Anterior

Seguinte

Exercício - Implementar uma topologia de rede hub-spoke no Azure

Concluído

Você decidiu implantar sua infraestrutura de rede em uma configuração hub-spoke para seus recursos. Além disso, o seu departamento de RH interno quer alojar um novo sistema interno de RH que não deve ser acessível a partir da Internet. O sistema de RH deve ser acessível a todos na empresa, quer trabalhem na sede ou num escritório satélite.

Neste exercício, você implanta sua infraestrutura de rede e, em seguida, cria uma nova rede virtual para hospedar os servidores do novo sistema de RH da sua empresa.

Configurar ambiente

Essa implantação cria os recursos de rede do Azure correspondentes ao diagrama anterior. Com estes recursos implementados, pode adicionar a nova rede virtual de RH.

Crie as redes virtuais e sub-redes para os recursos do servidor. Execute o seguinte comando:

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

Criar um novo spoke na sua rede virtual

Pode criar a rede virtual com o portal do Azure, a CLI do Azure ou o Azure PowerShell. Vamos concluir o resto do exercício através do portal do Azure.

1. Inicie sessão no portal do Azure com a mesma conta que utilizou para ativar o sandbox.

2. No campo superior esquerdo do portal do Azure, selecione Criar um Recurso. O painel Criar um recurso é exibido.

3. Na caixa de pesquisa, digite Rede Virtual.

4. Selecione Rede Virtual no Marketplace. O painel Criar Rede Virtual é exibido.

5. Para começar a configurar a rede virtual, selecione Criar. O painel Criar rede virtual é exibido.

Configurar as definições da rede virtual

A experiência de criação de recursos no portal baseia-se num assistente que o orienta durante a configuração inicial da rede virtual.

1. Para criar a rede virtual, na guia Noções básicas , insira os seguintes valores para cada configuração.

   Definição	Value
   Detalhes do projeto
   Subscrição	Subscrição de Assistente
   Grupo de recursos	Na lista suspensa, selecione [nome do grupo de recursos da área restrita]
   Detalhes da instância
   Nome da rede virtual	HRappVnet
   País/Região	Deixe a região padrão.

2. Selecione a guia Endereços IP ou selecione Avançar > Próximo.

3. Insira os seguintes valores para cada configuração.

   Definição	Value
   Espaço de endereçamento IPv4	Substitua o endereço padrão por 10.10.0.0/16 na caixa de texto.
   Nome da sub-rede	Selecione o padrão. O painel Editar sub-rede é exibido. Insira os seguintes valores para cada configuração.

   Definição	Value
   Nome da sub-rede	HRsystems
   Endereço inicial	10.10.1.0/24

4. Selecione Guardar.

5. Selecione Rever + criar. Depois que a validação for aprovada, para iniciar o provisionamento da rede virtual, selecione Criar.

6. Após a conclusão bem-sucedida da implantação, selecione Ir para o recurso. Sua rede virtual chamada painel HRappVnet é exibida.

Configurar o peering de rede virtual do hub

Agora que você criou o terceiro spoke, você precisa configurar o emparelhamento de rede virtual entre o hub e os raios.

1. Vá para a página inicial do portal. Selecione Todos os recursos. O painel Todos os recursos é exibido.

   Deverá ver as redes virtuais HubVNet, WebVNet, QuoteVNet e HRappVnet.

2. Selecione HubVNet. O painel HubVnet é exibido.

3. No painel de menu esquerdo, em configurações, selecione Emparelhamentos. O painel Peerings do painel HubVnet é exibido.

4. Na barra de menu superior, selecione + Adicionar. O painel Adicionar emparelhamento é exibido para o HubVnet.

5. Na página Adicionar emparelhamento, selecione HRappVnet para Rede Virtual antes de concluir o restante da configuração de emparelhamento.

6. Insira os seguintes valores para cada configuração.

   Definição	Value
   Esta rede virtual
   Nome do link de emparelhamento	Digite gwPeering_hubVNet_HRappVnet. Este nome é o nome do link de emparelhamento de HubvNet para HRappVnet.
   Permitir que 'HubVnet' acesse 'HRappVnet'	Marque a caixa de seleção Permitir acesso.
   Permitir que 'HubVnet' receba tráfego encaminhado de 'HRappVnet'	Deixe a caixa de seleção desmarcada para Bloquear tráfego originado de fora desta rede virtual.
   Permitir que o gateway em 'HubVnet' encaminhe o tráfego para 'HRappVnet'	Deixe a caixa de seleção desmarcada.
   Habilite o 'HubVnet' para usar o gateway remoto do 'HRappVnet'	Deixe a caixa de seleção desmarcada.
   Rede virtual remota
   Nome do link de emparelhamento	gwPeering_HRappVnet_hubVNet. Esse nome é o nome do link de emparelhamento de HRappVnet para HubVnet.
   Modelo de implantação de rede virtual	Selecione o Gerenciador de recursos
   Subscrição	Selecione a Assinatura do Concierge
   Rede virtual	Selecione HRappVnet
   Permitir que 'HRappVnet' acesse 'HubVnet'	Marque a caixa de seleção Permitir acesso.
   Permitir que 'HRappVnet' receba tráfego encaminhado de 'HubVnet'	Deixe a caixa de seleção desmarcada para Bloquear tráfego originado de fora desta rede virtual.
   Permitir que o gateway em 'HRappVnet' encaminhe tráfego para 'HubVnet'	Deixar a caixa de seleção desmarcada
   Habilitar 'HRappVnet's para usar o gateway remoto 'HubVnet'	Deixar a caixa de seleção desmarcada

7. Para criar o emparelhamento, selecione Adicionar. O painel Peerings reaparece com o seu novo emparelhamento.

Colocou a rede virtual do hub com a rede virtual do spoke em modo de peering com êxito. Permitiu que o tráfego fosse reencaminhado do hub para o spoke através de um gateway de VPN na configuração.

Criar um grupo de segurança de rede para a rede virtual

Para configurar o fluxo de tráfego, crie um grupo de segurança de rede.

1. Vá para a página inicial do portal e selecione Criar um recurso. O painel Criar um recurso é exibido.

2. Na caixa de pesquisa, escreva grupo de segurança de rede e, em seguida, selecione a ligação com o mesmo título na lista. O painel Grupo de segurança de rede - Criar é exibido.

3. Para começar a configurar a rede virtual, selecione Criar. O grupo de segurança Criar rede é exibido.

4. Na guia Noções básicas, insira os seguintes valores para cada configuração.

   Definição	Value
   Detalhes do projeto
   Subscrição	Subscrição de Assistente
   Grupo de recursos	Na lista suspensa, selecione [nome do grupo de recursos da área restrita]
   Detalhes da instância
   Nome	Digite HRNsg
   País/Região	Deixe o local padrão.

5. Selecione Rever + criar.

6. Depois que a validação for aprovada, para implantar o grupo de segurança de rede, selecione Criar. O painel Visão geral do NSG é exibido.

7. Selecione Ir para o recurso e anote o NSG, HRNsg.

Agora você criou um grupo de segurança de rede que pode ser atribuído a cada uma das redes virtuais.

Associar o grupo de segurança de rede à nova rede virtual de RH

Agora irá associar o grupo de segurança de rede à rede virtual.

1. Se você fechou a janela HRNsg, vá para a página inicial do portal. Selecione Todos os recursos e selecione HRNsg. O painel HRNsg é exibido. Caso contrário, aceda ao passo seguinte.

2. No painel de menu esquerdo, em Configurações, selecione Sub-redes. O painel Sub-redes é exibido para o grupo de segurança de rede HRNsg.

3. Na barra de menu superior, selecione + Associado. O painel Sub-rede Associado é exibido.

4. Na lista suspensa Rede virtual, selecione HRappVnet.

5. Na lista suspensa Sub-rede, selecione HRsystems.

6. Para associar o grupo de segurança de rede, selecione OK. O painel Sub-redes do seu grupo de segurança de rede HRNsg reaparece.

Configurar a regra do grupo de segurança de rede para parar o tráfego de HTTP de entrada

Tem um requisito de segurança para permitir que a aplicação de RH seja alojada na rede virtual HRappVnet. Não deverá existir tráfego de HTTP de entrada a partir do spoke porque apenas os colaboradores internos precisam de acesso. Configure a regra do grupo de segurança de rede para cumprir este requisito.

1. Sobre o HRNsg | Página Sub-redes, selecione Regras de segurança de entrada em Configurações. O painel Regras de segurança de entrada é exibido para o grupo de segurança de rede HRNsg.

2. Na barra de menu superior, selecione + Adicionar. O painel Adicionar regra de segurança de entrada é exibido.

3. Insira os seguintes valores para cada configuração.

   Definição	Value
   Source	Na lista suspensa, selecione Qualquer.
   Intervalo de portas de origem	Deixar padrão de *.
   Destino	Na lista suspensa, selecione Etiqueta de serviço.
   Etiqueta do serviço de destino	Selecione VirtualNetwork.
   Serviço	Selecione Personalizado.
   Intervalos de portas de destino	Digite 80.443
   Protocolo	Selecione Qualquer.
   Ação	Selecione Negar.
   Prioridade	Introduza 100.
   Nome	Digite Block-Inbound-HTTP-HTTPS
   Description	Digite Bloquear tráfego HTTP e HTTPS de entrada do falado.

4. Para adicionar a regra, selecione Adicionar. O painel Regras de segurança de entrada reaparece para o seu grupo de segurança de rede.

Agora, bloqueou o acesso de HTTP de entrada a partir do spoke nas portas 80 e 443.

Neste cenário, criou uma rede virtual de spoke do Azure e, em seguida, colocou-a no modo de peering com uma rede virtual de hub existente. Depois, protegeu o tráfego deste spoke ao bloquear o acesso de entrada nas portas 80 e 443, ao mesmo tempo que garantiu que este podia ligar através do hub.

Continuar