Szybki start: tworzenie sieci wirtualnej przy użyciu interfejsu wiersza polecenia platformy Azure

  • Artykuł

W tym przewodniku Szybki start pokazano, jak utworzyć sieć wirtualną przy użyciu interfejsu wiersza polecenia platformy Azure, interfejsu wiersza polecenia platformy Azure. Następnie utworzysz dwie maszyny wirtualne w sieci, bezpiecznie połączysz się z maszynami wirtualnymi z Internetu i rozpoczniesz prywatną komunikację między maszynami wirtualnymi.

Sieć wirtualna to podstawowy blok konstrukcyjny dla sieci prywatnych na platformie Azure. Usługa Azure Virtual Network umożliwia zasobom platformy Azure, takich jak maszyny wirtualne, bezpieczne komunikowanie się ze sobą i Internetem.

Diagram zasobów utworzonych w przewodniku Szybki start dla sieci wirtualnej.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.

Wymagania wstępne

Tworzenie grupy zasobów

Użyj polecenia az group create , aby utworzyć grupę zasobów do hostowania sieci wirtualnej. Użyj następującego kodu, aby utworzyć grupę zasobów o nazwie test-rg w regionie platformy Azure eastus2 :

az group create \
    --name test-rg \
    --location eastus2

Tworzenie sieci wirtualnej i podsieci

Użyj polecenia az network vnet create , aby utworzyć sieć wirtualną o nazwie vnet-1 z podsiecią o nazwie subnet-1 w grupie zasobów test-rg :

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Wdrażanie usługi Azure Bastion

Usługa Azure Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu ich prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji.

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego. Aby uzyskać więcej informacji na temat usługi Bastion, zobacz Co to jest usługa Azure Bastion?.

  1. Użyj polecenia az network vnet subnet create , aby utworzyć podsieć bastionu dla sieci wirtualnej. Ta podsieć jest zarezerwowana wyłącznie dla zasobów usługi Bastion i musi mieć nazwę AzureBastionSubnet.

    az network vnet subnet create \
    --name AzureBastionSubnet \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --address-prefix 10.0.1.0/26

  2. Utwórz publiczny adres IP dla usługi Bastion. Ten adres IP służy do nawiązywania połączenia z hostem usługi Bastion z Internetu. Użyj polecenia az network public-ip create , aby utworzyć publiczny adres IP o nazwie public-ip w grupie zasobów test-rg :

    az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --location eastus2 \
    --zone 1 2 3

  3. Użyj polecenia az network bastion create , aby utworzyć hosta usługi Bastion w usłudze AzureBastionSubnet dla sieci wirtualnej:

    az network bastion create \
    --name bastion \
    --public-ip-address public-ip \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --location eastus2

Wdrożenie zasobów usługi Bastion trwa około 10 minut. Maszyny wirtualne można utworzyć w następnej sekcji podczas wdrażania usługi Bastion w sieci wirtualnej.

Tworzenie maszyn wirtualnych

Użyj polecenia az vm create , aby utworzyć dwie maszyny wirtualne o nazwie vm-1 i vm-2 w podsieci podsieci-1 sieci wirtualnej. Po wyświetleniu monitu o poświadczenia wprowadź nazwy użytkowników i hasła dla maszyn wirtualnych.

  1. Aby utworzyć pierwszą maszynę wirtualną, użyj następującego polecenia:

    az vm create \
    --resource-group test-rg \
    --admin-username azureuser \
    --authentication-type password \
    --name vm-1 \
    --image Ubuntu2204 \
    --public-ip-address ""

  2. Aby utworzyć drugą maszynę wirtualną, użyj następującego polecenia:

    az vm create \
    --resource-group test-rg \
    --admin-username azureuser \
    --authentication-type password \
    --name vm-2 \
    --image Ubuntu2204 \
    --public-ip-address ""

Napiwek

Możesz również użyć --no-wait opcji , aby utworzyć maszynę wirtualną w tle podczas wykonywania innych zadań.

Proces tworzenia maszyny wirtualnej może potrwać kilka minut. Po utworzeniu każdej maszyny wirtualnej przez platformę Azure interfejs wiersza polecenia platformy Azure zwraca dane wyjściowe podobne do następującego komunikatu:

    {
      "fqdns": "",
      "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-2",
      "location": "eastus2",
      "macAddress": "00-0D-3A-23-9A-49",
      "powerState": "VM running",
      "privateIpAddress": "10.0.0.5",
      "publicIpAddress": "",
      "resourceGroup": "test-rg"
      "zones": ""
    }

Uwaga

Maszyny wirtualne w sieci wirtualnej z hostem usługi Bastion nie wymagają publicznych adresów IP. Usługa Bastion udostępnia publiczny adres IP, a maszyny wirtualne używają prywatnych adresów IP do komunikacji w sieci. Publiczne adresy IP można usunąć ze wszystkich maszyn wirtualnych w sieciach wirtualnych hostowanych w usłudze Bastion. Aby uzyskać więcej informacji, zobacz Usuwanie skojarzenia publicznego adresu IP z maszyny wirtualnej platformy Azure.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez tych reguł.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Nawiązywanie połączenia z maszyną wirtualną

  1. W portalu wyszukaj i wybierz pozycję Maszyny wirtualne.

  2. Na stronie Maszyny wirtualne wybierz pozycję vm-1.

  3. W obszarze Informacje o przeglądzie maszyny wirtualnej vm-1 wybierz pozycję Połączenie.

  4. Na stronie Połączenie do maszyny wirtualnej wybierz kartę Bastion.

  5. Wybierz pozycję Użyj usługi Bastion.

  6. Wprowadź nazwę użytkownika i hasło utworzone podczas tworzenia maszyny wirtualnej, a następnie wybierz pozycję Połączenie.

Rozpoczynanie komunikacji między maszynami wirtualnymi

  1. W wierszu polecenia powłoki bash dla maszyny wirtualnej VM-1 wprowadź wartość ping -c 4 vm-2.

    Otrzymasz odpowiedź podobną do następującej:

    azureuser@vm-1:~$ ping -c 4 vm-2
PING vm-2.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.5) 56(84) bytes of data.
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=1 ttl=64 time=1.83 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=2 ttl=64 time=0.987 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=3 ttl=64 time=0.864 ms
64 bytes from vm-2.internal.cloudapp.net (10.0.0.5): icmp_seq=4 ttl=64 time=0.890 ms

  2. Zamknij połączenie usługi Bastion z maszyną wirtualną-1.

  3. Powtórz kroki opisane w Połączenie z maszyną wirtualną, aby nawiązać połączenie z maszyną wirtualną VM-2.

  4. W wierszu polecenia powłoki bash dla maszyny wirtualnej VM-2 wprowadź .ping -c 4 vm-1

    Otrzymasz odpowiedź podobną do następującej:

    azureuser@vm-2:~$ ping -c 4 vm-1
PING vm-1.3bnkevn3313ujpr5l1kqop4n4d.cx.internal.cloudapp.net (10.0.0.4) 56(84) bytes of data.
64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=1 ttl=64 time=0.695 ms
64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=2 ttl=64 time=0.896 ms
64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=3 ttl=64 time=3.43 ms
64 bytes from vm-1.internal.cloudapp.net (10.0.0.4): icmp_seq=4 ttl=64 time=0.780 ms

  5. Zamknij połączenie usługi Bastion z maszyną wirtualną-2.

Czyszczenie zasobów

Po zakończeniu pracy z siecią wirtualną i maszynami wirtualnymi użyj polecenia az group delete , aby usunąć grupę zasobów i wszystkie jej zasoby:

az group delete \
    --name test-rg \
    --yes

Następne kroki

W tym przewodniku Szybki start utworzono sieć wirtualną z domyślną podsiecią zawierającą dwie maszyny wirtualne. Wdrożono usługę Bastion i użyto jej do nawiązania połączenia z maszynami wirtualnymi i nawiązania komunikacji między maszynami wirtualnymi. Aby dowiedzieć się więcej na temat ustawień sieci wirtualnej, zobacz Tworzenie, zmienianie lub usuwanie sieci wirtualnej.

Prywatna komunikacja między maszynami wirtualnymi w sieci wirtualnej jest domyślnie nieograniczona. Aby dowiedzieć się więcej na temat konfigurowania różnych typów komunikacji sieciowej maszyny wirtualnej, przejdź do następnego artykułu:

Filtrowanie ruchu sieciowego