Scenario för virtuell installation
Ett vanligt scenario bland större Azure-kunder är behovet av att tillhandahålla ett program med två nivåer som exponeras för Internet, samtidigt som åtkomst till servernivån från ett lokalt datacenter tillåts. Det här dokumentet vägleder dig genom ett scenario med routningstabeller, en VPN Gateway och virtuella nätverksinstallationer för att distribuera en miljö med två nivåer som uppfyller följande krav:
Webbprogrammet måste endast vara tillgängligt från det offentliga Internet.
Webbservern som är värd för programmet måste kunna komma åt en serverdelsprogramserver.
All trafik från Internet till webbprogrammet måste gå via en virtuell brandväggsinstallation. Den här virtuella installationen används endast för Internettrafik.
All trafik som går till programservern måste gå via en virtuell brandväggsinstallation. Den här virtuella installationen används för åtkomst till serverdelens serverdelsserver och åtkomst som kommer in från det lokala nätverket via en VPN Gateway.
Administratörer måste kunna hantera de virtuella brandväggsinstallationerna från sina lokala datorer med hjälp av en tredje virtuell brandväggsinstallation som endast används i hanteringssyfte.
Det här exemplet är ett standardscenario för perimeternätverk (även kallat DMZ) med en DMZ och ett skyddat nätverk. Ett sådant scenario kan konstrueras i Azure med hjälp av NSG:er, virtuella brandväggsinstallationer eller en kombination av båda.
I följande tabell visas några av fördelarna och nackdelarna mellan NSG:er och virtuella brandväggsenheter.
| Objekt | Fördelar | Nackdelar |
|---|---|---|
| NSG | Ingen kostnad. Integrerad i rollbaserad åtkomst i Azure. Regler kan skapas i Azure Resource Manager mallar. |
Komplexiteten kan variera i större miljöer. |
| Brandvägg | Fullständig kontroll över dataplanet. Central hantering via brandväggskonsolen. |
Kostnaden för brandväggsinstallationen. Inte integrerat med rollbaserad åtkomst i Azure. |
Följande lösning använder virtuella brandväggsinstallationer för att implementera ett perimeternätverk (DMZ)/skyddat nätverksscenario.
Överväganden
Du kan distribuera miljön som beskrevs tidigare i Azure med hjälp av olika funktioner som är tillgängliga idag, enligt följande.
Virtuellt nätverk. Ett virtuellt Azure-nätverk fungerar på liknande sätt som ett lokalt nätverk och kan segmenteras i ett eller flera undernät för att tillhandahålla trafikisolering och separation av problem.
Virtuell installation. Flera partner tillhandahåller virtuella installationer i Azure Marketplace som kan användas för de tre brandväggar som beskrevs tidigare.
Routningstabeller. Routningstabeller används av Azure-nätverk för att styra flödet av paket i ett virtuellt nätverk. Dessa routningstabeller kan tillämpas på undernät. Du kan använda en routningstabell för GatewaySubnet, som vidarebefordrar all trafik som kommer in i det virtuella Azure-nätverket från en hybridanslutning till en virtuell installation.
IP-vidarebefordran. Som standard vidarebefordrar Azure-nätverksmotorn paket till virtuella nätverkskort (NIC) endast om paketets mål-IP-adress matchar nätverkskortets IP-adress. Om en routningstabell definierar att ett paket måste skickas till en viss virtuell installation skulle azure-nätverksmotorn därför släppa paketet. För att säkerställa att paketet levereras till en virtuell dator (i det här fallet en virtuell installation) som inte är det faktiska målet för paketet aktiverar du IP-vidarebefordran för den virtuella installationen.
Nätverkssäkerhetsgrupper (NSG:er). I följande exempel används inte NSG:er, men du kan använda NSG:er som tillämpas på undernäten och/eller nätverkskorten i den här lösningen. NSG:erna skulle ytterligare filtrera trafiken in och ut från dessa undernät och nätverkskort.
I det här exemplet finns det en prenumeration som innehåller följande objekt:
Två resursgrupper som inte visas i diagrammet.
ONPREMRG. Innehåller alla resurser som krävs för att simulera ett lokalt nätverk.
AZURERG. Innehåller alla resurser som krävs för den virtuella Azure-nätverksmiljön.
Ett virtuellt nätverk med namnet onpremvnet segmenterat enligt följande används för att efterlikna ett lokalt datacenter.
onpremsn1. Undernät som innehåller en virtuell dator (VM) som kör Linux-distribution för att efterlikna en lokal server.
onpremsn2. Undernät som innehåller en virtuell dator som kör Linux-distribution för att efterlikna en lokal dator som används av en administratör.
Det finns en virtuell brandväggsinstallation med namnet OPFWpå onpremvnet som används för att underhålla en tunnel till azurevnet.
Ett virtuellt nätverk med namnet azurevnet segmenteras enligt följande.
azsn1. Externt brandväggsundernät som används exklusivt för den externa brandväggen. All Internettrafik kommer in via det här undernätet. Det här undernätet innehåller bara ett nätverkskort som är länkat till den externa brandväggen.
azsn2. Klientdelsundernät som är värd för en virtuell dator som körs som en webbserver som nås från Internet.
azsn3. Serverdelsundernät som är värd för en virtuell dator som kör en serverdelsprogramserver som nås av klientwebbservern.
azsn4. Hanteringsundernät som endast används för att ge hanteringsåtkomst till alla virtuella brandväggsinstallationer. Det här undernätet innehåller bara ett nätverkskort för varje virtuell brandväggsinstallation som används i lösningen.
GatewaySubnet. Azure-hybridanslutningsundernät som krävs för ExpressRoute och VPN Gateway för att tillhandahålla anslutning mellan virtuella Azure-nätverk och andra nätverk.
Det finns tre virtuella brandväggsinstallationer i azurevnet-nätverket .
AZF1. Extern brandvägg som exponeras för det offentliga Internet med hjälp av en offentlig IP-adressresurs i Azure. Du måste se till att du har en mall från Marketplace eller direkt från din installationsleverantör som distribuerar en virtuell 3-NIC-installation.
AZF2. Intern brandvägg som används för att styra trafiken mellan azsn2 och azsn3. Den här brandväggen är också en virtuell 3-NIC-installation.
AZF3. Hanteringsbrandväggen är tillgänglig för administratörer från det lokala datacentret och är ansluten till ett hanteringsundernät som används för att hantera alla brandväggsinstallationer. Du hittar 2-NIC-mallar för virtuella installationer på Marketplace eller begära en direkt från din installationsleverantör.
Routningstabeller
Varje undernät i Azure kan länkas till en routningstabell som används för att definiera hur trafik som initieras i undernätet dirigeras. Om inga UDR:n har definierats använder Azure standardvägar för att tillåta trafik att flöda från ett undernät till ett annat. Mer information om routningstabeller och trafikroutning finns i Trafikroutning för virtuella Azure-nätverk.
För att säkerställa att kommunikationen sker via rätt brandväggsinstallation, baserat på det senaste kravet som angavs tidigare, måste du skapa följande routningstabell i azurevnet.
azgwudr
I det här scenariot används den enda trafik som flödar från lokalt till Azure för att hantera brandväggarna genom att ansluta till AZF3, och trafiken måste gå genom den interna brandväggen AZF2. Därför är endast en väg nödvändig i GatewaySubnet enligt följande.
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.4.0/24 | 10.0.3.11 | Tillåter att lokal trafik når hanteringsbrandväggen AZF3 |
azsn2udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.3.0/24 | 10.0.2.11 | Tillåter trafik till serverdelsundernätet som är värd för programservern via AZF2 |
| 0.0.0.0/0 | 10.0.2.10 | Tillåter att all annan trafik dirigeras via AZF1 |
azsn3udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.2.0/24 | 10.0.3.10 | Tillåter trafik till azsn2 att flöda från appservern till webbservern via AZF2 |
Du måste också skapa routningstabeller för undernäten i onpremvnet för att efterlikna det lokala datacentret.
onpremsn1udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 192.168.2.0/24 | 192.168.1.4 | Tillåter trafik till onpremsn2 via OPFW |
onpremsn2udr
| Mål | Nästa hopp | Förklaring |
|---|---|---|
| 10.0.3.0/24 | 192.168.2.4 | Tillåter trafik till det säkerhetskopierade undernätet i Azure via OPFW |
| 192.168.1.0/24 | 192.168.2.4 | Tillåter trafik till onpremsn1 via OPFW |
IP-vidarebefordran
Routningstabeller och IP-vidarebefordran är funktioner som du kan använda i kombination för att tillåta att virtuella enheter används för att styra trafikflödet i en Azure-Virtual Network. En virtuell installation är helt enkelt en VM som kör ett program som används för att hantera nätverkstrafik på något sätt, som en brandvägg eller en NAT-enhet.
Den virtuella datorn måste kunna ta emot inkommande trafik som inte är adresserad till sig själv. För att låta en VM ta emot trafik som är adresserad till andra mål, behöver du aktivera IP-vidarebefordran för VM:en. Den här inställningen är en Azure-inställning, inte en inställning i gästoperativsystemet. Den virtuella installationen måste fortfarande köra någon typ av program för att hantera inkommande trafik och dirigera den på rätt sätt.
Mer information om IP-vidarebefordran finns i Trafikdirigering för virtuella Azure-nätverk.
Anta till exempel att du har följande konfiguration i ett virtuellt Azure-nätverk:
Undernätet onpremsn1 innehåller en virtuell dator med namnet onpremvm1.
Undernätet onpremsn2 innehåller en virtuell dator med namnet onpremvm2.
En virtuell installation med namnet OPFW är ansluten till onpremsn1 och onpremsn2.
En användardefinierad väg som är länkad till onpremsn1 anger att all trafik till onpremsn2 måste skickas till OPFW.
Om onpremvm1 nu försöker upprätta en anslutning med onpremvm2 används UDR och trafiken skickas till OPFW som nästa hopp. Tänk på att det faktiska paketmålet inte ändras, det står fortfarande onpremvm2 är målet.
Utan att IP-vidarebefordring har aktiverats för OPFW släpper logiken för virtuella Azure-nätverk paketen, eftersom paket endast kan skickas till en virtuell dator om den virtuella datorns IP-adress är målet för paketet.
Med IP-vidarebefordring vidarebefordrar logiken för det virtuella Azure-nätverket paketen till OPFW, utan att ändra den ursprungliga måladressen. OPFW måste hantera paketen och avgöra vad de ska göra med dem.
För att scenariot tidigare ska fungera måste du aktivera IP-vidarebefordran på nätverkskorten för OPFW, AZF1, AZF2 och AZF3 som används för routning (alla nätverkskort utom de som är länkade till hanteringsundernätet).
Brandväggsregler
Som tidigare beskrivits ser IP-vidarebefordran endast till att paket skickas till de virtuella enheterna. Installationen måste fortfarande bestämma vad du ska göra med dessa paket. I föregående scenario måste du skapa följande regler i dina enheter:
OPFW
OPFW representerar en lokal enhet som innehåller följande regler:
Väg: All trafik till 10.0.0.0/16 (azurevnet) måste skickas via tunneln ONPREMAZURE.
Princip: Tillåt all dubbelriktad trafik mellan port2 och ONPREMAZURE.
AZF1
AZF1 representerar en virtuell Azure-installation som innehåller följande regler:
- Princip: Tillåt all dubbelriktad trafik mellan port1 och port2.
AZF2
AZF2 representerar en virtuell Azure-installation som innehåller följande regler:
- Princip: Tillåt all dubbelriktad trafik mellan port1 och port2.
AZF3
AZF3 representerar en virtuell Azure-installation som innehåller följande regler:
- Väg: All trafik till 192.168.0.0/16 (onpremvnet) måste skickas till Ip-adressen för Azure-gatewayen (dvs. 10.0.0.1) via port1.
Nätverkssäkerhetsgrupper (NSG:er)
I det här scenariot används inte NSG:er. Du kan dock använda NSG:er för varje undernät för att begränsa inkommande och utgående trafik. Du kan till exempel tillämpa följande NSG-regler på det externa FW-undernätet.
Inkommande
Tillåt all TCP-trafik från Internet till port 80 på valfri virtuell dator i undernätet.
Neka all annan trafik från Internet.
Utgående
- Neka all trafik till Internet.
Generella steg
Om du vill distribuera det här scenariot använder du följande steg på hög nivå.
Logga in på din Azure-prenumeration.
Om du vill distribuera ett virtuellt nätverk för att efterlikna det lokala nätverket distribuerar du de resurser som ingår i ONPREMRG.
Distribuera de resurser som ingår i AZURERG.
Distribuera tunneln från onpremvnet till azurevnet.
När alla resurser har etablerats loggar du in på onpremvm2 och pingar 10.0.3.101 för att testa anslutningen mellan onpremsn2 och azsn3.