Öğretici: Güvenli merkez ve uç ağı oluşturma

  • Makale

Bu öğreticide, Azure Sanal Ağ Manager'ı kullanarak bir merkez-uç ağ topolojisi oluşturacaksınız. Ardından uç sanal ağlarındaki kaynakların VPN kullanarak uzak ağlarla iletişim kurmasına izin vermek için merkez sanal ağına bir sanal ağ geçidi dağıtırsınız. Ayrıca, 80 ve 443 bağlantı noktalarında İnternet'e giden ağ trafiğini engellemek için bir güvenlik yapılandırması yapılandırabilirsiniz. Son olarak, sanal ağ ve sanal makine ayarlarına bakarak yapılandırmaların doğru uygulandığını doğrularsınız.

Önemli

Azure Sanal Ağ Manager genel olarak Sanal Ağ Yöneticisi, merkez-uç bağlantı yapılandırmaları ve güvenlik yöneticisi kurallarıyla güvenlik yapılandırmaları için kullanılabilir. Mesh bağlantı yapılandırmaları genel önizlemede kalır.

Önizleme sürümü bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yüklerinde kullanılması önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Birden çok sanal ağ oluşturun.
  • Sanal ağ geçidi dağıtma.
  • Merkez-uç ağ topolojisi oluşturma.
  • 80 ve 443 numaralı bağlantı noktasında trafiği engelleyen bir güvenlik yapılandırması oluşturun.
  • Yapılandırmaların uygulandığını doğrulayın.

Güvenli merkez ve uç topolojisi bileşenlerinin diyagramı.

Önkoşul

  • Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
  • Bu öğreticideki adımları tamamlayabilmeniz için önce bir Azure Sanal Ağ Manager örneği oluşturmanız gerekir. Örneğin Bağlan ivity ve Security admin özelliklerini dahil etmesi gerekir. Bu öğreticide vnm-learn-eastus-001 adlı bir Sanal Ağ Yöneticisi örneği kullanılmıştır.

Sanal ağlar oluşturma

Bu yordam, merkez-uç ağ topolojisi kullanılarak bağlanacak üç sanal ağ oluşturma işleminde size yol gösterir.

  1. Azure Portal’ında oturum açın.

  2. + Kaynak oluştur'u seçin ve Sanal ağ araması yapın. Ardından oluştur'u seçerek sanal ağı yapılandırmaya başlayın.

  3. Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Merkez-uç sanal ağı için temel bilgiler sekmesinin ekran görüntüsü.

    Ayar Value
    Abonelik Bu sanal ağı dağıtmak istediğiniz aboneliği seçin.
    Kaynak grubu Sanal ağı depolamak için yeni bir kaynak grubu seçin veya oluşturun. Bu hızlı başlangıçta rg-learn-eastus-001 adlı bir kaynak grubu kullanılır.
    Veri Akışı Adı Sanal ağ adı olarak vnet-learn-prod-eastus-001 girin.
    Bölge Doğu ABD bölgesini seçin.

  4. İleri: IP Adresleri'ni seçin ve aşağıdaki ağ adresi alanını yapılandırın:

    Merkez-uç sanal ağı için IP adresleri sekmesinin ekran görüntüsü.

    Ayar Value
    IPv4 adres alanı Adres alanı olarak 10.0.0.0/16 girin.
    Alt ağ adı Alt ağ için varsayılan adı girin.
    Alt ağ adres alanı 10.0.0.0/24 alt ağ adres alanını girin.

  5. Gözden geçir ve oluştur'u ve ardından Oluştur'u seçerek sanal ağı dağıtın.

  6. Aşağıdaki bilgilerle aynı kaynak grubunda iki sanal ağ daha oluşturmak için 2-5 arası adımları yineleyin:

    Ayar Value
    Abonelik 3. adımda seçtiğiniz aboneliği seçin.
    Kaynak grubu rg-learn-eastus-001 öğesini seçin.
    Veri Akışı Adı İki sanal ağ için vnet-learn-prod-eastus-002 ve vnet-learn-hub-eastus-001 girin.
    Bölge (ABD) Doğu ABD'yi seçin
    vnet-learn-prod-eastus-002 IP adresleri IPv4 adres alanı: 10.1.0.0/16
    Alt ağ adı: varsayılan
    Alt ağ adres alanı: 10.1.0.0/24
    vnet-learn-hub-eastus-001 IP adresleri IPv4 adres alanı: 10.2.0.0/16
    Alt ağ adı: varsayılan
    Alt ağ adres alanı: 10.2.0.0/24

Sanal ağ geçidi dağıtma

Merkez sanal ağına bir sanal ağ geçidi dağıtın. Bu sanal ağ geçidi, Hub'ı ağ geçidi ayarı olarak kullan'a yönelik uçlar için gereklidir.

  1. + Kaynak oluştur'u seçin ve Sanal ağ geçidi araması yapın. Ardından Sanal ağ geçidini yapılandırmaya başlamak için Oluştur'u seçin.

  2. Temel Bilgiler sekmesinde aşağıdaki ayarları girin veya seçin:

    Sanal ağ geçidi temel bilgileri sekmesini oluşturma işleminin ekran görüntüsü.

    Ayar Value
    Abonelik Bu sanal ağı dağıtmak istediğiniz aboneliği seçin.
    Veri Akışı Adı Sanal ağ geçidi adı için gw-learn-hub-eastus-001 girin.
    SKU SKU için VpnGW1'i seçin.
    Nesil Nesil için Nesil1'i seçin.
    Sanal ağ Sanal ağ için vnet-learn-hub-eastus-001'i seçin.
    Genel IP Adresi
    Genel IP adresi adı Genel IP için gwpip-learn-hub-eastus-001 adını girin.
    İKINCI GENEL IP ADRESI
    Genel IP adresi adı Genel IP için gwpip-learn-hub-eastus-002 adını girin.

  3. Gözden geçir + oluştur'u ve ardından Doğrulama geçtikten sonra oluştur'u seçin. Sanal ağ geçidi dağıtımı yaklaşık 30 dakika sürebilir. Bu dağıtımın tamamlanmasını beklerken sonraki bölüme geçebilirsiniz. Ancak gw-learn-hub-eastus-001'in Azure portalında zamanlaması ve eşitlemesi nedeniyle ağ geçidi olduğunu göstermediğini görebilirsiniz.

Dinamik ağ grubu oluşturma

  1. Azure Sanal Ağ Manager örneğine gidin. Bu öğreticide, hızlı başlangıç kılavuzunu kullanarak bir tane oluşturduğunuz varsayılır. Bu öğreticideki ağ grubuna ng-learn-prod-eastus-001 adı verilir.

  2. Ayarlar altında Ağ grupları'na tıklayın ve ardından + Oluştur'u seçerek yeni bir ağ grubu oluşturun.

    Ağ grubu ekle düğmesinin ekran görüntüsü.

  3. Ağ grubu oluştur ekranında aşağıdaki bilgileri girin:

    Ağ grubu oluşturma sayfasındaki Temel Bilgiler sekmesinin ekran görüntüsü.

    Ayar Değer
    Veri Akışı Adı Ağ grubu adı olarak ng-learn-prod-eastus-001 girin.
    Açıklama Bu ağ grubu hakkında bir açıklama sağlayın.

  4. Sanal ağ grubunu oluşturmak için Oluştur'u seçin.

  5. Ağ grupları sayfasında, ağ grubunu yapılandırmak için yukarıdan oluşturulan ağ grubunu seçin.

  6. Genel Bakış sayfasında, Dinamik olarak üye eklemek için ilke oluştur'un altında Azure İlkesi oluştur'u seçin.

    Tanımlı dinamik üyelik düğmesinin ekran görüntüsü.

  7. Azure İlkesi oluştur sayfasında aşağıdaki bilgileri seçin veya girin:

    Ağ grubu koşullu deyimleri oluşturma sekmesinin ekran görüntüsü.

    Ayar Value
    İlke adı Metin kutusuna azpol-learn-prod-eastus-001 yazın.
    Kapsam Kapsamları Seç'i seçin ve geçerli aboneliğinizi seçin.
    Ölçütler
    Parametre Açılan listeden Ad'ı seçin.
    Operatör Açılan listeden İçerir'i seçin.
    Koşul Metin kutusuna koşul için -prod girin.

  8. Etkin sanal ağlar sayfasını görüntülemek için Kaynakları önizle'yi ve ardından Kapat'ı seçin. Bu sayfa, Azure İlkesi'de tanımlanan koşullara göre ağ grubuna eklenecek sanal ağları gösterir.

    Koşullu deyimin sonuçlarını içeren Etkin sanal ağlar sayfasının ekran görüntüsü.

  9. Grup üyeliğini dağıtmak için Kaydet'i seçin. İlkenin geçerli olması ve ağ grubunuz için eklenmesi bir dakika kadar sürebilir.

  10. Ayarlar altındaki Ağ Grubu sayfasında Grup Üyeleri'ni seçerek grup üyeliğini Azure İlkesi'de tanımlanan koşullara göre görüntüleyin. Kaynak azpol-learn-prod-eastus-001 olarak listelenir.

    Grup Üyeliği altındaki dinamik grup üyeliğinin ekran görüntüsü.

Merkez-uç bağlantı yapılandırması oluşturma

  1. Ayarlar altında Yapılandırmalar'ı ve ardından + Oluştur'u seçin.

  2. Bağlantı yapılandırması oluşturmaya başlamak için açılan menüden Bağlan ivity configuration öğesini seçin.

  3. Temel Bilgiler sayfasında aşağıdaki bilgileri girin ve İleri: Topoloji'yi >seçin.

    Bağlantı yapılandırması ekleme sayfasının ekran görüntüsü.

    Ayar Değer
    Veri Akışı Adı cc-learn-prod-eastus-001 girin.
    Açıklama (İsteğe bağlı) Bu bağlantı yapılandırması hakkında bir açıklama sağlayın.

  4. Topoloji sekmesinde Merkez ve Uç'a tıklayın. Bu, diğer ayarları gösterir.

    Bağlantı yapılandırması için bir hub seçme işleminin ekran görüntüsü.

  5. Hub ayarı altında Merkez seçin'i seçin. Ardından vnet-learn-hub-eastus-001'i seçerek ağ hub'ınız olarak görev yapın ve Seç'i seçin.

    Hub yapılandırması seçin seçeneğinin ekran görüntüsü.

    Not

    Dağıtımın zamanlamasına bağlı olarak, hedef hub sanal ağını Has gateway altında bir ağ geçidine sahip olarak göremeyebilirsiniz. Bunun nedeni sanal ağ geçidinin dağıtımıdır. Dağıtımı 30 dakika kadar sürebilir ve çeşitli Azure portalı görünümlerinde hemen görüntülenmeyebilir.

  6. Uç ağ grupları'nın altında + ekle'yi seçin. Ardından ağ grubu için ng-learn-prod-eastus-001 öğesini seçin ve Seç'i seçin.

    Ağ grupları ekle sayfasının ekran görüntüsü.

  7. Ağ grubunu ekledikten sonra aşağıdaki seçenekleri belirleyin. Ardından ekle'yi seçerek bağlantı yapılandırmasını oluşturun.

    Ağ grubu yapılandırması ayarlarının ekran görüntüsü.

    Ayar Value
    Doğrudan Bağlan üretkenlik Ağ grubu içinde bağlantıyı etkinleştir onay kutusunu seçin. Bu ayar, aynı bölgedeki ağ grubundaki uç sanal ağlarının birbirleriyle doğrudan iletişim kurmasını sağlar.
    Global Mesh Bölgeler arasında ağ bağlantısını etkinleştir seçeneğini işaretsiz bırakın. Her iki uç da aynı bölgede olduğundan bu ayar gerekli değildir
    Ağ geçidi olarak hub Ağ geçidi olarak Hub onay kutusunu seçin.

  8. İleri: gözden geçir + oluştur'u > seçin ve ardından bağlantı yapılandırmasını oluşturun.

Bağlantı yapılandırmasını dağıtma

Bağlantı yapılandırmasını dağıtmadan önce sanal ağ geçidinin başarıyla dağıtıldığından emin olun. Hub ve uç yapılandırmasını Ağ geçidi olarak kullan özelliği etkin olarak dağıtırsanız ve ağ geçidi yoksa dağıtım başarısız olur. Daha fazla bilgi için bkz . Hub'ı ağ geçidi olarak kullanma.

  1. Ayarlar altında Dağıtımlar'ı ve ardından Yapılandırmayı dağıt'ı seçin.

    Ağ Yöneticisi'ndeki dağıtımlar sayfasının ekran görüntüsü.

  2. Aşağıdaki ayarları seçin:

    Yapılandırma dağıtma sayfasının ekran görüntüsü.

    Ayar Value
    Yapılandırmalar Bağlantı yapılandırmalarını hedef durumunuzla ekle seçeneğini belirleyin.
    Bağlan ivity yapılandırmaları cc-learn-prod-eastus-001'i seçin.
    Hedef bölgeler Dağıtım bölgesi olarak Doğu ABD'yi seçin.

  3. dağıtımı tamamlamak için İleri'yi ve ardından Dağıt'ı seçin.

    Dağıtım onay iletisinin ekran görüntüsü.

  4. Dağıtım, seçilen bölgenin listesinde görüntülenir. Yapılandırma dağıtımının tamamlanması birkaç dakika sürebilir.

    Devam eden yapılandırma dağıtımı durumunun ekran görüntüsü.

Güvenlik yöneticisi yapılandırması oluşturma

  1. yeniden Ayarlar altında Yapılandırma'yı seçin, ardından + Oluştur'u seçin ve ardından bir Güvenlik Yönetici yapılandırması oluşturmaya başlamak için menüden Güvenlik Yönetici'yi seçin.

  2. Yapılandırma için sac-learn-prod-eastus-001 adını girin ve İleri: Kural koleksiyonları'nı seçin.

    Güvenlik Yönetici yapılandırma sayfasının ekran görüntüsü.

  3. Kural koleksiyonu için rc-learn-prod-eastus-001 adını girin ve hedef ağ grubu için ng-learn-prod-eastus-001'i seçin. Ardından + Ekle'yi seçin.

    Kural koleksiyonu ekleme sayfasının ekran görüntüsü.

  4. Aşağıdaki ayarları girin ve seçin, ardından Ekle'yi seçin:

    Kural sayfası ve kural ayarları ekleme ekran görüntüsü.

    Ayar Değer
    Veri Akışı Adı DENY_INTERNET girin
    Açıklama Bu kural HTTP ve HTTPS'de İnternet'e gelen trafiği engeller girin
    Öncelik 1 girin
    Eylem Reddet'i seçin
    Yön Giden'i seçin
    Protokol TCP’yi seçin
    Kaynak
    Source type IP'yi seçin
    Kaynak IP adresleri * girin
    Hedef
    Hedef türü IP adreslerini seçme
    Hedef IP adresleri * girin
    Hedef bağlantı noktası 80, 443 girin

  5. Kural koleksiyonunu yapılandırmaya eklemek için Ekle'yi seçin.

    Kural koleksiyonu için kaydet düğmesinin ekran görüntüsü.

  6. Güvenlik yöneticisi yapılandırmasını oluşturmak için Gözden geçir + oluştur ve Oluştur'u seçin.

Güvenlik yöneticisi yapılandırmasını dağıtma

  1. Ayarlar altında Dağıtımlar'ı ve ardından Yapılandırmaları dağıt'ı seçin.

  2. Yapılandırmalar'ın altında Hedef durumunuzdaki güvenlik yöneticisini dahil et'i ve son bölümde oluşturduğunuz sac-learn-prod-eastus-001 yapılandırmasını seçin. Ardından hedef bölge olarak Doğu ABD'yi ve ardından İleri'yi seçin.

    Güvenlik yapılandırması dağıtma işleminin ekran görüntüsü.

  3. İleri'yi ve ardından Dağıt'ı seçin. Şimdi seçilen bölge için dağıtımın listede gösterildiğini görmeniz gerekir. Yapılandırma dağıtımının tamamlanması birkaç dakika sürebilir.

Yapılandırmaların dağıtımını doğrulama

Sanal ağdan doğrulama

  1. vnet-learn-prod-eastus-001 sanal ağına gidin ve Ayarlar altında Ağ Yöneticisi'netıklayın. Bağlan ivity configurations sekmesi, sanal ağa uygulanan cc-learn-prod-eastus-001 bağlantı yapılandırmasını listeler

    Sanal ağa uygulanan bağlantı yapılandırmasının ekran görüntüsü.

  2. Bu sanal ağa uygulanan güvenlik yöneticisi kurallarını listelemek için Güvenlik yöneticisi yapılandırmaları sekmesini seçin ve Giden'i genişletin.

    Sanal ağa uygulanan güvenlik yöneticisi yapılandırmasının ekran görüntüsü.

  3. Sanal Ağ Yöneticisi tarafından oluşturulan sanal ağ eşlemelerini listelemek için Ayarlar altında Eşlemeler'i seçin. Adı ANM_ ile başlar.

    Sanal Ağ Yöneticisi tarafından oluşturulan sanal ağ eşlemelerinin ekran görüntüsü.

VM'den doğrulama

  1. Test sanal makinesinivnet-learn-prod-eastus-001'e dağıtın.

  2. vnet-learn-prod-eastus-001'de oluşturulan test VM'sine gidin ve Ayarlar altında Ağ'ı seçin. Giden bağlantı noktası kuralları'nı seçin ve DENY_INTERNET kuralının uygulandığını doğrulayın.

    Test VM'sinin ağ güvenlik kurallarının ekran görüntüsü.

  3. Sanal ağ eşlemelerinin yollarını doğrulamak için ağ arabirimi adını seçin ve Yardım'ın altında Geçerli yollar'ı seçin. 10.2.0.0/16 Sonraki Atlama Türü olan VNet peering yol, merkez sanal ağına giden yoldur.

    Test VM ağ arabiriminden geçerli yolların ekran görüntüsü.

Kaynakları temizleme

Azure Sanal Ağ Yöneticisi'ne artık ihtiyacınız yoksa, kaynağı silmeden önce aşağıdakilerin tümünün doğru olduğundan emin olmanız gerekir:

  • Yapılandırmaların herhangi bir bölgeye dağıtımı yoktur.
  • Tüm yapılandırmalar silindi.
  • Tüm ağ grupları silindi.

Kaynak grubunu silmeden önce alt kaynakların hala kullanılabilir olmadığından emin olmak için bileşenleri kaldırma denetim listesini kullanın.

Sonraki adımlar

Güvenlik yöneticisi yapılandırmasıyla ağ trafiğini engellemeyi öğrenin.