Esercitazione: Usare un gateway NAT con una rete hub-spoke
Una rete hub-spoke è uno dei blocchi predefiniti di un'infrastruttura di rete a più posizioni a disponibilità elevata. La distribuzione più comune di una rete hub-spoke viene eseguita con l'intenzione di instradare tutto il traffico Internet tra spoke e in uscita attraverso l'hub centrale. Lo scopo è controllare tutto il traffico che attraversa la rete con un'appliance virtuale di rete (NVA) per l'analisi della sicurezza e l'ispezione dei pacchetti.
Per il traffico in uscita verso Internet, l'appliance virtuale di rete in genere avrà un'interfaccia di rete con un indirizzo IP pubblico assegnato. L'appliance virtuale di rete dopo aver esaminato il traffico in uscita inoltra il traffico all'esterno dell'interfaccia pubblica e a Internet. Il gateway NAT di Azure elimina la necessità dell'indirizzo IP pubblico assegnato all'appliance virtuale di rete. L'associazione di un gateway NAT alla subnet pubblica dell'appliance virtuale di rete modifica il routing per l'interfaccia pubblica per instradare tutto il traffico Internet in uscita attraverso il gateway NAT. L'eliminazione dell'indirizzo IP pubblico aumenta la sicurezza e consente la scalabilità di SNAT (Source Network Address Translation) in uscita con più indirizzi IP pubblici e prefissi IP pubblici.
Importante
L'appliance virtuale di rete usata in questo articolo è solo a scopo dimostrativo e viene simulata con una macchina virtuale Ubuntu. La soluzione non include un servizio di bilanciamento del carico per la disponibilità elevata della distribuzione dell'appliance virtuale di rete. Sostituire la macchina virtuale Ubuntu in questo articolo con un'appliance virtuale di rete preferita. Per istruzioni di routing e configurazione, consultare il fornitore dell'appliance virtuale di rete scelta. Per un'infrastruttura di appliance virtuale di rete a disponibilità elevata è consigliabile un servizio di bilanciamento del carico e zone di disponibilità.
In questa esercitazione apprenderai a:
- Creare un gateway NAT.
- Creare una rete virtuale hub-spoke.
- Creare un'appliance virtuale di rete simulata.
- Forzare tutto il traffico dagli spoke attraverso l'hub.
- Forzare tutto il traffico Internet nell'hub e gli spoke fuori dal gateway NAT.
- Testare il gateway NAT e il routing tra spoke.
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Creare un gateway NAT
Tutto il traffico Internet in uscita attraversa il gateway NAT verso Internet. Usare l'esempio seguente per creare un gateway NAT per la rete hub-spoke.
Accedi al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere il gateway NAT. Selezionare Gateway NAT nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Crea gateway NAT (Network Address Translation) immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo.
Immettere test-rg in Nome.
Selezionare OK.Dettagli istanza Nome del gateway NAT Immettere nat-gateway. Area Selezionare Stati Uniti orientali 2. Zona di disponibilità Selezionare una zona o nessuna zona. Timeout di inattività TCP (minuti) Lasciare il valore predefinito 4. Selezionare Avanti: IP in uscita.
In Ip in uscita in Indirizzi IP pubblici selezionare Crea un nuovo indirizzo IP pubblico.
Immettere public-ip-nat in Nome.
Seleziona OK.
Selezionare Rivedi e crea.
Seleziona Crea.
Creare una rete virtuale hub
La rete virtuale hub è la rete centrale della soluzione. La rete hub contiene l'appliance dell'appliance virtuale di rete e una subnet pubblica e privata. Il gateway NAT viene assegnato alla subnet pubblica durante la creazione della rete virtuale. Un host Azure Bastion è configurato come parte dell'esempio seguente. L'host bastion viene usato per connettersi in modo sicuro alla macchina virtuale dell'appliance virtuale di rete e alle macchine virtuali di test distribuite negli spoke più avanti nell'articolo.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome Immettere vnet-hub. Area Selezionare Stati Uniti orientali 2. Selezionare Avanti per passare alla scheda Sicurezza .
Selezionare Abilita Bastion nella sezione Azure Bastion della scheda Sicurezza .
Azure Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite SSH (Secure Shell) o RDP (Remote Desktop Protocol) usando gli indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazione speciale. Per altre informazioni su Azure Bastion, vedere Azure Bastion
Nota
I prezzi orari iniziano dal momento in cui Bastion viene distribuito, indipendentemente dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU.
Se si distribuisce Bastion come parte di un'esercitazione o un test, è consigliabile eliminare questa risorsa al termine dell'uso.
Immettere o selezionare le informazioni seguenti in Azure Bastion:
Impostazione Valore Nome host di Azure Bastion Immettere bastion. Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
Immettere public-ip in Nome.
Selezionare OK.Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella casella Spazio indirizzi in Subnet selezionare la subnet predefinita.
In Modifica subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli subnet Modello di subnet Lasciare il valore predefinito Predefinito. Nome Immettere subnet-private. Indirizzo iniziale Lasciare il valore predefinito 10.0.0.0. Dimensioni della subnet Lasciare il valore predefinito /24(256 indirizzi). Seleziona Salva.
Selezionare + Aggiungi subnet.
In Aggiungi subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli subnet Modello di subnet Lasciare il valore predefinito Predefinito. Nome Immettere subnet-public. Indirizzo iniziale Immettere 10.0.253.0. Dimensioni della subnet Selezionare /28(16 indirizzi). Sicurezza Gateway NAT Selezionare nat-gateway. Seleziona Aggiungi.
Selezionare Rivedi e crea.
Seleziona Crea.
La distribuzione dell'host bastion richiede alcuni minuti. Quando la rete virtuale viene creata come parte della distribuzione, è possibile procedere con i passaggi successivi.
Creare una macchina virtuale di appliance virtuale di rete simulata
L'appliance virtuale di rete simulata funge da appliance virtuale per instradare tutto il traffico tra gli spoke e l'hub e il traffico in uscita verso Internet. Una macchina virtuale Ubuntu viene usata per l'appliance virtuale di rete simulata. Usare l'esempio seguente per creare l'appliance virtuale di rete simulata e configurare le interfacce di rete.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea e quindi macchina virtuale di Azure.
In Crea una macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-nva. Area Selezionare (Stati Uniti) Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Ubuntu Server 22.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-hub. Subnet Selezionare subnet-public (10.0.253.0/28). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
In Nome immettere nsg-nva.
Selezionare OK.Lasciare invariate le opzioni predefinite e selezionare Rivedi e crea.
Seleziona Crea.
Configurare le interfacce di rete delle macchine virtuali
La configurazione IP dell'interfaccia di rete primaria della macchina virtuale è impostata su dinamica per impostazione predefinita. Usare l'esempio seguente per modificare la configurazione IP dell'interfaccia di rete primaria in statica e aggiungere un'interfaccia di rete secondaria per l'interfaccia privata dell'appliance virtuale di rete.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-nva.
In Panoramica selezionare Arresta se la macchina virtuale è in esecuzione.
Selezionare Rete in Impostazioni.
In Rete selezionare il nome dell'interfaccia di rete accanto a Interfaccia di rete:. Il nome dell'interfaccia è il nome della macchina virtuale e numeri casuali e lettere. In questo esempio il nome dell'interfaccia è vm-nva271.
Nelle proprietà dell'interfaccia di rete selezionare Configurazioni IP in Impostazioni.
Selezionare la casella accanto a Abilita inoltro IP.
Selezionare Applica.
Al termine dell'azione di applicazione, selezionare ipconfig1.
In Assegnazione in ipconfig1 selezionare Statico.
In Indirizzo IP privato immettere 10.0.253.10.
Seleziona Salva.
Al termine dell'azione di salvataggio, tornare alla configurazione di rete per vm-nva.
In Rete di vm-nva selezionare Collega interfaccia di rete.
Selezionare Crea e collega interfaccia di rete.
In Crea interfaccia di rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Gruppo di risorse Selezionare test-rg. Interfaccia di rete Nome Immettere nic-private. Subnet Selezionare subnet-private (10.0.0.0/24). Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Avanzate. Configura gruppo di sicurezza di rete Selezionare nsg-nva. Assegnazione di indirizzi IP privati Selezionare Statico. Indirizzo IP privato Immettere 10.0.0.10. Seleziona Crea.
Configurare il software della macchina virtuale
Il routing per l'appliance virtuale di rete simulata usa tabelle IP e NAT interno nella macchina virtuale Ubuntu. Connessione alla macchina virtuale dell'appliance virtuale di rete con Azure Bastion per configurare le tabelle IP e la configurazione del routing.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-nva.
Avviare vm-nva.
Al termine dell'avvio della macchina virtuale, continuare con i passaggi successivi.
In Operazioni selezionare Bastion.
Immettere il nome utente e la password immessi al momento della creazione della macchina virtuale.
Selezionare Connetti.
Immettere le informazioni seguenti al prompt della macchina virtuale per abilitare l'inoltro IP:
sudo vim /etc/sysctl.confNell'editor Vim rimuovere dalla
#riganet.ipv4.ip_forward=1:Premere il tasto Inserisci .
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Premere ESC.
Immettere
:wqe premere INVIO.Immettere le informazioni seguenti per abilitare NAT interno nella macchina virtuale:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistentSelezionare Sì due volte.
sudo su iptables-save > /etc/iptables/rules.v4 exitUsare Vim per modificare la configurazione con le informazioni seguenti:
sudo vim /etc/rc.localPremere il tasto Inserisci .
Aggiungere la riga seguente al file di configurazione:
/sbin/iptables-restore < /etc/iptables/rules.v4Premere ESC.
Immettere
:wqe premere INVIO.Riavviare la macchina virtuale:
sudo reboot
Creare una tabella di route di rete hub
Le tabelle di route vengono usate per sovrascrivere il routing predefinito di Azure. Creare una tabella di route per forzare tutto il traffico all'interno della subnet privata dell'hub tramite l'appliance virtuale di rete simulata.
Nella casella di ricerca nella parte superiore del portale immettere Tabella route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
In Crea tabella di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Area Selezionare Stati Uniti orientali 2. Nome Immettere route-table-nat-hub. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Nella casella di ricerca nella parte superiore del portale immettere Tabella route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare route-table-nat-hub.
In Impostazioni selezionare Route.
Selezionare + Aggiungi in Route.
Immettere o selezionare le informazioni seguenti in Aggiungi route:
Impostazione Valore Nome route Immettere default-via-nat-hub. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 0.0.0.0/0. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.0.0.10.
Questo è l'indirizzo IP aggiunto all'interfaccia privata dell'appliance virtuale di rete nei passaggi precedenti.Seleziona Aggiungi.
Selezionare Subnet in Impostazioni.
Selezionare + Associa.
Immettere o selezionare le informazioni seguenti in Associa subnet:
Impostazione Valore Rete virtuale Selezionare vnet-hub (test-rg). Subnet Selezionare subnet-private. Seleziona OK.
Creare una rete virtuale spoke
Creare un'altra rete virtuale in un'area diversa per il primo spoke della rete hub-spoke.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome Immettere vnet-spoke-1. Area Selezionare (Stati Uniti) Stati Uniti centro-meridionali. Selezionare Avanti per passare alla scheda Sicurezza .
Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella scheda Indirizzi IP nello spazio indirizzi IPv4 selezionare il cestino per eliminare lo spazio indirizzi popolato automaticamente.
Nello spazio indirizzi IPv4 immettere 10.1.0.0. Lasciare il valore predefinito /16 (65.536 indirizzi) nella selezione della maschera.
Selezionare + Aggiungi una subnet.
In Aggiungi una subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli subnet Modello di subnet Lasciare il valore predefinito Predefinito. Nome Immettere subnet-private. Indirizzo iniziale Immettere 10.1.0.0. Dimensioni della subnet Lasciare il valore predefinito /24(256 indirizzi). Seleziona Aggiungi.
Selezionare Rivedi e crea.
Seleziona Crea.
Creare il peering tra hub e spoke uno
Un peering di rete virtuale viene usato per connettere l'hub allo spoke uno e spoke uno all'hub. Usare l'esempio seguente per creare un peering di rete bidirezionale tra l'hub e lo spoke 1.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vnet-hub.
Selezionare Peering in Impostazioni.
Seleziona + Aggiungi.
Immettere o selezionare le informazioni seguenti in Aggiungi peering:
Impostazione Valore Questa rete virtuale Nome del collegamento di peering Immettere vnet-hub-to-vnet-spoke-1. Consentire a 'vnet-hub' di accedere a 'vnet-spoke-1' Lasciare l'impostazione predefinita Selezionata. Consentire a 'vnet-hub' di ricevere traffico inoltrato da 'vnet-spoke-1' Selezionare la casella di controllo. Consentire al gateway in 'vnet-hub' di inoltrare il traffico a 'vnet-spoke-1' Lasciare l'impostazione predefinita Deselezionata. Abilitare "vnet-hub" per l'uso del gateway remoto "vnet-spoke-1" Lasciare l'impostazione predefinita Deselezionata. Rete virtuale remota Nome del collegamento di peering Immettere vnet-spoke-1-to-vnet-hub. Modello di distribuzione della rete virtuale Lasciare il valore predefinito di Resource Manager. Subscription Selezionare la propria sottoscrizione. Rete virtuale Selezionare vnet-spoke-1. Consentire a 'vnet-spoke-1' di accedere a 'vnet-hub' Lasciare l'impostazione predefinita Selezionata. Consentire a 'vnet-spoke-1' di ricevere traffico inoltrato da 'vnet-hub' Selezionare la casella di controllo. Consentire al gateway in 'vnet-spoke-1' di inoltrare il traffico a 'vnet-hub' Lasciare l'impostazione predefinita Deselezionata. Abilitare "vnet-spoke-1" per usare il gateway remoto "vnet-hub" Lasciare l'impostazione predefinita Deselezionata. Seleziona Aggiungi.
Selezionare Aggiorna e verificare che lo stato del peering sia Connessione.
Creare una tabella di route di rete spoke
Creare una tabella di route per forzare tutto il traffico tra spoke e internet in uscita attraverso l'appliance virtuale di rete simulata nella rete virtuale hub.
Nella casella di ricerca nella parte superiore del portale immettere Tabella route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
In Crea tabella di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Area selezionare Stati Uniti centro-meridionali. Nome Immettere route-table-nat-spoke-1. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Nella casella di ricerca nella parte superiore del portale immettere Tabella route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare route-table-nat-spoke-1.
In Impostazioni selezionare Route.
Selezionare + Aggiungi in Route.
Immettere o selezionare le informazioni seguenti in Aggiungi route:
Impostazione Valore Nome route Immettere default-via-nat-spoke-1. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 0.0.0.0/0. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.0.0.10.
Questo è l'indirizzo IP aggiunto all'interfaccia privata dell'appliance virtuale di rete nei passaggi precedenti.Seleziona Aggiungi.
Selezionare Subnet in Impostazioni.
Selezionare + Associa.
Immettere o selezionare le informazioni seguenti in Associa subnet:
Impostazione Valore Rete virtuale Selezionare vnet-spoke-1 (test-rg). Subnet Selezionare subnet-private. Seleziona OK.
Creare una macchina virtuale di test spoke
Una macchina virtuale Windows Server 2022 viene usata per testare il traffico Internet in uscita attraverso il gateway NAT e il traffico inter spoke nella rete hub-spoke. Usare l'esempio seguente per creare una macchina virtuale Windows Server 2022.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea e quindi macchina virtuale di Azure.
In Crea una macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-spoke-1. Area Selezionare (Stati Uniti) Stati Uniti centro-meridionali. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Windows Server 2022 Datacenter - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-spoke-1. Subnet Selezionare subnet-private (10.1.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
Immettere nsg-spoke-1.Regole in ingresso Selezionare + Aggiungi una regola in ingresso.
Selezionare HTTP nel servizio.
Selezionare Aggiungi.
Selezionare OK.Seleziona OK.
Lasciare invariate le opzioni predefinite e selezionare Rivedi e crea.
Seleziona Crea.
Installare IIS in una macchina virtuale di test spoke
IIS viene installato nella macchina virtuale Windows Server 2022 per testare il traffico Internet in uscita attraverso il gateway NAT e il traffico inter spoke nella rete hub-spoke.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-spoke-1.
In Operazioni selezionare Esegui comando.
Selezionare EseguiPowerShellScript.
Immettere lo script seguente in Esegui script di comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selezionare Esegui.
Attendere il completamento dello script prima di continuare con il passaggio successivo. Il completamento dello script può richiedere alcuni minuti.
Al termine dello script, output* visualizza quanto segue:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Creare la seconda rete virtuale spoke
Creare la seconda rete virtuale per il secondo spoke della rete hub-spoke.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome Immettere vnet-spoke-2. Area Selezionare (Stati Uniti) Stati Uniti occidentali 2. Selezionare Avanti per passare alla scheda Sicurezza .
Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella scheda Indirizzi IP nello spazio indirizzi IPv4 selezionare il cestino per eliminare lo spazio indirizzi popolato automaticamente.
Nello spazio indirizzi IPv4 immettere 10.2.0.0. Lasciare il valore predefinito /16 (65.536 indirizzi) nella selezione della maschera.
Selezionare + Aggiungi una subnet.
In Aggiungi una subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli subnet Modello di subnet Lasciare il valore predefinito Predefinito. Nome Immettere subnet-private. Indirizzo iniziale Immettere 10.2.0.0. Dimensioni della subnet Lasciare il valore predefinito /24(256 indirizzi). Seleziona Aggiungi.
Selezionare Rivedi e crea.
Seleziona Crea.
Creare il peering tra hub e spoke due
Creare un peer di rete virtuale bidirezionale tra l'hub e lo spoke due.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vnet-hub.
Selezionare Peering in Impostazioni.
Seleziona + Aggiungi.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vnet-hub.
Selezionare Peering in Impostazioni.
Seleziona + Aggiungi.
Immettere o selezionare le informazioni seguenti in Aggiungi peering:
Impostazione Valore Questa rete virtuale Nome del collegamento di peering Immettere vnet-hub-to-vnet-spoke-2. Consentire a 'vnet-hub' di accedere a 'vnet-spoke-2' Lasciare l'impostazione predefinita Selezionata. Consentire a 'vnet-hub' di ricevere traffico inoltrato da 'vnet-spoke-2' Selezionare la casella di controllo. Consentire al gateway in 'vnet-hub' di inoltrare il traffico a 'vnet-spoke-2' Lasciare l'impostazione predefinita Deselezionata. Abilitare "vnet-hub" per usare il gateway remoto "vnet-spoke-2" Lasciare l'impostazione predefinita Deselezionata. Rete virtuale remota Nome del collegamento di peering Immettere vnet-spoke-2-to-vnet-hub. Modello di distribuzione della rete virtuale Lasciare il valore predefinito di Resource Manager. Subscription Selezionare la propria sottoscrizione. Rete virtuale Selezionare vnet-spoke-2. Consentire a 'vnet-spoke-1' di accedere a 'vnet-hub' Lasciare l'impostazione predefinita Selezionata. Consentire a 'vnet-spoke-1' di ricevere traffico inoltrato da 'vnet-hub' Selezionare la casella di controllo. Consentire al gateway in 'vnet-spoke-1' di inoltrare il traffico a 'vnet-hub' Lasciare l'impostazione predefinita Deselezionata. Abilitare "vnet-spoke-1" per usare il gateway remoto "vnet-hub" Lasciare l'impostazione predefinita Deselezionata. Seleziona Aggiungi.
Selezionare Aggiorna e verificare che lo stato del peering sia Connessione.
Creare una tabella di route di rete spoke two
Creare una tabella di route per forzare tutto il traffico Internet e inter-spoke in uscita attraverso l'appliance virtuale di rete simulata nella rete virtuale hub.
Nella casella di ricerca nella parte superiore del portale immettere Tabella route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
In Crea tabella di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Area Selezionare Stati Uniti occidentali 2. Nome Immettere route-table-nat-spoke-2. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Nella casella di ricerca nella parte superiore del portale immettere Tabella route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare route-table-nat-spoke-2.
In Impostazioni selezionare Route.
Selezionare + Aggiungi in Route.
Immettere o selezionare le informazioni seguenti in Aggiungi route:
Impostazione Valore Nome route Immettere default-via-nat-spoke-2. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 0.0.0.0/0. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.0.0.10.
Questo è l'indirizzo IP aggiunto all'interfaccia privata dell'appliance virtuale di rete nei passaggi precedenti.Seleziona Aggiungi.
Selezionare Subnet in Impostazioni.
Selezionare + Associa.
Immettere o selezionare le informazioni seguenti in Associa subnet:
Impostazione Valore Rete virtuale Selezionare vnet-spoke-2 (test-rg). Subnet Selezionare subnet-private. Seleziona OK.
Creare una macchina virtuale di test spoke two
Creare una macchina virtuale Windows Server 2022 per la macchina virtuale di test in spoke 2.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea e quindi macchina virtuale di Azure.
In Crea una macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-spoke-2. Area Selezionare (Stati Uniti) Stati Uniti occidentali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Windows Server 2022 Datacenter - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-spoke-2. Subnet Selezionare subnet-private (10.2.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
Immettere nsg-spoke-2.Regole in ingresso Selezionare + Aggiungi una regola in ingresso.
Selezionare HTTP nel servizio.
Selezionare Aggiungi.
Selezionare OK.Lasciare invariate le opzioni predefinite e selezionare Rivedi e crea.
Seleziona Crea.
Installare IIS in spoke due macchine virtuali di test
IIS viene installato nella macchina virtuale Windows Server 2022 per testare il traffico Internet in uscita attraverso il gateway NAT e il traffico inter spoke nella rete hub-spoke.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-spoke-2.
In Operazioni selezionare Esegui comando.
Selezionare EseguiPowerShellScript.
Immettere lo script seguente in Esegui script di comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selezionare Esegui.
Attendere il completamento dello script prima di continuare con il passaggio successivo. Il completamento dello script può richiedere alcuni minuti.
Al termine dello script, output* visualizza quanto segue:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Testare il gateway NAT
Connessione alle macchine virtuali Windows Server 2022 create nei passaggi precedenti per verificare che il traffico Internet in uscita esce dal gateway NAT.
Ottenere l'indirizzo IP pubblico del gateway NAT
Ottenere l'indirizzo IP pubblico del gateway NAT per la verifica dei passaggi descritti più avanti nell'articolo.
Nella casella di ricerca nella parte superiore del portale immettere Indirizzo IP pubblico. Selezionare Indirizzi IP pubblici nei risultati della ricerca.
Selezionare public-ip-nat.
Prendere nota del valore nell'indirizzo IP. L'esempio usato in questo articolo è 52.153.224.79.
Testare il gateway NAT dallo spoke 1
Usare Microsoft Edge nella macchina virtuale Windows Server 2022 per connettersi per https://whatsmyip.com verificare la funzionalità del gateway NAT.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-spoke-1.
In Operazioni selezionare Bastion.
Immettere il nome utente e la password immessi al momento della creazione della macchina virtuale.
Selezionare Connetti.
Aprire Microsoft Edge al termine del caricamento del desktop.
Nella barra degli indirizzi immettere https://whatsmyip.com.
Verificare che l'indirizzo IP in uscita visualizzato corrisponda all'indirizzo IP del gateway NAT ottenuto in precedenza.
Lasciare aperta la connessione bastion a vm-spoke-1.
Testare il gateway NAT dallo spoke due
Usare Microsoft Edge nella macchina virtuale Windows Server 2022 per connettersi per https://whatsmyip.com verificare la funzionalità del gateway NAT.
Nella casella di ricerca nella parte superiore del portale immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-spoke-2.
In Operazioni selezionare Bastion.
Immettere il nome utente e la password immessi al momento della creazione della macchina virtuale.
Selezionare Connetti.
Aprire Microsoft Edge al termine del caricamento del desktop.
Nella barra degli indirizzi immettere https://whatsmyip.com.
Verificare che l'indirizzo IP in uscita visualizzato corrisponda all'indirizzo IP del gateway NAT ottenuto in precedenza.
Lasciare aperta la connessione bastion a vm-spoke-2.
Testare il routing tra gli spoke
Traffico da spoke uno a spoke due e spoke due a spoke una route attraverso l'appliance virtuale di rete simulata nella rete virtuale hub. Usare gli esempi seguenti per verificare il routing tra spoke della rete hub-spoke.
Testare il routing da spoke uno a spoke due
Usare Microsoft Edge per connettersi al server Web in vm-spoke-2 installato nei passaggi precedenti.
Tornare alla connessione bastion aperta a vm-spoke-1.
Aprire Microsoft Edge se non è aperto.
Nella barra degli indirizzi immettere 10.2.0.4.
Verificare che la pagina IIS sia visualizzata da vm-spoke-2.
Chiudere la connessione bastion a vm-spoke-1.
Testare il routing da spoke due a spoke uno
Usare Microsoft Edge per connettersi al server Web in vm-spoke-1 installato nei passaggi precedenti.
Tornare alla connessione bastion aperta a vm-spoke-2.
Aprire Microsoft Edge se non è aperto.
Nella barra degli indirizzi immettere 10.1.0.4.
Verificare che la pagina IIS sia visualizzata da vm-spoke-1.
Chiudere la connessione bastion a vm-spoke-1.
Pulire le risorse
Al termine dell'uso delle risorse create, è possibile eliminare il gruppo di risorse e tutte le relative risorse.
Accedere al portale di Azure e selezionare Gruppi di risorse.
Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.
Nella pagina test-rg selezionare Elimina gruppo di risorse.
Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione e selezionare Elimina.
Passaggi successivi
Passare all'articolo successivo per informazioni su come usare un servizio di bilanciamento del carico del gateway di Azure per appliance virtuali di rete a disponibilità elevata: