Oefening: een sternetwerktopologie implementeren in Azure
U hebt besloten om uw netwerkinfrastructuur te implementeren in een hub-spoke-configuratie voor uw resources. Daarnaast wil uw interne HR-afdeling een nieuw intern HR-systeem hosten dat niet toegankelijk mag zijn vanaf internet. Het HR-systeem moet toegankelijk zijn voor iedereen in het bedrijf, ongeacht of ze op hoofdkantoor of in een satellietkantoor werken.
In deze oefening implementeert u uw netwerkinfrastructuur en maakt u vervolgens een nieuw virtueel netwerk om de servers te hosten voor het nieuwe HR-systeem van uw bedrijf.
Omgeving instellen
Met deze implementatie worden de Azure-netwerkbronnen gemaakt die overeenkomen met het voorgaande diagram. Als deze resources zijn gemaakt, kunt u het nieuwe virtuele HR-netwerk toevoegen.
Maak de virtuele netwerken en subnetten voor uw serverbronnen. Voer de volgende opdracht uit:
az deployment group create \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json
Een nieuwe spaak in uw virtuele netwerk maken
U kunt een virtueel netwerk maken met Azure Portal, Azure CLI of Azure PowerShell. De rest van deze oefening wordt uitgevoerd via Azure Portal.
Meld u aan bij Azure Portal met hetzelfde account waarmee u de sandbox hebt geactiveerd.
Selecteer linksboven in Azure Portal Een resource maken. Het deelvenster Een resource maken wordt weergegeven.
Voer in het zoekvak Virtual Network in.
Selecteer Virtueel netwerk in marketplace. Het deelvenster Virtueel netwerk maken wordt weergegeven.
Selecteer Maken om het virtuele netwerk te gaan configureren. Het deelvenster Virtueel netwerk maken wordt weergegeven.
De virtuele-netwerkinstellingen configureren
De ervaring voor het maken van resources in de portal is een wizard waarmee u stapsgewijs instructies krijgt via de initiƫle configuratie voor het virtuele netwerk.
Als u het virtuele netwerk wilt maken, voert u op het tabblad Basisinformatie de volgende waarden in voor elke instelling.
Instelling Weergegeven als Projectdetails Abonnement Concierge-abonnement Resourcegroep Selecteer in de vervolgkeuzelijst [naam sandbox-resourcegroep] Exemplaardetails Naam van virtueel netwerk HRappVnet Regio Laat de standaardregio staan. Selecteer het tabblad IP-adressen of selecteer Volgende>.
Voer de volgende waarden in voor elke instelling.
Instelling Weergegeven als IPv4-adresruimte Vervang het standaardadres door 10.10.0.0/16 in het tekstvak. Subnetnaam Selecteer de standaardwaarde. Het deelvenster Subnet bewerken wordt weergegeven. Voer de volgende waarden in voor elke instelling. Instelling Weergegeven als Subnetnaam HRsystems Beginadres 10.10.1.0/24 Selecteer Opslaan.
Selecteer Controleren + maken. Nadat de validatie is geslaagd, selecteert u Maken om het virtuele netwerk in te richten.
Nadat de implementatie is voltooid, selecteert u Ga naar de resource. Het virtuele netwerk met de naam HRappVnet wordt weergegeven.
De peering van virtuele netwerken van de hub configureren
Nu u de derde spoke hebt gemaakt, moet u de peering van het virtuele netwerk tussen de hub en spokes configureren.
Ga naar de startpagina van de portal. Selecteer Alle resources. Het deelvenster Alle resources wordt weergegeven.
U ziet de virtuele netwerken HubVNet, WebVNet, QuoteVNet en HRappVnet.
Selecteer HubVNet. Het deelvenster HubVnet wordt weergegeven.
Selecteer Peerings in het linkermenuvenster onder Instellingen. Het deelvenster Peerings voor uw HubVnet-deelvenster wordt weergegeven.
Selecteer + Toevoegen in de bovenste menubalk. Het deelvenster Peering toevoegen wordt weergegeven voor uw HubVnet.
Selecteer op de pagina Peering toevoegen HRappVnet voor Virtual Network voordat u de rest van de peeringconfiguratie voltooit.
Voer de volgende waarden in voor elke instelling.
Instelling Weergegeven als Dit virtuele netwerk Naam van peeringkoppeling Voer gwPeering_hubVNet_HRappVnet in. Deze naam is de naam van de peeringkoppeling van HubvNet naar HRappVnet. HubVnet toegang geven tot HRappVnet Schakel het selectievakje in om toegang toe te staan. Toestaan dat HubVnet doorgestuurd verkeer van HRappVnet ontvangt Schakel het selectievakje uit om verkeer te blokkeren dat afkomstig is van buiten dit virtuele netwerk. Gateway in HubVnet toestaan om verkeer door te sturen naar 'HRappVnet' Laat het selectievakje uitgeschakeld. HubVnet inschakelen om de externe gateway van HRappVnet te gebruiken Laat het selectievakje uitgeschakeld. Extern virtueel netwerk Naam van peeringkoppeling gwPeering_HRappVnet_hubVNet. Deze naam is de naam van de peeringkoppeling van HRappVnet naar HubVnet. Implementatiemodel voor het virtuele netwerk Resource Manager selecteren Abonnement Concierge-abonnement selecteren Virtueel netwerk HRappVnet selecteren HRappVnet toegang geven tot HubVnet Schakel het selectievakje in om toegang toe te staan. Toestaan dat HRappVnet doorgestuurd verkeer van HubVnet ontvangt Schakel het selectievakje uit om verkeer te blokkeren dat afkomstig is van buiten dit virtuele netwerk. Gateway in HRappVnet toestaan om verkeer door te sturen naar HubVnet Selectievakje uitgeschakeld laten HRappVnet's inschakelen om de externe gateway van HubVnet te gebruiken Selectievakje uitgeschakeld laten Als u de peering wilt maken, selecteert u Toevoegen. Het deelvenster Peerings wordt opnieuw weergegeven met uw nieuwe peering.
U hebt nu het virtuele netwerk van de hub via peering verbonden met het virtuele netwerk van de spaak. U hebt toegestaan dat verkeer wordt doorgestuurd van de hub naar de spoke met behulp van een VPN-gateway in de configuratie.
Een netwerkbeveiligingsgroep voor het virtuele netwerk maken
Als u de verkeersstroom wilt configureren, maakt u een netwerkbeveiligingsgroep.
Ga naar de startpagina van de portal en selecteer Een resource maken. Het deelvenster Een resource maken wordt weergegeven.
Voer in het zoekvak Netwerkbeveiligingsgroep in en selecteer de koppeling met dezelfde titel in de lijst. De netwerkbeveiligingsgroep : deelvenster Maken wordt weergegeven.
Selecteer Maken om het virtuele netwerk te gaan configureren. De netwerkbeveiligingsgroep maken wordt weergegeven.
Voer op het tabblad Basisinformatie de volgende waarden in voor elke instelling.
Instelling Weergegeven als Projectdetails Abonnement Concierge-abonnement Resourcegroep Selecteer in de vervolgkeuzelijst [naam sandbox-resourcegroep] Exemplaardetails Naam HRNsg invoeren Regio Laat de standaardlocatie staan. Selecteer Controleren + maken.
Nadat de validatie is geslaagd, selecteert u Maken om de netwerkbeveiligingsgroep te implementeren. Het deelvenster Overzicht voor uw NSG wordt weergegeven.
Selecteer Ga naar de resource en noteer de NSG, HRNsg.
U hebt nu een netwerkbeveiligingsgroep gemaakt die kan worden toegewezen aan elk van de virtuele netwerken.
De netwerkbeveiligingsgroep koppelen aan het nieuwe virtuele HR-netwerk
Nu koppelt u de netwerkbeveiligingsgroep aan het virtuele netwerk.
Als u het HRNsg-venster hebt gesloten, gaat u naar de startpagina van de portal. Selecteer Alle resources en selecteer HRNsg. Het deelvenster HRNsg wordt weergegeven. Ga anders naar de volgende stap.
Selecteer subnetten in het linkermenuvenster onder Instellingen. Het deelvenster Subnetten wordt weergegeven voor uw HRNsg-netwerkbeveiligingsgroep .
Selecteer + Koppelen in de bovenste menubalk. Het deelvenster Subnet koppelen wordt weergegeven.
Selecteer HRappVnet in de vervolgkeuzelijst Virtueel netwerk.
Selecteer HRsystems in de vervolgkeuzelijst Subnet.
Selecteer OK om de netwerkbeveiligingsgroep te koppelen. Het deelvenster Subnetten voor uw HRNsg-netwerkbeveiligingsgroep wordt opnieuw weergegeven.
De netwerkbeveiligingsgroepsregel configureren om inkomend HTTP-verkeer te stoppen
U hebt een beveiligingsvereiste waaraan u moet voldoen om de HR-toepassing in HRappVnet te kunnen hosten. Als het goed is, komt er geen inkomend HTTP-verkeer vanaf de spoke omdat alleen interne werknemers toegang nodig hebben. Configureer de netwerkbeveiligingsgroepsregel om aan deze vereiste te voldoen.
Op de HRNsg | Pagina Subnetten, selecteer inkomende beveiligingsregels onder Instellingen. Het deelvenster Binnenkomende beveiligingsregels wordt weergegeven voor uw HRNsg-netwerkbeveiligingsgroep.
Selecteer + Toevoegen in de bovenste menubalk. Het deelvenster Binnenkomende beveiligingsregels toevoegen wordt weergegeven.
Voer de volgende waarden in voor elke instelling.
Instelling Weergegeven als Source Selecteer Any in de vervolgkeuzelijst. Poortbereiken van bron Laat de standaardinstelling * staan. Doel Selecteer servicetag in de vervolgkeuzelijst. Doelservicetag Selecteer VirtualNetwork. Service Selecteer Aangepast. Poortbereiken van doel Voer 80.443 in Protocol Selecteer Een. Actie Selecteer Weigeren. Prioriteit Voer 100 in. Naam Enter Block-Inbound-HTTP-HTTPS Beschrijving Voer binnenkomend HTTP- en HTTPS-verkeer van de spoke blokkeren in. Selecteer Toevoegen om de regel toe te voegen. Het deelvenster Binnenkomende beveiligingsregels wordt opnieuw weergegeven voor uw netwerkbeveiligingsgroep.
U hebt nu inkomende HTTP-toegang vanaf de spoke op poort 80 en 443 geblokkeerd.
In dit scenario hebt u een virtueel Azure-netwerk voor de spaak gemaakt en deze vervolgens via peering verbonden met een virtueel netwerk van een bestaande hub. Vervolgens hebt u het verkeer vanaf deze spoke beveiligd door toegang van buitenaf op poort 80 en 443 te blokkeren, terwijl er ook nog verbinding kan worden gemaakt via de hub.