Ćwiczenie — implementowanie topologii sieci piasty i szprych na platformie Azure
Podjęto decyzję o wdrożeniu infrastruktury sieciowej w konfiguracji piasty i szprych dla zasobów. Dodatkowo Twój wewnętrzny dział kadr chce hostować nowy wewnętrzny system HR, który nie powinien być dostępny z Internetu. System KADR powinien być dostępny dla wszystkich w firmie, niezależnie od tego, czy pracują w siedzibie firmy, czy w biurze satelitarnym.
W tym ćwiczeniu wdrożysz infrastrukturę sieci, a następnie utworzysz nową sieć wirtualną do hostowania serwerów dla nowego systemu kadr firmy.
Konfigurowanie środowiska
To wdrożenie tworzy zasoby sieciowe platformy Azure pasujące do powyższego diagramu. Korzystając z tych zasobów, można dodać nową sieć wirtualną HR.
Utwórz sieci wirtualne i podsieci dla zasobów serwera. Uruchom następujące polecenie:
az deployment group create \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json
Tworzenie nowej szprychy w sieci wirtualnej
Sieć wirtualną możesz utworzyć za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Wykonajmy pozostałą część tego ćwiczenia za pośrednictwem witryny Azure Portal.
Zaloguj się do witryny Azure Portal przy użyciu tego samego konta, które zostało użyte do aktywowania piaskownicy.
W lewym górnym rogu witryny Azure Portal wybierz pozycję Utwórz zasób. Zostanie wyświetlone okienko Tworzenie zasobu .
W polu wyszukiwania wprowadź wartość Sieć wirtualna.
Wybierz pozycję Sieć wirtualna z witryny Marketplace. Zostanie wyświetlone okienko Tworzenie sieci wirtualnej.
Aby rozpocząć konfigurowanie sieci wirtualnej, wybierz pozycję Utwórz. Zostanie wyświetlone okienko Tworzenie sieci wirtualnej.
Konfigurowanie ustawień sieci wirtualnej
Środowisko tworzenia zasobów w portalu jest kreatorem, który przeprowadzi Cię przez konfigurację początkową sieci wirtualnej.
Aby utworzyć sieć wirtualną, na karcie Podstawy wprowadź następujące wartości dla każdego ustawienia.
Ustawienie Wartość Szczegóły projektu Subskrypcja Subskrypcja Concierge Grupa zasobów Z listy rozwijanej wybierz pozycję [nazwa grupy zasobów piaskownicy] Szczegóły wystąpienia Nazwa sieci wirtualnej HRappVnet Region (Region) Pozostaw region domyślny. Wybierz kartę Adresy IP lub wybierz przycisk Dalej>.
Wprowadź następujące wartości dla każdego ustawienia.
Ustawienie Wartość Przestrzeń adresowa IPv4 Zastąp adres domyślny wartością 10.10.0.0/16 w polu tekstowym. Nazwa podsieci Wybierz pozycję domyślną. Zostanie wyświetlone okienko Edytowanie podsieci . Wprowadź następujące wartości dla każdego ustawienia. Ustawienie Wartość Nazwa podsieci HRsystems Adres początkowy 10.10.1.0/24 Wybierz pozycję Zapisz.
Wybierz pozycję Przejrzyj i utwórz. Po zakończeniu walidacji, aby rozpocząć aprowizowanie sieci wirtualnej, wybierz pozycję Utwórz.
Po pomyślnym zakończeniu wdrażania wybierz pozycję Przejdź do zasobu. Pojawi się okienko sieci wirtualnej O nazwie HRappVnet .
Konfigurowanie komunikacji równorzędnej sieci wirtualnej piasty
Po utworzeniu trzeciej szprychy należy skonfigurować komunikację równorzędną sieci wirtualnej między piastą i szprychami.
Przejdź do strony głównej portalu. Wybierz pozycję Wszystkie zasoby. Zostanie wyświetlone okienko Wszystkie zasoby .
Powinny zostać wyświetlone sieci wirtualne HubVNet, WebVNet, QuoteVNet i HRappVnet.
Wybierz pozycję HubVNet. Zostanie wyświetlone okienko HubVnet .
W okienku menu po lewej stronie w obszarze ustawień wybierz pozycję Komunikacje równorzędne. Zostanie wyświetlone okienko Komunikacja równorzędna dla okienka HubVnet.
Na górnym pasku menu wybierz pozycję + Dodaj. Zostanie wyświetlone okienko Dodawanie komunikacji równorzędnej dla sieci HubVnet.
Na stronie Dodawanie komunikacji równorzędnej wybierz pozycję HRappVnet dla sieci wirtualnej przed ukończeniem pozostałej części konfiguracji komunikacji równorzędnej.
Wprowadź następujące wartości dla każdego ustawienia.
Ustawienie Wartość Ta sieć wirtualna Nazwa łącza komunikacji równorzędnej Wprowadź gwPeering_hubVNet_HRappVnet. Ta nazwa to nazwa łącza komunikacji równorzędnej z sieci HubvNet do sieci HRappVnet. Zezwalaj aplikacji "HubVnet" na dostęp do sieci HRappVnet Zaznacz pole wyboru, aby zezwolić na dostęp. Zezwalaj usłudze "HubVnet" na odbieranie przekazywanego ruchu z sieci "HRappVnet" Pozostaw pole wyboru niezaznaczone do blokuj ruch pochodzący z spoza tej sieci wirtualnej. Zezwalaj bramie w sieci HubVnet na przekazywanie ruchu do sieci "HRappVnet" Pozostaw pole wyboru niezaznaczone. Włącz bramę zdalną "HubVnet", aby użyć bramy zdalnej "HRappVnet" Pozostaw pole wyboru niezaznaczone. Zdalna sieć wirtualna Nazwa łącza komunikacji równorzędnej gwPeering_HRappVnet_hubVNet. Ta nazwa to nazwa łącza komunikacji równorzędnej z sieci HRappVnet do sieci HubVnet. Model wdrażania sieci wirtualnej Wybierz pozycję Resource Manager Subskrypcja Wybierz pozycję Subskrypcja Concierge Sieć wirtualna Wybierz pozycję HRappVnet Zezwalaj aplikacji "HRappVnet" na dostęp do sieci "HubVnet" Zaznacz pole wyboru, aby zezwolić na dostęp. Zezwalaj usłudze "HRappVnet" na odbieranie przekazywanego ruchu z sieci "HubVnet" Pozostaw pole wyboru niezaznaczone do blokuj ruch pochodzący z spoza tej sieci wirtualnej. Zezwalaj bramie w sieci "HRappVnet" na przekazywanie ruchu do sieci "HubVnet" Pozostaw pole wyboru niezaznaczone Włącz bramę zdalną "HRappVnet" Pozostaw pole wyboru niezaznaczone Aby utworzyć komunikację równorzędną, wybierz pozycję Dodaj. Okienko Komunikacja równorzędna pojawia się ponownie z nową komunikacją równorzędną.
Sieć wirtualna piasty została połączona za pomocą komunikacji równorzędnej z siecią wirtualną szprychy. Konfiguracja umożliwia przesyłanie dalej ruchu z piasty do szprychy przy użyciu bramy sieci VPN.
Tworzenie sieciowej grupy zabezpieczeń dla sieci wirtualnej
Aby skonfigurować przepływ ruchu, należy utworzyć sieciową grupę zabezpieczeń.
Przejdź do strony głównej portalu i wybierz pozycję Utwórz zasób. Zostanie wyświetlone okienko Tworzenie zasobu .
W polu wyszukiwania wprowadź tekst sieciowa grupa zabezpieczeń, a następnie wybierz z listy link o tym samym tytule. Zostanie wyświetlone okienko Tworzenie sieciowej grupy zabezpieczeń.
Aby rozpocząć konfigurowanie sieci wirtualnej, wybierz pozycję Utwórz. Zostanie wyświetlona grupa zabezpieczeń Tworzenie sieciowej grupy zabezpieczeń.
Na karcie Podstawy wprowadź następujące wartości dla każdego ustawienia.
Ustawienie Wartość Szczegóły projektu Subskrypcja Subskrypcja Concierge Grupa zasobów Z listy rozwijanej wybierz pozycję [nazwa grupy zasobów piaskownicy] Szczegóły wystąpienia Nazwisko Wprowadź wartość HRNsg Region (Region) Pozostaw lokalizację domyślną. Wybierz pozycję Przejrzyj i utwórz.
Po zakończeniu walidacji w celu wdrożenia sieciowej grupy zabezpieczeń wybierz pozycję Utwórz. Zostanie wyświetlone okienko Przegląd sieciowej grupy zabezpieczeń.
Wybierz pozycję Przejdź do zasobu i zanotuj sieciową grupę zabezpieczeń , hrNsg.
Teraz utworzono sieciową grupę zabezpieczeń, którą można przypisać do każdej z sieci wirtualnych.
Kojarzenie sieciowej grupy zabezpieczeń z nową siecią wirtualną HR
Teraz skojarzysz sieciową grupę zabezpieczeń z siecią wirtualną.
Jeśli okno HRNsg zostało zamknięte, przejdź do strony głównej portalu. Wybierz pozycję Wszystkie zasoby i wybierz pozycję HRNsg. Zostanie wyświetlone okienko HRNsg . W przeciwnym razie przejdź do następnego kroku.
W okienku menu po lewej stronie w obszarze Ustawienia wybierz pozycję Podsieci. Zostanie wyświetlone okienko Podsieci dla sieciowej grupy zabezpieczeń HRNsg.
Na górnym pasku menu wybierz pozycję + Skojarz. Zostanie wyświetlone okienko Kojarzenie podsieci .
Z listy rozwijanej Sieć wirtualna wybierz pozycję HRappVnet.
Z listy rozwijanej Podsieć wybierz pozycję HRsystems.
Aby skojarzyć sieciową grupę zabezpieczeń, wybierz przycisk OK. Okienko Podsieci dla sieciowej grupy zabezpieczeń HRNsg zostanie ponownie wyświetlone.
Konfigurowanie reguły sieciowej grupy zabezpieczeń mającej zatrzymać ruch przychodzący HTTP
Aplikacja HR, która ma być hostowana w sieci wirtualnej HRappVnet, musi spełniać określony wymóg dotyczący zabezpieczeń. Nie może pozwalać na jakikolwiek przychodzący ruch HTTP ze szprychy, ponieważ dostęp jest potrzebny tylko dla pracowników wewnętrznych. Skonfiguruj regułę sieciowej grupy zabezpieczeń spełniającą to wymaganie.
W witrynie HRNsg | Na stronie Podsieci wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego w obszarze Ustawienia. Okienko Reguły zabezpieczeń dla ruchu przychodzącego zostanie wyświetlone dla sieciowej grupy zabezpieczeń HRNsg.
Na górnym pasku menu wybierz pozycję + Dodaj. Zostanie wyświetlone okienko Dodawanie reguły zabezpieczeń dla ruchu przychodzącego.
Wprowadź następujące wartości dla każdego ustawienia.
Ustawienie Wartość Lokalizacja źródłowa Z listy rozwijanej wybierz pozycję Dowolne. Zakresy portów źródłowych Pozostaw wartość domyślną .* Element docelowy Z listy rozwijanej wybierz pozycję Tag usługi. Docelowy tag usługi Wybierz pozycję VirtualNetwork. Usługa Wybierz Niestandardowy. Zakresy portów docelowych Wprowadź wartość 80 443 Protokół Wybierz dowolną. Akcja Wybierz pozycję Odmów. Priorytet Wprowadź wartość 100. Nazwisko Wprowadź wartość Block-Inbound-HTTP-HTTPS opis Wprowadź wartość Blokuj przychodzący ruch HTTP i HTTPS ze szprychy. Aby dodać regułę, wybierz pozycję Dodaj. Okienko Reguły zabezpieczeń dla ruchu przychodzącego pojawi się ponownie dla sieciowej grupy zabezpieczeń.
Przychodzący dostęp HTTP ze szprychy na porcie 80 i 443 został zablokowany.
W tym scenariuszu została utworzona sieć wirtualna szprychy na platformie Azure, którą następnie połączono za pomocą komunikacji równorzędnej z istniejącą siecią wirtualną piasty. Ruch z tej szprychy został później zabezpieczony przez zablokowanie przychodzącego dostępu HTTP na porcie 80 i 443, a jednocześnie zapewnienie możliwości nawiązywania połączeń za pośrednictwem piasty.