Exercício – criar uma NVA e máquinas virtuais
Na fase seguinte da sua implementação de segurança, irá implementar uma aplicação virtual de rede (NVA) para proteger e monitorizar o tráfego entre os seus servidores públicos de front-end e os servidores privados internos.
Você configura o dispositivo para encaminhar tráfego IP. Se o reencaminhamento de endereços IP não estiver ativado, o tráfego encaminhado através da sua aplicação nunca será recebido pelos respetivos servidores de destino pretendidos.
Neste exercício, você implanta o dispositivo de rede nva na sub-rede dmzsubnet . Em seguida, habilite o encaminhamento de IP para que o tráfego e * o tráfego que usa a rota personalizada sejam enviados para a sub-rede privatesubnet .
Nos passos seguintes, irá implementar uma NVA. Em seguida, irá atualizar a NIC virtual do Azure e as definições de rede na aplicação para ativar o reencaminhamento de endereços IP.
Implementar a aplicação virtual de rede
Para criar a NVA, implemente uma instância do Ubuntu LTS.
Execute o seguinte comando no Cloud Shell para implementar a aplicação. Substitua
<password>por uma palavra-passe adequada da sua escolha para a conta de administrador azureuser.az vm create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --vnet-name vnet \ --subnet dmzsubnet \ --image Ubuntu2204 \ --admin-username azureuser \ --admin-password <password>
Ativar o reencaminhamento de endereços IP para a interface de rede do Azure
Nos próximos passos, será ativado o reencaminhamento IP para a aplicação de rede nva. Quando o tráfego flui para a NVA, mas está destinado a outro destino, a NVA irá encaminhar esse tráfego para o destino correto.
Execute o seguinte comando para obter o ID da interface de rede da NVA.
NICID=$(az vm nic list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --query "[].{id:id}" --output tsv) echo $NICIDExecute o seguinte comando para obter o nome da interface de rede da NVA.
NICNAME=$(az vm nic show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --nic $NICID \ --query "{name:name}" --output tsv) echo $NICNAMEExecute o seguinte comando para ativar o reencaminhamento de endereços IP da interface de rede.
az network nic update --name $NICNAME \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --ip-forwarding true
Ativar o reencaminhamento de endereços IP na aplicação
Execute o seguinte comando para guardar o endereço IP público da máquina virtual NVA na variável
NVAIP.NVAIP="$(az vm list-ip-addresses \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \ --output tsv)" echo $NVAIPExecute o seguinte comando para ativar o reencaminhamento de endereços IP na NVA.
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'Quando lhe for pedido, introduza a palavra-passe que utilizou quando criou a máquina virtual.