Menyebarkan dan mengonfigurasi Azure Firewall di jaringan hibrid dengan menggunakan portal Azure

Saat Anda menyambungkan jaringan lokal Anda ke jaringan virtual Azure untuk membuat jaringan hibrid, kemampuan untuk mengontrol akses ke sumber daya jaringan Azure adalah bagian penting dari rencana keamanan keseluruhan.

Anda dapat menggunakan Azure Firewall untuk mengontrol akses jaringan di jaringan hibrid dengan menggunakan aturan yang menentukan lalu lintas jaringan yang diizinkan dan ditolak.

Untuk tutorial ini, Anda membuat tiga jaringan virtual:

  • VNet-Hub: Firewall berada di jaringan virtual ini.
  • VNet-Spoke: Jaringan virtual spoke mewakili beban kerja yang terletak di Azure.
  • VNet-Onprem: Jaringan virtual lokal mewakili jaringan lokal. Dalam penyebaran aktual, Anda dapat menyambungkannya dengan menggunakan koneksi jaringan privat virtual (VPN) atau koneksi Azure ExpressRoute. Untuk kesederhanaan, artikel ini menggunakan koneksi gateway VPN, dan jaringan virtual yang terletak di Azure mewakili jaringan lokal.

Diagram yang memperlihatkan firewall dalam jaringan hibrid.

Jika Anda ingin menggunakan Azure PowerShell sebagai gantinya untuk menyelesaikan prosedur dalam artikel ini, lihat Menyebarkan dan mengonfigurasi Azure Firewall dalam jaringan hibrid dengan menggunakan Azure PowerShell.

Catatan

Artikel ini menggunakan aturan Azure Firewall klasik untuk mengelola firewall. Metode yang disukai adalah menggunakan kebijakan Azure Firewall Manager. Untuk menyelesaikan prosedur ini dengan menggunakan kebijakan Azure Firewall Manager, lihat Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall dan kebijakan dalam jaringan hibrid menggunakan portal Azure.

Prasyarat

Jaringan hibrid menggunakan model arsitektur hub-and-spoke untuk merutekan lalu lintas antara jaringan virtual Azure dan jaringan lokal. Arsitektur hub-dan-spoke memiliki persyaratan berikut:

  • Atur Gunakan gateway jaringan virtual ini atau Route Server saat Anda melakukan peering VNet-Hub ke VNet-Spoke. Dalam arsitektur jaringan hub-and-spoke, gateway transit memungkinkan jaringan virtual spoke untuk berbagi gateway VPN di hub, alih-alih menerapkan gateway VPN di setiap jaringan virtual spoke.

    Selain itu, rute ke jaringan virtual yang terhubung dengan gateway atau jaringan lokal di lokasi secara otomatis disebarkan ke tabel perutean untuk jaringan virtual yang di-peering-kan melalui transit gateway. Untuk informasi selengkapnya, lihat Mengonfigurasi gateway VPN untuk transit pada jaringan virtual.

  • Atur Gunakan gateway jaringan virtual jarak jauh atau Route Server saat Anda melakukan peering VNet-Spoke ke VNet-Hub. Jika Gunakan gateway jaringan virtual jarak jauh atau Route Server diatur dan Gunakan gateway jaringan virtual ini atau Route Server pada peering jarak jauh juga diatur, jaringan virtual spoke menggunakan gateway dari jaringan virtual jarak jauh untuk transit.

  • Untuk merutekan lalu lintas subnet spoke melalui firewall hub, Anda dapat menggunakan rute yang ditentukan pengguna (UDR) yang diarahkan ke firewall dengan opsi penyebaran rute gateway jaringan virtual dinonaktifkan. Menonaktifkan opsi ini mencegah distribusi rute ke subnet spoke, sehingga rute yang dipelajari tidak dapat bertentangan dengan UDR Anda. Jika Anda ingin propagasi rute gateway jaringan virtual tetap diaktifkan, pastikan Anda mendefinisikan rute-rute spesifik ke firewall untuk mengesampingkan rute yang dipublikasikan dari lokasi lokal melalui Border Gateway Protocol (BGP).

  • Mengonfigurasi UDR pada subnet gateway hub yang menunjuk ke alamat IP firewall sebagai lompatan berikutnya ke jaringan spoke. Tidak ada UDR yang diperlukan pada subnet Azure Firewall, karena mempelajari rute dari BGP.

Bagian Buat rute nanti dalam artikel ini memperlihatkan cara membuat rute ini.

Azure Firewall harus memiliki konektivitas Internet langsung. Jika subnet AzureFirewallSubnet Anda mempelajari rute default ke jaringan lokal Anda melalui BGP, Anda harus mengambil alihnya dengan menggunakan UDR 0.0.0.0/0 dengan NextHopType nilai yang ditetapkan sebagai Internet untuk mempertahankan konektivitas internet langsung.

Catatan

Anda dapat mengonfigurasi Azure Firewall untuk mendukung penerowongan paksa. Untuk informasi selengkapnya, lihat penerowongan paksa Azure Firewall.

Lalu lintas antara jaringan virtual yang dipasangkan langsung akan dirutekan langsung, bahkan jika UDR menetapkan Azure Firewall sebagai tujuan default. Untuk mengirim lalu lintas antara subnet ke firewall dalam skenario ini, UDR harus secara jelas mencantumkan awalan jaringan dari subnet target pada kedua subnet.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Membuat jaringan virtual untuk hub firewall

Pertama, buat grup sumber daya untuk memuat semua sumber daya untuk tutorial ini:

  1. Masuk ke portal Azure.
  2. Di beranda portal Azure, pilih Grup sumber daya>Buat.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Grup sumber daya, masukkan RG-fw-hybrid-test.
  5. Untuk Wilayah, pilih wilayah. Semua sumber daya yang Anda buat nanti harus berada di wilayah yang sama.
  6. Pilih Tinjau + Buat.
  7. Pilih Buat.

Sekarang, buat jaringan virtual.

Catatan

Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi lebih tentang ukuran subnet, lihat Tanya Jawab Umum Azure Firewall.

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan jaringan virtual.
  3. Pilih Jaringan virtual, lalu pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Nama jaringan virtual, masukkan VNet-Hub.
  6. Untuk Wilayah, pilih wilayah yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk ruang Alamat IPv4, hapus alamat default dan masukkan 10.5.0.0/16.
  10. Di bawah Subnet, hapus subnet default.
  11. Pilih Tambahkan subnet.
  12. Pada halaman Tambahkan subnet , untuk templat Subnet, pilih Azure Firewall.
  13. Pilih Tambahkan.

Buat subnet kedua untuk gateway:

  1. Pilih Tambahkan subnet.
  2. Untuk Templat Subnet, pilih Virtual Network Gateway.
  3. Untuk Alamat awal, terima nilai default 10.5.1.0.
  4. Untuk Ukuran subnet, terima nilai default /27.
  5. Pilih Tambahkan.
  6. Pilih Tinjau dan buat.
  7. Pilih Buat.

Membuat jaringan virtual spoke

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan jaringan virtual.
  3. Pilih Jaringan virtual, lalu pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Nama, masukkan VNet-Spoke.
  6. Untuk Wilayah, pilih wilayah yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk ruang Alamat IPv4, hapus alamat default dan masukkan 10.6.0.0/16.
  10. Di bawah Subnet, hapus subnet default.
  11. Pilih Tambahkan subnet.
  12. Untuk Nama, masukkan SN-Workload.
  13. Untuk Alamat awal, terima nilai default 10.6.0.0.
  14. Untuk Ukuran subnet, terima nilai default /24.
  15. Pilih Tambahkan.
  16. Pilih Tinjau dan buat.
  17. Pilih Buat.

Membuat jaringan virtual lokal

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan jaringan virtual.
  3. Pilih Jaringan virtual, lalu pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Nama, masukkan VNet-Onprem.
  6. Untuk Wilayah, pilih wilayah yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk ruang Alamat IPv4, hapus alamat default dan masukkan 192.168.0.0/16.
  10. Di bawah Subnet, hapus subnet default.
  11. Pilih Tambahkan subnet.
  12. Untuk Nama, masukkan SN-Corp.
  13. Untuk Alamat awal, terima nilai default 192.168.0.0.
  14. Untuk Ukuran subnet, terima nilai default /24.
  15. Pilih Tambahkan.

Sekarang, buat subnet kedua untuk gateway:

  1. Pilih Tambahkan subnet.
  2. Untuk Templat Subnet, pilih Virtual Network Gateway.
  3. Untuk Alamat awal, terima nilai default 192.168.1.0.
  4. Untuk Ukuran subnet, terima nilai default /27.
  5. Pilih Tambahkan.
  6. Pilih Tinjau dan buat.
  7. Pilih Buat.

Mengonfigurasi dan menyebarkan firewall

Sebarkan firewall ke jaringan virtual hub firewall:

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.

  2. Dalam kotak pencarian, masukkan firewall.

  3. Pilih Firewall, lalu pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan Pilih langganan Anda.
    Grup sumber daya Masukkan RG-fw-hybrid-test.
    Nama Masukkan AzFW01.
    Wilayah Pilih wilayah yang Anda gunakan sebelumnya.
    Firewall SKU Pilih Standar.
    Manajemen firewall Pilih Gunakan aturan Firewall (klasik) untuk mengelola firewall ini.
    Pilih jaringan virtual Pilih Gunakan yang ada>VNet-Hub.
    Alamat IP Publik Pilih Tambahkan baru>fw-pip.

  5. Pilih Tinjau dan buat.

  6. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Firewall membutuhkan waktu beberapa menit untuk disebarkan.

  7. Setelah penyebaran selesai, buka grup sumber daya RG-fw-hybrid-test dan pilih firewall AzFW01 .

  8. Catat alamat IP privat. Anda menggunakannya nanti saat membuat rute default.

Mengonfigurasi aturan jaringan

Pertama, tambahkan aturan jaringan untuk mengizinkan lalu lintas web:

  1. Pada halaman AzFW01 , pilih Aturan (klasik).
  2. Pilih tab Kumpulan aturan Jaringan.
  3. Pilih Tambahkan kumpulan aturan jaringan.
  4. Untuk Nama, masukkan RCNet01.
  5. Untuk Prioritas, masukkan 100.
  6. Untuk Tindakan kumpulan aturan, pilih Izinkan.
  7. Di bawah Alamat IP Aturan, untuk Nama, masukkan AllowWeb.
  8. Untuk Protokol, pilih TCP.
  9. Untuk Jenis sumber, pilih alamat IP.
  10. Untuk Sumber, masukkan 192.168.0.0/24.
  11. Untuk Jenis tujuan, pilih alamat IP.
  12. Untuk Alamat Tujuan, masukkan 10.6.0.0/16.
  13. Untuk Port Tujuan, masukkan 80.

Membuat dan menyambungkan gateway VPN

Hub dan jaringan virtual lokal tersambung melalui gateway VPN.

Membuat gateway VPN untuk jaringan virtual hub

Buat gateway VPN untuk jaringan virtual hub. Konfigurasi jaringan ke jaringan memerlukan jenis VPN berbasis rute. Membuat gateway VPN sering kali membutuhkan waktu 45 menit atau lebih, tergantung pada SKU yang Anda pilih.

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan gateway jaringan virtual.
  3. Pilih Gateway jaringan virtual, lalu pilih Buat.
  4. Untuk Nama, masukkan GW-hub.
  5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  6. Untuk Jenis gateway, pilih VPN.
  7. Untuk jenis VPN, pilih berbasis Rute.
  8. Untuk SKU, pilih Dasar.
  9. Untuk Jaringan virtual, pilih VNet-Hub.
  10. Untuk Alamat IP publik, pilih Buat baru dan masukkan VNet-Hub-GW-pip untuk nama tersebut.
  11. Untuk Mengaktifkan mode aktif-aktif, pilih Dinonaktifkan.
  12. Terima default yang tersisa, lalu pilih Tinjau + buat.
  13. Tinjau konfigurasi, lalu pilih Buat.

Membuat gateway VPN untuk jaringan virtual lokal

Buat gateway VPN untuk jaringan virtual lokal. Konfigurasi jaringan ke jaringan memerlukan jenis VPN berbasis rute. Membuat gateway VPN sering kali membutuhkan waktu 45 menit atau lebih, tergantung pada SKU yang Anda pilih.

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan gateway jaringan virtual.
  3. Pilih Gateway jaringan virtual, lalu pilih Buat.
  4. Untuk Nama, masukkan GW-Onprem.
  5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  6. Untuk Jenis gateway, pilih VPN.
  7. Untuk jenis VPN, pilih berbasis Rute.
  8. Untuk SKU, pilih Dasar.
  9. Untuk Jaringan Virtual, pilih VNet-Onprem.
  10. Untuk Alamat IP publik, pilih Buat baru dan masukkan VNet-Onprem-GW-pip untuk nama tersebut.
  11. Untuk Mengaktifkan mode aktif-aktif, pilih Dinonaktifkan.
  12. Terima default yang tersisa, lalu pilih Tinjau + buat.
  13. Tinjau konfigurasi, lalu pilih Buat.

Membuat sambungan VPN

Sekarang Anda dapat membuat koneksi VPN antara hub dan gateway lokal.

Dalam langkah-langkah berikut, Anda membuat koneksi dari jaringan virtual hub ke jaringan virtual lokal. Contoh menunjukkan kunci bersama, tetapi Anda dapat menggunakan nilai Anda sendiri untuk kunci bersama. Yang penting kunci bersama harus cocok untuk kedua koneksi. Membuat sambungan hanya membutuhkan waktu singkat.

  1. Buka grup sumber daya RG-fw-hybrid-test dan pilih gateway GW-hub.
  2. Pilih Koneksi pada kolom kiri.
  3. Pilih Tambahkan.
  4. Untuk nama koneksi, masukkan Hub-ke-Onprem.
  5. Untuk Jenis koneksi, pilih VNet-ke-VNet .
  6. Pilih Selanjutnya.
  7. Untuk Gateway jaringan virtual pertama, pilih GW-hub.
  8. Untuk gateway jaringan virtual kedua, pilih GW-Onprem.
  9. Untuk Kunci bersama (PSK), masukkan AzureA1b2C3.
  10. Pilih Tinjau + Buat.
  11. Pilih Buat.

Buat koneksi jaringan virtual antara lokal dan hub. Langkah-langkah berikut mirip dengan yang sebelumnya, kecuali Anda membuat koneksi dari VNet-Onprem ke VNet-Hub. Pastikan kunci bersama cocok. Koneksi dibuat setelah beberapa menit.

  1. Buka grup sumber daya RG-fw-hybrid-test dan pilih gateway GW-Onprem.
  2. Pilih Koneksi pada kolom kiri.
  3. Pilih Tambahkan.
  4. Untuk nama koneksi, masukkan Onprem-to-Hub.
  5. Untuk Jenis koneksi, pilih VNet-ke-VNet.
  6. Pilih Berikutnya: Pengaturan.
  7. Untuk gateway jaringan virtual pertama, pilih GW-Onprem.
  8. Untuk Gateway jaringan virtual kedua, pilih GW-hub.
  9. Untuk Kunci bersama (PSK), masukkan AzureA1b2C3.
  10. Pilih Tinjau + Buat.
  11. Pilih Buat.

Memverifikasi koneksi

Setelah sekitar lima menit, status kedua koneksi harus Tersambung.

Menghubungkan jaringan virtual hub dan spoke

Sekarang, amati jaringan virtual hub dan spoke.

  1. Buka grup sumber daya RG-fw-hybrid-test dan pilih jaringan virtual VNet-Hub.

  2. Pada kolom kiri, pilih Peering.

  3. Pilih Tambahkan.

  4. Pada Jaringan virtual ini:

    Nama pengaturan Pengaturan
    Nama tautan penghubung peering Masukkan HubtoSpoke.
    Lalu lintas ke jaringan virtual jarak jauh Pilih Izinkan.
    Lalu lintas yang diteruskan dari jaringan virtual jarak jauh Pilih Izinkan.
    Gateway jaringan virtual Pilih Gunakan gateway jaringan virtual ini.

  5. Di bawah Jaringan virtual jarak jauh:

    Nama pengaturan Nilai
    Nama tautan penghubung peering Masukkan SpoketoHub.
    Model penyebaran jaringan virtual Pilih Resource manager.
    Langganan Pilih langganan Anda.
    Jaringan virtual Pilih VNet-Spoke.
    Lalu lintas ke jaringan virtual jarak jauh Pilih Izinkan.
    Lalu lintas yang diteruskan dari jaringan virtual jarak jauh Pilih Izinkan.
    Gateway jaringan virtual Pilih Gunakan gateway jaringan virtual jarak jauh.

  6. Pilih Tambahkan.

Cuplikan layar berikut menunjukkan pengaturan yang akan digunakan saat Anda memasangkan jaringan virtual hub dan spoke.

Membuat rute

Dalam langkah-langkah berikut, Anda membuat rute ini:

  • Rute dari subnet gateway hub ke subnet spoke melalui alamat IP firewall
  • Rute bawaan dari subnet spoke menggunakan alamat IP firewall

Untuk membuat rute:

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan tabel rute.
  3. Pilih Tabel rute, lalu pilih Buat.
  4. Untuk grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  6. Untuk namanya, masukkan UDR-Hub-Spoke.
  7. Pilih Tinjau + Buat.
  8. Pilih Buat.
  9. Setelah tabel rute dibuat, pilih tabel untuk membuka halaman tabel rute.
  10. Pilih Rute pada kolom kiri.
  11. Pilih Tambahkan.
  12. Untuk nama rute, masukkan ToSpoke.
  13. Untuk Jenis tujuan, pilih alamat IP.
  14. Untuk Alamat IP tujuan/rentang CIDR, masukkan 10.6.0.0/16.
  15. Untuk jenis hop berikutnya, pilih Perangkat virtual.
  16. Untuk alamat hop berikutnya, masukkan alamat IP privat firewall yang Anda catat sebelumnya.
  17. Pilih Tambahkan.

Sekarang, kaitkan rute ke subnet:

  1. Pada halaman UDR-Hub-Spoke - Rute, pilih Subnet.
  2. Pilih Hubungkan.
  3. Di bawah Jaringan virtual, pilih VNet-Hub.
  4. Di bawah Subnet, pilih GatewaySubnet.
  5. Pilih OK.

Buat rute default dari subnet spoke:

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan tabel rute.
  3. Pilih Tabel rute, lalu pilih Buat.
  4. Untuk grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  6. Untuk namanya, masukkan UDR-DG.
  7. Untuk Menyebarkan rute gateway, pilih Tidak.
  8. Pilih Tinjau + Buat.
  9. Pilih Buat.
  10. Setelah tabel rute dibuat, pilih tabel untuk membuka halaman tabel rute.
  11. Pilih Rute pada kolom kiri.
  12. Pilih Tambahkan.
  13. Untuk nama rute, masukkan ToHub.
  14. Untuk Jenis tujuan, pilih alamat IP.
  15. Untuk Alamat IP tujuan/rentang CIDR, masukkan 0.0.0.0/0.
  16. Untuk jenis hop berikutnya, pilih Perangkat virtual.
  17. Untuk alamat hop berikutnya, masukkan alamat IP privat firewall yang Anda catat sebelumnya.
  18. Pilih Tambahkan.

Kaitkan rute ke subnet:

  1. Pada halaman UDR-DG - Rute, pilih Subnet.
  2. Pilih Hubungkan.
  3. Di bawah Jaringan virtual, pilih VNet-Spoke.
  4. Di bawah Subnet, pilih SN-Workload.
  5. Pilih OK.

Membuat komputer virtual

Buat beban kerja spoke dan komputer virtual lokal, dan letakkan di subnet yang sesuai.

Membuat mesin virtual beban kerja

Buat komputer virtual di jaringan virtual spoke yang menjalankan server web Nginx dan tidak memiliki alamat IP publik:

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Di bawah Produk Marketplace Populer, pilih Ubuntu Server 22.04 LTS.
  3. Masukkan nilai-nilai ini untuk komputer virtual:
    • Grup sumber daya: Pilih RG-fw-hybrid-test.
    • Nama komputer virtual: Masukkan VM-Spoke-01.
    • Wilayah: Pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
    • Gambar: Server Ubuntu 22.04 LTS - x64 Gen2
    • Ukuran: Standard_B2s
    • Jenis autentikasi: Kunci publik SSH
    • Nama pengguna: azureuser
    • Sumber kunci publik SSH: Hasilkan pasangan kunci baru
    • Nama pasangan kunci: VM-Spoke-01_key
  4. Untuk Port masuk publik, pilih Tidak Ada.
  5. Pilih Selanjutnya:Disk.
  6. Terima default dan pilih Selanjutnya: Jaringan.
  7. Untuk jaringan virtual, pilih VNet-Spoke. Subnet adalah SN-Workload.
  8. Untuk IP Publik, pilih Tidak Ada.
  9. Pilih Berikutnya: Manajemen.
  10. Pilih Berikutnya: Pemantauan.
  11. Untuk Diagnostik boot, pilih Nonaktifkan.
  12. Pilih Lakukan ulasan+Buat, lakukan ulasan pengaturan pada halaman ringkasan, lalu pilih Buat.
  13. Pada dialog Buat pasangan kunci baru , pilih Unduh kunci privat dan buat sumber daya. Simpan file kunci sebagai VM-Spoke-01_key.pem.

Menginstal Nginx

  1. Di portal Microsoft Azure, navigasikan ke komputer virtual VM-Spoke-01 .

  2. Di bawah Operasi, pilih Jalankan perintah>RunShellScript.

  3. Di panel Jalankan Skrip Perintah , masukkan skrip berikut ini:

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>'$(hostname)'</h1>' | sudo tee /var/www/html/index.html

  4. Pilih Jalankan.

  5. Tunggu hingga perintah selesai. Output ini menampilkan hostname dari mesin virtual.

Membuat mesin virtual di lokasi

Buat komputer virtual yang Anda gunakan untuk menyambungkan melalui Azure Bastion. Dari sana, Anda dapat terhubung ke server spoke melalui firewall.

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Di bawah Populer, pilih Ubuntu Server 22.04 LTS.
  3. Masukkan nilai-nilai ini untuk komputer virtual:
    • Grup sumber daya: Pilih Yang Sudah Ada, lalu pilih RG-fw-hybrid-test.
    • Nama komputer virtual: Masukkan VM-Onprem.
    • Wilayah: Pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
    • Gambar: Server Ubuntu 22.04 LTS - x64 Gen2
    • Ukuran: Standard_B2s
    • Jenis autentikasi: Kunci publik SSH
    • Nama pengguna: azureuser
    • Sumber kunci publik SSH: Hasilkan pasangan kunci baru
    • Nama pasangan kunci: VM-Onprem_key
  4. Untuk Port masuk publik, pilih Tidak Ada.
  5. Pilih Selanjutnya:Disk.
  6. Terima default dan pilih Selanjutnya: Jaringan.
  7. Untuk jaringan virtual, pilih VNet-Onprem. Subnetnya adalah SN-Corp.
  8. Pilih Berikutnya: Manajemen.
  9. Pilih Berikutnya: Pemantauan.
  10. Untuk Diagnostik boot, pilih Nonaktifkan.
  11. Pilih Lakukan ulasan+Buat, lakukan ulasan pengaturan pada halaman ringkasan, lalu pilih Buat.
  12. Pada dialog Buat pasangan kunci baru , pilih Unduh kunci privat dan buat sumber daya. Simpan file kunci sebagai VM-Onprem_key.pem.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend dari penyeimbang beban Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:

  • Alamat IP publik ditetapkan ke VM.
  • VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
  • Sebuah Azure NAT Gateway ditugaskan ke subnet VM.

VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.

Sebarkan Azure Bastion

Sekarang sebarkan Azure Bastion untuk menyediakan akses aman ke komputer virtual.

  1. Pada menu portal Microsoft Azure, pilih Buat sumber daya.

  2. Dalam kotak pencarian, ketik Bastion dan pilih dari hasilnya.

  3. Pilih Buat.

  4. Pada halaman Buat Bastion , konfigurasikan pengaturan berikut:

    Pengaturan Nilai
    Subscription Pilih langganan Anda
    Grup sumber daya RG-fw-hybrid-test
    Nama Hub-Bastion
    Wilayah Lokasi yang sama dengan sumber daya lain
    Tier Pengembang
    Jaringan virtual VNet-Hub
    Subnet Pilih Kelola konfigurasi subnet

  5. Di halaman Subnet , pilih + Subnet.

  6. Konfigurasikan subnet baru:

    • Nama: AzureBastionSubnet (nama ini diperlukan)
    • Rentang alamat subnet: 10.5.3.0/26

  7. Pilih Simpan dan tutup halaman subnet.

  8. Pilih Tinjau dan buat.

  9. Setelah melalui validasi, pilih Buat.

Menguji firewall

  1. Perhatikan alamat IP privat untuk komputer virtual VM-Spoke-01 .

  2. Di portal Microsoft Azure, sambungkan ke komputer virtual VM-Onprem menggunakan Azure Bastion:

    • Navigasi ke komputer virtual VM-Onprem
    • Pilih Sambungkan>melalui Bastion
    • Pilih Gunakan Kunci Privat SSH dari File Lokal
    • Untuk Nama Pengguna, ketik azureuser
    • Telusuri dan pilih file VM-Onprem_key.pem
    • Pilih Sambungkan

  3. Dari sesi SSH di VM-Onprem, telusuri ke server web spoke:

    curl http://<VM-Spoke-01 private IP>

    Server web VM-Spoke-01 harus merespons dengan status.

Selanjutnya, ubah tindakan untuk pengumpulan aturan jaringan firewall menjadi Tolak, untuk memverifikasi bahwa aturan firewall berfungsi seperti yang diharapkan:

  1. Pilih firewall AzFW01.
  2. Pilih Aturan (klasik).
  3. Pilih tab Kumpulan aturan jaringan, dan pilih kumpulan aturan RCNet01 .
  4. Untuk Tindakan, pilih Tolak.
  5. Pilih Simpan.

Tutup koneksi akses jarak jauh yang ada. Jalankan pengujian lagi untuk menguji aturan yang diubah. Mereka semua harus gagal kali ini.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall untuk pengujian lebih lanjut. Jika Anda tidak lagi membutuhkannya, hapus grup sumber daya RG-fw-hybrid-test untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Memantau log Azure Firewall

  • Last updated on