Öğretici: Güvenli merkez ve uç ağı oluşturma
Bu öğreticide, Azure Sanal Ağ Manager'ı kullanarak bir merkez-uç ağ topolojisi oluşturacaksınız. Ardından uç sanal ağlarındaki kaynakların VPN kullanarak uzak ağlarla iletişim kurmasına izin vermek için merkez sanal ağına bir sanal ağ geçidi dağıtırsınız. Ayrıca, 80 ve 443 bağlantı noktalarında İnternet'e giden ağ trafiğini engellemek için bir güvenlik yapılandırması yapılandırabilirsiniz. Son olarak, sanal ağ ve sanal makine ayarlarına bakarak yapılandırmaların doğru uygulandığını doğrularsınız.
Önemli
Azure Sanal Ağ Manager genel olarak Sanal Ağ Yöneticisi, merkez-uç bağlantı yapılandırmaları ve güvenlik yöneticisi kurallarıyla güvenlik yapılandırmaları için kullanılabilir. Mesh bağlantı yapılandırmaları genel önizlemede kalır.
Önizleme sürümü bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yüklerinde kullanılması önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Birden çok sanal ağ oluşturun.
- Sanal ağ geçidi dağıtma.
- Merkez-uç ağ topolojisi oluşturma.
- 80 ve 443 numaralı bağlantı noktasında trafiği engelleyen bir güvenlik yapılandırması oluşturun.
- Yapılandırmaların uygulandığını doğrulayın.
Önkoşul
- Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
- Bu öğreticideki adımları tamamlayabilmeniz için önce bir Azure Sanal Ağ Manager örneği oluşturmanız gerekir. Örneğin Bağlan ivity ve Security admin özelliklerini dahil etmesi gerekir. Bu öğreticide vnm-learn-eastus-001 adlı bir Sanal Ağ Yöneticisi örneği kullanılmıştır.
Sanal ağlar oluşturma
Bu yordam, merkez-uç ağ topolojisi kullanılarak bağlanacak üç sanal ağ oluşturma işleminde size yol gösterir.
Azure Portal’ında oturum açın.
+ Kaynak oluştur'u seçin ve Sanal ağ araması yapın. Ardından oluştur'u seçerek sanal ağı yapılandırmaya başlayın.
Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:
Ayar Value Abonelik Bu sanal ağı dağıtmak istediğiniz aboneliği seçin. Kaynak grubu Sanal ağı depolamak için yeni bir kaynak grubu seçin veya oluşturun. Bu hızlı başlangıçta rg-learn-eastus-001 adlı bir kaynak grubu kullanılır. Veri Akışı Adı Sanal ağ adı olarak vnet-learn-prod-eastus-001 girin. Bölge Doğu ABD bölgesini seçin. İleri: IP Adresleri'ni seçin ve aşağıdaki ağ adresi alanını yapılandırın:
Ayar Value IPv4 adres alanı Adres alanı olarak 10.0.0.0/16 girin. Alt ağ adı Alt ağ için varsayılan adı girin. Alt ağ adres alanı 10.0.0.0/24 alt ağ adres alanını girin. Gözden geçir ve oluştur'u ve ardından Oluştur'u seçerek sanal ağı dağıtın.
Aşağıdaki bilgilerle aynı kaynak grubunda iki sanal ağ daha oluşturmak için 2-5 arası adımları yineleyin:
Ayar Value Abonelik 3. adımda seçtiğiniz aboneliği seçin. Kaynak grubu rg-learn-eastus-001 öğesini seçin. Veri Akışı Adı İki sanal ağ için vnet-learn-prod-eastus-002 ve vnet-learn-hub-eastus-001 girin. Bölge (ABD) Doğu ABD'yi seçin vnet-learn-prod-eastus-002 IP adresleri IPv4 adres alanı: 10.1.0.0/16
Alt ağ adı: varsayılan
Alt ağ adres alanı: 10.1.0.0/24vnet-learn-hub-eastus-001 IP adresleri IPv4 adres alanı: 10.2.0.0/16
Alt ağ adı: varsayılan
Alt ağ adres alanı: 10.2.0.0/24
Sanal ağ geçidi dağıtma
Merkez sanal ağına bir sanal ağ geçidi dağıtın. Bu sanal ağ geçidi, Hub'ı ağ geçidi ayarı olarak kullan'a yönelik uçlar için gereklidir.
+ Kaynak oluştur'u seçin ve Sanal ağ geçidi araması yapın. Ardından Sanal ağ geçidini yapılandırmaya başlamak için Oluştur'u seçin.
Temel Bilgiler sekmesinde aşağıdaki ayarları girin veya seçin:
Ayar Value Abonelik Bu sanal ağı dağıtmak istediğiniz aboneliği seçin. Veri Akışı Adı Sanal ağ geçidi adı için gw-learn-hub-eastus-001 girin. SKU SKU için VpnGW1'i seçin. Nesil Nesil için Nesil1'i seçin. Sanal ağ Sanal ağ için vnet-learn-hub-eastus-001'i seçin. Genel IP Adresi Genel IP adresi adı Genel IP için gwpip-learn-hub-eastus-001 adını girin. İKINCI GENEL IP ADRESI Genel IP adresi adı Genel IP için gwpip-learn-hub-eastus-002 adını girin. Gözden geçir + oluştur'u ve ardından Doğrulama geçtikten sonra oluştur'u seçin. Sanal ağ geçidi dağıtımı yaklaşık 30 dakika sürebilir. Bu dağıtımın tamamlanmasını beklerken sonraki bölüme geçebilirsiniz. Ancak gw-learn-hub-eastus-001'in Azure portalında zamanlaması ve eşitlemesi nedeniyle ağ geçidi olduğunu göstermediğini görebilirsiniz.
Dinamik ağ grubu oluşturma
Azure Sanal Ağ Manager örneğine gidin. Bu öğreticide, hızlı başlangıç kılavuzunu kullanarak bir tane oluşturduğunuz varsayılır. Bu öğreticideki ağ grubuna ng-learn-prod-eastus-001 adı verilir.
Ayarlar altında Ağ grupları'na tıklayın ve ardından + Oluştur'u seçerek yeni bir ağ grubu oluşturun.
Ağ grubu oluştur ekranında aşağıdaki bilgileri girin:
Ayar Değer Veri Akışı Adı Ağ grubu adı olarak ng-learn-prod-eastus-001 girin. Açıklama Bu ağ grubu hakkında bir açıklama sağlayın. Sanal ağ grubunu oluşturmak için Oluştur'u seçin.
Ağ grupları sayfasında, ağ grubunu yapılandırmak için yukarıdan oluşturulan ağ grubunu seçin.
Genel Bakış sayfasında, Dinamik olarak üye eklemek için ilke oluştur'un altında Azure İlkesi oluştur'u seçin.
Azure İlkesi oluştur sayfasında aşağıdaki bilgileri seçin veya girin:
Ayar Value İlke adı Metin kutusuna azpol-learn-prod-eastus-001 yazın. Kapsam Kapsamları Seç'i seçin ve geçerli aboneliğinizi seçin. Ölçütler Parametre Açılan listeden Ad'ı seçin. Operatör Açılan listeden İçerir'i seçin. Koşul Metin kutusuna koşul için -prod girin. Etkin sanal ağlar sayfasını görüntülemek için Kaynakları önizle'yi ve ardından Kapat'ı seçin. Bu sayfa, Azure İlkesi'de tanımlanan koşullara göre ağ grubuna eklenecek sanal ağları gösterir.
Grup üyeliğini dağıtmak için Kaydet'i seçin. İlkenin geçerli olması ve ağ grubunuz için eklenmesi bir dakika kadar sürebilir.
Ayarlar altındaki Ağ Grubu sayfasında Grup Üyeleri'ni seçerek grup üyeliğini Azure İlkesi'de tanımlanan koşullara göre görüntüleyin. Kaynak azpol-learn-prod-eastus-001 olarak listelenir.
Merkez-uç bağlantı yapılandırması oluşturma
Ayarlar altında Yapılandırmalar'ı ve ardından + Oluştur'u seçin.
Bağlantı yapılandırması oluşturmaya başlamak için açılan menüden Bağlan ivity configuration öğesini seçin.
Temel Bilgiler sayfasında aşağıdaki bilgileri girin ve İleri: Topoloji'yi >seçin.
Ayar Değer Veri Akışı Adı cc-learn-prod-eastus-001 girin. Açıklama (İsteğe bağlı) Bu bağlantı yapılandırması hakkında bir açıklama sağlayın. Topoloji sekmesinde Merkez ve Uç'a tıklayın. Bu, diğer ayarları gösterir.
Hub ayarı altında Merkez seçin'i seçin. Ardından vnet-learn-hub-eastus-001'i seçerek ağ hub'ınız olarak görev yapın ve Seç'i seçin.
Not
Dağıtımın zamanlamasına bağlı olarak, hedef hub sanal ağını Has gateway altında bir ağ geçidine sahip olarak göremeyebilirsiniz. Bunun nedeni sanal ağ geçidinin dağıtımıdır. Dağıtımı 30 dakika kadar sürebilir ve çeşitli Azure portalı görünümlerinde hemen görüntülenmeyebilir.
Uç ağ grupları'nın altında + ekle'yi seçin. Ardından ağ grubu için ng-learn-prod-eastus-001 öğesini seçin ve Seç'i seçin.
Ağ grubunu ekledikten sonra aşağıdaki seçenekleri belirleyin. Ardından ekle'yi seçerek bağlantı yapılandırmasını oluşturun.
Ayar Value Doğrudan Bağlan üretkenlik Ağ grubu içinde bağlantıyı etkinleştir onay kutusunu seçin. Bu ayar, aynı bölgedeki ağ grubundaki uç sanal ağlarının birbirleriyle doğrudan iletişim kurmasını sağlar. Global Mesh Bölgeler arasında ağ bağlantısını etkinleştir seçeneğini işaretsiz bırakın. Her iki uç da aynı bölgede olduğundan bu ayar gerekli değildir Ağ geçidi olarak hub Ağ geçidi olarak Hub onay kutusunu seçin. İleri: gözden geçir + oluştur'u > seçin ve ardından bağlantı yapılandırmasını oluşturun.
Bağlantı yapılandırmasını dağıtma
Bağlantı yapılandırmasını dağıtmadan önce sanal ağ geçidinin başarıyla dağıtıldığından emin olun. Hub ve uç yapılandırmasını Ağ geçidi olarak kullan özelliği etkin olarak dağıtırsanız ve ağ geçidi yoksa dağıtım başarısız olur. Daha fazla bilgi için bkz . Hub'ı ağ geçidi olarak kullanma.
Ayarlar altında Dağıtımlar'ı ve ardından Yapılandırmayı dağıt'ı seçin.
Aşağıdaki ayarları seçin:
Ayar Value Yapılandırmalar Bağlantı yapılandırmalarını hedef durumunuzla ekle seçeneğini belirleyin. Bağlan ivity yapılandırmaları cc-learn-prod-eastus-001'i seçin. Hedef bölgeler Dağıtım bölgesi olarak Doğu ABD'yi seçin. dağıtımı tamamlamak için İleri'yi ve ardından Dağıt'ı seçin.
Dağıtım, seçilen bölgenin listesinde görüntülenir. Yapılandırma dağıtımının tamamlanması birkaç dakika sürebilir.
Güvenlik yöneticisi yapılandırması oluşturma
yeniden Ayarlar altında Yapılandırma'yı seçin, ardından + Oluştur'u seçin ve ardından bir Güvenlik Yönetici yapılandırması oluşturmaya başlamak için menüden Güvenlik Yönetici'yi seçin.
Yapılandırma için sac-learn-prod-eastus-001 adını girin ve İleri: Kural koleksiyonları'nı seçin.
Kural koleksiyonu için rc-learn-prod-eastus-001 adını girin ve hedef ağ grubu için ng-learn-prod-eastus-001'i seçin. Ardından + Ekle'yi seçin.
Aşağıdaki ayarları girin ve seçin, ardından Ekle'yi seçin:
Ayar Değer Veri Akışı Adı DENY_INTERNET girin Açıklama Bu kural HTTP ve HTTPS'de İnternet'e gelen trafiği engeller girin Öncelik 1 girin Eylem Reddet'i seçin Yön Giden'i seçin Protokol TCP’yi seçin Kaynak Source type IP'yi seçin Kaynak IP adresleri * girin Hedef Hedef türü IP adreslerini seçme Hedef IP adresleri * girin Hedef bağlantı noktası 80, 443 girin Kural koleksiyonunu yapılandırmaya eklemek için Ekle'yi seçin.
Güvenlik yöneticisi yapılandırmasını oluşturmak için Gözden geçir + oluştur ve Oluştur'u seçin.
Güvenlik yöneticisi yapılandırmasını dağıtma
Ayarlar altında Dağıtımlar'ı ve ardından Yapılandırmaları dağıt'ı seçin.
Yapılandırmalar'ın altında Hedef durumunuzdaki güvenlik yöneticisini dahil et'i ve son bölümde oluşturduğunuz sac-learn-prod-eastus-001 yapılandırmasını seçin. Ardından hedef bölge olarak Doğu ABD'yi ve ardından İleri'yi seçin.
İleri'yi ve ardından Dağıt'ı seçin. Şimdi seçilen bölge için dağıtımın listede gösterildiğini görmeniz gerekir. Yapılandırma dağıtımının tamamlanması birkaç dakika sürebilir.
Yapılandırmaların dağıtımını doğrulama
Sanal ağdan doğrulama
vnet-learn-prod-eastus-001 sanal ağına gidin ve Ayarlar altında Ağ Yöneticisi'netıklayın. Bağlan ivity configurations sekmesi, sanal ağa uygulanan cc-learn-prod-eastus-001 bağlantı yapılandırmasını listeler
Bu sanal ağa uygulanan güvenlik yöneticisi kurallarını listelemek için Güvenlik yöneticisi yapılandırmaları sekmesini seçin ve Giden'i genişletin.
Sanal Ağ Yöneticisi tarafından oluşturulan sanal ağ eşlemelerini listelemek için Ayarlar altında Eşlemeler'i seçin. Adı ANM_ ile başlar.
VM'den doğrulama
Test sanal makinesinivnet-learn-prod-eastus-001'e dağıtın.
vnet-learn-prod-eastus-001'de oluşturulan test VM'sine gidin ve Ayarlar altında Ağ'ı seçin. Giden bağlantı noktası kuralları'nı seçin ve DENY_INTERNET kuralının uygulandığını doğrulayın.
Sanal ağ eşlemelerinin yollarını doğrulamak için ağ arabirimi adını seçin ve Yardım'ın altında Geçerli yollar'ı seçin.
10.2.0.0/16
Sonraki Atlama Türü olanVNet peering
yol, merkez sanal ağına giden yoldur.
Kaynakları temizleme
Azure Sanal Ağ Yöneticisi'ne artık ihtiyacınız yoksa, kaynağı silmeden önce aşağıdakilerin tümünün doğru olduğundan emin olmanız gerekir:
- Yapılandırmaların herhangi bir bölgeye dağıtımı yoktur.
- Tüm yapılandırmalar silindi.
- Tüm ağ grupları silindi.
Sonraki adımlar
Güvenlik yöneticisi yapılandırmasıyla ağ trafiğini engellemeyi öğrenin.