Scenario för virtuell installation
Ett vanligt scenario för större Azure-kunder är behovet av att tillhandahålla ett program med två nivåer som är exponerat mot Internet, samtidigt som åtkomst till back-nivån tillåts från ett lokalt datacenter. Det här dokumentet vägleder dig genom ett scenario med användardefinierade vägar (UDR), en VPN Gateway och virtuella nätverksutrustning för att distribuera en miljö med två nivåer som uppfyller följande krav:
- Webbprogrammet får endast vara tillgängligt från det offentliga Internet.
- Webbservern som är värd för programmet måste kunna komma åt en serverdelsprogramserver.
- All trafik från Internet till webbprogrammet måste gå via en virtuell brandväggsinstallation. Den här virtuella installationen kommer endast att användas för Internettrafik.
- All trafik som går till programservern måste gå via en virtuell brandväggsinstallation. Den här virtuella installationen kommer att användas för åtkomst till backend-servern och åtkomst som kommer in från det lokala nätverket via en VPN Gateway.
- Administratörer måste kunna hantera de virtuella brandväggsinstallationerna från sina lokala datorer med hjälp av en tredje virtuell brandväggsinstallation som endast används för hantering.
Det här är ett standardscenario för perimeternätverk (även kallat DMZ) med en DMZ och ett skyddat nätverk. Ett sådant scenario kan konstrueras i Azure med hjälp av NSG:er, virtuella brandväggsapparater eller en kombination av båda. Tabellen nedan visar några av för- och nackdelarna mellan NSG:er och virtuella brandväggsapparater.
| Fördelar | Nackdelar | |
|---|---|---|
| NSG | Ingen kostnad. Integrerad i Azure RBAC. Regler kan skapas i Azure Resource Manager mallar. |
Komplexiteten kan variera i större miljöer. |
| Brandvägg | Fullständig kontroll över dataplanet. Central hantering via brandväggskonsolen. |
Kostnaden för brandväggsinstallationen. Inte integrerat med Azure RBAC. |
Lösningen nedan använder brandväggens virtuella installationer för att implementera ett scenario med perimeternätverk (DMZ)/skyddat nätverk.
Överväganden
Du kan distribuera miljön som beskrivs ovan i Azure med hjälp av olika funktioner som är tillgängliga i dag, enligt följande.
- Virtuellt nätverk (VNet) . Ett azure-VNet fungerar på liknande sätt som ett lokalt nätverk och kan delas upp i ett eller flera undernät för att tillhandahålla trafikisolering och separering av problem.
- Virtuell installation. Flera partner tillhandahåller virtuella installationer i Azure Marketplace som kan användas för de tre brandväggar som beskrivs ovan.
- Användardefinierade vägar (UDR). Vägtabeller kan innehålla UDR:er som används av Azure-nätverk för att styra flödet av paket i ett VNet. Dessa vägtabeller kan tillämpas på undernät. En av de senaste funktionerna i Azure är möjligheten att använda en vägtabell för GatewaySubnet, vilket ger möjlighet att vidarebefordra all trafik som kommer till Det virtuella Azure-nätverket från en hybridanslutning till en virtuell installation.
- IP-vidarebefordran. Som standard vidarebefordrar Azure-nätverksmotorn paket till virtuella nätverkskort (NIC) endast om paketets mål-IP-adress matchar nätverkskortens IP-adress. Om en UDR definierar att ett paket måste skickas till en viss virtuell installation skulle Därför Azure-nätverksmotorn ta bort paketet. För att säkerställa att paketet levereras till en virtuell dator (i det här fallet en virtuell installation) som inte är det faktiska målet för paketet måste du aktivera IP-vidarebefordran för den virtuella installationen.
- Nätverkssäkerhetsgrupper (NSG:er). Exemplet nedan använder inte NSG:er, men du kan använda NSG:er som tillämpas på undernäten och/eller nätverkskorten i den här lösningen för att ytterligare filtrera trafiken in och ut från dessa undernät och nätverkskort.
I det här exemplet finns det en prenumeration som innehåller följande:
- 2 resursgrupper, som inte visas i diagrammet.
- ONPREMRG. Innehåller alla resurser som behövs för att simulera ett lokalt nätverk.
- AZURERG. Innehåller alla resurser som krävs för den virtuella Azure-nätverksmiljön.
- Ett VNet med namnet onpremvnet används för att efterlikna ett lokalt datacenter segmenterat enligt listan nedan.
- onpremsn1. Undernät som innehåller en virtuell dator (VM) som kör Ubuntu för att efterlikna en lokal server.
- onpremsn2. Undernät som innehåller en virtuell dator som kör Ubuntu för att efterlikna en lokal dator som används av en administratör.
- Det finns en virtuell brandväggsinstallation med namnet OPFW på onpremvnet som används för att underhålla en tunnel till azurevnet.
- Ett VNet med namnet azurevnet segmenterat enligt listan nedan.
- azsn1. Externa brandväggsundernät som endast används för den externa brandväggen. All Internettrafik kommer in via det här undernätet. Det här undernätet innehåller bara ett nätverkskort som är länkat till den externa brandväggen.
- azsn2. Undernät på frontend som är värd för en virtuell dator som körs som en webbserver och som kan nås från Internet.
- azsn3. Serverdelsundernät som är värd för en virtuell dator som kör en serverdelsprogramserver som kan nås av frontwebbservern.
- azsn4. Hanteringsundernät som endast används för att ge hanteringsåtkomst till alla virtuella brandväggar. Det här undernätet innehåller bara ett nätverkskort för varje virtuell brandväggsinstallation som används i lösningen.
- GatewaySubnet. Azure-hybridanslutningsundernät som krävs för ExpressRoute VPN Gateway för att tillhandahålla anslutning mellan virtuella Azure-nätverk och andra nätverk.
- Det finns tre virtuella brandväggar i azurevnet-nätverket.
- AZF1. Extern brandvägg exponerad för det offentliga Internet med hjälp av en offentlig IP-adressresurs i Azure. Du måste se till att du har en mall från Marketplace, eller direkt från din apparatleverantör, som förser dig med en virtuell 3-NIC-installation.
- AZF2. Intern brandvägg som används för att styra trafiken mellan azsn2 och azsn3. Det här är också en virtuell 3-NIC-installation.
- AZF3. Hanteringsbrandväggen är tillgänglig för administratörer från det lokala datacentret och är ansluten till ett hanteringsundernät som används för att hantera alla brandväggsapparater. Du hittar mallar för virtuell 2-NIC-installation på Marketplace eller begär en direkt från leverantören av enheten.
Användardefinierad routning (UDR)
Varje undernät i Azure kan länkas till en UDR-tabell som används för att definiera hur trafik som initieras i det undernätet dirigeras. Om inga UDR:er har definierats använder Azure standardvägar för att tillåta att trafik flödar från ett undernät till ett annat. Mer information om UDR:er finns i Vad är användardefinierade vägar och IP-vidarebefordran.
För att säkerställa att kommunikationen sker via rätt brandväggsinstallation, baserat på det sista kravet ovan, måste du skapa följande vägtabell som innehåller UDR:er i azurevnet.
azgwudr
I det här scenariot används den enda trafik som flödar från lokal plats till Azure för att hantera brandväggarna genom att ansluta till AZF3, och trafiken måste gå genom den interna brandväggen, AZF2. Därför krävs endast en väg i GatewaySubnet enligt nedan.
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.4.0/24 | 10.0.3.11 | Tillåter lokal trafik att nå hanteringsbrandväggen AZF3 |
azsn2udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.3.0/24 | 10.0.2.11 | Tillåter trafik till serverundernätet som är värd för programservern via AZF2 |
| 0.0.0.0/0 | 10.0.2.10 | Tillåter att all annan trafik dirigeras via AZF1 |
azsn3udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.2.0/24 | 10.0.3.10 | Tillåter trafik till azsn2 att flöda från appservern till webbservern via AZF2 |
Du måste också skapa vägtabeller för undernäten i onpremvnet för att efterlikna det lokala datacentret.
onpremsn1udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 192.168.2.0/24 | 192.168.1.4 | Tillåter trafik till onpremsn2 via OPFW |
onpremsn2udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.3.0/24 | 192.168.2.4 | Tillåter trafik till det undernät som stöds i Azure via OPFW |
| 192.168.1.0/24 | 192.168.2.4 | Tillåter trafik till onpremsn1 via OPFW |
IP-vidarebefordran
UDR och IP-vidarebefordran är funktioner som du kan använda i kombination för att tillåta att virtuella installationer används för att styra trafikflödet i ett virtuellt Azure-nätverk. En virtuell installation är helt enkelt en VM som kör ett program som används för att hantera nätverkstrafik på något sätt, som en brandvägg eller en NAT-enhet.
Den här virtuella installations-VM:en måste kunna ta emot inkommande trafik som inte är adresserad till den. För att låta en VM ta emot trafik som är adresserad till andra mål, behöver du aktivera IP-vidarebefordran för VM:en. Det är en Azure-inställning, inte en inställning i gästoperativsystemet. Den virtuella installationen måste fortfarande köra någon typ av program för att hantera inkommande trafik och dirigera den på rätt sätt.
Mer information om IP-vidarebefordran finns i Vad är användardefinierade vägar och IP-vidarebefordran.
Anta till exempel att du har följande konfiguration i ett azure-vnet:
- Undernätet onpremsn1 innehåller en virtuell dator med namnet onpremvm1.
- Undernätet onpremsn2 innehåller en virtuell dator med namnet onpremvm2.
- En virtuell installation med namnet OPFW är ansluten till onpremsn1 och onpremsn2.
- En användardefinierad väg som är länkad till onpremsn1 anger att all trafik till onpremsn2 måste skickas till OPFW.
Om onpremvm1 försöker upprätta en anslutning med onpremvm2 används nu UDR och trafiken skickas till OPFW som nästa hopp. Tänk på att det faktiska paketmålet inte ändras, men det står fortfarande onpremvm2 är målet.
Utan AKTIVERAD IP-vidarebefordran för OPFW släpper logiken för virtuella Azure-nätverk paketen, eftersom den endast tillåter att paket skickas till en virtuell dator om den virtuella datorns IP-adress är målet för paketet.
Med IP-vidarebefordran vidarebefordrar logiken för virtuella Azure-nätverk paketen till OPFW utan att ändra den ursprungliga måladressen. OPFW måste hantera paketen och avgöra vad de ska göra.
För att scenariot ovan ska fungera måste du aktivera IP-vidarebefordran på nätverkskorten för OPFW, AZF1, AZF2 och AZF3 som används för routning (alla nätverkskort utom de som är länkade till hanteringsundernätet).
Brandväggsregler
Enligt beskrivningen ovan säkerställer IP-vidarebefordran endast att paket skickas till de virtuella apparaterna. Enheten måste fortfarande bestämma vad du ska göra med dessa paket. I scenariot ovan måste du skapa följande regler i dina enheter:
OPFW
OPFW representerar en lokal enhet som innehåller följande regler:
- Väg: All trafik till 10.0.0.0/16 (azurevnet) måste skickas via tunneln ONPREMAZURE.
- Princip: Tillåt all dubbelriktad trafik mellan port2 och ONPREMAZURE.
AZF1
AZF1 representerar en virtuell Azure-installation som innehåller följande regler:
- Princip: Tillåt all dubbelriktad trafik mellan port1 och port2.
AZF2
AZF2 representerar en virtuell Azure-installation som innehåller följande regler:
- Princip: Tillåt all dubbelriktad trafik mellan port1 och port2.
AZF3
AZF3 representerar en virtuell Azure-installation som innehåller följande regler:
- Väg: All trafik till 192.168.0.0/16 (onpremvnet) måste skickas till Azure-gatewayens IP-adress (t.ex. 10.0.0.1) via port1.
Nätverkssäkerhetsgrupper (NSG:er)
I det här scenariot används inte NSG:er. Du kan dock använda NSG:er för varje undernät för att begränsa inkommande och utgående trafik. Du kan till exempel tillämpa följande NSG-regler på det externa FW-undernätet.
Inkommande
- Tillåt all TCP-trafik från Internet till port 80 på alla virtuella datorer i undernätet.
- Neka all annan trafik från Internet.
Utgående
- Neka all trafik till Internet.
Steg på hög nivå
Om du vill distribuera det här scenariot följer du de avancerade stegen nedan.
- Logga in på din Azure-prenumeration.
- Om du vill distribuera ett VNet för att efterlikna det lokala nätverket etablerar du resurserna som ingår i ONPREMRG.
- Etablera de resurser som ingår i AZURERG.
- Etablera tunneln från onpremvnet till azurevnet.
- När alla resurser har etablerats loggar du in på onpremvm2 och pingar 10.0.3.101 för att testa anslutningen mellan onpremsn2 och azsn3.