Руководство: создание защищенной звездообразной сети

  • Статья

В этом руководстве описано, как создать топологию концентратора и периферийной сети с помощью Azure виртуальная сеть Manager. Затем вы развернете шлюз виртуальной сети в концентраторе, чтобы разрешить ресурсам в периферийных виртуальных сетях взаимодействовать с удаленными сетями с помощью VPN. Кроме того, вы настроите конфигурацию безопасности для блокировки исходящего сетевого трафика в Интернет через порты 80 и 443. Наконец, убедитесь, что конфигурации были применены правильно, просматривая параметры виртуальной сети и виртуальной машины.

Внимание

Диспетчер виртуальная сеть Azure общедоступен для виртуальная сеть Manager, конфигураций подключения концентратора и периферийных подключений и конфигураций безопасности с правилами администратора безопасности. Конфигурации подключения сетки остаются в общедоступной предварительной версии.

Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендована для использования рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.

В этом руководстве описано следующее:

  • Создание нескольких виртуальных сетей.
  • Развертывание шлюза виртуальной сети.
  • Создание звездообразной топологии сети.
  • Создание конфигурации безопасности, блокирующей трафик через порты 80 и 443.
  • Проверка примененных конфигураций.

Схема компонентов безопасного концентратора и периферийной топологии.

Необходимые условия

Создание виртуальных сетей

В этой процедуре описывается создание трех виртуальных сетей, которые будут подключены с помощью концентратора и периферийной топологии сети.

  1. Войдите на портал Azure.

  2. Выберите +Создать ресурс и выполните поиск по фразе Виртуальная сеть. Затем выберите Создать, чтобы начать настройку виртуальной сети.

  3. На вкладке Основные сведения введите или выберите указанные ниже значения параметров.

    Снимок экрана: вкладка

    Параметр Значение
    Отток подписок Выберите подписку, в которой требуется развернуть эту виртуальную сеть.
    Группа ресурсов Выберите или создайте группу ресурсов для хранения виртуальной сети. В этом кратком руководстве используется группа ресурсов с именем rg-learn-eastus-001.
    Имя. Введите vnet-learn-prod-eastus-001 для имени виртуальной сети.
    Область/регион Выберите регион "Восточная часть США ".

  4. Нажмите кнопку Далее: IP-адреса и настройте следующее сетевое адресное пространство:

    Снимок экрана: вкладка

    Параметр Значение
    Диапазон IPv4-адресов Введите 10.0.0.0/16 в качестве адресного пространства.
    Имя подсети Введите имя default для подсети.
    Адресное пространство подсети Введите адресное пространство подсети 10.0.0.0/24.

  5. Нажмите Просмотр и создание и выберите Создать, чтобы развернуть виртуальную сеть.

  6. Повторите шаги 2–5 и создайте еще две виртуальные сети в той же группе ресурсов с указанными ниже параметрами.

    Параметр Значение
    Отток подписок Выберите ту же подписку, которая была выбрана на шаге 3.
    Группа ресурсов Выберите rg-learn-eastus-001.
    Имя. Введите vnet-learn-prod-eastus-002 и vnet-learn-hub-eastus-001 для двух виртуальных сетей.
    Область/регион Выберите регион (США) Восточная часть США.
    IP-адреса vnet-learn-prod-eastus-002 Адресное пространство IPv4: 10.1.0.0/16
    Имя подсети: адресное пространство подсети по умолчанию
    : 10.1.0.0/24
    IP-адреса vnet-learn-hub-eastus-001 Адресное пространство IPv4: 10.2.0.0/16
    Имя подсети: адресное пространство подсети по умолчанию
    : 10.2.0.0/24

Развертывание шлюза виртуальной сети

Разверните шлюз виртуальной сети в виртуальной сети со звездообразной топологией. Этот шлюз необходим для того, чтобы периферийные сети могли использовать концентратор в качестве шлюза.

  1. Выберите +Создать ресурс и выполните поиск по фразе шлюз виртуальной сети. Затем выберите Создать, чтобы начать настройку шлюза виртуальной сети.

  2. На вкладке Основные сведения введите или выберите указанные ниже значения параметров.

    Снимок экрана: вкладка

    Параметр Значение
    Отток подписок Выберите подписку, в которой требуется развернуть эту виртуальную сеть.
    Имя. Введите gw-learn-hub-eastus-001 для имени шлюза виртуальной сети.
    Номер SKU Выберите VpnGW1 для номера SKU.
    Поколение Выберите поколение 1 для создания.
    Виртуальная сеть Выберите vnet-learn-hub-eastus-001 для виртуальной сети.
    Общедоступный IP-адрес
    Имя общедоступного IP-адреса Введите имя gwpip-learn-hub-eastus-001 для общедоступного IP-адреса.
    ВТОРОЙ ОБЩЕДОСТУПНЫЙ IP-АДРЕС
    Имя общедоступного IP-адреса Введите имя gwpip-learn-hub-eastus-002 для общедоступного IP-адреса.

  3. Нажмите Просмотр и создание и выберите Создать после прохождения проверки. Развертывание шлюза виртуальной сети может длиться до 30 минут. Пока вы ожидаете завершения развертывания, можно перейти к следующему разделу. Однако вы можете найти gw-learn-hub-eastus-001 не отображает, что у него есть шлюз из-за времени и синхронизации между портал Azure.

Создание динамической сетевой группы

  1. Перейдите к экземпляру Диспетчера виртуальных сетей Azure. В этой статье предполагается, что вы создали его с помощью этого краткого руководства. Группа сети в этом руководстве называется ng-learn-prod-eastus-001.

  2. Выберите группы сети в Параметры, а затем нажмите кнопку +Создать, чтобы создать новую сетевую группу.

    Снимок экрана: кнопка

  3. На экране "Создание группы сети" введите следующие сведения:

    Снимок экрана: вкладка

    Параметр Значение
    Имя. Введите ng-learn-prod-eastus-001 для имени группы сети.
    Description Введите описание этой сетевой группы.

  4. Выберите "Создать", чтобы создать группу виртуальной сети.

  5. На странице "Группы сети" выберите созданную сетевую группу выше, чтобы настроить группу сети.

  6. На странице "Обзор" выберите "Создать Политика Azure" в разделе "Создать политику", чтобы динамически добавлять участников.

    Снимок экрана: определенная кнопка динамического членства.

  7. На странице "Создать Политика Azure" выберите или введите следующие сведения:

    Снимок экрана: вкладка

    Параметр Значение
    Имя политики В текстовом поле введите azpol-learn-prod-eastus-001 .
    Область Выберите "Выбрать области " и выберите текущую подписку.
    Критерии
    Параметр Выберите имя в раскрывающемся списке.
    Оператор Выберите "Содержит" в раскрывающемся списке.
    Condition Введите -prod для условия в текстовом поле.

  8. Выберите ресурсы предварительной версии, чтобы просмотреть страницу "Действующие виртуальные сети" и нажмите кнопку "Закрыть". На этой странице показаны виртуальные сети, которые будут добавлены в группу сети на основе условий, определенных в Политика Azure.

    Снимок экрана: страница

  9. Нажмите кнопку "Сохранить", чтобы развернуть членство в группе. Для принятия в силу политики может потребоваться до одной минуты и добавить ее в группу сети.

  10. На странице "Группа сети" в Параметры выберите "Участники группы", чтобы просмотреть членство в группе на основе условий, определенных в Политика Azure. Источник указан как azpol-learn-prod-eastus-001.

    Снимок экрана: членство в динамической группе в группе.

Создание конфигурации подключения со звездообразной топологией

  1. Выберите конфигурации в разделе Параметры, а затем нажмите кнопку +Создать.

  2. Выберите конфигурацию Подключение выключения в раскрывающемся меню, чтобы начать создание конфигурации подключения.

  3. На странице "Основы" введите следующие сведения и нажмите кнопку "Далее: топология>".

    Снимок экрана: страница добавления конфигурации подключения.

    Параметр Значение
    Имя. Введите cc-learn-prod-eastus-001.
    Description Необязательно: введите описание конфигурации подключения.

  4. На вкладке "Топология" выберите "Концентратор" и "Периферийный". Это показывает другие параметры.

    Снимок экрана: выбор концентратора в конфигурации подключения.

  5. Выберите концентратор в разделе "Центр". Затем выберите vnet-learn-hub-eastus-001 , чтобы служить сетевым концентратором и выбрать команду Select.

    Снимок экрана: выбор конфигурации концентратора.

    Примечание.

    В зависимости от времени развертывания может не отображаться виртуальная сеть целевого концентратора как шлюз в шлюзе Has. Это связано с развертыванием шлюза виртуальной сети. Развертывание может занять до 30 минут и может не отображаться сразу в различных представлениях портал Azure.

  6. В разделе "Периферийные сетевые группы" выберите + добавить. Затем выберите ng-learn-prod-eastus-001 для сетевой группы и нажмите кнопку "Выбрать".

    Снимок экрана: страница

  7. После добавления сетевой группы выберите указанные ниже значения параметров. Затем нажмите кнопку "Добавить", чтобы создать конфигурацию подключения.

    Снимок экрана: параметров конфигурации сетевой группы.

    Параметр Значение
    Прямое подключение Выберите проверка box для включения подключения в группе сети. Этот параметр позволяет периферийным виртуальным сетям в группе сети в одном регионе напрямую взаимодействовать друг с другом.
    Глобальная сетка Оставьте параметр "Включить подключение сетки" между регионамибез проверка. Этот параметр не требуется, так как оба периферийных устройства находятся в одном регионе.
    Концентратор в качестве шлюза Выберите проверка box для Концентратора в качестве шлюза.

  8. Нажмите кнопку "Далее": проверьте и создайте > конфигурацию подключения.

Развертывание конфигурации подключения

Перед развертыванием конфигурации подключения убедитесь, что успешно развернут шлюз виртуальной сети. При развертывании концентратора и периферийной конфигурации с использованием концентратора в качестве шлюза включен и нет шлюза, развертывание завершается сбоем. Дополнительные сведения об использовании концентратора в качестве шлюза см. здесь.

  1. Выберите развертывания в Параметры, а затем выберите "Развернуть конфигурацию".

    Снимок экрана: страница развертываний в Диспетчере сетей.

  2. Выберите указанные ниже значения параметров.

    Снимок экрана: страница развертывания конфигурации.

    Параметр Значение
    Конфигурации Выберите "Включить конфигурации подключения" в состояние цели.
    конфигурации Подключение тивности Выберите cc-learn-prod-eastus-001.
    Целевые регионы Выберите восточную часть США в качестве региона развертывания.

  3. Нажмите кнопку "Далее", а затем нажмите кнопку "Развернуть", чтобы завершить развертывание.

    Снимок экрана: сообщение о подтверждении развертывания.

  4. Развертывание отображается в списке для выбранного региона. Развертывание конфигурации может занять несколько минут.

    Снимок экрана: конфигурация в состоянии выполнения.

Создание конфигурации администратора безопасности

  1. Выберите "Конфигурация" в разделе Параметры еще раз, а затем нажмите кнопку "Создать" и выберите "Безопасность Администратор" в меню, чтобы начать создание конфигурации Security Администратор.

  2. Введите имя sac-learn-prod-eastus-001 для конфигурации, а затем нажмите кнопку "Далее: коллекции правил".

    Снимок экрана: страница конфигурации управления безопасностью.

  3. Введите имя rc-learn-prod-eastus-001 для коллекции правил и выберите ng-learn-prod-eastus-001 для целевой группы сети. Затем щелкните + Добавить.

    Снимок экрана: страница добавления коллекции правил.

  4. Введите и выберите следующие параметры, а затем нажмите Добавить:

    Снимок экрана: добавление страницы правил и параметров правила.

    Параметр Значение
    Имя. Ввод DENY_INTERNET
    Description Введите это правило блокирует трафик в Интернет по ПРОТОКОЛу HTTP и HTTPS.
    Приоритет Введите 1
    Действие Выберите " Запретить"
    Направление Выбор исходящего трафика
    Протокол Выберите TCP.
    Источник
    Source type Выбор IP-адреса
    Исходные IP-адреса Введите *
    Назначение
    Тип назначения Выбор IP-адресов
    IP-адреса назначения Введите *
    Порт назначения Введите 80, 443

  5. Нажмите кнопку "Добавить ", чтобы добавить коллекцию правил в конфигурацию.

    Снимок экрана: кнопка

  6. Выберите "Проверить и создать", чтобы создать конфигурацию администратора безопасности.

Развертывание конфигурации управления безопасностью

  1. Выберите "Развертывания" в Параметры, а затем выберите "Развернуть конфигурации".

  2. В разделе "Конфигурации" выберите " Включить администратора безопасности" в состояние цели и конфигурацию sac-learn-prod-eastus-001 , созданную в последнем разделе. Затем выберите "Восточная часть США " в качестве целевого региона и нажмите кнопку "Далее".

    Снимок экрана: развертывание конфигурации безопасности.

  3. Нажмите кнопку "Далее" и "Развернуть". Вы увидите, что развертывание появилось в списке для выбранного региона. Развертывание конфигурации может занять несколько минут.

Проверка развертывания конфигураций

Проверка из виртуальной сети

  1. Перейдите в виртуальную сеть vnet-learn-prod-eastus-001 и выберите Network Manager в Параметры. На вкладке "Конфигурации Подключение тивности" перечислены конфигурации подключения cc-learn-prod-eastus-001, примененные в виртуальной сети.

    Снимок экрана: конфигурация подключения применена к виртуальной сети.

  2. Перейдите на вкладку "Конфигурации администратора безопасности" и разверните исходящий трафик , чтобы получить список правил администратора безопасности, примененных к этой виртуальной сети.

    Снимок экрана: конфигурация администратора безопасности, примененная к виртуальной сети.

  3. Выберите пиринги в разделе Параметры, чтобы перечислить пиринги виртуальной сети, созданные виртуальная сеть Manager. Его имя начинается с ANM_.

    Снимок экрана: пиринг между виртуальными сетями, созданный Диспетчером виртуальных сетей.

Проверка из виртуальной машины

  1. Разверните тестовую виртуальную машину в vnet-learn-prod-eastus-001.

  2. Перейдите к тестовой виртуальной машине, созданной в vnet-learn-prod-eastus-001 и выберите "Сеть" в Параметры. Выберите правила исходящего порта и убедитесь, что применяется правило DENY_INTERNET .

    Снимок экрана: правила сетевой безопасности тестовой виртуальной машины.

  3. Выберите имя сетевого интерфейса и выберите "Действующие маршруты" в разделе "Справка", чтобы проверить маршруты пиринга виртуальной сети. Маршрут 10.2.0.0/16 со типом следующего прыжка VNet peering — это маршрут к виртуальной сети концентратора.

    Снимок экрана: действующие маршруты от сетевого интерфейса тестовой виртуальной машины.

Очистка ресурсов

Если вам больше не нужен диспетчер виртуальная сеть Azure, перед удалением ресурса необходимо убедиться, что все следующее имеет значение true:

  • Ни в одном регионе не развернута ни одна конфигурация.
  • Все конфигурации удалены.
  • Все сетевые группы удалены.

Чтобы перед удалением группу ресурсов убедиться, что доступных дочерних ресурсов нет, используйте контрольный список удаления компонентов.

Следующие шаги

Узнайте, как блокировать сетевой трафик с помощью конфигурации управления безопасностью.