Ćwiczenie — tworzenie tras niestandardowych
W ramach implementowania strategii zabezpieczeń chcesz skontrolować sposób, w jaki ruch sieciowy jest kierowany w infrastrukturze platformy Azure.
W poniższym ćwiczeniu użyjesz wirtualnego urządzenia sieciowego (WUS), aby ułatwić zabezpieczanie i monitorowanie ruchu. Chcesz mieć pewność, że komunikacja między serwerami publicznymi frontonu a wewnętrznymi serwerami prywatnymi jest zawsze kierowana przez urządzenie.
Należy skonfigurować sieć tak, aby cały ruch przepływujący z podsieci publicznej do podsieci prywatnej był kierowany przez urządzenie WUS. Aby ten przepływ się wydarzył, należy utworzyć trasę niestandardową dla podsieci publicznej w celu kierowania tego ruchu do podsieci sieci obwodowej. Później wdrożysz urządzenie WUS w podsieci sieci obwodowej.
W tym ćwiczeniu utworzysz tabelę tras, trasę niestandardową i podsieci. Następnie skojarzysz tabelę tras z podsiecią.
Tworzenie tabeli tras i trasy niestandardowej
Pierwsze zadanie polega na utworzeniu nowej tabeli routingu, a następnie dodaniu trasy niestandardowej dla całego ruchu przeznaczonego dla podsieci prywatnej.
Uwaga
Może wystąpić błąd, który odczytuje: to polecenie jest niejawnie przestarzałe. Zignoruj ten błąd dla tego modułu szkoleniowego. Pracujemy nad tym!
W oknie usługi Cloud Shell po prawej stronie ekranu wybierz ikonę Więcej (...), a następnie wybierz pozycję Ustawienia>Przejdź do wersji klasycznej.
W usłudze Azure Cloud Shell uruchom następujące polecenie, aby utworzyć tabelę tras:
az network route-table create \ --name publictable \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --disable-bgp-route-propagation falseUruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć trasę niestandardową:
az network route-table route create \ --route-table-name publictable \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name productionsubnet \ --address-prefix 10.0.1.0/24 \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.2.4
Tworzenie sieci wirtualnej i podsieci
Następnym zadaniem jest utworzenie sieci wirtualnej sieci wirtualnej i trzech potrzebnych podsieci: publicsubnet, privatesubnet i dmzsubnet.
Uruchom następujące polecenie, aby utworzyć sieć wirtualną sieci wirtualnej i podsieć publicsubnet:
az network vnet create \ --name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.0.0/16 \ --subnet-name publicsubnet \ --subnet-prefixes 10.0.0.0/24Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć podsieć privatesubnet :
az network vnet subnet create \ --name privatesubnet \ --vnet-name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.1.0/24Uruchom następujące polecenie, aby utworzyć podsieć dmzsubnet :
az network vnet subnet create \ --name dmzsubnet \ --vnet-name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.2.0/24Powinny teraz istnieć trzy podsieci. Uruchom następujące polecenie, aby wyświetlić wszystkie podsieci w sieci wirtualnej sieci wirtualnej:
az network vnet subnet list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vnet-name vnet \ --output table
Kojarzenie tabeli tras z podsiecią publiczną
Ostatnim zadaniem w tym ćwiczeniu jest skojarzenie tabeli tras z podsiecią publicsubnet.
Uruchom następujące polecenie, aby skojarzyć tabelę tras z podsiecią publiczną.
az network vnet subnet update \
--name publicsubnet \
--vnet-name vnet \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--route-table publictable