教學課程:建立安全的中樞和輪輻網路
在本教學課程中,您會使用 Azure 虛擬網絡 Manager 建立中樞和輪輻網路拓撲。 接著,您會在中樞虛擬網路中部署虛擬網路網關,以允許輪輻虛擬網路中的資源使用 VPN 與遠端網路通訊。 此外,您也可以設定安全性設定,以封鎖埠 80 和 443 上的因特網輸出網路流量。 最後,您可以查看虛擬網路和虛擬機設定,確認已正確套用組態。
重要
Azure 虛擬網絡 Manager 通常適用於 虛擬網絡 管理員、中樞和輪輻連線設定,以及具有安全性系統管理員規則的安全性設定。 網格聯機設定仍為公開預覽狀態。
此預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
在本教學課程中,您會了解如何:
- 建立多個虛擬網路。
- 部署虛擬網路閘道。
- 建立中樞和輪輻網路拓撲。
- 建立封鎖埠 80 和 443 上流量的安全性設定。
- 確認已套用組態。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 您必須先建立 Azure 虛擬網絡 Manager 實例,才能完成本教學課程中的步驟。 實例必須包含 連線 性和安全性管理功能。 本教學課程使用名為 vnm-learn-eastus-001 的 虛擬網絡 Manager 實例。
建立虛擬網路
此程式會逐步引導您建立三個將使用中樞和輪輻網路拓撲聯機的虛擬網路。
登入 Azure 入口網站。
選取 [+ 建立資源 ],然後搜尋 [虛擬網络]。 然後選取 [ 建立 ] 以開始設定虛擬網路。
在 [基本] 索引標籤上,輸入或選取下列資訊:
設定 值 訂用帳戶 選取您要將此虛擬網路部署至的訂用帳戶。 資源群組 選取或建立新的資源群組來儲存虛擬網路。 本快速入門使用名為 rg-learn-eastus-001 的資源群組。 名稱 輸入 vnet-learn-prod-eastus-001 以取得虛擬網路名稱。 區域 選取 [美國東部] 區域。 選取 [下一步:IP 位址 ],並設定下列網路位址空間:
![中樞和輪輻虛擬網路的 [IP 位址] 索引標籤螢幕快照。](media/create-virtual-network-manager-portal/create-vnet-ip.png)
設定 值 IPv4 位址空間 輸入 10.0.0.0/16 作為地址空間。 子網路名稱 輸入子網的名稱 預設值 。 子網路位址空間 輸入 10.0.0.0/24 的子網地址空間。 選取 [ 檢閱 + 建立 ],然後選取 [ 建立 ] 以部署虛擬網络。
重複步驟 2-5,以使用下列資訊,將兩個更多虛擬網路建立至相同的資源群組:
設定 值 訂用帳戶 選取您在步驟 3 中選取的相同訂用帳戶。 資源群組 選取 rg-learn-eastus-001。 名稱 針對兩個虛擬網路,輸入 vnet-learn-prod-eastus-002 和 vnet-learn-hub-eastus-001 。 區域 選取 (美國) 美國東部 vnet-learn-prod-eastus-002 IP 位址 IPv4 位址空間:10.1.0.0/16
子網名稱:預設
子網位址空間:10.1.0.0/24vnet-learn-hub-eastus-001 IP 位址 IPv4 位址空間:10.2.0.0/16
子網名稱:預設
子網位址空間:10.2.0.0/24
部署虛擬網路閘道
將虛擬網路閘道部署至中樞虛擬網路。 輪輻需要此虛擬網路網關,才能 使用中樞作為閘道 設定。
選取 [+ 建立資源] 並搜尋 [虛擬網路閘道]。 然後選取 [建立 ] 以開始設定虛擬網路閘道。
在 [ 基本] 索引 標籤上,輸入或選取下列設定:
設定 值 訂用帳戶 選取您要將此虛擬網路部署至的訂用帳戶。 名稱 輸入 虛擬網路網關名稱的 gw-learn-hub-eastus-001 。 SKU 針對 SKU 選取 [VpnGW1 ]。 世代 針對世代選取 [Generation1 ]。 虛擬網路 選取 VNet 的 vnet-learn-hub-eastus-001 。 公用 IP 位址 公用 IP 位址名稱 輸入公用IP的名稱 gwpip-learn-hub-eastus-001 。 第二個公用IP位址 公用 IP 位址名稱 輸入公用IP的名稱 gwpip-learn-hub-eastus-002 。 選取 [ 檢閱 + 建立 ],然後選取 [驗證通過之後建立 ]。 虛擬網路閘道的部署可能需要大約30分鐘的時間。 在等候此部署完成時,您可以移至下一節。 不過,您可能會發現 gw-learn-hub-eastus-001 不會顯示它具有閘道,因為 Azure 入口網站 的時間和同步。
建立動態網路群組
移至您的 Azure 虛擬網絡 Manager 實例。 本教學課程假設您已使用 快速入門 指南建立一個。 本教學課程中的網路群組稱為 ng-learn-prod-eastus-001。
選取 [設定 下的 [網络群組],然後選取 [+ 建立] 以建立新的網络群組。
在 [ 建立網络群組 ] 畫面上,輸入下列資訊:
![[建立網络群組] 頁面上 [基本] 索引卷標的螢幕快照。](media/create-virtual-network-manager-portal/create-network-group.png)
設定 值 名稱 輸入 ng-learn-prod-eastus-001 以取得網路組名。 描述 提供此網路群組的描述。 選取 [建立 ] 以建立虛擬網路群組。
從 [ 網络群組] 頁面,選取上方建立的網路群組來設定網路群組。
在 [概觀] 頁面上,選取 [建立原則] 底下的 [建立 Azure 原則 以動態新增成員。
在 [建立 Azure 原則] 頁面上,選取或輸入下列資訊:
設定 值 原則名稱 在文本框中輸入 azpol-learn-prod-eastus-001 。 範圍 選取 [ 選取範圍] ,然後選擇您目前的訂用帳戶。 準則 參數 從下拉式清單中選取 [名稱 ]。 運算子 從下拉式清單中選取 [包含 ]。 Condition 在 文字框中輸入 -prod 條件。 選取 [預覽資源 ] 以檢視 [ 有效虛擬網络] 頁面,然後選取 [ 關閉]。 此頁面會根據 Azure 原則 中定義的條件,顯示要新增至網路群組的虛擬網路。
![[有效虛擬網络] 頁面的螢幕快照,其中包含條件語句的結果。](media/create-virtual-network-manager-portal/effective-virtual-networks.png)
選取 [ 儲存 ] 以部署群組成員資格。 原則最多可能需要一分鐘的時間才會生效,並新增至您的網路群組。
在 [網络群組] 頁面的 [設定] 底下,選取 [群組成員] 以根據 Azure 原則 中定義的條件來檢視群組的成員資格。 來源會列為 azpol-learn-prod-eastus-001。
建立中樞和輪輻聯機設定
選取 [設定 下的 [組態],然後選取 [+ 建立]。
從下拉功能表中選取 [連線 ivity 組態],以開始建立連線設定。
在 [ 基本] 頁面上,輸入下列信息,然後選取 [下一步:拓撲 >]。
設定 值 名稱 輸入 cc-learn-prod-eastus-001。 描述 (選擇性) 提供此連線設定的相關描述。 在 [拓撲] 索引標籤上,選取 [中樞] 和 [輪輻]。 這會顯示其他設定。
選取 [中樞] 設定下的 [選取中樞]。 然後,選取 vnet-learn-hub-eastus-001 作為您的網络中樞,然後選取 [ 選取]。
注意
根據部署的時間而定,您可能看不到目標中樞虛擬網路,因為具有閘道底下的 閘道。 這是因為虛擬網路閘道的部署。 部署最多可能需要 30 分鐘的時間,而且可能不會立即顯示在各種 Azure 入口網站 檢視中。
在 [輪輻網络群組] 底下,選取 [+ 新增]。 然後,針對網路群組選取 ng-learn-prod-eastus-001 ,然後選取 [ 選取]。
![[新增網络群組] 頁面的螢幕快照。](media/create-virtual-network-manager-portal/add-network-group-configuration.png)
新增網路群組之後,請選取下列選項。 然後選取 [新增] 以建立連線設定。
設定 值 直接 連線 選取 [在網络群組內啟用連線] 複選框。 此設定可讓相同區域中網路群組中的輪輻虛擬網路直接與彼此通訊。 全域網格 取消核取 [跨區域啟用網格連線] 選項。 此設定並非必要,因為兩個輪輻位於相同的區域中 中樞作為閘道 選取 [中樞] 作為閘道的複選框。 選取 [ 下一步:檢閱 + 建立 > ],然後建立連線設定。
部署連線設定
在部署連線設定之前,請確定已成功部署虛擬網路閘道。 如果您使用啟用中樞 作為閘道,且沒有閘道 ,則部署會失敗。 如需詳細資訊,請參閱 使用中樞作為閘道。
選取 [設定 下的 [部署],然後選取 [部署組態]。
選取下列設定:
設定 值 設定 選取 [ 在您的目標狀態中包含連線設定 ]。 連線 ivity 設定 選取 cc-learn-prod-eastus-001。 目標區域 選取 [美國 東部] 作為部署區域。 選取 [ 下一步 ],然後選取 [部署 ] 來完成部署。
部署會顯示在所選取區域的清單中。 設定的部署可能需要幾分鐘的時間才能完成。
建立安全性系統管理員設定
再次選取 [設定] 下的 [組態],然後選取 [+ 建立],然後從功能表中選取 [安全性 管理員],開始建立 [安全性 管理員 組態]。
輸入組態的名稱 sac-learn-prod-eastus-001 ,然後選取 [ 下一步:規則集合]。
![[安全性 管理員 組態] 頁面的螢幕快照。](media/tutorial-create-secured-hub-and-spoke/security-admin-configuration.png)
輸入規則集合的名稱 rc-learn-prod-eastus-001 ,然後針對目標網路群組選取 ng-learn-prod-eastus-001 。 然後選取 [+ 新增]。
輸入並選取下列設定,然後選取 [ 新增]:
設定 值 名稱 輸入 DENY_INTERNET 描述 輸入 此規則會封鎖 HTTP 和 HTTPS 上因特網的流量 優先順序 輸入 1 動作 選取 [拒絕] 方向 選取 輸出 通訊協定 選取 [TCP] 來源 來源類型 選取 IP 來源 IP 位址 輸入 * 目的地 目的地類型 選取 IP位址 目的地 IP 位址 輸入 * 目的地連接埠 輸入 80,443 選取 [新增 ] 以將規則集合新增至組態。
![規則集合的 [儲存] 按鈕螢幕快照。](media/tutorial-create-secured-hub-and-spoke/save-rule-collection.png)
選取 [ 檢閱 + 建立 ] 和 [建立 ] 以建立安全性系統管理員設定。
部署安全性系統管理員設定
選取 [設定 下的 [部署],然後選取 [部署組態]。
在 [設定] 下,選取 [在您的目標狀態中包含安全性系統管理員],以及您在上一節中建立的 sac-learn-prod-eastus-001 組態。 然後選取 [美國 東部] 作為目標區域,然後選取 [ 下一步]。
選取 [下一步],然後選取 [部署]。 您現在應該會看到部署顯示在所選區域的清單中。 設定的部署可能需要幾分鐘的時間才能完成。
確認組態的部署
從虛擬網路進行驗證
移至 vnet-learn-prod-eastus-001 虛擬網络,然後選取 [設定 下的 [網络管理員]。 [連線 ivity 設定] 索引標籤會列出虛擬網络中套用的 cc-learn-prod-eastus-001 聯機設定
選取 [ 安全性系統管理員設定 ] 索引標籤,然後展開 [輸出 ] 以列出套用至此虛擬網路的安全性管理員規則。
選取 [設定 下的 [對等互連],以列出 虛擬網絡 Manager 所建立的虛擬網络對等互連。 其名稱開頭為 ANM_。
從 VM 驗證
將測試虛擬機 部署到 vnet-learn-prod-eastus-001。
移至 vnet-learn-prod-eastus-001 中建立的測試 VM,然後選取 [設定 底下的 [網络]。 選取 [ 輸出埠規則 ],並確認已 套用DENY_INTERNET 規則。
選取網路介面名稱,然後選取 [說明] 底下的 [有效路由],以驗證虛擬網络對等互連的路由。下
10.2.0.0/16一個躍點類型的VNet peering路由是中樞虛擬網路的路由。
清除資源
如果您不再需要 Azure 虛擬網絡 Manager,您必須先確定下列所有專案都成立,才能刪除資源:
- 沒有任何組態部署至任何區域。
- 所有組態都已刪除。
- 所有網路群組都已刪除。
使用移除元件檢查清單,確定刪除資源群組之前,仍然沒有可用的子資源。
下一步
瞭解如何使用 安全性系統管理員設定封鎖網路流量。