Latihan - Membuat NVA dan komputer virtual
Dalam tahap penerapan keamanan berikutnya, Anda akan menyebarkan appliance virtual jaringan (NVA) untuk mengamankan dan memantau lalu lintas antara server publik ujung depan dan server pribadi internal Anda.
Pertama, konfigurasikan appliance untuk meneruskan lalu lintas IP. Jika penerusan IP tidak diaktifkan, lalu lintas yang dirutekan melalui appliance Anda tidak akan pernah diterima oleh server tujuan yang dimaksudkan.
Dalam latihan ini, Anda menyebarkan appliance jaringan nva ke subnet dmzsubnet . Kemudian Anda mengaktifkan penerusan IP sehingga lalu lintas dari * dan lalu lintas yang menggunakan rute kustom dikirim ke subnet privatesubnet .
Dalam langkah berikut ini, Anda akan menyebarkan NVA. Anda kemudian akan memperbarui Azure virtual NIC dan pengaturan jaringan di dalam appliance untuk mengaktifkan penerusan IP.
Menyebarkan appliance virtual jaringan
Untuk membangun NVA, sebarkan instans Ubuntu LTS.
Di Cloud Shell, jalankan perintah berikut untuk menyebarkan appliance. Ganti
<password>dengan kata sandi sesuai pilihan Anda untuk akun administrator azureuser.az vm create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --vnet-name vnet \ --subnet dmzsubnet \ --image Ubuntu2204 \ --admin-username azureuser \ --admin-password <password>
Mengaktifkan penerusan IP untuk antarmuka jaringan Azure
Pada langkah berikutnya, Anda mengaktifkan penerusan IP untuk appliance jaringan nva . Saat lalu lintas mengalir ke NVA namun ternyata dimaksudkan untuk target lainnya, NVA akan merutekan lalu lintas itu ke tujuan yang seharusnya.
Jalankan perintah berikut untuk mendapatkan ID antarmuka jaringan NVA:
NICID=$(az vm nic list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --query "[].{id:id}" --output tsv) echo $NICIDJalankan perintah berikut untuk mendapatkan nama antarmuka jaringan NVA:
NICNAME=$(az vm nic show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --nic $NICID \ --query "{name:name}" --output tsv) echo $NICNAMEJalankan perintah berikut untuk mengaktifkan penerusan IP untuk antarmuka jaringan:
az network nic update --name $NICNAME \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --ip-forwarding true
Mengaktifkan penerusan IP pada appliance
Jalankan perintah berikut untuk menyimpan alamat IP publik komputer virtual NVA ke variabel
NVAIP:NVAIP="$(az vm list-ip-addresses \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \ --output tsv)" echo $NVAIPJalankan perintah berikut untuk mengaktifkan penerusan IP dalam NVA:
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'Saat diminta, masukkan kata sandi yang Anda gunakan ketika membuat komputer virtual.