Tutorial: Buat jaringan hub dan spoke yang aman

  • Artikel

Dalam tutorial ini, Anda membuat topologi jaringan hub dan spoke menggunakan Azure Virtual Network Manager. Anda kemudian menyebarkan gateway jaringan virtual di jaringan virtual hub untuk memungkinkan sumber daya di jaringan virtual spoke berkomunikasi dengan jaringan jarak jauh menggunakan VPN. Selain itu, Anda mengonfigurasi konfigurasi keamanan untuk memblokir lalu lintas jaringan keluar ke internet pada port 80 dan 443. Terakhir, Anda memverifikasi bahwa konfigurasi diterapkan dengan benar dengan melihat jaringan virtual dan pengaturan komputer virtual.

Penting

Azure Virtual Network Manager umumnya tersedia untuk Virtual Network Manager dan konfigurasi konektivitas hub-and-spoke. Konfigurasi konektivitas mesh tetap berada di pratinjau publik.

Konfigurasi keamanan dengan aturan admin keamanan umumnya tersedia di wilayah berikut:

  • Australia Tengah
  • Australia Tengah 2
  • Australia Timur
  • Australia Tenggara
  • Brasil Selatan
  • Brasil Tenggara
  • Kanada Tengah
  • Kanada Timur
  • Asia Timur
  • Eropa Utara
  • Prancis Tengah
  • Prancis Selatan
  • Jerman Utara
  • Jerman Barat Tengah
  • India Tengah
  • India Selatan
  • India Barat
  • Israel Tengah
  • Italia Utara
  • Jepang Timur
  • Jepang Barat
  • Jio India Barat
  • Korea Tengah
  • Korea Selatan
  • Norwegia Timur
  • Norwegia Barat
  • Polandia Tengah
  • Qatar Tengah
  • Afrika Selatan Utara
  • Afrika Selatan Barat
  • Swedia Tengah
  • Swedia Selatan
  • Swiss Utara
  • Swiss Barat
  • UAE Tengah
  • Arab Saudi Utara
  • UK Selatan
  • UK Barat
  • US Tengah
  • US Timur
  • US North
  • Barat AS
  • AS Barat 2
  • AS Bagian Barat 3
  • Barat Sentral AS

Semua wilayah lain tetap dalam pratinjau publik.

Versi pratinjau ini diberikan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Buat beberapa jaringan virtual.
  • Menyebarkan gateway jaringan virtual.
  • Buat topologi jaringan hub dan spoke.
  • Buat konfigurasi keamanan yang memblokir lalu lintas pada port 80 dan 443.
  • Pastikan konfigurasi telah diterapkan.

Diagram komponen topologi hub dan spoke yang aman.

Prasyarat

  • Akun Azure dengan langganan aktif. Buat akun secara gratis.
  • Sebelum Anda dapat menyelesaikan langkah-langkah dalam tutorial ini, Anda harus terlebih dahulu membuat instans Azure Virtual Network Manager. Instans perlu menyertakan fitur admin Koneksi ivity dan Security. Tutorial ini menggunakan instans Virtual Network Manager bernama vnm-learn-eastus-001.

Membuat jaringan virtual

Prosedur ini memandikan Anda membuat tiga jaringan virtual yang akan terhubung menggunakan topologi jaringan hub dan spoke.

  1. Masuk ke portal Azure.

  2. Pilih + Buat sumber daya dan cari Jaringan virtual. Kemudian pilih Buat untuk mulai mengonfigurasi jaringan virtual.

  3. Di tab Dasar-dasar, masukkan atau pilih informasi berikut ini:

    Cuplikan layar tab dasar untuk jaringan virtual hub and spoke.

    Pengaturan Nilai
    Langganan Pilih langganan tempat Anda ingin menyebarkan jaringan virtual ini.
    Grup sumber daya Pilih atau buat grup sumber daya baru untuk menyimpan jaringan virtual. Mulai cepat ini menggunakan grup sumber daya bernama rg-learn-eastus-001.
    Nama Masukkan vnet-learn-prod-eastus-001 untuk nama jaringan virtual.
    Wilayah Pilih wilayah US Timur.

  4. Pilih Berikutnya: Alamat IP dan konfigurasikan ruang alamat jaringan berikut:

    Cuplikan layar tab alamat IP untuk jaringan virtual hub and spoke.

    Pengaturan Nilai
    Ruang alamat IPv4 Masukkan 10.0.0.0/16 sebagai ruang alamat.
    Nama subnet Masukkan nama default untuk subnet.
    Ruang alamat subnet Masukkan ruang alamat subnet 10.0.0.0/24.

  5. Pilih Tinjau + buat lalu pilih Buat untuk menyebarkan jaringan virtual.

  6. Ulangi langkah 2-5 untuk membuat dua jaringan virtual lagi ke dalam grup sumber daya yang sama dengan informasi berikut:

    Pengaturan Nilai
    Langganan Pilih langganan yang sama dengan yang Anda pilih di langkah 3.
    Grup sumber daya Pilih rg-learn-eastus-001.
    Nama Masukkan vnet-learn-prod-eastus-002 dan vnet-learn-hub-eastus-001 untuk dua jaringan virtual.
    Wilayah Pilih (US) US Timur
    Alamat IP vnet-learn-prod-eastus-002 Ruang alamat IPv4: 10.1.0.0/16
    Nama subnet: ruang alamat Subnet default
    : 10.1.0.0/24
    Alamat IP vnet-learn-hub-eastus-001 Ruang alamat IPv4: 10.2.0.0/16
    Nama subnet: ruang alamat Subnet default
    : 10.2.0.0/24

Menyebarkan gateway jaringan virtual

Menyebarkan gateway jaringan virtual ke jaringan virtual hub. Gateway jaringan virtual ini diperlukan spoke untuk pengaturan Gunakan hub sebagai gateway.

  1. Pilih + Buat sumber daya dan cari Gateway jaringan virtual. Kemudian pilih Buat untuk mulai mengonfigurasi gateway jaringan virtual.

  2. Pada tab Dasar, masukkan atau pilih pengaturan berikut:

    Cuplikan layar membuat tab dasar gateway jaringan virtual.

    Pengaturan Nilai
    Langganan Pilih langganan tempat Anda ingin menyebarkan jaringan virtual ini.
    Nama Masukkan gw-learn-hub-eastus-001 untuk nama gateway jaringan virtual.
    SKU Pilih VpnGW1 untuk SKU.
    Generation Pilih Generasi1 untuk generasi.
    Jaringan virtual Pilih vnet-learn-hub-eastus-001 untuk VNet.
    Alamat IP Publik
    Nama alamat IP publik Masukkan nama gwpip-learn-hub-eastus-001 untuk IP publik.
    ALAMAT IP PUBLIK KEDUA
    Nama alamat IP publik Masukkan nama gwpip-learn-hub-eastus-002 untuk IP publik.

  3. Pilih Tinjau + buat lalu pilih Buat setelah validasi lulus. Penyebaran gateway jaringan virtual dapat memakan waktu sekitar 30 menit. Anda dapat melanjutkan ke bagian berikutnya sambil menunggu penyebaran ini selesai. Namun, Anda mungkin menemukan gw-learn-hub-eastus-001 tidak menampilkan bahwa ia memiliki gateway karena waktu dan sinkronisasi di seluruh portal Azure.

Membuat grup jaringan dinamis

  1. Buka instans Azure Virtual Network Manager Anda. Tutorial ini mengasumsikan Anda telah membuatnya menggunakan panduan quickstart. Grup jaringan dalam tutorial ini disebut ng-learn-prod-eastus-001.

  2. Pilih Grup jaringan di bawah Pengaturan, lalu pilih + Buat untuk membuat grup jaringan baru.

    Cuplikan layar tombol tambahkan grup jaringan.

  3. Pada layar Buat grup jaringan, masukkan informasi berikut ini:

    Cuplikan layar tab Dasar di halaman Buat grup jaringan.

    Pengaturan Nilai
    Nama Masukkan ng-learn-prod-eastus-001 untuk nama grup jaringan.
    Deskripsi Berikan deskripsi tentang grup jaringan ini.

  4. Pilih Buat untuk membuat grup jaringan virtual.

  5. Dari halaman Grup jaringan, pilih grup jaringan yang dibuat dari atas untuk mengonfigurasi grup jaringan.

  6. Pada halaman Gambaran Umum , pilih Buat Azure Policy di bawah Buat kebijakan untuk menambahkan anggota secara dinamis.

    Cuplikan layar tombol keanggotaan dinamis yang ditentukan.

  7. Pada halaman Buat Azure Policy , pilih atau masukkan informasi berikut ini:

    Cuplikan layar membuat tab pernyataan bersyarat grup jaringan.

    Pengaturan Nilai
    Nama Azure Policy Masukkan azpol-learn-prod-eastus-001 di kotak teks.
    Cakupan Pilih Pilih Cakupan dan pilih langganan Anda saat ini.
    Kriteria
    Parameter Pilih Nama dari menu drop-down.
    Operator Pilih Berisi dari menu drop-down.
    Kondisi Masukkan -prod untuk kondisi dalam kotak teks.

  8. Pilih Pratinjau sumber daya untuk melihat halaman Jaringan virtual efektif dan pilih Tutup. Halaman ini memperlihatkan jaringan virtual yang akan ditambahkan ke grup jaringan berdasarkan kondisi yang ditentukan dalam Azure Policy.

    Cuplikan layar halaman Jaringan virtual efektif dengan hasil pernyataan bersayarat.

  9. Pilih Simpan untuk menyebarkan keanggotaan grup. Diperlukan waktu hingga satu menit agar kebijakan diterapkan dan ditambahkan ke grup jaringan Anda.

  10. Pada halaman Grup Jaringan di bawah Pengaturan, pilih Anggota Grup untuk melihat keanggotaan grup berdasarkan kondisi yang ditentukan dalam Azure Policy. Sumber terdaftar sebagai azpol-learn-prod-eastus-001.

    Cuplikan layar keanggotaan grup dinamis di bawah Keanggotaan Grup.

Buat konfigurasi konektivitas hub dan spoke

  1. Pilih Konfigurasi di bawah Pengaturan, lalu pilih + Buat.

  2. Pilih konfigurasi Koneksi ivity dari menu drop-down untuk mulai membuat konfigurasi konektivitas.

  3. Pada halaman Dasar, masukkan informasi berikut, dan pilih Berikutnya: Topologi >.

    Cuplikan layar menambahkan halaman konfigurasi konektivitas.

    Pengaturan Nilai
    Nama Masukkan cc-learn-prod-eastus-001.
    Deskripsi (Opsional) Berikan deskripsi tentang konfigurasi konektivitas ini.

  4. Pada tab Topologi , pilih Hub dan Spoke. Ini mengungkapkan pengaturan lain.

    Screenshot pemilihan hub untuk konfigurasi konektivitas.

  5. Pilih Pilih hub di bawah Pengaturan hub . Kemudian, pilih vnet-learn-hub-eastus-001 untuk berfungsi sebagai hub jaringan Anda dan pilih Pilih.

    Cuplikan layar Pilih konfigurasi hub.

    Catatan

    Bergantung pada waktu penyebaran, Anda mungkin tidak melihat jaringan virtual hub target yang memiliki gateway di bawah Memiliki gateway. Hal ini disebabkan oleh penyebaran gateway jaringan virtual. Dibutuhkan waktu hingga 30 menit untuk disebarkan, dan mungkin tidak langsung ditampilkan dalam berbagai tampilan portal Azure.

  6. Di bawah Grup jaringan spoke, pilih + tambahkan. Kemudian, pilih ng-learn-prod-eastus-001 untuk grup jaringan dan pilih Pilih.

    Cuplikan layar halaman Tambahkan grup jaringan.

  7. Setelah Anda menambahkan grup jaringan, pilih opsi berikut. Kemudian pilih add untuk membuat konfigurasi konektivitas.

    Cuplikan layar pengaturan untuk konfigurasi grup jaringan.

    Pengaturan Nilai
    Koneksi ivitas langsung Pilih kotak centang untuk Mengaktifkan konektivitas dalam grup jaringan. Pengaturan ini memungkinkan jaringan virtual spoke dalam grup jaringan di wilayah yang sama untuk berkomunikasi satu sama lain secara langsung.
    Jala Global Biarkan opsi Aktifkan konektivitas jala di seluruh wilayah tidak dicentang. Pengaturan ini tidak diperlukan karena kedua spoke berada di wilayah yang sama
    Hub sebagai gateway Pilih kotak centang untuk Hub sebagai gateway.

  8. Pilih Berikutnya: Tinjau + buat > lalu buat konfigurasi konektivitas.

Terapkan konfigurasi konektivitas

Pastikan gateway jaringan virtual telah berhasil digunakan sebelum menyebarkan konfigurasi konektivitas. Jika Anda menyebarkan konfigurasi hub dan spoke dengan Gunakan hub sebagai gateway yang diaktifkan dan tidak ada gateway, penyebaran gagal. Untuk informasi selengkapnya, lihat menggunakan hub sebagai gateway.

  1. Pilih Penyebaran di bawah Pengaturan, lalu pilih Sebarkan konfigurasi.

    Cuplikan layar halaman penyebaran di Pengelola Jaringan.

  2. Pilih pengaturan berikut:

    Cuplikan layar sebarkan halaman konfigurasi.

    Pengaturan Nilai
    Konfigurasi Pilih Sertakan konfigurasi konektivitas dalam status tujuan Anda .
    konfigurasi Koneksi ivity Pilih cc-learn-prod-eastus-001.
    Wilayah target Pilih US Timur sebagai wilayah penyebaran.

  3. Pilih Berikutnya lalu pilih Sebarkan untuk menyelesaikan penyebaran.

    Cuplikan layar pesan konfirmasi penyebaran.

  4. Penyebaran ditampilkan dalam daftar untuk wilayah yang dipilih. Penyebaran konfigurasi dapat memakan waktu beberapa menit untuk diselesaikan.

    Cuplikan layar penyebaran konfigurasi dalam status sedang berlangsung.

Membuat konfigurasi admin keamanan

  1. Pilih Konfigurasi di bawah Pengaturan lagi, lalu pilih + Buat, dan pilih KeamananAdmin dari menu untuk mulai membuat konfigurasi SecurityAdmin.

  2. Masukkan nama sac-learn-prod-eastus-001 untuk konfigurasi, lalu pilih Berikutnya: Kumpulan aturan.

    Cuplikan layar halaman konfigurasi Admin Keamanan.

  3. Masukkan nama rc-learn-prod-eastus-001 untuk kumpulan aturan dan pilih ng-learn-prod-eastus-001 untuk grup jaringan target. Lalu pilih + Tambahkan.

    Cuplikan layar menambahkan halaman kumpulan aturan.

  4. Masukkan dan pilih pengaturan berikut, lalu pilih Tambah:

    Cuplikan layar tambahkan halaman aturan dan pengaturan aturan.

    Pengaturan Nilai
    Nama Masukkan DENY_INTERNET
    Deskripsi Masukkan Aturan ini memblokir lalu lintas ke internet di HTTP dan HTTPS
    Prioritas Masukkan 1
    Perbuatan Pilih Tolak
    Arah Pilih Keluar
    Protokol Pilih TCP
    Sumber
    Jenis sumber Pilih IP
    Alamat IP sumber Masukkan *
    Tujuan
    Tipe tujuan Pilih alamat IP
    Alamat IP tujuan Masukkan *
    Port tujuan Masukkan 80, 443

  5. Pilih Tambahkan untuk menambahkan kumpulan aturan ke konfigurasi.

    Cuplikan layar tombol simpan untuk kumpulan aturan.

  6. Pilih Tinjau + buat dan Buat untuk membuat konfigurasi admin keamanan.

Terapkan konfigurasi admin keamanan

  1. Pilih Penyebaran di bawah Pengaturan, lalu pilih Sebarkan konfigurasi.

  2. Di bawah Konfigurasi, Pilih Sertakan admin keamanan dalam status tujuan Anda dan konfigurasi sac-learn-prod-eastus-001 yang Anda buat di bagian terakhir. Lalu pilih US Timur sebagai wilayah target dan pilih Berikutnya.

    Cuplikan layar penyebaran konfigurasi keamanan.

  3. Pilih Berikutnya lalu Sebarkan. Anda sekarang akan melihat penyebaran muncul dalam daftar pada wilayah yang dipilih. Penyebaran konfigurasi dapat memakan waktu beberapa menit untuk diselesaikan.

Verifikasi penyebaran konfigurasi

Verifikasi dari jaringan virtual

  1. Buka jaringan virtual vnet-learn-prod-eastus-001 dan pilih Pengelola Jaringan di bawah Pengaturan. Tab konfigurasi Koneksi ivity mencantumkan konfigurasi konektivitas cc-learn-prod-eastus-001 yang diterapkan di jaringan virtual

    Cuplikan layar konfigurasi konektivitas yang diterapkan ke jaringan virtual.

  2. Pilih tab Konfigurasi admin keamanan dan perluas Keluar untuk mencantumkan aturan admin keamanan yang diterapkan ke jaringan virtual ini.

    Cuplikan layar konfigurasi admin keamanan yang diterapkan ke jaringan virtual.

  3. Pilih Peering di bawah Pengaturan untuk mencantumkan peering jaringan virtual yang dibuat oleh Virtual Network Manager. Namanya dimulai dengan ANM_.

    Screenshot peering jaringan virtual yang dibuat oleh Virtual Network Manager.

Verifikasi dari VM

  1. Sebarkan komputer virtual pengujian ke vnet-learn-prod-eastus-001.

  2. Buka VM pengujian yang dibuat di vnet-learn-prod-eastus-001 dan pilih Jaringan di bawah Pengaturan. Pilih Aturan port keluar dan verifikasi aturan DENY_INTERNET diterapkan.

    Cuplikan layar aturan keamanan jaringan VM pengujian.

  3. Pilih nama antarmuka jaringan dan pilih Rute efektif di bawah Bantuan untuk memverifikasi rute untuk peering jaringan virtual. Rute 10.2.0.0/16 dengan JenisVNet peering Hop Berikutnya adalah rute ke jaringan virtual hub.

    Cuplikan layar rute efektif dari antarmuka jaringan VM pengujian.

Membersihkan sumber daya

Jika Anda tidak lagi memerlukan Azure Virtual Network Manager, Anda perlu memastikan semua hal berikut ini benar sebelum Anda dapat menghapus sumber daya:

  • Tidak ada penyebaran konfigurasi ke wilayah mana pun.
  • Semua konfigurasi telah dihapus.
  • Semua grup jaringan telah dihapus.

Gunakan daftar periksa hapus komponen untuk memastikan tidak ada sumber daya turunan yang masih tersedia sebelum menghapus grup sumber daya.

Langkah berikutnya

Pelajari cara memblokir lalu lintas jaringan dengan Konfigurasi admin keamanan.