Esercitazione: Instradare il traffico di rete con una tabella di route usando il portale di Azure
Per impostazione predefinita, Azure instrada il traffico tra tutte le subnet di una rete virtuale. È possibile creare le proprie route per eseguire l'override del routing predefinito di Azure. Le route personalizzate sono utili quando, ad esempio, si vuole indirizzare il traffico tra subnet attraverso un'appliance virtuale di rete.
In questa esercitazione apprenderai a:
- Creare una rete virtuale e le subnet
- Creare un'appliance virtuale di rete che indirizza il traffico
- Distribuire macchine virtuali (VM) in subnet diverse
- Creare una tabella di route
- Creare una route
- Associare una tabella di routing a una subnet
- Indirizzare il traffico da una subnet a un'altra attraverso un'appliance virtuale di rete
Prerequisiti
- Un account Azure con una sottoscrizione attiva. È possibile creare gratuitamente un account.
Accedere ad Azure
Accedi al portale di Azure.
Creare una rete virtuale e un host bastion
La procedura seguente crea una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Azure Bastion.
Nel portale cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali selezionare + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo.
Immettere test-rg in Nome.
Selezionare OK.Dettagli istanza Nome Immettere vnet-1. Area Selezionare Stati Uniti orientali 2. 
Selezionare Avanti per passare alla scheda Sicurezza .
Selezionare Abilita Bastion nella sezione Azure Bastion della scheda Sicurezza .
Azure Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite SSH (Secure Shell) o RDP (Remote Desktop Protocol) usando gli indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazione speciale. Per altre informazioni su Azure Bastion, vedere Azure Bastion
Nota
I prezzi orari iniziano dal momento in cui Bastion viene distribuito, indipendentemente dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU.
Se si distribuisce Bastion come parte di un'esercitazione o un test, è consigliabile eliminare questa risorsa al termine dell'uso.
Immettere o selezionare le informazioni seguenti in Azure Bastion:
Impostazione Valore Nome host di Azure Bastion Immettere bastion. Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
Immettere public-ip in Nome.
Selezionare OK.
Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella casella Spazio indirizzi in Subnet selezionare la subnet predefinita.
In Modifica subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli subnet Modello di subnet Lasciare il valore predefinito Predefinito. Nome Immettere subnet-1. Indirizzo iniziale Lasciare il valore predefinito 10.0.0.0. Dimensioni della subnet Lasciare il valore predefinito /24(256 indirizzi). 
Seleziona Salva.
Selezionare Rivedi e crea in fondo allo schermo e, quando la convalida ha esito positivo, selezionare Crea.
Creare subnet
Per questa esercitazione sono necessari una rete perimetrale e una subnet privata. La subnet della rete perimetrale è la posizione in cui si distribuisce l'appliance virtuale di rete e la subnet privata è la posizione in cui si distribuiscono le macchine virtuali a cui si vuole instradare il traffico. La subnet-1 è la subnet creata nei passaggi precedenti. Usare subnet-1 per la macchina virtuale pubblica.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
In Reti virtuali selezionare vnet-1.
In vnet-1 selezionare Subnet nella sezione Impostazioni.
Nell'elenco subnet della rete virtuale selezionare + Subnet.
In Aggiungi subnet immettere o selezionare le informazioni seguenti:
Impostazione valore Nome Immettere subnet-private. Intervallo di indirizzi subnet Immettere 10.0.2.0/24. 
Seleziona Salva.
Selezionare + Subnet.
In Aggiungi subnet immettere o selezionare le informazioni seguenti:
Impostazione valore Nome Immettere subnet-dmz. Intervallo di indirizzi subnet Immettere 10.0.3.0/24. 
Seleziona Salva.
Creare una macchina virtuale dell'appliance virtuale di rete
Le appliance virtuali di rete (appliance virtuali) sono macchine virtuali utili per le funzioni di rete, ad esempio l'ottimizzazione del routing e del firewall. In questa sezione creare un'appliance virtuale di rete usando una macchina virtuale Ubuntu 22.04 .
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea e quindi macchina virtuale di Azure.
In Crea una macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-nva. Area Selezionare (Stati Uniti) Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Ubuntu Server 22.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-dmz (10.0.3.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
In Nome immettere nsg-nva.
Selezionare OK.Lasciare invariate le opzioni predefinite e selezionare Rivedi e crea.
Seleziona Crea.
Creare le macchine virtuali pubblica e privata
Creare due macchine virtuali nella rete virtuale vnet-1 . Una macchina virtuale si trova nella subnet 1 e l'altra si trova nella subnet privata della subnet. Usare la stessa immagine di macchina virtuale per entrambe le macchine virtuali.
Creare una macchina virtuale pubblica
La macchina virtuale pubblica viene usata per simulare una macchina in Internet pubblico. La macchina virtuale pubblica e privata viene usata per testare il routing del traffico di rete attraverso la macchina virtuale dell'appliance virtuale di rete.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea e quindi macchina virtuale di Azure.
In Crea una macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-public. Area Selezionare (Stati Uniti) Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Ubuntu Server 22.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-1 (10.0.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno. Lasciare invariate le opzioni predefinite e selezionare Rivedi e crea.
Seleziona Crea.
Creare una macchina virtuale privata
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea e quindi macchina virtuale di Azure.
In Crea una macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-private. Area Selezionare (Stati Uniti) Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Ubuntu Server 22.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-private (10.0.2.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno. Lasciare invariate le opzioni predefinite e selezionare Rivedi e crea.
Seleziona Crea.
Abilitare l'inoltro IP
Per instradare il traffico attraverso l'appliance virtuale di rete, attivare l'inoltro IP in Azure e nel sistema operativo di vm-nva. Quando l'inoltro IP è abilitato, qualsiasi traffico ricevuto da vm-nva destinato a un indirizzo IP diverso, non viene eliminato e viene inoltrato alla destinazione corretta.
Abilitare l'inoltro IP in Azure
In questa sezione viene attivato l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva .
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare vm-nva.
In vm-nva selezionare Rete nella sezione Impostazioni.
Selezionare il nome dell'interfaccia accanto a Interfaccia di rete:. Il nome inizia con vm-nva e ha un numero casuale assegnato all'interfaccia. Il nome dell'interfaccia in questo esempio è vm-nva124.
Nella pagina di panoramica dell'interfaccia di rete selezionare Configurazioni IP nella sezione Impostazioni.
In Configurazioni IP selezionare la casella accanto a Abilita inoltro IP.
Selezionare Applica.
Abilitare l'inoltro IP nel sistema operativo
In questa sezione attivare l'inoltro IP per il sistema operativo della macchina virtuale vm-nva per inoltrare il traffico di rete. Usare il servizio Azure Bastion per connettersi alla macchina virtuale vm-nva .
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare vm-nva.
Selezionare Bastion nella sezione Operazioni .
Immettere il nome utente e la password immessi al momento della creazione della macchina virtuale.
Selezionare Connetti.
Immettere le informazioni seguenti al prompt della macchina virtuale per abilitare l'inoltro IP:
sudo vim /etc/sysctl.confNell'editor Vim rimuovere dalla
#riganet.ipv4.ip_forward=1:Premere il tasto Inserisci .
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Premere ESC.
Immettere
:wqe premere INVIO.Chiudere la sessione Bastion.
Riavviare la macchina virtuale.
Creare una tabella di route
In questa sezione creare una tabella di route per definire la route del traffico attraverso la macchina virtuale dell'appliance virtuale di rete. La tabella di route è associata alla subnet subnet-1 in cui viene distribuita la macchina virtuale vm-public .
Nella casella di ricerca nella parte superiore del portale immettere Tabella route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
In Crea tabella di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Area Selezionare Stati Uniti orientali 2. Nome Immettere route-table-public. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Creare una route
In questa sezione creare una route nella tabella di route creata nei passaggi precedenti.
Nella casella di ricerca nella parte superiore del portale immettere Tabella route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare route-table-public.
In Impostazioni selezionare Route.
Selezionare + Aggiungi in Route.
Immettere o selezionare le informazioni seguenti in Aggiungi route:
Impostazione Valore Nome route Immettere to-private-subnet. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 10.0.2.0/24. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.0.3.4.
Questo è l'indirizzo IP di vm-nva creato nei passaggi precedenti.
Seleziona Aggiungi.
Selezionare Subnet in Impostazioni.
Selezionare + Associa.
Immettere o selezionare le informazioni seguenti in Associa subnet:
Impostazione Valore Rete virtuale Selezionare vnet-1 (test-rg). Subnet Selezionare subnet-1. Seleziona OK.
Testare il routing del traffico di rete
Testare il routing del traffico di rete da vm-public a vm-private. Testare il routing del traffico di rete da vm-private a vm-public.
Testare il traffico di rete da vm-public a vm-private
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare vm-public.
Selezionare Bastion nella sezione Operazioni .
Immettere il nome utente e la password immessi al momento della creazione della macchina virtuale.
Selezionare Connetti.
Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-public a vm-private:
tracepath vm-privateLa risposta restituita è simile all'esempio seguente:
azureuser@vm-public:~$ tracepath vm-private 1?: [LOCALHOST] pmtu 1500 1: vm-nva.internal.cloudapp.net 1.766ms 1: vm-nva.internal.cloudapp.net 1.259ms 2: vm-private.internal.cloudapp.net 2.202ms reached Resume: pmtu 1500 hops 2 back 1È possibile notare che nella risposta precedente sono presenti due hop per
tracepathil traffico ICMP da vm-public a vm-private. Il primo hop è vm-nva. Il secondo hop è la vm-private di destinazione.Azure ha inviato il traffico dalla subnet-1 all'appliance virtuale di rete e non direttamente alla subnet privata perché in precedenza è stata aggiunta la route alla subnet privata a route-table-public e associata alla subnet-1.
Chiudere la sessione Bastion.
Testare il traffico di rete da vm-private a vm-public
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare vm-private.
Selezionare Bastion nella sezione Operazioni .
Immettere il nome utente e la password immessi al momento della creazione della macchina virtuale.
Selezionare Connetti.
Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-private a vm-public:
tracepath vm-publicLa risposta restituita è simile all'esempio seguente:
azureuser@vm-private:~$ tracepath vm-public 1?: [LOCALHOST] pmtu 1500 1: vm-public.internal.cloudapp.net 2.584ms reached 1: vm-public.internal.cloudapp.net 2.147ms reached Resume: pmtu 1500 hops 1 back 2È possibile notare che è presente un hop nella risposta precedente, ovvero la vm-public di destinazione.
Azure ha inviato il traffico direttamente dalla subnet privata alla subnet-1. Per impostazione predefinita, Azure instrada il traffico direttamente tra subnet.
Chiudere la sessione Bastion.
Pulire le risorse
Al termine dell'uso delle risorse create, è possibile eliminare il gruppo di risorse e tutte le relative risorse.
Accedere al portale di Azure e selezionare Gruppi di risorse.
Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.
Nella pagina test-rg selezionare Elimina gruppo di risorse.
Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione e selezionare Elimina.
Passaggi successivi
In questa esercitazione:
Creare una tabella di route e associarla a una subnet.
È stata creata una semplice appliance virtuale di rete che instradava il traffico da una subnet pubblica a una subnet privata.
È possibile distribuire diverse appliance virtuali di rete preconfigurate da Azure Marketplace, che offrono molte funzioni di rete utili.
Per altre informazioni sul routing, vedere Panoramica del routing e Gestire una tabella di route.
Per informazioni su come limitare l'accesso di rete alle risorse PaaS con endpoint servizio di rete virtuale, passare all'esercitazione successiva.