Поделиться через

Руководство. Создание защищенной сети концентратора и периферийной сети

В этом руководстве описано, как создать топологию сети концентратора и периферийной сети с помощью Диспетчера виртуальных сетей Azure. Затем вы развернете шлюз виртуальной сети в центральной виртуальной сети, чтобы разрешить ресурсам в виртуальных сетях периферийных сетевых групп взаимодействовать с удаленными сетями с помощью VPN. Вы также настраиваете конфигурацию администратора безопасности для блокировки исходящего сетевого трафика в Интернет через порты 80 и 443. Наконец, убедитесь, что конфигурации были применены правильно, наблюдая за параметрами виртуальной сети и виртуальной машины.

Из этого руководства вы узнаете, как:

  • Создание нескольких виртуальных сетей.
  • Развертывание шлюза виртуальной сети.
  • Создайте топологию сети концентратора и периферийной сети.
  • Создайте конфигурацию администратора безопасности, блокируя трафик через порты 80 и 443.
  • Проверка примененных конфигураций.

Схема компонентов безопасной топологии концентратора и периферийной топологии.

Предварительные требования

Создание виртуальных сетей

В этой процедуре описывается создание трех виртуальных сетей для подключения между собой с использованием конфигурации сети типа 'концентратор-спицы'.

  1. Войдите на портал Azure.

  2. Выберите +Создать ресурс и выполните поиск по фразе Виртуальная сеть. Затем выберите Создать, чтобы начать настройку виртуальной сети.

  3. На вкладке Основные сведения введите или выберите указанные ниже значения параметров.

    Параметр Значение
    Отток подписок Выберите подписку, в которой требуется развернуть эту виртуальную сеть.
    Группа ресурсов Выберите или создайте группу ресурсов для хранения виртуальной сети. В этом кратком руководстве используется группа ресурсов с именем rg-learn-eastus-001.
    Имя. Введите vnet-learn-prod-eastus-001 для имени виртуальной сети.
    Область/регион Выберите регион "Восточная часть США ".

  4. Нажмите кнопку Далее: IP-адреса и настройте следующее сетевое адресное пространство:

    Параметр Значение
    Диапазон IPv4-адресов Введите 10.0.0.0/16 в качестве адресного пространства.
    Имя подсети Введите имя default для подсети.
    Адресное пространство подсети Введите адресное пространство подсети 10.0.0.0/24.

  5. Нажмите Просмотр и создание и выберите Создать, чтобы развернуть виртуальную сеть.

  6. Повторите шаги 2–5 и создайте еще две виртуальные сети в той же группе ресурсов с указанными ниже параметрами.

    Параметр Значение
    Отток подписок Выберите ту же подписку, которая была выбрана на шаге 3.
    Группа ресурсов Выберите rg-learn-eastus-001.
    Имя. Введите vnet-learn-prod-eastus-002 и vnet-learn-hub-eastus-001 для двух виртуальных сетей.
    Область/регион Выберите регион (США) Восточная часть США.
    IP-адреса vnet-learn-prod-eastus-002 Адресное пространство IPv4: 10.1.0.0/16
    Имя подсети: адресное пространство подсети по умолчанию
    : 10.1.0.0/24
    IP-адреса vnet-learn-hub-eastus-001 Адресное пространство IPv4: 10.2.0.0/16
    Имя подсети: адресное пространство подсети по умолчанию
    : 10.2.0.0/24

Создание подсети шлюза виртуальной сети

Создайте подсеть шлюза виртуальной сети в центральной виртуальной сети. Эта подсеть используется шлюзом виртуальной сети для маршрутизации трафика в виртуальную сеть и из нее.

  1. Перейдите в виртуальную сеть vnet-learn-eastus-001 и выберите подсети в разделе "Параметры".

  2. Выберите +Подсеть , чтобы создать новую подсеть.

  3. На странице "Добавление подсети " введите или выберите следующие сведения:

    Параметр Значение
    Назначение подсети Выберите шлюз виртуальной сети в раскрывающемся меню.
    IPv4
    Размер Выберите /27 в раскрывающемся меню.

  4. Выберите "Добавить " и проверьте создание новой подсети.

Примечание.

Подсеть шлюза — это специальная подсеть, используемая шлюзом виртуальной сети. Размер подсети шлюза должен быть не менее /27. Адресное пространство подсети шлюза не должно перекрываться с другими подсетями в виртуальной сети. Адресное пространство подсети шлюза должно быть подмножеством адресного пространства виртуальной сети. Эта подсеть шлюза должна называться GatewaySubnet. Если вы не назовете подсеть GatewaySubnet, шлюз виртуальной сети не сможет использовать его.

Развертывание шлюза виртуальной сети

Разверните шлюз виртуальной сети в виртуальной сети со звездообразной топологией. Этот шлюз виртуальной сети необходим для групп сети абонентской конфигурации, чтобы включить Использовать концентратор в качестве шлюза.

  1. Выберите +Создать ресурс и выполните поиск по фразе шлюз виртуальной сети. Затем выберите Создать, чтобы начать настройку шлюза виртуальной сети.

  2. На вкладке Основные сведения введите или выберите указанные ниже значения параметров.

    Параметр Значение
    Отток подписок Выберите подписку, в которой требуется развернуть эту виртуальную сеть.
    Имя. Введите gw-learn-hub-eastus-001 для имени шлюза виртуальной сети.
    Номер SKU Выберите VpnGW1 для номера SKU.
    Поколение Выберите поколение 1 для создания.
    Виртуальная сеть Выберите vnet-learn-hub-eastus-001 для виртуальной сети.
    Общедоступный IP-адрес
    Имя общедоступного IP-адреса Введите имя gwpip-learn-hub-eastus-001 для общедоступного IP-адреса.
    ВТОРОЙ ОБЩЕДОСТУПНЫЙ IP-АДРЕС
    Имя общедоступного IP-адреса Введите имя gwpip-learn-hub-eastus-002 для общедоступного IP-адреса.

  3. Нажмите Просмотр и создание и выберите Создать после прохождения проверки. Развертывание шлюза виртуальной сети может длиться до 30 минут. Пока вы ожидаете завершения развертывания, можно перейти к следующему разделу. Однако вы можете найти gw-learn-hub-eastus-001 не отображает, что у него есть шлюз из-за времени и синхронизации между портал Azure.

Создание сетевой группы

Примечание.

В этом руководстве предполагается, что вы создали экземпляр Azure Virtual Network Manager с помощью краткого руководства . Группа сети в этом руководстве называется ng-learn-prod-eastus-001.

  1. Перейдите к группе ресурсов и выберите ресурс network-manager .

  2. В разделе "Параметры" выберите группы "Сеть". Затем щелкните + Создать.

  3. На панели "Создать сетевую группу" и нажмите кнопку "Создать":

    Параметр Ценность
    Имя Введите сетевую группу.
    Описание (Необязательно) Укажите описание этой сетевой группы.
    Тип элемента Выберите виртуальную сеть в раскрывающемся меню.

  4. Убедитесь, что новая сетевая группа теперь указана на панели "Группы сети".

Определение динамического членства в группах с помощью политики Azure

  1. В списке сетевых групп выберите ng-learn-prod-eastus-001. В разделе "Создание политики" для динамического добавления участников выберите "Создать политику Azure".

  2. На странице "Создать Политика Azure" выберите или введите следующие сведения:

    Снимок экрана: вкладка

    Параметр Значение
    Имя политики В текстовом поле введите azpol-learn-prod-eastus-001 .
    Область Выберите "Выбрать области " и выберите текущую подписку.
    Критерии
    Параметр Выберите имя в раскрывающемся списке.
    Оператор Выберите "Содержит" в раскрывающемся списке.
    Состояние Введите -prod для условия в текстовом поле.

  3. Выберите ресурсы предварительной версии , чтобы просмотреть область "Действующие виртуальные сети" и нажмите кнопку "Закрыть". На этой странице показаны виртуальные сети, которые будут добавлены в группу сети на основе условий, определенных в Политика Azure.

  4. Нажмите кнопку "Сохранить", чтобы развернуть членство в группе. Для принятия в силу политики может потребоваться до одной минуты и добавить ее в группу сети.

  5. На странице "Группа сети" в разделе "Параметры" выберите "Участники группы", чтобы просмотреть членство в группе на основе условий, определенных в Политика Azure. Источник указан как azpol-learn-prod-eastus-001.

    Снимок экрана: членство в динамической группе в группе.

Создание конфигурации подключения к концентратору и периферийным устройствам

  1. Выберите "Конфигурации" в разделе "Параметры", а затем нажмите кнопку "+ Создать".

  2. Выберите конфигурацию подключения в раскрывающемся меню, чтобы начать создание конфигурации подключения.

  3. На странице "Основы" введите следующие сведения и нажмите кнопку "Далее: топология>".

    Параметр Значение
    Имя. Введите cc-learn-prod-eastus-001.
    Описание Необязательно: введите описание конфигурации подключения.

  4. На вкладке "Топология" выберите "Концентратор" и "Периферийный". Это показывает другие параметры.

  5. Выберите концентратор в разделе "Центр". Затем выберите vnet-learn-hub-eastus-001, чтобы он использовался в качестве центра конфигурации, и выберите Выбрать.

    Примечание.

    В зависимости от времени развертывания целевая виртуальная сеть концентратора может не отображаться с наличием шлюза в Has gateway. Это связано с развертыванием шлюза виртуальной сети. Развертывание может занять до 30 минут и может не отображаться сразу в различных представлениях портал Azure.

  6. В разделе "Периферийные сетевые группы" нажмите кнопку +Добавить. Затем выберите ng-learn-prod-eastus-001 как периферийную сетевую группу и выберите Выбрать.

  7. После добавления сетевой группы выберите указанные ниже значения параметров.

    Снимок экрана: параметров конфигурации сетевой группы.

    Параметр Значение
    Прямое подключение Установите флажок " Включить подключение" в группе сети. Этот параметр позволяет виртуальным сетям групп периферийных сетей в одном регионе напрямую взаимодействовать друг с другом.
    Глобальная сетка Оставьте флажок «Включить подключение к сетке в разных регионах»снятым. Этот параметр не требуется, так как обе периферийные виртуальные сети находятся в одном регионе.
    Концентратор в качестве шлюза Установите флажок для Концентратора в качестве шлюза.

  8. Нажмите кнопку "Далее": проверьте и создайте > конфигурацию подключения.

Развертывание конфигурации подключения

Перед развертыванием конфигурации подключения убедитесь, что успешно развернут шлюз виртуальной сети. Если вы развертываете конфигурацию "концентратор и периферийные узлы" с использованием концентратора в качестве шлюза, но при этом шлюз отсутствует, развертывание завершается сбоем. Дополнительные сведения об использовании концентратора в качестве шлюза см. здесь.

  1. Выберите "Развертывания" в разделе "Параметры", а затем выберите " Развернуть конфигурацию".

  2. Выберите указанные ниже значения параметров.

    Параметр Значение
    Конфигурации Выберите "Включить конфигурации подключения" в состояние цели.
    Конфигурации подключения Выберите cc-learn-prod-eastus-001.
    Целевые регионы Выберите восточную часть США в качестве региона развертывания.

  3. Нажмите кнопку "Далее", а затем нажмите кнопку "Развернуть", чтобы завершить развертывание.

  4. Развертывание отображается в списке для выбранного региона. Развертывание конфигурации может занять несколько минут.

    Снимок экрана: конфигурация в состоянии выполнения.

Создание конфигурации администратора безопасности

  1. Снова выберите "Конфигурация" в разделе "Параметры ", а затем нажмите кнопку "Создать" и выберите "Конфигурация администратора безопасности" в меню, чтобы начать создание конфигурации администратора безопасности.

  2. Введите имя sac-learn-prod-eastus-001 для конфигурации, а затем нажмите кнопку "Далее: коллекции правил".

  3. Введите имя rc-learn-prod-eastus-001 для коллекции правил и выберите ng-learn-prod-eastus-001 для целевой группы сети. Затем щелкните + Добавить.

  4. Введите и выберите следующие параметры, а затем нажмите Добавить:

    Снимок экрана: добавление страницы правил и параметров правила.

    Параметр Значение
    Имя. Ввод DENY_INTERNET
    Описание Введите это правило блокирует трафик в Интернет по ПРОТОКОЛу HTTP и HTTPS.
    Приоритет Введите 1
    Действие Выберите " Запретить"
    Направление Выбор исходящего трафика
    Протокол Выберите TCP.
    Источник
    Тип источника Выбор IP-адреса
    Исходные IP-адреса Введите *
    Назначение
    Тип назначения Выбор IP-адресов
    IP-адреса назначения Введите *
    Порт назначения Введите 80, 443

  5. Выберите "Добавить ", чтобы добавить коллекцию правил в конфигурацию администратора безопасности.

  6. Выберите "Проверить и создать", чтобы создать конфигурацию администратора безопасности.

Развертывание конфигурации управления безопасностью

  1. Выберите "Развертывания" в разделе "Параметры", а затем выберите " Развернуть конфигурации".

  2. В разделе "Конфигурации" выберите " Включить администратора безопасности" в состояние цели и конфигурацию sac-learn-prod-eastus-001 , созданную в последнем разделе. Затем выберите "Восточная часть США " в качестве целевого региона и нажмите кнопку "Далее".

  3. Нажмите кнопку "Далее" и "Развернуть". Вы увидите, что развертывание появилось в списке для выбранного региона. Развертывание конфигурации может занять несколько минут.

Проверка развертывания конфигураций

Проверка из виртуальной сети

  1. Перейдите в виртуальную сеть vnet-learn-prod-eastus-001 и выберите Network Manager в разделе "Параметры". На вкладке "Конфигурации подключения" перечислены конфигурации подключенияcc-learn-prod-eastus-001 , примененные в виртуальной сети.

    Снимок экрана: конфигурация подключения применена к виртуальной сети.

  2. Перейдите на вкладку "Конфигурации администратора безопасности" и разверните исходящий трафик , чтобы получить список правил администратора безопасности, примененных к этой виртуальной сети.

    Снимок экрана: конфигурация администратора безопасности, примененная к виртуальной сети.

  3. Перейдите к vnet-learn-hub-eastus-001 и выберите пиринги в разделе "Параметры" , чтобы получить список пирингов виртуальных сетей, созданных диспетчером виртуальных сетей Azure. Его имя начинается с ANM_.

    Снимок экрана: пиринги виртуальных сетей, созданные диспетчером виртуальных сетей Azure.

Проверка с виртуальной машины

  1. Разверните тестовую виртуальную машину в vnet-learn-prod-eastus-001.

  2. Перейдите к тестовой виртуальной машине, созданной в vnet-learn-prod-eastus-001 и выберите "Сеть" в разделе "Параметры". Выберите правила исходящего порта и убедитесь, что применяется правило DENY_INTERNET .

    Снимок экрана: правила сетевой безопасности тестовой виртуальной машины.

  3. Выберите имя сетевого интерфейса и выберите "Действующие маршруты" в разделе "Справка", чтобы проверить маршруты пиринга виртуальной сети. Маршрут 10.2.0.0/16 со типом следующего прыжка VNet peering — это маршрут к виртуальной сети концентратора.

Очистка ресурсов

Если вам больше не нужен диспетчер виртуальная сеть Azure, перед удалением ресурса необходимо убедиться, что все следующее имеет значение true:

  • Ни в одном регионе не развернута ни одна конфигурация.
  • Все конфигурации удалены.
  • Все сетевые группы удалены.

Используйте контрольный список компонентов удаления , чтобы убедиться, что дочерние ресурсы по-прежнему недоступны перед удалением группы ресурсов.

Следующие шаги

Узнайте, как блокировать сетевой трафик с помощью конфигурации управления безопасностью.

  • Last updated on