatt. A Frontend alhálózat számítási feladatai továbbra is elfogadhatják és megválaszolhatják közvetlenül az internetről érkező ügyfélkéréseket. A középszintű és a háttérbeli alhálózatok kényszerített bújtatásra kerülnek. A két alhálózatból az internetre irányuló kimenő kapcsolatok kényszerítettek vagy vissza lesznek irányítva egy helyszíni helyre az S2S VPN-alagutak egyikén keresztül.

Ez lehetővé teszi az Azure-beli virtuális gépekről vagy felhőszolgáltatásokból származó internet-hozzáférés korlátozását és vizsgálatát, miközben továbbra is engedélyezi a többrétegű szolgáltatásarchitektúrát. A kényszerített bújtatást a teljes virtuális hálózatra is alkalmazhatja, ha nincsenek internetes számítási feladatok a virtuális hálózatokban.

A kényszerített bújtatási architektúrát bemutató ábra.

Előfeltételek

A konfigurálás megkezdése előtt győződjön meg arról, hogy rendelkezik a következőkkel:

  • Azure-előfizetés. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.
  • Konfigurált virtuális hálózat.
  • A klasszikus üzemi modell használatakor nem használhatja az Azure Cloud Shellt. Ehelyett helyileg kell telepítenie az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját a számítógépre. Ezek a parancsmagok eltérnek az AzureRM vagy az Az parancsmagoktól. Az SM-parancsmagok telepítéséhez lásd : Service Management-parancsmagok telepítése. Az Azure PowerShell-lel kapcsolatos további információkért tekintse meg az Azure PowerShell dokumentációját.

Kényszerített bújtatás konfigurálása

Az alábbi eljárás segítséget nyújt a virtuális hálózatok kényszerített bújtatásának megadásában. A konfigurációs lépések a VNet hálózati konfigurációs fájljának felelnek meg. Ebben a példában a "MultiTier-VNet" virtuális hálózat három alhálózattal rendelkezik: Frontend, Midtier és Backend alhálózatokkal, négy helyszíni kapcsolattal: "DefaultSiteHQ" és három ág.

<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
     <AddressSpace>
      <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="Frontend">
            <AddressPrefix>10.1.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Midtier">
            <AddressPrefix>10.1.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Backend">
            <AddressPrefix>10.1.2.0/23</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.1.200.0/28</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="DefaultSiteHQ">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch2">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch3">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSite>

Az alábbi lépések a "DefaultSiteHQ" értéket állítják be alapértelmezett helykapcsolatként a kényszerített bújtatáshoz, és konfigurálják a Midtier és a Háttér alhálózatokat a kényszerített bújtatás használatára.

  1. Nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal. Csatlakozzon a fiókjához a következő példával:

    Add-AzureAccount

  2. Hozzon létre egy útválasztási táblát. Az útvonaltáblát az alábbi parancsmaggal hozhatja létre.

    New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"

  3. Adjon hozzá egy alapértelmezett útvonalat az útválasztási táblához.

    Az alábbi példa egy alapértelmezett útvonalat ad hozzá az 1. lépésben létrehozott útválasztási táblához. Az egyetlen támogatott útvonal a "0.0.0.0/0" célelőtag a "VPNGateway" NextHop-hoz.

    Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGateway

  4. Társítsa az útválasztási táblát az alhálózatokhoz.

    Az útválasztási tábla létrehozása és az útvonal hozzáadása után az alábbi példában hozzáadhatja vagy társíthatja az útvonaltáblát egy VNet-alhálózathoz. A példa hozzáadja a "MyRouteTable" útvonaltáblát a MultiTier-VNet Midtier és Backend alhálózataihoz.

    Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable"
Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"

  5. Rendeljen hozzá egy alapértelmezett helyet a kényszerített bújtatáshoz.

    Az előző lépésben a minta parancsmagszkriptek létrehozták az útválasztási táblát, és az útvonaltáblát a VNet két alhálózatához társították. A fennmaradó lépés egy helyi hely kiválasztása a virtuális hálózat többhelyes kapcsolatai közül alapértelmezett helyként vagy alagútként.

    $DefaultSite = @("DefaultSiteHQ")
Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"

További PowerShell-parancsmagok

Útvonaltábla törlése

Remove-AzureRouteTable -Name <routeTableName>

Útvonaltábla listázása

Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]

Útvonal törlése útvonaltáblából

Remove-AzureRouteTable –Name <routeTableName>

Útvonal eltávolítása alhálózatról

Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Alhálózathoz társított útvonaltábla listázása

Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Alapértelmezett hely eltávolítása virtuális hálózati VPN-átjáróról

Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>
  • Last updated on