Condividi tramite

Esercitazione: Creare una rete hub-spoke protetta

In questa esercitazione viene creata una topologia di rete hub-spoke usando Gestione rete virtuale di Azure. Si distribuisce quindi un gateway di rete virtuale nella rete virtuale hub per consentire alle risorse nelle reti virtuali dei gruppi di rete spoke di comunicare con reti remote tramite VPN. È anche possibile configurare una configurazione di amministratore della sicurezza per bloccare il traffico di rete in uscita verso Internet sulle porte 80 e 443. Infine, verificare che le configurazioni siano state applicate correttamente osservando le impostazioni della rete virtuale e della macchina virtuale.

In questa esercitazione, imparerai a:

  • Creare più reti virtuali.
  • Distribuire un gateway di rete virtuale.
  • Creare una topologia di rete hub-spoke.
  • Creare una configurazione dell'amministratore della sicurezza che blocca il traffico sulle porte 80 e 443.
  • Verificare che le configurazioni siano state applicate.

Diagramma dei componenti della topologia hub-spoke sicura.

Prerequisito

  • Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
  • Prima di poter completare i passaggi di questa esercitazione, è necessario creare un'istanza di Gestione rete virtuale di Azure. L'istanza deve includere le funzionalità di amministrazione della connettività e della sicurezza . Questa esercitazione usa un'istanza di Azure Virtual Network Manager denominata vnm-learn-eastus-001.

Creare reti virtuali

Questa procedura illustra come creare tre reti virtuali da connettere usando una configurazione di connettività hub-spoke.

  1. Accedere al portale di Azure.

  2. Selezionare + Crea una risorsa e cercare Rete virtuale. Quindi, selezionare quindi Crea per iniziare a configurare la rete virtuale.

  3. Nella scheda Dati principali, immettere o selezionare le informazioni seguenti.

    Impostazione valore
    Abbonamento Selezionare la sottoscrizione in cui si vuole distribuire la rete virtuale.
    Resource group Selezionare o creare un nuovo gruppo di risorse per archiviare la rete virtuale. Questo avvio rapido usa un gruppo di risorse denominato rg-learn-eastus-001.
    Nome Immettere vnet-learn-prod-eastus-001 come nome della rete virtuale.
    Region Selezionare l'area Stati Uniti orientali.

  4. Selezionare Avanti: Indirizzi IP e configurare lo spazio di indirizzi di rete seguente:

    Impostazione valore
    Spazio indirizzi IPv4 Immettere 10.0.0.0/16 come spazio indirizzi.
    Nome della subnet Immettere il nome predefinito per la subnet.
    Spazio degli indirizzi della subnet Immettere lo spazio indirizzi della subnet di 10.0.0.0/24.

  5. Selezionare Rivedi e crea e quindi Crea per distribuire la rete virtuale.

  6. Ripetere i passaggi da 2 a 5 per creare due reti virtuali nello stesso gruppo di risorse con le informazioni seguenti:

    Impostazione valore
    Abbonamento Selezionare la stessa sottoscrizione selezionata nel passaggio 3.
    Resource group Selezionare rg-learn-eastus-001.
    Nome Immettere vnet-learn-prod-eastus-002 e vnet-learn-hub-eastus-001 per le due reti virtuali.
    Region Selezionare (Stati Uniti) Stati Uniti orientali
    Gli indirizzi IP di vnet-learn-prod-eastus-002 Spazio indirizzi IPv4: 10.1.0.0/16
    Nome subnet: predefinito
    Spazio indirizzi subnet: 10.1.0.0/24
    Indirizzi IP vnet-learn-hub-eastus-001 Spazio indirizzi IPv4: 10.2.0.0/16
    Nome subnet: predefinito
    Spazio indirizzi subnet: 10.2.0.0/24

Creare una subnet del gateway di rete virtuale

Creare una subnet del gateway di rete virtuale nella rete virtuale hub. Questa subnet viene usata dal gateway di rete virtuale per instradare il traffico da e verso la rete virtuale.

  1. Passare alla rete virtuale vnet-learn-hub-eastus-001 e selezionare Subnet in Impostazioni.

  2. Selezionare + Subnet per creare una nuova subnet.

  3. Nella pagina Aggiungi subnet immettere o selezionare le informazioni seguenti:

    Impostazione valore
    Scopo della subnet Selezionare Gateway di rete virtuale dal menu a discesa.
    IPv4
    Misura Selezionare /27 dal menu a discesa.

  4. Selezionare Aggiungi e verificare che la nuova subnet sia stata creata.

Note

La subnet del gateway è una subnet speciale usata dal gateway di rete virtuale. Le dimensioni della subnet del gateway devono essere almeno /27. Lo spazio indirizzi della subnet del gateway non deve sovrapporsi ad altre subnet nella rete virtuale. Lo spazio degli indirizzi della subnet del gateway deve essere un subset dello spazio indirizzi della rete virtuale. Questa subnet del gateway deve essere denominata GatewaySubnet. Se non si assegna un nome alla subnet GatewaySubnet, il gateway di rete virtuale non sarà in grado di usarlo.

Distribuire un gateway di rete virtuale

Distribuire un gateway di rete virtuale nella rete virtuale hub. Questo gateway di rete virtuale è necessario perché i gruppi di rete spoke della configurazione della connettività possano abilitare l'impostazione Usa hub come gateway.

  1. Selezionare + Crea una risorsa e cercare Gateway di rete virtuale. Quindi, selezionare quindi Crea per iniziare a il gateway di rete virtuale.

  2. Nella scheda Informazioni di base, immettere o selezionare le impostazioni seguenti:

    Impostazione valore
    Abbonamento Selezionare la sottoscrizione in cui si vuole distribuire la rete virtuale.
    Nome Immettere gw-learn-hub-eastus-001 come nome del gateway di rete virtuale.
    Codice articolo (SKU) Selezionare VpnGW1 per lo SKU.
    Generation Selezionare Generation1 per la generazione.
    Rete virtuale Selezionare vnet-learn-hub-eastus-001 per la rete virtuale.
    Indirizzo IP pubblico
    Nome dell'indirizzo IP pubblico Immettere il nome gwpip-learn-hub-eastus-001 per l'indirizzo IP pubblico.
    SECONDO INDIRIZZO IP PUBBLICO
    Nome dell'indirizzo IP pubblico Immettere il nome gwpip-learn-hub-eastus-002 per l'indirizzo IP pubblico.

  3. Selezionare Rivedi e crea e quindi Crea dopo che la convalida è stata superata. La distribuzione di un gateway di rete virtuale può richiedere circa 30 minuti. È possibile passare alla sezione successiva mentre si attende il completamento di questa distribuzione. Tuttavia, è possibile che gw-learn-hub-eastus-001 non mostri che dispone di un gateway a causa di tempi e sincronizzazione nel portale di Azure.

Creare un gruppo di rete

Note

Questa guida pratica presuppone che sia stata creata un'istanza di Azure Virtual Network Manager usando la guida introduttiva . Il gruppo di rete in questa esercitazione è denominato ng-learn-prod-eastus-001.

  1. Passare al gruppo di risorse e selezionare la risorsa network-manager.

  2. In Impostazioni, selezionare Gruppi di rete. Selezionare quindi + Crea.

  3. Nel riquadro Crea un gruppo di rete, selezionare Crea:

    Impostazione Valore
    Nome Immettere network-group.
    Descrizione (Facoltativo) Fornire una descrizione di questo gruppo di rete.
    Tipo di membro Selezionare Rete virtuale dal menu a discesa.

  4. Verificare che il nuovo gruppo di rete sia ora elencato nel riquadro Gruppi di rete.

Definire l'appartenenza dinamica ai gruppi con Azure Policy

  1. Nell'elenco dei gruppi di rete, selezionare ng-learn-prod-eastus-001. In Crea criteri per aggiungere membri in modo dinamico selezionare Crea Criteri di Azure.

  2. Nella pagina Crea Criteri di Azure, selezionare o immettere le informazioni seguenti:

    Screenshot della scheda Crea istruzioni condizionali di un gruppo di rete.

    Impostazione valore
    Nome criteri Immettere azpol-learn-prod-eastus-001 nella casella di testo.
    Scope Selezionare Seleziona ambiti e scegliere la sottoscrizione corrente.
    Criteri
    Parametro Selezionare Nome nell'elenco a discesa.
    Operatore Selezionare Contiene nell'elenco a discesa.
    Condizione Immettere -prod per la condizione nella casella di testo.

  3. Selezionare Anteprima risorse per visualizzare il riquadro Reti virtuali valide e selezionare Chiudi. Questa pagina mostra le reti virtuali che verranno aggiunte al gruppo di rete in base alle condizioni definite in Criteri di Azure.

  4. Selezionare Salva per distribuire l'appartenenza al gruppo. L' applicazione del criterio e la sua aggiunta al gruppo di rete possono richiedere fino a un minuto.

  5. Nella pagina Gruppo di rete, in Impostazioni, selezionare Membri del gruppo per visualizzare l'appartenenza al gruppo in base alle condizioni definite in Criteri di Azure. Origine è elencato come azpol-learn-prod-eastus-001.

    Screenshot dell'appartenenza dinamica ai gruppi in Appartenenza a gruppi.

Creare una configurazione di connettività hub-spoke

  1. Selezionare Configurazioni, in Impostazioni, quindi selezionare + Crea .

  2. Selezionare Configurazione connettività dal menu a discesa per iniziare a creare una configurazione di connettività.

  3. Nella pagina Informazioni di base, immettere le informazioni seguenti e selezionare Avanti: Topologia >.

    Impostazione valore
    Nome Immettere cc-learn-prod-eastus-001.
    Descrizione (Facoltativo) Fornire una descrizione della configurazione di connettività.

  4. Nella scheda Topologia, selezionare Hub e Spoke. In questo modo vengono rivelate altre impostazioni.

  5. Scegliere Seleziona un hub in Impostazioni hub. Quindi selezionare vnet-learn-hub-eastus-001 per fungere da hub della configurazione e scegliere Seleziona.

    Note

    A seconda della tempistica della distribuzione, è possibile che la rete virtuale dell'hub di destinazione non venga visualizzata come gateway in Dispone di gateway. Ciò è dovuto alla distribuzione del gateway di rete virtuale. La distribuzione può richiedere fino a 30 minuti e potrebbe non essere visualizzata immediatamente nelle varie visualizzazioni del portale di Azure.

  6. In Gruppi di rete spoke selezionare + Aggiungi. Selezionare quindi ng-learn-prod-eastus-001 come gruppo di rete spoke e scegliere Seleziona.

  7. Dopo aver aggiunto il gruppo di rete, selezionare le opzioni seguenti.

    Screenshot delle impostazioni per la configurazione del gruppo di rete.

    Impostazione valore
    Connettività diretta Selezionare la casella di controllo Abilita connettività all'interno del gruppo di rete. Questa impostazione consente alle reti virtuali dei gruppi di rete spoke nella stessa area di comunicare tra loro direttamente.
    Mesh globale Lasciare deselezionata l'opzione Abilita connettività mesh tra aree. Questa impostazione non è necessaria perché entrambe le reti virtuali spoke si trovano nella stessa area.
    Hub come gateway Selezionare la casella di controllo Hub come gateway.

  8. Selezionare Avanti: Rivedi e crea > e quindi crea la configurazione della connettività.

Distribuire la configurazione della connettività

Assicurarsi che il gateway di rete virtuale sia stato distribuito correttamente prima di distribuire la configurazione della connettività. Se si distribuisce una configurazione hub-spoke con Usare l'hub come gateway abilitato e non è presente alcun gateway, la distribuzione ha esito negativo. Per altre informazioni, vedere Usare l'hub come gateway.

  1. Selezionare Distribuzioni in Impostazioni e quindi selezionare Distribuisci configurazione.

  2. Selezionare le impostazioni seguenti:

    Impostazione valore
    Configurazioni Selezionare Includi configurazioni di connettività nello stato dell'obiettivo.
    Configurazioni di connettività Selezionare cc-learn-prod-eastus-001.
    Aree di destinazione Selezionare Stati Uniti orientali come area di distribuzione.

  3. Selezionare Avanti e quindi Distribuisci per completare la distribuzione.

  4. La distribuzione viene visualizzata nell'elenco per l'area selezionata. Il completamento della distribuzione della configurazione può richiedere alcuni minuti.

    Screenshot dello stato della distribuzione della configurazione in corso.

Creare una configurazione di amministratore della sicurezza

  1. Selezionare di nuovo Configurazione in Impostazioni , quindi selezionare + Crea e selezionare Configurazione amministratore della sicurezza dal menu per iniziare a creare una configurazione di amministratore della sicurezza.

  2. Immettere il nome sac-learn-prod-eastus-001 per la configurazione, quindi selezionare Avanti: Raccolte regole.

  3. Immettere il nome rc-learn-prod-eastus-001 per la raccolta regole e selezionare ng-learn-prod-eastus-001 per il gruppo di rete di destinazione. Quindi selezionare + Aggiungi.

  4. Immettere e selezionare le impostazioni seguenti, quindi selezionare Aggiungi:

    Screenshot dell'aggiunta di una pagina delle regole e delle impostazioni delle regole.

    Impostazione valore
    Nome Immettere DENY_INTERNET
    Descrizione Immettere Questa regola blocca il traffico verso Internet su HTTP e HTTPS
    Priorità Immettere 1
    Azione Selezionare Nega
    Direction Selezionare In uscita
    Protocollo Selezionare TCP
    Origine
    Tipo di origine Selezionare IP
    Indirizzi IP di origine Immettere *
    Destinazione
    Tipo destinazione Selezionare Indirizzi IP
    Indirizzi IP di destinazione Immettere *
    Porta di destinazione Immettere 80, 443

  5. Selezionare Aggiungi per aggiungere la raccolta regole alla configurazione dell'amministratore della sicurezza.

  6. Selezionare Rivedi e crea e Crea per creare la configurazione dell'amministratore della sicurezza.

Distribuire la configurazione dell'amministratore della sicurezza

  1. Selezionare Distribuzioni in Impostazioni, e quindi Distribuisci configurazioni.

  2. In Configurazioni, selezionare Includi amministratore della sicurezza nello stato dell'obiettivo e la configurazione sac-learn-prod-eastus-001 creata nell'ultima sezione. Quindi, selezionare Stati Uniti orientali come area di destinazione e selezionare Avanti.

  3. Selezionare Avanti e quindi Distribuisci . La distribuzione dovrebbe ora essere visualizzata nell'elenco per l'area selezionata. Il completamento della distribuzione della configurazione può richiedere alcuni minuti.

Verificare la distribuzione delle configurazioni

Verificare da una rete virtuale

  1. Passare alla rete virtuale vnet-learn-prod-eastus-001 e selezionare Gestione rete in Impostazioni. La scheda Configurazioni connettività elenca la configurazione della connettività cc-learn-prod-eastus-001 applicata nella rete virtuale.

    Screenshot della configurazione della connettività applicata alla rete virtuale.

  2. Selezionare la scheda Configurazioni amministratore sicurezza ed espandere In uscita per elencare le regole di amministratore della sicurezza applicate a questa rete virtuale.

    Screenshot della configurazione dell'amministratore della sicurezza applicata alla rete virtuale.

  3. Passare a vnet-learn-hub-eastus-001 e selezionare Peerings in Impostazioni per elencare i collegamenti di rete virtuale creati da Azure Network Manager. Il nome inizia con ANM_.

    Screenshot dei peering di rete virtuale creati da Gestione rete virtuale di Azure.

Verificare da una macchina virtuale

  1. Distribuire una macchina virtuale di test in vnet-learn-prod-eastus-001.

  2. Passare alla macchina virtuale di test creata in vnet-learn-prod-eastus-001 e selezionare Rete in Impostazioni. Selezionare Regole porta in uscita e verificare che sia applicata la regola di DENY_INTERNET.

    Screenshot delle regole di sicurezza di rete della macchina virtuale di test.

  3. Selezionare il nome dell'interfaccia di rete e selezionare Route valide in Guida per verificare le route per i peering di rete virtuale. La route 10.2.0.0/16 con il tipo di hop successivo di VNet peering è la route alla rete virtuale hub.

Pulire le risorse

Se non si necessita più di Gestione rete virtuale di Azure, è necessario assicurarsi che tutte le operazioni seguenti siano vere prima di poter eliminare la risorsa:

  • Non esistono distribuzioni di configurazioni in nessuna area.
  • Tutte le configurazioni sono state eliminate.
  • Tutti i gruppi di rete sono stati eliminati.

Usare l'elenco di controllo per la rimozione dei componenti per assicurarsi che nessuna risorsa figlio sia ancora disponibile prima di eliminare il gruppo di risorse.

Passaggi successivi

Informazioni su come bloccare il traffico di rete con una configurazione di amministratore della sicurezza.