通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:创建安全的中心辐射型网络

  • 项目

在本教程中,你会使用 Azure Virtual Network Manager 创建中心辐射型网络拓扑。 然后,你会在中心虚拟网络中部署虚拟网络网关,以允许分支虚拟网络中的资源使用 VPN 与远程网络通信。 此外,你还要配置安全配置,以阻止端口 80 和 443 上的 Internet 出站网络流量。 最后,通过查看虚拟网络和虚拟机设置来验证配置是否正确应用。

本教程介绍如何执行下列操作:

  • 创建多个虚拟网络。
  • 部署虚拟网络网关。
  • 创建中心辐射型网络拓扑。
  • 创建用于阻止端口 80 和 443 上的流量的安全配置。
  • 验证是否应用了配置。

安全的中心辐射型拓扑组件的示意图。

先决条件

  • 具有活动订阅的 Azure 帐户。 免费创建帐户
  • 在完成本教程中的步骤之前,必须先创建 Azure Virtual Network Manager 实例。 该实例需要包含连接性安全管理员功能。 本教程使用名为 vnm-learn-eastus-001 的 Virtual Network Manager 实例。

创建虚拟网络

此过程将指导你创建三个虚拟网络,它们将使用中心辐射型网络拓扑进行连接。

  1. 登录到 Azure 门户

  2. 选择“+ 创建资源”并搜索“虚拟网络” 。 然后选择“创建”开始配置虚拟网络。

  3. 在“基本信息”选项卡上,输入或选择以下信息:

    中心辐射型虚拟网络的基本信息选项卡的屏幕截图。

    设置
    订阅 选择要将此虚拟网络部署到的订阅。
    资源组 选择或新建资源组用于存储该虚拟网络。 本快速入门使用名为 rg-learn-eastus-001 的资源组。
    名称 输入“vnet-learn-prod-eastus-001”作为虚拟网络名称。
    区域 选择“美国东部”区域。

  4. 选择“下一步: IP 地址”并配置以下网络地址空间:

    中心辐射型虚拟网络的 IP 地址选项卡的屏幕截图。

    设置
    IPv4 地址空间 输入“10.0.0.0/16”作为地址空间。
    子网名称 输入子网的名称“default”。
    子网地址空间 输入子网地址空间“10.0.0.0/24”。

  5. 选择“查看 + 创建”,然后选择“创建”以部署虚拟网络。

  6. 重复步骤 2-5,使用以下信息在另外两个虚拟网络创建同一资源组:

    设置
    订阅 选择在步骤 3 中所选的同一订阅。
    资源组 选择“rg-learn-eastus-001”。
    名称 为两个虚拟网络分别输入“vnet-learn-prod-eastus-002”和“vnet-learn-hub-eastus-001”。
    区域 选择“(US)美国东部”
    vnet-learn-prod-eastus-002 IP 地址 IPv4 地址空间:10.1.0.0/16
    子网名称:默认
    子网地址空间:10.1.0.0/24
    vnet-learn-hub-eastus-001 IP 地址 IPv4 地址空间:10.2.0.0/16
    子网名称:默认
    子网地址空间:10.2.0.0/24

部署虚拟网络网关

将虚拟网络网关部署到中心虚拟网络。 对于“使用中心作为网关”设置,支路必须具备此虚拟网络网关。

  1. 选择“+ 创建资源”并搜索“虚拟网络网关” 。 然后选择“创建”开始配置虚拟网络网关。

  2. 在“基本信息”选项卡上,输入或选择以下设置:

    创建虚拟网络网关时显示的“基本信息”选项卡的屏幕截图。

    设置
    订阅 选择要将此虚拟网络部署到的订阅。
    名称 输入“gw-learn-hub-eastus-001”作为虚拟网络网关名称。
    SKU 为 SKU 选择“VpnGW1”。
    Generation 为代系选择“Generation1”。
    虚拟网络 为 VNet 选择“vnet-learn-hub-eastus-001”。
    公共 IP 地址
    公共 IP 地址名称 为公共 IP 输入名称“gwpip-learn-hub-eastus-001”。
    第二个公共 IP 地址
    公共 IP 地址名称 为公共 IP 输入名称“gwpip-learn-hub-eastus-002”。

  3. 选择“查看 + 创建”,然后在通过验证后选择“创建” 。 部署虚拟网络网关可能需要大约 30 分钟。 在等待此部署完成时,可以继续下一部分。 但是,你可能会发现 gw-learn-hub-eastus-001 由于计时和跨 Azure 门户同步,它没有显示其具有网关。

创建网络组

注意

本操作指南假设你已使用快速入门指南创建了一个网络管理器实例。 本教程中的网络组称为“ng-learn-prod-eastus-001”。

  1. 浏览到“rg-learn-eastus-001”资源组,然后选择“vnm-learn-eastus-001”网络管理器实例。

  2. 在“设置”下选择“网络组”。 然后选择“+ 创建”

    网络组空列表和用于创建网络组的按钮的屏幕截图。

  3. 在“创建网络组”窗格上,选择“创建”

    设置
    Name 输入“ng-learn-prod-eastus-001”。
    描述 (可选)提供有关此网络组的说明。
    成员类型 从下拉菜单中选择“虚拟网络”。

    选择创建

    用于创建网络组的窗格的屏幕截图。

  4. 确认“网络组”窗格上现在列出了新的网络组。

    列出网络组的窗格上的新建网络组屏幕截图。

使用 Azure 策略定义动态组成员资格

  1. 从网络组列表中,选择“ng-learn-prod-eastus-001”。 在“创建策略以动态添加成员”下,选择“创建 Azure 策略”。

    定义动态成员身份按钮的屏幕截图。

  2. 在“创建 Azure Policy”页中,选择或输入以下信息:

    创建网络组时显示的“条件语句”选项卡的屏幕截图。

    设置
    策略名称 在文本框中输入“azpol-learn-prod-eastus-001”。
    范围 选择“选择范围”,然后选择当前订阅。
    条件
    参数 从下拉列表中选择“名称”。
    运算符 从下拉列表中选择“包含”。
    条件 在文本框中输入“-prod”作为条件。

  3. 选择“预览资源”查看“有效虚拟网络”页面,然后选择“关闭”。 此页会显示将根据 Azure Policy 中定义的条件添加到网络组的虚拟网络。

    包含条件语句结果的有效虚拟网络页面的屏幕截图。

  4. 选择“保存”以部署组成员身份。 该策略最长可能需要一分钟才能生效并添加到你的网络组。

  5. 在“网络组”页的“设置”下,选择“组成员”,以根据 Azure Policy 中定义的条件查看组的成员身份。 “”作为 azpol-learn-prod-eastus-001 列出。

    “组成员身份”下的动态组成员身份的屏幕截图。

创建中心辐射型连接配置

  1. 在“设置”下选择“配置”,然后选择“+ 创建”。

  2. 从下拉菜单中选择“连接配置”,开始创建连接配置。

  3. “基本信息 ”页上,输入以下信息,然后选择“ 下一步:拓扑 >”。

    “添加连接配置”页的屏幕截图。

    设置
    名称 输入“cc-learn-prod-eastus-001”。
    说明 (可选)提供有关此连接配置的说明。

  4. 在“拓扑”选项卡上,选择“中心辐射型”。 此时将显示其他设置。

    为连接配置选择中心的屏幕截图。

  5. 在“中心”设置下选择“选择中心”。 然后,选择“vnet-learn-hub-eastus-001”作为网络中心,再选择“选择”。

    “选择中心”配置的屏幕截图。

    注意

    根据部署的时间,你可能看不到目标中心虚拟网络,因为其网关位于“具有网关”下。 这是由于部署了虚拟网络网关。 部署可能需要长达 30 分钟的时间,并且可能不会立即显示在各种Azure 门户视图中。

  6. 在“分支网络组”下,选择“+ 添加”。 然后,选择“ng-learn-prod-eastus-001”作为网络组,再选择“选择”。

    “添加网络组”页的屏幕截图。

  7. 添加网络组后,选择以下选项。 然后选择“添加”以创建连接配置。

    网络组配置的设置的屏幕截图。

    设置
    直接连接 选中“在网络组内启用连接”复选框。 此设置允许同一区域内网络组中的辐射型虚拟网络直接相互通信。
    全局网格 取消选中“跨区域启用网格连接”选项。 由于两个分支位于同一区域内,因此不需要此设置
    中心作为网关 选中“中心作为网关”复选框。

  8. 选择“下一步: 查看 + 创建 >”,然后创建连接配置。

部署连接配置

在部署连接配置之前,请确保已成功部署虚拟网络网关。 如果在启用“使用中心作为网关”的情况下部署中心辐射型配置并且没有网关,则部署将失败。 有关详细信息,请参阅使用中心作为网关

  1. 在“设置”下选择“部署”,然后选择“部署配置”。

    网络管理器中的“部署”页的屏幕截图。

  2. 选择以下设置:

    “部署配置”页的屏幕截图。

    设置
    配置 选择“在目标状态中包括连接配置”。
    连接配置 选择“cc-learn-prod-eastus-001”。
    目标区域数 选择“美国东部”作为部署区域。

  3. 选择“下一步”,然后选择“部署”以完成部署。

    部署确认消息的屏幕截图。

  4. 部署将显示在所选区域的列表中。 完成部署配置可能需要几分钟时间。

    配置部署正在进行状态的屏幕截图。

创建安全管理员配置

  1. 再次选择“设置”下的“配置”,然后选择“+ 创建”,再从菜单中选择“SecurityAdmin”以开始创建 SecurityAdmin 配置。

  2. 为配置输入名称“sac-learn-prod-eastus-001”,然后选择“下一步: 规则集合”。

    “安全管理”配置页的屏幕截图。

  3. 为规则集合输入名称“rc-learn-prod-eastus-001”,并为目标网络组选择“ng-learn-prod-eastus-001”。 然后选择“+ 添加”。

    “添加规则集合”页的屏幕截图。

  4. 输入和选择以下设置,然后选择“添加”:

    添加规则页和规则设置的屏幕截图。

    设置
    名称 输入 DENY_INTERNET
    说明 输入“此规则阻止通过 HTTP 和 HTTPS 访问 Internet 的流量”
    优先级 输入 1
    操作 选择“拒绝”
    方向 选择“出站”
    协议 选择“TCP”
    Source
    源类型 选择“IP
    源 IP 地址 输入 *
    目标
    目标类型 选择“IP 地址
    目标 IP 地址 输入 *
    目标端口 输入 80, 443

  5. 选择“添加”以将规则集合添加到配置中。

    规则集合的“保存”按钮的屏幕截图。

  6. 选择“查看 + 创建”和“创建”,以创建安全管理员配置。

部署安全管理配置

  1. 在“设置”下选择“部署”,然后选择“部署配置”。

  2. 在“配置”下,选择“在目标状态中包括安全管理员”和在上一部分中创建的“sac-learn-prod-eastus-001”配置。 然后选择“美国东部”作为目标区域,再选择“下一步”。

    部署安全配置的屏幕截图。

  3. 选择“下一步”,然后选择“部署”。 现在你应会看到,该部署已显示在所选区域的列表中。 完成部署配置可能需要几分钟时间。

验证配置的部署

从虚拟网络进行验证

  1. 转到“vnet-learn-prod-eastus-001”虚拟网络,然后在“设置”下选择“网络管理器”。 “连接配置”选项卡列出了应用于虚拟网络的“cc-learn-prod-eastus-001”连接配置

    应用于虚拟网络的连接配置的屏幕截图。

  2. 选择“安全管理员配置”选项卡,然后展开“出站”,以列出应用于此虚拟网络的安全管理员规则。

    应用于虚拟网络的安全管理员配置的屏幕截图。

  3. 选择“设置”下的“对等互连”,以列出由 Virtual Network Manager 创建的虚拟网络对等互连。 其名称以“ANM_”开头。

    虚拟网络管理器创建的虚拟网络对等互连的屏幕截图。

从 VM 进行验证

  1. 将测试虚拟机部署到vnet-learn-prod-eastus-001

  2. 转到在“vnet-learn-prod-eastus-001”中创建的测试 VM,然后在“设置”下选择“网络”。 选择“出站端口规则”并验证 DENY_INTERNET 规则是否已应用。

    测试 VM 的网络安全规则的屏幕截图。

  3. 选择网络接口名称,然后选择“帮助”下的“有效路由”,以验证虚拟网络对等互连的路由。“下一个跃点类型”为 VNet peering10.2.0.0/16 路由是到中心虚拟网络的路由。

    测试 VM 网络接口的有效路由的屏幕截图。

清理资源

如果不再需要 Azure Virtual Network Manager,需要在删除资源之前确保以下所有条件为 true:

  • 未在任何区域中进行配置部署。
  • 已删除所有配置。
  • 已删除所有网络组。

在删除资源组之前,使用“删除组件清单”以确保没有子资源仍然可用。

后续步骤

了解如何使用安全管理配置阻止网络流量。