Scenario voor virtueel apparaat

Een veelvoorkomend scenario bij grotere Azure-klanten is de noodzaak om een toepassing met twee lagen te bieden die beschikbaar is voor internet, terwijl toegang tot de back-laag vanuit een on-premises datacenter wordt toegestaan. Dit document begeleidt u door een scenario met door de gebruiker gedefinieerde routes (UDR), een VPN Gateway en virtuele netwerkapparaten om een omgeving met twee lagen te implementeren die voldoet aan de volgende vereisten:

  • Webtoepassing mag alleen toegankelijk zijn via het openbare internet.
  • Webserver die als host fungeert voor de toepassing moet toegang hebben tot een back-endtoepassingsserver.
  • Al het verkeer van internet naar de webtoepassing moet via een virtueel firewallapparaat gaan. Dit virtuele apparaat wordt alleen gebruikt voor internetverkeer.
  • Al het verkeer dat naar de toepassingsserver gaat, moet via een virtueel firewallapparaat gaan. Dit virtuele apparaat wordt gebruikt voor toegang tot de back-endserver en toegang vanaf het on-premises netwerk via een VPN Gateway.
  • Beheerders moeten de virtuele firewallapparaten kunnen beheren vanaf hun on-premises computers, met behulp van een derde virtueel firewallapparaat dat uitsluitend wordt gebruikt voor beheerdoeleinden.

Dit is een standaardperimeternetwerkscenario (ook wel DMZ genoemd) met een DMZ en een beveiligd netwerk. Een dergelijk scenario kan in Azure worden gemaakt met behulp van NSG's, virtuele firewallapparaten of een combinatie van beide. In de onderstaande tabel ziet u enkele voor- en nadelen tussen NSG's en virtuele firewallapparaten.

Voordelen Nadelen
NSG Geen kosten.
Geïntegreerd in Azure RBAC.
Regels kunnen worden gemaakt in Azure Resource Manager-sjablonen.
Complexiteit kan variëren in grotere omgevingen.
Firewall Volledige controle over het gegevensvlak.
Centraal beheer via de firewallconsole.
Kosten van het firewallapparaat.
Niet geïntegreerd met Azure RBAC.

In de onderstaande oplossing worden virtuele firewallapparaten gebruikt om een scenario voor een perimeternetwerk (DMZ)/beveiligd netwerk te implementeren.

Overwegingen

U kunt de hierboven beschreven omgeving als volgt implementeren in Azure met behulp van verschillende functies die momenteel beschikbaar zijn.

  • Virtueel netwerk (VNet) . Een Azure-VNet werkt op dezelfde manier als een on-premises netwerk en kan worden gesegmenteerd in een of meer subnetten om verkeersisolatie en scheiding van problemen te bieden.
  • Virtueel apparaat. Verschillende partners bieden virtuele apparaten in de Azure Marketplace die kunnen worden gebruikt voor de drie firewalls die hierboven worden beschreven.
  • Door de gebruiker gedefinieerde routes (UDR). Routetabellen kunnen UDR's bevatten die door Azure-netwerken worden gebruikt om de stroom van pakketten binnen een VNet te beheren. Deze routetabellen kunnen worden toegepast op subnetten. Een van de nieuwste functies in Azure is de mogelijkheid om een routetabel toe te passen op het GatewaySubnet, waardoor al het verkeer dat binnenkomt in het Azure-VNet, kan worden doorgestuurd van een hybride verbinding naar een virtueel apparaat.
  • Doorsturen via IP. De Azure-netwerkengine stuurt pakketten standaard alleen door naar virtuele netwerkinterfacekaarten (NIC's) als het IP-adres van de pakketbestemming overeenkomt met het IP-adres van de NIC. Als een UDR dus definieert dat een pakket naar een bepaald virtueel apparaat moet worden verzonden, wordt dat pakket door de Azure-netwerkengine wegvallen. Om ervoor te zorgen dat het pakket wordt geleverd aan een VM (in dit geval een virtueel apparaat) die niet de werkelijke bestemming voor het pakket is, moet u Doorsturen via IP inschakelen voor het virtuele apparaat.
  • Netwerkbeveiligingsgroepen (NSG's). In het onderstaande voorbeeld wordt geen gebruikgemaakt van NSG's, maar u kunt NSG's gebruiken die worden toegepast op de subnetten en/of NIC's in deze oplossing om het verkeer in en uit deze subnetten en NIC's verder te filteren.

IPv6-connectiviteit

In dit voorbeeld is er een abonnement met het volgende:

  • 2 resourcegroepen, niet weergegeven in het diagram.
    • ONPREMRG. Bevat alle resources die nodig zijn om een on-premises netwerk te simuleren.
    • AZURERG. Bevat alle resources die nodig zijn voor de omgeving van het virtuele Azure-netwerk.
  • Een VNet met de naam onpremvnet dat wordt gebruikt om een on-premises datacenter na te bootsen, gesegmenteerd zoals hieronder wordt weergegeven.
    • onpremsn1. Subnet met een virtuele machine (VM) waarop Ubuntu wordt uitgevoerd om een on-premises server na te bootsen.
    • onpremsn2. Subnet met een VM waarop Ubuntu wordt uitgevoerd om een on-premises computer na te bootsen die wordt gebruikt door een beheerder.
  • Er is één virtueel firewallapparaat met de naam OPFWop onpremvnet dat wordt gebruikt om een tunnel naar azurevnet te onderhouden.
  • Een VNet met de naam azurevnet , gesegmenteerd zoals hieronder wordt weergegeven.
    • azsn1. Extern firewallsubnet dat uitsluitend wordt gebruikt voor de externe firewall. Al het internetverkeer komt binnen via dit subnet. Dit subnet bevat alleen een NIC die is gekoppeld aan de externe firewall.
    • azsn2. Front-endsubnet dat als host fungeert voor een VM die wordt uitgevoerd als webserver die toegankelijk is via internet.
    • azsn3. Back-endsubnet dat als host fungeert voor een VM met een back-endtoepassingsserver die wordt geopend door de front-endwebserver.
    • azsn4. Beheersubnet dat uitsluitend wordt gebruikt om beheertoegang te bieden tot alle virtuele firewallapparaten. Dit subnet bevat alleen een NIC voor elk virtueel firewallapparaat dat in de oplossing wordt gebruikt.
    • GatewaySubnet. Hybride Azure-verbindingssubnet vereist voor ExpressRoute en VPN Gateway om connectiviteit te bieden tussen Azure VNets en andere netwerken.
  • Er zijn drie virtuele firewallapparaten in het azurevnet-netwerk .
    • AZF1. Externe firewall die wordt blootgesteld aan het openbare internet met behulp van een openbare IP-adresresource in Azure. U moet ervoor zorgen dat u een sjabloon hebt van de Marketplace, of rechtstreeks van de leverancier van uw apparaat, die een virtueel 3-NIC-apparaat inbouwt.
    • AZF2. Interne firewall die wordt gebruikt om verkeer tussen azsn2 en azsn3 te beheren. Dit is ook een virtueel 3-NIC-apparaat.
    • AZF3. Beheerfirewall toegankelijk voor beheerders vanuit het on-premises datacenter en verbonden met een beheersubnet dat wordt gebruikt voor het beheren van alle firewallapparaten. U kunt sjablonen voor virtuele NIC-apparaten met 2 NIC's vinden in Marketplace of rechtstreeks bij de leverancier van uw apparaat aanvragen.

Door de gebruiker gedefinieerde routering (UDR)

Elk subnet in Azure kan worden gekoppeld aan een UDR-tabel die wordt gebruikt om te definiëren hoe verkeer dat in dat subnet is geïnitieerd, wordt gerouteerd. Als er geen UDR's zijn gedefinieerd, gebruikt Azure standaardroutes om verkeer van het ene naar het andere subnet te laten stromen. Ga naar Wat zijn door de gebruiker gedefinieerde routes en DOORsturen via IP voor meer inzicht in UDR's.

Om ervoor te zorgen dat de communicatie wordt uitgevoerd via het juiste firewallapparaat, moet u op basis van de laatste vereiste hierboven de volgende routetabel maken met UDR's in azurevnet.

azgwudr

In dit scenario wordt het enige verkeer dat van on-premises naar Azure stroomt, gebruikt voor het beheren van de firewalls door verbinding te maken met AZF3, en dat verkeer moet via de interne firewall , AZF2, gaan. Daarom is er slechts één route nodig in het GatewaySubnet , zoals hieronder wordt weergegeven.

Doel Volgende hop Uitleg
10.0.4.0/24 10.0.3.11 Staat on-premises verkeer toe om de beheerfirewall AZF3 te bereiken

azsn2udr

Doel Volgende hop Uitleg
10.0.3.0/24 10.0.2.11 Staat verkeer toe naar het back-endsubnet dat als host fungeert voor de toepassingsserver via AZF2
0.0.0.0/0 10.0.2.10 Hiermee kan al het andere verkeer worden gerouteerd via AZF1

azsn3udr

Doel Volgende hop Uitleg
10.0.2.0/24 10.0.3.10 Hiermee staat u toe dat verkeer naar azsn2 van de app-server naar de webserver stroomt via AZF2

U moet ook routetabellen maken voor de subnetten in onpremvnet om het on-premises datacenter na te bootsen.

onpremsn1udr

Doel Volgende hop Uitleg
192.168.2.0/24 192.168.1.4 Verkeer naar onpremsn2 via OPFW toestaan

onpremsn2udr

Doel Volgende hop Uitleg
10.0.3.0/24 192.168.2.4 Staat verkeer toe naar het subnet met ondersteuning in Azure via OPFW
192.168.1.0/24 192.168.2.4 Verkeer naar onpremsn1 via OPFW toestaan

Doorsturen via IP

UDR en DOORsturen via IP zijn functies die u in combinatie kunt gebruiken om virtuele apparaten te gebruiken voor het beheren van de verkeersstroom in een Azure-VNet. Een virtueel apparaat is niets meer dan een virtuele machine waarop een toepassing wordt uitgevoerd om netwerkverkeer op een bepaalde manier af te handelen, zoals een firewall of een NAT-apparaat.

Deze VM op het virtuele apparaat moet in staat zijn om binnenkomend verkeer te ontvangen dat niet is geadresseerd aan zichzelf. Om met een VM verkeer te kunnen ontvangen dat is geadresseerd aan andere bestemmingen, moet u Doorsturen via IP inschakelen voor die VM. Dit is een Azure-instelling, niet een instelling in het gastbesturingssysteem. Uw virtuele apparaat moet nog steeds een type toepassing uitvoeren om het binnenkomende verkeer te verwerken en het op de juiste manier te routeren.

Ga voor meer informatie over doorsturen via IP naar Wat zijn door de gebruiker gedefinieerde routes en DOORsturen via IP.

Stel dat u de volgende instellingen hebt in een Azure-vnet:

  • Subnet onpremsn1 bevat een VM met de naam onpremvm1.
  • Subnet onpremsn2 bevat een VM met de naam onpremvm2.
  • Een virtueel apparaat met de naam OPFW is verbonden met onpremsn1 en onpremsn2.
  • Een door de gebruiker gedefinieerde route die is gekoppeld aan onpremsn1 geeft aan dat al het verkeer naar onpremsn2 moet worden verzonden naar OPFW.

Als onpremvm1 op dit moment probeert een verbinding tot stand te brengen met onpremvm2, wordt de UDR gebruikt en wordt verkeer als de volgende hop naar OPFW verzonden. Houd er rekening mee dat de werkelijke pakketbestemming niet wordt gewijzigd, er staat nog steeds onpremvm2 is de bestemming.

Als Doorsturen via IP niet is ingeschakeld voor OPFW, worden de pakketten door de virtuele netwerklogica van Azure weggezet, omdat pakketten alleen naar een vm kunnen worden verzonden als het IP-adres van de VM het doel van het pakket is.

Met DOORsturen via IP stuurt de logica van het virtuele Azure-netwerk de pakketten door naar OPFW, zonder het oorspronkelijke doeladres te wijzigen. OPFW moet de pakketten afhandelen en bepalen wat ermee moet worden uitgevoerd.

Het bovenstaande scenario werkt alleen als u Doorsturen via IP inschakelen op de NIC's voor OPFW, AZF1, AZF2 en AZF3 die worden gebruikt voor routering (alle NIC's behalve de NIC's die zijn gekoppeld aan het beheersubnet).

Firewallregels

Zoals hierboven beschreven, zorgt Doorsturen via IP alleen ervoor dat pakketten naar de virtuele apparaten worden verzonden. Uw apparaat moet nog steeds beslissen wat er met deze pakketten moet worden uitgevoerd. In het bovenstaande scenario moet u de volgende regels maken in uw apparaten:

OPFW

OPFW vertegenwoordigt een on-premises apparaat met de volgende regels:

  • Route: al het verkeer naar 10.0.0.0/16 (azurevnet) moet worden verzonden via tunnel ONPREMAZURE.
  • Beleid: sta al het bidirectioneel verkeer tussen poort2 en ONPREMAZURE toe.

AZF1

AZF1 vertegenwoordigt een virtueel Azure-apparaat met de volgende regels:

  • Beleid: al het verkeer in twee richtingen tussen poort1 en poort2 toestaan.

AZF2

AZF2 vertegenwoordigt een virtueel Azure-apparaat met de volgende regels:

  • Beleid: al het verkeer in twee richtingen tussen poort1 en poort2 toestaan.

AZF3

AZF3 vertegenwoordigt een virtueel Azure-apparaat met de volgende regels:

  • Route: al het verkeer naar 192.168.0.0/16 (onpremvnet) moet via poort1 worden verzonden naar het IP-adres van de Azure-gateway (dat wil zeggen 10.0.0.1).

Netwerkbeveiligingsgroepen (NSG's)

In dit scenario worden NSG's niet gebruikt. U kunt echter NSG's toepassen op elk subnet om inkomend en uitgaand verkeer te beperken. U kunt bijvoorbeeld de volgende NSG-regels toepassen op het externe FW-subnet.

Binnenkomende

  • Al het TCP-verkeer van internet naar poort 80 op elke VM in het subnet toestaan.
  • Al het andere verkeer van internet weigeren.

Uitgaand

  • Al het verkeer naar internet weigeren.

Stappen op hoog niveau

Volg de onderstaande stappen op hoog niveau om dit scenario te implementeren.

  1. Meld u aan bij uw Azure-abonnement.
  2. Als u een VNet wilt implementeren om het on-premises netwerk na te bootsen, richt u de resources in die deel uitmaken van ONPREMRG.
  3. Richt de resources in die deel uitmaken van AZURERG.
  4. Richt de tunnel in van onpremvnet naar azurevnet.
  5. Zodra alle resources zijn ingericht, meldt u zich aan bij onpremvm2 en pingt u 10.0.3.101 om de connectiviteit tussen onpremsn2 en azsn3 te testen.