Udostępnij za pośrednictwem

Symulowanie zdalnej łączności sieciowej przy użyciu wirtualnej sieci platformy Azure

  • Artykuł

W tym artykule wyjaśniono, jak symulować zdalną łączność sieciową przy użyciu zdalnej sieci wirtualnej rozległej (vWAN). Jeśli chcesz symulować łączność sieci zdalnej przy użyciu bramy sieci wirtualnej platformy Azure (VNG), zobacz artykuł Simulate remote network connectivity using Azure VNG (Symulowanie zdalnej łączności sieciowej przy użyciu sieci wirtualnej platformy Azure).

Wymagania wstępne

Aby wykonać kroki opisane w tym procesie, należy spełnić następujące wymagania wstępne:

  • Subskrypcja platformy Azure i uprawnienia do tworzenia zasobów w witrynie Azure Portal.
  • Podstawowa wiedza na temat wirtualnych sieci rozległych (vWAN).
  • Podstawowa wiedza na temat połączeń sieci VPN typu lokacja-lokacja.
  • Dzierżawa usługi Microsoft Entra z przypisaną rolą Administratora Globalnego Zabezpieczonego Dostępu.
  • Podstawowa wiedza na temat pulpitów wirtualnych platformy Azure lub maszyn wirtualnych platformy Azure.

W tym dokumencie są używane następujące przykładowe wartości wraz z wartościami na obrazach i krokach. Możesz skonfigurować te ustawienia zgodnie z własnymi wymaganiami.

  • Subskrypcja: Visual Studio Enterprise
  • Nazwa grupy zasobów: GlobalSecureAccess_Documentation
  • Region: Południowo-środkowe stany USA

Kroki na wysokim poziomie

Kroki tworzenia sieci zdalnej przy użyciu usługi Azure vWAN wymagają dostępu zarówno do witryny Azure Portal, jak i centrum administracyjnego firmy Microsoft Entra. Aby łatwo przełączać się między nimi, pozostaw platformę Azure i firmę Microsoft Entra otwartą na osobnych kartach. Ponieważ wdrożenie niektórych zasobów może potrwać ponad 30 minut, należy odłożyć co najmniej dwie godziny na ukończenie tego procesu. Przypomnienie: Zasoby, które pozostają uruchomione, mogą generować koszty. Po zakończeniu testowania lub na końcu projektu warto usunąć zasoby, których już nie potrzebujesz.

  1. Konfigurowanie wirtualnej sieci WAN w witrynie Azure Portal
    1. Tworzenie wirtualnej sieci WAN
    2. Twórz wirtualny koncentrator z bramą VPN typu site-to-siteWdrożenie wirtualnego koncentratora trwa około 30 minut.
    3. Uzyskiwanie informacji o bramie sieci VPN
  2. Tworzenie sieci zdalnej w centrum administracyjnym firmy Microsoft Entra
  3. Utwórz lokalizację sieci VPN przy użyciu bramy Microsoft
    1. Utwórz stronę sieci VPN
    2. Utwórz połączenie lokacja-lokacjaPołączenie lokacja-lokacja zajmuje około 30 minut na wdrożenie.
    3. Sprawdź łączność protokołu BGP i poznane trasy routingu w portalu Microsoft Azure
    4. Sprawdzanie łączności w centrum administracyjnym firmy Microsoft Entra
  4. Konfigurowanie funkcji zabezpieczeń na potrzeby testowania
    1. Tworzenie sieci wirtualnej
    2. Dodaj połączenie sieci wirtualnej do sieci vWAN
    3. Tworzenie usługi Azure Virtual DesktopWdrażanie usługi Azure Virtual Desktop trwa około 30 minut. Usługa Bastion zajmuje kolejne 30 minut.
  5. Testowanie funkcji zabezpieczeń za pomocą usługi Azure Virtual Desktop (AVD)
    1. Testowanie ograniczenia dzierżawy
    2. Testowanie przywracania źródłowego adresu IP

Konfigurowanie wirtualnej sieci WAN w witrynie Azure Portal

Istnieją trzy główne kroki konfigurowania sieci vWAN:

  1. Tworzenie wirtualnej sieci WAN
  2. Utwórz wirtualny koncentrator sieciowy z bramą VPN typu site-to-site
  3. Uzyskiwanie informacji o bramie sieci VPN

Tworzenie wirtualnej sieci WAN

Utwórz wirtualną sieć WAN, aby nawiązać połączenie z zasobami na platformie Azure. Aby uzyskać więcej informacji na temat sieci vWAN, zobacz omówienie sieci vWAN.

  1. W witrynie Microsoft Azure Portal na pasku Wyszukaj zasoby wpisz vWAN w polu wyszukiwania i wybierz Enter.
  2. Wybierz pozycję vWANs z wyników. Na stronie sieci vWAN wybierz pozycję + Utwórz, aby otworzyć stronę Tworzenie sieci WAN.
  3. Na stronie Tworzenie sieci WAN na karcie Podstawy wypełnij pola. Zmodyfikuj przykładowe wartości, aby zastosować je do środowiska.
    • Subskrypcja: wybierz subskrypcję, której chcesz użyć.
    • Grupa zasobów: utwórz nową lub użyj istniejącej.
    • Lokalizacja grupy zasobów: wybierz lokalizację zasobu z listy rozwijanej. Sieć WAN jest zasobem globalnym i nie mieszka w określonym regionie. Należy jednak wybrać region do zarządzania i lokalizowania utworzonego zasobu sieci WAN.
    • Nazwa: Wpisz nazwę, którą chcesz nadać swojemu vWAN.
    • Typ: Podstawowa lub Standardowa. Wybierz opcję Standardowa. Wybierając opcję Podstawowa, pamiętaj, że podstawowe sieci vWAN mogą zawierać tylko podstawowe koncentratory. Podstawowe koncentratory mogą być używane tylko do połączeń między lokalizacjami.
  4. Po wypełnieniu pól na dole strony wybierz opcję Przejrzyj i utwórz. Zrzut ekranu przedstawiający stronę Tworzenie sieci WAN z wypełnionymi polami.
  5. Po zakończeniu walidacji wybierz przycisk Utwórz .

Tworzenie koncentratora wirtualnego za pomocą bramy sieci VPN

Następnie utwórz wirtualny węzeł z bramą wirtualnej sieci prywatnej (VPN) pomiędzy lokalizacjami:

  1. W ramach nowej sieci vWAN w obszarze Łączność wybierz pozycję Koncentratory.
  2. Wybierz pozycję + Nowe centrum.
  3. Na stronie Tworzenie koncentratora wirtualnego, na karcie Podstawy, wypełnij pola zgodnie ze środowiskiem.
    • Region: wybierz region, w którym chcesz wdrożyć koncentrator wirtualny.
    • Nazwa: nazwa, według której ma być znane centrum wirtualne.
    • Prywatna przestrzeń adresowa centrum: w tym przykładzie użyj adresu 10.101.0.0/24. Aby utworzyć koncentrator, zakres adresów musi znajdować się w notacji CIDR (Bezklasowy Routing Międzydomenowy) i mieć minimalną przestrzeń adresową o wielkości /24.
    • Pojemność koncentratora wirtualnego: w tym przykładzie wybierz pozycję 2 jednostki infrastruktury routingu, router 3 Gb/s, obsługuje 2000 maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Ustawienia koncentratora wirtualnego.
    • Preferencja routingu koncentratora: Pozostaw jako domyślna. Aby uzyskać więcej informacji, zobacz Preferencja routingu koncentratora wirtualnego.
    • Wybierz Następny: strona do strony >. Zrzut ekranu przedstawiający stronę Tworzenie wirtualnego hubu na karcie Podstawy z wypełnionymi polami.
  4. Na karcie Strona do strony wypełnij następujące pola:
    • Wybierz Tak, aby utworzyć bramę sieci VPN typu lokacja-lokacja.
    • Numer AS: Pola Numer AS nie można edytować.
    • Jednostki skalowania bramy: W tym przykładzie wybierz 1 jednostkę skalowania – 500 Mb/s x 2. Ta wartość powinna być zgodna z łączną przepustowością bramy sieci VPN tworzonej w koncentratorze wirtualnym.
    • Preferencja routingu: w tym przykładzie wybierz pozycję Sieć firmy Microsoft, aby kierować ruch między platformą Azure a Internetem. Aby uzyskać więcej informacji na temat preferencji routingu za pośrednictwem sieci firmy Microsoft lub usługodawcy internetowego (ISP), zobacz artykuł Preferencja routingu. Zrzut ekranu przedstawiający stronę Tworzenia koncentratora wirtualnego na karcie Site to site z wypełnionymi polami.
  5. Pozostaw domyślne ustawienia w pozostałych opcjach kart i wybierz Przejrzyj i utwórz, aby zweryfikować.
  6. Wybierz pozycję Utwórz , aby utworzyć centrum i bramę. Ten proces może potrwać do 30 minut.
  7. Po 30 minutach, Odśwież, żeby zobaczyć huby na stronie 'Koncentratory', a następnie wybierz Przejdź do zasobu, aby przejść do zasobu.

Uzyskiwanie informacji o bramie sieci VPN

Aby utworzyć sieć zdalną w centrum administracyjnym firmy Microsoft Entra, musisz wyświetlić i zarejestrować informacje o bramie sieci VPN dla koncentratora wirtualnego utworzonego w poprzednim kroku.

  1. W ramach nowej sieci vWAN w obszarze Łączność wybierz pozycję Koncentratory.
  2. Wybierz koncentrator wirtualny.
  3. Wybierz VPN (Site to site).
  4. Na stronie Wirtualny koncentrator wybierz link Brama VPN . Zrzut ekranu przedstawiający stronę sieci VPN (strona-strona) z widocznym linkiem bramy sieci VPN.
  5. Na stronie Brama sieci VPN wybierz Widok JSON.
  6. Skopiuj tekst JSON do pliku, aby mieć odwołanie w kolejnych krokach. Zanotuj numer systemu autonomicznego (ASN), adres IP urządzenia urządzenia oraz adres BGP urządzenia (Border Gateway Protocol) do użycia w centrum administracyjnym Microsoft Entra w następnym kroku. 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Napiwek

Nie można zmienić wartości asn.

Tworzenie sieci zdalnej w centrum administracyjnym firmy Microsoft Entra

W tym kroku użyj informacji o sieci z bramy sieci VPN, aby utworzyć sieć zdalną w centrum administracyjnym firmy Microsoft Entra. Pierwszym krokiem jest podanie nazwy i lokalizacji sieci zdalnej.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
  2. Przejdź do Global Secure Access>Connect>Remote Networks.
  3. Wybierz przycisk Utwórz sieć zdalną i podaj szczegóły.
    • Nazwa: W tym przykładzie użyj Azure_vWAN.
    • Region: W tym przykładzie wybierz pozycję Południowo-środkowe stany USA.
  4. Wybierz pozycję Dalej: Łączność, aby przejść do karty Łączność.Zrzut ekranu przedstawiający stronę Tworzenie sieci zdalnej na karcie Podstawy z wyróżnionym przyciskiem Dalej: łączność.
  5. Na karcie Łączność dodaj łącza urządzenia dla sieci zdalnej. Utwórz jeden link dla Instance0 bramy sieci VPN, a drugi link dla Instance1 bramy sieci VPN:
    1. Wybierz pozycję + Dodaj link.
    2. Wypełnij pola na karcie Ogólne w formularzu Dodaj link, używając konfiguracji Instance0 bramy sieci VPN z widoku JSON:

      • Nazwa łącza: Nazwa sprzętu lokalnego klienta (CPE). W tym przykładzie Instancja0.

      • Typ urządzenia: wybierz opcję urządzenia z listy rozwijanej. Ustaw wartość Inne.

      • Adres IP urządzenia: publiczny adres IP urządzenia. W tym przykładzie użyj polecenia 203.0.113.250.

      • Adres BGP urządzenia: Wprowadź adres IP protokołu BGP (Border Gateway Protocol) dla swojego CPE. W tym przykładzie użyj wartości 10.101.0.4.

      • Numer ASN urządzenia: podaj numer systemu autonomicznego (ASN) CPE. W tym przykładzie nazwa ASN to 65515.

      • Nadmiarowość: Ustaw jako Brak nadmiarowości.

      • Lokalny adres BGP z nadmiarowością strefową: to pole jest opcjonalne i jest wyświetlane tylko wtedy, gdy wybierzesz Nadmiarowość stref.

        • Wprowadź adres IP protokołu BGP, który nie jest częścią sieci lokalnej, w której znajduje się serwer CPE i różni się od lokalnego adresu BGP.

      • Pojemność przepustowości (Mb/s): określ przepustowość tunelu. W tym przykładzie ustawiono wartość 250 Mb/s.

      • Lokalny adres protokołu BGP: użyj adresu IP protokołu BGP, który nie jest częścią sieci lokalnej, w której znajduje się serwer CPE, na przykład 192.168.10.10.

        • Zapoznaj się z listą ważnych adresów BGP w celu identyfikacji wartości zarezerwowanych, których nie można używać.

        Zrzut ekranu przedstawiający formularz Dodawanie łącza ze strzałkami pokazującymi relację między kodem JSON i informacjami o linku.

    3. Wybierz przycisk Dalej, aby wyświetlić kartę Szczegóły. Zachowaj ustawienia domyślne.
    4. Wybierz przycisk Dalej, aby wyświetlić kartę Zabezpieczenia.
    5. Wprowadź klucz wstępny (PSK). Ten sam klucz tajny musi być użyty na twoim urządzeniu CPE.
    6. Wybierz przycisk zapisywania.

Aby uzyskać więcej informacji na temat linków, zobacz artykuł How to manage remote network device links (Jak zarządzać linkami zdalnych urządzeń sieciowych).

  1. Powtórz powyższe kroki, aby utworzyć drugie łącze urządzenia z wykorzystaniem konfiguracji Instance1 bramy sieci VPN.
    1. Wybierz pozycję + Dodaj link.
    2. Wypełnij pola na karcie Ogólne w formularzu Dodaj łącze przy użyciu konfiguracji Wystąpienia1 bramy sieci VPN z widoku JSON:
      • Nazwa połączenia: Instancja1
      • Typ urządzenia: Inne
      • Adres IP urządzenia: 203.0.113.251
      • Adres protokołu BGP urządzenia: 10.101.0.5
      • Nazwa ASN urządzenia: 65515
      • Nadmiarowość: brak nadmiarowości
      • Pojemność przepustowości (Mb/s): 250 Mb/s
      • Lokalny adres protokołu BGP: 192.168.10.11
    3. Wybierz przycisk Dalej, aby wyświetlić kartę Szczegóły. Zachowaj ustawienia domyślne.
    4. Wybierz przycisk Dalej, aby wyświetlić kartę Zabezpieczenia.
    5. Wprowadź klucz wstępny (PSK). Ten sam klucz tajny musi być użyty na twoim urządzeniu CPE.
    6. Wybierz przycisk zapisywania.
  2. Przejdź do zakładki Profile ruchu, aby wybrać profil ruchu do połączenia z siecią zdalną.
  3. Wybierz profil ruchu Microsoft 365.
  4. Wybierz opcję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz sieć zdalną.

Przejdź do strony Sieć zdalna, aby wyświetlić szczegóły nowej sieci zdalnej. Powinien istnieć jeden region i dwa łącza.

  1. W obszarze Szczegóły łączności wybierz link Wyświetl konfigurację. Zrzut ekranu przedstawiający stronę Sieć zdalna z nowo utworzonym regionem, jego dwoma linkami i wyróżnionym linkiem Wyświetl konfigurację.
  2. Skopiuj tekst konfiguracji sieci zdalnej do pliku, aby uzyskać informacje w kolejnych krokach. Zanotuj Endpoint, ASN i adres BGP dla każdego łącza (Instance0 i Instance1). 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Utwórz witrynę sieci VPN przy użyciu bramy firmy Microsoft

W tym kroku utwórz lokację sieci VPN, skojarz lokację sieci VPN z centrum, a następnie zweryfikuj połączenie.

Utwórz stronę VPN

  1. W witrynie Microsoft Azure Portal zaloguj się do koncentratora wirtualnego utworzonego w poprzednich krokach.
  2. Przejdź do Łączność>VPN (między lokalizacjami).
  3. Wybierz pozycję + Utwórz nową witrynę sieci VPN.
  4. Na stronie Utwórz witrynę VPN wypełnij pola na karcie Podstawowe.
  5. Przejdź do karty Łącza. Dla każdego łącza wprowadź konfigurację bramy Microsoft z konfiguracji sieci zdalnej zanotowanej w kroku "Wyświetl szczegóły".
    • Nazwa łącza: W tym przykładzie Wystąpienie0; Wystąpienie1.
    • Szybkość łącza: w tym przykładzie 250 dla obu łączy.
    • Nazwa dostawcy łącza: ustaw wartość Inne dla obu łączy.
    • Połącz adres IP/nazwę FQDN: użyj adresu punktu końcowego. W tym przykładzie 203.0.113.32; 203.0.113.34.
    • Adres BGP łącza: użyj adresu BGP, 192.168.10.10; 192.168.10.11.
    • Połącz ASN: użyj ASN. W tym przykładzie 65476 dla obu linków. Zrzut ekranu przedstawiający stronę Tworzenie sieci VPN na karcie Linki z wypełnionymi polami.
  6. Wybierz opcję Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Tworzenie połączenia typu lokacja-lokacja

W tym kroku połącz witrynę VPN z poprzedniego kroku z koncentratorem. Następnie usuń domyślne skojarzenie węzła:

  1. Przejdź do Łączność>VPN (między lokalizacjami).
  2. Wybierz ikonę X, aby usunąć domyślny filtr skojarzenie z koncentratorem: Połączono z tym koncentratorem, dzięki czemu witryna VPN pojawi się na liście dostępnych witryn VPN. Zrzut ekranu przedstawiający stronę sieci VPN (lokacja-lokacja) z wyróżnioną wartością X dla filtru skojarzenia centrum.
  3. Wybierz witrynę VPN z listy i wybierz pozycję Połącz witryny VPN.
  4. W formularzu Połącz witryny wpisz ten sam klucz wstępny (PSK) używany w centrum administracyjnym Microsoft Entra.
  5. Wybierz pozycję Połącz.
  6. Po około 30 minutach strona VPN aktualizuje się, aby pokazać ikony sukcesu zarówno dla stanu aprowizacji połączenia, jak i stanu łączności. Zrzut ekranu strony sieci VPN (lokacja-lokacja) pokazujący pomyślny stan dla konfigurowania połączenia i łączności.

Sprawdzanie łączności BGP i wyuczonych tras w portalu Microsoft Azure

W tym kroku użyj pulpitu BGP, aby sprawdzić listę nauczonych tras, które przyswaja brama site-to-site.

  1. Przejdź do Łączność>VPN (między lokalizacjami).
  2. Wybierz lokację sieci VPN utworzoną w poprzednich krokach.
  3. Wybierz Pulpit nawigacyjny BGP.

Tablica protokołu BGP zawiera listę partnerów BGP (bram VPN i witryn VPN), które powinny mieć stanPołączono.

  1. Aby wyświetlić listę nauczonych tras, wybierz opcję Trasy, które przyswaja brama typu site-to-site.

Lista poznanych tras wskazuje, że brama typu site-to-site uczy się tras Microsoft 365 wymienionych w profilu ruchu Microsoft 365. Zrzut ekranu przedstawiający stronę Poznane trasy z wyróżnionymi trasami platformy Microsoft 365.

Na poniższym obrazku przedstawiono zasady i reguły profilu ruchu dla profilu Microsoft 365, które powinny być zgodne z trasami uzyskanymi z bramy typu lokacja-lokacja. Zrzut ekranu przedstawiający profile przekazywania ruchu platformy Microsoft 365, pokazujący pasujące, wyuczone trasy.

Sprawdzanie łączności w centrum administracyjnym firmy Microsoft Entra

Wyświetl dzienniki kondycji sieci zdalnej, aby zweryfikować łączność w centrum administracyjnym firmy Microsoft Entra.

  1. W centrum administracyjnym Microsoft Entra przejdź do Global Secure Access>Monitor>dzienników kondycji zdalnej sieci.
  2. Wybierz Dodaj filtr.
  3. Wybierz Source IP i wpisz źródłowy adres IP dla adresu IP bramy VPN Instance0 lub Instance1. Wybierz Zastosuj.
  4. Połączenie powinno mieć wartość "Zdalna sieć aktywna".

Możesz również weryfikować, filtrując według tunnelConnected lub BGPConnected. Aby uzyskać więcej informacji, zobacz Co to są dzienniki kondycji sieci zdalnej?.

Konfigurowanie funkcji zabezpieczeń na potrzeby testowania

W tym kroku przygotowujemy się do testowania, konfigurując sieć wirtualną, dodając połączenie sieci wirtualnej do sieci vWAN i tworząc Azure Virtual Desktop.

Tworzenie sieci wirtualnej

W tym kroku użyj witryny Azure Portal, aby utworzyć sieć wirtualną.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Sieci wirtualne.
  2. Na stronie Sieci wirtualnych wybierz pozycję + Utwórz.
  3. Ukończ kartę Podstawowe, w tym subskrypcję, grupę zasobów, nazwę sieci wirtualnej i region.
  4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
  5. W sekcji Azure Bastion wybierz pozycję Włącz usługę Bastion.
    • Wpisz nazwę hosta usługi Azure Bastion. W tym przykładzie użyj Virtual_network_01-bastion.
    • Wybierz publiczny adres IP usługi Azure Bastion. W tym przykładzie wybierz pozycję domyślna (nowa). Zrzut ekranu przedstawiający ekran Tworzenie sieci wirtualnej na karcie Zabezpieczenia z ustawieniami usługi Bastion.
  6. Wybierz przycisk Dalej , aby przejść do karty Adresy IP. Skonfiguruj przestrzeń adresową sieci wirtualnej przy użyciu co najmniej jednego zakresu adresów IPv4 lub IPv6.

Napiwek

Nie używaj nakładających się przestrzeni adresowych. Jeśli na przykład koncentrator wirtualny utworzony w poprzednich krokach używa przestrzeni adresowej 10.0.0.0/16, utwórz tę sieć wirtualną z przestrzenią adresową 10.2.0.0/16. 7. Wybierz pozycję Przejrzyj i utwórz. Po zakończeniu walidacji wybierz pozycję Utwórz.

Dodaj połączenie sieci wirtualnej do sieci vWAN

W tym kroku połącz sieć wirtualną z siecią vWAN.

  1. Otwórz sieć vWAN utworzoną w poprzednich krokach i przejdź do Łączność>Połączenia sieci wirtualnej.
  2. Wybierz przycisk + Add connection (Dodaj połączenie).
  3. Wypełnij formularz Dodaj połączenie, wybierając wartości z koncentratora wirtualnego i sieci wirtualnej utworzonej w poprzednich sekcjach.
    • Nazwa połączenia: VirtualNetwork
    • Huby: hub1
    • Subskrypcja: Subskrypcja platformy Azure firmy Contoso
    • Grupa zasobów: GlobalSecureAccess_Documentation
    • Sieć wirtualna: VirtualNetwork
  4. Pozostaw pozostałe pola ustawione na wartości domyślne, a następnie wybierz pozycję Utwórz. Zrzut ekranu formularza Dodaj połączenie z przykładowymi informacjami w wymaganych polach.

Tworzenie usługi Azure Virtual Desktop

W tym kroku utwórz pulpit wirtualny i hostuj go za pomocą usługi Bastion.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure Virtual Desktop.
  2. Na stronie Azure Virtual Desktop wybierz pozycję Utwórz pulę hostów.
  3. Ukończ kartę Podstawowe , wykonując następujące czynności:
    • Nazwa puli hostów. W tym przykładzie virtualdesktops.
    • Lokalizacja obiektu usługi Azure Virtual Desktop. W tym przypadku Południowo-Centralne Stany Zjednoczone.
    • Preferowany typ grupy aplikacji: wybierz pozycję Pulpit.
    • Typ puli hostów: wybierz Współdzielona.
    • Algorytm równoważenia obciążenia: wybierz Szerokość najpierw.
    • Maksymalny limit sesji: wybierz pozycję 2.
  4. Wybierz pozycję Dalej: Maszyny wirtualne.
  5. Ukończ kartę Dalej: Maszyny wirtualne, wykonując następujące czynności:
    • Dodawanie maszyn wirtualnych: Tak
    • Żądana grupa zasobów. W tym przykładzie GlobalSecureAccess_Documentation.
    • Prefiks nazwy: avd
    • Typ maszyny wirtualnej: wybierz Maszynę wirtualną Azure.
    • Lokalizacja maszyny wirtualnej: Południowo-środkowe stany USA.
    • Opcje dostępności: wybierz pozycję Brak wymogu nadmiarowości infrastruktury.
    • Typ zabezpieczeń: wybierz Zaufana maszyna wirtualna uruchamiania.
    • Włącz bezpieczny rozruch: Tak
    • Włącz vTPM: Tak
    • Obraz: Na potrzeby tego przykładu wybierz Windows 11 Enterprise wielosesyjny + aplikacje Microsoft 365 w wersji 22H2.
    • Rozmiar maszyny wirtualnej: wybierz pozycję Standardowa D2s v3, 2 procesory wirtualne, 8 GB pamięci.
    • Liczba maszyn wirtualnych: 1
    • Sieć wirtualna: wybierz sieć wirtualną utworzoną w poprzednim kroku VirtualNetwork.
    • Domena do przyłączenia: wybierz pozycję Microsoft Entra ID.
    • Wprowadź poświadczenia konta administratora.
  6. Pozostaw inne opcje domyślne i wybierz pozycję Przejrzyj i utwórz.
  7. Po zakończeniu walidacji wybierz pozycję Utwórz.
  8. Po około 30 minutach pula hostów zostanie zaktualizowana, aby pokazać, że wdrożenie zostało ukończone.
  9. Przejdź do strony głównej platformy Microsoft Azure i wybierz pozycję Maszyny wirtualne.
  10. Wybierz maszynę wirtualną utworzoną w poprzednich krokach.
  11. Wybierz Połącz>Połącz za pośrednictwem Bastion.
  12. Wybierz pozycję Wdróż usługę Bastion. Wdrożenie hosta usługi Bastion trwa około 30 minut.
  13. Po wdrożeniu usługi Bastion wprowadź te same poświadczenia administratora, które zostały użyte do utworzenia usługi Azure Virtual Desktop.
  14. Wybierz pozycję Połącz. Zostanie uruchomiony pulpit wirtualny.

Testowanie funkcji zabezpieczeń za pomocą usługi Azure Virtual Desktop (AVD)

W tym kroku używamy usługi AVD do testowania ograniczeń dostępu do sieci wirtualnej.

Testowanie ograniczenia dzierżawy

Przed rozpoczęciem testowania włącz ograniczenia dzierżawy w sieci wirtualnej.

  1. W centrum administracyjnym Microsoft Entra przejdź do Global Secure AccessUstawieniaZarządzanie sesjami.
  2. Ustaw przełącznik Włącz tagowanie na włączony, aby wymusić ograniczenia najemców w sieci.
  3. Wybierz pozycję Zapisz.
  4. Zasady dostępu między dzierżawami można zmodyfikować, przechodząc do usługi Entra ID>External Identities>ustawienia dostępu między dzierżawami. Aby uzyskać więcej informacji, zobacz artykuł „Cross-tenant access overview”.
  5. Zachowaj ustawienia domyślne, które uniemożliwiają użytkownikom logowanie się przy użyciu kont zewnętrznych na urządzeniach zarządzanych.

Aby przetestować:

  1. Zaloguj się do maszyny wirtualnej usługi Azure Virtual Desktop utworzonej w poprzednich krokach.
  2. Przejdź do www.office.com i zaloguj się przy użyciu wewnętrznego identyfikatora organizacji. Ten test powinien zostać pomyślnie ukończony.
  3. Powtórz poprzedni krok, ale przy użyciu konta zewnętrznego. Ten test powinien zakończyć się niepowodzeniem z powodu zablokowanego dostępu.
    Zrzut ekranu przedstawiający komunikat

Testowanie przywracania źródłowego adresu IP

Przed rozpoczęciem testowania włącz dostęp warunkowy.

  1. W centrum administracyjnym Microsoft Entra przejdź do Global Secure AccessUstawieniaZarządzanie sesjami.
  2. Wybierz kartę Adaptacyjny dostęp.
  3. Ustaw przełącznik Włącz sygnalizację Global Secure Access w Dostępie warunkowym na włączony.
  4. Wybierz pozycję Zapisz. Aby uzyskać więcej informacji, zobacz artykuł Przywracanie źródłowego adresu IP.

Aby przetestować (opcja 1): Powtórz test ograniczeń dzierżawy z poprzedniej sekcji:

  1. Zaloguj się do maszyny wirtualnej usługi Azure Virtual Desktop utworzonej w poprzednich krokach.
  2. Przejdź do www.office.com i zaloguj się przy użyciu wewnętrznego identyfikatora organizacji. Ten test powinien zostać pomyślnie ukończony.
  3. Powtórz poprzedni krok, ale przy użyciu konta zewnętrznego. Ten test powinien zakończyć się niepowodzeniem, ponieważ źródłowy adres IP w komunikacie o błędzie pochodzi z publicznego adresu IP bramy sieci VPN zamiast serwera proxy microsoft SSE wysyłającego żądanie do firmy Microsoft Entra.
    Zrzut ekranu przedstawiający komunikat

Aby przetestować (opcja 2):

  1. W centrum administracyjnym Microsoft Entra przejdź do Global Secure Access>Monitor>dzienników kondycji zdalnej sieci.
  2. Wybierz Dodaj filtr.
  3. Wybierz Źródłowy adres IP i wpisz publiczny adres IP bramy VPN. Wybierz Zastosuj. Zrzut ekranu przedstawiający stronę dzienników kondycji sieci zdalnej z otwartym menu

System przywraca adres IP sprzętu klienta (CPE) biura oddziału. Ponieważ brama sieci VPN reprezentuje cpE, dzienniki kondycji pokazują publiczny adres IP bramy sieci VPN, a nie adres IP serwera proxy.

Usuwanie niepotrzebnych zasobów

Po zakończeniu testowania lub na końcu projektu warto usunąć zasoby, których już nie potrzebujesz. Zasoby pozostawione włączone mogą generować koszty. Zasoby możesz usuwać pojedynczo lub jako grupę zasobów, usuwając cały zestaw zasobów.