Поделиться через


Руководство. Настройка исходящего подключения двойного стека с помощью шлюза NAT и общедоступной подсистемы балансировки нагрузки

В этом руководстве описано, как настроить шлюз NAT и общедоступную подсистему балансировки нагрузки в подсеть с двумя стека, чтобы обеспечить исходящее подключение для рабочих нагрузок версии 4 с помощью шлюза NAT и рабочих нагрузок версии 6 с помощью общедоступной подсистемы балансировки нагрузки.

Шлюз NAT поддерживает использование общедоступных IP-адресов IPv4 для исходящего подключения, а подсистема балансировки нагрузки поддерживает общедоступные IP-адреса IPv4 и IPv6. Если шлюз NAT с общедоступным IP-адресом IPv4 присутствует с подсистемой балансировки нагрузки с помощью общедоступного IP-адреса IPv4, шлюз NAT имеет приоритет над подсистемой балансировки нагрузки для обеспечения исходящего подключения. При развертывании шлюза NAT в сети с двумя стеками с подсистемой балансировки нагрузки IPv6 трафик IPv4 использует шлюз NAT, а исходящий трафик IPv6 использует подсистему балансировки нагрузки.

Схема ресурсов, созданных во время руководства.

В этом руководстве описано следующее:

  • Создание виртуальной сети
  • Создание шлюза NAT с общедоступным адресом IPv4
  • Добавление IPv6 в виртуальную сеть
  • Создание общедоступной подсистемы балансировки нагрузки с общедоступным адресом IPv6
  • Создание виртуальной машины с двойным стеком
  • Проверка исходящего подключения из виртуальной машины двойного стека

Необходимые компоненты

Вход в Azure

Войдите на портал Azure с помощью своей учетной записи Azure.

Создание виртуальной сети

В этом разделе описано, как создать виртуальную сеть для виртуальной машины и подсистемы балансировки нагрузки.

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона Azure.

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите test-rg в name.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите vnet-1.
    Область/регион Выберите регион Восточная часть США 2.

    Снимок экрана: вкладка

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. Выберите "Включить бастион" в разделе Бастиона Azure на вкладке "Безопасность".

    Бастион Azure использует браузер для подключения к виртуальным машинам в виртуальной сети через безопасную оболочку (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения о Бастионе Azure см. в статье "Бастион Azure"

    Примечание.

    Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  6. Введите или выберите следующие сведения в Бастионе Azure:

    Параметр Значение
    Имя узла Бастиона Azure Введите бастион.
    Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
    Введите общедоступный IP-адрес в имени.
    Нажмите кнопку ОК.

    Снимок экрана: узел включения бастиона в разделе

  7. Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов .

  8. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

  9. В разделе "Изменить подсеть" введите или выберите следующие сведения:

    Параметр Значение
    Сведения о подсети
    Шаблон подсети Оставьте значение по умолчанию по умолчанию.
    Имя. Введите подсеть-1.
    Начальный адрес Оставьте значение по умолчанию 10.0.0.0.
    Размер подсети Оставьте значение по умолчанию /24(256 адресов).

    Снимок экрана: переименование и настройка подсети по умолчанию.

  10. Выберите Сохранить.

  11. Выберите "Проверка и создание " в нижней части экрана и при прохождении проверки нажмите кнопку "Создать".

Развертывание узла бастиона занимает несколько минут. При развертывании виртуальной сети можно перейти к следующим шагам.

Создание шлюза NAT

Шлюз NAT предоставляет исходящее подключение для части IPv4 виртуальной сети. Используйте следующий пример для создания шлюза NAT.

  1. В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.

  2. Выберите + Создать.

  3. В разделе Создание шлюза NAT на вкладке Основные сведения введите или выберите следующие значения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя шлюза NAT Введите nat-gateway.
    Область/регион Выберите регион Восточная часть США 2.
    Availability zone Выберите зону или зону без зоны.
    Время ожидания простоя TCP (минуты) Сохраните значение по умолчанию 4.
  4. Выберите Далее: Исходящий IP-адрес внизу страницы.

  5. В общедоступных IP-адресах выберите "Создать новый общедоступный IP-адрес".

  6. Введите public-ip-nat в name. Нажмите ОК.

  7. Выберите Далее: Подсеть.

  8. В виртуальной сети выберите виртуальную сеть-1.

  9. В списке подсетей выберите поле для подсети-1.

  10. Выберите Review + create (Просмотреть и создать).

  11. Нажмите кнопку создания.

Добавление IPv6 в виртуальную сеть

Добавление IPv6 в виртуальную сеть необходимо сделать после подключения шлюза NAT к подсети-1. Используйте следующий пример, чтобы добавить адресное пространство и подсеть IPv6 в виртуальную сеть, созданную на предыдущих шагах.

  1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  2. Выберите виртуальную сеть-1.

  3. В разделе "Параметры" выберите адресное пространство.

  4. В поле с дополнительным диапазоном адресов введите 2404:f800:8000:122::/63.

  5. Выберите Сохранить.

  6. В разделе Параметры выберите Подсети.

  7. Выберите подсеть-1 в списке подсетей.

  8. Установите флажок Добавить диапазон IPv6-адресов.

  9. Введите 2404:f800:8000:122::/64 в адресном пространстве IPv6.

  10. Выберите Сохранить.

Создание виртуальной машины с двойным стеком

Сетевая конфигурация виртуальной машины содержит конфигурации IPv4 и IPv6. Создайте виртуальную машину с внутренним IPv4-адресом. Затем добавьте конфигурацию IPv6 в сетевой интерфейс виртуальной машины.

Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.

  1. На портале найдите и выберите "Виртуальные машины".

  2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

  3. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Virtual machine name Введите vm-1.
    Область/регион Выберите регион Восточная часть США 2.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Выберите Стандартное.
    Изображения Выберите Ubuntu Server 22.04 LTS — x64-го поколения 2-го поколения.
    Архитектура виртуальной машины Оставьте значение по умолчанию x64.
    Размер Выберите размер.
    Учетная запись администратора
    Тип аутентификации выберите Пароль.
    Username Введите azureuser.
    Пароль Введите пароль.
    Подтверждение пароля Повторно введите пароль.
    Правила входящего порта
    Общедоступные входящие порты Выберите Отсутствует.
  4. Выберите вкладку "Сеть" в верхней части страницы.

  5. На вкладке Сеть введите или выберите следующие значения параметров:

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите виртуальную сеть-1.
    Подсеть Выберите подсеть-1 (10.0.0.0/24).
    Общедоступный IP-адрес Выберите Отсутствует.
    Группа безопасности сети сетевого адаптера Выберите Дополнительно.
    Настройка группы безопасности сети Выберите Создать.
    Введите nsg-1 для имени.
    Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".
  6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

  7. Проверьте параметры и выберите Создать.

Примечание.

Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Дождитесь завершения развертывания виртуальной машины, прежде чем продолжить выполнение следующих действий.

Добавление IPv6 в виртуальную машину

Поддержка IPv6, виртуальная машина должна иметь конфигурацию сети IPv6, добавленную в сетевой интерфейс. Используйте следующий пример, чтобы добавить конфигурацию сети IPv6 в виртуальную машину.

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите vm-1.

  3. В разделе "Параметры" выберите "Сеть".

  4. Выберите имя сетевого интерфейса в поле "Сетевой интерфейс". Имя сетевого интерфейса — это имя виртуальной машины, а также случайное число. В этом примере это vm-1202.

  5. В свойствах сетевого интерфейса выберите Конфигурации IP в разделе Параметры.

  6. Выберите Добавить.

  7. Введите или выберите следующие сведения в разделе "Добавить IP-конфигурацию".

    Параметр Значение
    Имя. Введите ipconfig-ipv6.
    Версия протокола IP-адресов Выберите IPv6.
  8. Оставьте остальные значения по умолчанию и щелкните Добавить.

Создание общедоступной подсистемы балансировки нагрузки

Общедоступная подсистема балансировки нагрузки имеет внешний IPv6-адрес и правило исходящего трафика для внутреннего пула подсистемы балансировки нагрузки. Правило исходящего трафика управляет поведением внешних подключений IPv6 для виртуальных машин в серверном пуле. Используйте следующий пример, чтобы создать общедоступную подсистему балансировки нагрузки IPv6.

  1. В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.

  2. Выберите + Создать.

  3. На вкладке "Основные сведения" для создания подсистемы балансировки нагрузки введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите подсистему балансировки нагрузки.
    Область/регион Выберите регион Восточная часть США 2.
    Номер SKU Оставьте значение по умолчанию Стандартный.
    Тип Щелкните Общедоступный.
    Уровень Оставьте значение по умолчанию Региональный.
  4. Нажмите кнопку "Далее" — интерфейсная IP-конфигурация.

  5. Выберите + Добавить интерфейсную IP-конфигурацию.

  6. Введите или выберите следующие сведения в конфигурации внешнего IP-адреса:

    Параметр Значение
    Имя. Введите frontend-ipv6.
    Версия протокола IP-адресов Выберите IPv6.
    Тип IP-адреса Выберите IP-адрес.
    Общедоступный IP-адрес Выберите Создать.
    В поле "Имя" введите public-ip-ipv6.
    Нажмите кнопку ОК.
  7. Выберите Добавить.

  8. Нажмите кнопку "Далее" — серверные пулы.

  9. Щелкните + Добавить внутренний пул.

  10. Введите или выберите следующие сведения в серверном пуле:

    Параметр Значение
    Имя. Введите серверный пул.
    Виртуальная сеть Выберите vnet-1 (test-rg).
    Конфигурация серверного пула Оставьте значение по умолчанию NIC.
  11. Выберите Сохранить.

  12. Нажмите кнопку "Далее" — правила для входящего трафика, а затем — правила для исходящего трафика.

  13. Выберите " Добавить правило исходящего трафика".

  14. Введите или выберите следующие сведения в правиле добавления исходящего трафика:

    Параметр Значение
    Имя. Введите правило исходящего трафика.
    Версия IP-адреса Выберите IPv6.
    Интерфейсный IP-адрес Выберите frontend-ipv6.
    Протокол Оставьте значение по умолчанию Все.
    Время ожидания простоя (в минутах) Сохраните значение по умолчанию 4.
    Сброс TCP Оставьте значение по умолчанию Включено.
    Внутренний пул Выберите серверный пул.
    Выделение портов
    Выделение портов Выберите Выбрать число исходящих портов вручную.
    Исходящие порты
    Выбор по Выберите Число портов для каждого экземпляра.
    Количество портов для каждого экземпляра Введите 20000.
  15. Выберите Добавить.

  16. Выберите Review + create (Просмотреть и создать).

  17. Нажмите кнопку создания.

Дождитесь завершения развертывания подсистемы балансировки нагрузки, прежде чем перейти к следующим шагам.

Добавление виртуальной машины в подсистему балансировки нагрузки

  1. В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.

  2. Выберите подсистему балансировки нагрузки.

  3. В разделе "Параметры" выберите серверные пулы.

  4. Выберите серверный пул.

  5. В виртуальной сети выберите vnet-1 (test-rg).

  6. В конфигурациях IP-адресов выберите +Добавить.

  7. Установите флажок для vm-1, соответствующий IP-конфигурации ipconfig-ipv6. Не выбирайте ipconfig1.

  8. Выберите Добавить.

  9. Выберите Сохранить.

Проверка исходящего подключения

Подключитесь к виртуальной машине с помощью Бастиона Azure, чтобы проверить исходящий трафик IPv4 и IPv6.

Получение общедоступных IP-адресов IPv4 и IPv6

Прежде чем проверить исходящее подключение, сделайте не IPv4 и общедоступные IP-адреса IPv6, созданные ранее. Используйте следующий пример, чтобы получить общедоступные IP-адреса.

  1. В поле поиска в верхней части портала введите Общедоступные IP-адреса. В результатах поиска выберите элемент Общедоступный IP-адрес.

  2. Выберите public-ip-nat.

  3. Запишите адрес в IP-адресе. В этом примере это 203.0.113.5.

  4. Вернитесь в раздел Общедоступные IP-адреса.

  5. Выберите public-ip-ipv6.

  6. Запишите адрес в IP-адресе. В этом примере это 2001:DB8::14.

Запишите оба IP-адреса. Используйте IP-адреса для проверки исходящего подключения для каждого стека.

Проверка подключения

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  3. Выберите vm-1.

  4. В обзоре vm-1 выберите "Подключиться" и "Бастион". Выбор "Использовать бастион"

  5. Введите имя пользователя и пароль, созданные при создании виртуальной машины.

  6. Нажмите Подключиться.

  7. В командной строке введите следующую команду, чтобы проверить IPv4-адрес.

    curl -4 icanhazip.com
    
    azureuser@vm-1:~$ curl -4 icanhazip.com
    203.0.113.5
    
  8. В командной строке введите следующую команду, чтобы проверить IPv4-адрес.

    curl -6 icanhazip.com
    
    azureuser@vm-1:~$ curl -6 icanhazip.com
    2001:DB8::14
    
  9. Закройте подключение бастиона к vm-1.

Очистка ресурсов

По завершении работы с ресурсами, созданными в этой статье, удалите группу ресурсов и все содержащиеся в ней ресурсы.

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле "Введите имя группы ресурсов", чтобы подтвердить удаление и нажмите кнопку "Удалить".

Следующие шаги

Следующая статья: