Samouczek: używanie bramy translatora adresów sieciowych z siecią piasty i szprych
Sieć piasty i szprych jest jednym z bloków konstrukcyjnych infrastruktury sieciowej o wysokiej dostępności. Najbardziej typowe wdrożenie sieci piasty i szprych odbywa się z zamiarem kierowania całego ruchu między szprychami i wychodzącego ruchu internetowego przez centrum. Celem jest sprawdzenie całego ruchu przechodzącego przez sieć za pomocą wirtualnego urządzenia sieciowego (WUS) na potrzeby skanowania zabezpieczeń i inspekcji pakietów.
W przypadku ruchu wychodzącego do Internetu wirtualne urządzenie sieciowe zwykle ma jeden interfejs sieciowy z przypisanym publicznym adresem IP. Urządzenie WUS po sprawdzeniu ruchu wychodzącego przekazuje ruch wychodzący do interfejsu publicznego i do Internetu. Usługa Azure NAT Gateway eliminuje potrzebę publicznego adresu IP przypisanego do urządzenia WUS. Skojarzenie bramy translatora adresów sieciowych z publiczną podsiecią urządzenia WUS powoduje zmianę routingu dla interfejsu publicznego w celu kierowania całego wychodzącego ruchu internetowego przez bramę translatora adresów sieciowych. Eliminacja publicznego adresu IP zwiększa bezpieczeństwo i umożliwia skalowanie translacji wychodzących źródłowych adresów sieciowych (SNAT) z wieloma publicznymi adresami IP i prefiksami publicznych adresów IP.
Ważne
Urządzenie WUS używane w tym artykule służy tylko do celów demonstracyjnych i jest symulowane przy użyciu maszyny wirtualnej z systemem Ubuntu. Rozwiązanie nie obejmuje modułu równoważenia obciążenia w celu zapewnienia wysokiej dostępności wdrożenia urządzenia WUS. Zastąp maszynę wirtualną z systemem Ubuntu w tym artykule wybranym urządzeniem WUS. Zapoznaj się z dostawcą wybranego urządzenia WUS, aby uzyskać instrukcje dotyczące routingu i konfiguracji. W przypadku infrastruktury urządzenia WUS o wysokiej dostępności zaleca się moduł równoważenia obciążenia i strefy dostępności.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Utwórz bramę translatora adresów sieciowych.
- Utwórz sieć wirtualną piasty i szprych.
- Utwórz symulowane wirtualne urządzenie sieciowe (WUS).
- Wymuś cały ruch z szprych przez piastę.
- Wymuś cały ruch internetowy w centrum i szprychy bramy translatora adresów sieciowych.
- Przetestuj bramę translatora adresów sieciowych i routing między szprychami.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
Tworzenie bramy translatora adresów sieciowych
Cały wychodzący ruch internetowy przechodzi przez bramę translatora adresów sieciowych do Internetu. Skorzystaj z poniższego przykładu, aby utworzyć bramę translatora adresów sieciowych dla sieci piasty i szprych.
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź bramę translatora adresów sieciowych. Wybierz pozycję Bramy translatora adresów sieciowych w wynikach wyszukiwania.
Wybierz + Utwórz.
Na karcie Podstawy w obszarze Tworzenie bramy translatora adresów sieciowych wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycjęUtwórz nowy.
Wprowadź ciąg test-rg w polu Nazwa.
Wybierz przycisk OK.Szczegóły wystąpienia Nazwa bramy translatora adresów sieciowych Wprowadź ciąg nat-gateway. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Availability zone Wybierz strefę lub bez strefy. Limit czasu bezczynności protokołu TCP (w minutach) Pozostaw wartość domyślną 4. Wybierz pozycję Dalej: wychodzący adres IP.
W obszarze Wychodzący adres IP w publicznych adresach IP wybierz pozycję Utwórz nowy publiczny adres IP.
Wprowadź ciąg public-ip-nat w polu Nazwa.
Wybierz przycisk OK.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Tworzenie sieci wirtualnej będącej koncentratorem
Sieć wirtualna koncentratora to centralna sieć rozwiązania. Sieć piasty zawiera urządzenie WUS oraz podsieć publiczną i prywatną. Brama translatora adresów sieciowych jest przypisywana do podsieci publicznej podczas tworzenia sieci wirtualnej. Host usługi Azure Bastion jest skonfigurowany w ramach poniższego przykładu. Host bastionu służy do bezpiecznego nawiązywania połączenia z maszyną wirtualną urządzenia WUS i testowych maszyn wirtualnych wdrożonych w szprychach w dalszej części artykułu.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
Wybierz + Utwórz.
Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Nazwisko Wprowadź wartość vnet-hub. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
Wybierz pozycję Włącz usługę Azure Bastion w sekcji Azure Bastion na karcie Zabezpieczenia.
Usługa Azure Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu SSH (Secure Shell) lub protokołu RDP (Remote Desktop Protocol) przy użyciu ich prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Azure Bastion
Uwaga
Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.
Wprowadź lub wybierz następujące informacje w usłudze Azure Bastion:
Ustawienie Wartość Nazwa hosta usługi Azure Bastion Wprowadź bastion. Publiczny adres IP usługi Azure Bastion Wybierz pozycję Utwórz publiczny adres IP.
Wprowadź wartość public-ip-bastion w polu Nazwa.
Wybierz przycisk OK.Wybierz przycisk Dalej , aby przejść do karty Adresy IP.
W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.
W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Cel podsieci Pozostaw wartość domyślną Domyślna. Nazwisko Wprowadź wartość subnet-private. Protokół IPv4 Zakres adresów IPv4 Pozostaw wartość domyślną 10.0.0.0/16. Adres początkowy Pozostaw wartość domyślną 10.0.0.0. Rozmiar Pozostaw wartość domyślną /24(256 adresów). Wybierz pozycję Zapisz.
Wybierz pozycję + Dodaj podsieć.
W obszarze Dodaj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Cel podsieci Pozostaw wartość domyślną Domyślna. Nazwisko Wprowadź wartość subnet-public. Protokół IPv4 Zakres adresów IPv4 Pozostaw wartość domyślną 10.0.0.0/16. Adres początkowy Wprowadź wartość 10.0.253.0. Rozmiar Wybierz /28(16 adresów). Bezpieczeństwo Brama translatora adresów sieciowych Wybierz pozycję nat-gateway. Wybierz Dodaj.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Wdrożenie hosta bastionu trwa kilka minut. Po utworzeniu sieci wirtualnej w ramach wdrożenia możesz przejść do następnych kroków.
Tworzenie symulowanej maszyny wirtualnej urządzenia WUS
Symulowane urządzenie WUS działa jako urządzenie wirtualne w celu kierowania całego ruchu między szprychami a piastą i ruchem wychodzącym do Internetu. Maszyna wirtualna z systemem Ubuntu jest używana dla symulowanego urządzenia WUS. Skorzystaj z poniższego przykładu, aby utworzyć symulowane urządzenie WUS i skonfigurować interfejsy sieciowe.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję + Utwórz , a następnie pozycję Maszyna wirtualna platformy Azure.
W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Virtual machine name Wprowadź wartość vm-nva. Region (Region) Wybierz pozycję (USA) Wschodnie stany USA 2. Opcje dostępności Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury. Typ zabezpieczeń Wybierz opcję Standardowa. Obraz Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2. Architektura maszyny wirtualnej Pozostaw wartość domyślną x64. Rozmiar Wybierz rozmiar. Konto administratora Typ uwierzytelniania Wybierz pozycję Hasło. Username Wprowadź nazwę użytkownika. Hasło Wprowadź hasło. Potwierdź hasło Ponownie wprowadź hasło. Reguły portów przychodzących Publiczne porty ruchu przychodzącego Wybierz pozycję Brak. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.
Na karcie Sieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz pozycję vnet-hub. Podsieć Wybierz pozycję subnet-public (10.0.253.0/28). Publiczny adres IP Wybierz pozycję Brak. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz opcję Zaawansowane. Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycjęUtwórz nowy.
W polu Nazwa wprowadź ciąg nsg-nva.
Wybierz przycisk OK.Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Konfigurowanie interfejsów sieciowych maszyn wirtualnych
Konfiguracja adresu IP podstawowego interfejsu sieciowego maszyny wirtualnej jest domyślnie ustawiona na wartość dynamiczną. Skorzystaj z poniższego przykładu, aby zmienić konfigurację podstawowego adresu IP interfejsu sieciowego na statyczny i dodać pomocniczy interfejs sieciowy dla prywatnego interfejsu urządzenia WUS.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-nva.
W obszarze Przegląd wybierz pozycję Zatrzymaj , jeśli maszyna wirtualna jest uruchomiona.
Rozwiń węzeł Sieć , a następnie wybierz pozycję Ustawienia sieci.
W obszarze Ustawienia sieci wybierz nazwę interfejsu sieciowego obok pozycji Interfejs sieciowy:. Nazwa interfejsu to nazwa maszyny wirtualnej oraz losowe cyfry i litery. W tym przykładzie nazwa interfejsu to vm-nva271.
We właściwościach interfejsu sieciowego wybierz pozycję Konfiguracje adresów IP w obszarze Ustawienia.
Zaznacz pole obok pozycji Włącz przekazywanie adresów IP.
Wybierz Zastosuj.
Po zakończeniu akcji zastosuj wybierz pozycję ipconfig1.
W obszarze Ustawienia prywatnego adresu IP w pliku ipconfig1 wybierz pozycję Statyczny.
W polu Prywatny adres IP wprowadź wartość 10.0.253.10.
Wybierz pozycję Zapisz.
Po zakończeniu akcji zapisywania wróć do konfiguracji sieci dla maszyny wirtualnej vm-nva.
W obszarze Ustawienia sieciowe maszyny vm-nva wybierz pozycję Dołącz interfejs sieciowy.
Wybierz pozycję Utwórz i dołącz interfejs sieciowy.
W obszarze Tworzenie interfejsu sieciowego wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Grupa zasobów Wybierz pozycję test-rg. Interfejs sieciowy Nazwisko Wprowadź wartość nic-private. Podsieć Wybierz pozycję subnet-private (10.0.0.0/24). Sieciowa grupa zabezpieczeń karty sieciowej Wybierz opcję Zaawansowane. Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycję nsg-nva. Przypisanie prywatnego adresu IP Wybierz wartość Statyczny. Prywatny adres IP Wprowadź wartość 10.0.0.10. Wybierz pozycję Utwórz.
Konfigurowanie oprogramowania maszyny wirtualnej
Routing symulowanego urządzenia WUS używa tabel IP i wewnętrznego translatora adresów sieciowych na maszynie wirtualnej z systemem Ubuntu. Połącz się z maszyną wirtualną urządzenia WUS za pomocą usługi Azure Bastion, aby skonfigurować tabele IP i konfigurację routingu.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-nva.
Uruchom urządzenie vm-nva.
Po zakończeniu rozruchu maszyny wirtualnej przejdź do następnych kroków.
W sekcji Przegląd wybierz pozycję Połącz, a następnie wybierz pozycję Połącz za pośrednictwem usługi Bastion.
Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.
Wybierz pozycję Połącz.
Wprowadź następujące informacje w wierszu polecenia maszyny wirtualnej, aby włączyć przekazywanie adresów IP:
sudo vim /etc/sysctl.confW edytorze Vim usuń element
#z wierszanet.ipv4.ip_forward=1:Naciśnij Insert.
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Naciśnij Esc.
Wprowadź
:wqi naciśnij Enter.Wprowadź następujące informacje, aby włączyć wewnętrzny translator adresów sieciowych na maszynie wirtualnej:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistentWybierz dwukrotnie pozycję Tak .
sudo su iptables-save > /etc/iptables/rules.v4 exitUżyj narzędzia Vim, aby edytować konfigurację przy użyciu następujących informacji:
sudo vim /etc/rc.localNaciśnij Insert.
Dodaj następujący wiersz do pliku konfiguracji:
/sbin/iptables-restore < /etc/iptables/rules.v4Naciśnij Esc.
Wprowadź
:wqi naciśnij Enter.Uruchom ponownie maszynę wirtualną:
sudo reboot
Tworzenie tabeli tras sieciowych koncentratora
Tabele tras służą do zastępowania domyślnego routingu platformy Azure. Utwórz tabelę tras, aby wymusić cały ruch w podsieci prywatnej centrum za pośrednictwem symulowanego urządzenia WUS.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz + Utwórz.
W obszarze Tworzenie tabeli tras wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Nazwisko Wprowadź ciąg route-table-nat-hub. Propagacja tras bramy Pozostaw wartość domyślną Tak. Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz pozycję route-table-nat-hub.
Rozwiń węzeł Ustawienia , a następnie wybierz pozycję Trasy.
Wybierz pozycję + Dodaj w trasach.
Wprowadź lub wybierz następujące informacje w obszarze Dodawanie trasy:
Ustawienie Wartość Nazwa trasy Wprowadź wartość default-via-nat-hub. Typ docelowy Wybierz pozycję Adresy IP. Docelowe adresy IP/zakresy CIDR Wprowadź wartość 0.0.0.0/0. Typ następnego przeskoku Wybierz pozycję Urządzenie wirtualne. Adres następnego przeskoku Wprowadź wartość 10.0.0.10.
Jest to adres IP dodany do interfejsu prywatnego urządzenia WUS w poprzednich krokach.Wybierz Dodaj.
Wybierz pozycję Podsieci w obszarze Ustawienia.
Wybierz pozycję + Skojarz.
Wprowadź lub wybierz następujące informacje w obszarze Kojarzenie podsieci:
Ustawienie Wartość Sieć wirtualna Wybierz pozycję vnet-hub (test-rg). Podsieć Wybierz pozycję Podsieć-private. Wybierz przycisk OK.
Tworzenie szprychy jednej sieci wirtualnej
Utwórz inną sieć wirtualną w innym regionie dla pierwszej szprychy sieci piasty i szprych.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
Wybierz + Utwórz.
Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Nazwisko Wprowadź vnet-spoke-1. Region (Region) Wybierz pozycję (USA) Południowo-środkowe stany USA. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
Wybierz przycisk Dalej , aby przejść do karty Adresy IP.
Na karcie Adresy IP w przestrzeni adresowej IPv4 wybierz pozycję Usuń przestrzeń adresową , aby usunąć przestrzeń adresową, która jest wypełniana automatycznie.
Wybierz pozycję Dodaj przestrzeń adresową IPv4.
W przestrzeni adresowej IPv4 wprowadź wartość 10.1.0.0. Pozostaw wartość domyślną /16 (65 536 adresów) w zaznaczeniu maski.
Wybierz pozycję + Dodaj podsieć.
W obszarze Dodaj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Cel podsieci Pozostaw wartość domyślną Domyślna. Nazwisko Wprowadź wartość subnet-private. Protokół IPv4 Zakres adresów IPv4 Pozostaw wartość domyślną 10.1.0.0/16. Adres początkowy Pozostaw wartość domyślną 10.1.0.0. Rozmiar Pozostaw wartość domyślną /24(256 adresów). Wybierz Dodaj.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Tworzenie komunikacji równorzędnej między piastą i szprychą
Komunikacja równorzędna sieci wirtualnych służy do łączenia koncentratora z szprychą i szprychą z piastą. Skorzystaj z poniższego przykładu, aby utworzyć dwukierunkową komunikację równorzędną sieci między piastą i szprychą.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
Wybierz pozycję vnet-hub.
Wybierz pozycję Komunikacja równorzędna w obszarze Ustawienia.
Wybierz + Dodaj.
Wprowadź lub wybierz następujące informacje w obszarze Dodawanie komunikacji równorzędnej:
Ustawienie Wartość Podsumowanie zdalnej sieci wirtualnej Nazwa łącza komunikacji równorzędnej Wprowadź vnet-spoke-1-to-vnet-hub. Model wdrażania sieci wirtualnej Pozostaw wartość domyślną usługi Resource Manager. Subskrypcja Wybierz subskrypcję. Sieć wirtualna Wybierz pozycję vnet-spoke-1 (test-rg). Ustawienia zdalnej komunikacji równorzędnej sieci wirtualnej Zezwalaj "vnet-spoke-1" na dostęp do sieci wirtualnej "vnet-hub" Pozostaw wartość domyślną Wybrane. Zezwalaj "vnet-spoke-1" na odbieranie przekazywanego ruchu z "vnet-hub" Zaznacz pole wyboru. Zezwalaj bramie lub serwerowi tras w sieci wirtualnej-szprychy-1 na przekazywanie ruchu do "vnet-hub" Pozostaw wartość domyślną Niezaznaczone. Włącz opcję "vnet-spoke-1", aby użyć bramy zdalnej "vnet-hub" lub serwera tras Pozostaw wartość domyślną Niezaznaczone. Podsumowanie lokalnej sieci wirtualnej Nazwa łącza komunikacji równorzędnej Wprowadź vnet-hub-to-vnet-spoke-1. Ustawienia lokalnej komunikacji równorzędnej sieci wirtualnych Zezwalaj "vnet-hub" na dostęp do "vnet-spoke-1" Pozostaw wartość domyślną Wybrane. Zezwalaj "vnet-hub" na odbieranie przekazywanego ruchu z sieci wirtualnej "vnet-spoke-1" Zaznacz pole wyboru. Zezwalaj bramie lub serwerowi tras w sieci wirtualnej na przekazywanie ruchu do "vnet-spoke-1" Pozostaw wartość domyślną Niezaznaczone. Włącz opcję "vnet-hub", aby użyć bramy zdalnej "vnet-spoke-1" lub serwera tras Pozostaw wartość domyślną Niezaznaczone. Wybierz Dodaj.
Wybierz pozycję Odśwież i sprawdź, czy stan komunikacji równorzędnej to Połączono.
Tworzenie tabeli tras sieciowych szprychy
Utwórz tabelę tras, aby wymusić cały ruch wychodzący między szprychami i internetem przez symulowane urządzenie WUS w sieci wirtualnej koncentratora.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz + Utwórz.
W obszarze Tworzenie tabeli tras wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Region (Region) Wybierz pozycję Południowo-środkowe stany USA. Nazwisko Wprowadź ciąg route-table-nat-spoke-1. Propagacja tras bramy Pozostaw wartość domyślną Tak. Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz pozycję route-table-nat-spoke-1.
W obszarze Ustawienia wybierz pozycję Trasy.
Wybierz pozycję + Dodaj w trasach.
Wprowadź lub wybierz następujące informacje w obszarze Dodawanie trasy:
Ustawienie Wartość Nazwa trasy Wprowadź wartość default-via-nat-spoke-1. Typ docelowy Wybierz pozycję Adresy IP. Docelowe adresy IP/zakresy CIDR Wprowadź wartość 0.0.0.0/0. Typ następnego przeskoku Wybierz pozycję Urządzenie wirtualne. Adres następnego przeskoku Wprowadź wartość 10.0.0.10.
Jest to adres IP dodany do interfejsu prywatnego urządzenia WUS w poprzednich krokach.Wybierz Dodaj.
Wybierz pozycję Podsieci w obszarze Ustawienia.
Wybierz pozycję + Skojarz.
Wprowadź lub wybierz następujące informacje w obszarze Kojarzenie podsieci:
Ustawienie Wartość Sieć wirtualna Wybierz pozycję vnet-spoke-1 (test-rg). Podsieć Wybierz pozycję Podsieć-private. Wybierz przycisk OK.
Tworzenie testowej maszyny wirtualnej szprychy
Maszyna wirtualna z systemem Windows Server 2022 służy do testowania wychodzącego ruchu internetowego przez bramę TRANSLATOR adresów sieciowych i ruchu między szprychami w sieci piasty i szprych. Użyj poniższego przykładu, aby utworzyć maszynę wirtualną z systemem Windows Server 2022.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję + Utwórz , a następnie pozycję Maszyna wirtualna platformy Azure.
W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Virtual machine name Wprowadź wartość vm-spoke-1. Region (Region) Wybierz pozycję (USA) Południowo-środkowe stany USA. Opcje dostępności Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury. Typ zabezpieczeń Wybierz opcję Standardowa. Obraz Wybierz pozycję Windows Server 2022 Datacenter — x64 Gen2. Architektura maszyny wirtualnej Pozostaw wartość domyślną x64. Rozmiar Wybierz rozmiar. Konto administratora Typ uwierzytelniania Wybierz pozycję Hasło. Username Wprowadź nazwę użytkownika. Hasło Wprowadź hasło. Potwierdź hasło Ponownie wprowadź hasło. Reguły portów przychodzących Publiczne porty ruchu przychodzącego Wybierz pozycję Brak. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.
Na karcie Sieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz pozycję vnet-spoke-1. Podsieć Wybierz pozycję subnet-private (10.1.0.0/24). Publiczny adres IP Wybierz pozycję Brak. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz opcję Zaawansowane. Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycjęUtwórz nowy.
Wprowadź nsg-spoke-1.Reguły ruchu przychodzącego Wybierz pozycję + Dodaj regułę ruchu przychodzącego.
Wybierz pozycję HTTP w usłudze.
Wybierz pozycję Dodaj.
Wybierz przycisk OK.Wybierz przycisk OK.
Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Poczekaj na zakończenie wdrażania maszyny wirtualnej, zanim przejdziesz do następnych kroków.
Instalowanie usług IIS na jednej testowej maszynie wirtualnej
Usługi IIS są zainstalowane na maszynie wirtualnej z systemem Windows Server 2022 w celu przetestowania wychodzącego ruchu internetowego za pośrednictwem bramy NAT i ruchu między szprychami w sieci piasty i szprych.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-spoke-1.
Rozwiń węzeł Operacje , a następnie wybierz pozycję Uruchom polecenie.
Wybierz pozycję UruchomPowerShellScript.
Wprowadź następujący skrypt w obszarze Uruchom skrypt polecenia:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Wybierz Uruchom.
Przed przejściem do następnego kroku poczekaj na ukończenie skryptu. Ukończenie skryptu może potrwać kilka minut.
Po zakończeniu działania skryptu dane wyjściowe wyświetlają następujące dane:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Tworzenie drugiej sieci wirtualnej będącej szprychą
Utwórz drugą sieć wirtualną dla drugiej szprychy sieci piasty i szprych.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
Wybierz + Utwórz.
Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Nazwisko Wprowadź vnet-spoke-2. Region (Region) Wybierz pozycję (Stany Zjednoczone) Zachodnie stany USA 2. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
Wybierz przycisk Dalej , aby przejść do karty Adresy IP.
Na karcie Adresy IP w przestrzeni adresowej IPv4 wybierz pozycję Usuń przestrzeń adresową , aby usunąć przestrzeń adresową, która jest wypełniana automatycznie.
Wybierz pozycję Dodaj przestrzeń adresową IPv4.
W przestrzeni adresowej IPv4 wprowadź wartość 10.2.0.0. Pozostaw wartość domyślną /16 (65 536 adresów) w zaznaczeniu maski.
Wybierz pozycję + Dodaj podsieć.
W obszarze Dodaj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Cel podsieci Pozostaw wartość domyślną Domyślna. Nazwisko Wprowadź wartość subnet-private. Protokół IPv4 Zakres adresów IPv4 Pozostaw wartość domyślną 10.2.0.0/16. Adres początkowy Pozostaw wartość domyślną 10.2.0.0. Rozmiar Pozostaw wartość domyślną /24(256 adresów). Wybierz Dodaj.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Tworzenie komunikacji równorzędnej między piastą i szprychą dwie
Utwórz dwukierunkową komunikację równorzędną sieci wirtualnej między piastą i szprychą.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
Wybierz pozycję vnet-hub.
Wybierz pozycję Komunikacja równorzędna w obszarze Ustawienia.
Wybierz + Dodaj.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
Wybierz pozycję vnet-hub.
Wybierz pozycję Komunikacja równorzędna w obszarze Ustawienia.
Wybierz + Dodaj.
Wprowadź lub wybierz następujące informacje w obszarze Dodawanie komunikacji równorzędnej:
Ustawienie Wartość Podsumowanie zdalnej sieci wirtualnej Nazwa łącza komunikacji równorzędnej Wprowadź vnet-spoke-2-to-vnet-hub. Model wdrażania sieci wirtualnej Pozostaw wartość domyślną usługi Resource Manager. Subskrypcja Wybierz subskrypcję. Sieć wirtualna Wybierz pozycję vnet-spoke-2 (test-rg). Ustawienia zdalnej komunikacji równorzędnej sieci wirtualnej Zezwalaj "vnet-spoke-2" na dostęp do sieci wirtualnej Pozostaw wartość domyślną Wybrane. Zezwalaj "vnet-spoke-2" na odbieranie przekazywanego ruchu z "vnet-hub" Zaznacz pole wyboru. Zezwalaj bramie lub serwerowi tras w sieci wirtualnej "vnet-spoke-2" na przekazywanie ruchu do "vnet-hub" Pozostaw wartość domyślną Niezaznaczone. Włącz opcję "vnet-spoke-2", aby użyć bramy zdalnej "vnet-hub" lub serwera tras Pozostaw wartość domyślną Niezaznaczone. Podsumowanie lokalnej sieci wirtualnej Nazwa łącza komunikacji równorzędnej Wprowadź vnet-hub-to-vnet-spoke-2. Ustawienia lokalnej komunikacji równorzędnej sieci wirtualnych Zezwalaj na dostęp do sieci wirtualnej "vnet-spoke-2" Pozostaw wartość domyślną Wybrane. Zezwalaj "vnet-hub" na odbieranie przekazywanego ruchu z sieci wirtualnej "vnet-spoke-2" Zaznacz pole wyboru. Zezwalaj bramie lub serwerowi tras w sieci wirtualnej na przekazywanie ruchu do "vnet-spoke-2" Pozostaw wartość domyślną Niezaznaczone. Włącz opcję "vnet-hub", aby użyć bramy zdalnej "vnet-spoke-2" lub serwera tras Pozostaw wartość domyślną Niezaznaczone. Wybierz Dodaj.
Wybierz pozycję Odśwież i sprawdź, czy stan komunikacji równorzędnej to Połączono.
Tworzenie tabeli tras sieciowych szprych
Utwórz tabelę tras, aby wymusić cały wychodzący ruch internetowy i ruch między szprychami za pośrednictwem symulowanego urządzenia WUS w sieci wirtualnej piasty.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz + Utwórz.
W obszarze Tworzenie tabeli tras wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Region (Region) Wybierz pozycję Zachodnie stany USA 2. Nazwisko Wprowadź ciąg route-table-nat-spoke-2. Propagacja tras bramy Pozostaw wartość domyślną Tak. Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz pozycję route-table-nat-spoke-2.
W obszarze Ustawienia wybierz pozycję Trasy.
Wybierz pozycję + Dodaj w trasach.
Wprowadź lub wybierz następujące informacje w obszarze Dodawanie trasy:
Ustawienie Wartość Nazwa trasy Wprowadź wartość default-via-nat-spoke-2. Typ docelowy Wybierz pozycję Adresy IP. Docelowe adresy IP/zakresy CIDR Wprowadź wartość 0.0.0.0/0. Typ następnego przeskoku Wybierz pozycję Urządzenie wirtualne. Adres następnego przeskoku Wprowadź wartość 10.0.0.10.
Jest to adres IP dodany do interfejsu prywatnego urządzenia WUS w poprzednich krokach.Wybierz Dodaj.
Wybierz pozycję Podsieci w obszarze Ustawienia.
Wybierz pozycję + Skojarz.
Wprowadź lub wybierz następujące informacje w obszarze Kojarzenie podsieci:
Ustawienie Wartość Sieć wirtualna Wybierz pozycję vnet-spoke-2 (test-rg). Podsieć Wybierz pozycję Podsieć-private. Wybierz przycisk OK.
Tworzenie testowej maszyny wirtualnej będącej szprychą
Utwórz maszynę wirtualną z systemem Windows Server 2022 dla testowej maszyny wirtualnej w szprychach.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję + Utwórz , a następnie pozycję Maszyna wirtualna platformy Azure.
W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Virtual machine name Wprowadź wartość vm-spoke-2. Region (Region) Wybierz pozycję (Stany Zjednoczone) Zachodnie stany USA 2. Opcje dostępności Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury. Typ zabezpieczeń Wybierz opcję Standardowa. Obraz Wybierz pozycję Windows Server 2022 Datacenter — x64 Gen2. Architektura maszyny wirtualnej Pozostaw wartość domyślną x64. Rozmiar Wybierz rozmiar. Konto administratora Typ uwierzytelniania Wybierz pozycję Hasło. Username Wprowadź nazwę użytkownika. Hasło Wprowadź hasło. Potwierdź hasło Ponownie wprowadź hasło. Reguły portów przychodzących Publiczne porty ruchu przychodzącego Wybierz pozycję Brak. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.
Na karcie Sieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz pozycję vnet-spoke-2. Podsieć Wybierz pozycję podsieć-prywatny (10.2.0.0/24). Publiczny adres IP Wybierz pozycję Brak. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz opcję Zaawansowane. Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycjęUtwórz nowy.
Wprowadź nsg-spoke-2.Reguły ruchu przychodzącego Wybierz pozycję + Dodaj regułę ruchu przychodzącego.
Wybierz pozycję HTTP w usłudze.
Wybierz pozycję Dodaj.
Wybierz przycisk OK.Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Poczekaj na zakończenie wdrażania maszyny wirtualnej, zanim przejdziesz do następnych kroków.
Instalowanie usług IIS na dwóch testowych maszynach wirtualnych
Usługi IIS są zainstalowane na maszynie wirtualnej z systemem Windows Server 2022 w celu przetestowania wychodzącego ruchu internetowego za pośrednictwem bramy NAT i ruchu między szprychami w sieci piasty i szprych.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-spoke-2.
W obszarze Operacje wybierz pozycję Uruchom polecenie.
Wybierz pozycję UruchomPowerShellScript.
Wprowadź następujący skrypt w obszarze Uruchom skrypt polecenia:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Wybierz Uruchom.
Przed przejściem do następnego kroku poczekaj na ukończenie skryptu. Ukończenie skryptu może potrwać kilka minut.
Po zakończeniu działania skryptu dane wyjściowe* wyświetlają następujące informacje:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Testowanie bramy translatora adresów sieciowych
Połącz się z maszynami wirtualnymi z systemem Windows Server 2022 utworzonymi w poprzednich krokach, aby sprawdzić, czy wychodzący ruch internetowy opuszcza bramę TRANSLATOR adresów sieciowych.
Uzyskiwanie publicznego adresu IP bramy translatora adresów sieciowych
Uzyskaj publiczny adres IP bramy translatora adresów sieciowych w celu weryfikacji kroków w dalszej części artykułu.
W polu wyszukiwania w górnej części portalu wprowadź publiczny adres IP. Wybierz pozycję Publiczne adresy IP w wynikach wyszukiwania.
Wybierz pozycję public-ip-nat.
Zanotuj wartość w adresie IP. Przykład używany w tym artykule to 52.153.224.79.
Testowanie bramy translatora adresów sieciowych z poziomu szprychy
Użyj przeglądarki Microsoft Edge na maszynie wirtualnej z systemem Windows Server 2022, aby nawiązać połączenie w celu https://whatsmyip.com zweryfikowania funkcjonalności bramy translatora adresów sieciowych.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-spoke-1.
W obszarze Przegląd wybierz pozycję Połącz, a następnie pozycję Połącz za pośrednictwem usługi Bastion.
Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.
Wybierz pozycję Połącz.
Otwórz przeglądarkę Microsoft Edge po zakończeniu ładowania pulpitu.
Na pasku adresu wprowadź .https://whatsmyip.com
Sprawdź, czy wyświetlany adres IP ruchu wychodzącego jest taki sam jak adres IP bramy translatora adresów sieciowych uzyskanych wcześniej.
Pozostaw otwarte połączenie bastionu z maszyną wirtualną vm-spoke-1.
Testowanie bramy translatora adresów sieciowych z dwóch szprych
Użyj przeglądarki Microsoft Edge na maszynie wirtualnej z systemem Windows Server 2022, aby nawiązać połączenie w celu https://whatsmyip.com zweryfikowania funkcjonalności bramy translatora adresów sieciowych.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-spoke-2.
W obszarze Przegląd wybierz pozycję Połącz, a następnie pozycję Połącz za pośrednictwem usługi Bastion.
Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.
Wybierz pozycję Połącz.
Otwórz przeglądarkę Microsoft Edge po zakończeniu ładowania pulpitu.
Na pasku adresu wprowadź .https://whatsmyip.com
Sprawdź, czy wyświetlany adres IP ruchu wychodzącego jest taki sam jak adres IP bramy translatora adresów sieciowych uzyskanych wcześniej.
Pozostaw otwarte połączenie bastionu z maszyną wirtualną vm-spoke-2.
Testowanie routingu między szprychami
Ruch z szprychy jeden do szprychy dwa i szprychy do szprychy jedna trasa przez symulowane urządzenie WUS w sieci wirtualnej piasty. Skorzystaj z poniższych przykładów, aby zweryfikować routing między szprychami sieci piasty i szprych.
Testowanie routingu od szprychy do szprychy dwie
Użyj przeglądarki Microsoft Edge, aby nawiązać połączenie z serwerem internetowym na maszynie wirtualnej vm-spoke-2 zainstalowanej w poprzednich krokach.
Wróć do otwartego połączenia bastionu z maszyną wirtualną-szprychą-1.
Otwórz przeglądarkę Microsoft Edge , jeśli nie jest otwarta.
Na pasku adresu wprowadź wartość 10.2.0.4.
Sprawdź, czy strona usług IIS jest wyświetlana z maszyny wirtualnej vm-spoke-2.
Zamknij połączenie bastionu z maszyną wirtualną-szprychą-1.
Testowanie routingu od szprych do szprychy po jedną szprychę
Użyj przeglądarki Microsoft Edge, aby nawiązać połączenie z serwerem internetowym na maszynie wirtualnej vm-spoke-1 zainstalowanej w poprzednich krokach.
Wróć do otwartego połączenia bastionu z maszyną wirtualną-szprychą-2.
Otwórz przeglądarkę Microsoft Edge , jeśli nie jest otwarta.
Na pasku adresu wprowadź wartość 10.1.0.4.
Sprawdź, czy strona usług IIS jest wyświetlana z maszyny wirtualnej vm-spoke-1.
Zamknij połączenie bastionu z maszyną wirtualną-szprychą-1.
Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.
W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.
Na stronie Grupy zasobów wybierz grupę zasobów test-rg.
Na stronie test-rg wybierz pozycję Usuń grupę zasobów.
Wprowadź ciąg test-rg w polu Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.
Następne kroki
Przejdź do następnego artykułu, aby dowiedzieć się, jak używać usługi Azure Gateway Load Balancer dla urządzeń wirtualnych sieci o wysokiej dostępności: