تمرين - إنشاء NVA والأجهزة الظاهرية
في المرحلة التالية من عملية تنفيذ الأمان خاصتك، ستقوم بنشر جهاز ظاهري للشبكة (NVA) لتأمين ومراقبة المرور بين خوادمك العامة الأمامية والخوادم الخاصة الداخلية.
يمكنك تكوين الجهاز لإعادة توجيه حركة مرور IP. إذا لم يتم تمكين إعادة توجيه IP، فلن يتم تلقي المرور التي يتم توجيهها عبر جهازك من قِبل خوادم الوجهة المقصودة.
في هذا التمرين، يمكنك نشر جهاز شبكة nva إلى الشبكة الفرعية dmzsubnet . ثم تقوم بتمكين إعادة توجيه IP بحيث يتم إرسال نسبة استخدام الشبكة من *
وحركة المرور التي تستخدم المسار المخصص إلى الشبكة الفرعية privatesubnet .
في الخطوات التالية، ستقوم بنشر NVA. ثم ستقوم بتحديث NIC الظاهري Azure وإعدادات الشبكة داخل الجهاز لتمكين إعادة توجيه IP.
نشر الجهاز الظاهري للشبكة
لبناء NVA، قم بنشر مثيل Ubuntu LTS.
في Cloud Shell، قم بتشغيل الأمر التالي لنشر الجهاز. قم باستبدال
<password>
بكلمة مرور مناسبة من اختيارك لحساب مسؤول azureuser.az vm create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --vnet-name vnet \ --subnet dmzsubnet \ --image Ubuntu2204 \ --admin-username azureuser \ --admin-password <password>
قم بتمكين إعادة توجيه IP لواجهة شبكة Azure
في الخطوات التالية، يتم تمكين إعادة توجيه IP لجهاز شبكة NVA. عندما تتدفق المرور إلى NVA ولكنها تكون مخصصة لهدف آخر، فإن NVA سوف توجه تلك الحركة إلى وجهتها الصحيحة.
قم بتشغيل الأمر التالي للحصول على معرّف واجهة شبكة NVA.
NICID=$(az vm nic list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --query "[].{id:id}" --output tsv) echo $NICID
قم بتشغيل الأمر التالي للحصول على اسم واجهة شبكة NVA.
NICNAME=$(az vm nic show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --nic $NICID \ --query "{name:name}" --output tsv) echo $NICNAME
قم بتشغيل الأمر التالي لتمكين إعادة توجيه IP لواجهة الشبكة.
az network nic update --name $NICNAME \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --ip-forwarding true
قم بتمكين توجيه IP في الجهاز
قم بتشغيل الأمر التالي لحفظ عنوان IP العام للجهاز الظاهري NVA إلى المتغير
NVAIP
.NVAIP="$(az vm list-ip-addresses \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \ --output tsv)" echo $NVAIP
قم بتشغيل الأمر التالي لتمكين إعادة توجيه IP داخل NVA.
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
عند المطالبة، قم بإدخال كلمة المرور التي استخدمتها عند إنشاء الجهاز الظاهري.