Ćwiczenie — tworzenie urządzenia WUS i maszyn wirtualnych

  • 10 min

Następnym etapem implementacji zabezpieczeń będzie wdrożenie wirtualnego urządzenia sieciowego (WUS) w celu zabezpieczenia i monitorowania ruchu między serwerami publicznymi frontonu i wewnętrznymi serwerami prywatnymi.

Urządzenie należy skonfigurować tak, aby przesyłało dalej ruch IP. Jeśli przekazywanie IP nie zostanie włączone, ruch kierowany przez urządzenie nigdy nie zostanie odebrany przez serwery docelowe.

W tym ćwiczeniu wdrożysz urządzenie sieciowe nva w podsieci dmzsubnet . Następnie włączysz przekazywanie adresów IP, aby ruch z * i ruch korzystający z trasy niestandardowej był wysyłany do podsieci privatesubnet .

Visualization of a Network virtual appliance with IP forwarding enabled.

W poniższych krokach wdrożysz urządzenie WUS. Następnie zaktualizujesz wirtualną kartę sieciową platformy Azure oraz ustawienia sieciowe w urządzeniu, aby włączyć przekazywanie IP.

Wdrażanie wirtualnego urządzenia sieciowego

Aby skompilować urządzenie WUS, wdróż wystąpienie systemu Ubuntu LTS.

  1. Uruchom następujące polecenie w usłudze Cloud Shell, aby wdrożyć urządzenie. Zastąp frazę <password> odpowiednim hasłem dla konta administratora azureuser.

    az vm create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

Włączanie przekazywania IP dla interfejsu sieciowego platformy Azure

W następnych krokach zostanie włączone przekazywanie IP dla urządzenia sieciowego WUS. Jeśli ruch płynący do urządzenia WUS jest przeznaczony do innego miejsca docelowego, urządzenie WUS kieruje ten ruch do prawidłowej lokalizacji docelowej.

  1. Uruchom następujące polecenie, aby uzyskać identyfikator interfejsu sieciowego urządzenia WUS.

    NICID=$(az vm nic list \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. Uruchom następujące polecenie, aby uzyskać nazwę interfejsu sieciowego urządzenia WUS.

    NICNAME=$(az vm nic show \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. Uruchom następujące polecenie, aby włączyć przekazywanie IP dla tego interfejsu sieciowego.

    az network nic update --name $NICNAME \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --ip-forwarding true

Włączanie przekazywania IP na urządzeniu

  1. Uruchom następujące polecenie, aby zapisać publiczny adres IP maszyny wirtualnej urządzenia WUS w zmiennej o nazwie NVAIP.

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. Uruchom następujące polecenie, aby włączyć przekazywanie IP na urządzeniu WUS.

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    Po wyświetleniu monitu wprowadź hasło, które zostało użyte podczas tworzenia maszyny wirtualnej.