Scenario för virtuell installation
Ett vanligt scenario bland större Azure-kunder är behovet av att tillhandahålla ett program med två nivåer som exponeras för Internet, samtidigt som det även ger åtkomst till servernivån från ett lokalt datacenter. Den här artikeln beskriver ett scenario som använder routningstabeller, en VPN-gateway och virtuella nätverksinstallationer för att distribuera en miljö med två nivåer som uppfyller följande krav:
- Ett webbprogram måste endast vara tillgängligt från det offentliga Internet.
- En webbserver som är värd för programmet måste kunna komma åt en serverdelsprogramserver.
- All trafik från Internet till webbprogrammet måste gå via en virtuell brandväggsinstallation. Den här virtuella installationen används endast för Internettrafik.
- All trafik som går till programservern måste gå via en virtuell brandväggsinstallation. Den här virtuella installationen används för åtkomst till serverdelen och för åtkomst som kommer in från det lokala nätverket via en VPN-gateway.
- Administratörer måste kunna hantera de virtuella brandväggsinstallationerna från sina lokala datorer med hjälp av en tredje virtuell brandväggsinstallation som endast används i hanteringssyfte.
Det här exemplet är ett standardscenario för perimeternätverk (även kallat DMZ) med en DMZ och ett skyddat nätverk. Du kan konstruera det här scenariot i Azure med hjälp av nätverkssäkerhetsgrupper (NSG), virtuella brandväggsenheter eller en kombination av båda.
I följande tabell visas några av fördelarna och nackdelarna med NSG:er och virtuella brandväggsinstallationer.
| Artikel | Fördelar | Nackdelar |
|---|---|---|
| NSG | Ingen kostnad. Integrerad i rollbaserad åtkomst i Azure. Möjlighet att skapa regler i Azure Resource Manager-mallar. |
Komplexiteten kan variera i större miljöer. |
| Brandvägg | Fullständig kontroll över dataplanet. Central hantering via brandväggskonsolen. |
Kostnaden för brandväggsinstallationen. Inte integrerat med rollbaserad åtkomst i Azure. |
Följande lösning använder virtuella brandväggsinstallationer för att implementera ett scenario med perimeternätverk (DMZ)/skyddat nätverk.
Att tänka på
Du kan distribuera föregående miljö i Azure med hjälp av funktioner som är tillgängliga idag:
- Virtuellt nätverk: Ett virtuellt Azure-nätverk fungerar på ett liknande sätt som ett lokalt nätverk. Du kan segmentera den i ett eller flera undernät för att tillhandahålla trafikisolering och separation av problem.
- Virtuell installation: Flera partner tillhandahåller virtuella installationer på Azure Marketplace för de tre brandväggar som beskrevs tidigare.
- Routningstabeller: Routningstabeller används av Azure-nätverk för att styra flödet av paket i ett virtuellt nätverk. Du kan använda dessa routningstabeller på undernät. Du kan använda en routningstabell för
GatewaySubnet, som vidarebefordrar all trafik som kommer in i det virtuella Azure-nätverket från en hybridanslutning till en virtuell installation. - IP-vidarebefordran: Som standard vidarebefordrar Azure-nätverksmotorn paket till virtuella nätverkskort (NIC) endast om paketets mål-IP-adress matchar nätverkskortets IP-adress. Om en routningstabell definierar att ett paket måste skickas till en specifik virtuell installation släpper Azure-nätverksmotorn paketet. Aktivera IP-vidarebefordran för den virtuella installationen för att säkerställa att paketet levereras till en virtuell dator (i det här fallet en virtuell installation) som inte är det faktiska målet för paketet.
- Nätverkssäkerhetsgrupper: I följande exempel används inte NSG:er, men du kan använda NSG:er som tillämpas på undernäten eller nätverkskorten i den här lösningen. NSG:erna filtrerar vidare trafiken in och ut från dessa undernät och nätverkskort.
I det här exemplet innehåller en prenumeration följande objekt:
Två resursgrupper (visas inte i diagrammet):
ONPREMRG: Innehåller alla resurser som krävs för att simulera ett lokalt nätverk.AZURERG: Innehåller alla resurser som krävs för den virtuella Azure-nätverksmiljön.
Ett virtuellt nätverk med namnet
onpremvnetsegmenteras och används för att efterlikna ett lokalt datacenter:onpremsn1: Ett undernät som innehåller en virtuell dator (VM) som kör en Linux-distribution för att efterlikna en lokal server.onpremsn2: Ett undernät som innehåller en virtuell dator som kör en Linux-distribution för att efterlikna en lokal dator som används av en administratör.
En virtuell brandväggsinstallation har namnet
OPFWpåonpremvnet. Den används för att underhålla en tunnel tillazurevnet.Ett virtuellt nätverk med namnet
azurevnetsegmenteras på följande sätt:azsn1: Ett externt brandväggsundernät som endast används för den externa brandväggen. All Internettrafik kommer in via det här undernätet. Det här undernätet innehåller endast ett nätverkskort som är länkat till den externa brandväggen.azsn2: Ett klientdelsundernät som är värd för en virtuell dator som körs som en webbserver som nås från Internet.azsn3: Ett serverdelsundernät som är värd för en virtuell dator som kör en serverdelsprogramserver som nås av klientwebbservern.azsn4: Ett hanteringsundernät som endast används för att ge hanteringsåtkomst till alla virtuella brandväggsenheter. Det här undernätet innehåller endast ett nätverkskort för varje virtuell brandväggsinstallation som används i lösningen.GatewaySubnet: Ett Azure-hybridanslutningsundernät som krävs för Azure ExpressRoute och Azure VPN Gateway för att tillhandahålla anslutning mellan virtuella Azure-nätverk och andra nätverk.
Tre virtuella brandväggsinstallationer finns i
azurevnetnätverket:AZF1: En extern brandvägg som exponeras för det offentliga Internet med hjälp av en offentlig IP-adressresurs i Azure. Du måste se till att du har en mall från Azure Marketplace eller direkt från din installationsleverantör som distribuerar en virtuell 3-NIC-installation.AZF2: En intern brandvägg som används för att styra trafiken mellanazsn2ochazsn3. Den här brandväggen är också en virtuell 3-NIC-installation.AZF3: En hanteringsbrandvägg som är tillgänglig för administratörer från det lokala datacentret och som är ansluten till ett hanteringsundernät som används för att hantera alla brandväggsenheter. Du hittar mallar för två nätverkskort för virtuella installationer på Azure Marketplace. Du kan också begära en direkt från leverantören av installationen.
Routningstabeller
Länka varje undernät i Azure till en routningstabell för att definiera hur trafik som initieras i undernätet dirigeras. Om inga användardefinierade vägar (UDR) definieras använder Azure standardvägar för att tillåta trafik att flöda från ett undernät till ett annat. Mer information om routningstabeller och trafikroutning finns i Trafikroutning för virtuella Azure-nätverk.
För att säkerställa att kommunikationen sker via rätt brandväggsenhet, baserat på det senaste kravet som angavs tidigare, måste du skapa följande routningstabell i azurevnet.
azgwudr
I det här scenariot används den enda trafik som flödar från lokalt till Azure för att hantera brandväggarna genom att ansluta till AZF3, och den trafiken måste gå genom den interna brandväggen, AZF2. Endast en väg är nödvändig i GatewaySubnet, som du ser här:
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.4.0/24 | 10.0.3.11 | Tillåter att lokal trafik når hanteringsbrandväggen AZF3. |
azsn2udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.3.0/24 | 10.0.2.11 | Tillåter trafik till serverdelsundernätet som är värd för programservern via AZF2. |
| 0.0.0.0/0 | 10.0.2.10 | Tillåter att all annan trafik dirigeras via AZF1. |
azsn3udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.2.0/24 | 10.0.3.10 | Tillåter att azsn2 trafik flödar från en appserver till webbservern via AZF2. |
Du måste också skapa routningstabeller för undernäten i onpremvnet för att efterlikna det lokala datacentret.
onpremsn1udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 192.168.2.0/24 | 192.168.1.4 | Tillåter trafik till onpremsn2 via OPFW. |
onpremsn2udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.3.0/24 | 192.168.2.4 | Tillåter trafik till serverdelsundernätet i Azure via OPFW. |
| 192.168.1.0/24 | 192.168.2.4 | Tillåter trafik till onpremsn1 via OPFW. |
IP-vidarebefordran
Routningstabeller och IP-vidarebefordran är funktioner som du kan använda i kombination för att tillåta virtuella installationer att styra trafikflödet i ett virtuellt Azure-nätverk. En virtuell installation är inget annat än en virtuell dator som kör ett program som används för att hantera nätverkstrafik på något sätt, till exempel en brandvägg eller en översättningsenhet för nätverksadresser.
Den virtuella installationens virtuella dator måste kunna ta emot inkommande trafik som inte är adresserad till sig själv. Om du vill tillåta att en virtuell dator tar emot trafik adresserad till andra mål måste du aktivera IP-vidarebefordran för den virtuella datorn. Den här inställningen är en Azure-inställning, inte en inställning i gästoperativsystemet. Den virtuella installationen måste fortfarande köra någon typ av program för att hantera inkommande trafik och dirigera den på rätt sätt.
Mer information om IP-vidarebefordran finns i Trafikdirigering för virtuella Azure-nätverk.
Anta till exempel att du har följande konfiguration i ett virtuellt Azure-nätverk:
- Undernätet
onpremsn1innehåller en virtuell dator med namnetonpremvm1. - Undernätet
onpremsn2innehåller en virtuell dator med namnetonpremvm2. - En virtuell installation med namnet
OPFWär ansluten tillonpremsn1ochonpremsn2. - En UDR som är länkad till
onpremsn1anger att all trafikonpremsn2som ska skickas tillOPFW.
onpremvm1 Om du nu försöker upprätta en anslutning med onpremvm2används UDR och trafiken skickas till OPFW som nästa hopp. Det faktiska paketmålet ändras inte. Det står fortfarande att det onpremvm2 är målet.
Utan att IP-vidarebefordran är aktiverad för släpper logiken för OPFWvirtuella Azure-nätverk paketen eftersom det endast tillåter att paket skickas till en virtuell dator om den virtuella datorns IP-adress är målet för paketet.
Med IP-vidarebefordran vidarebefordrar logiken för det virtuella Azure-nätverket paketen till , utan att OPFWändra den ursprungliga måladressen. OPFW måste hantera paketen och bestämma vad de ska göra med dem.
För att det föregående scenariot ska fungera måste du aktivera IP-vidarebefordran på nätverkskorten för OPFW, AZF1, AZF2och AZF3 som används för routning (alla nätverkskort utom de som är länkade till hanteringsundernätet).
Brandväggsregler
Som tidigare beskrivits säkerställer IP-vidarebefordran endast att paket skickas till de virtuella enheterna. Installationen måste fortfarande bestämma vad du ska göra med dessa paket. I föregående scenario måste du skapa följande regler i dina enheter.
OPFW
OPFW representerar en lokal enhet som innehåller följande regler:
- Väg: All trafik till 10.0.0.0/16 (
azurevnet) måste skickas genom tunnelnONPREMAZURE. - Princip: Tillåt all dubbelriktad trafik mellan
port2ochONPREMAZURE.
AZF1
AZF1 representerar en virtuell Azure-installation som innehåller följande regel:
Princip: Tillåt all dubbelriktad trafik mellan port1 och port2.
AZF2
AZF2 representerar en virtuell Azure-installation som innehåller följande regel:
Princip: Tillåt all dubbelriktad trafik mellan port1 och port2.
AZF3
AZF3 representerar en virtuell Azure-installation som innehåller följande regel:
Väg: All trafik till 192.168.0.0/16 (onpremvnet) måste skickas till Azure Gateway IP-adressen (dvs. 10.0.0.1) via port1.
Nätverkssäkerhetsgrupper
I det här scenariot används inte NSG:er. Du kan dock använda NSG:er för varje undernät för att begränsa inkommande och utgående trafik. Du kan till exempel tillämpa följande NSG-regler på det externa brandväggsundernätet.
Inkommande
- Tillåt all TCP-trafik från Internet till port 80 på valfri virtuell dator i undernätet.
- Neka all annan trafik från Internet.
Avgående
Neka all trafik till Internet.
Steg på hög nivå
Följ dessa steg för att distribuera det här scenariot:
Logga in på din Azure-prenumeration.
Om du vill distribuera ett virtuellt nätverk för att efterlikna det lokala nätverket distribuerar du de resurser som ingår
ONPREMRGi .Distribuera de resurser som ingår i
AZURERG.Distribuera tunneln från
onpremvnettillazurevnet.När alla resurser har etablerats loggar du in
onpremvm2på och pingar 10.0.3.101 för att testa anslutningen mellanonpremsn2ochazsn3.