Esercitazione: usare un gateway NAT con una rete hub-spoke
Una rete hub-spoke è uno dei blocchi predefiniti di un'infrastruttura di rete a più posizioni a disponibilità elevata. La distribuzione più comune di una rete hub-spoke viene eseguita con l'intenzione di instradare tutto il traffico Internet tra spoke e in uscita attraverso l'hub centrale. Lo scopo è controllare tutto il traffico che attraversa la rete con un'appliance virtuale di rete (NVA) per l'analisi della sicurezza e l'ispezione dei pacchetti.
Per il traffico in uscita verso Internet, l'appliance virtuale di rete in genere avrà un'interfaccia di rete con un indirizzo IP pubblico assegnato. Dopo aver esaminato il traffico in uscita, l'appliance virtuale di rete inoltra il traffico all'esterno dell'interfaccia pubblica e a Internet. Il gateway NAT di Azure elimina la necessità dell'indirizzo IP pubblico assegnato all'appliance virtuale di rete. L'associazione di un gateway NAT alla subnet pubblica dell'appliance virtuale di rete modifica il routing per l'interfaccia pubblica per instradare tutto il traffico Internet in uscita attraverso il gateway NAT. L'eliminazione dell'indirizzo IP pubblico aumenta la sicurezza e consente la scalabilità di SNAT (Source Network Address Translation) in uscita con più indirizzi IP pubblici e/o prefissi IP pubblici.
Importante
L'appliance virtuale di rete usata in questo articolo ha solo scopo dimostrativo e viene simulata con una macchina virtuale Ubuntu. La soluzione non include un servizio di bilanciamento del carico per la disponibilità elevata della distribuzione dell'appliance virtuale di rete. Sostituire la macchina virtuale Ubuntu in questo articolo con l'appliance virtuale di rete preferita. Per istruzioni di routing e configurazione, consultare il fornitore dell'appliance virtuale di rete scelta. Per un'infrastruttura di appliance virtuale di rete a disponibilità elevata si consigliano un servizio di bilanciamento del carico e zone di disponibilità.
In questa esercitazione apprenderai a:
- Creare un gateway NAT.
- Creare una rete virtuale hub-spoke.
- Creare un'appliance virtuale di rete simulata (NVA).
- Forzare tutto il traffico dagli spoke attraverso l'hub.
- Forzare tutto il traffico Internet nell'hub e gli spoke fuori dal gateway NAT.
- Testare il gateway NAT e il routing tra spoke.
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Creare un gateway NAT
Tutto il traffico Internet in uscita attraversa il gateway NAT andando verso Internet. Usare l’esempio seguente per creare un gateway NAT per la rete hub-spoke.
Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere gateway NAT. Selezionare Gateway NAT nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Crea un gateway NAT (Network Address Translation) immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo.
Immettere test-rg in Nome.
Selezionare OK.Dettagli istanza Nome del gateway NAT Immettere nat-gateway. Paese Selezionare Stati Uniti orientali 2. Zona di disponibilità Selezionare una zona o Nessuna zona. Timeout di inattività TCP (minuti) Lasciare l'impostazione predefinita 4. Selezionare Avanti: IP in uscita.
In IP in uscita, in Indirizzi IP pubblici, selezionare Crea un nuovo indirizzo IP pubblico.
Immettere public-ip-nat in Nome.
Seleziona OK.
Selezionare Rivedi e crea.
Seleziona Crea.
Creare una rete virtuale hub
La rete virtuale hub è la rete centrale della soluzione. La rete hub contiene l'appliance virtuale di rete e una subnet pubblica e privata. Il gateway NAT viene assegnato alla subnet pubblica durante la creazione della rete virtuale. Un host Azure Bastion è configurato come parte dell'esempio seguente. L'host bastion viene usato per connettersi in modo sicuro alla macchina virtuale dell'appliance virtuale di rete e alle macchine virtuali di test distribuite negli spoke più avanti nell'articolo.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome Immettere vnet-hub. Paese Selezionare Stati Uniti orientali 2. Selezionare Avanti per passare alla scheda Sicurezza.
Selezionare Abilita Azure Bastion nella sezione Azure Bastion della scheda Sicurezza.
Azure Bastion usa il browser per connettersi alle VM nella rete virtuale tramite Secure Shell (SSH) o Remote Desktop Protocol (RDP) usando i relativi indirizzi IP privati. Le VM non necessitano di indirizzi IP pubblici, software client o configurazione speciale. Per altre informazioni su Azure Bastion, vedere Azure Bastion
Immettere o selezionare le informazioni seguenti in Azure Bastion:
Impostazione Valore Nome host Azure Bastion Immettere bastion. Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
Immettere public-ip-bastion in Nome.
Selezionare OK.Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.
In Modifica subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-private. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16. Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0. Dimensione Lasciare l'impostazione predefinita /24(256 indirizzi). Seleziona Salva.
Selezionare + Aggiungi una subnet.
In Aggiungi subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-public. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16. Indirizzo iniziale Immettere 10.0.253.0. Dimensione Selezionare /28(16 indirizzi). Sicurezza Gateway NAT Selezionare nat-gateway. Selezionare Aggiungi.
Selezionare Rivedi e crea.
Seleziona Crea.
La distribuzione dell'host bastion richiede qualche minuto. Quando viene creata la rete virtuale nell’ambito della distribuzione, è possibile procedere con i passaggi successivi.
Creare una macchina virtuale di appliance virtuale di rete simulata
L'appliance virtuale di rete simulata funge da appliance virtuale per instradare tutto il traffico tra gli spoke e l'hub e il traffico in uscita verso Internet. Una macchina virtuale Ubuntu viene usata per l'appliance virtuale di rete simulata. Usare l'esempio seguente per creare l'appliance virtuale di rete simulata e configurare le interfacce di rete.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea quindi Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-nva. Paese Selezionare (Stati Uniti) Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Ubuntu Server 24.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vNet-hub. Subnet Selezionare subnet-public (10.0.253.0/28). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
In Nome immettere nsg-nva.
Selezionare OK.Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.
Seleziona Crea.
Configurare le interfacce di rete di macchina virtuale
La configurazione IP dell'interfaccia di rete primaria della macchina virtuale è impostata su dinamica per impostazione predefinita. Usare l'esempio seguente per modificare la configurazione IP dell'interfaccia di rete primaria in statica e aggiungere un'interfaccia di rete secondaria per l'interfaccia privata dell'appliance virtuale di rete.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-nva.
In Panoramica selezionare Arresta se la macchina virtuale è in esecuzione.
Espandere Rete quindi selezionare Impostazioni di rete.
In Impostazioni di rete selezionare il nome dell'interfaccia di rete accanto a Interfaccia di rete:. Il nome dell'interfaccia è il nome della macchina virtuale con numeri e lettere casuali. In questo esempio il nome dell'interfaccia è vm-nva271.
Nelle proprietà dell'interfaccia di rete, selezionare configurazioni IP in Impostazioni.
Selezionare la casella accanto a Abilita inoltro IP.
Selezionare Applica.
Al termine dell'azione di applicazione, selezionare ipconfig1.
In impostazioni indirizzo IP privato in ipconfig1 selezionare Statico.
In Indirizzo IP privato immettere 10.0.253.10.
Seleziona Salva.
Al termine dell'azione di salvataggio, tornare alla configurazione di rete per vm-nva.
In Impostazioni di rete di vm-nva, selezionare Collega interfaccia di rete.
Selezionare Crea e collega interfaccia di rete.
In Crea interfaccia di rete, immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Gruppo di risorse Selezionare test-rg. Interfaccia di rete Nome Immettere nic-private. Subnet Selezionare subnet-private (10.0.0.0/24). Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate. Configura gruppo di sicurezza di rete Selezionare nsg-nva. Assegnazione di indirizzi IP privati Selezionare Statico. Indirizzo IP privato Immettere 10.0.0.10. Seleziona Crea.
Configurare il software della macchina virtuale
Il routing per l'appliance virtuale di rete simulata usa tabelle IP e NAT interno nella macchina virtuale Ubuntu. Connettersi alla macchina virtuale dell'appliance virtuale di rete con Azure Bastion per configurare le tabelle IP e il routing.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-nva.
Avviare vm-nva.
Al termine dell'avvio della macchina virtuale, continuare con i passaggi successivi.
Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.
Selezionare Connetti.
Immettere le informazioni seguenti nel prompt della macchina virtuale per abilitare l'inoltro IP:
sudo vim /etc/sysctl.confNell'editor Vim rimuovere
#dalla riganet.ipv4.ip_forward=1:Premere il tasto INS.
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Premere il tasto ESC.
Immettere
:wqe premere Invio.Immettere le informazioni seguenti per abilitare il NAT interno nella macchina virtuale:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistentSelezionare Sì due volte.
sudo su iptables-save > /etc/iptables/rules.v4 exitUsare Vim per modificare la configurazione con le informazioni seguenti:
sudo vim /etc/rc.localPremere il tasto INS.
Aggiungere la riga seguente al file di configurazione:
/sbin/iptables-restore < /etc/iptables/rules.v4Premere il tasto ESC.
Immettere
:wqe premere Invio.Riavvio della macchina virtuale:
sudo reboot
Creare una tabella di route di rete hub
Le tabelle di route vengono usate per sovrascrivere il routing predefinito di Azure. Creare una tabella di route per forzare tutto il traffico all'interno della subnet privata dell'hub tramite l'appliance virtuale di rete simulata.
Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
In Crea tabella di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Paese Selezionare Stati Uniti orientali 2. Nome Immettere route-table-nat-hub. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare route-table-nat-hub.
Espandere Impostazioni, quindi selezionare Route.
Selezionare + Aggiungi in Route.
Immettere o selezionare le informazioni seguenti in Aggiungi route:
Impostazione Valore Nome route Immettere default-via-nat-hub. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 0.0.0.0/0. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.0.0.10.
Questo è l'indirizzo IP aggiunto all'interfaccia privata dell'appliance virtuale di rete nei passaggi precedenti.Selezionare Aggiungi.
Selezionare subnet in Impostazioni.
Selezionare + Associa.
Immettere o selezionare le informazioni seguenti in Associa subnet:
Impostazione Valore Rete virtuale Selezionare vnet-hub (test-rg). Subnet Selezionare subnet-private. Seleziona OK.
Creare una rete virtuale spoke
Creare un'altra rete virtuale in un'area diversa per il primo spoke della rete hub-spoke.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome Immettere vnet-spoke-1. Paese Selezionare (USA) Stati Uniti centro-meridionali. Selezionare Avanti per passare alla scheda Sicurezza.
Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella scheda Indirizzi IP nello spazio indirizzi IPv4, selezionare Elimina spazio indirizzi per eliminare lo spazio indirizzi popolato automaticamente.
Selezionare Aggiungi spazio indirizzi IPv4.
Per lo spazio indirizzi IPv4 digitare 10.1.0.0. Lasciare il valore predefinito /16 (65.536 indirizzi) nella maschera di selezione.
Selezionare + Aggiungi una subnet.
In Aggiungi una subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-private. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.1.0.0/16. Indirizzo iniziale Lasciare l'impostazione predefinita 10.1.0.0. Dimensione Lasciare l'impostazione predefinita /24(256 indirizzi). Selezionare Aggiungi.
Selezionare Rivedi e crea.
Seleziona Crea.
Creare il peering tra hub e spoke uno
Un peering di rete virtuale viene usato per connettere l'hub allo spoke uno e spoke uno all'hub. Usare l'esempio seguente per creare un peering di rete bidirezionale tra l'hub e lo spoke uno.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vNet-hub.
Selezionare Peering, in Impostazioni.
Seleziona + Aggiungi.
In Aggiungi peering, immettere o selezionare le informazioni seguenti:
Impostazione Valore Riepilogo della rete virtuale remota Nome del collegamento di peering Immettere vnet-spoke-1-to-vnet-hub. Modello di distribuzione della rete virtuale Lasciare il valore predefinito di Resource Manager. Subscription Selezionare la propria sottoscrizione. Rete virtuale Selezionare vnet-spoke-1 (test-rg). Impostazioni del peering di reti virtuali remoto Consentire a “vnet-spoke-1” di accedere a “vnet-hub” Lasciare selezionato come da impostazione predefinita. Consentire a "vnet-spoke-1" di ricevere traffico inoltrato da "vnet-hub" Selezionare la casella di controllo. Consentire al gateway o al server di route in 'vnet-spoke-1' di inoltrare il traffico a 'vnet-hub' Lasciare le opzioni non selezionate come da impostazione predefinita. Abilitare 'vnet-spoke-1' per l'uso del gateway remoto o del server di route 'vnet-hub' Lasciare le opzioni non selezionate come da impostazione predefinita. Riepilogo della rete virtuale locale Nome del collegamento di peering Immettere vnet-hub-to-vnet-spoke-1. Impostazioni del peering di reti virtuali locale Consentire a “vnet-hub” di accedere a “vnet-spoke-1” Lasciare selezionato come da impostazione predefinita. Consentire a "vnet-hub" di ricevere traffico inoltrato da "vnet-spoke-1" Selezionare la casella di controllo. Consentire al gateway o al server di route in 'vnet-hub' di inoltrare il traffico a 'vnet-spoke-1' Lasciare le opzioni non selezionate come da impostazione predefinita. Abilitare 'vnet-hub' per usare il gateway remoto o il server di route 'vnet-spoke-1' Lasciare le opzioni non selezionate come da impostazione predefinita. Selezionare Aggiungi.
Selezionare Aggiorna e verificare che lo stato del peering sia Connesso.
Creare una tabella di route di rete spoke uno
Creare una tabella di route per forzare tutto il traffico in uscita tra spoke e verso Internet attraverso l'appliance virtuale di rete simulata nella rete virtuale hub.
Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
In Crea tabella di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Paese selezionare Stati Uniti centro-meridionali. Nome Immettere route-table-nat-spoke-1. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare route-table-nat-spoke-1.
In Impostazioni selezionare Route.
Selezionare + Aggiungi in Route.
Immettere o selezionare le informazioni seguenti in Aggiungi route:
Impostazione Valore Nome route Immettere default-via-nat-spoke-1. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 0.0.0.0/0. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.0.0.10.
Questo è l'indirizzo IP aggiunto all'interfaccia privata dell'appliance virtuale di rete nei passaggi precedenti.Selezionare Aggiungi.
Selezionare subnet in Impostazioni.
Selezionare + Associa.
Immettere o selezionare le informazioni seguenti in Associa subnet:
Impostazione Valore Rete virtuale Selezionare vnet-spoke-1 (test-rg). Subnet Selezionare subnet-private. Seleziona OK.
Creare una macchina virtuale di test spoke uno
Una macchina virtuale Windows Server 2022 viene usata per testare il traffico Internet in uscita attraverso il gateway NAT e il traffico tra spoke nella rete hub-spoke. Usare l'esempio seguente per creare una macchina virtuale Windows Server 2022.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea quindi Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-spoke-1. Paese Selezionare (USA) Stati Uniti centro-meridionali. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Image Selezionare Windows Server 2022 Datacenter - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-spoke-1. Subnet Selezionare subnet-private (10.1.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
Immettere nsg-spoke-1.Regole in ingresso Selezionare + Aggiungi una regola in ingresso.
Selezionare HTTP in Servizio.
Selezionare Aggiungi.
Selezionare OK.Seleziona OK.
Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.
Seleziona Crea.
Prima di continuare con i passaggi successivi, attendere il completamento della distribuzione della macchina virtuale.
Installare IIS in una macchina virtuale di test spoke uno
IIS viene installato sulla macchina virtuale Windows Server 2022 per testare il traffico Internet in uscita attraverso il gateway NAT e il traffico tra spoke nella rete hub-spoke.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-spoke-1.
Espandere Operazioni, quindi selezionare Esegui comando.
Selezionare RunPowerShellScript.
Immettere lo script seguente in Esegui script comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selezionare Esegui.
Attendere il completamento dello script prima di continuare con il passaggio successivo. Il completamento dello script può richiedere alcuni minuti.
Al termine dello script, l'Output mostra quanto segue:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Creare la seconda rete virtuale spoke
Creare la seconda rete virtuale per il secondo spoke della rete hub-spoke.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome Immettere vnet-spoke-2. Paese Selezionare (Stati Uniti) Stati Uniti occidentali 2. Selezionare Avanti per passare alla scheda Sicurezza.
Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella scheda Indirizzi IP nello spazio indirizzi IPv4, selezionare Elimina spazio indirizzi per eliminare lo spazio indirizzi popolato automaticamente.
Selezionare Aggiungi spazio indirizzi IPv4.
Per lo spazio indirizzi IPv4 digitare 10.2.0.0. Lasciare il valore predefinito /16 (65.536 indirizzi) nella maschera di selezione.
Selezionare + Aggiungi una subnet.
In Aggiungi una subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-private. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.2.0.0/16. Indirizzo iniziale Lasciare l'impostazione predefinita 10.2.0.0. Dimensione Lasciare l'impostazione predefinita /24(256 indirizzi). Selezionare Aggiungi.
Selezionare Rivedi e crea.
Seleziona Crea.
Creare il peering tra hub e spoke due
Creare un peer di rete virtuale bidirezionale tra l'hub e lo spoke due.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vNet-hub.
Selezionare Peering, in Impostazioni.
Seleziona + Aggiungi.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vNet-hub.
Selezionare Peering, in Impostazioni.
Seleziona + Aggiungi.
In Aggiungi peering, immettere o selezionare le informazioni seguenti:
Impostazione Valore Riepilogo della rete virtuale remota Nome del collegamento di peering Immettere vnet-spoke-2-to-vnet-hub. Modello di distribuzione della rete virtuale Lasciare il valore predefinito di Resource Manager. Subscription Selezionare la propria sottoscrizione. Rete virtuale Selezionare vnet-spoke-2 (test-rg). Impostazioni del peering di reti virtuali remoto Consentire a 'vnet-spoke-2' di accedere a 'vnet-hub' Lasciare selezionato come da impostazione predefinita. Consentire a 'vnet-spoke-2' di ricevere traffico inoltrato da 'vnet-hub' Selezionare la casella di controllo. Consentire al gateway o al server di route in 'vnet-spoke-2' di inoltrare il traffico a 'vnet-hub' Lasciare le opzioni non selezionate come da impostazione predefinita. Abilitare 'vnet-spoke-2' per l'uso del gateway remoto o del server di route 'vnet-hub' Lasciare le opzioni non selezionate come da impostazione predefinita. Riepilogo della rete virtuale locale Nome del collegamento di peering Immettere vnet-hub-to-vnet-spoke-2. Impostazioni del peering di reti virtuali locale Consentire a “vnet-hub” di accedere a “vnet-spoke-2” Lasciare selezionato come da impostazione predefinita. Consentire a "vnet-hub" di ricevere traffico inoltrato da "vnet-spoke-2" Selezionare la casella di controllo. Consentire al gateway o al server di route in 'vnet-hub' di inoltrare il traffico a 'vnet-spoke-2' Lasciare le opzioni non selezionate come da impostazione predefinita. Abilitare 'vnet-hub' per usare il gateway remoto o il server di route 'vnet-spoke-2' Lasciare le opzioni non selezionate come da impostazione predefinita. Selezionare Aggiungi.
Selezionare Aggiorna e verificare che lo stato del peering sia Connesso.
Creare una tabella di route di rete spoke due
Creare una tabella di route per forzare tutto il traffico in uscita verso Internet e tra spoke attraverso l'appliance virtuale di rete simulata nella rete virtuale hub.
Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
In Crea tabella di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Paese Selezionare Stati Uniti occidentali 2. Nome Immettere route-table-nat-spoke-2. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare route-table-nat-spoke-2.
In Impostazioni selezionare Route.
Selezionare + Aggiungi in Route.
Immettere o selezionare le informazioni seguenti in Aggiungi route:
Impostazione Valore Nome route Immettere default-via-nat-spoke-2. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 0.0.0.0/0. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.0.0.10.
Questo è l'indirizzo IP aggiunto all'interfaccia privata dell'appliance virtuale di rete nei passaggi precedenti.Selezionare Aggiungi.
Selezionare subnet in Impostazioni.
Selezionare + Associa.
Immettere o selezionare le informazioni seguenti in Associa subnet:
Impostazione Valore Rete virtuale Selezionare vnet-spoke-2 (test-rg). Subnet Selezionare subnet-private. Seleziona OK.
Creare una macchina virtuale di test spoke due
Creare una macchina virtuale Windows Server 2022 per la macchina virtuale di test in spoke due.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea quindi Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-spoke-2. Paese Selezionare (Stati Uniti) Stati Uniti occidentali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Image Selezionare Windows Server 2022 Datacenter - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-spoke-2. Subnet Selezionare subnet-private (10.2.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
Immettere nsg-spoke-2.Regole in ingresso Selezionare + Aggiungi una regola in ingresso.
Selezionare HTTP in Servizio.
Selezionare Aggiungi.
Selezionare OK.Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.
Seleziona Crea.
Prima di proseguire con i passaggi successivi, attendere il completamento della distribuzione della macchina virtuale.
Installare IIS in una macchina virtuale di test spoke due
IIS viene installato sulla macchina virtuale Windows Server 2022 per testare il traffico Internet in uscita attraverso il gateway NAT e il traffico tra spoke nella rete hub-spoke.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-spoke-2.
In Operazioni, selezionare Esegui comando.
Selezionare RunPowerShellScript.
Immettere lo script seguente in Esegui script comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selezionare Esegui.
Attendere il completamento dello script prima di continuare con il passaggio successivo. Il completamento dello script può richiedere alcuni minuti.
Al termine dello script, l’output* mostra quanto segue:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Testare il gateway NAT
Connettersi alle macchine virtuali Windows Server 2022 create nei passaggi precedenti per verificare che il traffico Internet in uscita esca dal gateway NAT.
Ottenere l'indirizzo IP pubblico del gateway NAT
Ottenere l'indirizzo IP pubblico del gateway NAT per la verifica dei passaggi descritti più avanti nell'articolo.
Nella casella di ricerca nella parte superiore del portale, immettere Indirizzo IP pubblico. Selezionare Indirizzi IP pubblici nei risultati della ricerca.
Selezionare public-ip-nat.
Prendere nota del valore nell'indirizzo IP. L'esempio usato in questo articolo è 52.153.224.79.
Testare il gateway NAT dallo spoke uno
Usare Microsoft Edge nella macchina virtuale Windows Server 2022 per connettersi a https://whatsmyip.com per verificare la funzionalità del gateway NAT.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-spoke-1.
In Informazioni generali, selezionare Connetti quindi Connetti tramite Bastion.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.
Selezionare Connetti.
Aprire Microsoft Edge al termine del caricamento del desktop.
Nella barra degli indirizzi, immettere https://whatsmyip.com.
Verificare che l'indirizzo IP in uscita visualizzato corrisponda all'indirizzo IP del gateway NAT ottenuto in precedenza.
Lasciare aperta la connessione bastion a vm-spoke-1.
Testare il gateway NAT dallo spoke due
Usare Microsoft Edge nella macchina virtuale Windows Server 2022 per connettersi a https://whatsmyip.com per verificare la funzionalità del gateway NAT.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-spoke-2.
In Informazioni generali, selezionare Connetti quindi Connetti tramite Bastion.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.
Selezionare Connetti.
Aprire Microsoft Edge al termine del caricamento del desktop.
Nella barra degli indirizzi, immettere https://whatsmyip.com.
Verificare che l'indirizzo IP in uscita visualizzato corrisponda all'indirizzo IP del gateway NAT ottenuto in precedenza.
Lasciare aperta la connessione bastion a vm-spoke-2.
Testare il routing tra gli spoke
Traffico dal percorso spoke uno a spoke due e da spoke due a spoke uno attraverso l'appliance virtuale di rete simulata nella rete virtuale hub. Usare gli esempi seguenti per verificare il routing tra spoke della rete hub-spoke.
Testare il routing da spoke uno a spoke due
Usare Microsoft Edge per connettersi al server Web in vm-spoke-2 installato nei passaggi precedenti.
Tornare alla connessione bastion aperta a vm-spoke-1.
Aprire Microsoft Edge se non è aperto.
Nella barra degli indirizzi, immettere 10.2.0.4.
Verificare che la pagina IIS sia visualizzata da vm-spoke-2.
Chiudere la connessione bastion a vm-spoke-1.
Testare il routing da spoke due a spoke uno
Usare Microsoft Edge per connettersi al server Web in vm-spoke-1 installato nei passaggi precedenti.
Tornare alla connessione bastion aperta a vm-spoke-2.
Aprire Microsoft Edge se non è aperto.
Nella barra degli indirizzi, immettere 10.1.0.4.
Verificare che la pagina IIS sia visualizzata da vm-spoke-1.
Chiudere la connessione bastion a vm-spoke-1.
Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.
Accedere al portale di Azure e selezionare Gruppi di risorse.
Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.
Nella pagina test-rg selezionare Elimina gruppo di risorse.
Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.
Passaggi successivi
Passare all'articolo successivo per informazioni su come usare un servizio di bilanciamento del carico del gateway di Azure per appliance virtuali di rete a disponibilità elevata: