Ejercicio: Creación de una NVA y máquinas virtuales

• 10 minutos

En la siguiente fase de la implementación de seguridad, implementará una aplicación virtual de red (NVA) para proteger y supervisar el tráfico entre los servidores públicos front-end y los servidores privados internos.

Configurará la aplicación para reenviar el tráfico IP. Si el reenvío IP no está habilitado, el tráfico que se enruta a través de la aplicación no llegará nunca los servidores de destino a los que se dirige.

En este ejercicio, implementará la aplicación de red nva en la subred dmzsubnet. Después, habilitará el reenvío IP para que el tráfico desde * y el tráfico que usa la ruta personalizada se envíen a la subred privatesubnet.

En los pasos siguientes, implementará una NVA. Después, actualizará la NIC virtual de Azure y la configuración de red dentro de la aplicación para habilitar el reenvío IP.

Implementación de la aplicación virtual de red

Para compilar la NVA, implemente una instancia de Ubuntu LTS.

1. En Cloud Shell, ejecute el comando siguiente para implementar la aplicación. Reemplace <password> por una contraseña adecuada que elija para la cuenta de administrador azureuser.

   az vm create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name nva \
       --vnet-name vnet \
       --subnet dmzsubnet \
       --image Ubuntu2204 \
       --admin-username azureuser \
       --admin-password <password>
   

Habilitación del reenvío IP en la interfaz de red de Azure

En los pasos siguientes, se habilita el reenvío IP para la aplicación de red. Cuando el tráfico fluye hacia la NVA, pero está previsto para otro destino, la NVA lo enrutará a su destino correcto.

1. Ejecute el comando siguiente para obtener el identificador de la interfaz de red de la NVA.

   NICID=$(az vm nic list \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --vm-name nva \
       --query "[].{id:id}" --output tsv)
   
   echo $NICID
   

2. Ejecute el comando siguiente para obtener el nombre de la interfaz de red de la NVA.

   NICNAME=$(az vm nic show \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --vm-name nva \
       --nic $NICID \
       --query "{name:name}" --output tsv)
   
   echo $NICNAME
   

3. Ejecute el comando siguiente para habilitar el reenvío IP en la interfaz de red.

   az network nic update --name $NICNAME \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --ip-forwarding true
   

Habilitación del reenvío IP en la aplicación

1. Ejecute el comando siguiente para guardar la dirección IP pública de la máquina virtual de la NVA en la variable NVAIP.

   NVAIP="$(az vm list-ip-addresses \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name nva \
       --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
       --output tsv)"
   
   echo $NVAIP
   

2. Ejecute el comando siguiente para habilitar el reenvío IP en la NVA.

   ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
   

   Cuando se le pida, escriba la contraseña que usó al crear la máquina virtual.