Aracılığıyla paylaş

Öğretici: Güvenli merkez ve uç ağı oluşturma

  • Makale

Bu öğreticide, Azure Sanal Ağ Manager'ı kullanarak bir merkez-uç ağ topolojisi oluşturacaksınız. Ardından uç sanal ağlarındaki kaynakların VPN kullanarak uzak ağlarla iletişim kurmasına izin vermek için merkez sanal ağına bir sanal ağ geçidi dağıtırsınız. Ayrıca, 80 ve 443 bağlantı noktalarında İnternet'e giden ağ trafiğini engellemek için bir güvenlik yapılandırması yapılandırabilirsiniz. Son olarak, sanal ağ ve sanal makine ayarlarına bakarak yapılandırmaların doğru uygulandığını doğrularsınız.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Birden çok sanal ağ oluşturun.
  • Sanal ağ geçidi dağıtma.
  • Merkez-uç ağ topolojisi oluşturma.
  • 80 ve 443 numaralı bağlantı noktasında trafiği engelleyen bir güvenlik yapılandırması oluşturun.
  • Yapılandırmaların uygulandığını doğrulayın.

Güvenli merkez ve uç topolojisi bileşenlerinin diyagramı.

Önkoşul

  • Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
  • Bu öğreticideki adımları tamamlayabilmeniz için önce bir Azure Sanal Ağ Manager örneği oluşturmanız gerekir. Örneğin Bağlantı ve Güvenlik yöneticisi özelliklerini dahil etmesi gerekir. Bu öğreticide vnm-learn-eastus-001 adlı bir Sanal Ağ Yöneticisi örneği kullanılmıştır.

Sanal ağlar oluşturma

Bu yordam, merkez-uç ağ topolojisi kullanılarak bağlanacak üç sanal ağ oluşturma işleminde size yol gösterir.

  1. Azure Portal’ında oturum açın.

  2. + Kaynak oluştur'u seçin ve Sanal ağ araması yapın. Ardından oluştur'u seçerek sanal ağı yapılandırmaya başlayın.

  3. Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Merkez-uç sanal ağı için temel bilgiler sekmesinin ekran görüntüsü.

    Ayar Value
    Abonelik Bu sanal ağı dağıtmak istediğiniz aboneliği seçin.
    Kaynak grubu Sanal ağı depolamak için yeni bir kaynak grubu seçin veya oluşturun. Bu hızlı başlangıçta rg-learn-eastus-001 adlı bir kaynak grubu kullanılır.
    Veri Akışı Adı Sanal ağ adı olarak vnet-learn-prod-eastus-001 girin.
    Bölge Doğu ABD bölgesini seçin.

  4. İleri: IP Adresleri'ni seçin ve aşağıdaki ağ adresi alanını yapılandırın:

    Merkez-uç sanal ağı için IP adresleri sekmesinin ekran görüntüsü.

    Ayar Value
    IPv4 adres alanı Adres alanı olarak 10.0.0.0/16 girin.
    Alt ağ adı Alt ağ için varsayılan adı girin.
    Alt ağ adres alanı 10.0.0.0/24 alt ağ adres alanını girin.

  5. Gözden geçir ve oluştur'u ve ardından Oluştur'u seçerek sanal ağı dağıtın.

  6. Aşağıdaki bilgilerle aynı kaynak grubunda iki sanal ağ daha oluşturmak için 2-5 arası adımları yineleyin:

    Ayar Value
    Abonelik 3. adımda seçtiğiniz aboneliği seçin.
    Kaynak grubu rg-learn-eastus-001 öğesini seçin.
    Veri Akışı Adı İki sanal ağ için vnet-learn-prod-eastus-002 ve vnet-learn-hub-eastus-001 girin.
    Bölge (ABD) Doğu ABD'yi seçin
    vnet-learn-prod-eastus-002 IP adresleri IPv4 adres alanı: 10.1.0.0/16
    Alt ağ adı: varsayılan
    Alt ağ adres alanı: 10.1.0.0/24
    vnet-learn-hub-eastus-001 IP adresleri IPv4 adres alanı: 10.2.0.0/16
    Alt ağ adı: varsayılan
    Alt ağ adres alanı: 10.2.0.0/24

Sanal ağ geçidi dağıtma

Merkez sanal ağına bir sanal ağ geçidi dağıtın. Bu sanal ağ geçidi, Hub'ı ağ geçidi ayarı olarak kullan'a yönelik uçlar için gereklidir.

  1. + Kaynak oluştur'u seçin ve Sanal ağ geçidi araması yapın. Ardından Sanal ağ geçidini yapılandırmaya başlamak için Oluştur'u seçin.

  2. Temel Bilgiler sekmesinde aşağıdaki ayarları girin veya seçin:

    Sanal ağ geçidi temel bilgileri sekmesini oluşturma işleminin ekran görüntüsü.

    Ayar Value
    Abonelik Bu sanal ağı dağıtmak istediğiniz aboneliği seçin.
    Veri Akışı Adı Sanal ağ geçidi adı için gw-learn-hub-eastus-001 girin.
    SKU SKU için VpnGW1'i seçin.
    Nesil Nesil için Nesil1'i seçin.
    Sanal ağ Sanal ağ için vnet-learn-hub-eastus-001'i seçin.
    Genel IP Adresi
    Genel IP adresi adı Genel IP için gwpip-learn-hub-eastus-001 adını girin.
    İKINCI GENEL IP ADRESI
    Genel IP adresi adı Genel IP için gwpip-learn-hub-eastus-002 adını girin.

  3. Gözden geçir + oluştur'u ve ardından Doğrulama geçtikten sonra oluştur'u seçin. Sanal ağ geçidi dağıtımı yaklaşık 30 dakika sürebilir. Bu dağıtımın tamamlanmasını beklerken sonraki bölüme geçebilirsiniz. Ancak gw-learn-hub-eastus-001'in Azure portalında zamanlaması ve eşitlemesi nedeniyle ağ geçidi olduğunu göstermediğini görebilirsiniz.

Ağ grubu oluşturma

Not

Bu nasıl yapılır kılavuzu, hızlı başlangıç kılavuzunu kullanarak bir ağ yöneticisi örneği oluşturduğunuzu varsayar. Bu öğreticideki ağ grubuna ng-learn-prod-eastus-001 adı verilir.

  1. rg-learn-eastus-001 kaynak grubuna gidin ve vnm-learn-eastus-001 ağ yöneticisi örneğini seçin.

  2. Ayarlar'ın altında Ağ grupları'nı seçin. Ardından + Oluştur'u seçin.

    Boş ağ gruplarının listesinin ve ağ grubu oluşturma düğmesinin ekran görüntüsü.

  3. Ağ grubu oluştur bölmesinde Oluştur'u seçin:

    Ayar Value
    Ad ng-learn-prod-eastus-001 girin.
    Açıklama (İsteğe bağlı) Bu ağ grubu hakkında bir açıklama sağlayın.
    Üye türü Açılan menüden Sanal ağ'ı seçin.

    ve Oluştur'u seçin.

    Ağ grubu oluşturmaya yönelik bölmenin ekran görüntüsü.

  4. Yeni ağ grubunun artık Ağ grupları bölmesinde listelendiğini onaylayın.

    Ağ gruplarını listeleyen bölmede yeni oluşturulan bir ağ grubunun ekran görüntüsü.

Azure ilkesiyle dinamik grup üyeliği tanımlama

  1. Ağ grupları listesinden ng-learn-prod-eastus-001'i seçin. Dinamik olarak üye eklemek için ilke oluştur'un altında Azure ilkesi oluştur'u seçin.

    Tanımlı dinamik üyelik düğmesinin ekran görüntüsü.

  2. Azure İlkesi oluştur sayfasında aşağıdaki bilgileri seçin veya girin:

    Ağ grubu koşullu deyimleri oluşturma sekmesinin ekran görüntüsü.

    Ayar Value
    İlke adı Metin kutusuna azpol-learn-prod-eastus-001 yazın.
    Kapsam Kapsamları Seç'i seçin ve geçerli aboneliğinizi seçin.
    Ölçütler
    Parametre Açılan listeden Ad'ı seçin.
    Operatör Açılan listeden İçerir'i seçin.
    Koşul Metin kutusuna koşul için -prod girin.

  3. Etkin sanal ağlar sayfasını görüntülemek için Kaynakları önizle'yi ve ardından Kapat'ı seçin. Bu sayfa, Azure İlkesi'de tanımlanan koşullara göre ağ grubuna eklenecek sanal ağları gösterir.

    Koşullu deyimin sonuçlarını içeren Etkin sanal ağlar sayfasının ekran görüntüsü.

  4. Grup üyeliğini dağıtmak için Kaydet'i seçin. İlkenin geçerli olması ve ağ grubunuz için eklenmesi bir dakika kadar sürebilir.

  5. Ağ Grubu sayfasında Ayarlar'ın altında Grup Üyeleri'ni seçerek grup üyeliğini Azure İlkesi'de tanımlanan koşullara göre görüntüleyin. Kaynak azpol-learn-prod-eastus-001 olarak listelenir.

    Grup Üyeliği altındaki dinamik grup üyeliğinin ekran görüntüsü.

Merkez-uç bağlantı yapılandırması oluşturma

  1. Ayarlar'ın altında Yapılandırmalar'ı ve ardından + Oluştur'u seçin.

  2. Bağlantı yapılandırması oluşturmaya başlamak için açılan menüden Bağlantı yapılandırması'nı seçin.

  3. Temel Bilgiler sayfasında aşağıdaki bilgileri girin ve İleri: Topoloji'yi >seçin.

    Bağlantı yapılandırması ekleme sayfasının ekran görüntüsü.

    Ayar Değer
    Veri Akışı Adı cc-learn-prod-eastus-001 girin.
    Açıklama (İsteğe bağlı) Bu bağlantı yapılandırması hakkında bir açıklama sağlayın.

  4. Topoloji sekmesinde Merkez ve Uç'a tıklayın. Bu, diğer ayarları gösterir.

    Bağlantı yapılandırması için bir hub seçme işleminin ekran görüntüsü.

  5. Hub ayarı altında Merkez seçin'i seçin. Ardından vnet-learn-hub-eastus-001'i seçerek ağ hub'ınız olarak görev yapın ve Seç'i seçin.

    Hub yapılandırması seçin seçeneğinin ekran görüntüsü.

    Not

    Dağıtımın zamanlamasına bağlı olarak, hedef hub sanal ağını Has gateway altında bir ağ geçidine sahip olarak göremeyebilirsiniz. Bunun nedeni sanal ağ geçidinin dağıtımıdır. Dağıtımı 30 dakika kadar sürebilir ve çeşitli Azure portalı görünümlerinde hemen görüntülenmeyebilir.

  6. Uç ağ grupları'nın altında + ekle'yi seçin. Ardından ağ grubu için ng-learn-prod-eastus-001 öğesini seçin ve Seç'i seçin.

    Ağ grupları ekle sayfasının ekran görüntüsü.

  7. Ağ grubunu ekledikten sonra aşağıdaki seçenekleri belirleyin. Ardından ekle'yi seçerek bağlantı yapılandırmasını oluşturun.

    Ağ grubu yapılandırması ayarlarının ekran görüntüsü.

    Ayar Value
    Doğrudan Bağlantı Ağ grubu içinde bağlantıyı etkinleştir onay kutusunu seçin. Bu ayar, aynı bölgedeki ağ grubundaki uç sanal ağlarının birbirleriyle doğrudan iletişim kurmasını sağlar.
    Global Mesh Bölgeler arasında ağ bağlantısını etkinleştir seçeneğini işaretsiz bırakın. Her iki uç da aynı bölgede olduğundan bu ayar gerekli değildir
    Ağ geçidi olarak hub Ağ geçidi olarak Hub onay kutusunu seçin.

  8. İleri: gözden geçir + oluştur'u > seçin ve ardından bağlantı yapılandırmasını oluşturun.

Bağlantı yapılandırmasını dağıtma

Bağlantı yapılandırmasını dağıtmadan önce sanal ağ geçidinin başarıyla dağıtıldığından emin olun. Hub ve uç yapılandırmasını Ağ geçidi olarak kullan özelliği etkin olarak dağıtırsanız ve ağ geçidi yoksa dağıtım başarısız olur. Daha fazla bilgi için bkz . Hub'ı ağ geçidi olarak kullanma.

  1. Ayarlar'ın altında Dağıtımlar'ı ve ardından Yapılandırmayı dağıt'ı seçin.

    Ağ Yöneticisi'ndeki dağıtımlar sayfasının ekran görüntüsü.

  2. Aşağıdaki ayarları seçin:

    Yapılandırma dağıtma sayfasının ekran görüntüsü.

    Ayar Value
    Yapılandırmalar Bağlantı yapılandırmalarını hedef durumunuzla ekle seçeneğini belirleyin.
    Bağlantı yapılandırmaları cc-learn-prod-eastus-001'i seçin.
    Hedef bölgeler Dağıtım bölgesi olarak Doğu ABD'yi seçin.

  3. dağıtımı tamamlamak için İleri'yi ve ardından Dağıt'ı seçin.

    Dağıtım onay iletisinin ekran görüntüsü.

  4. Dağıtım, seçilen bölgenin listesinde görüntülenir. Yapılandırma dağıtımının tamamlanması birkaç dakika sürebilir.

    Devam eden yapılandırma dağıtımı durumunun ekran görüntüsü.

Güvenlik yöneticisi yapılandırması oluşturma

  1. Ayarlar'ın altında Yapılandırma'yı yeniden seçin, ardından + Oluştur'u seçin ve ardından menüden SecurityAdmin'i seçerek SecurityAdmin yapılandırması oluşturmaya başlayın.

  2. Yapılandırma için sac-learn-prod-eastus-001 adını girin ve İleri: Kural koleksiyonları'nı seçin.

    Güvenlik Yöneticisi yapılandırma sayfasının ekran görüntüsü.

  3. Kural koleksiyonu için rc-learn-prod-eastus-001 adını girin ve hedef ağ grubu için ng-learn-prod-eastus-001'i seçin. Ardından + Ekle'yi seçin.

    Kural koleksiyonu ekleme sayfasının ekran görüntüsü.

  4. Aşağıdaki ayarları girin ve seçin, ardından Ekle'yi seçin:

    Kural sayfası ve kural ayarları ekleme ekran görüntüsü.

    Ayar Değer
    Veri Akışı Adı DENY_INTERNET girin
    Açıklama Bu kural HTTP ve HTTPS'de İnternet'e gelen trafiği engeller girin
    Öncelik 1 girin
    Eylem Reddet'i seçin
    Yön Giden'i seçin
    Protokol TCP’yi seçin
    Kaynak
    Source type IP'yi seçin
    Kaynak IP adresleri * girin
    Hedef
    Hedef türü IP adreslerini seçme
    Hedef IP adresleri * girin
    Hedef bağlantı noktası 80, 443 girin

  5. Kural koleksiyonunu yapılandırmaya eklemek için Ekle'yi seçin.

    Kural koleksiyonu için kaydet düğmesinin ekran görüntüsü.

  6. Güvenlik yöneticisi yapılandırmasını oluşturmak için Gözden geçir + oluştur ve Oluştur'u seçin.

Güvenlik yöneticisi yapılandırmasını dağıtma

  1. Ayarlar'ın altında Dağıtımlar'ı ve ardından Yapılandırmaları dağıt'ı seçin.

  2. Yapılandırmalar'ın altında Hedef durumunuzdaki güvenlik yöneticisini dahil et'i ve son bölümde oluşturduğunuz sac-learn-prod-eastus-001 yapılandırmasını seçin. Ardından hedef bölge olarak Doğu ABD'yi ve ardından İleri'yi seçin.

    Güvenlik yapılandırması dağıtma işleminin ekran görüntüsü.

  3. İleri'yi ve ardından Dağıt'ı seçin. Şimdi seçilen bölge için dağıtımın listede gösterildiğini görmeniz gerekir. Yapılandırma dağıtımının tamamlanması birkaç dakika sürebilir.

Yapılandırmaların dağıtımını doğrulama

Sanal ağdan doğrulama

  1. vnet-learn-prod-eastus-001 sanal ağına gidin ve Ayarlar'ın altında Ağ Yöneticisi'ne tıklayın. Bağlantı yapılandırmaları sekmesi, sanal ağa uygulanan cc-learn-prod-eastus-001 bağlantı yapılandırmasını listeler

    Sanal ağa uygulanan bağlantı yapılandırmasının ekran görüntüsü.

  2. Bu sanal ağa uygulanan güvenlik yöneticisi kurallarını listelemek için Güvenlik yöneticisi yapılandırmaları sekmesini seçin ve Giden'i genişletin.

    Sanal ağa uygulanan güvenlik yöneticisi yapılandırmasının ekran görüntüsü.

  3. Sanal Ağ Yöneticisi tarafından oluşturulan sanal ağ eşlemelerini listelemek için Ayarlar'ın altında Eşlemeler'i seçin. Adı ANM_ ile başlar.

    Sanal Ağ Yöneticisi tarafından oluşturulan sanal ağ eşlemelerinin ekran görüntüsü.

VM'den doğrulama

  1. Test sanal makinesini vnet-learn-prod-eastus-001'e dağıtın.

  2. vnet-learn-prod-eastus-001'de oluşturulan test VM'sine gidin ve Ayarlar'ın altında Ağ'ı seçin. Giden bağlantı noktası kuralları'nı seçin ve DENY_INTERNET kuralının uygulandığını doğrulayın.

    Test VM'sinin ağ güvenlik kurallarının ekran görüntüsü.

  3. Sanal ağ eşlemelerinin yollarını doğrulamak için ağ arabirimi adını seçin ve Yardım'ın altında Geçerli yollar'ı seçin. 10.2.0.0/16 Sonraki Atlama Türü olan VNet peering yol, merkez sanal ağına giden yoldur.

    Test VM ağ arabiriminden geçerli yolların ekran görüntüsü.

Kaynakları temizleme

Azure Sanal Ağ Yöneticisi'ne artık ihtiyacınız yoksa, kaynağı silmeden önce aşağıdakilerin tümünün doğru olduğundan emin olmanız gerekir:

  • Yapılandırmaların herhangi bir bölgeye dağıtımı yoktur.
  • Tüm yapılandırmalar silindi.
  • Tüm ağ grupları silindi.

Kaynak grubunu silmeden önce alt kaynakların hala kullanılabilir olmadığından emin olmak için bileşenleri kaldırma denetim listesini kullanın.

Sonraki adımlar

Güvenlik yöneticisi yapılandırmasıyla ağ trafiğini engellemeyi öğrenin.