Руководство по маршрутизации сетевого трафика с помощью таблицы маршрутов

Azure направляет трафик между всеми подсетями в виртуальной сети по умолчанию. Вы можете создать собственные маршруты для переопределения маршрутизации Azure по умолчанию. Пользовательские маршруты полезны, если, например, вы хотите маршрутизировать трафик между подсетями через сетевое виртуальное устройство (NVA).

В этом руководстве вы узнаете, как:

• Создание виртуальной сети и подсетей
• Создать NVA для маршрутизации трафика
• Развертывание виртуальных машин в разных подсетях
• Создание таблицы маршрутов
• Создание маршрута
• Связывание таблицы маршрутов с подсетью
• Маршрутизация трафика из одной подсети в другую через NVA

Предпосылки

Портал

• Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

PowerShell

• Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

Azure Cloud Shell

Azure размещает Azure Cloud Shell, интерактивную среду оболочки, которую можно использовать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для выполнения кода в этой статье можно использовать предустановленные команды Cloud Shell, не устанавливая ничего в локальной среде.

Чтобы запустить Azure Cloud Shell, выполните приведенные действия.

Вариант	Пример/ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

1. Запустите Cloud Shell.

2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

3. Вставьте код или команду в сеанс Cloud Shell, выбрав CTRL+SHIFT+V в Windows и Linux или выбрав Cmd+Shift+V в macOS.

4. Нажмите Enter, чтобы запустить код или команду.

Чтобы установить и использовать PowerShell локально для работы с этой статьей, вам понадобится модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните команду Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

CLI

Если у вас нет аккаунта Azure, создайте бесплатную учетную запись перед началом.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".

  

• Если вы предпочитаете запускать справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, подумайте о запуске Azure CLI в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, войдите в Azure CLI с помощью команды az login . Чтобы завершить процесс аутентификации, следуйте шагам, отображаемым в вашем терминале. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".

  • Когда вас попросят, установите расширение Azure CLI при первом использовании. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этой статьей требуется Azure CLI версии 2.0.28 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Создание подсетей

Для этого руководства требуется DMZ и частная подсеть. Подсеть DMZ находится в том месте, где развертывается NVA, а частная подсеть — где развертываются виртуальные машины, в которые требуется направлять трафик. Подсеть-1 — это подсеть, созданная на предыдущих шагах. Используйте подсеть-1 для общедоступной виртуальной машины.

Портал

Создание виртуальной сети и узла Бастиона Azure

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:

1. На портале найдите и выберите "Виртуальные сети".

2. На странице Виртуальные сети выберите команду + Создать.

3. На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите Создать новое. Введите test-rg для имени. Нажмите кнопку ОК.
   Сведения об инстанции
   Имя	Введите vnet-1.
   Регион	Выберите регион Восточная часть США 2.

   

4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

5. В разделе Azure Bastion выберите Включить Azure Bastion.

   Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения см. в статье "Что такое Бастион Azure?".

   Замечание

   Почасовая тарификация начинается с момента развертывания Бастиона, независимо от объема исходящего трафика. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

6. В Azure Bastion введите или выберите следующие сведения:

   Настройки	Ценность
   Имя хоста Azure Bastion	Введите бастион.
   Общедоступный IP-адрес Бастиона Azure	Выберите " Создать общедоступный IP-адрес". Введите public-ip-bastion в поле "Имя". Нажмите кнопку ОК.

   

7. Нажмите Далее, чтобы перейти на вкладку IP-адреса.

8. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

9. В разделе "Изменить подсеть" введите или выберите следующие сведения:

   Настройки	Ценность
   Назначение подсети	Оставьте значение Default по умолчанию.
   Имя	Введите subnet-1.
   IPv4
   Диапазон адресов IPv4	Оставьте значение по умолчанию 10.0.0.0/16.
   Начальный адрес	Оставьте значение по умолчанию 10.0.0.0.
   Размер	Оставьте значение по умолчанию /24 (256 адресов).

   

10. Нажмите кнопку "Сохранить".

11. Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.

1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

2. В виртуальных сетях выберите виртуальную сеть-1.

3. В виртуальной сети-1 выберите подсети из раздела "Параметры ".

4. В списке подсетей виртуальной сети выберите +Подсеть.

5. В поле "Добавить подсеть" введите или выберите следующие сведения:

   Настройки	Ценность
   Назначение подсети	Оставьте значение Default по умолчанию.
   Имя	Введите подсеть-частная.
   IPv4
   Диапазон адресов IPv4	Оставьте значение по умолчанию 10.0.0.0/16.
   Начальный адрес	Введите 10.0.2.0.
   Размер	Оставьте значение по умолчанию /24 (256 адресов).

6. Нажмите кнопку "Добавить".

7. Выберите + Подсеть.

8. В поле "Добавить подсеть" введите или выберите следующие сведения:

   Настройки	Ценность
   Назначение подсети	Оставьте значение Default по умолчанию.
   Имя	Введите subnet-dmz.
   IPv4
   Диапазон адресов IPv4	Оставьте значение по умолчанию 10.0.0.0/16.
   Начальный адрес	Введите 10.0.3.0.
   Размер	Оставьте значение по умолчанию /24 (256 адресов).

9. Нажмите кнопку "Добавить".

PowerShell

Создайте группу ресурсов с помощью New-AzResourceGroup. В следующем примере создается группа ресурсов с именем test-rg для всех ресурсов, созданных в этой статье.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

Создайте виртуальную сеть с помощью New-AzVirtualNetwork. В следующем примере создается виртуальная сеть с именем vnet-1 с префиксом адреса 10.0.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Создайте четыре подсети, с помощью New-AzVirtualNetworkSubnetConfig создайте четыре конфигурации подсети. В следующем примере создаются четыре конфигурации подсети для общедоступных, частных, dmZ и подсетей Бастиона Azure.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Внесите конфигурации подсетей в виртуальную сеть, используя командлет Set-AzVirtualNetwork, который создает подсети в виртуальной сети:

$virtualNetwork | Set-AzVirtualNetwork

Создание Бастиона Azure

Создайте общедоступный IP-адрес для узла Azure Bastion с использованием команды New-AzPublicIpAddress. В следующем примере создается публичный IP-адрес с именем public-ip-бастион в виртуальной сети vnet-1.

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

Создайте хост Azure Bastion с помощью New-AzBastion. В следующем примере создается Bastion-хост Azure с именем bastion в подсети AzureBastionSubnet виртуальной сети vnet-1. Бастион Azure используется для безопасного подключения виртуальных машин Azure, не предоставляя их общедоступному Интернету.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
}
New-AzBastion @bastionParams -AsJob

CLI

Создайте группу ресурсов с az group create для всех ресурсов, созданных в этой статье.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

Создайте виртуальную сеть с одной подсетью при помощи команды az network vnet create.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Создайте еще две подсети с использованием команды az network vnet subnet create.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Создание Бастиона Azure

Создайте общедоступный IP-адрес для узла Бастиона Azure с помощью az network public-ip create. В следующем примере создается публичный IP-адрес с именем public-ip-бастион в виртуальной сети vnet-1.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

Создайте узел Azure Bastion с помощью az network bastion create. В следующем примере создается Bastion-хост Azure с именем bastion в подсети AzureBastionSubnet виртуальной сети vnet-1. Бастион Azure используется для безопасного подключения виртуальных машин Azure, не предоставляя их общедоступному Интернету.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2
    --no-wait

Создание виртуальной машины NVA

Сетевые виртуальные устройства (NVA) — это виртуальные машины, которые помогают с сетевыми функциями, такими как маршрутизация и оптимизация брандмауэра. В этом разделе описано, как создать NVA с помощью виртуальной машины Ubuntu 24.04 .

Портал

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите + Создать, затем выберите Виртуальная машина Azure.

3. В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Название виртуальной машины	Введите vm-nva.
   Регион	Выберите регион (США) Восточная часть США 2.
   Параметры доступности	Выберите "Не требуется избыточность инфраструктуры".
   Тип безопасности	Выберите Стандартное.
   Изображение	Выберите Ubuntu Server 24.04 LTS - x64 Gen2.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	выберите Пароль.
   Имя пользователя	Введите имя пользователя.
   Пароль	Введите пароль.
   Подтверждение пароля	Введите пароль еще раз.
   Правила входящего порта
   Общедоступные входящие порты	Выберите "Нет".

4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров.

   Настройки	Ценность
   Сетевой интерфейс
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите подсеть DMZ (10.0.3.0/24).
   Общедоступный IP-адрес	Выберите "Нет".
   Группа безопасности сети NIC	Выберите Дополнительно.
   Настройка группы безопасности сети	Выберите Создать новое. В поле "Имя" введите nsg-nva. Нажмите кнопку ОК.

6. Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".

7. Нажмите кнопку "Создать".

PowerShell

Создайте виртуальную машину с помощью New-AzVM. В следующем примере создается виртуальная машина с именем vm-nva.

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

CLI

Создайте виртуальную машину для использования в качестве NVA в подсети subnet-dmz с помощью az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --authentication-type password

Создание виртуальной машины занимает несколько минут. Не продолжайте переходить к следующему шагу, пока Azure не завершит создание виртуальной машины и возвращает выходные данные о виртуальной машине.

Создание общедоступных и частных виртуальных машин

Создайте две виртуальные машины в виртуальной сети vnet-1 . Одна виртуальная машина находится в подсети-1 , а другая виртуальная машина находится в подсети-частной подсети . Используйте один и тот же образ виртуальной машины для обеих виртуальных машин.

Создание общедоступной виртуальной машины

Общедоступная виртуальная машина используется для имитации компьютера в общедоступном Интернете. Общедоступная и частная виртуальная машина используются для проверки маршрутизации сетевого трафика через виртуальную машину NVA.

Портал

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите + Создать, затем выберите Виртуальная машина Azure.

3. В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Название виртуальной машины	Введите vm-public.
   Регион	Выберите регион (США) Восточная часть США 2.
   Параметры доступности	Выберите "Не требуется избыточность инфраструктуры".
   Тип безопасности	Выберите Стандартное.
   Изображение	Выберите Ubuntu Server 24.04 LTS - x64 Gen2.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	выберите Пароль.
   Имя пользователя	Введите имя пользователя.
   Пароль	Введите пароль.
   Подтверждение пароля	Введите пароль еще раз.
   Правила входящего порта
   Общедоступные входящие порты	Выберите "Нет".

4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров.

   Настройки	Ценность
   Сетевой интерфейс
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите субсеть-1 (10.0.0.0/24).
   Общедоступный IP-адрес	Выберите "Нет".
   Группа безопасности сети NIC	Выберите "Нет".

6. Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".

7. Нажмите кнопку "Создать".

Создание частной виртуальной машины

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите + Создать, затем выберите Виртуальная машина Azure.

3. В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Название виртуальной машины	Введите vm-private.
   Регион	Выберите регион (США) Восточная часть США 2.
   Параметры доступности	Выберите "Не требуется избыточность инфраструктуры".
   Тип безопасности	Выберите Стандартное.
   Изображение	Выберите Ubuntu Server 24.04 LTS - x64 Gen2.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	выберите Пароль.
   Имя пользователя	Введите имя пользователя.
   Пароль	Введите пароль.
   Подтверждение пароля	Введите пароль еще раз.
   Правила входящего порта
   Общедоступные входящие порты	Выберите "Нет".

4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров.

   Настройки	Ценность
   Сетевой интерфейс
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите подсеть -private (10.0.2.0/24).
   Общедоступный IP-адрес	Выберите "Нет".
   Группа безопасности сети NIC	Выберите "Нет".

6. Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".

7. Нажмите кнопку "Создать".

PowerShell

Создайте виртуальную машину в подсети-1 с помощью New-AzVM. В следующем примере создается виртуальная машина с именем vm-public в подсети subnet-public виртуальной сети vnet-1.

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

Создайте виртуальную машину в подсети-частной подсети .

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

Создание виртуальной машины занимает несколько минут. Не продолжайте переходить к следующему шагу, пока виртуальная машина не будет создана, а Azure возвращает выходные данные в PowerShell.

CLI

Создайте виртуальную машину в подсети подсети-1 с помощью az vm create. Параметр --no-wait позволяет Azure выполнять команду в фоновом режиме, чтобы продолжить следующую команду.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --authentication-type password \
    --no-wait

Создайте виртуальную машину в подсети-частной подсети .

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --authentication-type password

Включение IP-пересылки

Чтобы маршрутизировать трафик через NVA, включите IP-пересылку в Azure и в операционной системе vm-nva. Если ip-пересылка включена, любой трафик, полученный vm-nva , предназначенный для другого IP-адреса, не удаляется и пересылается в правильное место назначения.

Включение IP-пересылки в Azure

В этом разделе описано, как включить IP-пересылку для сетевого интерфейса виртуальной машины vm-nva .

Портал

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. На виртуальных машинах выберите vm-nva.

3. В vm-nva разверните Сеть, а затем выберите Параметры сети.

4. Выберите имя интерфейса рядом с сетевым интерфейсом:. Имя начинается с vm-nva и имеет случайное число, назначенное интерфейсу. Имя интерфейса в этом примере — vm-nva313.

   

5. На странице обзора сетевого интерфейса выберите IP-конфигурации в разделе "Параметры ".

6. В конфигурациях IP-адресов установите флажок " Включить IP-пересылку".

   

7. Нажмите кнопку "Применить".

PowerShell

Включите IP-пересылку для сетевого интерфейса виртуальной машины vm-nva с использованием Set-AzNetworkInterface. В следующем примере включается IP-пересылка сетевого интерфейса с именем vm-nva313.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

CLI

Включите пересылку IP для сетевого интерфейса виртуальной машины vm-nva с помощью команды az network nic update. В следующем примере происходит активация IP-пересылки для сетевого интерфейса с именем vm-nvaVMNic.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

Включение IP-пересылки в операционной системе

В этом разделе включите IP-адресацию в операционной системе виртуальной машины vm-nva для перенаправления сетевого трафика. Используйте службу Azure Bastion для подключения к виртуальной машине vm-nva.

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. На виртуальных машинах выберите vm-nva.

3. Выберите "Подключиться" и "Подключиться через бастион " в разделе "Обзор ".

4. Введите имя пользователя и пароль, введенные при создании виртуальной машины.

5. Нажмите Подключиться.

6. Введите следующие сведения в запросе виртуальной машины, чтобы включить IP-пересылку:

   sudo vim /etc/sysctl.conf
   

7. В редакторе Vim удалите # из строки net.ipv4.ip_forward=1.

   Нажмите клавишу INSERT .

   # Uncomment the next line to enable packet forwarding for IPv4
   net.ipv4.ip_forward=1
   

   Нажмите клавишу ESC .

   Введите :wq и нажмите ВВОД.

8. Закройте сеанс Бастиона.

9. Перезапустите виртуальную машину.

Создание таблицы маршрутов

В этом разделе создайте таблицу маршрутов для определения маршрута трафика через виртуальную машину NVA. Таблица маршрутов ассоциирована с подсетью-1, где развернута виртуальная машина vm-public.

Портал

1. В поле поиска в верхней части портала введите таблица маршрутов. Выберите таблицы маршрутов в результатах поиска.

2. Нажмите кнопку +Создать.

3. В таблице "Создать маршрут " введите или выберите следующие сведения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Регион	Выберите регион Восточная часть США 2.
   Имя	Введите route-table-public.
   Пропагировать маршруты шлюза	Оставьте значение по умолчанию "Да".

4. Выберите Review + create.

5. Нажмите кнопку "Создать".

Создание маршрута

В этом разделе создайте маршрут в таблице маршрутов, созданной на предыдущих шагах.

1. В поле поиска в верхней части портала введите таблица маршрутов. Выберите таблицы маршрутов в результатах поиска.

2. Выберите route-table-public.

3. Разверните раздел "Параметры", а затем выберите "Маршруты".

4. Выберите + Добавить в Маршруты.

5. Введите или выберите следующие сведения в поле "Добавить маршрут".

   Настройки	Ценность
   Имя маршрута	Введите в частную подсеть.
   Тип назначения	Выберите IP-адреса.
   Диапазоны IP-адресов назначения и CIDR	Введите 10.0.2.0/24.
   Тип следующего прыжка	Выберите Виртуальный модуль.
   Адрес следующего прыжка	Введите 10.0.3.4. Это IP-адрес виртуальной машины-nva, созданной на предыдущих шагах.

6. Нажмите кнопку "Добавить".

7. В разделе Параметры выберите Подсети.

8. Нажмите + Ассоциировать.

9. Введите или выберите следующую информацию в разделе Ассоциировать подсеть.

   Настройки	Ценность
   Виртуальная сеть	Выберите vnet-1 (test-rg).
   Подсеть	Выберите подсеть-1.

10. Нажмите ОК.

PowerShell

Создайте таблицу маршрутов с помощью New-AzRouteTable. В следующем примере создается таблица маршрутов с именем route-table-public.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Создайте маршрут, извлекая объект таблицы маршрутов с помощью Get-AzRouteTable, создайте маршрут с помощью Add-AzRouteConfig, а затем напишите конфигурацию маршрута в таблицу маршрутов с помощью Set-AzRouteTable.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Привяжите таблицу маршрутов к подсети подсеть-1 с помощью Set-AzVirtualNetworkSubnetConfig. В следующем примере таблица маршрутов route-table-public ассоциируется с подсетью-1.

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

CLI

Создайте таблицу маршрутов с помощью az network route-table create. В следующем примере создается таблица маршрутов с именем route-table-public.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

Создайте маршрут в таблице маршрутов с az network route-table route create.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

Присвойте таблицу маршрутов route-table-subnet-public для подсети subnet-1 с помощью az network vnet subnet update.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

Проверка маршрутизации сетевого трафика

Тестирование маршрутизации сетевого трафика из виртуальной машины общего доступа в виртуальную машину частного доступа. Проверка маршрутизации сетевого трафика от vm-private к vm-public.

Тестирование сетевого трафика из публичной виртуальной машины vm-public в частную виртуальную машину vm-private

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. На виртуальных машинах выберите vm-public.

3. Выберите «Подключиться», затем «Подключиться через бастион» в разделе «Обзор».

4. Введите имя пользователя и пароль, введенные при создании виртуальной машины.

5. Нажмите Подключиться.

6. В командной строке введите следующую команду, чтобы отследить маршрутизацию сетевого трафика из vm-public в vm-private:

   tracepath vm-private
   

   Ответ будет выглядеть примерно так:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   Вы можете увидеть, что в приведенном выше ответе для трафика ICMP от tracepath к vm-private показаны два перескока. Первый прыжок — vm-nva. Второй прыжок — это целевая виртуальная машина-частная.

   Azure отправил трафик из подсети-1 через NVA, а не непосредственно к подсеть-приватную, так как ранее вы добавили маршрут до частной подсети в таблицу маршрутов-общедоступную и связали его с подсетью-1.

7. Закройте сеанс Бастиона.

Проверка сетевого трафика от vm-private к vm-public

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. В виртуальных машинах выберите vm-private.

3. Выберите «Подключиться», затем «Подключиться через бастион» в разделе «Обзор».

4. Введите имя пользователя и пароль, введенные при создании виртуальной машины.

5. Нажмите Подключиться.

6. В подсказке введите следующую команду, чтобы отследить маршрутизацию сетевого трафика от приватной виртуальной машины до общедоступной виртуальной машины:

   tracepath vm-public
   

   Ответ будет выглядеть примерно так:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   Вы можете увидеть, что в приведенном выше ответе есть один узел прохождения, который является общедоступной виртуальной машиной vm-public.

   Azure отправил трафик непосредственно из подсеть-private в подсеть-1. По умолчанию Azure направляет трафик непосредственно между подсетями.

7. Закройте сеанс Бастиона.

Портал

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. На портале Azure найдите и выберите группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg .

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

PowerShell

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы с помощью командлета Remove-AzResourceGroup.

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

CLI

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы, выполнив команду az group delete.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Дальнейшие шаги

Изучив это руководство, вы:

• Была создана таблица маршрутов и ассоциирована с подсетью.

• Создан простой NVA, который направляет трафик из общедоступной подсети в частную подсеть.

Вы можете развернуть разнообразные заранее настроенные NVA из Azure Marketplace, которые предоставляют множество полезных сетевых функций.

Дополнительные сведения о маршрутизации см. в статье " Обзор маршрутизации " и "Управление таблицей маршрутов".

Чтобы узнать, как ограничить сетевой доступ к ресурсам PaaS с конечными точками службы виртуальной сети, перейдите к следующему руководству.

Ограничение сетевого доступа с помощью конечных точек службы