Kurz: Vytvoření zabezpečené sítě rozbočovače a paprsků

  • Článek
  • 6 min ke čtení

V tomto kurzu vytvoříte síť rozbočovač a paprsková topologie pomocí služby Azure Virtual Network Manager. Pak nasadíte bránu virtuální sítě do virtuální sítě rozbočovače, aby bylo možné prostředky ve virtuálních sítích paprsků komunikovat se vzdálenými sítěmi pomocí sítě VPN. Také nakonfigurujete konfiguraci zabezpečení pro blokování odchozího síťového provozu na portech 80 a 443. Nakonec ověříte, že se konfigurace správně používaly, a to tak, že prohlížíte nastavení virtuální sítě a virtuálního počítače.

Důležité

Azure Virtual Network Manager je momentálně ve verzi Public Preview. Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

V tomto kurzu se naučíte:

  • Vytvoření více virtuálních sítí.
  • Nasaďte bránu virtuální sítě.
  • Vytvořte hvězdicové síťovou topologii.
  • Vytvořte konfiguraci zabezpečení blokující provoz na portech 80 a 443.
  • Ověřte, že byly aplikovány konfigurace.

Požadavek

Vytvoření virtuálních sítí

Tento postup vás provede vytvořením tří virtuálních sítí. Jeden bude v oblasti západní USA a druhá dvě budou v oblasti východní USA .

  1. Přihlaste se k webu Azure Portal.

  2. Vyberte + vytvořit prostředek a vyhledejte virtuální síť. Pak výběrem vytvořit zahajte konfiguraci virtuální sítě.

    Snímek obrazovky se stránkou vytvořit virtuální síť

  3. Na kartě základy zadejte nebo vyberte následující informace:

    Snímek obrazovky s kartou základy pro virtuální síť centra a paprsků

    Nastavení Hodnota
    Předplatné Vyberte předplatné, do kterého chcete nasadit tuto virtuální síť.
    Skupina prostředků Vyberte nebo vytvořte novou skupinu prostředků pro uložení virtuální sítě. Tento rychlý Start bude používat skupinu prostředků s názvem myAVNMResourceGroup.
    Name Jako název virtuální sítě zadejte VNet-A-WestUS .
    Oblast Vyberte oblast západní USA .

  4. Na kartě IP adresy nakonfigurujte následující adresní prostor sítě:

    Snímek obrazovky s kartou IP adres pro virtuální síť centra a paprsků.

    Nastavení Hodnota
    Adresní prostor protokolu IPv4 Jako adresní prostor zadejte 10.3.0.0/16 .
    Název podsítě Zadejte pro podsíť výchozí název.
    Adresní prostor podsítě Zadejte adresní prostor podsítě 10.3.0.0/24.

  5. Vyberte zkontrolovat + vytvořit a pak vyberte vytvořit a nasaďte virtuální síť.

    Snímek stránky ověření pro virtuální síť centra a paprsků

  6. Zopakováním kroků 2-5 vytvořte dvě virtuální sítě do stejné skupiny prostředků s následujícími informacemi:

    Druhá virtuální síť:

    • Název: VNet-A-EastUS
    • Oblast: východní USA
    • Adresní prostor IPv4: 10.4.0.0/16
    • Název podsítě: výchozí
    • Adresní prostor podsítě: 10.4.0.0/24

    Třetí virtuální síť:

    • Název: VNet-B-EastUS
    • Oblast: východní USA
    • Adresní prostor IPv4: 10.5.0.0/16
    • Název podsítě: výchozí
    • Adresní prostor podsítě: 10.5.0.0/24

Nasazení brány virtuální sítě

Nasaďte bránu virtuální sítě do virtuální sítě rozbočovače. Tato brána virtuální sítě je pro paprsky nutná k použití centra jako nastavení brány .

  1. Vyberte + vytvořit prostředek a vyhledejte bránu virtuální sítě. Pak vyberte vytvořit a začněte konfigurovat bránu virtuální sítě.

    Snímek obrazovky se stránkou pro vytvoření brány virtuální sítě

  2. Na kartě základy zadejte nebo vyberte následující nastavení:

    Snímek obrazovky s vytvořením karty základy pro bránu virtuální sítě

  3. Vyberte zkontrolovat + vytvořit a potom po ověření vyberte vytvořit . Nasazení brány virtuální sítě může trvat přibližně 30 minut. Můžete přejít k další části a počkat na dokončení tohoto nasazení.

    Snímek obrazovky s vytvořením stránky ověření brány virtuální sítě

Vytvoření síťové skupiny

  1. Přejít do instance Azure Virtual Network Manageru. V tomto kurzu se předpokládá, že jste ho vytvořili pomocí průvodce rychlým startem .

  2. v části Nastavení vyberte síťové skupiny a pak vyberte + přidat a vytvořte novou skupinu sítí.

    Snímek obrazovky s tlačítkem Přidat skupinu sítě

  3. Na kartě Základní informace zadejte následující údaje:

    Snímek obrazovky s kartami vytvořit seznam základů síťové skupiny

    Nastavení Hodnota
    Název Jako název skupiny sítí zadejte myNetworkGroupB .
    Description Zadejte popis této síťové skupiny.

  4. Vyberte kartu podmíněné příkazy . Pro parametr v rozevíracím seznamu vyberte název . Pro operátor Select Contains. V případě podmínky zadejte VNet-. Tento podmíněný příkaz přidá do této síťové skupiny tři dřív vytvořené virtuální sítě.

    Snímek obrazovky s kartou pro podmíněné příkazy vytvoření skupiny sítě

  5. Vyberte možnost vyhodnotit , pokud potřebujete ověřit vybrané virtuální sítě.

    Snímek obrazovky se stránkami efektivních virtuálních sítí.

  6. Vyberte zkontrolovat + vytvořit a po úspěšném ověření vyberte vytvořit .

    Snímek obrazovky se stránkou pro ověření vytvoření síťové skupiny

Vytvoření konfigurace připojení k rozbočovači a paprskům

  1. v části Nastavení vyberte konfigurace a pak vyberte + přidat konfiguraci.

    Snímek obrazovky s tlačítkem Přidat konfiguraci pro správce sítě

  2. V rozevírací nabídce vyberte možnost připojení .

    Obrazovka rozevírací nabídky konfigurace

  3. Zadejte a vyberte pro konfiguraci připojení následující informace:

    Snímek obrazovky s přidáním stránky Konfigurace připojení

    Nastavení Hodnota
    Název Jako název konfigurace zadejte HubA .
    Description Zadejte popis toho, co bude tato konfigurace připojení dělat.
    Topologie Vyberte střed a paprskový uzel.

  4. Když vyberete topologii hvězdicové topologie , zobrazí se další pole. Vyberte následující nastavení:

    Snímek obrazovky s výběrem centra pro konfiguraci připojení

    Nastavení Hodnota
    Rozbočovač Jako virtuální síť rozbočovače vyberte VNet-A-západ .
    Existující partnerské vztahy Tuto možnost nechte nezaškrtnutou.
    Síťové skupiny paprsků Vyberte Přidat síťové skupiny a přidejte myNetworkGroupB do konfigurace.

  5. Po přidání síťové skupiny vyberte následující možnosti. Pak vyberte Přidat a vytvořte konfiguraci připojení.

    Snímek obrazovky s nastavením pro konfiguraci síťové skupiny

    Nastavení Hodnota
    Tranzitivita Zaškrtněte políčko Povolit partnerské vztahy v rámci skupiny síť. Toto nastavení umožní, aby se virtuální sítě rozbočovače v síťové skupině ve stejné oblasti navzájem komunikovaly přímo.
    Globální síť Tuto možnost nechte nezaškrtnutou. Vzhledem k tomu, že oba paprsky jsou ve stejné oblasti, toto nastavení není vyžadováno.
    brána Jako bránu vyberte použít centrum.

Nasazení konfigurace připojení

Před nasazením konfigurace připojení se ujistěte, že jste úspěšně nasadili bránu virtuální sítě. Pokud nasadíte konfiguraci centra a paprsků s použitím centra jako povolené brány a neexistuje žádná brána, nasazení se nezdaří. Další informace najdete v tématu použití centra jako brány.

  1. v části Nastavení vyberte nasazení a pak vyberte nasadit konfiguraci.

    Snímek stránky nasazení na stránce správce sítě

  2. Vyberte typ konfigurace připojení a konfiguraci HubA , kterou jste vytvořili v poslední části. Pak vyberte západní USA a východní USA jako cílovou oblast a vyberte nasadit.

    Snímek obrazovky s nasazením konfigurační stránky

  3. Vyberte OK a potvrďte tak, že chcete přepsat existující konfiguraci a nasadit konfiguraci Správce zabezpečení.

    Snímek obrazovky potvrzující zprávy o nasazení

  4. V seznamu pro tyto oblasti byste teď měli vidět, že se nasazení zobrazuje. Dokončení nasazení konfigurace může trvat přibližně 15-20 minut.

    Snímek obrazovky s probíhajícím nasazením v seznamu nasazení.

Vytvořit konfiguraci zabezpečení

  1. v Nastavení znovu vyberte konfigurace a pak vyberte + přidat konfiguraci.

    Snímek obrazovky s přidáním další konfigurace pro správce sítě

  2. V nabídce vyberte SecurityAdmin a začněte vytvářet konfiguraci SecurityAdmin.

    Snímek obrazovky SecurityAdmin v rozevírací nabídce

  3. Zadejte název mySecurityConfig pro konfiguraci a pak vyberte + přidat kolekci pravidel.

    Snímek obrazovky se stránkou konfigurace správce zabezpečení

  4. Zadejte název myRuleCollection pro kolekci pravidel a pro skupinu cílové sítě vyberte myNetworkGroupB . Pak vyberte + Přidat pravidlo.

    Snímek obrazovky s přidáním stránky kolekce pravidel

  5. Zadejte a vyberte následující nastavení a pak vyberte Přidat:

    Snímek obrazovky s přidáním stránky pravidla

  6. Vyberte Uložit a přidejte kolekci pravidel do konfigurace.

    Snímek obrazovky s tlačítkem Uložit pro kolekci pravidel

  7. Vyberte Přidat a vytvořte konfiguraci Správce zabezpečení.

    Snímek obrazovky s tlačítkem Přidat pro vytvoření konfigurace

Nasazení konfigurace správce zabezpečení

  1. v části Nastavení vyberte nasazení a pak vyberte nasadit konfiguraci.

    Snímek stránky nasazení zabezpečení v nástroji Virtual Network Manager.

  2. Vyberte typ konfigurace SecurityAdmin a konfiguraci mySecurityConfig , kterou jste vytvořili v poslední části. Pak vyberte západní USA a východní USA jako cílovou oblast a vyberte nasadit.

    Snímek obrazovky nasazení konfigurace zabezpečení

  3. Vyberte OK a potvrďte tak, že chcete přepsat existující konfiguraci a nasadit konfiguraci Správce zabezpečení.

    Snímek obrazovky potvrzující zprávy pro nasazení konfigurace zabezpečení

  4. Teď byste měli vidět, že nasazení se zobrazí v seznamu pro vybranou oblast. Dokončení nasazení konfigurace může trvat přibližně 15-20 minut.

    Snímek obrazovky s probíhajícím nasazením zabezpečení v seznamu nasazení.

Ověření nasazení konfigurací

Ověření z virtuální sítě

  1. otevřete virtuální síť VNet-A-WestUS a v části Nastavení vyberte správce sítě . Uvidíte, že se nastavila konfigurace připojení HubA .

    Snímek obrazovky s konfigurací připojení použitou pro virtuální síť.

  2. v části Nastavení vyberte partnerské vztahy . V názvu se zobrazí partnerské vztahy virtuálních sítí vytvořené nástrojem Virtual Network Manager s názvem AVNM .

    Snímek obrazovky partnerských vztahů virtuálních sítí vytvořených nástrojem Virtual Network Manager

  3. Kliknutím na kartu SecurityAdmin zobrazíte pravidla správce zabezpečení použitá pro tuto virtuální síť.

    Snímek obrazovky s pravidly správce zabezpečení použitými pro virtuální síť.

Ověření z virtuálního počítače

  1. nasazení testovacího virtuálního počítače Windows do VNet-a-EastUS.

  2. přejít na testovací virtuální počítač vytvořený v VNet-A-EastUS a vyberte sítě pod Nastavení. Vyberte odchozí pravidla portů a zobrazí se použité pravidlo správce zabezpečení.

    Snímek obrazovky s pravidly zabezpečení sítě testovacího virtuálního počítače

  3. Vyberte název síťového rozhraní.

    Snímek nastavení sítě testovacího virtuálního počítače

  4. Pak vyberte platné trasy v části Podpora a řešení potíží , abyste viděli trasy pro partnerské vztahy virtuálních sítí. 10.3.0.0/16Trasa s dalším segmentem směrování VNetGlobalPeering je trasa k virtuální síti centrální sítě. 10.5.0.0/16Trasa s dalším segmentem směrování ConnectedGroup je směrována k jiné virtuální síti paprsků. Virtuální síť všech paprsků bude v připojené síti, pokud je povolená přenositelnost .

    Snímek obrazovky s efektivními trasami z testovacího síťového rozhraní virtuálního počítače

Vyčištění prostředků

Pokud už Azure Virtual Network Manager nepotřebujete, budete se muset před odstraněním prostředku ujistit, že jsou splněny všechny následující podmínky:

  • Žádné konfigurace nejsou nasazování do žádné oblasti.
  • Všechny konfigurace byly odstraněny.
  • Všechny síťové skupiny byly odstraněny.

Pomocí kontrolního seznamu pro odebrání součástí se ujistěte, že před odstraněním skupiny prostředků nejsou stále dostupné žádné podřízené prostředky.

Další kroky

Zjistěte, jak blokovat síťový provoz pomocí konfigurace správce zabezpečení.