Oktatóanyag: Biztonságos központ- és küllős hálózat létrehozása
Ebben az oktatóanyagban egy küllős hálózati topológiát hoz létre az Azure Virtual Network Manager használatával. Ezután üzembe kell helyeznie egy virtuális hálózati átjárót a központi virtuális hálózaton, hogy a küllős virtuális hálózatok erőforrásai VPN használatával kommunikálhassanak a távoli hálózatokkal. Emellett egy biztonsági konfigurációt is konfigurál, amely blokkolja az internet felé irányuló kimenő hálózati forgalmat a 80-as és a 443-as porton. Végül ellenőrizze, hogy a konfigurációk helyesen lettek-e alkalmazva a virtuális hálózat és a virtuális gép beállításainak megvizsgálásával.
Fontos
Az Azure Virtual Network Manager általánosan elérhető küllős kapcsolati konfigurációkhoz és biztonsági konfigurációkhoz biztonsági rendszergazdai szabályokkal. A mesh-kapcsolat konfigurációi továbbra is nyilvános előzetes verzióban maradnak.
Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Több virtuális hálózat létrehozása.
- Virtuális hálózati átjáró üzembe helyezése.
- Hozzon létre egy küllős hálózati topológiát.
- Hozzon létre egy biztonsági konfigurációt, amely blokkolja a forgalmat a 80-as és a 443-as porton.
- Ellenőrizze, hogy alkalmazták-e a konfigurációkat.
Előfeltétel
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- Az oktatóanyag lépéseinek elvégzése előtt létre kell hoznia egy Azure Virtual Network Manager-példányt . A példánynak tartalmaznia kell a Csatlakozás ivity és a Security admin funkcióit. Ez az oktatóanyag egy vnm-learn-eastus-001 nevű Virtual Network Manager-példányt használt.
Virtuális hálózatok létrehozása
Ez az eljárás végigvezeti három virtuális hálózat létrehozásán, amelyek a küllős hálózati topológiával lesznek összekapcsolva.
Jelentkezzen be az Azure Portalra.
Válassza a + Erőforrás létrehozása lehetőséget, és keressen rá a virtuális hálózatra. Ezután válassza a Létrehozás lehetőséget a virtuális hálózat konfigurálásának megkezdéséhez.
Az Alapismeretek lapon adja meg vagy válassza ki a következő információkat:
Beállítás Érték Előfizetés Válassza ki azt az előfizetést, amelybe telepíteni szeretné ezt a virtuális hálózatot. Erőforráscsoport Válasszon vagy hozzon létre egy új erőforráscsoportot a virtuális hálózat tárolásához. Ez a rövid útmutató egy rg-learn-eastus-001 nevű erőforráscsoportot használ. Név A virtuális hálózat nevének megadása vnet-learn-prod-eastus-001 . Régió Válassza ki az USA keleti régióját . Válassza a Tovább: IP-címek lehetőséget, és konfigurálja a következő hálózati címteret:
Beállítás Érték IPv4-címtér Címtérként adja meg a 10.0.0.0/16 értéket. Alhálózat neve Adja meg az alhálózat alapértelmezett nevét. Alhálózat címtartománya Adja meg a 10.0.0.0/24 alhálózati címteret. Válassza a Véleményezés + létrehozás lehetőséget, majd a Létrehozás lehetőséget a virtuális hálózat üzembe helyezéséhez.
Ismételje meg a 2–5. lépést, hogy két további virtuális hálózatot hozzon létre ugyanabban az erőforráscsoportban az alábbi információkkal:
Beállítás Érték Előfizetés Válassza ki ugyanazt az előfizetést, amely a 3. lépésben van kiválasztva. Erőforráscsoport Válassza ki az rg-learn-eastus-001 elemet. Név Adja meg a vnet-learn-prod-eastus-002 és a vnet-learn-hub-eastus-001 értéket a két virtuális hálózathoz. Régió Az USA keleti régiója vnet-learn-prod-eastus-002 IP-címek IPv4-címtér: 10.1.0.0/16
Alhálózat neve: alapértelmezett
alhálózati címtér: 10.1.0.0/24vnet-learn-hub-eastus-001 IP-címek IPv4-címtér: 10.2.0.0/16
Alhálózat neve: alapértelmezett
alhálózati címtér: 10.2.0.0/24
Virtuális hálózati átjáró üzembe helyezése
Virtuális hálózati átjáró üzembe helyezése a központi virtuális hálózaton. Ez a virtuális hálózati átjáró szükséges ahhoz, hogy a küllők átjáróként használják a központot.
Válassza a + Erőforrás létrehozása lehetőséget, és keressen rá a virtuális hálózati átjáróra. Ezután válassza a Létrehozás lehetőséget a virtuális hálózati átjáró konfigurálásának megkezdéséhez.
Az Alapszintű beállítások lapon adja meg vagy válassza ki a következő beállításokat:
Beállítás Érték Előfizetés Válassza ki azt az előfizetést, amelybe telepíteni szeretné ezt a virtuális hálózatot. Név Adja meg a gw-learn-hub-eastus-001 értéket a virtuális hálózati átjáró nevéhez. Termékváltozat Válassza a VpnGW1 lehetőséget a termékváltozathoz. Generáció Válassza az 1 . generációt a generációhoz. Virtuális hálózat Válassza ki a vnet-learn-hub-eastus-001 virtuális hálózatot. Nyilvános IP-cím Nyilvános IP-cím neve Adja meg a gwpip-learn-hub-eastus-001 nevet a nyilvános IP-címhez. Standard kiadás KOND NYILVÁNOS IP-CÍM Nyilvános IP-cím neve Adja meg a gwpip-learn-hub-eastus-002 nevet a nyilvános IP-címhez. Válassza a Véleményezés + létrehozás lehetőséget, majd az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget . A virtuális hálózati átjáró üzembe helyezése körülbelül 30 percet vehet igénybe. Továbbléphet a következő szakaszra, miközben az üzembe helyezés befejezésére vár. Előfordulhat azonban, hogy a gw-learn-hub-eastus-001 nem jelenik meg, hogy az átjáró az időzítés és a szinkronizálás miatt nem jelenik meg az Azure Portalon.
Dinamikus hálózati csoport létrehozása
Nyissa meg az Azure Virtual Network Manager-példányt. Ez az oktatóanyag feltételezi, hogy a rövid útmutatóval létrehozott egyet. Az oktatóanyagban szereplő hálózati csoportot ng-learn-prod-eastus-001-nek nevezzük.
Válassza a hálózati csoportokat a Gépház alatt, majd válassza a + Létrehozás lehetőséget egy új hálózati csoport létrehozásához.
A Hálózati csoport létrehozása képernyőn adja meg a következő adatokat:
Beállítás Érték Név Adja meg az ng-learn-prod-eastus-001 értéket a hálózati csoport nevéhez. Leírás Adjon meg egy leírást erről a hálózati csoportról. A virtuális hálózati csoport létrehozásához válassza a Létrehozás lehetőséget.
A Hálózatcsoportok lapon válassza ki a fentről létrehozott hálózati csoportot a hálózati csoport konfigurálásához.
Az Áttekintés lapon válassza az Azure Policy létrehozása lehetőséget a Szabályzat létrehozása területen a tagok dinamikus hozzáadásához.
Az Azure Policy létrehozása lapon válassza ki vagy adja meg a következő információkat:
Beállítás Érték Házirend neve Írja be az azpol-learn-prod-eastus-001 értéket a szövegmezőbe. Hatókör Válassza a Hatókörök kiválasztása lehetőséget, és válassza ki az aktuális előfizetést. Feltételek Paraméter Válassza a Név lehetőséget a legördülő listában. Operátor Válassza a Tartalmaz lehetőséget a legördülő listában. Feltétel Írja be a -prod kifejezést a szövegmezőben lévő feltételhez. Válassza az Előzetes verziójú erőforrások lehetőséget az Érvényes virtuális hálózatok lap megtekintéséhez, majd a Bezárás gombra. Ezen az oldalon az Azure Policyban meghatározott feltételek alapján a hálózati csoporthoz hozzáadandó virtuális hálózatok láthatók.
Válassza a Mentés lehetőséget a csoporttagság üzembe helyezéséhez. A szabályzat érvénybe lépése és a hálózati csoporthoz való hozzáadása akár egy percet is igénybe vehet.
A Gépház alatti Hálózati csoport lapon válassza a Csoporttagok lehetőséget a csoporttagság megtekintéséhez az Azure Policyban meghatározott feltételek alapján. A forrás az azpol-learn-prod-eastus-001 néven szerepel.
Küllős kapcsolat konfigurációjának létrehozása
Válassza a Konfigurációk lehetőséget a Gépház alatt, majd válassza a + Létrehozás lehetőséget.
Válassza a Csatlakozás ivity konfigurációt a legördülő menüből a kapcsolati konfiguráció létrehozásához.
Az Alapok lapon adja meg a következő információkat, és válassza a Tovább: Topológia >lehetőséget.
Beállítás Érték Név Adja meg a cc-learn-prod-eastus-001 értéket. Leírás (Nem kötelező) Adjon meg egy leírást erről a kapcsolati konfigurációról. A Topológia lapon válassza a Küllő és a Központ lehetőséget. Ez más beállításokat is felfed.
Válassza a Hub kiválasztása a Központ beállítás alatt lehetőséget. Ezután válassza a vnet-learn-hub-eastus-001 elemet a hálózati központként való kiszolgáláshoz, majd válassza a Kiválasztás lehetőséget.
Feljegyzés
Az üzembe helyezés időzítésétől függően előfordulhat, hogy a célközpont virtuális hálózata nem látható átjáróként a Has gateway alatt. Ennek oka a virtuális hálózati átjáró üzembe helyezése. Az üzembe helyezés akár 30 percet is igénybe vehet, és előfordulhat, hogy nem jelenik meg azonnal a különböző Azure Portal-nézetekben.
A Küllős hálózati csoportok csoportban válassza a + hozzáadás lehetőséget. Ezután válassza az ng-learn-prod-eastus-001 elemet a hálózati csoporthoz, majd válassza a Kiválasztás lehetőséget.
A hálózati csoport hozzáadása után válassza a következő beállításokat. Ezután válassza a Hozzáadás lehetőséget a kapcsolati konfiguráció létrehozásához.
Beállítás Érték Közvetlen Csatlakozás tivitás Jelölje be a hálózati csoporton belüli kapcsolat engedélyezése jelölőnégyzetet. Ez a beállítás lehetővé teszi, hogy az ugyanabban a régióban lévő hálózati csoport küllős virtuális hálózatai közvetlenül kommunikáljanak egymással. Globális háló Hagyja bejelöletlenül a hálókapcsolat engedélyezése régiók között jelölőnégyzetet. Ez a beállítás nem szükséges, mivel mindkét küllő ugyanabban a régióban található Központ átjáróként Jelölje be a Hub átjáróként jelölőnégyzetét. Válassza a Tovább elemet : Tekintse át és hozza létre > , majd hozza létre a kapcsolati konfigurációt.
A kapcsolati konfiguráció üzembe helyezése
A kapcsolati konfiguráció üzembe helyezése előtt győződjön meg arról, hogy a virtuális hálózati átjáró sikeresen üzembe lett helyezve. Ha a küllős és a küllős konfigurációt úgy helyezi üzembe, hogy engedélyezve van a hub használata átjáróként , és nincs átjáró, az üzembe helyezés meghiúsul. További információ: a hub használata átjáróként.
Válassza a Gépház alatt lévő Központi telepítések lehetőséget, majd válassza a Konfiguráció üzembe helyezése lehetőséget.
Válassza ki a következő beállításokat:
Beállítás Érték Konfigurációk Válassza a Kapcsolatkonfigurációk belefoglalása a célállapotba lehetőséget. Csatlakozás konfigurációk Válassza a cc-learn-prod-eastus-001 lehetőséget. Célrégiók Válassza ki az USA keleti régióját üzembehelyezési régióként. Válassza a Tovább lehetőséget, majd az Üzembe helyezés lehetőséget az üzembe helyezés befejezéséhez.
Az üzembe helyezés megjelenik a kijelölt régió listában. A konfiguráció üzembe helyezése eltarthat néhány percig.
Biztonsági rendszergazdai konfiguráció létrehozása
Válassza ismét a Gépház területen a Konfiguráció lehetőséget, majd válassza a + Létrehozás lehetőséget, majd válassza a Biztonság lehetőséget Rendszergazda a menüből a Biztonság Rendszergazda konfiguráció létrehozásához.
Adja meg a konfiguráció sac-learn-prod-eastus-001 nevét, majd válassza a Tovább: Szabálygyűjtemények lehetőséget.
Adja meg a szabálygyűjtemény rc-learn-prod-eastus-001 nevét, és válassza az ng-learn-prod-eastus-001 értéket a célhálózati csoporthoz. Ezután válassza a + Hozzáadás lehetőséget.
Adja meg és válassza ki a következő beállításokat, majd válassza a Hozzáadás lehetőséget:
Beállítás Érték Név Adja meg a DENY_INTERNET Leírás Adja meg ezt a szabályt, amely blokkolja az internetes forgalmat HTTP-n és HTTPS-en Prioritás Enter 1 Művelet Válassza a Megtagadás lehetőséget Irány Kimenő elemet választva Protokoll Válassza a TCP lehetőséget Forrás Forrás típusa IP-cím kiválasztása Forrás IP-címek Írja be a következő szöveget: * Cél Céltípus IP-címek kiválasztása Cél IP-címek Írja be a következő szöveget: * Célport Enter 80, 443 Válassza a Hozzáadás lehetőséget a szabálygyűjtemény konfigurációhoz való hozzáadásához.
Válassza az Áttekintés + létrehozás és létrehozás lehetőséget a biztonsági rendszergazdai konfiguráció létrehozásához.
A biztonsági rendszergazda konfigurációjának üzembe helyezése
Válassza a Gépház alatt lévő Központi telepítések lehetőséget, majd válassza a Konfigurációk üzembe helyezése lehetőséget.
A Konfigurációk területen válassza a Biztonsági rendszergazda belefoglalása a célállapotba és az utolsó szakaszban létrehozott sac-learn-prod-eastus-001 konfigurációt. Ezután válassza az USA keleti régióját célrégióként, majd válassza a Tovább lehetőséget.
Válassza a Tovább , majd az Üzembe helyezés lehetőséget. Most már látnia kell, hogy az üzembe helyezés megjelenik a kijelölt régió listában. A konfiguráció üzembe helyezése eltarthat néhány percig.
Konfigurációk üzembe helyezésének ellenőrzése
Ellenőrzés virtuális hálózatról
Nyissa meg a vnet-learn-prod-eastus-001 virtuális hálózatot, és válassza a Network Managert a Gépház alatt. A Csatlakozás ivity configurations tab listázza a cc-learn-prod-eastus-001 kapcsolati konfigurációt a virtuális hálózaton
Válassza a Biztonsági rendszergazda konfigurációk lapját, és bontsa ki a Kimenő elemet a virtuális hálózatra alkalmazott biztonsági rendszergazdai szabályok listázásához.
Válassza a Gépház alatti társviszonyokat a Virtual Network Manager által létrehozott virtuális hálózati társviszonyok listázásához. A neve ANM_ kezdődik.
Ellenőrzés virtuális gépről
Teszt virtuális gép üzembe helyezése a vnet-learn-prod-eastus-001-ben.
Nyissa meg a vnet-learn-prod-eastus-001-ben létrehozott teszt virtuális gépet, és válassza a Hálózatkezelés lehetőséget a Gépház alatt. Válassza ki a kimenő portszabályokat , és ellenőrizze, hogy a DENY_INTERNET szabály van-e alkalmazva.
Válassza ki a hálózati adapter nevét, majd a Súgó területen válassza az Érvényes útvonalak lehetőséget a virtuális hálózati társviszonyok útvonalainak ellenőrzéséhez. A
10.2.0.0/16
Következő ugrás típusúVNet peering
útvonal a központi virtuális hálózatra vezető útvonal.
Az erőforrások eltávolítása
Ha már nincs szüksége az Azure Virtual Network Managerre, az erőforrás törlése előtt meg kell győződnie arról, hogy a következők mindegyike igaz:
- Egyetlen régióban sem üzemelnek konfigurációk.
- Az összes konfiguráció törölve lett.
- Az összes hálózati csoport törölve lett.
Az összetevők eltávolítása ellenőrzőlistával győződjön meg arról, hogy az erőforráscsoport törlése előtt nem érhetők el gyermekerőforrások.
Következő lépések
Megtudhatja, hogyan tilthatja le a hálózati forgalmat biztonsági rendszergazdai konfigurációval.