Oktatóanyag: Hálózati forgalom átirányítása útvonaltáblával

Az Azure alapértelmezés szerint irányítja a forgalmat a virtuális hálózaton belüli összes alhálózat között. Az Azure alapértelmezett útválasztását felülírhatja saját maga által létrehozott útvonalakkal. Az egyéni útvonalak akkor hasznosak, ha például egy hálózati virtuális berendezésen (NVA) keresztül szeretné irányítani az alhálózatok közötti forgalmat.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Virtuális hálózat és alhálózatok létrehozása
• Forgalmat irányító NVA létrehozása
• Virtuális gépek (VM-ek) üzembe helyezése különböző alhálózatokon
• Útvonaltábla létrehozása
• Útvonal létrehozása
• Útválasztási táblázat társítása alhálózattal
• Forgalom irányítása egyik alhálózatról egy másikra egy hálózati virtuális berendezésen (NVA) keresztül

Előfeltételek

Portál

• Egy Azure-fiók, aktív előfizetéssel. Ingyenesen létrehozhat fiókot.

PowerShell

• Egy Azure-fiók, aktív előfizetéssel. Ingyenesen létrehozhat fiókot.

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Lehetőség	Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra.

Az Azure Cloud Shell használata:

1. Cloud Shell indítása.

2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

3. Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+ billentyűkombinációval+, vagy a Cmd++ macOS rendszeren való kiválasztásával.

4. A kód vagy parancs futtatásához válassza az Enter lehetőséget .

Ha a PowerShell helyi telepítése és használata mellett dönt, ehhez a cikkhez az Azure PowerShell-modul 1.0.0-s vagy újabb verziójára van szükség. A telepített verzió azonosításához futtassa a következőt: Get-Module -ListAvailable Az. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, akkor az Azure-ral való kapcsolat létrehozásához is futtatnia kell a Connect-AzAccount parancsot.

CLI

Ha még nem rendelkezik Azure-fiókkal, első lépésként hozzon létre egy ingyenes fiókot.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: Az Azure Cloud Shell használatának első lépései.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd: Hitelesítés az Azure-ba az Azure CLI használatával.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata és kezelése az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

• Ez a cikk az Azure CLI 2.0.28-es vagy újabb verzióját igényli. Az Azure Cloud Shell használata esetén a legújabb verzió már telepítve van.

Alhálózatok létrehozása

Ehhez az oktatóanyaghoz egy DMZ és egy privát alhálózatra van szükség. A DMZ-alhálózaton helyezi üzembe az NVA-t, a Privát alhálózat pedig azokat a magánhálózati virtuális gépeket, amelyhez a forgalmat irányítani szeretné. A diagram 1. alhálózata a nyilvános virtuális géphez használt nyilvános alhálózat.

Portál

Erőforráscsoport létrehozása

1. Jelentkezzen be a Azure portalra.

2. A portál tetején található keresőmezőbe írja be az erőforráscsoportot. Válassza ki az erőforráscsoportokat a keresési eredmények között.

3. Válassza a +Létrehozás lehetőséget.

4. Az Erőforráscsoport létrehozásaalapismeretek lapján adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Adja meg a test-rg értéket.
   Régió	Válassza az USA 2. keleti régiója lehetőséget.

5. Válassza az Áttekintés + létrehozás lehetőséget.

6. Válassza a Létrehozás lehetőséget.

Virtuális hálózat létrehozása

1. A portál tetején található keresőmezőbe írja be a virtuális hálózatot. Válassza ki a virtuális hálózatokat a keresési eredmények között.

2. Válassza a +Létrehozás lehetőséget.

3. A Alapok lapon a Virtuális hálózat létrehozása esetén adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Név	Adja meg vnet-1.
   Régió	Válassza az USA 2. keleti régiója lehetőséget.

4. A Tovább gombra kattintva lépjen a Biztonság lapra.

5. A Tovább gombra kattintva lépjen az IP-címek lapra.

6. Az Alhálózatok címtartományában válassza ki az alapértelmezett alhálózatot.

7. Az Alhálózat szerkesztése területen adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Alhálózat részletei
   Alhálózat sablon	Hagyja meg az Alapértelmezett-et.
   Név	Adja meg az 1. alhálózatot.
   Kezdőcím	Hagyja meg a 10.0.0.0 alapértelmezett értékét.
   Alhálózat mérete	Hagyja meg a /24 (256 cím) alapértelmezett értékét.

8. Válassza a Mentés lehetőséget.

9. Válassza a + Alhálózat hozzáadása lehetőséget.

10. Az Alhálózat hozzáadása lapon adja meg vagy válassza ki a következő adatokat:

    Beállítás	Érték
    Alhálózat részletei
    Alhálózat sablon	Hagyja meg az Alapértelmezett-et.
    Név	Írja be a subnet-private parancsot.
    Kezdőcím	Adja meg a 10.0.2.0 értéket.
    Alhálózat mérete	Hagyja meg a /24 (256 cím) alapértelmezett értékét.

11. Válassza a Hozzáadás lehetőséget.

12. Válassza a + Alhálózat hozzáadása lehetőséget.

13. Az Alhálózat hozzáadása lapon adja meg vagy válassza ki a következő adatokat:

    Beállítás	Érték
    Alhálózat részletei
    Alhálózat sablon	Hagyja meg az Alapértelmezett-et.
    Név	Adja meg subnet-dmz-t.
    Kezdőcím	Adja meg a 10.0.3.0 értéket.
    Alhálózat mérete	Hagyja meg a /24 (256 cím) alapértelmezett értékét.

14. Válassza a Hozzáadás lehetőséget.

15. Válassza a Véleményezés + létrehozás lehetőséget a képernyő alján, és amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget.

Az Azure Bastion üzembe helyezése

Az Azure Bastion a böngészővel csatlakozik a virtuális hálózat virtuális gépeihez biztonságos rendszerhéjon (SSH) vagy távoli asztali protokollon (RDP) keresztül a privát IP-címek használatával. A virtuális gépeknek nincs szükségük nyilvános IP-címekre, ügyfélszoftverekre vagy speciális konfigurációra. Az Azure Bastionról további információt az Azure Bastionban talál.

Feljegyzés

Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.

1. A portál tetején található keresőmezőbe írja be a Bastion kifejezést. Válassza a Bastions lehetőséget a keresési eredmények között.

2. Válassza a +Létrehozás lehetőséget.

3. A Bástya létrehozásaalapismeretek lapján adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Név	Adja meg a bástyát.
   Régió	Válassza az USA 2. keleti régiója lehetőséget.
   Kategória	Válassza a Fejlesztő lehetőséget.
   Virtuális hálózatok konfigurálása
   Virtuális hálózat	Válassza a vnet-1 lehetőséget.
   Alhálózat	Az AzureBastionSubnet automatikusan létrejön egy /26 vagy nagyobb címtérrel.

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Válassza a Létrehozás lehetőséget.

PowerShell

Hozzon létre egy erőforráscsoportot a New-AzResourceGroup használatával. Az alábbi példa létrehoz egy test-rg nevű erőforráscsoportot a cikkben létrehozott összes erőforráshoz.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

Hozzon létre egy virtuális hálózatot a New-AzVirtualNetwork használatával. Az alábbi példa egy vnet-1 nevű virtuális hálózatot hoz létre a 10.0.0.0/16 címelőtaggal.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Négy alhálózat létrehozásához hozzon létre négy alhálózat-konfigurációt a New-AzVirtualNetworkSubnetConfig használatával. Az alábbi példa négy alhálózat-konfigurációt hoz létre a nyilvános, a privát, a DMZ és az Azure Bastion alhálózatokhoz.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Írja be az alhálózat-konfigurációkat a virtuális hálózatba a Set-AzVirtualNetwork használatával, amely létrehozza az alhálózatokat a virtuális hálózaton:

$virtualNetwork | Set-AzVirtualNetwork

Azure Bastion létrehozása

Hozzon létre egy nyilvános IP-címet az Azure Bastion-gazdagép számára a New-AzPublicIpAddress használatával. Az alábbi példa létrehoz egy nyilvános IP-címet nyilvános ip-bastion néven a vnet-1 virtuális hálózaton.

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

Hozzon létre egy Azure Bastion-gazdagépet a New-AzBastion használatával. Az alábbi példa létrehoz egy Bastion nevű Azure Bastion-gazdagépet a vnet-1 virtuális hálózat AzureBastionSubnet alhálózatában. Az Azure Bastion használatával biztonságosan csatlakoztathatók az Azure-beli virtuális gépek anélkül, hogy közzétenék őket a nyilvános internethez.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams -AsJob

CLI

Hozzon létre egy erőforráscsoportot az összes erőforráshoz, amelyet ebben a cikkben hoz létre, az az group create utasítással.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

Hozzon létre egy virtuális hálózatot egy alhálózattal az az network vnet create használatával.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Hozzon létre még két alhálózatot a az network vnet subnet create parancs segítségével.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Azure Bastion létrehozása

Hozzon létre egy nyilvános IP-címet az Azure Bastion-gazdagéphez az az network public-ip create használatával. Az alábbi példa létrehoz egy nyilvános IP-címet nyilvános ip-bastion néven a vnet-1 virtuális hálózaton.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

Azure Bastion-gazdagép létrehozása az network bastion create használatával. Az alábbi példa létrehoz egy Bastion nevű Azure Bastion-gazdagépet a vnet-1 virtuális hálózat AzureBastionSubnet alhálózatában. Az Azure Bastion használatával biztonságosan csatlakoztathatók az Azure-beli virtuális gépek anélkül, hogy közzétenék őket a nyilvános internethez.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2 \
    --sku Basic \
    --no-wait

NVA virtuális gép létrehozása

A hálózati virtuális berendezések (NVA-k) olyan virtuális gépek, amelyek segítenek a hálózati funkciókban, például az útválasztásban és a tűzfaloptimalizálásban. Ebben a szakaszban hozzon létre egy NVA-t egy Ubuntu 24.04 rendszerű virtuális géppel.

Portál

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.

2. Válassza a + Létrehozás elemet, majd Azure virtuális gép-et.

3. A Virtuális gép létrehozása lapon adja meg vagy válassza ki a következő információkat az Alapok lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Virtuális gép neve	Adja meg a vm-nva értéket.
   Régió	Válassza a (US) East US 2 lehetőséget.
   Rendelkezésre állási beállítások	Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
   Biztonsági típus	Válassza a Standard lehetőséget.
   Image	Válassza az Ubuntu Server 24.04 LTS – x64 Gen2 lehetőséget.
   Virtuálisgép-architektúra	Hagyja meg az x64 alapértelmezett értékét.
   Méret	Válasszon ki egy méretet.
   Rendszergazdai fiók
   Hitelesítés típusa	Válassza az SSH nyilvános kulcsát.
   Felhasználónév	Adjon meg egy felhasználónevet.
   Nyilvános SSH-kulcs forrása	Válassza az Új kulcspár létrehozása lehetőséget.
   Kulcspár neve	Adja meg vm-nva-key értéket.
   Bejövő portszabályok
   Nyilvános bejövő portok	Válassza a Nincs lehetőséget.

4. Válassza a Következő: Lemezek , majd a Következő: Hálózatkezelés lehetőséget.

5. A Hálózatkezelés lapon adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Hálózati interfész
   Virtuális hálózat	Válassza a vnet-1 lehetőséget.
   Alhálózat	Válassza a dmz alhálózatot (10.0.3.0/24).
   Nyilvános IP-cím	Válassza a Nincs lehetőséget.
   NIC hálózati biztonsági csoport	Válassza a Speciális lehetőséget.
   Hálózati biztonsági csoport konfigurálása	Válassza az Új létrehozása lehetőséget. A Név mezőbe írja be az nsg-nva értéket. Válassza az OK gombot.

6. Hagyja meg a többi beállítást az alapértelmezett értéken, és válassza a Véleményezés + létrehozás lehetőséget.

7. Válassza a Létrehozás lehetőséget.

PowerShell

Hozza létre a virtuális gépet a New-AzVM használatával. Az alábbi példa egy vm-nva nevű virtuális gépet hoz létre.

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-nva-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

CLI

Hozzon létre egy virtuális gépet, amelyet NVA-ként szeretne használni a subnet-dmz alhálózatban, az az vm create parancs használatával.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --generate-ssh-keys

A virtuális gép létrehozása néhány percet vesz igénybe. Ne folytassa a következő lépésekkel, amíg az Azure nem fejezi be a virtuális gép létrehozását, és visszaadja a virtuális gép kimenetét.

Nyilvános és privát virtuális gépek létrehozása

Hozzon létre két virtuális gépet a vnet-1 virtuális hálózaton. Az egyik virtuális gép az 1. alhálózatban , a másik virtuális gép pedig az alhálózat-privát alhálózatban található. Használja ugyanazt a virtuálisgép-rendszerképet mindkét virtuális géphez.

Nyilvános virtuális gép létrehozása

A nyilvános virtuális gép a nyilvános interneten lévő gépek szimulálására szolgál. A nyilvános és privát virtuális gépek a hálózati forgalom NVA virtuális gépen keresztüli útválasztásának tesztelésére szolgálnak.

Portál

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.

2. Válassza a + Létrehozás elemet, majd Azure virtuális gép-et.

3. A Virtuális gép létrehozása lapon adja meg vagy válassza ki a következő információkat az Alapok lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Virtuális gép neve	Adja meg vm-public.
   Régió	Válassza a (US) East US 2 lehetőséget.
   Rendelkezésre állási beállítások	Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
   Biztonsági típus	Válassza a Standard lehetőséget.
   Image	Válassza az Ubuntu Server 24.04 LTS – x64 Gen2 lehetőséget.
   Virtuálisgép-architektúra	Hagyja meg az x64 alapértelmezett értékét.
   Méret	Válasszon ki egy méretet.
   Rendszergazdai fiók
   Hitelesítés típusa	Válassza az SSH nyilvános kulcsát.
   Felhasználónév	Adjon meg egy felhasználónevet.
   Nyilvános SSH-kulcs forrása	Válassza az Új kulcspár létrehozása lehetőséget.
   Kulcspár neve	Adja meg a vm-public-key-t.
   Bejövő portszabályok
   Nyilvános bejövő portok	Válassza a Nincs lehetőséget.

4. Válassza a Következő: Lemezek , majd a Következő: Hálózatkezelés lehetőséget.

5. A Hálózatkezelés lapon adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Hálózati interfész
   Virtuális hálózat	Válassza a vnet-1 lehetőséget.
   Alhálózat	Válassza az 1. alhálózatot (10.0.0.0/24).
   Nyilvános IP-cím	Válassza a Nincs lehetőséget.
   NIC hálózati biztonsági csoport	Válassza a Nincs lehetőséget.

6. Hagyja meg a többi beállítást az alapértelmezett értéken, és válassza a Véleményezés + létrehozás lehetőséget.

7. Válassza a Létrehozás lehetőséget.

Privát virtuális gép létrehozása

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.

2. Válassza a + Létrehozás elemet, majd Azure virtuális gép-et.

3. A Virtuális gép létrehozása lapon adja meg vagy válassza ki a következő információkat az Alapok lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Virtuális gép neve	Adja meg a vm-private értéket.
   Régió	Válassza a (US) East US 2 lehetőséget.
   Rendelkezésre állási beállítások	Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
   Biztonsági típus	Válassza a Standard lehetőséget.
   Image	Válassza az Ubuntu Server 24.04 LTS – x64 Gen2 lehetőséget.
   Virtuálisgép-architektúra	Hagyja meg az x64 alapértelmezett értékét.
   Méret	Válasszon ki egy méretet.
   Rendszergazdai fiók
   Hitelesítés típusa	Válassza az SSH nyilvános kulcsát.
   Felhasználónév	Adjon meg egy felhasználónevet.
   Nyilvános SSH-kulcs forrása	Válassza az Új kulcspár létrehozása lehetőséget.
   Kulcspár neve	Adja meg vm-private-key.
   Bejövő portszabályok
   Nyilvános bejövő portok	Válassza a Nincs lehetőséget.

4. Válassza a Következő: Lemezek , majd a Következő: Hálózatkezelés lehetőséget.

5. A Hálózatkezelés lapon adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Hálózati interfész
   Virtuális hálózat	Válassza a vnet-1 lehetőséget.
   Alhálózat	Válassza ki a privát alhálózatot (10.0.2.0/24).
   Nyilvános IP-cím	Válassza a Nincs lehetőséget.
   NIC hálózati biztonsági csoport	Válassza a Nincs lehetőséget.

6. Hagyja meg a többi beállítást az alapértelmezett értéken, és válassza a Véleményezés + létrehozás lehetőséget.

7. Válassza a Létrehozás lehetőséget.

PowerShell

Hozzon létre egy virtuális gépet az 1. alhálózatban a New-AzVM használatával. Az alábbi példa egy vm-public nevű virtuális gépet hoz létre a vnet-1 virtuális hálózat alhálózatának nyilvános alhálózatában.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-public-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Hozzon létre egy virtuális gépet az alhálózat-privát alhálózatban.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-private-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

A virtuális gép létrehozása néhány percet vesz igénybe. Ne folytassa a következő lépéssel, amíg a virtuális gép létre nem jön, és az Azure visszaadja a kimenetet a PowerShellnek.

CLI

Hozzon létre egy virtuális gépet az 1. alhálózatban az az vm create használatával. A --no-wait paraméter lehetővé teszi, hogy az Azure végrehajtsa a parancsot a háttérben, hogy továbblépjen a következő parancsra.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys \
    --no-wait

Hozzon létre egy virtuális gépet az alhálózat-privát alhálózatban.

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys

IP-továbbítás engedélyezése

Az NVA-n keresztüli forgalom irányításához kapcsolja be az IP-továbbítást az Azure-ban és a vm-nva operációs rendszerében. Ha engedélyezve van az IP-továbbítás, a vm-nva által egy másik IP-címre érkező forgalom nem lesz elvetve, és a rendszer a megfelelő célhelyre továbbítja.

IP-továbbítás engedélyezése az Azure-ban

Ebben a szakaszban bekapcsolja az IP-továbbítást a vm-nva virtuális gép hálózati adapteréhez.

Portál

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.

2. A virtuális gépeken válassza a vm-nva elemet.

3. A vm-nva fájlban bontsa ki a Hálózatkezelés elemet, majd válassza a Hálózati beállítások lehetőséget.

4. Válassza ki a hálózati adapter melletti adapter nevét: A név vm-nva névvel kezdődik, és véletlenszerű szám van hozzárendelve a felülethez. Ebben a példában a felület neve vm-nva313.

   

5. A hálózati adapter áttekintési lapján válassza ki az IP-konfigurációkat a Beállítások szakaszban.

6. Az IP-konfigurációkban válassza az IP-továbbítás engedélyezése melletti jelölőnégyzetet.

   

7. Válassza az Alkalmazás lehetőséget.

PowerShell

Engedélyezze az IP-továbbítást a vm-nva virtuális gép hálózati adapteréhez a Set-AzNetworkInterface használatával. Az alábbi példa engedélyezi az IP-továbbítást a vm-nva313 nevű hálózati adapterhez.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

CLI

Engedélyezze az IP-továbbítást a vm-nva virtuális gép hálózati adapteréhez az az network nic frissítéssel. Az alábbi példa engedélyezi az IP-továbbítást a vm-nvaVMNic nevű hálózati adapterhez.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

IP-továbbítás engedélyezése az operációs rendszerben

Ebben a szakaszban kapcsolja be az IP-továbbítást a vm-nva virtuális gép operációs rendszerének a hálózati forgalom továbbításához. A Parancs futtatása funkcióval szkriptet hajthat végre a virtuális gépen.

Portál

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.

2. A virtuális gépeken válassza a vm-nva elemet.

3. Bontsa ki Műveletek, majd válassza a Futtatás parancsot.

4. Válassza a RunShellScript lehetőséget.

5. Írja be a következő szkriptet a Parancsprogram futtatása ablakban:

   sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
   sudo sysctl -p
   

6. Válassza a Futtatás parancsot.

7. Várja meg, amíg a szkript befejeződik. A kimenet azt mutatja, hogy az IP-továbbítási beállítás engedélyezve van.

8. Térjen vissza a vm-nvaÁttekintés lapjára, és válassza az Újraindítás lehetőséget a virtuális gép újraindításához.

PowerShell

Engedélyezze az IP-továbbítást a vm-nva virtuális gép operációs rendszerében az Invoke-AzVMRunCommand használatával. Az alábbi példa lehetővé teszi az IP-továbbítást az operációs rendszerben.

$runCommandParams = @{
    ResourceGroupName = "test-rg"
    VMName = "vm-nva"
    CommandId = "RunShellScript"
    ScriptString = @"
sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sudo sysctl -p
"@
}
Invoke-AzVMRunCommand @runCommandParams

CLI

Engedélyezze az IP-továbbítást a vm-nva virtuális gép operációs rendszerében az az vm run-command invoke paranccsal. Az alábbi példa lehetővé teszi az IP-továbbítást az operációs rendszerben.

az vm run-command invoke \
    --resource-group test-rg \
    --name vm-nva \
    --command-id RunShellScript \
    --scripts "sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf" "sudo sysctl -p"

Útvonaltábla létrehozása

Ebben a szakaszban hozzon létre egy útvonaltáblát az NVA virtuális gépen keresztüli forgalom útvonalának meghatározásához. Az útvonaltábla a subnet-1 alhálózathoz van társítva, ahol a vm-public virtuális gép üzembe van helyezve.

Portál

1. A portál tetején található keresőmezőbe írja be az Útvonal táblát. Válassza az Útvonaltáblák lehetőséget a keresési eredmények között.

2. Válassza a +Létrehozás lehetőséget.

3. Az Útvonal létrehozása táblában adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Régió	Válassza az USA 2. keleti régiója lehetőséget.
   Név	Adja meg a route-table-public nevet.
   Átjáró útvonalak terjesztése	Hagyja meg az Igen alapértelmezett értékét.

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Válassza a Létrehozás lehetőséget.

Útvonal létrehozása

Ebben a szakaszban hozzon létre egy útvonalat az előző lépésekben létrehozott útvonaltáblában.

1. A portál tetején található keresőmezőbe írja be az Útvonal táblát. Válassza az Útvonaltáblák lehetőséget a keresési eredmények között.

2. Válassza a route-table-public lehetőséget.

3. Bontsa ki a Beállítások elemet , majd válassza az Útvonalak lehetőséget.

4. Válassza a + Hozzáadás lehetőséget az Útvonalak menüben.

5. Adja meg vagy válassza ki a következő adatokat az Útvonal hozzáadása területen:

   Beállítás	Érték
   Útvonal neve	Adja meg a privát alhálózatot.
   Cél típusa	Válassza ki az IP-címeket.
   Cél IP-címek/CIDR-tartományok	Adja meg a 10.0.2.0/24 értéket.
   A következő ugrás típusa	Válassza a Virtuális berendezés lehetőséget.
   Következő útvonal cím	Adja meg a 10.0.3.4 értéket. Ez a korábbi lépésekben létrehozott vm-nva IP-címe.

6. Válassza a Hozzáadás lehetőséget.

7. Válassza az Alhálózatok lehetőséget a Beállítások területen.

8. Válassza a +Társítás lehetőséget.

9. Adja meg vagy válassza ki a következő adatokat a Társítás alhálózatban:

   Beállítás	Érték
   Virtuális hálózat	Válassza ki a vnet-1 (test-rg) elemet.
   Alhálózat	Válassza a subnet-1 alhálózatot.

10. Kattintson az OK gombra.

PowerShell

Hozzon létre egy útvonaltáblát a New-AzRouteTable használatával. Az alábbi példa létrehoz egy route-table-public nevű útvonaltáblát.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Útvonal létrehozásához kérje le az útvonaltábla objektumát a Get-AzRouteTable használatával, hozzon létre egy útvonalat az Add-AzRouteConfig használatával, majd írja be az útvonalkonfigurációt az útvonaltáblába a Set-AzRouteTable használatával.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Társítsa az útvonaltáblát a subnet-1 alhálózattal a Set-AzVirtualNetworkSubnetConfig paranccsal. Az alábbi példa az route-table-public route táblát társítja az 1 . alhálózathoz.

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

CLI

Hozzon létre egy útvonaltáblát az az network route-table create használatával. Az alábbi példa létrehoz egy route-table-public nevű útvonaltáblát.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

Hozzon létre egy útvonalat az útvonaltáblában a az network route-table route create parancs használatával.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

Társítsa a route-table-subnet-public útvonal táblát az subnet-1 alhálózathoz az az network vnet subnet update segítségével.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

A hálózati forgalom útválasztásának tesztelése

A hálózati forgalom útválasztásának tesztelése a vm-public és a vm-private között. A hálózati forgalom útválasztásának tesztelése vm-private és vm-public között.

A hálózati forgalom tesztelése a nyilvános virtuális gépről a privát virtuális gépre

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.

2. A virtuális gépeknél válassza a vm-public elemet.

3. Az Áttekintés szakaszban válassza a Csatlakozás lehetőséget, majd a Csatlakozás a Bastionon keresztül lehetőséget.

4. A Bastion kapcsolatoldalon adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Hitelesítési típus	Válassza ki az SSH titkos kulcsát a helyi fájlból.
   Felhasználónév	Adja meg a létrehozott felhasználónevet.
   Helyi fájl	Válassza ki a letöltött vm-public-key privát kulcsfájlt.

5. Válassza a Kapcsolódás lehetőséget.

6. A parancssorba írja be a következő parancsot a hálózati forgalom vm-public és vm-private közötti útválasztásának nyomon követéséhez:

   tracepath vm-private
   

   A válasz a következő példához hasonló:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   Láthatja, hogy ebben a válaszban két ugrás található az ICMP-forgalom számára tracepath a nyilvános virtuális gép és a privát virtuális gép között. Az első ugrás a vm-nva. A második ugrás a vm-private cél.

   Az Azure az 1. alhálózatról az NVA-n keresztül küldte a forgalmat, nem pedig közvetlenül a privát alhálózatra, mert korábban hozzáadta a privát-alhálózati útvonalat a route-table-publichoz, és az 1. alhálózathoz társította.

7. Zárja be a Bastion-munkamenetet.

Virtuális gépek közötti hálózati forgalom tesztelése vm-private hálózatáról vm-public hálózatára

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.

2. A virtuális gépek között válassza a vm-private lehetőséget.

3. Az Áttekintés szakaszban válassza a Csatlakozás lehetőséget, majd a Csatlakozás a Bastionon keresztül lehetőséget.

4. A Bastion kapcsolatoldalon adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Hitelesítési típus	Válassza ki az SSH titkos kulcsát a helyi fájlból.
   Felhasználónév	Adja meg a létrehozott felhasználónevet.
   Helyi fájl	Válassza ki a letöltött vm-privát-kulcs privát kulcsfájlt.

5. Válassza a Kapcsolódás lehetőséget.

6. A parancssorba írja be a következő parancsot a hálózati forgalom vm-private és vm-public közötti útválasztásának nyomon követéséhez:

   tracepath vm-public
   

   A válasz a következő példához hasonló:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   Ebben a válaszban egy ugrás látható, amely a cél virtuális gép nyilvános.

   Az Azure közvetlenül a privát alhálózatról az 1. alhálózatra küldte a forgalmat. Alapértelmezés szerint az Azure közvetlenül irányítja a forgalmat az alhálózatok között.

7. Zárja be a Bastion-munkamenetet.

Portál

Ha befejezte a létrehozott erőforrások használatát, törölheti az erőforráscsoportot és annak összes erőforrását.

1. Az Azure Portalon keresse meg és válassza ki az erőforráscsoportokat.

2. Az Erőforráscsoportok lapon válassza ki a test-rg erőforráscsoportot.

3. A test-rg lapon válassza az Erőforráscsoport törlése lehetőséget.

4. A törlés megerősítéséhez írja be a test-rg értéket az Erőforráscsoport neve mezőbe, majd válassza a Törlés lehetőséget.

PowerShell

Ha már nincs rá szükség, a Remove-AzResourcegroup használatával távolítsa el az erőforráscsoportot és az összes benne lévő erőforrást.

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

CLI

Ha már nincs rá szükség, a group delete parancs használatával távolítsa el az erőforráscsoportot és az összes benne lévő erőforrást.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Következő lépések

Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:

• Létrehozott egy útvonaltáblát, és hozzárendelte egy alhálózathoz.

• Létrehozott egy egyszerű NVA-t, amely egy nyilvános alhálózatról egy privát alhálózatra irányította a forgalmat.

Az Azure Marketplace-ről különböző előre konfigurált NVA-kat helyezhet üzembe, amelyek számos hasznos hálózati funkciót biztosítanak.

További információ az útválasztásról: Az útválasztás áttekintése; Útválasztási táblázat kezelése. Az útválasztás az Azure Virtual Network Manager felhasználó által definiált útválasztási (UDR) felügyeleti funkciójával is automatikusan konfigurálható nagy léptékben.

Ha szeretné megtudni, hogyan korlátozhatja a PaaS-erőforrásokhoz való hálózati hozzáférést virtuális hálózati szolgáltatásvégpontokkal, folytassa a következő oktatóanyaggal.

Hálózati hozzáférés korlátozása szolgáltatásvégpontok használatával