Tutorial: Weiterleiten von Netzwerkdatenverkehr mithilfe einer Routingtabelle

Azure leitet den Datenverkehr standardmäßig zwischen allen Subnetzen innerhalb eines virtuellen Netzwerks weiter. Sie können eigene Routen erstellen, um das Azure-Standardrouting außer Kraft zu setzen. Benutzerdefinierte Routen sind beispielsweise hilfreich, wenn Sie über ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) Datenverkehr zwischen Subnetzen weiterleiten möchten.

In diesem Tutorial lernen Sie Folgendes:

• Erstellen eines virtuellen Netzwerks und der Subnetze
• Erstellen eines virtuellen Netzwerkgeräts, das Datenverkehr weiterleitet
• Bereitstellen von VMs in unterschiedlichen Subnetzen
• Erstellen einer Routingtabelle
• Erstellen einer Route
• Zuordnen einer Routingtabelle zu einem Subnetz
• Weiterleiten von Datenverkehr aus einem Subnetz zu einem anderen über ein virtuelles Netzwerkgerät

Voraussetzungen

Portal

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können ein Konto kostenlos erstellen.

PowerShell

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können ein Konto kostenlos erstellen.

Azure Cloud Shell

Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.

Starten von Azure Cloud Shell:

Option	Beispiel/Link
Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert.
Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen.
Wählen Sie im Azure-Portal rechts oben auf der Menüleiste die Schaltfläche Cloud Shell aus.

So verwenden Sie Azure Cloud Shell

1. Starten Sie Cloud Shell.

2. Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.

3. Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.

4. Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.

Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 1.0.0 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Wenn Sie nicht über ein Azure-Konto verfügen, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Um den Authentifizierungsprozess abzuschließen, führen Sie die in Ihrem Terminal angezeigten Schritte aus. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung bei der ersten Verwendung, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Für diesen Artikel ist mindestens Version 2.0.28 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

Erstellen von Subnetzen

Für dieses Tutorial werden ein DMZ-Subnetz und ein privates Subnetz benötigt. Im DMZ-Subnetz stellen Sie die NVA und das private Subnetz bereit, in dem Sie die privaten virtuellen Computer bereitstellen, an die Sie Datenverkehr weiterleiten möchten. Im Diagramm ist Subnetz 1 das öffentliche Subnetz, das für den öffentlichen virtuellen Computer verwendet wird.

Portal

Erstellen einer Ressourcengruppe

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie oben im Portal im Suchfeld Ressourcengruppe ein. Wählen Sie in den Suchergebnissen Ressourcengruppen aus.

3. Wählen Sie + Erstellen aus.

4. Geben Sie im Tab Grundlagen von Ressourcengruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Geben Sie test-rg ein.
   Region	Wählen Sie USA, Osten 2 aus.

5. Klicken Sie auf Überprüfen + erstellen.

6. Klicken Sie auf Erstellen.

Erstellen eines virtuellen Netzwerks

1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

2. Wählen Sie + Erstellen aus.

3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Name	Geben Sie vnet-1 ein.
   Region	Wählen Sie USA, Osten 2 aus.

4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.

5. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.

6. Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.

7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Subnetzdetails
   Subnetzvorlage	Übernehmen Sie den Standardwert: Standard.
   Name	Geben Sie Subnetz-1 ein.
   Startadresse	Behalten Sie die Standardeinstellung von 10.0.0.0 bei.
   Subnetzgröße	Übernehmen Sie den Standardwert: /24 (256 Adressen).

8. Wählen Sie Speichern aus.

9. Wählen Sie + Subnetz hinzufügen aus.

10. Geben Sie unter Subnetz hinzufügen die folgenden Informationen ein oder wählen Sie sie aus:

    Einstellung	Wert
    Subnetzdetails
    Subnetzvorlage	Übernehmen Sie den Standardwert: Standard.
    Name	Geben Sie subnet-private ein.
    Startadresse	Geben Sie 10.0.2.0 ein.
    Subnetzgröße	Übernehmen Sie den Standardwert: /24 (256 Adressen).

11. Wählen Sie Hinzufügen.

12. Wählen Sie + Subnetz hinzufügen aus.

13. Geben Sie unter Subnetz hinzufügen die folgenden Informationen ein oder wählen Sie sie aus:

    Einstellung	Wert
    Subnetzdetails
    Subnetzvorlage	Übernehmen Sie den Standardwert: Standard.
    Name	Geben Sie subnet-dmz ein.
    Startadresse	Geben Sie 10.0.3.0 ein.
    Subnetzgröße	Übernehmen Sie den Standardwert: /24 (256 Adressen).

14. Wählen Sie Hinzufügen.

15. Wählen Sie am unteren Bildschirmrand Überprüfen + erstellen aus, und wenn die Validierung erfolgreich ist, wählen Sie Erstellen aus.

Bereitstellen von Azure Bastion

Azure Bastion verwendet Ihren Browser, um mithilfe ihrer privaten IP-Adressen eine Verbindung mit VMs in Ihrem virtuellen Netzwerk über Secure Shell (SSH) oder das Remotedesktopprotokoll (RDP) herzustellen. Die VMs benötigen keine öffentlichen IP-Adressen, keine Clientsoftware und keine spezielle Konfiguration. Weitere Informationen zu Azure Bastion finden Sie unter Azure Bastion.

Hinweis

Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.

1. Geben Sie am oberen Rand des Portals den Suchbegriff Bastion in das Suchfeld ein. Wählen Sie Bastionen in den Suchergebnissen aus.

2. Wählen Sie + Erstellen aus.

3. Geben Sie auf der Registerkarte " Grundlagen " von " Bastion erstellen" die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Name	Geben Sie bastion ein.
   Region	Wählen Sie USA, Osten 2 aus.
   Tarif	Wählen Sie Entwickler aus.
   Konfigurieren virtueller Netzwerke
   Virtuelles Netzwerk	Wählen Sie vnet-1 aus.
   Subnetz	Das AzureBastionSubnet wird automatisch mit einem Adressraum von /26 oder höher erstellt.

4. Klicken Sie auf Überprüfen + erstellen.

5. Klicken Sie auf Erstellen.

PowerShell

Erstellen Sie mit New-AzResourceGroup eine Ressourcengruppe. Im folgenden Beispiel wird eine Ressourcengruppe namens test-rg für alle in diesem Artikel erstellten Ressourcen erstellt.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. Im folgenden Beispiel wird ein virtuelles Netzwerk namens vnet-1 mit dem Adresspräfix 10.0.0.0/16 erstellt.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Erstellen Sie vier Subnetze, indem Sie mit New-AzVirtualNetworkSubnetConfig vier Subnetzkonfigurationen erstellen. Im folgenden Beispiel werden vier Subnetzkonfigurationen für öffentliche, private, DMZ- und Azure Bastion-Subnetze erstellt.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Schreiben Sie die Subnetzkonfiguration mit Set-AzVirtualNetwork in das virtuelle Netzwerk. Dabei werden die Subnetze im virtuellen Netzwerk erstellt:

$virtualNetwork | Set-AzVirtualNetwork

Erstellen von Azure Bastion

Erstellen Sie mit New-AzPublicIpAddress eine öffentliche IP-Adresse für den Azure Bastion-Host. Im folgenden Beispiel wird eine öffentliche IP-Adresse namens public-ip-bastion im virtuellen Netzwerk vnet-1 erstellt.

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

Erstellen Sie mit New-AzBastion einen Azure Bastion-Host. Im folgenden Beispiel wird ein Azure Bastion-Host namens bastion im Subnetz AzureBastionSubnet des virtuellen Netzwerks vnet-1 erstellt. Azure Bastion dient dazu, Azure-VMs sicher zu verbinden, ohne sie für das öffentliche Internet verfügbar zu machen.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams -AsJob

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen Sie mit az group create eine Ressourcengruppe für alle in diesem Artikel erstellten Ressourcen.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk mit einem Subnetz.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Erstellen Sie mit az network vnet subnet create zwei weitere Subnetze.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Erstellen von Azure Bastion

Erstellen Sie mit az network public-ip create eine öffentliche IP-Adresse für den Azure Bastion-Host. Im folgenden Beispiel wird eine öffentliche IP-Adresse namens public-ip-bastion im virtuellen Netzwerk vnet-1 erstellt.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

Erstellen Sie mit az network bastion create einen Azure Bastion-Host. Im folgenden Beispiel wird ein Azure Bastion-Host namens bastion im Subnetz AzureBastionSubnet des virtuellen Netzwerks vnet-1 erstellt. Azure Bastion dient dazu, Azure-VMs sicher zu verbinden, ohne sie für das öffentliche Internet verfügbar zu machen.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2 \
    --sku Basic \
    --no-wait

Erstellen einer VM für ein virtuelles Netzwerkgerät

Virtuelle Netzwerkgeräte (NVAs) sind VMs, die Netzwerkfunktionen unterstützen, z. B. Routing- und Firewalloptimierung. In diesem Abschnitt erstellen Sie ein NVA mit einem virtuellen Computer unter Ubuntu 24.04.

Portal

1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

2. Wählen Sie + Erstellen und dann Virtueller Azure-Computer aus.

3. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Name des virtuellen Computers	Geben Sie vm-nva ein.
   Region	Wählen Sie (USA) USA, Osten 2 aus.
   Verfügbarkeitsoptionen	Wählen Sie Keine Infrastrukturredundanz erforderlich aus.
   Sicherheitstyp	Wählen Sie Standard aus.
   Image	Wählen Sie Ubuntu Server 24.04 LTS – x64 Gen2 aus.
   VM-Architektur	Übernehmen Sie den Standardwert x64.
   Size	Wählen Sie eine Größe aus.
   Administratorkonto
   Authentifizierungsart	Wählen Sie Öffentlicher SSH-Schlüssel aus.
   Nutzername	Geben Sie einen Benutzernamen ein.
   Quelle für öffentlichen SSH-Schlüssel	Wählen Sie Neues Schlüsselpaar generieren aus.
   Name des Schlüsselpaars	Geben Sie vm-nva-key ein.
   Regeln für eingehende Ports
   Öffentliche Eingangsports	Wählen Sie Keine.

4. Wählen Sie Weiter: Datenträger und dann Weiter: Netzwerk aus.

5. Geben Sie auf der Registerkarte „Netzwerk“ die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Netzwerkschnittstelle
   Virtuelles Netzwerk	Wählen Sie vnet-1 aus.
   Subnetz	Wählen Sie subnet-dmz (10.0.3.0/24) aus.
   Öffentliche IP-Adresse	Wählen Sie Keine.
   NIC-Netzwerksicherheitsgruppe	Wählen Sie Erweitertaus.
   Konfigurieren von Netzwerksicherheitsgruppen	Wählen Sie Neu erstellen. Geben Sie nsg-nva für Name ein. Wählen Sie OK aus.

6. Behalten Sie für die restlichen Optionen die Standardeinstellungen bei, und wählen Sie dann Überprüfen und erstellen aus.

7. Klicken Sie auf Erstellen.

PowerShell

Erstellen Sie den virtuellen Computer mit New-AzVM. Im folgenden Beispiel wird ein virtueller Computer namens vm-nva erstellt.

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-nva-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen Sie eine virtuelle Maschine, die als NVA im Subnetz subnet-dmz mit az vm create verwendet werden soll.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --generate-ssh-keys

Das Erstellen des virtuellen Computers dauert einige Minuten. Fahren Sie nicht mit dem nächsten Schritt fort, bis Azure die Erstellung des virtuellen Computers abgeschlossen hat und die Ausgabe für den virtuellen Computer zurückgibt.

Erstellen von öffentlichen und privaten virtuellen Computern

Erstellen Sie zwei virtuelle Computer im virtuellen Netzwerk vnet-1. Ein virtueller Computer befindet sich im Subnetz 1 und der andere virtuelle Computer befindet sich im subnetz-privaten Subnetz. Verwenden Sie dasselbe VM-Image für beide virtuellen Computer.

Erstellen eines öffentlichen virtuellen Computers

Der öffentliche virtuelle Computer wird verwendet, um einen Computer im öffentlichen Internet zu simulieren. Die öffentlichen und privaten virtuellen Computer werden verwendet, um das Routing des Netzwerkdatenverkehrs über den virtuellen NVA-Computer zu testen.

Portal

1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

2. Wählen Sie + Erstellen und dann Virtueller Azure-Computer aus.

3. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Name des virtuellen Computers	Geben Sie vm-public ein.
   Region	Wählen Sie (USA) USA, Osten 2 aus.
   Verfügbarkeitsoptionen	Wählen Sie Keine Infrastrukturredundanz erforderlich aus.
   Sicherheitstyp	Wählen Sie Standard aus.
   Image	Wählen Sie Ubuntu Server 24.04 LTS – x64 Gen2 aus.
   VM-Architektur	Übernehmen Sie den Standardwert x64.
   Size	Wählen Sie eine Größe aus.
   Administratorkonto
   Authentifizierungsart	Wählen Sie Öffentlicher SSH-Schlüssel aus.
   Nutzername	Geben Sie einen Benutzernamen ein.
   Quelle für öffentlichen SSH-Schlüssel	Wählen Sie Neues Schlüsselpaar generieren aus.
   Name des Schlüsselpaars	Geben Sie vm-public-key ein.
   Regeln für eingehende Ports
   Öffentliche Eingangsports	Wählen Sie Keine.

4. Wählen Sie Weiter: Datenträger und dann Weiter: Netzwerk aus.

5. Geben Sie auf der Registerkarte „Netzwerk“ die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Netzwerkschnittstelle
   Virtuelles Netzwerk	Wählen Sie vnet-1 aus.
   Subnetz	Wählen Sie Subnetz-1 (10.0.0.0/24) aus.
   Öffentliche IP-Adresse	Wählen Sie Keine.
   NIC-Netzwerksicherheitsgruppe	Wählen Sie Keine.

6. Behalten Sie für die restlichen Optionen die Standardeinstellungen bei, und wählen Sie dann Überprüfen und erstellen aus.

7. Klicken Sie auf Erstellen.

Erstellen eines privaten virtuellen Computers

1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

2. Wählen Sie + Erstellen und dann Virtueller Azure-Computer aus.

3. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Name des virtuellen Computers	Geben Sie vm-private ein.
   Region	Wählen Sie (USA) USA, Osten 2 aus.
   Verfügbarkeitsoptionen	Wählen Sie Keine Infrastrukturredundanz erforderlich aus.
   Sicherheitstyp	Wählen Sie Standard aus.
   Image	Wählen Sie Ubuntu Server 24.04 LTS – x64 Gen2 aus.
   VM-Architektur	Übernehmen Sie den Standardwert x64.
   Size	Wählen Sie eine Größe aus.
   Administratorkonto
   Authentifizierungsart	Wählen Sie Öffentlicher SSH-Schlüssel aus.
   Nutzername	Geben Sie einen Benutzernamen ein.
   Quelle für öffentlichen SSH-Schlüssel	Wählen Sie Neues Schlüsselpaar generieren aus.
   Name des Schlüsselpaars	Geben Sie vm-private-key ein.
   Regeln für eingehende Ports
   Öffentliche Eingangsports	Wählen Sie Keine.

4. Wählen Sie Weiter: Datenträger und dann Weiter: Netzwerk aus.

5. Geben Sie auf der Registerkarte „Netzwerk“ die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Netzwerkschnittstelle
   Virtuelles Netzwerk	Wählen Sie vnet-1 aus.
   Subnetz	Wählen Sie subnet-private (10.0.2.0/24) aus.
   Öffentliche IP-Adresse	Wählen Sie Keine.
   NIC-Netzwerksicherheitsgruppe	Wählen Sie Keine.

6. Behalten Sie für die restlichen Optionen die Standardeinstellungen bei, und wählen Sie dann Überprüfen und erstellen aus.

7. Klicken Sie auf Erstellen.

PowerShell

Erstellen Sie einen virtuellen Computer im Subnetz 1-Subnetz mit New-AzVM. Im folgenden Beispiel wird ein virtueller Computer namens "vm-public " im subnetz-öffentlichen Subnetz des virtuellen vnet-1-Netzwerks erstellt.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-public-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Erstellen Sie eine virtuelle Maschine im subnet-private-Subnetz.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-private-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Das Erstellen des virtuellen Computers dauert einige Minuten. Fahren Sie nicht mit dem nächsten Schritt fort, bis der virtuelle Computer erstellt wird, und Azure gibt die Ausgabe an PowerShell zurück.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen Sie einen virtuellen Computer im Subnetz-1-Subnetz mit az vm create. Der Parameter --no-wait ermöglicht Azure die Ausführung des Befehls im Hintergrund, sodass Sie mit dem nächsten Befehl fortfahren können.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys \
    --no-wait

Erstellen Sie eine virtuelle Maschine im subnet-private-Subnetz.

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys

Aktivieren der IP-Weiterleitung

Um Datenverkehr über das virtuelle Netzwerkgerät zu leiten, aktivieren Sie in Azure und im Betriebssystem von vm-nva die IP-Weiterleitung. Wenn die IP-Weiterleitung aktiviert ist, wird jeder datenverkehr, der von vm-nva empfangen wird, der für eine andere IP-Adresse bestimmt ist, nicht gelöscht und an das richtige Ziel weitergeleitet.

Aktivieren der IP-Weiterleitung in Azure

In diesem Abschnitt aktivieren Sie die IP-Weiterleitung für die Netzwerkschnittstelle des virtuellen Computers vm-nva.

Portal

1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

2. Wählen Sie unter Virtuelle Computer den Eintrag vm-nva aus.

3. Erweitern Sie Netzwerk in vm-nva, und wählen Sie dann Netzwerkeinstellungen aus.

4. Wählen Sie den Namen der Schnittstelle neben Netzwerkschnittstelle: aus. Der Name beginnt mit vm-nva, und der Schnittstelle ist eine Zufallszahl zugewiesen. Der Name der Schnittstelle in diesem Beispiel lautet vm-nva313.

   

5. Wählen Sie auf der Übersichtsseite der Netzwerkschnittstelle IP-Konfigurationen im Abschnitt Einstellungen aus.

6. Aktivieren Sie unter IP-Konfigurationen das Kontrollkästchen neben IP-Weiterleitung aktivieren.

   

7. Wählen Sie Übernehmen.

PowerShell

Aktivieren Sie mit Set-AzNetworkInterface die IP-Weiterleitung für die Netzwerkschnittstelle der VM vm-nva. Im folgenden Beispiel wird die IP-Weiterleitung für die Netzwerkschnittstelle mit dem Namen vm-nva313 aktiviert.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Aktivieren Sie mit az network nic update die IP-Weiterleitung für die Netzwerkschnittstelle der VM vm-nva. Im folgenden Beispiel wird die IP-Weiterleitung für die Netzwerkschnittstelle mit dem Namen vm-nvaVMNic aktiviert.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

Aktivieren der IP-Weiterleitung im Betriebssystem

In diesem Abschnitt aktivieren Sie die IP-Weiterleitung im Betriebssystem des virtuellen Computers vm-nva, um Netzwerkdatenverkehr weiterzuleiten. Verwenden Sie das Feature "Befehl ausführen", um ein Skript auf dem virtuellen Computer auszuführen.

Portal

1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

2. Wählen Sie unter Virtuelle Computer den Eintrag vm-nva aus.

3. Erweitern Sie Vorgänge, und wählen Sie dann Befehl ausführen aus.

4. Wählen Sie RunShellScript aus.

5. Geben Sie das folgende Skript in das Fenster "Befehlsskript ausführen " ein:

   sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
   sudo sysctl -p
   

6. Klicken Sie auf Ausführen.

7. Warten Sie, bis das Skript abgeschlossen ist. Die Ausgabe zeigt, dass die IP-Weiterleitungseinstellung aktiviert wurde.

8. Kehren Sie zur Seite "Übersicht" von vm-nva zurück, und wählen Sie "Neu starten" aus, um den virtuellen Computer neu zu starten.

PowerShell

Aktivieren Sie die IP-Weiterleitung im Betriebssystem des virtuellen Computers vm-nva mit Invoke-AzVMRunCommand. Im folgenden Beispiel wird die IP-Weiterleitung im Betriebssystem aktiviert.

$runCommandParams = @{
    ResourceGroupName = "test-rg"
    VMName = "vm-nva"
    CommandId = "RunShellScript"
    ScriptString = @"
sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sudo sysctl -p
"@
}
Invoke-AzVMRunCommand @runCommandParams

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Aktivieren Sie die IP-Weiterleitung im Betriebssystem des virtuellen Computers vm-nva mit az vm run-command invoke. Im folgenden Beispiel wird die IP-Weiterleitung im Betriebssystem aktiviert.

az vm run-command invoke \
    --resource-group test-rg \
    --name vm-nva \
    --command-id RunShellScript \
    --scripts "sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf" "sudo sysctl -p"

Erstellen einer Routingtabelle

Erstellen Sie in diesem Abschnitt eine Routingtabelle, um die Route des Datenverkehrs über den virtuellen NVA-Computer zu definieren. Die Routingtabelle ist dem Subnetz subnet-1 zugeordnet, in dem der virtuelle Computer vm-public bereitgestellt wird.

Portal

1. Geben Sie oben im Portal im Suchfeld den Begriff Routingtabelle ein. Wählen Sie in den Suchergebnissen den Eintrag Routingtabellen aus.

2. Wählen Sie + Erstellen aus.

3. Geben Sie in Routingtabelle erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Region	Wählen Sie USA, Osten 2 aus.
   Name	Geben Sie route-table-public ein.
   Gatewayrouten verteilen	Übernehmen Sie den Standardwert Ja.

4. Klicken Sie auf Überprüfen + erstellen.

5. Klicken Sie auf Erstellen.

Erstellen einer Route

In diesem Abschnitt erstellen Sie eine Route in der Routingtabelle, die Sie in den vorherigen Schritten erstellt haben.

1. Geben Sie oben im Portal im Suchfeld den Begriff Routingtabelle ein. Wählen Sie in den Suchergebnissen den Eintrag Routingtabellen aus.

2. Wählen Sie route-table-public aus.

3. Erweitern Sie Einstellungen, und wählen Sie dann Routenaus.

4. Wählen Sie unter Routen die Option + Hinzufügen aus.

5. Geben Sie unter Route hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Routenname	Geben Sie to-private-subnet ein.
   Zieltyp	Wählen Sie IP-Adressen aus.
   Ziel-IP-Adressen/CIDR-Bereiche	Geben Sie 10.0.2.0/24 ein.
   Typ des nächsten Hops	Wählen Sie Virtuelles Gerät aus.
   Adresse des nächsten Hops	Geben Sie 10.0.3.4 ein. Dies ist die IP-Adresse der VM „vm-nva“, die Sie weiter oben erstellt haben..

6. Wählen Sie Hinzufügen.

7. Wählen Sie unter Einstellungen die Option Subnetze aus.

8. Wählen Sie + Zuordnen aus.

9. Geben Sie unter Subnetz zuordnen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Virtuelles Netzwerk	Wählen Sie vnet-1 (test-rg) aus.
   Subnetz	Wählen Sie subnet-1 aus.

10. Klicken Sie auf OK.

PowerShell

Erstellen Sie eine Routingtabelle mit New-AzRouteTable. Im folgenden Beispiel wird eine Routingtabelle mit dem Namen route-table-public erstellt.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Erstellen Sie eine Route, indem Sie ein Routingtabellenobjekt mit Get-AzRouteTable abrufen, eine Route mit Add-AzRouteConfig erstellen und dann die Routingkonfiguration mit Set-AzRouteTable in die Routingtabelle schreiben.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Ordnen Sie die Routingtabelle mit Set-AzVirtualNetworkSubnetConfig dem Subnetz subnet-1 zu. Im folgenden Beispiel wird die Routingtabelle route-table-public dem Subnetz subnet-1 zugeordnet.

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen Sie mit az network route-table create eine Routingtabelle. Im folgenden Beispiel wird eine Routingtabelle mit dem Namen route-table-public erstellt.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

Erstellen Sie mit az network route-table route create eine Route in der Routingtabelle.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

Ordnen Sie mit az network vnet subnet update die Routingtabelle route-table-subnet-public dem Subnetz subnet-1 zu.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

Testen des Routings von Netzwerkdatenverkehr

Testen Sie das Routing des Netzwerkdatenverkehrs von vm-public zu vm-private. Testen Sie das Routing des Netzwerkdatenverkehrs von vm-private zu vm-public.

Testen des Netzwerkdatenverkehrs von „vm-public“ zu „vm-private“

1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

2. Wählen Sie unter Virtuelle Computer den Eintrag vm-public aus.

3. Wählen Sie Verbinden und dann Verbinden über Bastion im Abschnitt Übersicht aus.

4. Geben Sie auf der Bastion-Verbindungsseite die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Authentifizierungstyp	Wählen Sie den privaten SSH-Schlüssel aus der lokalen Datei aus.
   Nutzername	Geben Sie den von Ihnen erstellten Benutzernamen ein.
   Lokale Datei	Wählen Sie die datei des privaten schlüssels vm-public-key aus, die Sie heruntergeladen haben.

5. Wählen Sie Verbinden.

6. Geben Sie in der Eingabeaufforderung den folgenden Befehl ein, um das Routing des Netzwerkdatenverkehrs von vm-public zu vm-private nachzuverfolgen:

   tracepath vm-private
   

   Die Antwort ähnelt dem folgenden Beispiel:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   Sie können erkennen, dass es in der obigen Antwort für tracepath zwei Hops für den ICMP-Datenverkehr von vm-public zu vm-private gibt. Der erste Hop ist vm-nva. Der zweite Hop ist das Ziel vm-private.

   Azure hat den Datenverkehr von subnet-1 über das NVA und nicht direkt an subnet-private gesendet, weil Sie zuvor die Route to-private-subnet zu route-table-public hinzugefügt und sie subnet-1 zugeordnet haben.

7. Schließen Sie die Bastionsitzung.

Testen des Netzwerkdatenverkehrs von „vm-private“ zu „vm-public“

1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

2. Wählen Sie unter Virtuelle Computer den Eintrag vm-private aus.

3. Wählen Sie Verbinden und dann Verbinden über Bastion im Abschnitt Übersicht aus.

4. Geben Sie auf der Bastion-Verbindungsseite die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Authentifizierungstyp	Wählen Sie den privaten SSH-Schlüssel aus der lokalen Datei aus.
   Nutzername	Geben Sie den von Ihnen erstellten Benutzernamen ein.
   Lokale Datei	Wählen Sie die Datei vm-private-key, die Sie heruntergeladen haben.

5. Wählen Sie Verbinden.

6. Geben Sie in der Eingabeaufforderung den folgenden Befehl ein, um das Routing des Netzwerkdatenverkehrs von vm-private zu vm-public nachzuverfolgen:

   tracepath vm-public
   

   Die Antwort ähnelt dem folgenden Beispiel:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   Sie können sehen, dass in dieser Antwort ein Sprung vorhanden ist, der das Ziel vm-public ist.

   Azure hat den Datenverkehr direkt von subnet-private an subnet-1 gesendet. Azure-Routen leiten standardmäßig Datenverkehr direkt durch Subnetze weiter.

7. Schließen Sie die Bastionsitzung.

Portal

Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen.

1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.

2. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.

3. Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.

4. Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.

PowerShell

Wenn Sie die Ressourcengruppe und alle darin enthaltenen Ressourcen nicht mehr benötigen, entfernen Sie sie mit dem Befehl Remove-AzResourcegroup.

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Wenn die Ressourcengruppe und alle enthaltenen Ressourcen nicht mehr benötigt werden, können Sie sie mit az group delete entfernen.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Nächste Schritte

In diesem Tutorial führen Sie Folgendes durch:

• Sie eine Routingtabelle erstellt und einem Subnetz zugeordnet.

• Sie haben ein einfaches virtuelles Netzwerkgerät erstellt, das Datenverkehr von einem öffentlichen Subnetz an ein privates Subnetz weiterleitet.

Sie können verschiedene vorkonfigurierte NVAs mit vielen nützlichen Netzwerkfunktionen aus dem Azure Marketplace bereitstellen.

Weitere Informationen zum Routing finden Sie unter Routing von Datenverkehr für virtuelle Netzwerke und Erstellen, Ändern oder Löschen einer Routingtabelle. Routing kann auch automatisch im großen Maßstab mit dem Feature zur Verwaltung benutzerdefinierter Routen (User-Defined Route, UDR) des Azure Virtual Network Manager konfiguriert werden.

Informationen zum Einschränken des Netzwerkzugriffs auf PaaS-Ressourcen mit VNET-Dienstendpunkten mithilfe des Azure-Portals erhalten Sie im nächsten Tutorial.

Einschränken des Netzwerkzugriffs mithilfe von Dienstendpunkten