Condividi tramite

Come distribuire la topologia hub-spoke con Firewall di Azure

Questo articolo illustra come distribuire una topologia hub-spoke con Firewall di Azure usando Gestione rete virtuale di Azure. Si crea un'istanza di Gestione rete virtuale di Azure o un gestore di rete e si implementano gruppi di rete per il traffico attendibile e non attendibile. Successivamente, si distribuisce una configurazione di connettività che definisce la topologia hub-spoke. Quando si distribuisce la configurazione della connettività, è possibile scegliere di aggiungere connettività diretta per la comunicazione attendibile tra reti virtuali spoke o richiedere alle reti virtuali spoke di comunicare tramite la rete virtuale hub. Per completare, distribuisci una configurazione di routing per instradare tutto il traffico a Azure Firewall, ad eccezione del traffico all'interno della stessa rete virtuale quando le reti virtuali sono considerate attendibili.

Molte organizzazioni usano Firewall di Azure per proteggere le reti virtuali da minacce e traffico indesiderato e instradano tutto il traffico a Firewall di Azure, ad eccezione del traffico attendibile all'interno della stessa rete virtuale. Tradizionalmente, la configurazione di uno scenario di questo tipo è complessa perché è necessario creare nuove route definite dall'utente per ogni nuova subnet e le tabelle di route hanno route definite dall'utente diverse. La gestione UDR in Gestione rete virtuale di Azure consente di ottenere facilmente questo scenario creando una regola di routing che instrada tutto il traffico a Firewall di Azure, ad eccezione del traffico all'interno della stessa rete virtuale e applicando facilmente questa regola tra le reti virtuali spoke.

Prerequisiti

  • Una sottoscrizione di Azure con le autorizzazioni per creare risorse nella sottoscrizione. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

  • Tre reti virtuali con subnet nella stessa area. Una rete virtuale è la rete virtuale hub, mentre le altre due sono le reti virtuali spoke.

    • Per questo esempio, la rete virtuale hub è denominata hub-vnet e le reti virtuali spoke sono spoke-vnet-1 e spoke-vnet-2.
    • La rete virtuale hub richiede una subnet per il Firewall di Azure denominato AzureFirewallSubnet.

  • Istanza di Azure Virtual Network Manager con funzionalità di routing e connettività definite dall'utente abilitate.

  • Tutte le reti virtuali configurate in una topologia hub-spoke tramite una configurazione di connettività o create manualmente.

  • Firewall di Azure nella rete virtuale hub. Per altre informazioni, vedere Distribuire e configurare il Firewall di Azure e i criteri usando il portale di Azure.

Creare un'istanza di Gestione reti virtuali

In questo passaggio si distribuisce un'istanza di Gestione reti virtuali con abilitato il routing definito dall'utente.

  1. Accedere al portale di Azure.

  2. Selezionare + Crea una risorsa e cercare Gestione reti. Selezionare quindi Gestione reti>Crea per iniziare la configurazione di Gestione reti virtuali.

  3. Nella scheda Dati principali, immettere o selezionare le informazioni seguenti e quindi selezionare Rivedi e crea.

    Impostazione valore
    Sottoscrizione Selezionare la sottoscrizione in cui si vuole distribuire Gestione reti virtuali.
    Gruppo di risorse Selezionare il gruppo di risorse contenente le reti virtuali e il firewall.
    Selezionare OK.
    Nome Immettere il nome per gestione reti.
    Area Selezionare Stati Uniti orientali (US) o un'area a scelta. Gestione reti virtuali può gestire le reti virtuali in qualsiasi area. L'area selezionata è la posizione in cui è distribuita l'istanza di Gestione reti virtuali.
    Descrizione (Facoltativo) Fornire una descrizione di questa istanza di Gestione reti virtuali e dell’attività che gestisce.
    Funzionalità Dall’elenco a discesa, selezionare Routing definito dall'utente e Connettività.

    Screenshot della finestra Crea una gestione reti con i valori per la connettività e il routing definito dall'utente.

  4. Selezionare la scheda Ambito di gestione o selezionare Avanti: Ambito di gestione> per continuare.

  5. Nella scheda Ambito di gestione, selezionare + Aggiungi.

  6. In Aggiungi ambiti scegliere la sottoscrizione o il gruppo di gestione, quindi scegliere Seleziona.

  7. Selezionare Rivedi e crea, quindi selezionare Crea per distribuire l'istanza di Gestione reti virtuali.

Creare un gruppo di rete con appartenenza manuale

In questa attività si crea un gruppo di rete con appartenenza manuale che include le reti virtuali spoke. I gruppi di rete vengono usati per gestire più reti virtuali in una singola configurazione.

  1. Nel portale di Azure selezionare l'istanza di gestione reti.

  2. In Impostazioni sul lato sinistro, selezionare Gruppi di rete e selezionare + Crea.

  3. Nel riquadro Crea un gruppo di rete, immettere le impostazioni seguenti e quindi selezionare Crea:

    Impostazione Valore
    Nome Immettere un nome per il gruppo di rete.
    Descrizione (Facoltativo) Immettere una descrizione per il gruppo di rete.
    Tipo di membro Selezionare Rete virtuale.

  4. Nella pagina Gruppi di reti, selezionare il gruppo di rete creato e quindi selezionare Aggiungi reti virtuali in Aggiungi membri manualmente.

  5. Nella finestra Aggiungi membri manualmente, selezionare Reti virtuali spoke, quindi selezionare Aggiungi.

    Importante

    Non aggiungere una rete virtuale hub a questo gruppo di rete. Se viene aggiunto come membro, non è possibile creare una configurazione di connettività della topologia gruppo a ruota con il gruppo. L'hub viene selezionato durante la creazione della configurazione connettività.

Creare una configurazione della connettività

In questa attività viene creata una configurazione di connettività che include il gruppo di rete e una raccolta di regole di gestione. È possibile scegliere di abilitare connettività diretta nella topologia gruppo a ruota, o lasciare passare tutte le comunicazioni attraverso la rete virtuale hub e il Firewall di Azure.

  1. Nell'istanza di gestione reti selezionare Configurazioni in Impostazioni, quindi selezionare Crea configurazione della connettività.

  2. Nella finestra Crea una configurazione di connettività, immettere Nome e Descrizione della configurazione della connettività nella scheda Informazioni di base, quindi selezionare Avanti: Topologia>.

  3. Nella scheda Topologia immettere o selezionare le impostazioni seguenti:

    Impostazione Valore
    Topologia Selezionare Gruppo a ruota.
    Hub Scegliere Selezionare un hub.
    Nella pagina Selezionare un hub, scegliere la rete virtuale hub e quindi Seleziona.
    Gruppi di rete spoke Scegliere + Aggiungi> Aggiungere gruppi di rete.
    Nella pagina Aggiungi gruppi di rete scegliere il gruppo di rete e quindi scegliere Seleziona.

  4. Dall'elenco Gruppi di rete spoke è possibile scegliere di abilitare Connettività diretta o Mesh globale. La connettività diretta consente alle reti virtuali spoke di comunicare direttamente tra loro. Mesh globale consente a tutte le reti virtuali di comunicare tra loro. Lasciare deselezionati questi risultati in tutte le reti virtuali spoke che comunicano tramite la rete virtuale hub e il firewall di Azure.

    Importante

    Se si abilita la connettività diretta, è necessario disporre di una configurazione di routing con routing diretto all'interno della rete virtuale. Se si abilita mesh globale, è necessario avere una configurazione di routing con mesh globale abilitata.

    Screenshot di Creare una configurazione di connettività per gruppo a ruota con connettività diretta.

  5. Scegliere Avanti: Visualizzazione > per rivedere la configurazione della connettività, quindi selezionare Rivedi e crea>Crea.

Distribuire la configurazione di connettività

In questa attività si distribuisce la configurazione della connettività per creare la topologia gruppo a ruota.

  1. Nell'istanza di gestione reti selezionare Configurazioni in Impostazioni, quindi selezionare la configurazione di connettività creata.

  2. Nella barra delle applicazioni selezionare Distribuisci.

  3. Nella finestra Distribuisci una configurazione selezionare la configurazione di connettività creata e selezionare le Aree di destinazione in cui si vuole distribuire la configurazione.

    Importante

    La topologia gruppo a ruota viene creata nelle aree selezionate. Assicurarsi di selezionare le aree in cui vengono distribuite le reti virtuali gruppo a ruota.

  4. Selezionare Avanti o la scheda Rivedi e distribuisci, quindi selezionare Distribuisci.

  5. Selezionare Distribuzioni in Impostazioni e verificare che la distribuzione abbia avuto esito positivo.

Creare una configurazione di routing e una raccolta di regole

In questa attività viene creata una configurazione di routing e una raccolta di regole che include il gruppo di rete spoke. Le configurazioni del routing definiscono le regole di gestione per il traffico tra reti virtuali.

  1. Nell'istanza di Gestione reti, selezionare Configurazioni in Impostazioni.

  2. Nella pagina Crea una configurazione di routing immettere il nome e la descrizione della configurazione di routing nella scheda Informazioni di base , quindi selezionare Avanti: Raccolta regole >.

  3. Selezionare Aggiungi nella scheda Raccolte regole.

  4. Nella finestra Aggiungi una raccolta regole immettere o selezionare le impostazioni seguenti per la raccolta regole:

    Impostazione Valore
    Nome Immettere un nome per la raccolta regole.
    Descrizione (Facoltativo) Immettere una descrizione per la raccolta di regole.
    Impostazione della route locale Selezionare Routing diretto all'interno della rete virtuale.
    Abilitare la propagazione della route BGP (Facoltativo) Selezionare Abilita propagazione route BGP se si vuole abilitare la propagazione della route BGP (Border Gateway Protocol).
    Gruppo di rete di destinazione Selezionare il gruppo di rete spoke.

  5. In Regole di gestione selezionare Aggiungi per creare una nuova regola di gestione.

  6. Nella finestra Aggiungi una regola di gestione immettere o selezionare le impostazioni seguenti per la regola di gestione:

    Impostazione Valore
    Nome Inserire un nome per la regola di gestione.
    Destinazione
    Tipo di destinazione Selezionare Indirizzo IP.
    indirizzi IP di destinazione/intervalli CIDR Immettere 0.0.0.0/0.
    Hop successivo
    Tipo hop successivo Selezionare Appliance virtuale.
    Selezionare Importa indirizzo IP privato del Firewall di Azure
    Firewall di Azure Selezionare il Firewall di Azure, quindi scegliere Seleziona.

  7. Selezionare Aggiungi per aggiungere la regola di gestione alla raccolta regole.

  8. Selezionare Aggiungi per aggiungere la raccolta regole alla configurazione di routing.

  9. Selezionare Rivedi + Crea e quindi Crea.

Distribuire la configurazione del routing

In questa attività si distribuisce la configurazione di routing per creare le regole di routing per la topologia hub-and-spoke.

  1. Nell'istanza di Gestione reti, selezionare Distribuzioni in Impostazioni.
  2. Selezionare Distribuisci configurazioni e poi Configurazione routing - Anteprima.
  3. Nella finestra Distribuisci una configurazione selezionare la configurazione di routing creata e selezionare le aree di destinazione in cui si vuole distribuire la configurazione.
  4. Selezionare Avanti o Rivedi e distribuisci per rivedere la distribuzione, quindi selezionare Distribuisci.

Eliminare tutte le risorse

Se le risorse create in questo articolo non sono più necessarie, eliminarle per evitare di incorrere in costi aggiuntivi.

  1. Accedere al portale di Azure e selezionare Gruppi di risorse.
  2. Selezionare il gruppo di risorse contenente le risorse da eliminare.

Passaggi successivi

Altre informazioni sulla gestione delle route definite dall'utente in Gestione rete virtuale di Azure. Informazioni su come usare la gestione delle route definite dall'utente in Gestione rete virtuale di Azure. Informazioni su come gestire più topologie hub-spoke in Gestione rete virtuale di Azure.