Руководство по маршрутизации сетевого трафика с помощью таблицы маршрутов

Azure направляет трафик между всеми подсетями в виртуальной сети по умолчанию. Вы можете создать собственные маршруты для переопределения маршрутизации Azure по умолчанию. Пользовательские маршруты полезны, если, например, вы хотите маршрутизировать трафик между подсетями через сетевое виртуальное устройство (NVA).

В этом руководстве вы узнаете, как:

• Создание виртуальной сети и подсетей
• Создать NVA для маршрутизации трафика
• Развертывание виртуальных машин в разных подсетях
• Создание таблицы маршрутов
• Создание маршрута
• Связывание таблицы маршрутов с подсетью
• Маршрутизация трафика из одной подсети в другую через NVA

Предпосылки

Портал

• Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

PowerShell

• Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

Azure Cloud Shell

Azure размещает Azure Cloud Shell, интерактивную среду оболочки, которую можно использовать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для выполнения кода в этой статье можно использовать предустановленные команды Cloud Shell, не устанавливая ничего в локальной среде.

Чтобы запустить Azure Cloud Shell, выполните приведенные действия.

Вариант	Пример/ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

1. Запустите Cloud Shell.

2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

3. Вставьте код или команду в сеанс Cloud Shell, выбрав CTRL+SHIFT+V в Windows и Linux или выбрав Cmd+Shift+V в macOS.

4. Нажмите Enter, чтобы запустить код или команду.

Чтобы установить и использовать PowerShell локально для работы с этой статьей, вам понадобится модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните команду Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

CLI

Если у вас нет аккаунта Azure, создайте бесплатную учетную запись перед началом.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".

  

• Если вы предпочитаете запускать справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, подумайте о запуске Azure CLI в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, войдите в Azure CLI с помощью команды az login . Чтобы завершить процесс аутентификации, следуйте шагам, отображаемым в вашем терминале. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".

  • Когда вас попросят, установите расширение Azure CLI при первом использовании. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этой статьей требуется Azure CLI версии 2.0.28 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Создание подсетей

Для этого руководства требуется DMZ и частная подсеть. Подсеть DMZ находится в том месте, где развертывается NVA и частная подсеть, где развертываются частные виртуальные машины, к которым требуется направлять трафик. На схеме подсеть-1 — это общедоступная подсеть, используемая для общедоступной виртуальной машины.

Портал

Создайте группу ресурсов

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите ResourceGroup. Выберите Группы ресурсов в результатах поиска.

3. Нажмите кнопку +Создать.

4. На вкладке "Основные сведения " в разделе "Создание группы ресурсов" введите или выберите следующие сведения:

   Настройки	Ценность
   Подписка	Выберите подписку.
   Группа ресурсов	Введите test-rg.
   Регион	Выберите регион Восточная часть США 2.

5. Выберите Review + create.

6. Нажмите кнопку "Создать".

Создание виртуальной сети

1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

2. Нажмите кнопку +Создать.

3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Имя	Введите vnet-1.
   Регион	Выберите регион Восточная часть США 2.

4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

5. Нажмите Далее, чтобы перейти на вкладку IP-адреса.

6. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

7. В разделе "Изменить подсеть" введите или выберите следующие сведения:

   Настройки	Ценность
   Сведения о подсети
   Шаблон подсети	Оставьте значение «По умолчанию».
   Имя	Введите subnet-1.
   Начальный адрес	Оставьте значение по умолчанию 10.0.0.0.
   Размер подсети	Оставьте значение по умолчанию /24 (256 адресов).

8. Нажмите кнопку "Сохранить".

9. Выберите +Добавить подсеть.

10. В поле "Добавление подсети" введите или выберите следующие сведения:

    Настройки	Ценность
    Сведения о подсети
    Шаблон подсети	Оставьте значение «По умолчанию».
    Имя	Введите подсеть-частная.
    Начальный адрес	Введите 10.0.2.0.
    Размер подсети	Оставьте значение по умолчанию /24 (256 адресов).

11. Нажмите кнопку "Добавить".

12. Выберите +Добавить подсеть.

13. В поле "Добавление подсети" введите или выберите следующие сведения:

    Настройки	Ценность
    Сведения о подсети
    Шаблон подсети	Оставьте значение «По умолчанию».
    Имя	Введите subnet-dmz.
    Начальный адрес	Введите 10.0.3.0.
    Размер подсети	Оставьте значение по умолчанию /24 (256 адресов).

14. Нажмите кнопку "Добавить".

15. Выберите "Проверка и создание " в нижней части экрана и при прохождении проверки нажмите кнопку "Создать".

Развертывание Бастиона Azure

Бастион Azure использует браузер для подключения к виртуальным машинам в виртуальной сети через безопасную оболочку (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения о Бастионе Azure см. в статье Бастион Azure.

Замечание

Почасовая тарификация начинается с момента развертывания Бастиона, независимо от объема исходящего трафика. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

1. В поле поиска в верхней части портала введите Бастион. Выберите Bastions в результатах поиска.

2. Нажмите кнопку +Создать.

3. На вкладке "Основные сведения" в разделе "Создание бастиона" введите или выберите следующие сведения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Имя	Введите бастион.
   Регион	Выберите регион Восточная часть США 2.
   Тир	Выберите разработчика.
   Настройка виртуальных сетей
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	AzureBastionSubnet создается автоматически с адресным пространством /26 или больше.

4. Выберите Review + create.

5. Нажмите кнопку "Создать".

PowerShell

Создайте группу ресурсов с помощью New-AzResourceGroup. В следующем примере создается группа ресурсов с именем test-rg для всех ресурсов, созданных в этой статье.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

Создайте виртуальную сеть с помощью New-AzVirtualNetwork. В следующем примере создается виртуальная сеть с именем vnet-1 с префиксом адреса 10.0.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Создайте четыре подсети, с помощью New-AzVirtualNetworkSubnetConfig создайте четыре конфигурации подсети. В следующем примере создаются четыре конфигурации подсети для общедоступных, частных, dmZ и подсетей Бастиона Azure.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Внесите конфигурации подсетей в виртуальную сеть, используя командлет Set-AzVirtualNetwork, который создает подсети в виртуальной сети:

$virtualNetwork | Set-AzVirtualNetwork

Создание Бастиона Azure

Создайте общедоступный IP-адрес для узла Azure Bastion с использованием команды New-AzPublicIpAddress. В следующем примере создается публичный IP-адрес с именем public-ip-бастион в виртуальной сети vnet-1.

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

Создайте хост Azure Bastion с помощью New-AzBastion. В следующем примере создается Bastion-хост Azure с именем bastion в подсети AzureBastionSubnet виртуальной сети vnet-1. Бастион Azure используется для безопасного подключения виртуальных машин Azure, не предоставляя их общедоступному Интернету.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams -AsJob

CLI

Создайте группу ресурсов с az group create для всех ресурсов, созданных в этой статье.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

Создайте виртуальную сеть с одной подсетью при помощи команды az network vnet create.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Создайте еще две подсети с использованием команды az network vnet subnet create.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Создание Бастиона Azure

Создайте общедоступный IP-адрес для узла Бастиона Azure с помощью az network public-ip create. В следующем примере создается публичный IP-адрес с именем public-ip-бастион в виртуальной сети vnet-1.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

Создайте узел Azure Bastion с помощью az network bastion create. В следующем примере создается Bastion-хост Azure с именем bastion в подсети AzureBastionSubnet виртуальной сети vnet-1. Бастион Azure используется для безопасного подключения виртуальных машин Azure, не предоставляя их общедоступному Интернету.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2 \
    --sku Basic \
    --no-wait

Создание виртуальной машины NVA

Сетевые виртуальные устройства (NVA) — это виртуальные машины, которые помогают с сетевыми функциями, такими как маршрутизация и оптимизация брандмауэра. В этом разделе описано, как создать NVA с помощью виртуальной машины Ubuntu 24.04 .

Портал

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите + Создать, затем выберите Виртуальная машина Azure.

3. В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Название виртуальной машины	Введите vm-nva.
   Регион	Выберите регион (США) Восточная часть США 2.
   Параметры доступности	Выберите "Не требуется избыточность инфраструктуры".
   Тип безопасности	Выберите Стандартное.
   Изображение	Выберите Ubuntu Server 24.04 LTS - x64 Gen2.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	Выберите Открытый ключ SSH.
   Имя пользователя	Введите имя пользователя.
   SSH public key source (Источник открытого ключа SSH)	Выберите Создать новую пару ключей.
   Имя пары ключей	Введите vm-nva-key.
   Правила входящего порта
   Общедоступные входящие порты	Выберите "Нет".

4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров.

   Настройки	Ценность
   Сетевой интерфейс
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите подсеть DMZ (10.0.3.0/24).
   Общедоступный IP-адрес	Выберите "Нет".
   Группа безопасности сети NIC	Выберите Дополнительно.
   Настройка группы безопасности сети	Выберите Создать новое. В поле "Имя" введите nsg-nva. Нажмите кнопку ОК.

6. Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".

7. Нажмите кнопку "Создать".

PowerShell

Создайте виртуальную машину с помощью New-AzVM. В следующем примере создается виртуальная машина с именем vm-nva.

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-nva-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

CLI

Создайте виртуальную машину для использования в качестве NVA в подсети subnet-dmz с помощью az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --generate-ssh-keys

Чтобы создать виртуальную машину, потребуется несколько минут. Не продолжайте переходить к следующему шагу, пока Azure не завершит создание виртуальной машины и возвращает выходные данные для виртуальной машины.

Создание общедоступных и частных виртуальных машин

Создайте две виртуальные машины в виртуальной сети vnet-1 . Одна виртуальная машина находится в подсети-1 подсети, а другая виртуальная машина находится в подсети-частной подсети . Используйте один и тот же образ виртуальной машины для обеих виртуальных машин.

Создание общедоступной виртуальной машины

Общедоступная виртуальная машина используется для имитации компьютера в общедоступном Интернете. Общедоступные и частные виртуальные машины используются для проверки маршрутизации сетевого трафика через виртуальную машину NVA.

Портал

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите + Создать, затем выберите Виртуальная машина Azure.

3. В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Название виртуальной машины	Введите vm-public.
   Регион	Выберите регион (США) Восточная часть США 2.
   Параметры доступности	Выберите "Не требуется избыточность инфраструктуры".
   Тип безопасности	Выберите Стандартное.
   Изображение	Выберите Ubuntu Server 24.04 LTS - x64 Gen2.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	Выберите Открытый ключ SSH.
   Имя пользователя	Введите имя пользователя.
   SSH public key source (Источник открытого ключа SSH)	Выберите Создать новую пару ключей.
   Имя пары ключей	Введите vm-public-key.
   Правила входящего порта
   Общедоступные входящие порты	Выберите "Нет".

4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров.

   Настройки	Ценность
   Сетевой интерфейс
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите субсеть-1 (10.0.0.0/24).
   Общедоступный IP-адрес	Выберите "Нет".
   Группа безопасности сети NIC	Выберите "Нет".

6. Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".

7. Нажмите кнопку "Создать".

Создание частной виртуальной машины

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите + Создать, затем выберите Виртуальная машина Azure.

3. В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Название виртуальной машины	Введите vm-private.
   Регион	Выберите регион (США) Восточная часть США 2.
   Параметры доступности	Выберите "Не требуется избыточность инфраструктуры".
   Тип безопасности	Выберите Стандартное.
   Изображение	Выберите Ubuntu Server 24.04 LTS - x64 Gen2.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	Выберите Открытый ключ SSH.
   Имя пользователя	Введите имя пользователя.
   SSH public key source (Источник открытого ключа SSH)	Выберите Создать новую пару ключей.
   Имя пары ключей	Введите ключ виртуальной машины.
   Правила входящего порта
   Общедоступные входящие порты	Выберите "Нет".

4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров.

   Настройки	Ценность
   Сетевой интерфейс
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите подсеть -private (10.0.2.0/24).
   Общедоступный IP-адрес	Выберите "Нет".
   Группа безопасности сети NIC	Выберите "Нет".

6. Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".

7. Нажмите кнопку "Создать".

PowerShell

Создайте виртуальную машину в подсети подсети-1 с помощью New-AzVM. В следующем примере создается виртуальная машина с именем vm-public в подсети subnet-public виртуальной сети vnet-1.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-public-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Создайте виртуальную машину в подсети subnet-private.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-private-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Чтобы создать виртуальную машину, потребуется несколько минут. Не продолжайте работу со следующим шагом, пока виртуальная машина не будет создана, и Azure возвращает выходные данные в PowerShell.

CLI

Создайте виртуальную машину в подсети подсети-1 с помощью az vm create. Параметр --no-wait позволяет Azure выполнять команду в фоновом режиме, чтобы продолжить следующую команду.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys \
    --no-wait

Создайте виртуальную машину в подсети subnet-private.

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys

Включение IP-пересылки

Чтобы маршрутизировать трафик через NVA, включите IP-пересылку в Azure и в операционной системе vm-nva. Если ip-пересылка включена, любой трафик, полученный vm-nva , предназначенный для другого IP-адреса, не удаляется и пересылается в правильное место назначения.

Включение IP-пересылки в Azure

В этом разделе описано, как включить IP-пересылку для сетевого интерфейса виртуальной машины vm-nva .

Портал

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. На виртуальных машинах выберите vm-nva.

3. В vm-nva разверните Сеть, а затем выберите Параметры сети.

4. Выберите имя интерфейса рядом с сетевым интерфейсом:. Имя начинается с vm-nva и имеет случайное число, назначенное интерфейсу. Имя интерфейса в этом примере — vm-nva313.

   

5. На странице обзора сетевого интерфейса выберите IP-конфигурации в разделе "Параметры ".

6. В конфигурациях IP-адресов установите флажок " Включить IP-пересылку".

   

7. Нажмите кнопку "Применить".

PowerShell

Включите IP-пересылку для сетевого интерфейса виртуальной машины vm-nva с использованием Set-AzNetworkInterface. В следующем примере включается IP-пересылка сетевого интерфейса с именем vm-nva313.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

CLI

Включите пересылку IP для сетевого интерфейса виртуальной машины vm-nva с помощью команды az network nic update. В следующем примере происходит активация IP-пересылки для сетевого интерфейса с именем vm-nvaVMNic.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

Включение IP-пересылки в операционной системе

В этом разделе включите IP-адресацию в операционной системе виртуальной машины vm-nva для перенаправления сетевого трафика. Используйте функцию выполнения команды для выполнения скрипта на виртуальной машине.

Портал

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. На виртуальных машинах выберите vm-nva.

3. Разверните Операции, затем выберите Выполнить команду.

4. Выберите RunShellScript.

5. Введите следующий сценарий в окне запуска командного скрипта :

   sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
   sudo sysctl -p
   

6. Выберите Выполнить.

7. Дождитесь завершения скрипта. Выходные данные показывают, что параметр ip-пересылки включен.

8. Вернитесь на страницу обзораvm-nva и выберите "Перезапустить", чтобы перезапустить виртуальную машину.

PowerShell

Включите IP-пересылку в операционной системе виртуальной машины vm-nva с помощью Invoke-AzVMRunCommand. Следующий пример включает IP-пересылку в операционной системе.

$runCommandParams = @{
    ResourceGroupName = "test-rg"
    VMName = "vm-nva"
    CommandId = "RunShellScript"
    ScriptString = @"
sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sudo sysctl -p
"@
}
Invoke-AzVMRunCommand @runCommandParams

CLI

Включите IP-пересылку в операционной системе виртуальной машины vm-nva с использованием команды az vm run-command invoke. Следующий пример включает IP-пересылку в операционной системе.

az vm run-command invoke \
    --resource-group test-rg \
    --name vm-nva \
    --command-id RunShellScript \
    --scripts "sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf" "sudo sysctl -p"

Создание таблицы маршрутов

В этом разделе создайте таблицу маршрутов для определения маршрута трафика через виртуальную машину NVA. Таблица маршрутов ассоциирована с подсетью-1, где развернута виртуальная машина vm-public.

Портал

1. В поле поиска в верхней части портала введите таблица маршрутов. Выберите таблицы маршрутов в результатах поиска.

2. Нажмите кнопку +Создать.

3. В таблице "Создать маршрут " введите или выберите следующие сведения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Регион	Выберите регион Восточная часть США 2.
   Имя	Введите route-table-public.
   Пропагировать маршруты шлюза	Оставьте значение по умолчанию "Да".

4. Выберите Review + create.

5. Нажмите кнопку "Создать".

Создание маршрута

В этом разделе создайте маршрут в таблице маршрутов, созданной на предыдущих шагах.

1. В поле поиска в верхней части портала введите таблица маршрутов. Выберите таблицы маршрутов в результатах поиска.

2. Выберите route-table-public.

3. Разверните раздел "Параметры", а затем выберите "Маршруты".

4. Выберите + Добавить в Маршруты.

5. Введите или выберите следующие сведения в поле "Добавить маршрут".

   Настройки	Ценность
   Имя маршрута	Введите в частную подсеть.
   Тип назначения	Выберите IP-адреса.
   Диапазоны IP-адресов назначения и CIDR	Введите 10.0.2.0/24.
   Тип следующего прыжка	Выберите Виртуальный модуль.
   Адрес следующего прыжка	Введите 10.0.3.4. Это IP-адрес виртуальной машины-nva, созданной на предыдущих шагах.

6. Нажмите кнопку "Добавить".

7. В разделе Параметры выберите Подсети.

8. Нажмите + Ассоциировать.

9. Введите или выберите следующую информацию в разделе Ассоциировать подсеть.

   Настройки	Ценность
   Виртуальная сеть	Выберите vnet-1 (test-rg).
   Подсеть	Выберите подсеть-1.

10. Нажмите ОК.

PowerShell

Создайте таблицу маршрутов с помощью New-AzRouteTable. В следующем примере создается таблица маршрутов с именем route-table-public.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Создайте маршрут, извлекая объект таблицы маршрутов с помощью Get-AzRouteTable, создайте маршрут с помощью Add-AzRouteConfig, а затем напишите конфигурацию маршрута в таблицу маршрутов с помощью Set-AzRouteTable.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Привяжите таблицу маршрутов к подсети подсеть-1 с помощью Set-AzVirtualNetworkSubnetConfig. В следующем примере таблица маршрутов route-table-public ассоциируется с подсетью-1.

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

CLI

Создайте таблицу маршрутов с помощью az network route-table create. В следующем примере создается таблица маршрутов с именем route-table-public.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

Создайте маршрут в таблице маршрутов с az network route-table route create.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

Присвойте таблицу маршрутов route-table-subnet-public для подсети subnet-1 с помощью az network vnet subnet update.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

Проверка маршрутизации сетевого трафика

Тестирование маршрутизации сетевого трафика из виртуальной машины общего доступа в виртуальную машину частного доступа. Проверка маршрутизации сетевого трафика от vm-private к vm-public.

Тестирование сетевого трафика из публичной виртуальной машины vm-public в частную виртуальную машину vm-private

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. На виртуальных машинах выберите vm-public.

3. Выберите «Подключиться», затем «Подключиться через бастион» в разделе «Обзор».

4. На странице подключения бастиона введите или выберите следующие сведения:

   Настройки	Ценность
   Тип проверки подлинности	Выберите закрытый ключ SSH из локального файла.
   Имя пользователя	Введите созданное имя пользователя.
   Локальный файл	Выберите скачанный файл приватного ключа vm-public-key.

5. Нажмите Подключиться.

6. В командной строке введите следующую команду, чтобы отследить маршрутизацию сетевого трафика из vm-public в vm-private:

   tracepath vm-private
   

   Ответ будет выглядеть примерно так:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   Вы можете увидеть, что в этом ответе есть два перехода для tracepath трафика ICMP из общедоступной виртуальной машины в частную виртуальную машину. Первый прыжок — vm-nva. Второй прыжок — это целевая виртуальная машина-частная.

   Azure отправил трафик из подсети-1 через NVA, а не непосредственно к подсеть-приватную, так как ранее вы добавили маршрут до частной подсети в таблицу маршрутов-общедоступную и связали его с подсетью-1.

7. Закройте сеанс Бастиона.

Проверка сетевого трафика от vm-private к vm-public

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. В виртуальных машинах выберите vm-private.

3. Выберите «Подключиться», затем «Подключиться через бастион» в разделе «Обзор».

4. На странице подключения бастиона введите или выберите следующие сведения:

   Настройки	Ценность
   Тип проверки подлинности	Выберите закрытый ключ SSH из локального файла.
   Имя пользователя	Введите созданное имя пользователя.
   Локальный файл	Выберите скачанный файл закрытого ключа vm.

5. Нажмите Подключиться.

6. В подсказке введите следующую команду, чтобы отследить маршрутизацию сетевого трафика от приватной виртуальной машины до общедоступной виртуальной машины:

   tracepath vm-public
   

   Ответ будет выглядеть примерно так:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   Вы можете увидеть, что в этом ответе есть один переход, который является конечным пунктом назначения vm-public.

   Azure отправил трафик непосредственно из подсеть-private в подсеть-1. По умолчанию Azure направляет трафик непосредственно между подсетями.

7. Закройте сеанс Бастиона.

Портал

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. На портале Azure найдите и выберите группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg .

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

PowerShell

Когда группа ресурсов больше не нужна, воспользуйтесь командлетом Remove-AzResourceGroup, чтобы удалить её вместе со всеми содержащимися в ней ресурсами.

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

CLI

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы, выполнив команду az group delete.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Дальнейшие шаги

Изучив это руководство, вы:

• Была создана таблица маршрутов и ассоциирована с подсетью.

• Создан простой NVA, который направляет трафик из общедоступной подсети в частную подсеть.

Вы можете развернуть разнообразные заранее настроенные NVA из Azure Marketplace, которые предоставляют множество полезных сетевых функций.

Дополнительные сведения о маршрутизации см. в статье " Обзор маршрутизации " и "Управление таблицей маршрутов". Маршрутизация также может быть автоматически настроена на крупномасштабном уровне с помощью функции управления маршрутами, определяемыми пользователем (UDR), в Azure Virtual Network Manager.

Чтобы узнать, как ограничить сетевой доступ к ресурсам PaaS с конечными точками службы виртуальной сети, перейдите к следующему руководству.

Ограничение сетевого доступа с помощью конечных точек службы