Självstudie: Skapa ett skyddat nav- och ekernätverk

  • Artikel
  • 6 minuter för att läsa

I den här självstudien skapar du en nätverkstopologi med nav och ekrar med hjälp av Azure Virtual Network Manager. Sedan distribuerar du en virtuell nätverksgateway i det virtuella navnätverket så att resurser i de virtuella ekernätverken kan kommunicera med fjärranslutna nätverk via VPN. Du konfigurerar också en säkerhetskonfiguration för att blockera utgående nätverkstrafik till Internet på portarna 80 och 443. Slutligen kontrollerar du att konfigurationerna har tillämpats korrekt genom att titta på inställningarna för det virtuella nätverket och den virtuella datorn.

Viktigt

Azure Virtual Network Manager finns för närvarande i offentlig förhandsversion. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

I den här guiden får du lära dig att:

  • Skapa flera virtuella nätverk.
  • Distribuera en virtuell nätverksgateway.
  • Skapa en nätverkstopologi med nav och ekrar.
  • Skapa en säkerhetskonfiguration som blockerar trafik på port 80 och 443.
  • Kontrollera att konfigurationerna har tillämpats.

Förutsättning

Skapa virtuella nätverk

Den här proceduren går igenom hur du skapar tre virtuella nätverk. En kommer att vara i regionen USA, västra och de andra två är i regionen USA, östra.

  1. Logga in på Azure-portalen.

  2. Välj + Skapa en resurs och sök efter Virtuellt nätverk. Välj sedan Skapa för att börja konfigurera det virtuella nätverket.

    Skärmbild av sidan Skapa ett virtuellt nätverk.

  3. fliken Grundläggande anger eller väljer du följande information:

    Skärmbild av fliken Grunder för det virtuella nav- och ekernätverket.

    Inställning Värde
    Prenumeration Välj den prenumeration som du vill distribuera det här virtuella nätverket till.
    Resursgrupp Välj eller skapa en ny resursgrupp för att lagra det virtuella nätverket. I den här snabbstarten används en resursgrupp med namnet myAVNMResourceGroup.
    Name Ange VNet-A-WestUS som namn på det virtuella nätverket.
    Region Välj regionen USA, västra.

  4. Konfigurera följande adressutrymme för nätverket på fliken IP-adresser:

    Skärmbild av fliken IP-adresser för det virtuella nav- och ekernätverket.

    Inställning Värde
    IPv4-adressutrymme Ange 10.3.0.0/16 som adressutrymme.
    Namn på undernät Ange standardnamnet för undernätet.
    Adressutrymme för undernätet Ange adressutrymmet för undernätet 10.3.0.0/24.

  5. Välj Granska + skapa och välj sedan Skapa för att distribuera det virtuella nätverket.

    Skärmbild av valideringssidan för det virtuella nav- och ekernätverket.

  6. Upprepa steg 2–5 för att skapa ytterligare två virtuella nätverk i samma resursgrupp med följande information:

    Andra virtuella nätverket:

    • Namn: VNet-A-EastUS
    • Region: USA, östra
    • IPv4-adressutrymme: 10.4.0.0/16
    • Undernätsnamn: standard
    • Adressutrymme för undernätet: 10.4.0.0/24

    Tredje virtuella nätverk:

    • Namn: VNet-B-EastUS
    • Region: USA, östra
    • IPv4-adressutrymme: 10.5.0.0/16
    • Undernätsnamn: standard
    • Adressutrymme för undernätet: 10.5.0.0/24

Distribuera en virtuell nätverksgateway

Distribuera en virtuell nätverksgateway till det virtuella navnätverket. Den här virtuella nätverksgatewayen är nödvändig för att ekrarna ska kunna använda hubben som gatewayinställning.

  1. Välj + Skapa en resurs och sök efter Virtuell nätverksgateway. Välj sedan Skapa för att börja konfigurera den virtuella nätverksgatewayen.

    Skärmbild av sidan Skapa en virtuell nätverksgateway.

  2. fliken Grundläggande inställningar anger eller väljer du följande inställningar:

    Skärmbild av fliken För grundläggande inställningar för den virtuella nätverksgatewayen.

  3. Välj Granska + skapa och välj sedan Skapa när verifieringen har godkänts. Distributionen av en virtuell nätverksgateway kan ta cirka 30 minuter. Du kan gå vidare till nästa avsnitt medan du väntar på att distributionen ska slutföras.

    Skärmbild av valideringssidan för att skapa en virtuell nätverksgateway.

Skapa en nätverksgrupp

  1. Gå till din Azure Virtual Network Manager-instans. Den här självstudien förutsätter att du har skapat en med hjälp av snabbstartsguiden.

  2. Välj Nätverksgrupper under Inställningar och välj sedan + Lägg till för att skapa en ny nätverksgrupp.

    Skärmbild av knappen Lägg till en nätverksgrupp.

  3. På fliken Grundläggande anger du följande information:

    Skärmbild av fliken Skapa en nätverksgrupps grunder.

    Inställning Värde
    Namn Ange myNetworkGroupB som nätverksgruppnamn.
    Description Ange en beskrivning av den här nätverksgruppen.

  4. Välj fliken Villkorssatser. För Parameter väljer du Namn i listrutan. För Operator väljer du Innehåller. För Villkor anger du VNet-. Den här villkorssatsen lägger till de tre tidigare skapade virtuella nätverken i den här nätverksgruppen.

    Skärmbild av fliken skapa villkorsstyrda instruktioner för en nätverksgrupp.

  5. Välj Utvärdera om du behöver verifiera de valda virtuella nätverken.

    Skärmbild av sidan med effektiva virtuella nätverk.

  6. Välj Granska + skapa och välj sedan Skapa när valideringen har godkänts.

    Skärmbild av sidan för att skapa nätverksgruppsverifiering.

Skapa en konfiguration för nav- och ekeranslutning

  1. Välj Konfiguration under Inställningar och välj sedan + Lägg till en konfiguration.

    Skärmbild av knappen Lägg till en konfiguration för Nätverkshanteraren.

  2. Välj Anslutning från den nedrullningsna menyn.

    Skärmbild av listrutan konfiguration.

  3. Ange och välj följande information för anslutningskonfigurationen:

    Skärmbild av sidan Lägg till en anslutningskonfiguration.

    Inställning Värde
    Namn Ange HubA som namn på konfigurationen
    Description Ange en beskrivning av vad den här anslutningskonfigurationen kommer att göra.
    Topologi Välj Hub and spoke (Hubb och eker).

  4. När du väljer topologin Hub och spoke visas fler fält. Välj följande inställningar:

    Skärmbild av att välja en hubb för anslutningskonfigurationen.

    Inställningar Värde
    Hubb Välj VNet-A-West som det virtuella hubbnätverket.
    Befintliga peerings Lämna det här alternativet avmarkerat.
    Ekernätverksgrupper Välj Lägg till nätverksgrupper och lägg till myNetworkGroupB i konfigurationen.

  5. När du har lagt till nätverksgruppen väljer du följande alternativ. Välj sedan Lägg till för att skapa anslutningskonfigurationen.

    Skärmbild av inställningar för konfiguration av nätverksgrupp.

    Inställning Värde
    Transitivitet Markera kryssrutan för Aktivera peering i nätverksgruppen. Den här inställningen tillåter att virtuella ekernätverk i nätverksgruppen i samma region kommunicerar direkt med varandra.
    Global Mesh Lämna det här alternativet avmarkerat. Eftersom båda ekrarna finns i samma region krävs inte den här inställningen.
    Gateway Välj Använd hubb som gateway.

Distribuera anslutningskonfigurationen

Kontrollera att den virtuella nätverksgatewayen har distribuerats innan du distribuerar anslutningskonfigurationen. Om du distribuerar en hubb- och ekerkonfiguration med Använd hubben som en gateway aktiverad och det inte finns någon gateway kommer distributionen att misslyckas. Mer information finns i Använda hubb som en gateway.

  1. Välj Distributioner under Inställningar och välj sedan Distribuera en konfiguration.

    Skärmbild av sidan distributioner i Network Manager.

  2. Välj konfigurationstyp för Anslutning och HubA-konfigurationen som du skapade i det förra avsnittet. Välj sedan USA, västra och USA, östra som målregion och välj Distribuera.

    Skärmbild av sidan Distribuera en konfiguration.

  3. Välj OK för att bekräfta att du vill skriva över en befintlig konfiguration och distribuera säkerhetsadministratörskonfigurationen.

    Skärmbild av bekräftelsemeddelande för distribution.

  4. Distributionen bör nu visas i listan för dessa regioner. Distributionen av konfigurationen kan ta cirka 15–20 minuter att slutföra.

    Skärmbild av distributionslistan som pågår.

Skapa säkerhetskonfiguration

  1. Välj Konfiguration under Inställningar igen och välj sedan + Lägg till en konfiguration.

    Skärmbild av att lägga till en annan konfiguration för Network Manager.

  2. Välj SäkerhetMin på menyn för att börja skapa en SäkerhetAdmin-konfiguration.

    Skärmbild av SäkerhetAdmin i den nedrullningsna menyn.

  3. Ange namnet mySecurityConfig för konfigurationen och välj sedan + Lägg till en regelsamling.

    Skärmbild av konfigurationssidan för säkerhetsadministratören.

  4. Ange namnet myRuleCollection för regelsamlingen och välj myNetworkGroupB som målnätverksgrupp. Välj sedan + Lägg till en regel.

    Skärmbild av sidan Lägg till en regelsamling.

  5. Ange och välj följande inställningar och välj sedan Lägg till:

    Skärmbild av sidan Lägg till en regel.

  6. Välj Spara för att lägga till regelsamlingen i konfigurationen.

    Skärmbild av knappen Spara för en regelsamling.

  7. Välj Lägg till för att skapa säkerhetsadministratörskonfigurationen.

    Skärmbild av knappen Lägg till för att skapa konfigurationen.

Distribuera säkerhetsadministratörskonfigurationen

  1. Välj Distributioner under Inställningar och välj sedan Distribuera en konfiguration.

    Skärmbild av sidan säkerhetsdistributioner i Virtual Network Manager.

  2. Välj konfigurationstypen SecurityAdmin och konfigurationen mySecurityConfig som du skapade i det förra avsnittet. Välj sedan USA, västra och USA, östra som målregion och välj Distribuera.

    Skärmbild av distribution av en säkerhetskonfiguration.

  3. Välj OK för att bekräfta att du vill skriva över en befintlig konfiguration och distribuera säkerhetsadministratörskonfigurationen.

    Skärmbild av bekräftelsemeddelande för distribution av en säkerhetskonfiguration.

  4. Distributionen bör nu visas i listan för den valda regionen. Distributionen av konfigurationen kan ta cirka 15–20 minuter att slutföra.

    Skärmbild av den pågående säkerhetsdistributionen i distributionslistan.

Verifiera distributionen av konfigurationer

Verifiera från ett virtuellt nätverk

  1. Gå till det virtuella nätverket VNet-A-WestUS och välj Network Manager under Inställningar. Du ser att HubA-anslutningskonfigurationen tillämpas.

    Skärmbild av anslutningskonfigurationen som tillämpas på det virtuella nätverket.

  2. Välj Peerings under Inställningar. Du ser peering för virtuella nätverk som skapats av Virtual Network Manager med AVNM i namnet.

    Skärmbild av peering-program för virtuella nätverk som skapats Virtual Network Manager.

  3. Välj fliken SecurityAdmin för att se de säkerhetsadministratörsregler som tillämpas på det här virtuella nätverket.

    Skärmbild av säkerhetsadministratörsregler som tillämpas på det virtuella nätverket.

Verifiera från en virtuell dator

  1. Distribuera en Windows virtuell dator till VNet-A-EastUS.

  2. Gå till den virtuella testdatorn som skapades i VNet-A-EastUS och välj Nätverk under Inställningar. Välj Regler för utgående portar så ser du att säkerhetsadministratörsregeln tillämpas.

    Skärmbild av den virtuella testdatorns nätverkssäkerhetsregler.

  3. Välj nätverksgränssnittsnamnet.

    Skärmbild av den virtuella testdatorns nätverksinställningar.

  4. Välj sedan Gällande vägar under Support + felsökning för att se vägarna för peering-program för virtuella nätverk. Vägen 10.3.0.0/16 med nästa hopp för är vägen till det virtuella VNetGlobalPeering hubbnätverket. Vägen 10.5.0.0/16 med nästa hopp av är vägen till det andra virtuella ConnectedGroup ekernätverket. Alla virtuella ekernätverk kommer att finnas i en ConnectedGroup när Transitivity (Transitivity) är aktiverat.

    Skärmbild av effektiva vägar från nätverksgränssnittet för den virtuella testdatorn.

Rensa resurser

Om du inte längre behöver Azure Virtual Network Manager måste du kontrollera att följande stämmer innan du kan ta bort resursen:

  • Det finns inga distributioner av konfigurationer till någon region.
  • Alla konfigurationer har tagits bort.
  • Alla nätverksgrupper har tagits bort.

Använd checklistan ta bort komponenter för att se till att inga underordnade resurser fortfarande är tillgängliga innan du tar bort resursgruppen.

Nästa steg

Lär dig hur du blockerar nätverkstrafik med en säkerhetsadministratörskonfiguration.