Упражнение. Создание NVA и виртуальных машин

  • 10 мин

На следующем этапе реализации безопасности вы развернете сетевой виртуальный модуль (NVA) для защиты и мониторинга трафика между общедоступными серверами переднего плана и внутренними частными серверами.

Вы настраиваете (модуль) для пересылки IP-трафика. Если IP-пересылка не включена, то трафик, направляемый через модуль, никогда не достигнет целевых серверов.

В этом упражнении вы развернете сеть nva (модуль) в подсети dmzsubnet. Затем вы включите IP-пересылку, чтобы трафик из * и трафик, использующий настраиваемый маршрут, отправляется в подсеть частной подсети .

Visualization of a Network virtual appliance with IP forwarding enabled.

В следующих шагах вы развернете NVA. Затем вы измените виртуальный сетевой адаптер Azure и параметры сети в модуле, чтобы включить IP-пересылку.

Развертывание сетевого виртуального модуля

Чтобы создать NVA, разверните экземпляр Ubuntu LTS.

  1. В Cloud Shell выполните приведенную ниже команду, чтобы развернуть модуль. Замените <password> на подходящий пароль для учетной записи администратора azureuser.

    az vm create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

Включение IP-пересылки для сетевого интерфейса Azure

В следующих шагах будет включена IP-пересылка для сетевого модуля nva. Если трафик передается в NVA, но предназначен для другого целевого объекта, NVA перенаправит его в соответствующее место назначения.

  1. Выполните приведенную ниже команду, чтобы получить идентификатор сетевого интерфейса NVA.

    NICID=$(az vm nic list \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. Выполните приведенную ниже команду, чтобы получить имя сетевого интерфейса NVA.

    NICNAME=$(az vm nic show \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. Выполните приведенную ниже команду, чтобы включить IP-пересылку для сетевого интерфейса.

    az network nic update --name $NICNAME \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --ip-forwarding true

Включение IP-пересылки в модуле

  1. Выполните приведенную ниже команду, чтобы сохранить общедоступный IP-адрес виртуальной машины NVA в переменной NVAIP.

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. Выполните приведенную ниже команду, чтобы включить IP-пересылку в NVA.

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    При появлении запроса введите пароль, который использовался при создании виртуальной машины.