Samouczek: kierowanie ruchu sieciowego za pomocą tabeli tras

Platforma Azure domyślnie kieruje ruchem między wszystkimi podsieciami w sieci wirtualnej. Możesz tworzyć własne trasy zastępujące domyślne trasy platformy Azure. Trasy niestandardowe są przydatne, gdy na przykład chcesz kierować ruch między podsieciami przez wirtualne urządzenie sieciowe (NVA).

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzenie sieci wirtualnej i podsieci
• Utwórz NVA, które kieruje ruchem
• Wdrażanie maszyn wirtualnych w różnych podsieciach
• Tworzenie tabeli tras
• Tworzenie trasy
• Kojarzenie tabeli tras z podsiecią
• Kierowanie ruchem z jednej podsieci do drugiej za pomocą urządzenia NVA

Wymagania wstępne

Portal

• Konto platformy Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.

PowerShell

• Konto platformy Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.

Azure Cloud Shell

Na platformie Azure hostowane jest interaktywne środowisko wiersza poleceń Azure Cloud Shell, z którego można korzystać przez przeglądarkę. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.

Aby uruchomić środowisko Azure Cloud Shell:

Opcja	Przykład/link
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell.
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce.
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal.

Aby użyć usługi Azure Cloud Shell:

1. Uruchom usługę Cloud Shell.

2. Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.

3. Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając Ctrl++V w systemie macOS.

4. Wybierz Enter, aby uruchomić kod lub polecenie.

Jeśli zdecydujesz się zainstalować program PowerShell i korzystać z niego lokalnie, ten artykuł wymaga modułu Azure PowerShell w wersji 1.0.0 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount, aby utworzyć połączenie z platformą Azure.

CLI (Interfejs linii komend)

Jeśli nie masz jeszcze konta platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Get started with Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Gdy pojawi się komunikat, zainstaluj rozszerzenie CLI platformy Azure przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

• Ten artykuł wymaga wersji 2.0.28 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.

Tworzenie podsieci

Do tego samouczka potrzebne są podsieci DMZ i Private . Podsieć DMZ to miejsce, gdzie wdrażasz NVA, a podsieć Private to miejsce, gdzie wdrażasz maszyny wirtualne, do których chcesz kierować ruch. Podsieć-1 jest podsiecią utworzoną w poprzednich krokach. Użyj podsieci-1 dla publicznej maszyny wirtualnej.

Portal

Tworzenie sieci wirtualnej i hosta usługi Azure Bastion

Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów, podsiecią usługi Azure Bastion i hostem usługi Bastion:

1. W portalu wyszukaj i wybierz pozycję Sieci wirtualne.

2. Na stronie Sieci wirtualne wybierz pozycję + Utwórz.

3. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycjęUtwórz nowy. Wprowadź test-rg jako nazwę. Wybierz przycisk OK.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź wartość vnet-1.
   Rejon	Wybierz pozycję East US 2 (Wschodnie stany USA 2).

   

4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .

5. W sekcji Azure Bastion wybierz pozycję Włącz usługę Azure Bastion.

   Usługa Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.

   Uwaga

   Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.

6. W usłudze Azure Bastion wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Nazwa hosta usługi Azure Bastion	Wprowadź bastion.
   Publiczny adres IP usługi Azure Bastion	Wybierz pozycję Utwórz publiczny adres IP. Wprowadź public-ip-bastion w polu Nazwa. Wybierz przycisk OK.

   

7. Wybierz przycisk Dalej , aby przejść do karty Adresy IP.

8. W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.

9. W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Cel podsieci	Pozostaw ustawienie Domyślne.
   Nazwisko	Wprowadź podsieć-1.
   Protokół IPv4
   Zakres adresów IPv4	Pozostaw wartość domyślną 10.0.0.0/16.
   Adres początkowy	Pozostaw wartość domyślną 10.0.0.0.
   Rozmiar	Pozostaw wartość domyślną /24 (256 adresów).

   

10. Wybierz pozycję Zapisz.

11. Wybierz pozycję Przejrzyj i utwórz w dolnej części okna. Po zakończeniu walidacji wybierz pozycję Utwórz.

1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

2. W obszarze Sieci wirtualne wybierz pozycję vnet-1.

3. W vnet-1 wybierz Podsieci w sekcji Ustawienia.

4. Na liście podsieci sieci wirtualnej wybierz pozycję + Podsieć.

5. W obszarze Dodaj podsieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Cel podsieci	Pozostaw ustawienie Domyślne.
   Nazwisko	Wprowadź subnet-private.
   Protokół IPv4
   Zakres adresów IPv4	Pozostaw wartość domyślną 10.0.0.0/16.
   Adres początkowy	Wprowadź 10.0.2.0.
   Rozmiar	Pozostaw wartość domyślną /24 (256 adresów).

6. Wybierz Dodaj.

7. Wybierz pozycję + Podsieć.

8. W obszarze Dodaj podsieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Cel podsieci	Pozostaw ustawienie Domyślne.
   Nazwisko	Wprowadź subnet-dmz.
   Protokół IPv4
   Zakres adresów IPv4	Pozostaw wartość domyślną 10.0.0.0/16.
   Adres początkowy	Wprowadź 10.0.3.0.
   Rozmiar	Pozostaw wartość domyślną /24 (256 adresów).

9. Wybierz Dodaj.

PowerShell

Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup. Poniższy przykład obejmuje tworzenie grupy zasobów o nazwie test-rg dla wszystkich zasobów utworzonych w tym artykule.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

Utwórz sieć wirtualną przy użyciu polecenia New-AzVirtualNetwork. Poniższy przykład tworzy sieć wirtualną o nazwie vnet-1 z prefiksem adresu 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Utwórz cztery podsieci, tworząc cztery konfiguracje podsieci za pomocą polecenia New-AzVirtualNetworkSubnetConfig. Poniższy przykład tworzy cztery konfiguracje podsieci dla podsieci publicznych, prywatnych, DMZ i Azure Bastion.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Zapisz konfiguracje podsieci w sieci wirtualnej za pomocą polecenia Set-AzVirtualNetwork, która tworzy podsieci w sieci wirtualnej:

$virtualNetwork | Set-AzVirtualNetwork

Tworzenie usługi Azure Bastion

Utwórz publiczny adres IP hosta usługi Azure Bastion przy użyciu polecenia New-AzPublicIpAddress. Poniższy przykład tworzy publiczny adres IP o nazwie public-ip-bastion w sieci wirtualnej vnet-1 .

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

Utwórz hosta usługi Azure Bastion przy użyciu polecenia New-AzBastion. Poniższy przykład tworzy hosta usługi Azure Bastion o nazwie bastion w podsieci AzureBastionSubnet sieci wirtualnej vnet-1. Azure Bastion służy do bezpiecznego łączenia maszyn wirtualnych platformy Azure bez ich wystawiania do publicznego Internetu.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
}
New-AzBastion @bastionParams -AsJob

CLI (Interfejs linii komend)

Utwórz grupę zasobów za pomocą polecenia az group create dla wszystkich zasobów utworzonych w tym artykule.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

Utwórz sieć wirtualną z jedną podsiecią, używając az network vnet create.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Utwórz dwie kolejne podsieci za pomocą polecenia az network vnet subnet create.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Tworzenie usługi Azure Bastion

Aby utworzyć adres IP publiczny dla hosta Azure Bastion, użyj polecenia az network public-ip create. Poniższy przykład tworzy publiczny adres IP o nazwie public-ip-bastion w sieci wirtualnej vnet-1 .

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

Utwórz hosta usługi Azure Bastion za pomocą polecenia az network bastion create. Poniższy przykład tworzy hosta usługi Azure Bastion o nazwie bastion w podsieci AzureBastionSubnet sieci wirtualnej vnet-1. Azure Bastion służy do bezpiecznego łączenia maszyn wirtualnych platformy Azure bez ich wystawiania do publicznego Internetu.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2
    --no-wait

Utwórz maszynę wirtualną NVA

Wirtualne urządzenia sieciowe (WUS) to maszyny wirtualne, które ułatwiają funkcje sieciowe, takie jak optymalizacja routingu i zapory. W tej sekcji utwórz NVA przy użyciu maszyny wirtualnej Ubuntu 24.04.

Portal

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

2. Wybierz + Utwórz, a następnie maszynę wirtualną Azure.

3. W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa maszyny wirtualnej	Wprowadź wartość vm-nva.
   Rejon	Wybierz pozycję (USA) Wschodnie USA 2.
   Opcje dostępności	Wybierz Niewymagana nadmiarowość infrastruktury.
   Typ zabezpieczeń	Wybierz opcję Standardowa.
   Obraz	Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2.
   Architektura maszyny wirtualnej	Pozostaw wartość domyślną x64.
   Rozmiar	Wybierz rozmiar.
   Konto administratora
   Typ uwierzytelniania	Wybierz pozycję Hasło.
   Nazwa użytkownika	Wprowadź nazwę użytkownika.
   Hasło	Wprowadź hasło.
   Potwierdź hasło	Ponownie wprowadź hasło.
   Reguły portów przychodzących
   Publiczne porty ruchu przychodzącego	Wybierz Brak.

4. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.

5. Na karcie Sieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Interfejs sieciowy
   Sieć wirtualna	Wybierz pozycję vnet-1.
   Podsieć	Wybierz subnet-dmz (10.0.3.0/24).
   Publiczny adres IP	Wybierz Brak.
   Grupa zabezpieczeń sieci interfejsu sieciowego	Wybierz opcję Zaawansowane.
   Konfigurowanie sieciowej grupy zabezpieczeń	Wybierz pozycjęUtwórz nowy. Wprowadź nsg-nva w polu Nazwa. Wybierz przycisk OK.

6. Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.

7. Wybierz pozycję Utwórz.

PowerShell

Utwórz maszynę wirtualną za pomocą polecenia New-AzVM. Poniższy przykład tworzy maszynę wirtualną o nazwie vm-nva.

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

CLI (Interfejs linii komend)

Utwórz maszynę wirtualną do użycia jako wirtualne urządzenie sieciowe (NVA) w podsieci subnet-dmz za pomocą polecenia az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --authentication-type password

W ciągu kilku minut zostanie utworzona maszyna wirtualna. Nie wykonuj następnego kroku, dopóki platforma Azure nie zakończy tworzenia maszyny wirtualnej i zwraca dane wyjściowe dotyczące maszyny wirtualnej.

Tworzenie publicznych i prywatnych maszyn wirtualnych

Utwórz dwie maszyny wirtualne w sieci wirtualnej vnet-1 . Jedna maszyna wirtualna znajduje się w podsieci subnet-1, a druga maszyna wirtualna znajduje się w podsieci prywatnej. Użyj tego samego obrazu maszyny wirtualnej dla obu maszyn wirtualnych.

Tworzenie publicznej maszyny wirtualnej

Publiczna maszyna wirtualna służy do symulowania maszyny w publicznym Internecie. Publiczna i prywatna maszyna wirtualna służą do testowania routingu ruchu sieciowego za pośrednictwem maszyny wirtualnej NVA.

Portal

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

2. Wybierz + Utwórz, a następnie maszynę wirtualną Azure.

3. W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa maszyny wirtualnej	Wprowadź wartość vm-public.
   Rejon	Wybierz pozycję (USA) Wschodnie USA 2.
   Opcje dostępności	Wybierz Niewymagana nadmiarowość infrastruktury.
   Typ zabezpieczeń	Wybierz opcję Standardowa.
   Obraz	Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2.
   Architektura maszyny wirtualnej	Pozostaw wartość domyślną x64.
   Rozmiar	Wybierz rozmiar.
   Konto administratora
   Typ uwierzytelniania	Wybierz pozycję Hasło.
   Nazwa użytkownika	Wprowadź nazwę użytkownika.
   Hasło	Wprowadź hasło.
   Potwierdź hasło	Ponownie wprowadź hasło.
   Reguły portów przychodzących
   Publiczne porty ruchu przychodzącego	Wybierz Brak.

4. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.

5. Na karcie Sieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Interfejs sieciowy
   Sieć wirtualna	Wybierz pozycję vnet-1.
   Podsieć	Wybierz podsieć-1 (10.0.0.0/24).
   Publiczny adres IP	Wybierz Brak.
   Grupa zabezpieczeń sieci interfejsu sieciowego	Wybierz Brak.

6. Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.

7. Wybierz pozycję Utwórz.

Tworzenie prywatnej maszyny wirtualnej

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

2. Wybierz + Utwórz, a następnie maszynę wirtualną Azure.

3. W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa maszyny wirtualnej	Wprowadź vm-private.
   Rejon	Wybierz pozycję (USA) Wschodnie USA 2.
   Opcje dostępności	Wybierz Niewymagana nadmiarowość infrastruktury.
   Typ zabezpieczeń	Wybierz opcję Standardowa.
   Obraz	Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2.
   Architektura maszyny wirtualnej	Pozostaw wartość domyślną x64.
   Rozmiar	Wybierz rozmiar.
   Konto administratora
   Typ uwierzytelniania	Wybierz pozycję Hasło.
   Nazwa użytkownika	Wprowadź nazwę użytkownika.
   Hasło	Wprowadź hasło.
   Potwierdź hasło	Ponownie wprowadź hasło.
   Reguły portów przychodzących
   Publiczne porty ruchu przychodzącego	Wybierz Brak.

4. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.

5. Na karcie Sieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Interfejs sieciowy
   Sieć wirtualna	Wybierz pozycję vnet-1.
   Podsieć	Wybierz pozycję subnet-private (10.0.2.0/24).
   Publiczny adres IP	Wybierz Brak.
   Grupa zabezpieczeń sieci interfejsu sieciowego	Wybierz Brak.

6. Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.

7. Wybierz pozycję Utwórz.

PowerShell

Utwórz maszynę wirtualną w podsieci subnet-1 za pomocą polecenia New-AzVM. Poniższy przykład tworzy maszynę wirtualną o nazwie vm-public w podsieci subnet-public sieci wirtualnej vnet-1.

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

Utwórz maszynę wirtualną w podsieci subnet-private.

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

W ciągu kilku minut zostanie utworzona maszyna wirtualna. Nie wykonuj następnego kroku, dopóki maszyna wirtualna nie zostanie utworzona, a platforma Azure zwróci dane wyjściowe do programu PowerShell.

CLI (Interfejs linii komend)

Utwórz maszynę wirtualną w podsieci subnet-1 za pomocą polecenia az vm create. Parametr --no-wait umożliwia platformie Azure wykonanie polecenia w tle, dzięki czemu można przejść do następnego polecenia.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --authentication-type password \
    --no-wait

Utwórz maszynę wirtualną w podsieci subnet-private.

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --authentication-type password

Włączanie przekazywania dalej adresu IP

Aby kierować ruch przez urządzenie WUS, włącz przekazywanie adresów IP na platformie Azure i w systemie operacyjnym vm-nva. Po włączeniu przekazywania adresów IP każdy ruch odbierany przez urządzenie vm-nva przeznaczony dla innego adresu IP nie jest odrzucany i przekazywany do prawidłowego miejsca docelowego.

Włączanie przekazywania adresów IP na platformie Azure

W tej sekcji włączysz przekazywanie adresów IP dla interfejsu sieciowego maszyny wirtualnej vm-nva .

Portal

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

2. W obszarze Maszyny wirtualne wybierz pozycję vm-nva.

3. W maszynie vm-nva rozwiń Sieć, a następnie wybierz Ustawienia sieci.

4. Wybierz nazwę interfejsu obok pozycji Interfejs sieciowy:. Nazwa zaczyna się od vm-nva i ma losową liczbę przypisaną do interfejsu. Nazwa interfejsu w tym przykładzie to vm-nva313.

   

5. Na stronie przeglądu interfejsu sieciowego wybierz pozycję Konfiguracje adresów IP w sekcji Ustawienia .

6. W konfiguracjach IP zaznacz pole obok Włącz przekazywanie IP.

   

7. Wybierz Zastosuj.

PowerShell

Włącz przekazywanie adresów IP dla interfejsu sieciowego maszyny wirtualnej vm-nva za pomocą polecenia Set-AzNetworkInterface. Poniższy przykład umożliwia przekazywanie adresów IP dla interfejsu sieciowego o nazwie vm-nva313.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

CLI (Interfejs linii komend)

Włącz przekazywanie adresów IP dla interfejsu sieciowego maszyny wirtualnej vm-nva za pomocą az network nic update. Poniższy przykład umożliwia przekazywanie adresów IP dla interfejsu sieciowego o nazwie vm-nvaVMNic.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

Włączanie przekazywania adresów IP w systemie operacyjnym

W tej sekcji włącz przekazywanie adresów IP dla systemu operacyjnego maszyny wirtualnej vm-nva , aby przekazywać ruch sieciowy. Użyj usługi Azure Bastion, aby nawiązać połączenie z maszyną wirtualną vm-nva .

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

2. W obszarze Maszyny wirtualne wybierz pozycję vm-nva.

3. Wybierz Połącz, a następnie Połącz za pośrednictwem Bastionu w sekcji Przegląd.

4. Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.

5. Wybierz pozycję Połącz.

6. Wprowadź następujące informacje w wierszu polecenia maszyny wirtualnej, aby włączyć przekazywanie adresów IP:

   sudo vim /etc/sysctl.conf
   

7. W edytorze Vim usuń element # z wiersza net.ipv4.ip_forward=1:

   Naciśnij Insert.

   # Uncomment the next line to enable packet forwarding for IPv4
   net.ipv4.ip_forward=1
   

   Naciśnij Esc.

   Wprowadź :wq i naciśnij Enter.

8. Zamknij sesję usługi Bastion.

9. Ponowne uruchom maszynę wirtualną.

Tworzenie tabeli tras

W tej sekcji utwórz tabelę tras, aby zdefiniować trasę ruchu sieciowego przez maszynę wirtualną Network Virtual Appliance. Tabela tras jest skojarzona z podsiecią subnet-1 , w której wdrożono publiczną maszynę wirtualną vm-public .

Portal

1. W polu wyszukiwania w górnej części portalu wprowadź tabela tras. Wybierz pozycję tabele tras w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. W obszarze Tworzenie tabeli tras wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Rejon	Wybierz pozycję East US 2 (Wschodnie stany USA 2).
   Nazwisko	Wprowadź route-table-public.
   Rozpowszechnianie tras bram	Pozostaw wartość domyślną Tak.

4. Wybierz pozycję Przejrzyj i utwórz.

5. Wybierz pozycję Utwórz.

Tworzenie trasy

W tej sekcji utwórz trasę w tabeli tras utworzonej w poprzednich krokach.

1. W polu wyszukiwania w górnej części portalu wprowadź tabela tras. Wybierz pozycję tabele tras w wynikach wyszukiwania.

2. Wybierz pozycję route-table-public.

3. Rozwiń Ustawienia, następnie wybierz Trasy.

4. Wybierz pozycję + Dodaj w trasach.

5. Wprowadź lub wybierz następujące informacje w obszarze Dodawanie trasy:

   Ustawienie	Wartość
   Nazwa trasy	Wprowadź to-private-subnet.
   Typ docelowy	Wybierz Adresy IP.
   Docelowe adresy IP/zakresy CIDR	Wpisz 10.0.2.0/24.
   Typ następnego przeskoku	Wybierz pozycję Urządzenie wirtualne.
   Adres następnego przeskoku	Wprowadź 10.0.3.4. To jest adres IP maszyny wirtualnej nva, którą utworzyłeś we wcześniejszych krokach.

6. Wybierz Dodaj.

7. Wybierz pozycję Podsieci w obszarze Ustawienia.

8. Wybierz + Skojarz.

9. Wprowadź lub wybierz następujące informacje w obszarze Skojarz podsieć:

   Ustawienie	Wartość
   Sieć wirtualna	Wybierz pozycję vnet-1 (test-rg).
   Podsieć	Wybierz podsieć-1.

10. Wybierz przycisk OK.

PowerShell

Utwórz tabelę tras za pomocą polecenia New-AzRouteTable. Poniższy przykład tworzy tabelę tras o nazwie route-table-public.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Utwórz trasę, pobierając obiekt tabeli tras za pomocą polecenia Get-AzRouteTable, utwórz trasę za pomocą polecenia Add-AzRouteConfig, a następnie zapisz konfigurację trasy w tabeli tras za pomocą polecenia Set-AzRouteTable.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Skojarz tabelę tras z podsiecią subnet-1 za pomocą polecenia Set-AzVirtualNetworkSubnetConfig. Poniższy przykład kojarzy tabelę tras `route-table-public` z podsiecią `subnet-1`.

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

CLI (Interfejs linii komend)

Utwórz tabelę tras za pomocą polecenia az network route-table create. Poniższy przykład tworzy tabelę tras o nazwie route-table-public.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

Utwórz trasę w tabeli tras za pomocą polecenia az network route-table route create.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

Skojarz tabelę tras `route-table-subnet-public` z podsiecią `subnet-1` za pomocą `az network vnet subnet update`.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

Testowanie routingu ruchu sieciowego

Przetestuj routing ruchu sieciowego z publicznej maszyny wirtualnej do prywatnej maszyny wirtualnej. Przetestuj routing ruchu sieciowego z maszyny wirtualnej prywatnej do maszyny wirtualnej publicznej.

Testowanie ruchu sieciowego z VM-public do VM-private

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

2. W obszarze Maszyny wirtualne wybierz pozycję vm-public.

3. Wybierz Połącz, a następnie Połącz za pośrednictwem usługi Bastion w sekcji Przegląd.

4. Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.

5. Wybierz pozycję Połącz.

6. W wierszu polecenia wprowadź następujące polecenie, aby śledzić routing ruchu sieciowego z maszyny wirtualnej publicznej do prywatnej maszyny wirtualnej:

   tracepath vm-private
   

   Odpowiedź jest podobna do poniższego przykładu:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   Widać dwa przeskoki w powyższej odpowiedzi dla tracepath ruchu ICMP z maszyny wirtualnej publicznej do maszyny wirtualnej prywatnej. Pierwszy przeskok to vm-nva. Drugi przeskok to docelowa maszyna wirtualna-prywatna.

   Platforma Azure wysłała ruch z subnet-1 przez NVA zamiast bezpośrednio do podsieci prywatnej, ponieważ wcześniej dodałeś trasę to-private-subnet do route-table-public i skojarzyłeś ją z subnet-1.

7. Zamknij sesję usługi Bastion.

Testowanie ruchu sieciowego z vm-private do vm-public

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

2. W obszarze Maszyny wirtualne wybierz pozycję vm-private.

3. Wybierz Połącz, a następnie Połącz za pośrednictwem usługi Bastion w sekcji Przegląd.

4. Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.

5. Wybierz pozycję Połącz.

6. W wierszu polecenia wprowadź następujące polecenie, aby śledzić routing ruchu sieciowego z prywatnej maszyny wirtualnej do publicznej maszyny wirtualnej.

   tracepath vm-public
   

   Odpowiedź jest podobna do poniższego przykładu:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   Widać, że w powyższej odpowiedzi znajduje się jeden przeskok, który jest miejscem docelowym vm-public.

   Platforma Azure wysłała ruch bezpośrednio z podsieci prywatnej do podsieci-1. Domyślnie platforma Azure kieruje ruch bezpośrednio między podsieciami.

7. Zamknij sesję usługi Bastion.

Portal

Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.

2. Na stronie Grupy zasobów wybierz grupę zasobów test-rg.

3. Na stronie test-rg wybierz pozycję Usuń grupę zasobów.

4. Wprowadź test-rg w Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz Usuń.

PowerShell

Gdy grupa zasobów i wszystkie zawarte w niej zasoby nie będą już potrzebne, użyj polecenia Remove-AzResourcegroup .

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

CLI (Interfejs linii komend)

Gdy grupa zasobów nie jest już potrzebna, użyj polecenia az group delete , aby usunąć grupę zasobów i wszystkie zawarte w niej zasoby.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Następne kroki

W tym samouczku, Ty:

• Utworzono tabelę tras i skojarzyliśmy ją z podsiecią.

• Utworzono proste wirtualne urządzenie sieciowe kierujące ruch z podsieci publicznej do podsieci prywatnej.

Możesz wdrożyć różne wstępnie skonfigurowane urządzenia NVA z Azure Marketplace, które zapewniają wiele przydatnych funkcji sieciowych.

Aby dowiedzieć się więcej na temat routingu, zobacz Routing overview (Omówienie routingu) i Manage a route table (Zarządzanie tabelą tras).

Aby dowiedzieć się, jak ograniczyć dostęp sieciowy do zasobów PaaS przy użyciu punktów końcowych usługi sieci wirtualnej, przejdź do następnego samouczka.

Ogranicz dostęp do sieci przy użyciu punktów końcowych usługi