你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：创建安全的中心辐射型网络

在本教程中，你会使用 Azure Virtual Network Manager 创建中心辐射型网络拓扑。 然后，你会在中心虚拟网络中部署虚拟网络网关，以允许分支虚拟网络中的资源使用 VPN 与远程网络通信。 此外，你还要配置安全配置，以阻止端口 80 和 443 上的 Internet 出站网络流量。 最后，通过查看虚拟网络和虚拟机设置来验证配置是否正确应用。

重要

Azure Virtual Network Manager 现已正式发布，可用于 Virtual Network Manager 和中心辐射型连接配置。 网格连接配置仍以公共预览版提供。

安全配置和安全管理员规则在以下区域中正式发布：

• 澳大利亚中部
• 澳大利亚中部 2
• 澳大利亚东部
• 澳大利亚东南部
• 巴西南部
• 巴西东南部
• 加拿大中部
• 加拿大东部
• 东亚
• 北欧
• 法国中部
• 法国南部
• 德国北部
• 德国中西部
• 印度中部
• 印度南部
• 印度西部
• 以色列中部
• 意大利北部
• 日本东部
• 日本西部
• Jio 印度西部
• 韩国中部
• 韩国南部
• 挪威东部
• 挪威西部
• 波兰中部
• 卡塔尔中部
• 南非北部
• 南非西部
• 瑞典中部
• 瑞典南部
• 瑞士北部
• 瑞士西部
• 阿联酋中部
• 阿拉伯联合酋长国北部
• 英国南部
• 英国西部
• 美国中部
• 美国东部
• 英国北部
• 美国西部
• 美国西部 2
• 美国西部 3
• 美国中西部地区

所有其他区域仍处于公共预览版。

此预览版在提供时没有附带服务级别协议，不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息，请参阅 Microsoft Azure 预览版补充使用条款。

在本教程中，你将了解如何执行以下操作：

• 创建多个虚拟网络。
• 部署虚拟网络网关。
• 创建中心辐射型网络拓扑。
• 创建用于阻止端口 80 和 443 上的流量的安全配置。
• 验证是否应用了配置。

先决条件

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 在完成本教程中的步骤之前，必须先创建 Azure Virtual Network Manager 实例。 该实例需要包含连接性和安全管理员功能。 本教程使用名为 vnm-learn-eastus-001 的 Virtual Network Manager 实例。

创建虚拟网络

此过程将指导你创建三个虚拟网络，它们将使用中心辐射型网络拓扑进行连接。

1. 登录到 Azure 门户。

2. 选择“+ 创建资源”并搜索“虚拟网络” 。 然后选择“创建”开始配置虚拟网络。

3. 在“基本信息”选项卡上，输入或选择以下信息：

   

   设置	值
   订阅	选择要将此虚拟网络部署到的订阅。
   资源组	选择或新建资源组用于存储该虚拟网络。 本快速入门使用名为 rg-learn-eastus-001 的资源组。
   名称	输入“vnet-learn-prod-eastus-001”作为虚拟网络名称。
   区域	选择“美国东部”区域。

4. 选择“下一步: IP 地址”并配置以下网络地址空间：

   

   设置	值
   IPv4 地址空间	输入“10.0.0.0/16”作为地址空间。
   子网名称	输入子网的名称“default”。
   子网地址空间	输入子网地址空间“10.0.0.0/24”。

5. 选择“查看 + 创建”，然后选择“创建”以部署虚拟网络。

6. 重复步骤 2-5，使用以下信息在另外两个虚拟网络创建同一资源组：

   设置	值
   订阅	选择在步骤 3 中所选的同一订阅。
   资源组	选择“rg-learn-eastus-001”。
   名称	为两个虚拟网络分别输入“vnet-learn-prod-eastus-002”和“vnet-learn-hub-eastus-001”。
   区域	选择“(US)美国东部”
   vnet-learn-prod-eastus-002 IP 地址	IPv4 地址空间：10.1.0.0/16 子网名称：默认 子网地址空间：10.1.0.0/24
   vnet-learn-hub-eastus-001 IP 地址	IPv4 地址空间：10.2.0.0/16 子网名称：默认 子网地址空间：10.2.0.0/24

部署虚拟网络网关

将虚拟网络网关部署到中心虚拟网络。 对于“使用中心作为网关”设置，支路必须具备此虚拟网络网关。

1. 选择“+ 创建资源”并搜索“虚拟网络网关” 。 然后选择“创建”开始配置虚拟网络网关。

2. 在“基本信息”选项卡上，输入或选择以下设置：

   

   设置	值
   订阅	选择要将此虚拟网络部署到的订阅。
   名称	输入“gw-learn-hub-eastus-001”作为虚拟网络网关名称。
   SKU	为 SKU 选择“VpnGW1”。
   Generation	为代系选择“Generation1”。
   虚拟网络	为 VNet 选择“vnet-learn-hub-eastus-001”。
   公共 IP 地址
   公共 IP 地址名称	为公共 IP 输入名称“gwpip-learn-hub-eastus-001”。
   第二个公共 IP 地址
   公共 IP 地址名称	为公共 IP 输入名称“gwpip-learn-hub-eastus-002”。

3. 选择“查看 + 创建”，然后在通过验证后选择“创建” 。 部署虚拟网络网关可能需要大约 30 分钟。 在等待此部署完成时，可以继续下一部分。 但是，你可能会发现 gw-learn-hub-eastus-001 由于计时和跨 Azure 门户同步，它没有显示其具有网关。

创建动态网络组

1. 转到你的 Azure Virtual Network Manager 实例。 本教程假设你已使用快速入门指南创建了一个实例。 本教程中的网络组称为“ng-learn-prod-eastus-001”。

2. 在“设置”下选择“网络组”，然后选择“+ 创建”以创建一个新的网络组。

   

3. 在“创建网络组”屏幕上，输入以下信息：

   

   设置	值
   名称	输入“ng-learn-prod-eastus-001”作为网络组名称。
   说明	提供有关此网络组的说明。

4. 选择“创建”以创建虚拟网络组。

5. 从“网络组”页中，选择上面创建的网络组以配置网络组。

6. 在“概述”页上，选择“创建策略以动态添加成员”下的“创建 Azure Policy”。

   

7. 在“创建 Azure Policy”页中，选择或输入以下信息：

   

   设置	值
   策略名称	在文本框中输入“azpol-learn-prod-eastus-001”。
   范围	选择“选择范围”，然后选择当前订阅。
   条件
   参数	从下拉列表中选择“名称”。
   运算符	从下拉列表中选择“包含”。
   条件	在文本框中输入“-prod”作为条件。

8. 选择“预览资源”查看“有效虚拟网络”页面，然后选择“关闭”。 此页会显示将根据 Azure Policy 中定义的条件添加到网络组的虚拟网络。

   

9. 选择“保存”以部署组成员身份。 该策略最长可能需要一分钟才能生效并添加到你的网络组。

10. 在“网络组”页的“设置”下，选择“组成员”，以根据 Azure Policy 中定义的条件查看组的成员身份。 “源”作为 azpol-learn-prod-eastus-001 列出。

    

创建中心辐射型连接配置

1. 在“设置”下选择“配置”，然后选择“+ 创建”。

2. 从下拉菜单中选择“连接配置”，开始创建连接配置。

3. 在 “基本信息 ”页上，输入以下信息，然后选择“ 下一步：拓扑 >”。

   

   设置	值
   名称	输入“cc-learn-prod-eastus-001”。
   说明	（可选）提供有关此连接配置的说明。

4. 在“拓扑”选项卡上，选择“中心辐射型”。 此时将显示其他设置。

   

5. 在“中心”设置下选择“选择中心”。 然后，选择“vnet-learn-hub-eastus-001”作为网络中心，再选择“选择”。

   

   注意

   根据部署的时间，你可能看不到目标中心虚拟网络，因为其网关位于“具有网关”下。 这是由于部署了虚拟网络网关。 部署可能需要长达 30 分钟的时间，并且可能不会立即显示在各种Azure 门户视图中。

6. 在“分支网络组”下，选择“+ 添加”。 然后，选择“ng-learn-prod-eastus-001”作为网络组，再选择“选择”。

   

7. 添加网络组后，选择以下选项。 然后选择“添加”以创建连接配置。

   

   设置	值
   直接连接	选中“在网络组内启用连接”复选框。 此设置允许同一区域内网络组中的辐射型虚拟网络直接相互通信。
   全局网格	取消选中“跨区域启用网格连接”选项。 由于两个分支位于同一区域内，因此不需要此设置
   中心作为网关	选中“中心作为网关”复选框。

8. 选择“下一步: 查看 + 创建 >”，然后创建连接配置。

部署连接配置

在部署连接配置之前，请确保已成功部署虚拟网络网关。 如果在启用“使用中心作为网关”的情况下部署中心辐射型配置并且没有网关，则部署将失败。 有关详细信息，请参阅使用中心作为网关。

1. 在“设置”下选择“部署”，然后选择“部署配置”。

   

2. 选择以下设置：

   

   设置	值
   配置	选择“在目标状态中包括连接配置”。
   连接配置	选择“cc-learn-prod-eastus-001”。
   目标区域数	选择“美国东部”作为部署区域。

3. 选择“下一步”，然后选择“部署”以完成部署。

   

4. 部署将显示在所选区域的列表中。 完成部署配置可能需要几分钟时间。

   

创建安全管理员配置

1. 再次选择“设置”下的“配置”，然后选择“+ 创建”，再从菜单中选择“SecurityAdmin”以开始创建 SecurityAdmin 配置。

2. 为配置输入名称“sac-learn-prod-eastus-001”，然后选择“下一步: 规则集合”。

   

3. 为规则集合输入名称“rc-learn-prod-eastus-001”，并为目标网络组选择“ng-learn-prod-eastus-001”。 然后选择“+ 添加”。

   

4. 输入和选择以下设置，然后选择“添加”：

   

   设置	值
   名称	输入 DENY_INTERNET
   说明	输入“此规则阻止通过 HTTP 和 HTTPS 访问 Internet 的流量”
   优先级	输入 1
   操作	选择“拒绝”
   方向	选择“出站”
   协议	选择“TCP”
   Source
   源类型	选择“IP”
   源 IP 地址	输入 *
   目标
   目标类型	选择“IP 地址”
   目标 IP 地址	输入 *
   目标端口	输入 80, 443

5. 选择“添加”以将规则集合添加到配置中。

   

6. 选择“查看 + 创建”和“创建”，以创建安全管理员配置。

部署安全管理配置

1. 在“设置”下选择“部署”，然后选择“部署配置”。

2. 在“配置”下，选择“在目标状态中包括安全管理员”和在上一部分中创建的“sac-learn-prod-eastus-001”配置。 然后选择“美国东部”作为目标区域，再选择“下一步”。

   

3. 选择“下一步”，然后选择“部署”。 现在你应会看到，该部署已显示在所选区域的列表中。 完成部署配置可能需要几分钟时间。

验证配置的部署

从虚拟网络进行验证

1. 转到“vnet-learn-prod-eastus-001”虚拟网络，然后在“设置”下选择“网络管理器”。 “连接配置”选项卡列出了应用于虚拟网络的“cc-learn-prod-eastus-001”连接配置

   

2. 选择“安全管理员配置”选项卡，然后展开“出站”，以列出应用于此虚拟网络的安全管理员规则。

   

3. 选择“设置”下的“对等互连”，以列出由 Virtual Network Manager 创建的虚拟网络对等互连。 其名称以“ANM_”开头。

   

从 VM 进行验证

1. 将测试虚拟机部署到vnet-learn-prod-eastus-001。

2. 转到在“vnet-learn-prod-eastus-001”中创建的测试 VM，然后在“设置”下选择“网络”。 选择“出站端口规则”并验证 DENY_INTERNET 规则是否已应用。

   

3. 选择网络接口名称，然后选择“帮助”下的“有效路由”，以验证虚拟网络对等互连的路由。“下一个跃点类型”为 VNet peering 的 10.2.0.0/16 路由是到中心虚拟网络的路由。

   

清理资源

如果不再需要 Azure Virtual Network Manager，需要在删除资源之前确保以下所有条件为 true：

• 未在任何区域中进行配置部署。
• 已删除所有配置。
• 已删除所有网络组。

在删除资源组之前，使用“删除组件清单”以确保没有子资源仍然可用。

后续步骤

了解如何使用安全管理配置阻止网络流量。