Esercizio - Creare un'appliance virtuale di rete e le macchine virtuali

  • 10 minuti

Nella fase successiva dell'implementazione della sicurezza si distribuirà un'appliance virtuale di rete per proteggere e monitorare il traffico tra i server pubblici front-end e i server privati interni.

Configurare prima di tutto l'appliance per l'inoltro del traffico IP. Se l'inoltro IP non è abilitato, il traffico instradato attraverso l'appliance non verrà mai ricevuto dai server di destinazione previsti.

In questo esercizio si distribuirà l'appliance di rete nva nella subnet dmzsubnet. Si abiliterà quindi l'inoltro IP in modo che il traffico da * e il traffico che usa la route personalizzata vengano inviati alla subnet privatesubnet.

Diagramma di una Appliance virtuale di rete con l'inoltro IP abilitato.

Nei passaggi seguenti verrà distribuita un'appliance virtuale di rete. Si aggiorneranno quindi la scheda di interfaccia di rete virtuale di Azure e le impostazioni di rete all'interno dell'appliance per abilitare l'inoltro IP.

Annotazioni

Questo esercizio è facoltativo. Se si vuole completare questo esercizio, è necessario creare una sottoscrizione di Azure prima di iniziare. Se non si ha un account Azure o non si vuole crearne uno in questo momento, è possibile leggere le istruzioni in modo da comprendere le informazioni presentate.

Distribuire l'appliance virtuale di rete

Per creare l'appliance virtuale di rete, distribuire un'istanza di Ubuntu LTS.

  1. In Azure Cloud Shell eseguire il comando seguente per distribuire l'appliance. Sostituire <password> con una password appropriata per l'account amministratore azureuser e myResourceGroupName con il nome del gruppo di risorse.

    az vm create \
    --resource-group "myResourceGroupName" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>

Abilitare l'inoltro IP per l'interfaccia di rete di Azure

Nei passaggi successivi viene abilitato l'inoltro IP per l'appliance di rete nva. Quando il traffico passa all'appliance virtuale di rete ma è destinato a un'altra destinazione, l'appliance virtuale di rete instrada il traffico alla destinazione corretta.

  1. Eseguire il comando seguente per ottenere l'ID dell'interfaccia di rete dell'appliance virtuale di rete:

    NICID=$(az vm nic list \
    --resource-group "myResourceGroupName" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

  2. Eseguire il comando seguente per ottenere il nome dell'interfaccia di rete dell'appliance virtuale di rete:

    NICNAME=$(az vm nic show \
    --resource-group "myResourceGroupName" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

  3. Eseguire il comando seguente per abilitare l'inoltro IP per l'interfaccia di rete:

    az network nic update --name $NICNAME \
    --resource-group "myResourceGroupName" \
    --ip-forwarding true

Abilitare l'inoltro IP nell'appliance

  1. Eseguire il comando seguente per salvare l'indirizzo IP pubblico della macchina virtuale dell'appliance virtuale di rete nella variabile NVAIP:

    NVAIP="$(az vm list-ip-addresses \
    --resource-group "myResourceGroupName" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

  2. Eseguire il comando seguente per abilitare l'inoltro IP nell'appliance virtuale di rete:

    ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'

    Quando richiesto, immettere la password usata durante la creazione della macchina virtuale.