Tutorial: Usar um gateway NAT com uma rede hub e spoke
Uma rede hub and spoke é um dos blocos de construção de uma infraestrutura de rede de vários locais altamente disponível. A implantação mais comum de uma rede hub and spoke é feita com a intenção de rotear todo o tráfego de internet interfalado e de saída através do hub central. O objetivo é inspecionar todo o tráfego que atravessa a rede com um Network Virtual Appliance (NVA) para verificação de segurança e inspeção de pacotes.
Para o tráfego de saída para a Internet, o dispositivo virtual de rede normalmente teria uma interface de rede com um endereço IP público atribuído. O NVA depois de inspecionar o tráfego de saída encaminha o tráfego para fora da interface pública e para a internet. O Gateway NAT do Azure elimina a necessidade do endereço IP público atribuído ao NVA. A associação de um gateway NAT à sub-rede pública do NVA altera o roteamento da interface pública para rotear todo o tráfego de saída da Internet através do gateway NAT. A eliminação do endereço IP público aumenta a segurança e permite o dimensionamento da conversão de endereços de rede de origem (SNAT) de saída com vários endereços IP públicos e/ou prefixos IP públicos.
Importante
O NVA usado neste artigo é apenas para fins de demonstração e é simulado com uma máquina virtual Ubuntu. A solução não inclui um balanceador de carga para alta disponibilidade da implantação NVA. Substitua a máquina virtual Ubuntu neste artigo por um NVA de sua escolha. Consulte o fornecedor do NVA escolhido para obter instruções de roteamento e configuração. Um balanceador de carga e zonas de disponibilidade são recomendados para uma infraestrutura NVA altamente disponível.
Neste tutorial, irá aprender a:
- Crie um gateway NAT.
- Crie uma rede virtual hub and spoke.
- Crie um Network Virtual Appliance (NVA) simulado.
- Força todo o tráfego dos raios através do hub.
- Força todo o tráfego da Internet no hub e o spokes para fora do gateway NAT.
- Teste o gateway NAT e o roteamento entre raios.
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
Criar um gateway NAT
Todo o tráfego de saída da Internet atravessa o gateway NAT para a Internet. Use o exemplo a seguir para criar um gateway NAT para o hub e a rede spoke.
Inicie sessão no portal do Azure.
Na caixa de pesquisa na parte superior do portal, digite gateway NAT. Selecione Gateways NAT nos resultados da pesquisa.
Selecione + Criar.
Na guia Noções básicas de Criar gateway NAT (conversão de endereços de rede), insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione Criar novo.
Digite test-rg em Nome.
Selecione OK.Detalhes da instância Nome do gateway NAT Digite nat-gateway. País/Região Selecione E.U.A. Leste 2. Availability zone Selecione uma zona ouNenhuma zona. Tempo limite de inatividade TCP (minutos) Deixe o padrão de 4. Selecione Next: Outbound IP.
Em IP de saída em Endereços IP públicos, selecione Criar um novo endereço IP público.
Digite public-ip-nat em Nome.
Selecione OK.
Selecione Rever + criar.
Selecione Criar.
Criar uma rede virtual em hub
A rede virtual do hub é a rede central da solução. A rede de hub contém o dispositivo NVA e uma sub-rede pública e privada. O gateway NAT é atribuído à sub-rede pública durante a criação da rede virtual. Um host do Azure Bastion é configurado como parte do exemplo a seguir. O host bastion é usado para se conectar com segurança à máquina virtual NVA e às máquinas virtuais de teste implantadas nos raios mais adiante no artigo.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Nome Digite vnet-hub. País/Região Selecione E.U.A. Leste 2. Selecione Avançar para prosseguir para a guia Segurança .
Selecione Habilitar Bastião na seção Bastião do Azure da guia Segurança .
O Azure Bastion usa seu navegador para se conectar a VMs em sua rede virtual por shell seguro (SSH) ou protocolo de área de trabalho remota (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações sobre o Azure Bastion, consulte Azure Bastion
Nota
O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.
Insira ou selecione as seguintes informações no Azure Bastion:
Definição Value Nome do host do Azure Bastion Entre no bastião. Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
Digite public-ip em Name.
Selecione OK.Selecione Avançar para prosseguir para a guia Endereços IP .
Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão .
Em Editar sub-rede, insira ou selecione as seguintes informações:
Definição Value Detalhes da sub-rede Modelo de sub-rede Deixe o padrão Default. Nome Digite subnet-private. Endereço inicial Deixe o padrão de 10.0.0.0. Tamanho da sub-rede Deixe o padrão de /24(256 endereços). Selecione Guardar.
Selecione + Adicionar sub-rede.
Em Adicionar sub-rede, insira ou selecione as seguintes informações:
Definição Value Detalhes da sub-rede Modelo de sub-rede Deixe o padrão Default. Nome Insira subnet-public. Endereço inicial Digite 10.0.253.0. Tamanho da sub-rede Selecione /28(16 endereços). Segurança NAT Gateway Selecione nat-gateway. Selecione Adicionar.
Selecione Rever + criar.
Selecione Criar.
Leva alguns minutos para que o host bastion seja implantado. Quando a rede virtual é criada como parte da implantação, você pode prosseguir para as próximas etapas.
Criar máquina virtual NVA simulada
O NVA simulado atua como um dispositivo virtual para rotear todo o tráfego entre os raios e o hub e o tráfego de saída para a internet. Uma máquina virtual Ubuntu é usada para o NVA simulado. Use o exemplo a seguir para criar o NVA simulado e configurar as interfaces de rede.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e, em seguida, Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as seguintes informações na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Virtual machine name Digite vm-nva. País/Região Selecione (EUA) Leste dos EUA 2. Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura. Tipo de segurança selecione Standard. Imagem Selecione Ubuntu Server 22.04 LTS - x64 Gen2. Arquitetura VM Deixe o padrão de x64. Tamanho Selecione um tamanho. Conta de administrador Authentication type Selecione Senha. Username Introduza um nome de utilizador. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Regras de porta de entrada Portas de entrada públicas Selecione Nenhuma. Selecione Next: Disks (Seguinte): Discos e, em seguida , Next: Networking.
Na guia Rede, insira ou selecione as seguintes informações:
Definição Value Interface de Rede Rede virtual Selecione vnet-hub. Sub-rede Selecione subnet-public (10.0.253.0/28). IP público Selecione Nenhuma. Grupo de segurança de rede NIC Selecione Avançadas. Configurar grupo de segurança de rede Selecione Criar novo.
Em Nome , digite nsg-nva.
Selecione OK.Deixe o restante das opções nos padrões e selecione Revisar + criar.
Selecione Criar.
Configurar interfaces de rede de máquina virtual
A configuração IP da interface de rede primária da máquina virtual é definida como dinâmica por padrão. Use o exemplo a seguir para alterar a configuração IP da interface de rede primária para estática e adicionar uma interface de rede secundária para a interface privada do NVA.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-nva.
Na Visão geral, selecione Parar se a máquina virtual estiver em execução.
Selecione Rede em Configurações.
Em Rede , selecione o nome da interface de rede ao lado de Interface de Rede:. O nome da interface é o nome da máquina virtual e números e letras aleatórios. Neste exemplo, o nome da interface é vm-nva271.
Nas propriedades da interface de rede, selecione Configurações de IP em Configurações.
Marque a caixa ao lado de Habilitar encaminhamento IP.
Selecione Aplicar.
Quando a ação de aplicação for concluída, selecione ipconfig1.
Em Atribuição em ipconfig1 , selecione Estático.
Em Endereço IP privado, digite 10.0.253.10.
Selecione Guardar.
Quando a ação de salvar for concluída, retorne à configuração de rede para vm-nva.
Em Rede de vm-nva, selecione Anexar interface de rede.
Selecione Criar e anexar interface de rede.
Em Criar interface de rede, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Grupo de recursos Selecione test-rg. Interface de Rede Nome Digite nic-private. Sub-rede Selecione subnet-private (10.0.0.0/24). Grupo de segurança de rede NIC Selecione Avançadas. Configurar grupo de segurança de rede Selecione nsg-nva. Atribuição de endereço IP privado Selecione Estático. Endereço IP privado Digite 10.0.0.10. Selecione Criar.
Configurar software de máquina virtual
O roteamento para o NVA simulado usa tabelas IP e NAT interno na máquina virtual do Ubuntu. Conecte-se à máquina virtual NVA com o Azure Bastion para configurar tabelas IP e a configuração de roteamento.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-nva.
Inicie o vm-nva.
Quando a inicialização da máquina virtual estiver concluída, continue com as próximas etapas.
Em Operações, selecione Bastion.
Introduza o nome de utilizador e a palavra-passe que introduziu quando a máquina virtual foi criada.
Selecione Ligar.
Insira as seguintes informações no prompt da máquina virtual para habilitar o encaminhamento de IP:
sudo vim /etc/sysctl.confNo editor Vim, remova o
#da linhanet.ipv4.ip_forward=1:Pressione a tecla Insert .
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Pressione a tecla Esc .
Digite
:wqe pressione Enter.Insira as seguintes informações para habilitar o NAT interno na máquina virtual:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistentSelecione Sim duas vezes.
sudo su iptables-save > /etc/iptables/rules.v4 exitUse o Vim para editar a configuração com as seguintes informações:
sudo vim /etc/rc.localPressione a tecla Insert .
Adicione a seguinte linha ao arquivo de configuração:
/sbin/iptables-restore < /etc/iptables/rules.v4Pressione a tecla Esc .
Digite
:wqe pressione Enter.Reinicialize a máquina virtual:
sudo reboot
Criar tabela de rotas de rede de hub
As tabelas de rotas são usadas para substituir o roteamento padrão do Azure. Crie uma tabela de rotas para forçar todo o tráfego dentro da sub-rede privada do hub através do NVA simulado.
Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar tabela de rotas , insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância País/Região Selecione E.U.A. Leste 2. Nome Insira route-table-nat-hub. Propagar rotas de gateway Deixe o padrão de Sim. Selecione Rever + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.
Selecione route-table-nat-hub.
Em Configurações, selecione Rotas.
Selecione + Adicionar em rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Definição Value Nome da rota Digite default-via-nat-hub. Tipo de destino Selecione Endereços IP. Endereços IP de destino/intervalos CIDR Digite 0.0.0.0/0. Tipo de salto seguinte Selecione Aplicação virtual. Endereço do próximo salto Digite 10.0.0.10.
Este é o endereço IP que você adicionou à interface privada do NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associado.
Insira ou selecione as seguintes informações na sub-rede Associar:
Definição Value Rede virtual Selecione vnet-hub (test-rg). Sub-rede Selecione sub-rede-privada. Selecione OK.
Criar uma rede virtual spoke
Crie outra rede virtual em uma região diferente para falar pela primeira vez da rede hub e spoke.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Nome Digite vnet-spoke-1. País/Região Selecione (EUA) Centro-Sul dos EUA. Selecione Avançar para prosseguir para a guia Segurança .
Selecione Avançar para prosseguir para a guia Endereços IP.
Na guia Endereços IP no espaço de endereçamento IPv4, selecione a lixeira para excluir o espaço de endereço que é preenchido automaticamente.
Em Espaço de endereçamento IPv4, digite 10.1.0.0. Deixe o padrão de /16 (65.536 endereços) na seleção de máscara.
Selecione + Adicionar uma sub-rede.
Em Adicionar uma sub-rede , insira ou selecione as seguintes informações:
Definição Value Detalhes da sub-rede Modelo de sub-rede Deixe o padrão Default. Nome Digite subnet-private. Endereço inicial Digite 10.1.0.0. Tamanho da sub-rede Deixe o padrão de /24(256 endereços). Selecione Adicionar.
Selecione Rever + criar.
Selecione Criar.
Criar emparelhamento entre hub e spoke one
Um emparelhamento de rede virtual é usado para conectar o hub ao spoke one e ao spoke one ao hub. Use o exemplo a seguir para criar um emparelhamento de rede bidirecional entre o hub e o spoke.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamento em Configurações.
Selecione + Adicionar.
Insira ou selecione as seguintes informações em Adicionar emparelhamento:
Definição Value Esta rede virtual Nome do link de emparelhamento Digite vnet-hub-to-vnet-spoke-1. Permitir que 'vnet-hub' acesse 'vnet-spoke-1' Deixe o padrão de Selecionado. Permitir que 'vnet-hub' receba tráfego encaminhado de 'vnet-spoke-1' Marque a caixa de seleção. Permitir que o gateway em 'vnet-hub' encaminhe o tráfego para 'vnet-spoke-1' Deixe o padrão de Não selecionado. Habilite o 'vnet-hub' para usar o gateway remoto 'vnet-spoke-1's' Deixe o padrão de Não selecionado. Rede virtual remota Nome do link de emparelhamento Digite vnet-spoke-1-to-vnet-hub. Modelo de implantação de rede virtual Deixe o padrão do Gerenciador de recursos. Subscrição Selecione a sua subscrição. Rede virtual Selecione vnet-spoke-1. Permitir que 'vnet-spoke-1' acesse 'vnet-hub' Deixe o padrão de Selecionado. Permitir que 'vnet-spoke-1' receba tráfego encaminhado de 'vnet-hub' Marque a caixa de seleção. Permitir que o gateway em 'vnet-spoke-1' encaminhe o tráfego para 'vnet-hub' Deixe o padrão de Não selecionado. Habilite o 'vnet-spoke-1' para usar o gateway remoto do 'vnet-hub' Deixe o padrão de Não selecionado. Selecione Adicionar.
Selecione Atualizar e verifique se o status de emparelhamento está Conectado.
Criar uma tabela de rotas de rede spoke
Crie uma tabela de rotas para forçar todo o tráfego de saída da Internet e interfalado através do NVA simulado na rede virtual do hub.
Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar tabela de rotas , insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância País/Região selecione EUA Centro-Sul. Nome Digite route-table-nat-spoke-1. Propagar rotas de gateway Deixe o padrão de Sim. Selecione Rever + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.
Selecione route-table-nat-spoke-1.
Em Configurações, selecione Rotas.
Selecione + Adicionar em rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Definição Value Nome da rota Digite default-via-nat-spoke-1. Tipo de destino Selecione Endereços IP. Endereços IP de destino/intervalos CIDR Digite 0.0.0.0/0. Tipo de salto seguinte Selecione Aplicação virtual. Endereço do próximo salto Digite 10.0.0.10.
Este é o endereço IP que você adicionou à interface privada do NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associado.
Insira ou selecione as seguintes informações na sub-rede Associar:
Definição Value Rede virtual Selecione vnet-spoke-1 (test-rg). Sub-rede Selecione sub-rede-privada. Selecione OK.
Criar uma máquina virtual de teste spoke
Uma máquina virtual do Windows Server 2022 é usada para testar o tráfego de saída da Internet por meio do gateway NAT e o tráfego entre raios na rede hub e spoke. Use o exemplo a seguir para criar uma máquina virtual do Windows Server 2022.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e, em seguida, Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as seguintes informações na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Virtual machine name Digite vm-spoke-1. País/Região Selecione (EUA) Centro-Sul dos EUA. Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura. Tipo de segurança selecione Standard. Imagem Selecione Windows Server 2022 Datacenter - x64 Gen2. Arquitetura VM Deixe o padrão de x64. Tamanho Selecione um tamanho. Conta de administrador Authentication type Selecione Senha. Username Introduza um nome de utilizador. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Regras de porta de entrada Portas de entrada públicas Selecione Nenhuma. Selecione Next: Disks (Seguinte): Discos e, em seguida , Next: Networking.
Na guia Rede, insira ou selecione as seguintes informações:
Definição Value Interface de Rede Rede virtual Selecione vnet-spoke-1. Sub-rede Selecione subnet-private (10.1.0.0/24). IP público Selecione Nenhuma. Grupo de segurança de rede NIC Selecione Avançadas. Configurar grupo de segurança de rede Selecione Criar novo.
Digite nsg-spoke-1.Regras de entrada Selecione + Adicionar uma regra de entrada.
Selecione HTTP em Serviço.
Selecione Adicionar.
Selecione OK.Selecione OK.
Deixe o restante das opções nos padrões e selecione Revisar + criar.
Selecione Criar.
Instalar o IIS em uma máquina virtual de teste spoke
O IIS é instalado na máquina virtual do Windows Server 2022 para testar o tráfego de saída da Internet por meio do gateway NAT e o tráfego entre raios na rede hub e spoke.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-1.
Em Operações, selecione Executar comando.
Selecione RunPowerShellScript.
Insira o seguinte script em Executar script de comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selecione Executar.
Aguarde a conclusão do script antes de continuar para a próxima etapa. Pode levar alguns minutos para que o script seja concluído.
Quando o script for concluído, a Saída* exibirá o seguinte:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Crie a rede virtual de segunda fala
Crie a segunda rede virtual para a segunda rede spoke of the hub and spoke network.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Nome Digite vnet-spoke-2. País/Região Selecione (E.U.A.) E.U.A. Oeste 2. Selecione Avançar para prosseguir para a guia Segurança .
Selecione Avançar para prosseguir para a guia Endereços IP.
Na guia Endereços IP no espaço de endereçamento IPv4, selecione a lixeira para excluir o espaço de endereço que é preenchido automaticamente.
Em Espaço de endereçamento IPv4, digite 10.2.0.0. Deixe o padrão de /16 (65.536 endereços) na seleção de máscara.
Selecione + Adicionar uma sub-rede.
Em Adicionar uma sub-rede , insira ou selecione as seguintes informações:
Definição Value Detalhes da sub-rede Modelo de sub-rede Deixe o padrão Default. Nome Digite subnet-private. Endereço inicial Digite 10.2.0.0. Tamanho da sub-rede Deixe o padrão de /24(256 endereços). Selecione Adicionar.
Selecione Rever + criar.
Selecione Criar.
Criar emparelhamento entre hub e spoke dois
Crie um par de rede virtual bidirecional entre o hub e o spoke two.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamento em Configurações.
Selecione + Adicionar.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamento em Configurações.
Selecione + Adicionar.
Insira ou selecione as seguintes informações em Adicionar emparelhamento:
Definição Value Esta rede virtual Nome do link de emparelhamento Digite vnet-hub-to-vnet-spoke-2. Permitir que 'vnet-hub' acesse 'vnet-spoke-2' Deixe o padrão de Selecionado. Permitir que 'vnet-hub' receba tráfego encaminhado de 'vnet-spoke-2' Marque a caixa de seleção. Permitir que o gateway em 'vnet-hub' encaminhe o tráfego para 'vnet-spoke-2' Deixe o padrão de Não selecionado. Habilite o 'vnet-hub' para usar o gateway remoto 'vnet-spoke-2's' Deixe o padrão de Não selecionado. Rede virtual remota Nome do link de emparelhamento Digite vnet-spoke-2-to-vnet-hub. Modelo de implantação de rede virtual Deixe o padrão do Gerenciador de recursos. Subscrição Selecione a sua subscrição. Rede virtual Selecione vnet-spoke-2. Permitir que 'vnet-spoke-1' acesse 'vnet-hub' Deixe o padrão de Selecionado. Permitir que 'vnet-spoke-1' receba tráfego encaminhado de 'vnet-hub' Marque a caixa de seleção. Permitir que o gateway em 'vnet-spoke-1' encaminhe o tráfego para 'vnet-hub' Deixe o padrão de Não selecionado. Habilite o 'vnet-spoke-1' para usar o gateway remoto do 'vnet-hub' Deixe o padrão de Não selecionado. Selecione Adicionar.
Selecione Atualizar e verifique se o status de emparelhamento está Conectado.
Criar tabela de rotas de rede spoke two
Crie uma tabela de rotas para forçar todo o tráfego de saída da Internet e entre raios através do NVA simulado na rede virtual do hub.
Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar tabela de rotas , insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância País/Região Selecione E.U.A. Oeste 2. Nome Digite route-table-nat-spoke-2. Propagar rotas de gateway Deixe o padrão de Sim. Selecione Rever + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.
Selecione route-table-nat-spoke-2.
Em Configurações, selecione Rotas.
Selecione + Adicionar em rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Definição Value Nome da rota Digite default-via-nat-spoke-2. Tipo de destino Selecione Endereços IP. Endereços IP de destino/intervalos CIDR Digite 0.0.0.0/0. Tipo de salto seguinte Selecione Aplicação virtual. Endereço do próximo salto Digite 10.0.0.10.
Este é o endereço IP que você adicionou à interface privada do NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associado.
Insira ou selecione as seguintes informações na sub-rede Associar:
Definição Value Rede virtual Selecione vnet-spoke-2 (test-rg). Sub-rede Selecione sub-rede-privada. Selecione OK.
Criar duas máquinas virtuais de teste spoke
Crie uma máquina virtual do Windows Server 2022 para a máquina virtual de teste no spoke two.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e, em seguida, Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as seguintes informações na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Virtual machine name Digite vm-spoke-2. País/Região Selecione (E.U.A.) E.U.A. Oeste 2. Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura. Tipo de segurança selecione Standard. Imagem Selecione Windows Server 2022 Datacenter - x64 Gen2. Arquitetura VM Deixe o padrão de x64. Tamanho Selecione um tamanho. Conta de administrador Authentication type Selecione Senha. Username Introduza um nome de utilizador. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Regras de porta de entrada Portas de entrada públicas Selecione Nenhuma. Selecione Next: Disks (Seguinte): Discos e, em seguida , Next: Networking.
Na guia Rede, insira ou selecione as seguintes informações:
Definição Value Interface de Rede Rede virtual Selecione vnet-spoke-2. Sub-rede Selecione subnet-private (10.2.0.0/24). IP público Selecione Nenhuma. Grupo de segurança de rede NIC Selecione Avançadas. Configurar grupo de segurança de rede Selecione Criar novo.
Digite nsg-spoke-2.Regras de entrada Selecione + Adicionar uma regra de entrada.
Selecione HTTP em Serviço.
Selecione Adicionar.
Selecione OK.Deixe o restante das opções nos padrões e selecione Revisar + criar.
Selecione Criar.
Instalar o IIS na máquina virtual de teste spoke two
O IIS é instalado na máquina virtual do Windows Server 2022 para testar o tráfego de saída da Internet por meio do gateway NAT e o tráfego entre raios na rede hub e spoke.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-2.
Em Operações, selecione Executar comando.
Selecione RunPowerShellScript.
Insira o seguinte script em Executar script de comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selecione Executar.
Aguarde a conclusão do script antes de continuar para a próxima etapa. Pode levar alguns minutos para que o script seja concluído.
Quando o script for concluído, a Saída* exibirá o seguinte:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Testar gateway NAT
Conecte-se às máquinas virtuais do Windows Server 2022 criadas nas etapas anteriores para verificar se o tráfego de saída da Internet está saindo do gateway NAT.
Obter o endereço IP público do gateway NAT
Obtenha o endereço IP público do gateway NAT para verificação das etapas mais adiante no artigo.
Na caixa de pesquisa na parte superior do portal, introduza IP Público. Selecione Endereços IP públicos nos resultados da pesquisa.
Selecione public-ip-nat.
Anote o valor no endereço IP. O exemplo usado neste artigo é 52.153.224.79.
Teste o gateway NAT a partir do spoke one
Use o Microsoft Edge na máquina virtual do Windows Server 2022 para se conectar https://whatsmyip.com e verificar a funcionalidade do gateway NAT.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-1.
Em Operações, selecione Bastion.
Introduza o nome de utilizador e a palavra-passe que introduziu quando a máquina virtual foi criada.
Selecione Ligar.
Abra o Microsoft Edge quando a área de trabalho terminar de carregar.
Na barra de endereço, digite https://whatsmyip.com.
Verifique se o endereço IP de saída exibido é o mesmo que o IP do gateway NAT obtido anteriormente.
Deixe a conexão bastion aberta para vm-spoke-1.
Teste o gateway NAT a partir do spoke two
Use o Microsoft Edge na máquina virtual do Windows Server 2022 para se conectar https://whatsmyip.com e verificar a funcionalidade do gateway NAT.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-2.
Em Operações, selecione Bastion.
Introduza o nome de utilizador e a palavra-passe que introduziu quando a máquina virtual foi criada.
Selecione Ligar.
Abra o Microsoft Edge quando a área de trabalho terminar de carregar.
Na barra de endereço, digite https://whatsmyip.com.
Verifique se o endereço IP de saída exibido é o mesmo que o IP do gateway NAT obtido anteriormente.
Deixe a conexão bastion aberta para vm-spoke-2.
Teste o roteamento entre os raios
O tráfego de falou um para falar dois e falou dois para falar uma rota através do NVA simulado na rede virtual do hub. Use os exemplos a seguir para verificar o roteamento entre os raios da rede hub e spoke.
Teste o roteamento de um para o falado dois
Use o Microsoft Edge para se conectar ao servidor Web no vm-spoke-2 instalado nas etapas anteriores.
Volte para a conexão bastion aberta para vm-spoke-1.
Abra o Microsoft Edge se ele não estiver aberto.
Na barra de endereço, digite 10.2.0.4.
Verifique se a página do IIS é exibida a partir de vm-spoke-2.
Feche a conexão bastion para vm-spoke-1.
Teste o encaminhamento de dois para o falado um
Use o Microsoft Edge para se conectar ao servidor Web no vm-spoke-1 instalado nas etapas anteriores.
Volte para a conexão bastion aberta para vm-spoke-2.
Abra o Microsoft Edge se ele não estiver aberto.
Na barra de endereço, digite 10.1.0.4.
Verifique se a página do IIS é exibida a partir de vm-spoke-1.
Feche a conexão bastion para vm-spoke-1.
Clean up resources (Limpar recursos)
Quando terminar de usar os recursos criados, você poderá excluir o grupo de recursos e todos os seus recursos:
No portal do Azure, procure e selecione Grupos de recursos.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos.
Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.
Próximos passos
Avance para o próximo artigo para saber como usar um Balanceador de Carga do Gateway do Azure para dispositivos virtuais de rede altamente disponíveis: