تمرين - تنفيذ تخطيط شبكة النظام المحوري في Azure

  • 10 دقائق

لقد قررت نشر البنية الأساسية للشبكة في تكوين النظام المحوري لمواردك. بالإضافة إلى ذلك، يريد قسم الموارد البشرية الداخلي الخاص بك استضافة نظام موارد بشرية داخلي جديد لا ينبغي أن يكون متاحًا عبر الإنترنت. وينبغي أن يكون نظام الموارد البشرية متاحا للجميع في الشركة، سواء كانوا يعملون في المقر أو في مكتب تابع.

في هذا التمرين، يمكنك نشر البنية الأساسية للشبكة، ثم إنشاء شبكة ظاهرية جديدة لاستضافة الخوادم لنظام الموارد البشرية الجديد لشركتك.

Diagram showing adding a new HR spoke to the network.

إعداد البيئة

ينشئ هذا النشر موارد شبكة Azure المطابقة للرسم التخطيطي السابق. بوجود هذه الموارد، يمكنك إضافة شبكة ظاهرية جديدة للموارد البشرية.

إنشاء الشبكات الظاهرية والشبكات الفرعية لموارد الخادم. شغّل الأمر التالي:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

إنشاء تخطيط جديد في الشبكة الظاهرية لديك

يمكنك إنشاء شبكة ظاهرية باستخدام مدخل Azure أو Azure CLI أو Azure PowerShell. دعونا نفعل ما تبقى من هذه العملية من خلال مدخل Azure.

  1. سجّل الدخول إلى "مدخل Azure" باستخدام الحساب نفسه الذي استخدمته لتنشيط بيئة الاختبار المعزولة.

  2. في الجزء العلوي الأيمن من مدخل Microsoft Azure، حدد Create a Resource. يظهر إنشاء جزء مصدر.

  3. في مربع البحث، أدخل "Virtual Network".

  4. حدد Virtual Network من Marketplace. يظهر جزء Virtual Network-Create.

  5. لبدء تكوين الشبكة الظاهرية، حدد إنشاء. يظهر جزء "Create virtual network".

تكوين إعدادات الشبكة الظاهرية

تجربة إنشاء الموارد على المدخل هو معالج يرشدك خلال التكوين الأولي للشبكة الظاهرية.

  1. لإنشاء الشبكة الظاهرية، في علامة التبويب Basics، أدخل القيم التالية لكل إعداد.

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك اشتراك Concierge
    مجموعة الموارد من القائمة المنسدلة، حدد [sandbox resource group name]
    تفاصيل المثيل
    اسم الشبكة الظاهرية HRappVnet
    المنطقة اترك المنطقة الافتراضية.

  2. حدد علامة التبويب عناوين IP أو حدد التالي > التالي.

  3. أدخل القيم التالية لكل إعداد.

    الإعداد القيمة‬
    مساحة العنوان IPv4 استبدل العنوان الافتراضي بـ 10.10.0.0/16 في مربع النص.
    اسم الشبكة الفرعية حدد Default. سيظهر جزء Edit subnet. أدخل القيم التالية لكل إعداد.
    الإعداد القيمة‬
    اسم الشبكة الفرعية أنظمة HRsystems
    عنوان البدء 10.10.1.0/24

  4. حدد حفظ.

  5. حدد "Review + create". بعد تمرير التحقق من الصحة، لبدء تزويد الشبكة الظاهرية، حدد Create.

  6. بعد اكتمال عملية التوزيع بنجاح، حدد Go to resource. تظهر شبكتك الظاهرية التي تسمى بجزء HRappVnet.

تكوين نظير الشبكة الظاهرية للمحور

الآن بعد أن قمت بإنشاء المحور الثالث، تحتاج إلى تكوين تناظر الشبكة الظاهرية بين المركز والمتحدثين.

  1. انتقل إلى الصفحة الرئيسية للمدخل. حدد جميع الموارد. يظهر الجزء All resources.

    يجب أن تشاهد الشبكات الظاهرية HubVNet وWebVNet و QuoteVNet وHRappVnet.

  2. حدد HubVNet. يظهر الجزء HubVnet.

  3. في جزء القائمة الأيسر، ضمن settings، حدد Peerings. يظهر الجزء Peerings الخاص بجزء HubVnet.

  4. في شريط القوائم العلوي، حدد + إضافة. يظهر الجزء Add peering لـ HubVnet خاصتك.

  5. في صفحة Add peering ، حدد HRappVnet للشبكة الظاهرية قبل إكمال بقية تكوين التناظر.

  6. أدخل القيم التالية لكل إعداد.

    الإعداد القيمة‬
    هذه الشبكة الظاهرية
    اسم رابط النظير أدخل gwPeering_hubVNet_HRappVnet. يعد هذا الاسم هو اسم ارتباط الاقتران من HubvNet إلى HRappVnet.
    السماح ل "HubVnet" بالوصول إلى "HRappVnet" حدد خانة الاختيار للسماح بالوصول.
    السماح ل "HubVnet" بتلقي نسبة استخدام الشبكة التي تمت إعادة توجيهها من "HRappVnet" اترك خانة الاختيار غير محددة لحظر نسبة استخدام الشبكة التي تنشأ من خارج هذه الشبكة الظاهرية.
    السماح للبوابة في "HubVnet" بإعادة توجيه نسبة استخدام الشبكة إلى "HRappVnet" اترك خانة الاختيار دون تحديد.
    تمكين "HubVnet" لاستخدام البوابة البعيدة "HRappVnet" اترك خانة الاختيار دون تحديد.
    شبكة ظاهرية بعيدة
    اسم رابط النظير gwPeering_HRappVnet_hubVNet. هذا الاسم هو اسم ارتباط التناظر من HRappVnet إلى HubVnet.
    نموذج توزيع الشبكة الظاهرية حدد Resource manager
    الاشتراك حدد Concierge Subscription
    الشبكة الظاهرية حدد HRappVnet
    السماح ل 'HRappVnet' بالوصول إلى 'HubVnet' حدد خانة الاختيار للسماح بالوصول.
    السماح ل "HRappVnet" بتلقي نسبة استخدام الشبكة التي تمت إعادة توجيهها من "HubVnet" اترك خانة الاختيار غير محددة لحظر نسبة استخدام الشبكة التي تنشأ من خارج هذه الشبكة الظاهرية.
    السماح للبوابة في "HRappVnet" بإعادة توجيه نسبة استخدام الشبكة إلى "HubVnet" ترك خانة الاختيار غير محددة
    تمكين 'HRappVnet's لاستخدام بوابة 'HubVnet' البعيدة ترك خانة الاختيار غير محددة

  7. لإنشاء النظير، حدد Add. يظهر الجزء Peerings مرةً أخرى مع نظيرك الجديد.

لقد ربطت الآن الشبكة الظاهرية للمحور بالشبكة الظاهرية للتخطيط. لقد سمحت لنسبة استخدام الشبكة أن تتم إعادة توجيهها من المحور إلى التخطيطات، باستخدام بوابة شبكة ظاهرية خاصة في التكوين.

إنشاء مجموعة أمان الشبكة للشبكة الظاهرية

لتكوين تدفق نسبة استخدام الشبكة، يمكنك إنشاء مجموعة أمان شبكة.

  1. انتقل إلى الصفحة الرئيسية للمدخل، وحدد Create a resource. يظهر الجزء Create a Resource.

  2. في مربع البحث، أدخل مجموعة أمان الشبكة، ثم حدد الارتباط الذي يحمل العنوان نفسه في القائمة. يظهر الجزء Network security group - Create.

  3. لبدء تكوين الشبكة الظاهرية، حدد إنشاء. يظهر Create network security group.

  4. في علامة التبويب "Basics"، أدخل القِيم التالية لكل إعداد.

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك اشتراك Concierge
    مجموعة الموارد من القائمة المنسدلة، حدد [sandbox resource group name]
    تفاصيل المثيل
    الاسم أدخل HRNsg
    المنطقة اترك الموقع الافتراضي.

  5. حدد "Review + create".

  6. بعد اجتياز التحقق من الصحة، لنشر مجموعة أمان الشبكة، حدد إنشاء. يظهر الجزء "Overview" لمجموعة أمان الشبكة خاصتك.

  7. حدد Go to resource ولاحظ NSG، وHRNsg.

لقد أنشأت الآن مجموعة أمان شبكة يمكن تعيينها لكل شبكة من الشبكات الظاهرية.

ربط مجموعة أمان الشبكة بالشبكة الظاهرية الجديدة للموارد البشرية

الآن، يمكنك ربط مجموعة أمان الشبكة بالشبكة الظاهرية.

  1. إذا أغلقت نافذة HRNsg ، فانتقل إلى الصفحة الرئيسية للمدخل. حدد All resources وحدد HRNsg. يظهر الجزء HRNsg. وإلا، انتقل إلى الخطوة التالية.

  2. في جزء القائمة الأيسر، ضمن Settings، حدد Subnets. يظهر الجزء Subnets لمجموعة أمان شبكة HRNsg خاصتك.

  3. في شريط القوائم العلوي، حدد + Associate. يظهر الجزء Associate subnet.

  4. من القائمة المنسدلة Virtual network، حدد HRappVnet.

  5. من القائمة المنسدلة Subnet، حدد HRsystems.

  6. لربط مجموعة أمان الشبكة، حدد موافق. يظهر الجزء Subnets لمجموعة أمان شبكة HRNsg خاصتك مرةً أخرى.

تكوين قاعدة مجموعة أمان الشبكة لإيقاف نسبة استخدام الشبكة لـ HTTP الوارد

لديك متطلبات أمان لتلبية تطبيق الموارد البشرية لاستضافته على HRappVnet. لا ينبغي أن تكون هناك أي نسبة استخدام للشبكة لـ HTTP الواردة من التخطيط، وذلك لأن الموظفين الداخليين فقط بحاجة إلى الوصول. تكوين قاعدة مجموعة أمان الشبكة لتلبية هذا المطلب.

  1. على HRNsg | صفحة الشبكات الفرعية، حدد قواعد الأمان الواردة ضمن الإعدادات. يظهر الجزء Inbound security rulesلمجموعة أمان شبكة HRNsg خاصتك.

  2. في شريط القوائم العلوي، حدد + إضافة. يظهر إضافة جزء قاعدة الأمان الواردة.

  3. أدخل القيم التالية لكل إعداد.

    الإعداد القيمة‬
    Source من القائمة المنسدلة، حدد Any.
    نطاقات منافذ المصادر اترك الإعداد الافتراضي ل *.
    الوجهة من القائمة المنسدلة، حدد علامة الخدمة.
    علامة خدمة الوجهة حدد VirtualNetwork.
    الخدمة حدد مخصص.
    نطاقات المنفذ الوجهات أدخل 80,443
    البروتوكول حدد "Any".
    الإجراء حدد Deny.
    أولوية أدخل 100.
    الاسم أدخل Block-Inbound-HTTP-HTTPS
    ‏‏الوصف أدخل حظر حركة مرور HTTP وHTTPS الواردة من المتحدث.

  4. لإضافة القاعدة، حدد إضافة. يظهر الجزء Inbound security rulesلمجموعة أمان شبكة HRNsg خاصتك مرةً أخرى.

لقد قمت الآن بحظر الوصول إلى HTTP الوارد من التخطيط على المنفذ 80 و443.

في هذا السيناريو، لقد قمت بإنشاء شبكة ظاهرية على Azure، ومن ثم يتم ربطها مع شبكة ظاهرية لمحور موجود. ثم قمت بتأمين نسبة استخدام الشبكة من هذا التخطيط عن طريق حظر الوصول الوارد على المنفذ 80 و443، مع التأكد من أنه يمكن الاتصال عبر المحور.