Kurz: Směrování síťového provozu pomocí směrovací tabulky

Azure ve výchozím nastavení směruje provoz mezi všemi podsítěmi ve virtuální síti. Můžete vytvořit vlastní trasy a přepsat tak výchozí směrování Azure. Vlastní trasy jsou užitečné, když například chcete směrovat provoz mezi podsítěmi přes síťové virtuální zařízení (NVA).

V tomto kurzu se naučíte:

• Vytvoření virtuální sítě a podsítí
• Vytvořte síťové virtuální zařízení, které směruje provoz
• Nasazení virtuálních počítačů do různých podsítí
• Vytvoření směrovací tabulky
• Vytvoření trasy
• Přidružení směrovací tabulky k podsíti
• Směrování provozu z jedné podsítě do jiné přes síťové virtuální zařízení

Požadavky

Portál

• Účet Azure s aktivním předplatným. Účet si můžete vytvořit zdarma.

PowerShell

• Účet Azure s aktivním předplatným. Účet si můžete vytvořit zdarma.

Azure Cloud Shell

Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.

Spuštění služby Azure Cloud Shell:

Možnost	Příklad nebo odkaz
Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu.
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči.
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal.

Použití Azure Cloud Shellu:

1. Spusťte Cloud Shell.

2. Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.

3. Vložte kód nebo příkaz do sezení Cloud Shell stisknutím kláves Ctrl, Shift a V ve Windows a Linuxu, nebo stisknutím kláves Cmd, Shift a V na macOS.

4. Stisknutím klávesy Enter spusťte kód nebo příkaz.

Pokud se rozhodnete nainstalovat a používat PowerShell místně, tento článek vyžaduje modul Azure PowerShell verze 1.0.0 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Pokud používáte PowerShell místně, musíte také spustit Connect-AzAccount , abyste vytvořili připojení k Azure.

Rozhraní příkazového řádku

Pokud nemáte účet Azure, vytvořte si bezplatný účet před tím, než začnete.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Začínáme s Azure Cloud Shellem.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Ověřování v Azure pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Použití a správa rozšíření pomocí Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Tento článek vyžaduje verzi 2.0.28 nebo novější azure CLI. Pokud používáte Azure Cloud Shell, je už nainstalovaná nejnovější verze.

Vytvoření podsítí

Pro účely tohoto kurzu je potřeba DMZ a privátní podsíť. V podsíti DMZ nasadíte síťové virtuální zařízení a v privátní podsíti nasadíte privátní virtuální počítače, na které chcete směrovat provoz. V diagramu je podsíť 1veřejná podsíť používaná pro veřejný virtuální počítač.

Portál

Vytvoření skupiny zdrojů

1. Přihlaste se do Azure Portalu.

2. Do vyhledávacího pole v horní části portálu zadejte skupinu prostředků. Ve výsledcích hledání vyberte skupiny prostředků.

3. Vyberte + Vytvořit.

4. Na kartě ZákladyVytvořit skupinu prostředků zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Zdrojová skupina	Zadejte test-rg.
   Oblast	Vyberte USA – východ 2.

5. Vyberte Zkontrolovat a vytvořit.

6. Vyberte Vytvořit.

Vytvoření virtuální sítě

1. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

2. Vyberte + Vytvořit.

3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Zdrojová skupina	Vyberte test-rg.
   Podrobnosti o instanci
   Název	Zadejte vnet-1.
   Oblast	Vyberte USA – východ 2.

4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

5. Výběrem možnosti Další přejděte na kartu IP adresy.

6. V poli Adresní prostor v podsítích vyberte výchozí podsíť.

7. V části Upravit podsíť zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti o podsíti
   Šablona podsítě	Ponechte výchozí Default.
   Název	Zadejte subnet-1.
   Počáteční adresa	Ponechte výchozí hodnotu 10.0.0.0.
   Velikost podsítě	Ponechte výchozí hodnotu /24 (256 adres).

8. Zvolte Uložit.

9. Vyberte + Přidat podsíť.

10. V části Přidat podsíť zadejte nebo vyberte následující informace:

    Nastavení	Hodnota
    Podrobnosti o podsíti
    Šablona podsítě	Ponechte výchozí Default.
    Název	Zadejte subnet-private.
    Počáteční adresa	Zadejte 10.0.2.0.
    Velikost podsítě	Ponechte výchozí hodnotu /24 (256 adres).

11. Vyberte Přidat.

12. Vyberte + Přidat podsíť.

13. V části Přidat podsíť zadejte nebo vyberte následující informace:

    Nastavení	Hodnota
    Podrobnosti o podsíti
    Šablona podsítě	Ponechte výchozí Default.
    Název	Zadejte podsíť dmz.
    Počáteční adresa	Zadejte 10.0.3.0.
    Velikost podsítě	Ponechte výchozí hodnotu /24 (256 adres).

14. Vyberte Přidat.

15. Vyberte Zkontrolovat a vytvořit v dolní části obrazovky a po ověření vyberte Vytvořit.

Nasazení služby Azure Bastion

Azure Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes secure shell (SSH) nebo protokol RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace o službě Azure Bastion najdete v tématu Azure Bastion.

Poznámka:

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

1. Do vyhledávacího pole v horní části portálu zadejte Bastion. Ve výsledcích hledání vyberte bastions .

2. Vyberte + Vytvořit.

3. Na kartě ZákladyVytvořit bastion zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Zdrojová skupina	Vyberte test-rg.
   Podrobnosti o instanci
   Název	Zadejte bastion.
   Oblast	Vyberte USA – východ 2.
   Tier	Vyberte Vývojář.
   Konfigurace virtuálních sítí
   Virtuální síť	Vyberte vnet-1.
   Podsíť	AzureBastionSubnet se vytvoří automaticky s adresními prostory /26 nebo většími.

4. Vyberte Zkontrolovat a vytvořit.

5. Vyberte Vytvořit.

PowerShell

Vytvořte skupinu prostředků pomocí New-AzResourceGroup. Následující příklad vytvoří skupinu prostředků s názvem test-rg pro všechny prostředky vytvořené v tomto článku.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

Vytvořte virtuální síť pomocí New-AzVirtualNetwork. Následující příklad vytvoří virtuální síť s názvem vnet-1 s předponou adresy 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Vytvořte čtyři podsítě vytvořením čtyř konfigurací podsítě pomocí rutiny New-AzVirtualNetworkSubnetConfig. Následující příklad vytvoří čtyři konfigurace podsítě pro veřejné, privátní, DMZ a podsítě Azure Bastion.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Zapište konfigurace podsítí do virtuální sítě pomocí rutiny Set-AzVirtualNetwork, která vytvoří podsítě ve virtuální síti:

$virtualNetwork | Set-AzVirtualNetwork

Vytvoření služby Azure Bastion

Vytvořte veřejnou IP adresu pro hostitele Služby Azure Bastion pomocí rutiny New-AzPublicIpAddress. Následující příklad vytvoří veřejnou IP adresu s názvem public-ip-bastion ve virtuální síti vnet-1 .

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

Vytvořte hostitele Azure Bastion pomocí New-AzBastion. Následující příklad vytvoří hostitele služby Azure Bastion s názvem bastion v podsíti AzureBastionSubnet virtuální sítě vnet-1. Azure Bastion slouží k bezpečnému připojení virtuálních počítačů Azure bez jejich vystavení k veřejnému internetu.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams -AsJob

Rozhraní příkazového řádku

Vytvořte skupinu prostředků pomocí příkazu az group create pro všechny prostředky vytvořené v tomto článku.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

Vytvořte virtuální síť s jednou podsítí pomocí příkazu az network vnet create.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Vytvořte dvě další podsítě pomocí příkazu az network vnet subnet create.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Vytvoření služby Azure Bastion

Vytvořte veřejnou IP adresu pro hostitele služby Azure Bastion pomocí příkazu az network public-ip create. Následující příklad vytvoří veřejnou IP adresu s názvem public-ip-bastion ve virtuální síti vnet-1 .

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

Vytvořte host služby Azure Bastion pomocí az network bastion create. Následující příklad vytvoří hostitele služby Azure Bastion s názvem bastion v podsíti AzureBastionSubnet virtuální sítě vnet-1. Azure Bastion slouží k bezpečnému připojení virtuálních počítačů Azure bez jejich vystavení k veřejnému internetu.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2 \
    --sku Basic \
    --no-wait

Vytvoření virtuálního počítače síťového virtuálního zařízení

Síťová virtuální zařízení (NVA) jsou virtuální počítače, které pomáhají se síťovými funkcemi, jako je směrování a optimalizace brány firewall. V této části vytvořte síťové virtuální aplikační zařízení pomocí Ubuntu 24.04 virtuálního stroje.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Vyberte + Vytvořit a pak virtuální počítač Azure.

3. V části Vytvořit virtuální počítač zadejte nebo vyberte následující informace na kartě Základy :

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Zdrojová skupina	Vyberte test-rg.
   Podrobnosti o instanci
   Název virtuálního stroje	Zadejte vm-nva.
   Oblast	Vyberte (US) East US 2.
   Možnosti dostupnosti	Vyberte Bez redundance infrastruktury.
   Typ zabezpečení	Vyberte položku Standardní.
   Obrázek	Vyberte Ubuntu Server 24.04 LTS - x64 Gen2.
   Architektura virtuálního počítače	Ponechte výchozí hodnotu x64.
   Velikost	Vyberte velikost.
   Účet správce
   Typ autentizace	Vyberte veřejný klíč SSH.
   Uživatelské jméno	Zadejte uživatelské jméno.
   Zdroj veřejného klíče SSH	Vyberte Vygenerovat nový pár klíčů.
   Název páru klíčů	Zadejte vm-nva-key.
   Pravidla portů pro příchozí spojení
   Veřejné příchozí porty	Vyberte Žádná.

4. Vyberte Další: Disky a další : Sítě.

5. Na kartě Sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Síťové rozhraní
   Virtuální síť	Vyberte vnet-1.
   Podsíť	Vyberte podsíť dmz (10.0.3.0/24).
   Veřejná IP adresa	Vyberte Žádná.
   Skupina zabezpečení síťového rozhraní	Vyberte Upřesnit.
   Konfigurace skupiny zabezpečení sítě	Vyberte Vytvořit novou. Do pole Název zadejte nsg-nva. Vyberte OK.

6. Zbývající možnosti ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

7. Vyberte Vytvořit.

PowerShell

Vytvořte virtuální počítač pomocí rutiny New-AzVM. Následující příklad vytvoří virtuální počítač s názvem vm-nva.

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-nva-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Rozhraní příkazového řádku

Vytvořte virtuální počítač, který se použije jako NVA (síťové virtuální zařízení) v podsíti subnet-dmz pomocí příkazu az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --generate-ssh-keys

Vytvoření virtuálního počítače trvá několik minut. Nepokračujte k dalšímu kroku, dokud Azure nedokončí vytvoření virtuálního počítače a nevrátí výstup virtuálního počítače.

Vytvoření veřejného a privátního virtuálního počítače

Ve virtuální síti vnet-1 vytvořte dva virtuální počítače. Jeden virtuální počítač je v podsíti-1 a druhý virtuální počítač je v podsíti-privátní. Pro oba virtuální počítače použijte stejnou image virtuálního počítače.

Vytvoření veřejného virtuálního počítače

Veřejný virtuální počítač se používá k simulaci počítače ve veřejném internetu. Veřejné a soukromé virtuální počítače se používají k testování směrování síťového provozu přes virtuální počítač NVA.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Vyberte + Vytvořit a pak virtuální počítač Azure.

3. V části Vytvořit virtuální počítač zadejte nebo vyberte následující informace na kartě Základy :

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Zdrojová skupina	Vyberte test-rg.
   Podrobnosti o instanci
   Název virtuálního stroje	Zadejte vm-public.
   Oblast	Vyberte (US) East US 2.
   Možnosti dostupnosti	Vyberte Bez redundance infrastruktury.
   Typ zabezpečení	Vyberte položku Standardní.
   Obrázek	Vyberte Ubuntu Server 24.04 LTS - x64 Gen2.
   Architektura virtuálního počítače	Ponechte výchozí hodnotu x64.
   Velikost	Vyberte velikost.
   Účet správce
   Typ autentizace	Vyberte veřejný klíč SSH.
   Uživatelské jméno	Zadejte uživatelské jméno.
   Zdroj veřejného klíče SSH	Vyberte Vygenerovat nový pár klíčů.
   Název páru klíčů	Zadejte vm-public-key.
   Pravidla portů pro příchozí spojení
   Veřejné příchozí porty	Vyberte Žádná.

4. Vyberte Další: Disky a další : Sítě.

5. Na kartě Sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Síťové rozhraní
   Virtuální síť	Vyberte vnet-1.
   Podsíť	Vyberte podsíť 1 (10.0.0.0/24).
   Veřejná IP adresa	Vyberte Žádná.
   Skupina zabezpečení síťového rozhraní	Vyberte Žádná.

6. Zbývající možnosti ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

7. Vyberte Vytvořit.

Vytvoření privátního virtuálního počítače

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Vyberte + Vytvořit a pak virtuální počítač Azure.

3. V části Vytvořit virtuální počítač zadejte nebo vyberte následující informace na kartě Základy :

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Zdrojová skupina	Vyberte test-rg.
   Podrobnosti o instanci
   Název virtuálního stroje	Zadejte vm-private.
   Oblast	Vyberte (US) East US 2.
   Možnosti dostupnosti	Vyberte Bez redundance infrastruktury.
   Typ zabezpečení	Vyberte položku Standardní.
   Obrázek	Vyberte Ubuntu Server 24.04 LTS - x64 Gen2.
   Architektura virtuálního počítače	Ponechte výchozí hodnotu x64.
   Velikost	Vyberte velikost.
   Účet správce
   Typ autentizace	Vyberte veřejný klíč SSH.
   Uživatelské jméno	Zadejte uživatelské jméno.
   Zdroj veřejného klíče SSH	Vyberte Vygenerovat nový pár klíčů.
   Název páru klíčů	Zadejte vm-private-key.
   Pravidla portů pro příchozí spojení
   Veřejné příchozí porty	Vyberte Žádná.

4. Vyberte Další: Disky a další : Sítě.

5. Na kartě Sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Síťové rozhraní
   Virtuální síť	Vyberte vnet-1.
   Podsíť	Vyberte privátní podsíť (10.0.2.0/24).
   Veřejná IP adresa	Vyberte Žádná.
   Skupina zabezpečení síťového rozhraní	Vyberte Žádná.

6. Zbývající možnosti ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

7. Vyberte Vytvořit.

PowerShell

Vytvořte virtuální počítač v podsíti podsítě 1 pomocí rutiny New-AzVM. Následující příklad vytvoří virtuální počítač s názvem vm-public v podsíti subnet-public v virtuální síti vnet-1.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-public-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Vytvořte virtuální počítač v privátní podsíti podsítě .

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-private-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Vytvoření virtuálního počítače trvá několik minut. Nepokračujte v dalším kroku, dokud se virtuální počítač nevytvořil, a Azure nevrátí výstup do PowerShellu.

Rozhraní příkazového řádku

Vytvořte virtuální počítač v podsíti podsítě 1 pomocí příkazu az vm create. Tento --no-wait parametr umožňuje Azure spustit příkaz na pozadí, abyste mohli pokračovat k dalšímu příkazu.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys \
    --no-wait

Vytvořte virtuální počítač v privátní podsíti podsítě .

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys

Povolte předávání IP

Pokud chcete směrovat provoz přes NVA, zapněte předávání IP v Azure a v operačním systému vm-nva. Pokud je povolené předávání IP, veškerý provoz přijatý virtuálním zařízením vm-nva určený pro jinou IP adresu se nezahodí a přesměruje se do správného cíle.

Povolení předávání IP v Azure

V této části zapnete předávání IP pro síťové rozhraní virtuálního počítače vm-nva .

Portál

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Ve virtuálních počítačích vyberte vm-nva.

3. V zařízení vm-nva rozbalte položku Sítě a pak vyberte Nastavení sítě.

4. Vyberte název rozhraní vedle síťového rozhraní:. Název začíná vm-nva a má přiřazené náhodné číslo k rozhraní. Název rozhraní v tomto příkladu je vm-nva313.

   

5. Na stránce přehledu síťového rozhraní vyberte konfigurace PROTOKOLU IP v části Nastavení .

6. V konfiguracích IP zaškrtněte políčko vedle Povolit předávání IP.

   

7. Vyberte Použít.

PowerShell

Povolte předávání IP pro síťové rozhraní virtuálního počítače vm-nva pomocí Set-AzNetworkInterface. Následující příklad umožňuje předávání IP pro síťové rozhraní s názvem vm-nva313.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

Rozhraní příkazového řádku

Povolte předávání IP pro síťové rozhraní virtuálního počítače vm-nva pomocí příkazu az network nic update. Následující příklad umožňuje předávání IP pro síťové rozhraní s názvem vm-nvaVMNic.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

Povolení předávání IP v operačním systému

V této části zapněte předávání IP pro operační systém virtuálního počítače vm-nva pro přesměrování síťového provozu. Pomocí funkce Spustit příkaz spusťte skript na virtuálním počítači.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Ve virtuálních počítačích vyberte vm-nva.

3. Rozbalte položku Operace a vyberte příkaz Spustit.

4. Vyberte RunShellScript.

5. Do okna Spustit příkazový skript zadejte následující skript:

   sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
   sudo sysctl -p
   

6. Vyberte Spustit.

7. Počkejte na dokončení skriptu. Výstup ukazuje, že je povolené nastavení předávání IP.

8. Vraťte se na stránku Přehledvirtuálního zařízení vm-nva a vyberte Restartovat a restartujte virtuální počítač.

PowerShell

Povolte předávání IP v operačním systému virtuálního počítače vm-nva pomocí Invoke-AzVMRunCommand. Následující příklad umožňuje předávání IP v operačním systému.

$runCommandParams = @{
    ResourceGroupName = "test-rg"
    VMName = "vm-nva"
    CommandId = "RunShellScript"
    ScriptString = @"
sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sudo sysctl -p
"@
}
Invoke-AzVMRunCommand @runCommandParams

Rozhraní příkazového řádku

Povolte předávání IP v operačním systému virtuálního počítače vm-nva pomocí příkazu az vm run-command invoke. Následující příklad umožňuje předávání IP v operačním systému.

az vm run-command invoke \
    --resource-group test-rg \
    --name vm-nva \
    --command-id RunShellScript \
    --scripts "sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf" "sudo sysctl -p"

Vytvoření směrovací tabulky

V této části vytvořte směrovací tabulku, která definuje způsob, jakým bude provoz směrován přes virtuální počítač síťového virtuálního zařízení (NVA). Směrovací tabulka je přidružená k podsíti subnet-1, ve které je nasazený virtuální počítač vm-public.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte směrovací tabulku. Ve výsledcích hledání vyberte Směrovací tabulky .

2. Vyberte + Vytvořit.

3. Do pole Vytvořit směrovací tabulku zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Zdrojová skupina	Vyberte test-rg.
   Podrobnosti o instanci
   Oblast	Vyberte USA – východ 2.
   Název	Zadejte route-table-public.
   Propagovat trasy brány	Ponechte výchozí hodnotu Ano.

4. Vyberte Zkontrolovat a vytvořit.

5. Vyberte Vytvořit.

Vytvoření trasy

V této části vytvořte trasu ve směrovací tabulce, kterou jste vytvořili v předchozích krocích.

1. Do vyhledávacího pole v horní části portálu zadejte směrovací tabulku. Ve výsledcích hledání vyberte Směrovací tabulky .

2. Vyberte veřejnou směrovací tabulku.

3. Rozbalte nastavení a pak vyberte Trasy.

4. Vyberte + Přidat v Routách.

5. Do příkazu Přidat trasu zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Název trasy	Zadejte to-private-subnet.
   Typ cíle	Vyberte IP adresy.
   Cílové IP adresy nebo rozsahy CIDR	Zadejte 10.0.2.0/24.
   Typ dalšího směrování	Vyberte Virtuální zařízení.
   Adresa dalšího bodu	Zadejte 10.0.3.4. Toto je IP adresa virtuálního zařízení vm-nva, kterou jste vytvořili v předchozích krocích.

6. Vyberte Přidat.

7. V nastavení vyberte podsítě.

8. Vyberte + Přidružit.

9. Zadejte nebo vyberte následující informace v Přidružit podsíť:

   Nastavení	Hodnota
   Virtuální síť	Vyberte vnet-1 (test-rg).
   Podsíť	Vyberte podsíť 1.

10. Vyberte OK.

PowerShell

Vytvořte směrovací tabulku pomocí tabulky New-AzRouteTable. Následující příklad vytvoří směrovací tabulku s názvem route-table-public.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Vytvořte trasu načtením objektu směrovací tabulky pomocí rutiny Get-AzRouteTable, vytvořte trasu pomocí rutiny Add-AzRouteConfig a pak zapište konfiguraci trasy do směrovací tabulky pomocí Set-AzRouteTable.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Přidružte směrovací tabulku k podsíti subnet-1 pomocí Set-AzVirtualNetworkSubnetConfig. Následující příklad přidruží směrovací tabulku route-table-public ke podsíti subnet-1.

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

Rozhraní příkazového řádku

Vytvořte směrovací tabulku pomocí příkazu az network route-table create. Následující příklad vytvoří směrovací tabulku s názvem route-table-public.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

Vytvořte trasu v směrovací tabulce pomocí příkazu az network route-table route create.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

Přidružte směrovací tabulku route-table-subnet-public k podsíti subnet-1 pomocí az network vnet subnet update.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

Testování směrování síťového provozu

Otestujte směrování síťového provozu z vm-public do vm-private. Otestujte směrování síťového provozu z vm-private do vm-public.

Testování síťového provozu z vm-public do vm-private

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Ve virtuálních počítačích vyberte vm-public.

3. V části Přehled vyberte Připojit, poté Připojit přes Bastion.

4. Na stránce připojení bastionu zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Typ ověřování	V místním souboru vyberte privátní klíč SSH.
   Uživatelské jméno	Zadejte uživatelské jméno, které jste vytvořili.
   Místní soubor	Vyberte soubor soukromého klíče vm-public-key, který jste stáhli.

5. Vyberte Připojit.

6. Na výzvu zadejte následující příkaz ke sledování směrování síťového provozu z vm-public na vm-private:

   tracepath vm-private
   

   Odpověď bude podobná jako v následujícím příkladu:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   V této odpovědi vidíte, že existují dva přeskoky pro tracepath provoz ICMP z veřejného virtuálního počítače do privátního virtuálního počítače. Prvním uzlem je vm-nva. Druhý skok je cílový privátní virtuální počítač.

   Azure odeslal provoz z podsítě-1 přes síťové virtuální zařízení, nikoli přímo do privátní podsítě, protože jste dříve přidali trasu do-privátní-podsítě do směrovací-tabulka- veřejná a přidružili ji k podsítí-1.

7. Zavřete relaci Bastionu.

Testování síťového provozu z privátního virtuálního počítače do veřejného virtuálního počítače

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Ve virtuálních počítačích vyberte vm-private.

3. V části Přehled vyberte Připojit, poté Připojit přes Bastion.

4. Na stránce připojení bastionu zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Typ ověřování	V místním souboru vyberte privátní klíč SSH.
   Uživatelské jméno	Zadejte uživatelské jméno, které jste vytvořili.
   Místní soubor	Vyberte soubor vm-private-key s privátním klíčem, který jste stáhli.

5. Vyberte Připojit.

6. Na příkazovém řádku zadejte následující příkaz, který trasuje směrování síťového provozu z vm-private do vm-public:

   tracepath vm-public
   

   Odpověď bude podobná jako v následujícím příkladu:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   V této odpovědi vidíte jeden hop, což je cílový vm-public.

   Azure poslal provoz přímo z subnet-private do subnet-1. Azure ve výchozím nastavení směruje provoz přímo mezi podsítěmi.

7. Zavřete relaci Bastionu.

Portál

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

PowerShell

Pokud už ji nepotřebujete, odeberte skupinu prostředků a všechny prostředky, které obsahuje, pomocí remove-AzResourcegroup .

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

Rozhraní příkazového řádku

Pokud už ji nepotřebujete, pomocí příkazu az group delete odeberte skupinu prostředků a všechny prostředky, které obsahuje.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Další kroky

V tomto kurzu se naučíte:

• Vytvořena směrovací tabulka a přidružena k podsíti.

• Vytvořeno jednoduché síťové virtuální zařízení, které směrovalo provoz z veřejné podsítě do privátní podsítě.

Z Azure Marketplace můžete nasadit různá předkonfigurovaná síťová virtuální zařízení, která poskytují mnoho užitečných síťových funkcí.

Další informace o směrování najdete v tématech Přehled směrování a Správa směrovací tabulky. Směrování je také možné automaticky nakonfigurovat ve velkém měřítku pomocí funkce správy trasy definované uživatelem (UDR) azure Virtual Network Manageru .

Pokud chcete zjistit, jak omezit síťový přístup k prostředkům PaaS pomocí koncových bodů služeb virtuální sítě, přejděte k dalšímu kurzu.

Omezení síťového přístupu pomocí koncových bodů služby