Latihan - Membuat NVA dan komputer virtual

  • 10 menit

Dalam tahap penerapan keamanan berikutnya, Anda akan menyebarkan appliance virtual jaringan (NVA) untuk mengamankan dan memantau lalu lintas antara server publik ujung depan dan server pribadi internal Anda.

Anda mengonfigurasi appliance untuk meneruskan lalu lintas IP. Jika penerusan IP tidak diaktifkan, lalu lintas yang dirutekan melalui appliance Anda tidak akan pernah diterima oleh server tujuan yang dimaksudkan.

Dalam latihan ini, Anda menyebarkan appliance jaringan nva ke subnet dmzsubnet . Kemudian Anda mengaktifkan penerusan IP sehingga lalu lintas dari * dan lalu lintas yang menggunakan rute kustom dikirim ke subnet privatesubnet .

Visualization of a Network virtual appliance with IP forwarding enabled.

Dalam langkah berikut ini, Anda akan menyebarkan NVA. Anda kemudian akan memperbarui Azure virtual NIC dan pengaturan jaringan di dalam appliance untuk mengaktifkan penerusan IP.

Menyebarkan appliance virtual jaringan

Untuk membangun NVA, sebarkan instans Ubuntu LTS.

  1. Di Cloud Shell, jalankan perintah berikut untuk menyebarkan appliance. Ganti <password> dengan kata sandi sesuai pilihan Anda untuk akun administrator azureuser.

    az vm create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

Mengaktifkan penerusan IP untuk antarmuka jaringan Azure

Di langkah berikutnya, penerusan IP untuk appliance jaringan nva diaktifkan. Saat lalu lintas mengalir ke NVA namun ternyata dimaksudkan untuk target lainnya, NVA akan merutekan lalu lintas itu ke tujuan yang seharusnya.

  1. Jalankan perintah berikut untuk mendapatkan ID antarmuka jaringan NVA.

    NICID=$(az vm nic list \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. Jalankan perintah berikut untuk mendapatkan nama antarmuka jaringan NVA.

    NICNAME=$(az vm nic show \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. Jalankan perintah berikut untuk mengaktifkan penerusan IP pada antarmuka jaringan.

    az network nic update --name $NICNAME \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --ip-forwarding true

Mengaktifkan penerusan IP pada appliance

  1. Jalankan perintah berikut untuk menyimpan alamat IP publik komputer virtual NVA ke variabel NVAIP.

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. Jalankan perintah berikut untuk mengaktifkan penerusan IP pada NVA.

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    Saat diminta, masukkan kata sandi yang Anda gunakan ketika membuat komputer virtual.