Condividi tramite

Esercitazione: Creare una rete hub e spoke protetta

  • Articolo

In questa esercitazione viene creata una topologia di rete hub-spoke usando Azure Rete virtuale Manager. Si distribuisce quindi un gateway di rete virtuale nella rete virtuale hub per consentire alle risorse nelle reti virtuali spoke di comunicare con reti remote tramite VPN. Si configura anche una configurazione di sicurezza per bloccare il traffico di rete in uscita verso Internet sulle porte 80 e 443. Infine, verificare che le configurazioni siano state applicate correttamente esaminando le impostazioni della rete virtuale e della macchina virtuale.

In questa esercitazione apprenderai a:

  • Creare più reti virtuali.
  • Distribuire un gateway di rete virtuale.
  • Creare una topologia di rete hub-spoke.
  • Creare una configurazione di sicurezza che blocca il traffico sulla porta 80 e 443.
  • Verificare che le configurazioni siano state applicate.

Diagramma dei componenti della topologia hub e spoke sicuri.

Prerequisito

  • Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
  • Prima di poter completare i passaggi di questa esercitazione, è necessario creare un'istanza di Azure Rete virtuale Manager. L'istanza deve includere le funzionalità di amministrazione della connettività e della sicurezza. Questa esercitazione usa un'istanza di Rete virtuale Manager denominata vnm-learn-eastus-001.

Creare reti virtuali

Questa procedura illustra come creare tre reti virtuali che verranno connesse usando la topologia di rete hub-spoke.

  1. Accedere al portale di Azure.

  2. Selezionare + Crea una risorsa e cercare Rete virtuale. Selezionare quindi Crea per iniziare a configurare la rete virtuale.

  3. Nella scheda Informazioni di base immettere o selezionare le informazioni seguenti:

    Screenshot della scheda Informazioni di base per la rete virtuale hub-spoke.

    Impostazione Valore
    Subscription Selezionare la sottoscrizione in cui si vuole distribuire la rete virtuale.
    Gruppo di risorse Selezionare o creare un nuovo gruppo di risorse per archiviare la rete virtuale. Questa guida introduttiva usa un gruppo di risorse denominato rg-learn-eastus-001.
    Nome Immettere vnet-learn-prod-eastus-001 come nome della rete virtuale.
    Paese Selezionare l'area Stati Uniti orientali.

  4. Selezionare Avanti: Indirizzi IP e configurare lo spazio di indirizzi di rete seguente:

    Screenshot della scheda Indirizzi IP per la rete virtuale hub-spoke.

    Impostazione Valore
    Spazio indirizzi IPv4 Immettere 10.0.0.0/16 come spazio indirizzi.
    Nome subnet Immettere il nome predefinito per la subnet.
    Spazio indirizzi subnet Immettere lo spazio indirizzi della subnet 10.0.0.0/24.

  5. Selezionare Rivedi e crea e quindi crea per distribuire la rete virtuale.

  6. Ripetere i passaggi da 2 a 5 per creare due reti virtuali nello stesso gruppo di risorse con le informazioni seguenti:

    Impostazione Valore
    Subscription Selezionare la stessa sottoscrizione selezionata nel passaggio 3.
    Gruppo di risorse Selezionare rg-learn-eastus-001.
    Nome Immettere vnet-learn-prod-eastus-002 e vnet-learn-hub-eastus-001 per le due reti virtuali.
    Paese Selezionare (Stati Uniti) Stati Uniti orientali
    vnet-learn-prod-eastus-002 IP addresses Spazio indirizzi IPv4: 10.1.0.0/16
    Nome subnet: spazio indirizzi subnet predefinito
    : 10.1.0.0/24
    indirizzi IP vnet-learn-hub-eastus-001 Spazio indirizzi IPv4: 10.2.0.0/16
    Nome subnet: spazio indirizzi subnet predefinito
    : 10.2.0.0/24

Distribuire un gateway di rete virtuale

Distribuire un gateway di rete virtuale nella rete virtuale hub. Questo gateway di rete virtuale è necessario affinché gli spoke usino l'hub come impostazione del gateway .

  1. Selezionare + Crea una risorsa e cercare Gateway di rete virtuale. Selezionare quindi Crea per iniziare a configurare il gateway di rete virtuale.

  2. Nella scheda Informazioni di base immettere o selezionare le impostazioni seguenti:

    Screenshot della scheda Nozioni di base del gateway di rete virtuale.

    Impostazione Valore
    Subscription Selezionare la sottoscrizione in cui si vuole distribuire la rete virtuale.
    Nome Immettere gw-learn-hub-eastus-001 come nome del gateway di rete virtuale.
    SKU Selezionare VpnGW1 per lo SKU.
    Generazione Selezionare Generation1 per la generazione.
    Rete virtuale Selezionare vnet-learn-hub-eastus-001 per la rete virtuale.
    Indirizzo IP pubblico
    Nome indirizzo IP pubblico Immettere il nome gwpip-learn-hub-eastus-001 per l'indirizzo IP pubblico.
    SECONDO INDIRIZZO IP PUBBLICO
    Nome indirizzo IP pubblico Immettere il nome gwpip-learn-hub-eastus-002 per l'indirizzo IP pubblico.

  3. Selezionare Rivedi e crea e quindi crea dopo aver superato la convalida. La distribuzione di un gateway di rete virtuale può richiedere circa 30 minuti. È possibile passare alla sezione successiva durante l'attesa del completamento di questa distribuzione. Tuttavia, è possibile che gw-learn-hub-eastus-001 non visualizzi che ha un gateway a causa di tempi e sincronizzazione tra i portale di Azure.

Creare un gruppo di rete

Nota

Questa guida pratica presuppone che sia stata creata un'istanza di Network Manager usando la guida introduttiva . Il gruppo di rete in questa esercitazione è denominato ng-learn-prod-eastus-001.

  1. Passare al gruppo di risorse rg-learn-eastus-001 e selezionare l'istanza di gestione di rete vnm-learn-eastus-001.

  2. In Impostazioni, selezionare Gruppi di rete. Selezionare quindi + Crea.

    Screenshot di un elenco vuoto di gruppi di rete e del pulsante per la creazione di un gruppo di rete.

  3. Nel riquadro Crea un gruppo di rete, selezionare Crea:

    Impostazione valore
    Nome Immettere ng-learn-prod-eastus-001.
    Descrizione (Facoltativo) Fornire una descrizione di questo gruppo di rete.
    Tipo di membro Selezionare Rete virtuale dal menu a discesa.

    Selezionare Crea.

    Screenshot del riquadro per la creazione di un gruppo di rete.

  4. Verificare che il nuovo gruppo di rete sia ora elencato nel riquadro Gruppi di rete.

    Screenshot di un gruppo di rete appena creato nel riquadro in cui sono elencati i gruppi di rete.

Definire l'appartenenza dinamica ai gruppi con Criteri di Azure

  1. Nell'elenco dei gruppi di rete, selezionare ng-learn-prod-eastus-001. In Crea criterio per aggiungere membri in modo dinamico, selezionare Crea criterio di Azure.

    Screenshot del pulsante di appartenenza dinamica definito.

  2. Nella pagina Crea Criteri di Azure selezionare o immettere le informazioni seguenti:

    Screenshot della scheda Crea istruzioni condizionali di un gruppo di rete.

    Impostazione Valore
    Nome del criterio Immettere azpol-learn-prod-eastus-001 nella casella di testo.
    Ambito Selezionare Seleziona ambiti e scegliere la sottoscrizione corrente.
    Criteri
    Parametro Selezionare Nome nell'elenco a discesa.
    Operatore Selezionare Contiene nell'elenco a discesa.
    Condizione Immettere -prod per la condizione nella casella di testo.

  3. Selezionare Anteprima risorse per visualizzare la pagina Reti virtuali valide e selezionare Chiudi. Questa pagina mostra le reti virtuali che verranno aggiunte al gruppo di rete in base alle condizioni definite in Criteri di Azure.

    Screenshot della pagina Reti virtuali valide con i risultati dell'istruzione condizionale.

  4. Selezionare Salva per distribuire l'appartenenza al gruppo. L' applicazione del criterio e la sua aggiunta al gruppo di rete possono richiedere fino a un minuto.

  5. Nella pagina Gruppo di rete in Impostazioni selezionare Membri gruppo per visualizzare l'appartenenza al gruppo in base alle condizioni definite in Criteri di Azure. Source è elencato come azpol-learn-prod-eastus-001.

    Screenshot dell'appartenenza dinamica ai gruppi in Appartenenza a gruppi.

Creare una configurazione della connettività hub-spoke

  1. Selezionare Configurazioni in Impostazioni, quindi selezionare + Crea.

  2. Selezionare Configurazione connettività dal menu a discesa per iniziare a creare una configurazione di connettività.

  3. Nella pagina Informazioni di base immettere le informazioni seguenti e selezionare Avanti: Topologia >.

    Screenshot dell'aggiunta di una pagina di configurazione della connettività.

    Impostazione valore
    Nome Immettere cc-learn-prod-eastus-001.
    Descrizione (Facoltativo) Fornire una descrizione della configurazione di connettività.

  4. Nella scheda Topologia selezionare Hub e Spoke. In questo modo vengono rivelate altre impostazioni.

    Screenshot della selezione di un hub per la configurazione della connettività.

  5. Selezionare Selezionare un hub in Impostazioni hub . Selezionare quindi vnet-learn-hub-eastus-001 per fungere da hub di rete e selezionare Seleziona.

    Screenshot di Selezionare una configurazione hub.

    Nota

    A seconda dell'intervallo di distribuzione, è possibile che non venga visualizzata la rete virtuale dell'hub di destinazione con un gateway in Ha gateway. Ciò è dovuto alla distribuzione del gateway di rete virtuale. La distribuzione può richiedere fino a 30 minuti e potrebbe non essere visualizzata immediatamente nelle varie visualizzazioni portale di Azure.

  6. In Gruppi di rete spoke selezionare + aggiungi. Selezionare quindi ng-learn-prod-eastus-001 per il gruppo di rete e selezionare Seleziona.

    Screenshot della pagina Aggiungi gruppi di rete.

  7. Dopo aver aggiunto il gruppo di rete, selezionare le opzioni seguenti. Selezionare quindi Aggiungi per creare la configurazione della connettività.

    Screenshot delle impostazioni per la configurazione del gruppo di rete.

    Impostazione Valore
    Connettività diretta Selezionare la casella di controllo Abilita connettività all'interno del gruppo di rete. Questa impostazione consente alle reti virtuali spoke nel gruppo di rete nella stessa area di comunicare tra loro direttamente.
    Mesh globale Lasciare deselezionata l'opzione Abilita connettività mesh tra aree. Questa impostazione non è necessaria perché entrambi gli spoke si trovano nella stessa area
    Hub come gateway Selezionare la casella di controllo Hub come gateway.

  8. Selezionare Avanti: Rivedi e crea > e quindi crea la configurazione della connettività.

Distribuire la configurazione della connettività

Assicurarsi che il gateway di rete virtuale sia stato distribuito correttamente prima di distribuire la configurazione della connettività. Se si distribuisce una configurazione hub-spoke con Usare l'hub come gateway abilitato e non è presente alcun gateway, la distribuzione ha esito negativo. Per altre informazioni, vedere Usare l'hub come gateway.

  1. Selezionare Distribuzioni in Impostazioni e quindi selezionare Distribuisci configurazione.

    Screenshot della pagina delle distribuzioni in Network Manager.

  2. Selezionare le impostazioni seguenti:

    Screenshot della pagina di distribuzione di una configurazione.

    Impostazione Valore
    Configurazioni Selezionare Includi configurazioni di connettività nello stato dell'obiettivo.
    Configurazioni di connettività Selezionare cc-learn-prod-eastus-001.
    Aree di destinazione Selezionare Stati Uniti orientali come area di distribuzione.

  3. Selezionare Avanti e quindi Distribuisci per completare la distribuzione.

    Screenshot del messaggio di conferma della distribuzione.

  4. La distribuzione viene visualizzata nell'elenco per l'area selezionata. Il completamento della distribuzione della configurazione può richiedere alcuni minuti.

    Screenshot dello stato della distribuzione della configurazione in corso.

Creare una configurazione di amministratore della sicurezza

  1. Selezionare di nuovo Configurazione in Impostazioni , quindi selezionare + Crea e selezionare SecurityAdmin dal menu per iniziare a creare una configurazione SecurityAdmin.

  2. Immettere il nome sac-learn-prod-eastus-001 per la configurazione, quindi selezionare Avanti: Raccolte regole.

    Screenshot della pagina di configurazione dell'amministratore della sicurezza.

  3. Immettere il nome rc-learn-prod-eastus-001 per la raccolta regole e selezionare ng-learn-prod-eastus-001 per il gruppo di rete di destinazione. Quindi selezionare + Aggiungi.

    Screenshot dell'aggiunta di una pagina della raccolta regole.

  4. Immettere e selezionare le impostazioni seguenti, quindi selezionare Aggiungi:

    Screenshot dell'aggiunta di una pagina delle regole e delle impostazioni delle regole.

    Impostazione valore
    Nome Immettere DENY_INTERNET
    Descrizione Immettere Questa regola blocca il traffico verso Internet su HTTP e HTTPS
    Priorità Immettere 1
    Azione Selezionare Nega
    Direzione Selezionare In uscita
    Protocollo Selezionare TCP
    Origine
    Tipo di origine Selezionare IP
    Indirizzi IP di origine Immetti *
    Destinazione
    Tipo di destinazione Selezionare gli indirizzi IP
    Indirizzi IP di destinazione Immetti *
    Porta di destinazione Immettere 80, 443

  5. Selezionare Aggiungi per aggiungere la raccolta regole alla configurazione.

    Screenshot del pulsante Salva per una raccolta regole.

  6. Selezionare Rivedi e crea e Crea per creare la configurazione dell'amministratore della sicurezza.

Distribuire la configurazione dell'amministratore della sicurezza

  1. Selezionare Distribuzioni in Impostazioni e quindi selezionare Distribuisci configurazioni.

  2. In Configurazioni selezionare Includi amministratore della sicurezza nello stato dell'obiettivo e la configurazione sac-learn-prod-eastus-001 creata nell'ultima sezione. Selezionare quindi Stati Uniti orientali come area di destinazione e selezionare Avanti.

    Screenshot della distribuzione di una configurazione di sicurezza.

  3. Selezionare Avanti e quindi Distribuisci. La distribuzione dovrebbe ora essere visualizzata nell'elenco per l'area selezionata. Il completamento della distribuzione della configurazione può richiedere alcuni minuti.

Verificare la distribuzione delle configurazioni

Verificare da una rete virtuale

  1. Passare alla rete virtuale vnet-learn-prod-eastus-001 e selezionare Gestione rete in Impostazioni. La scheda Configurazioni connettività elenca la configurazione della connettività cc-learn-prod-eastus-001 applicata nella rete virtuale

    Screenshot della configurazione della connettività applicata alla rete virtuale.

  2. Selezionare la scheda Configurazioni amministratore sicurezza ed espandere In uscita per elencare le regole di amministratore della sicurezza applicate a questa rete virtuale.

    Screenshot della configurazione dell'amministratore della sicurezza applicata alla rete virtuale.

  3. Selezionare Peering in Impostazioni per elencare i peering di rete virtuale creati da Rete virtuale Manager. Il nome inizia con ANM_.

    Screenshot dei peering di rete virtuale creati da Rete virtuale Manager.

Verificare da una macchina virtuale

  1. Distribuire una macchina virtuale di test in vnet-learn-prod-eastus-001.

  2. Passare alla macchina virtuale di test creata in vnet-learn-prod-eastus-001 e selezionare Rete in Impostazioni. Selezionare Regole porta in uscita e verificare che sia applicata la regola di DENY_INTERNET .

    Screenshot delle regole di sicurezza di rete della macchina virtuale di test.

  3. Selezionare il nome dell'interfaccia di rete e selezionare Route valide in Guida per verificare le route per i peering di rete virtuale. La 10.2.0.0/16 route con il tipo di hop successivo di VNet peering è la route alla rete virtuale hub.

    Screenshot delle route valide dall'interfaccia di rete della macchina virtuale di test.

Pulire le risorse

Se azure Rete virtuale Manager non è più necessario, è necessario assicurarsi che tutte le operazioni seguenti siano vere prima di poter eliminare la risorsa:

  • Non esistono distribuzioni di configurazioni in nessuna area.
  • Tutte le configurazioni sono state eliminate.
  • Tutti i gruppi di rete sono stati eliminati.

Usare l'elenco di controllo per rimuovere i componenti per assicurarsi che nessuna risorsa figlio sia ancora disponibile prima di eliminare il gruppo di risorse.

Passaggi successivi

Informazioni su come bloccare il traffico di rete con una configurazione di amministratore della sicurezza.