Упражнение. Создание NVA и виртуальных машин
На следующем этапе реализации безопасности вы развернете сетевой виртуальный модуль (NVA) для защиты и мониторинга трафика между общедоступными серверами переднего плана и внутренними частными серверами.
Вы настраиваете (модуль) для пересылки IP-трафика. Если IP-пересылка не включена, то трафик, направляемый через модуль, никогда не достигнет целевых серверов.
В этом упражнении вы развернете сеть nva (модуль) в подсети dmzsubnet. Затем вы включите IP-пересылку, чтобы трафик из *
и трафик, использующий настраиваемый маршрут, отправляется в подсеть частной подсети .
В следующих шагах вы развернете NVA. Затем вы измените виртуальный сетевой адаптер Azure и параметры сети в модуле, чтобы включить IP-пересылку.
Развертывание сетевого виртуального модуля
Чтобы создать NVA, разверните экземпляр Ubuntu LTS.
В Cloud Shell выполните приведенную ниже команду, чтобы развернуть модуль. Замените
<password>
на подходящий пароль для учетной записи администратора azureuser.az vm create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --vnet-name vnet \ --subnet dmzsubnet \ --image Ubuntu2204 \ --admin-username azureuser \ --admin-password <password>
Включение IP-пересылки для сетевого интерфейса Azure
В следующих шагах будет включена IP-пересылка для сетевого модуля nva. Если трафик передается в NVA, но предназначен для другого целевого объекта, NVA перенаправит его в соответствующее место назначения.
Выполните приведенную ниже команду, чтобы получить идентификатор сетевого интерфейса NVA.
NICID=$(az vm nic list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --query "[].{id:id}" --output tsv) echo $NICID
Выполните приведенную ниже команду, чтобы получить имя сетевого интерфейса NVA.
NICNAME=$(az vm nic show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --nic $NICID \ --query "{name:name}" --output tsv) echo $NICNAME
Выполните приведенную ниже команду, чтобы включить IP-пересылку для сетевого интерфейса.
az network nic update --name $NICNAME \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --ip-forwarding true
Включение IP-пересылки в модуле
Выполните приведенную ниже команду, чтобы сохранить общедоступный IP-адрес виртуальной машины NVA в переменной
NVAIP
.NVAIP="$(az vm list-ip-addresses \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \ --output tsv)" echo $NVAIP
Выполните приведенную ниже команду, чтобы включить IP-пересылку в NVA.
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
При появлении запроса введите пароль, который использовался при создании виртуальной машины.