Samouczek: kierowanie ruchem sieciowym za pomocą tabeli tras z użyciem witryny Azure Portal
Platforma Azure domyślnie kieruje ruchem między wszystkimi podsieciami w sieci wirtualnej. Możesz tworzyć własne trasy zastępujące domyślne trasy platformy Azure. Trasy niestandardowe są przydatne, gdy na przykład chcesz kierować ruch między podsieciami za pośrednictwem wirtualnego urządzenia sieciowego (WUS).
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Tworzenie sieci wirtualnej i podsieci
- Tworzenie urządzenia NVA, które kieruje ruchem
- Wdrażanie maszyn wirtualnych w różnych podsieciach
- Tworzenie tabeli tras
- Tworzenie trasy
- Kojarzenie tabeli tras z podsiecią
- Kierowanie ruchem z jednej podsieci do drugiej za pomocą urządzenia NVA
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.
Logowanie się do platformy Azure
Zaloguj się w witrynie Azure Portal.
Tworzenie sieci wirtualnej i hosta usługi Azure Bastion
Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów, podsiecią usługi Azure Bastion i hostem usługi Bastion:
W portalu wyszukaj i wybierz pozycję Sieci wirtualne.
Na stronie Sieci wirtualne wybierz pozycję + Utwórz.
Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycjęUtwórz nowy.
Wprowadź wartość test-rg jako nazwę.
Wybierz przycisk OK.Szczegóły wystąpienia Nazwisko Wprowadź wartość vnet-1. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
W sekcji Azure Bastion wybierz pozycję Włącz usługę Azure Bastion.
Usługa Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.
Uwaga
Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.
W usłudze Azure Bastion wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Nazwa hosta usługi Azure Bastion Wprowadź bastion. Publiczny adres IP usługi Azure Bastion Wybierz pozycję Utwórz publiczny adres IP.
Wprowadź wartość public-ip-bastion w polu Nazwa.
Wybierz przycisk OK.Wybierz przycisk Dalej , aby przejść do karty Adresy IP.
W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.
W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Cel podsieci Pozostaw wartość domyślną domyślnej. Nazwisko Wprowadź podsieć-1. Protokół IPv4 Zakres adresów IPv4 Pozostaw wartość domyślną 10.0.0.0/16. Adres początkowy Pozostaw wartość domyślną 10.0.0.0. Rozmiar Pozostaw wartość domyślną /24 (256 adresów). Wybierz pozycję Zapisz.
Wybierz pozycję Przejrzyj i utwórz w dolnej części okna. Po zakończeniu walidacji wybierz pozycję Utwórz.
Tworzenie podsieci
Do tego samouczka potrzebne są podsieci DMZ i Private . Podsieć DMZ to miejsce, w którym wdrażasz urządzenie WUS, a podsieć Private to miejsce wdrażania maszyn wirtualnych, do których ma być kierowany ruch. Podsieć-1 jest podsiecią utworzoną w poprzednich krokach. Użyj podsieci-1 dla publicznej maszyny wirtualnej.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
W obszarze Sieci wirtualne wybierz pozycję vnet-1.
W sieci wirtualnej-1 wybierz pozycję Podsieci w sekcji Ustawienia .
Na liście podsieci sieci wirtualnej wybierz pozycję + Podsieć.
W obszarze Dodaj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Cel podsieci Pozostaw wartość domyślną domyślnej. Nazwisko Wprowadź wartość subnet-private. Protokół IPv4 Zakres adresów IPv4 Pozostaw wartość domyślną 10.0.0.0/16. Adres początkowy Wprowadź wartość 10.0.2.0. Rozmiar Pozostaw wartość domyślną /24 (256 adresów). Wybierz Dodaj.
Wybierz pozycję + Podsieć.
W obszarze Dodaj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Cel podsieci Pozostaw wartość domyślną domyślnej. Nazwisko Wprowadź wartość subnet-dmz. Protokół IPv4 Zakres adresów IPv4 Pozostaw wartość domyślną 10.0.0.0/16. Adres początkowy Wprowadź wartość 10.0.3.0. Rozmiar Pozostaw wartość domyślną /24 (256 adresów). Wybierz Dodaj.
Tworzenie maszyny wirtualnej urządzenia WUS
Wirtualne urządzenia sieciowe (WUS) to maszyny wirtualne, które ułatwiają funkcje sieciowe, takie jak optymalizacja routingu i zapory. W tej sekcji utwórz urządzenie WUS przy użyciu maszyny wirtualnej z systemem Ubuntu 24.04 .
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję + Utwórz , a następnie pozycję Maszyna wirtualna platformy Azure.
W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Virtual machine name Wprowadź wartość vm-nva. Region (Region) Wybierz pozycję (USA) Wschodnie stany USA 2. Opcje dostępności Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury. Typ zabezpieczeń Wybierz opcję Standardowa. Obraz Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2. Architektura maszyny wirtualnej Pozostaw wartość domyślną x64. Rozmiar Wybierz rozmiar. Konto administratora Typ uwierzytelniania Wybierz pozycję Hasło. Username Wprowadź nazwę użytkownika. Hasło Wprowadź hasło. Potwierdź hasło Ponownie wprowadź hasło. Reguły portów przychodzących Publiczne porty ruchu przychodzącego Wybierz pozycję Brak. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.
Na karcie Sieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz pozycję vnet-1. Podsieć Wybierz pozycję subnet-dmz (10.0.3.0/24). Publiczny adres IP Wybierz pozycję Brak. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz opcję Zaawansowane. Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycjęUtwórz nowy.
W polu Nazwa wprowadź ciąg nsg-nva.
Wybierz przycisk OK.Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Tworzenie publicznych i prywatnych maszyn wirtualnych
Utwórz dwie maszyny wirtualne w sieci wirtualnej vnet-1 . Jedna maszyna wirtualna znajduje się w podsieci subnet-1 , a druga maszyna wirtualna znajduje się w podsieci prywatnej podsieci. Użyj tego samego obrazu maszyny wirtualnej dla obu maszyn wirtualnych.
Tworzenie publicznej maszyny wirtualnej
Publiczna maszyna wirtualna służy do symulowania maszyny w publicznym Internecie. Publiczna i prywatna maszyna wirtualna służy do testowania routingu ruchu sieciowego za pośrednictwem maszyny wirtualnej urządzenia WUS.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję + Utwórz , a następnie pozycję Maszyna wirtualna platformy Azure.
W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Virtual machine name Wprowadź wartość vm-public. Region (Region) Wybierz pozycję (USA) Wschodnie stany USA 2. Opcje dostępności Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury. Typ zabezpieczeń Wybierz opcję Standardowa. Obraz Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2. Architektura maszyny wirtualnej Pozostaw wartość domyślną x64. Rozmiar Wybierz rozmiar. Konto administratora Typ uwierzytelniania Wybierz pozycję Hasło. Username Wprowadź nazwę użytkownika. Hasło Wprowadź hasło. Potwierdź hasło Ponownie wprowadź hasło. Reguły portów przychodzących Publiczne porty ruchu przychodzącego Wybierz pozycję Brak. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.
Na karcie Sieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz pozycję vnet-1. Podsieć Wybierz podsieć-1 (10.0.0.0/24). Publiczny adres IP Wybierz pozycję Brak. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz pozycję Brak. Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Tworzenie prywatnej maszyny wirtualnej
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję + Utwórz , a następnie pozycję Maszyna wirtualna platformy Azure.
W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz następujące informacje na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Virtual machine name Wprowadź wartość vm-private. Region (Region) Wybierz pozycję (USA) Wschodnie stany USA 2. Opcje dostępności Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury. Typ zabezpieczeń Wybierz opcję Standardowa. Obraz Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2. Architektura maszyny wirtualnej Pozostaw wartość domyślną x64. Rozmiar Wybierz rozmiar. Konto administratora Typ uwierzytelniania Wybierz pozycję Hasło. Username Wprowadź nazwę użytkownika. Hasło Wprowadź hasło. Potwierdź hasło Ponownie wprowadź hasło. Reguły portów przychodzących Publiczne porty ruchu przychodzącego Wybierz pozycję Brak. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.
Na karcie Sieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz pozycję vnet-1. Podsieć Wybierz pozycję subnet-private (10.0.2.0/24). Publiczny adres IP Wybierz pozycję Brak. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz pozycję Brak. Pozostaw pozostałe opcje domyślne i wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Włączanie przekazywania dalej adresu IP
Aby kierować ruch przez urządzenie WUS, włącz przekazywanie adresów IP na platformie Azure i w systemie operacyjnym vm-nva. Po włączeniu przekazywania adresów IP każdy ruch odbierany przez urządzenie vm-nva przeznaczony dla innego adresu IP nie jest odrzucany i przekazywany do prawidłowego miejsca docelowego.
Włączanie przekazywania adresów IP na platformie Azure
W tej sekcji włączysz przekazywanie adresów IP dla interfejsu sieciowego maszyny wirtualnej vm-nva .
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
W obszarze Maszyny wirtualne wybierz pozycję vm-nva.
W maszynie vm-nva rozwiń węzeł Sieć , a następnie wybierz pozycję Ustawienia sieci.
Wybierz nazwę interfejsu obok pozycji Interfejs sieciowy:. Nazwa zaczyna się od vm-nva i ma losową liczbę przypisaną do interfejsu. Nazwa interfejsu w tym przykładzie to vm-nva313.
Na stronie przeglądu interfejsu sieciowego wybierz pozycję Konfiguracje adresów IP w sekcji Ustawienia .
W obszarze Konfiguracje adresów IP wybierz pole obok pozycji Włącz przekazywanie adresów IP.
Wybierz Zastosuj.
Włączanie przekazywania adresów IP w systemie operacyjnym
W tej sekcji włącz przekazywanie adresów IP dla systemu operacyjnego maszyny wirtualnej vm-nva , aby przekazywać ruch sieciowy. Użyj usługi Azure Bastion, aby nawiązać połączenie z maszyną wirtualną vm-nva .
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
W obszarze Maszyny wirtualne wybierz pozycję vm-nva.
Wybierz pozycję Połącz, a następnie pozycję Połącz za pośrednictwem usługi Bastion w sekcji Przegląd.
Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.
Wybierz pozycję Połącz.
Wprowadź następujące informacje w wierszu polecenia maszyny wirtualnej, aby włączyć przekazywanie adresów IP:
sudo vim /etc/sysctl.conf
W edytorze Vim usuń element
#
z wierszanet.ipv4.ip_forward=1
:Naciśnij Insert.
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1
Naciśnij Esc.
Wprowadź
:wq
i naciśnij Enter.Zamknij sesję usługi Bastion.
Ponowne uruchom maszynę wirtualną.
Tworzenie tabeli tras
W tej sekcji utwórz tabelę tras, aby zdefiniować trasę ruchu przez maszynę wirtualną urządzenia WUS. Tabela tras jest skojarzona z podsiecią subnet-1 , w której wdrożono publiczną maszynę wirtualną vm-public .
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz + Utwórz.
W obszarze Tworzenie tabeli tras wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Nazwisko Wprowadź ciąg route-table-public. Propagacja tras bramy Pozostaw wartość domyślną Tak. Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Tworzenie trasy
W tej sekcji utwórz trasę w tabeli tras utworzonej w poprzednich krokach.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz pozycję route-table-public.
Rozwiń węzeł Ustawienia , a następnie wybierz pozycję Trasy.
Wybierz pozycję + Dodaj w trasach.
Wprowadź lub wybierz następujące informacje w obszarze Dodawanie trasy:
Ustawienie Wartość Nazwa trasy Wprowadź wartość to-private-subnet. Typ docelowy Wybierz pozycję Adresy IP. Docelowe adresy IP/zakresy CIDR Wpisz 10.0.2.0/24. Typ następnego przeskoku Wybierz pozycję Urządzenie wirtualne. Adres następnego przeskoku Wprowadź wartość 10.0.3.4.
Jest to adres IP maszyny wirtualnej w nva utworzonej we wcześniejszych krokach.Wybierz Dodaj.
Wybierz pozycję Podsieci w obszarze Ustawienia.
Wybierz pozycję + Skojarz.
Wprowadź lub wybierz następujące informacje w obszarze Kojarzenie podsieci:
Ustawienie Wartość Sieć wirtualna Wybierz pozycję vnet-1 (test-rg). Podsieć Wybierz podsieć-1. Wybierz przycisk OK.
Testowanie routingu ruchu sieciowego
Przetestuj routing ruchu sieciowego z maszyny wirtualnej publicznej do prywatnej maszyny wirtualnej. Przetestuj routing ruchu sieciowego z maszyny wirtualnej prywatnej do publicznej maszyny wirtualnej.
Testowanie ruchu sieciowego z maszyny wirtualnej publicznej do prywatnej maszyny wirtualnej
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
W obszarze Maszyny wirtualne wybierz pozycję vm-public.
Wybierz pozycję Połącz, a następnie pozycję Połącz za pośrednictwem usługi Bastion w sekcji Przegląd.
Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.
Wybierz pozycję Połącz.
W wierszu polecenia wprowadź następujące polecenie, aby śledzić routing ruchu sieciowego z maszyny wirtualnej publicznej do prywatnej maszyny wirtualnej:
tracepath vm-private
Odpowiedź jest podobna do poniższego przykładu:
azureuser@vm-public:~$ tracepath vm-private 1?: [LOCALHOST] pmtu 1500 1: vm-nva.internal.cloudapp.net 1.766ms 1: vm-nva.internal.cloudapp.net 1.259ms 2: vm-private.internal.cloudapp.net 2.202ms reached Resume: pmtu 1500 hops 2 back 1
Widać, że istnieją dwa przeskoki w powyższej odpowiedzi dla
tracepath
ruchu ICMP z maszyny wirtualnej publicznej do maszyny wirtualnej private. Pierwszy przeskok to vm-nva. Drugi przeskok to docelowa maszyna wirtualna-prywatna.Platforma Azure wysłała ruch z podsieci subnet-1 do urządzenia WUS, a nie bezpośrednio do podsieci prywatnej, ponieważ wcześniej dodano trasę do podsieci do trasy-table-public i skojarzyła ją z podsiecią Subnet-1.
Zamknij sesję usługi Bastion.
Testowanie ruchu sieciowego z maszyny wirtualnej prywatnej do publicznej maszyny wirtualnej
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
W obszarze Maszyny wirtualne wybierz pozycję vm-private.
Wybierz pozycję Połącz, a następnie pozycję Połącz za pośrednictwem usługi Bastion w sekcji Przegląd.
Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.
Wybierz pozycję Połącz.
W wierszu polecenia wprowadź następujące polecenie, aby śledzić routing ruchu sieciowego z maszyny wirtualnej prywatnej do publicznej maszyny wirtualnej:
tracepath vm-public
Odpowiedź jest podobna do poniższego przykładu:
azureuser@vm-private:~$ tracepath vm-public 1?: [LOCALHOST] pmtu 1500 1: vm-public.internal.cloudapp.net 2.584ms reached 1: vm-public.internal.cloudapp.net 2.147ms reached Resume: pmtu 1500 hops 1 back 2
Widać, że w powyższej odpowiedzi znajduje się jeden przeskok, który jest docelową maszyną wirtualną publicznie.
Platforma Azure wysłała ruch bezpośrednio z podsieci prywatnej do podsieci-1. Domyślnie platforma Azure kieruje ruch bezpośrednio między podsieciami.
Zamknij sesję usługi Bastion.
Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.
W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.
Na stronie Grupy zasobów wybierz grupę zasobów test-rg.
Na stronie test-rg wybierz pozycję Usuń grupę zasobów.
Wprowadź ciąg test-rg w polu Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.
Następne kroki
W tym samouczku zostały wykonane następujące czynności:
Utworzono tabelę tras i skojarzyliśmy ją z podsiecią.
Utworzono proste urządzenie WUS kierujące ruch z podsieci publicznej do podsieci prywatnej.
Możesz wdrożyć różne wstępnie skonfigurowane urządzenia WUS z witryny Azure Marketplace, które zapewniają wiele przydatnych funkcji sieciowych.
Aby dowiedzieć się więcej na temat routingu, zobacz Routing overview (Omówienie routingu) i Manage a route table (Zarządzanie tabelą tras).
Aby dowiedzieć się, jak ograniczyć dostęp sieciowy do zasobów PaaS przy użyciu punktów końcowych usługi sieci wirtualnej, przejdź do następnego samouczka.