Sebx20/LAB_azure-hub-and-spoke-architecture
GitHub: Sebx20/LAB_azure-hub-and-spoke-architecture
基于Azure的Hub-and-Spoke架构实验室,实现网络弹性与环境隔离。
Stars: 0 | Forks: 0
# 实验室_azure-hub-and-spoke-架构
通过 Azure 中心辐射拓扑实现网络弹性与环境隔离
简介
本项目展示了在云中基于边界分段、流量控制和环境隔离原则构建安全且高度结构化的网络基础设施。利用 Microsoft Azure 服务,配置了一个面向企业级应用的混合型中心辐射拓扑。为了验证系统的动态行为和路由策略,进行了 ICMP 连接性和通过 SSH 的逻辑跳数管理测试,强制验证了链路非中继原则,以确保生产环境和开发环境能够高效且透明地完全隔离。
* Azure 资源组
* Azure 虚拟网络
* Azure VNet 对等连接
* Azure 虚拟机
* 网络安全组
拓扑
步骤详解
创建并初始化名为 RG-HBANDSPK-LAB 的主资源组,位于美国东部区域。该容器将集中托管项目所有计算和逻辑连接组件。
在同一资源组内部署和设计拓扑中的三个网络的分层结构,以确保架构的有序性。
Subnet-Core:配置与中心 VNet-Hub 网络关联的基本 IPv4 地址空间 10.0.1.0/24。
Subnet-Prod:使用 IPv4 地址空间 10.1.1.0/24 对生产环境 VNet-Spoke-Prod 网络进行分段。
Subnet-Dev:通过分配 IPv4 地址空间 10.2.1.0/24 来隔离开发环境 VNet-Spoke-Dev。
对同一 Azure 订阅下创建的各个网络空间进行整合和视觉审计。
配置从中心节点 VNet-Hub 出发的私有通信逻辑链接。Azure 自动生成相应的双向路由。
Hub-to-Prod:直接将中心网络与生产段耦合。
Hub-to-Dev:直接将中心网络与开发段耦合。
在门户中验证连接性:互连表确认了两个逻辑链接的同步最佳连接状态。
部署名为 VM-Hub 的中央虚拟机,使用 Linux 基础镜像(Ubuntu Server 24.04 LTS)。
配置中央虚拟机的网络,分配一个临时公网 IP,以便作为受控的管理 Jumpbox 运行。
在相应的生产子网内部署和配置隔离的 VM-Prod 实例,不直接暴露于互联网(公网 IP:无)。
在开发子网内部署和配置隔离的 VM-Dev 实例,保持严格的安全方案,不分配公网 IP。
在计算面板中验证三个节点(运行中)的并发执行,在优化的计算规模下。
通过 SSH 使用公网接口和管理员凭证安全地远程访问网关节点 VM-Hub。
ssh usuario@iPpublica
从门户执行内部路由审计,以映射生产区域 10.1.1.4 的目标私有 IP。
执行第一个成功的 ICMP 测试,0% 数据包丢失,验证了从中心到生产网络的流量是原生流动的。
映射开发接口的私有地址 10.2.1.5 并验证从中心到开发的流量成功,确认了两个企业级对等连接的健康状态。
从中心节点的终端执行内部 SSH 跳数,直接认证到私有机器的控制台。
验证完全隔离:从生产机器向开发 IP 发射 ICMP 流量。命令返回绝对超时错误(100% 数据包丢失)。这从经验上证实了 Azure 对等连接非中继,证明了业务环境已成功隔离。
步骤详解
创建并初始化名为 RG-HBANDSPK-LAB 的主资源组,位于美国东部区域。该容器将集中托管项目所有计算和逻辑连接组件。
在同一资源组内部署和设计拓扑中的三个网络的分层结构,以确保架构的有序性。
Subnet-Core:配置与中心 VNet-Hub 网络关联的基本 IPv4 地址空间 10.0.1.0/24。
Subnet-Prod:使用 IPv4 地址空间 10.1.1.0/24 对生产环境 VNet-Spoke-Prod 网络进行分段。
Subnet-Dev:通过分配 IPv4 地址空间 10.2.1.0/24 来隔离开发环境 VNet-Spoke-Dev。
对同一 Azure 订阅下创建的各个网络空间进行整合和视觉审计。
配置从中心节点 VNet-Hub 出发的私有通信逻辑链接。Azure 自动生成相应的双向路由。
Hub-to-Prod:直接将中心网络与生产段耦合。
Hub-to-Dev:直接将中心网络与开发段耦合。
在门户中验证连接性:互连表确认了两个逻辑链接的同步最佳连接状态。
部署名为 VM-Hub 的中央虚拟机,使用 Linux 基础镜像(Ubuntu Server 24.04 LTS)。
配置中央虚拟机的网络,分配一个临时公网 IP,以便作为受控的管理 Jumpbox 运行。
在相应的生产子网内部署和配置隔离的 VM-Prod 实例,不直接暴露于互联网(公网 IP:无)。
在开发子网内部署和配置隔离的 VM-Dev 实例,保持严格的安全方案,不分配公网 IP。
在计算面板中验证三个节点(运行中)的并发执行,在优化的计算规模下。
通过 SSH 使用公网接口和管理员凭证安全地远程访问网关节点 VM-Hub。
ssh usuario@iPpublica
从门户执行内部路由审计,以映射生产区域 10.1.1.4 的目标私有 IP。
执行第一个成功的 ICMP 测试,0% 数据包丢失,验证了从中心到生产网络的流量是原生流动的。
映射开发接口的私有地址 10.2.1.5 并验证从中心到开发的流量成功,确认了两个企业级对等连接的健康状态。
从中心节点的终端执行内部 SSH 跳数,直接认证到私有机器的控制台。
验证完全隔离:从生产机器向开发 IP 发射 ICMP 流量。命令返回绝对超时错误(100% 数据包丢失)。这从经验上证实了 Azure 对等连接非中继,证明了业务环境已成功隔离。
标签:AZ-104, Azure, Azure Resource Groups, Azure Virtual Machines, Azure Virtual Networks, Azure 认证, Hub-and-Spoke, ICMP, Jumpbox, MacOS取证, SSH, VNet Peering, 云基础设施, 云实验室, 云服务, 云架构, 云网络, 安全配置, 流量控制, 网络分段, 网络架构, 网络设计, 网络连通性, 网络隔离, 虚拟化, 非中继性