Упражнение. Создание NVA и виртуальных машин

Завершено

На следующем этапе реализации безопасности вы развернете сетевой виртуальный модуль (NVA) для защиты и мониторинга трафика между общедоступными серверами переднего плана и внутренними частными серверами.

Вы настраиваете (модуль) для пересылки IP-трафика. Если IP-пересылка не включена, то трафик, направляемый через модуль, никогда не достигнет целевых серверов.

В этом упражнении вы развернете сеть nva (модуль) в подсети dmzsubnet. Затем вы включите IP-пересылку, чтобы трафик из * и трафик, использующий настраиваемый маршрут, отправляется в подсеть частной подсети .

Visualization of a Network virtual appliance with IP forwarding enabled.

В следующих шагах вы развернете NVA. Затем вы измените виртуальный сетевой адаптер Azure и параметры сети в модуле, чтобы включить IP-пересылку.

Развертывание сетевого виртуального модуля

Чтобы создать NVA, разверните экземпляр Ubuntu LTS.

  1. В Cloud Shell выполните приведенную ниже команду, чтобы развернуть модуль. Замените <password> на подходящий пароль для учетной записи администратора azureuser.

    az vm create \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --name nva \
        --vnet-name vnet \
        --subnet dmzsubnet \
        --image Ubuntu2204 \
        --admin-username azureuser \
        --admin-password <password>
    

Включение IP-пересылки для сетевого интерфейса Azure

В следующих шагах будет включена IP-пересылка для сетевого модуля nva. Если трафик передается в NVA, но предназначен для другого целевого объекта, NVA перенаправит его в соответствующее место назначения.

  1. Выполните приведенную ниже команду, чтобы получить идентификатор сетевого интерфейса NVA.

    NICID=$(az vm nic list \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --vm-name nva \
        --query "[].{id:id}" --output tsv)
    
    echo $NICID
    
  2. Выполните приведенную ниже команду, чтобы получить имя сетевого интерфейса NVA.

    NICNAME=$(az vm nic show \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --vm-name nva \
        --nic $NICID \
        --query "{name:name}" --output tsv)
    
    echo $NICNAME
    
  3. Выполните приведенную ниже команду, чтобы включить IP-пересылку для сетевого интерфейса.

    az network nic update --name $NICNAME \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --ip-forwarding true
    

Включение IP-пересылки в модуле

  1. Выполните приведенную ниже команду, чтобы сохранить общедоступный IP-адрес виртуальной машины NVA в переменной NVAIP.

    NVAIP="$(az vm list-ip-addresses \
        --resource-group "<rgn>[sandbox resource group name]</rgn>" \
        --name nva \
        --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
        --output tsv)"
    
    echo $NVAIP
    
  2. Выполните приведенную ниже команду, чтобы включить IP-пересылку в NVA.

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
    

    При появлении запроса введите пароль, который использовался при создании виртуальной машины.