Zelfstudie: Een beveiligd hub en spoke-netwerk maken

  • Artikel
  • 6 minuten om te lezen

In deze zelfstudie maakt u een hub en spoke-netwerktopologie met behulp van Azure Virtual Network Manager. Vervolgens implementeert u een virtuele netwerkgateway in het virtuele hubnetwerk zodat resources in de virtuele spoke-netwerken kunnen communiceren met externe netwerken via VPN. U configureert ook een beveiligingsconfiguratie om uitgaand netwerkverkeer naar internet op de poorten 80 en 443 te blokkeren. Ten laatste controleert u of configuraties correct zijn toegepast door te kijken naar de instellingen van het virtuele netwerk en de virtuele machine.

Belangrijk

Azure Virtual Network Manager is momenteel beschikbaar als openbare preview. Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Supplemental Terms of Use for Microsoft Azure Previews (Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews) voor meer informatie.

In deze zelfstudie leert u het volgende:

  • Maak meerdere virtuele netwerken.
  • Implementeer een virtuele netwerkgateway.
  • Maak een hub en spoke-netwerktopologie.
  • Maak een beveiligingsconfiguratie die verkeer op poort 80 en 443 blokkeert.
  • Controleer of configuraties zijn toegepast.

Vereiste

Virtuele netwerken maken

Deze procedure laat u zien hoe u drie virtuele netwerken maakt. De ene is in de regio VS - west en de andere twee in de regio VS - oost.

  1. Meld u aan bij de Azure-portal.

  2. Selecteer + Een resource maken en zoek naar Virtueel netwerk. Selecteer vervolgens Maken om te beginnen met het configureren van het virtuele netwerk.

    Schermopname van de pagina Een virtueel netwerk maken.

  3. Voer op het tabblad Basisinformatie de volgende gegevens in of selecteer deze:

    Schermopname van het tabblad Basisbeginselen voor het virtuele hub en spoke-netwerk.

    Instelling Waarde
    Abonnement Selecteer het abonnement waar u dit virtuele netwerk in wilt implementeren.
    Resourcegroep Selecteer of maak een nieuwe resourcegroep om het virtuele netwerk op te slaan. In deze quickstart wordt een resourcegroep met de naam myAVNMResourceGroup gebruikt.
    Name Voer VNet-A-WestUS in als naam van het virtuele netwerk.
    Regio Selecteer de regio VS - west.

  4. Configureer op het tabblad IP-adressen de volgende netwerkadresruimte:

    Schermopname van het tabblad IP-adressen voor het virtuele hub- en spoke-netwerk.

    Instelling Waarde
    IPv4-adresruimte Voer 10.3.0.0/16 in als de adresruimte.
    Subnetnaam Voer de standaardnaam voor het subnet in.
    Subnetadresruimte Voer de adresruimte van het subnet 10.3.0.0/24 in.

  5. Selecteer Beoordelen en maken en selecteer vervolgens Maken om het virtuele netwerk te implementeren.

    Schermopname van de validatiepagina voor het virtuele hub en spoke-netwerk.

  6. Herhaal stap 2-5 om nog twee virtuele netwerken in dezelfde resourcegroep te maken met de volgende informatie:

    Tweede virtuele netwerk:

    • Naam: VNet-A-EastUS
    • Regio: VS - oost
    • IPv4-adresruimte: 10.4.0.0/16
    • Subnetnaam: standaard
    • Subnetadresruimte: 10.4.0.0/24

    Derde virtuele netwerk:

    • Naam: VNet-B-EastUS
    • Regio: VS - oost
    • IPv4-adresruimte: 10.5.0.0/16
    • Subnetnaam: standaard
    • Subnetadresruimte: 10.5.0.0/24

Een virtuele netwerkgateway implementeren

Implementeer een virtuele netwerkgateway in het virtuele hubnetwerk. Deze virtuele netwerkgateway is nodig om hub als gatewayinstelling te kunnen gebruiken voor de spokes.

  1. Selecteer + Een resource maken en zoek naar Virtuele netwerkgateway. Selecteer vervolgens Maken om te beginnen met het configureren van de virtuele netwerkgateway.

    Schermopname van de pagina Een virtuele netwerkgateway maken.

  2. Voer op het tabblad Basisinformatie de volgende instellingen in of selecteer deze:

    Schermopname van het tabblad Basisinformatie over het maken van de virtuele netwerkgateway.

  3. Selecteer Beoordelen en maken en selecteer vervolgens Maken nadat de validatie is geslaagd. De implementatie van een virtuele netwerkgateway kan ongeveer 30 minuten duren. U kunt naar de volgende sectie gaan terwijl u wacht tot deze implementatie is voltooid.

    Schermopname van de pagina Validatie van een virtuele netwerkgateway maken.

Een netwerkgroep maken

  1. Ga naar uw Azure Virtual Network Manager-exemplaar. In deze zelfstudie wordt ervan uitgenomen dat u er een hebt gemaakt met behulp van de snelstartgids.

  2. Selecteer Netwerkgroepen onder Instellingen en selecteer vervolgens + Toevoegen om een nieuwe netwerkgroep te maken.

    Schermopname van de knop Een netwerkgroep toevoegen.

  3. Voer in het tabblad Basisprincipes de volgende gegevens in:

    Schermopname van het tabblad Basisprincipes van een netwerkgroep maken.

    Instelling Waarde
    Naam Voer myNetworkGroupB in als naam van de netwerkgroep.
    Description Geef een beschrijving op over deze netwerkgroep.

  4. Selecteer het tabblad Voorwaardelijke instructies. Selecteer bij Parameter de optie Naam in de vervolgkeuzekeuze. Selecteer voor de Operator de optie Bevat. Voer voor Voorwaarde VNet- in. Met deze voorwaardelijke instructie worden de drie eerder gemaakte virtuele netwerken aan deze netwerkgroep toevoegen.

    Schermopname van het tabblad Voorwaardelijke instructies voor een netwerkgroep maken.

  5. Selecteer Evalueren als u de geselecteerde virtuele netwerken wilt controleren.

    Schermopname van de pagina Effectieve virtuele netwerken.

  6. Selecteer Beoordelen en maken en selecteer vervolgens Maken zodra de validatie is geslaagd.

    Schermopname van de pagina Netwerkgroepvalidatie maken.

Een hub en spoke-connectiviteitsconfiguratie maken

  1. Selecteer Configuratie onder Instellingen selecteer vervolgens + Een configuratie toevoegen.

    Schermopname van een configuratieknop voor Network Manager toevoegen.

  2. Selecteer Connectiviteit in de vervolgkeuzelijst.

    Schermopname van de vervolgkeuzelijst Configuratie.

  3. Voer de volgende informatie in en selecteer deze voor de connectiviteitsconfiguratie:

    Schermopname van de pagina Connectiviteitsconfiguratie toevoegen.

    Instelling Waarde
    Naam Voer HubA in als naam van de configuratie
    Description Geef een beschrijving op over wat deze connectiviteitsconfiguratie doet.
    Topologie Selecteer Hub en spoke.

  4. Wanneer u de Hub en spoke-topologie selecteert, worden er meer velden weergegeven. Selecteer de volgende instellingen:

    Schermopname van het selecteren van een hub voor de connectiviteitsconfiguratie.

    Instellingen Waarde
    Hub Selecteer VNet-A-West als het virtuele hubnetwerk.
    Bestaande peerings Laat deze optie uitgeschakeld.
    Spoke-netwerkgroepen Selecteer Netwerkgroepen toevoegen en voeg myNetworkGroupB toe aan de configuratie.

  5. Nadat u de netwerkgroep hebt toegevoegd, selecteert u de volgende opties. Selecteer vervolgens Toevoegen om de connectiviteitsconfiguratie te maken.

    Schermopname van instellingen voor de configuratie van de netwerkgroep.

    Instelling Waarde
    Transitiviteit Schakel het selectievakje voor Peering inschakelen binnen de netwerkgroep in. Met deze instelling kunnen virtuele spoke-netwerken in de netwerkgroep in dezelfde regio rechtstreeks met elkaar communiceren.
    Global Mesh Laat deze optie uitgeschakeld. Omdat beide spokes zich in dezelfde regio hebben, is deze instelling niet vereist.
    Gateway Selecteer Hub als gateway gebruiken.

De connectiviteitsconfiguratie implementeren

Zorg ervoor dat de virtuele netwerkgateway is geïmplementeerd voordat u de connectiviteitsconfiguratie implementeert. Als u een hub en spoke-configuratie implementeert met De hub gebruiken als gateway ingeschakeld en er geen gateway is, mislukt de implementatie. Zie Hub gebruiken als gateway voor meer informatie.

  1. Selecteer Implementaties onder Instellingen en selecteer vervolgens Een configuratie implementeren.

    Schermopname van de implementatiepagina in Network Manager.

  2. Selecteer het configuratietype Connectiviteit en de HubA-configuratie die u in de laatste sectie hebt gemaakt. Selecteer vervolgens VS - west en VS - oost als doelregio en selecteer Implementeren.

    Schermopname van de pagina Een configuratie implementeren.

  3. Selecteer OK om te bevestigen dat u een bestaande configuratie wilt overschrijven en de configuratie van de beveiligingsbeheerder wilt implementeren.

    Schermopname van het bevestigingsbericht voor de implementatie.

  4. U ziet nu dat de implementatie wordt weergegeven in de lijst voor die regio's. De implementatie van de configuratie kan ongeveer 15-20 minuten duren.

    Schermopname van de implementatie die wordt uitgevoerd in de implementatielijst.

Beveiligingsconfiguratie maken

  1. Selecteer configuratie onder Instellingen opnieuw en selecteer vervolgens + Een configuratie toevoegen.

    Schermopname van het toevoegen van een andere configuratie voor Network Manager.

  2. Selecteer BeveiligingBeheer in het menu om te beginnen met het maken van een SecurityAdmin-configuratie.

    Schermopname van SecurityAdmin in de vervolgkeuzelijst.

  3. Voer de naam mySecurityConfig in voor de configuratie en selecteer + Een regelverzameling toevoegen.

    Schermopname van de configuratiepagina van de beveiligingsbeheerder.

  4. Voer de naam myRuleCollection in voor de regelverzameling en selecteer myNetworkGroupB als de doelnetwerkgroep. Selecteer vervolgens + Een regel toevoegen.

    Schermopname van de pagina Een regelverzameling toevoegen.

  5. Voer de volgende instellingen in en selecteer deze. Selecteer vervolgens Toevoegen:

    Schermopname van de pagina Een regel toevoegen.

  6. Selecteer Opslaan om de regelverzameling toe te voegen aan de configuratie.

    Schermopname van de knop Opslaan voor een regelverzameling.

  7. Selecteer Toevoegen om de configuratie van de beveiligingsbeheerder te maken.

    Schermopname van de knop Toevoegen om de configuratie te maken.

De configuratie van de beveiligingsbeheerder implementeren

  1. Selecteer Implementaties onder Instellingen en selecteer vervolgens Een configuratie implementeren.

    Schermopname van de pagina beveiligingsimplementaties in Virtual Network Manager.

  2. Selecteer het configuratietype SecurityAdmin en de mySecurityConfig-configuratie die u in de laatste sectie hebt gemaakt. Selecteer vervolgens VS - west en VS - oost als doelregio en selecteer Implementeren.

    Schermopname van het implementeren van een beveiligingsconfiguratie.

  3. Selecteer OK om te bevestigen dat u een bestaande configuratie wilt overschrijven en de configuratie van de beveiligingsbeheerder wilt implementeren.

    Schermopname van het bevestigingsbericht voor het implementeren van een beveiligingsconfiguratie.

  4. U ziet nu dat de implementatie wordt weergegeven in de lijst voor de geselecteerde regio. De implementatie van de configuratie kan ongeveer 15-20 minuten duren.

    Schermopname van de beveiligingsimplementatie die wordt uitgevoerd in de implementatielijst.

Implementatie van configuraties controleren

Verifiëren vanuit een virtueel netwerk

  1. Ga naar VNet-A-WestUS virtual network en selecteer Network Manager onder Instellingen. U ziet dat de HubA-connectiviteitsconfiguratie is toegepast.

    Schermopname van de connectiviteitsconfiguratie die is toegepast op het virtuele netwerk.

  2. Selecteer Peerings onder Instellingen. U ziet peerings voor virtuele netwerken die zijn gemaakt door Virtual Network Manager met AVNM in de naam.

    Schermopname van peerings voor virtuele netwerken die zijn gemaakt door Virtual Network Manager.

  3. Selecteer het tabblad SecurityAdmin om de beveiligingsbeheerdersregels te zien die zijn toegepast op dit virtuele netwerk.

    Schermopname van beveiligingsbeheerdersregels die zijn toegepast op het virtuele netwerk.

Verifiëren vanaf een VM

  1. Implementeer een test-Windows-VM in VNet-A-EastUS.

  2. Ga naar de test-VM die is gemaakt in VNet-A-EastUS en selecteer Netwerken onder Instellingen. Selecteer Regels voor uitgaande poort en u ziet dat de beveiligingsbeheerderregel is toegepast.

    Schermopname van de netwerkbeveiligingsregels van de VM testen.

  3. Selecteer de naam van de netwerkinterface.

    Schermopname van de netwerkinstellingen van de test-VM.

  4. Selecteer vervolgens Effectieve routes onder Ondersteuning en probleemoplossing om de routes voor de peerings voor het virtuele netwerk weer te geven. De 10.3.0.0/16 route met de volgende hop van is de route naar het virtuele VNetGlobalPeering hubnetwerk. De 10.5.0.0/16 route met de volgende hop van is route naar het andere virtuele ConnectedGroup spoke-netwerk. Alle virtuele spokes-netwerken worden in een ConnectedGroup wanneer transitiviteit is ingeschakeld.

    Schermopname van effectieve routes van de test-VM-netwerkinterface.

Resources opschonen

Als u Azure Virtual Network Manager niet meer nodig hebt, moet u ervoor zorgen dat alle volgende items waar zijn voordat u de resource kunt verwijderen:

  • Er zijn geen implementaties van configuraties in elke regio.
  • Alle configuraties zijn verwijderd.
  • Alle netwerkgroepen zijn verwijderd.

Gebruik de controlelijst voor onderdelen verwijderen om ervoor te zorgen dat er geen onderliggende resources meer beschikbaar zijn voordat u de resourcegroep verwijdert.

Volgende stappen

Meer informatie over het blokkeren van netwerkverkeer met een beveiligingsbeheerdersconfiguratie.