Öğretici: Ağ trafiğini yönlendirme tablosuyla yönlendirme

Azure, varsayılan olarak bir sanal ağ içindeki tüm alt ağlar arasındaki trafiği yönlendirir. Azure’ın varsayılan yönlendirmesini geçersiz kılmak için kendi yönlendirmelerinizi oluşturabilirsiniz. Örneğin, bir ağ sanal gereci (NVA) aracılığıyla alt ağlar arasındaki trafiği yönlendirmek istediğinizde özel yollar yararlı olur.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

• Sanal ağı ve alt ağları oluşturma
• Trafiği yönlendiren bir NVA oluşturma
• Sanal makineleri (VM) farklı alt ağlara dağıtma
• Yönlendirme tablosu oluşturma
• Rota oluştur
• Yönlendirme tablosunu bir alt ağ ile ilişkilendirme
• NVA aracılığıyla trafiği bir alt ağdan başka birine yönlendirme

Önkoşullar

Portal

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz bir hesap oluşturabilirsiniz.

PowerShell

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz bir hesap oluşturabilirsiniz.

Azure Cloud Shell

Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell'i barındırıyor. Azure hizmetleriyle çalışmak için Cloud Shell ile Bash veya PowerShell kullanabilirsiniz. Yerel ortamınıza herhangi bir şey yüklemek zorunda kalmadan bu makaledeki kodu çalıştırmak için Cloud Shell önceden yüklenmiş komutlarını kullanabilirsiniz.

Azure Cloud Shell'i başlatmak için:

Seçenek	Örnek/Bağlantı
Kodun veya komut bloğunun sağ üst köşesindeki Deneyin'i seçin. Deneyin seçildiğinde kod veya komut otomatik olarak Cloud Shell'e kopyalanmaz.
https://shell.azure.comadresine gidin veya Cloud Shell'i tarayıcınızda açmak için Cloud Shell'i Başlat düğmesini seçin.
Azure portalının sağ üst kısmındaki menü çubuğunda Cloud Shell düğmesini seçin.

Azure Cloud Shell'i kullanmak için:

1. Cloud Shell'i başlatın.

2. Kodu veya komutu kopyalamak için kod bloğundaki (veya komut bloğundaki) Kopyala düğmesini seçin.

3. Windows ve Linux'ta Ctrl++Shift++V veya macOS'ta Cmd++Shift++V tuşlarına basarak kodu veya komutu Cloud Shell oturumuna yapıştırın.

4. Kodu veya komutu çalıştırmak için Enter'ı seçin.

PowerShell'i yerel olarak yükleyip kullanmayı seçerseniz, bu makale Için Azure PowerShell modülünün 1.0.0 veya sonraki bir sürümü gerekir. Yüklü sürümü bulmak için Get-Module -ListAvailable Az komutunu çalıştırın. Yükseltmeniz gerekirse, bkz. Azure PowerShell modülünü yükleme. PowerShell'i yerel olarak çalıştırıyorsanız Azure ile bağlantı oluşturmak için de komutunu çalıştırmanız Connect-AzAccount gerekir.

CLI

Azure hesabınız yoksa, başlamadan önce ücretsiz hesap oluşturun.

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz. Azure Cloud Shell'i kullanmaya başlama.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz. Azure CLI kullanarak Azure'da kimlik doğrulaması.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma ve yönetme.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

• Bu makale, Azure CLI'nın 2.0.28 veya sonraki bir sürümünü gerektirir. Azure Cloud Shell kullanılıyorsa en son sürüm zaten yüklüdür.

Alt ağlar oluşturma

Bu ders için bir DMZ ve Özel alt ağ gereklidir. DMZ alt ağı, NVA'nın dağıtıldığı yerdir ve Özel alt ağ, trafiği yönlendirmek istediğiniz özel sanal makineleri dağıtacağınız yerdir. Diyagramda subnet-1 , genel sanal makine için kullanılan Genel alt ağdır.

Portal

Bir kaynak grubu oluşturun

1. Azure portalınaoturum açın.

2. Portalın üst kısmındaki arama kutusuna Kaynak grubu yazın. Arama sonuçlarında Kaynak grupları'nı seçin.

3. +Oluştur'u seçin.

4. Kaynak grubu oluştur'unTemel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg girin.
   Bölge	Doğu ABD 2’yi seçin.

5. Gözden geçir ve oluştur’u seçin.

6. Oluştur'u belirleyin.

Sanal ağ oluşturma

1. Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal ağlar'ı seçin.

2. +Oluştur'u seçin.

3. Sanal ağ oluştur'un Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   İsim	vnet-1 girin.
   Bölge	Doğu ABD 2’yi seçin.

4. Güvenlik sekmesine gitmek için İleri'yi seçin.

5. IP Adresleri sekmesine gitmek için İleri'yi seçin.

6. Alt ağlar'daki adres alanı kutusunda varsayılan alt ağı seçin.

7. Alt ağı düzenle bölümünde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Alt ağ ayrıntıları
   Alt ağ şablonu	Varsayılan Varsayılan değeri değiştirmeyin.
   İsim	subnet-1 girin.
   Başlangıç adresi	Varsayılan değeri 10.0.0.0 olarak bırakın.
   Alt ağ boyutu	Varsayılan değeri /24 (256 adres) olarak bırakın.

8. Kaydet'i seçin.

9. + Alt ağ ekle öğesini seçin.

10. Alt ağ ekle bölümünde aşağıdaki bilgileri girin veya seçin:

    Ayarlar	Değer
    Alt ağ ayrıntıları
    Alt ağ şablonu	Varsayılan Varsayılan değeri değiştirmeyin.
    İsim	"Özel alt ağı girin."
    Başlangıç adresi	10.0.2.0 girin.
    Alt ağ boyutu	Varsayılan değeri /24 (256 adres) olarak bırakın.

11. Ekle'yi seçin.

12. + Alt ağ ekle öğesini seçin.

13. Alt ağ ekle bölümünde aşağıdaki bilgileri girin veya seçin:

    Ayarlar	Değer
    Alt ağ ayrıntıları
    Alt ağ şablonu	Varsayılan Varsayılan değeri değiştirmeyin.
    Veri Akışı Adı	subnet-dmz girin.
    Başlangıç adresi	10.0.3.0 girin.
    Alt ağ boyutu	Varsayılan değeri /24 (256 adres) olarak bırakın.

14. Ekle'yi seçin.

15. Ekranın alt kısmındaki Gözden geçir + oluştur'u seçin ve doğrulama başarılı olduğunda Oluştur'u seçin.

Azure Bastion’ı dağıtma

Azure Bastion, özel IP adreslerini kullanarak güvenli kabuk (SSH) veya uzak masaüstü protokolü (RDP) üzerinden sanal ağınızdaki VM'lere bağlanmak için tarayıcınızı kullanır. VM'lerin genel IP adreslerine, istemci yazılımına veya özel yapılandırmaya ihtiyacı yoktur. Azure Bastion hakkında daha fazla bilgi için bkz . Azure Bastion.

Not

Saatlik fiyatlandırma, giden veri kullanımına bakılmaksızın Bastion dağıtıldığından itibaren başlar. Daha fazla bilgi için bkz . Fiyatlandırma ve SKU'lar. Bastion'ı bir öğretici veya test kapsamında dağıtıyorsanız, kullanmayı bitirdikten sonra bu kaynağı silmenizi öneririz.

1. Portalın üst kısmındaki arama kutusuna Bastion yazın. Arama sonuçlarında Bastions'ı seçin.

2. +Oluştur'u seçin.

3. Bastion Oluşturma'nınTemel bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   İsim	Bastion yazın.
   Bölge	Doğu ABD 2’yi seçin.
   Katman	Geliştirici'yi seçin.
   Sanal ağları yapılandırma
   Sanal ağ	vnet-1'i seçin.
   Alt ağ	AzureBastionSubnet, /26 veya daha büyük bir adres alanıyla otomatik olarak oluşturulur.

4. Gözden geçir ve oluştur’u seçin.

5. Oluştur'u belirleyin.

PowerShell

New-AzResourceGroup ile bir kaynak grubu oluşturun. Aşağıdaki örnek, bu makalede oluşturulan tüm kaynaklar için test-rg adlı bir kaynak grubu oluşturur.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

New-AzVirtualNetwork ile bir sanal ağ oluşturun. Aşağıdaki örnek, 10.0.0.0/16 adres ön ekiyle vnet-1 adlı bir sanal ağ oluşturur.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

New-AzVirtualNetworkSubnetConfig ile dört alt ağ yapılandırması oluşturarak dört alt ağ oluşturun. Aşağıdaki örnek Genel, Özel, DMZ ve Azure Bastion alt ağları için dört alt ağ yapılandırması oluşturur.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Alt ağ yapılandırmalarını, sanal ağda alt ağları oluşturan Set-AzVirtualNetwork ile sanal ağa yazın:

$virtualNetwork | Set-AzVirtualNetwork

Azure Bastion oluşturma

New-AzPublicIpAddress ile Azure Bastion konağı için bir genel IP adresi oluşturun. Aşağıdaki örnek, vnet-1 sanal ağında public-ip-bastion adlı bir genel IP adresi oluşturur.

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

New-AzBastion ile bir Azure Bastion konağı oluşturun. Aşağıdaki örnek, vnet-1 sanal ağının AzureBastionSubnet alt ağında bastionadlı bir Azure Bastion konağı oluşturur. Azure Bastion, Azure sanal makinelerini genel İnternet'e göstermeden güvenli bir şekilde bağlamak için kullanılır.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams -AsJob

CLI

Bu makalede oluşturulan tüm kaynaklar için, az group create ile bir kaynak grubu oluşturun.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

az network vnet create ile bir alt ağ ile bir sanal ağ oluşturun.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

az network vnet subnet create ile iki alt ağ daha oluşturun.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Azure Bastion oluşturma

az network public-ip create komutuyla Azure Bastion konağı için bir genel IP adresi oluşturun. Aşağıdaki örnek, vnet-1 sanal ağında public-ip-bastion adlı bir genel IP adresi oluşturur.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

az network bastion create ile bir Azure Bastion konağı oluşturun. Aşağıdaki örnek, vnet-1 sanal ağının AzureBastionSubnet alt ağında bastionadlı bir Azure Bastion konağı oluşturur. Azure Bastion, Azure sanal makinelerini genel İnternet'e göstermeden güvenli bir şekilde bağlamak için kullanılır.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2 \
    --sku Basic \
    --no-wait

NVA sanal makinesi oluşturma

Ağ sanal gereçleri (NVA'lar), yönlendirme ve güvenlik duvarı iyileştirmesi gibi ağ işlevlerine yardımcı olan sanal makinelerdir. Bu bölümde, Ubuntu 24.04 sanal makinesi kullanarak bir NVA oluşturun.

Portal

1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

2. + Oluştur'u ve ardından Azure sanal makinesini seçin.

3. Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   Sanal makine ismi	vm-nva girin.
   Bölge	(ABD) Doğu ABD 2'yi seçin.
   Kullanılabilirlik seçenekleri	Altyapı yedekliliği gerekli değil seçeneğini seçin.
   Güvenlik türü	Standart'ı seçin.
   Görsel	Seçilen Ubuntu Server 24.04 LTS - x64 Gen2.
   VM mimarisi	Varsayılan x64 ayarını değiştirmeyin.
   Boyut	Bir boyut seçin.
   Yönetici hesabı
   Doğrulama türü	SSH ortak anahtarı'ni seçin.
   Kullanıcı adı	Bir kullanıcı adı girin.
   SSH ortak anahtar kaynağı	Yeni anahtar çifti oluştur'a tıklayın.
   Anahtar çifti adı	vm-nva-key girin.
   Gelen bağlantı noktası kuralları
   Genel gelen bağlantı noktaları	Hiçbiri seçeneğini belirtin.

4. İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

5. Ağ sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Ağ arabirimi
   Sanal ağ	vnet-1'i seçin.
   Alt ağ	subnet-dmz (10.0.3.0/24) öğesini seçin.
   Genel Kullanım IP Adresi	Hiçbiri seçeneğini belirtin.
   NIC ağ güvenlik grubu	Gelişmiş'i seçin.
   Ağ güvenlik grubunu yapılandırma	Yeni oluştur’u seçin. Ad alanına, nsg-nva girin. Tamam'ı seçin.

6. Diğer seçenekleri varsayılan değerlerde bırakın ve Gözden geçir ve oluştur'u seçin.

7. Oluştur'u belirleyin.

PowerShell

New-AzVM ile sanal makineyi oluşturun. Aşağıdaki örnek , vm-nva adlı bir sanal makine oluşturur.

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-nva-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

CLI

subnet-dmz alt ağında NVA olarak kullanılacak bir sanal makine oluşturun az vm create ile.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --generate-ssh-keys

Sanal makinenin oluşturulması birkaç dakika sürer. Azure sanal makineyi oluşturmayı tamamlayıp sanal makinenin çıkışını döndürene kadar sonraki adıma devam etmeyin.

Genel ve özel sanal makineler oluşturun

vnet-1 sanal ağında iki sanal makine oluşturun. Bir sanal makine alt ağ-1 ağında, diğer sanal makine ise alt ağ-özel ağında yer alır. Her iki sanal makine için de aynı sanal makine görüntüsünü kullanın.

Genel sanal makine oluşturma

Genel sanal makine, genel İnternet'te bir makinenin benzetimini yapmak için kullanılır. Genel ve özel sanal makineler, NVA sanal makinesi aracılığıyla ağ trafiğinin yönlendirmesini test etmek için kullanılır.

Portal

1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

2. + Oluştur'u ve ardından Azure sanal makinesini seçin.

3. Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   Sanal makine ismi	vm-public girin.
   Bölge	(ABD) Doğu ABD 2'yi seçin.
   Kullanılabilirlik seçenekleri	Altyapı yedekliliği gerekli değil'i seçin.
   Güvenlik türü	Standart'ı seçin.
   Görsel	Ubuntu Server 24.04 LTS - x64 2. Nesil'i seçin.
   VM mimarisi	Varsayılan ayar olarak x64'ü bırakın.
   Boyut	Bir boyut seçin.
   Yönetici hesabı
   Doğrulama türü	SSH ortak anahtarı'ni seçin.
   Kullanıcı adı	Bir kullanıcı adı girin.
   SSH ortak anahtar kaynağı	Yeni anahtar çifti oluştur'a tıklayın.
   Anahtar çifti adı	vm-public-key girin.
   Gelen bağlantı noktası kuralları
   Genel gelen bağlantı noktaları	Hiçbiri seçeneğini belirtin.

4. İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

5. Ağ sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Ağ arabirimi
   Sanal ağ	vnet-1'i seçin.
   Alt ağ	subnet-1 (10.0.0.0/24) öğesini seçin.
   Genel IP Adresi	Hiçbiri seçeneğini belirtin.
   NIC ağ güvenlik grubu	Hiçbiri seçeneğini belirtin.

6. Diğer seçenekleri varsayılan değerlerde bırakın ve Gözden geçir ve oluştur'u seçin.

7. Oluştur'u belirleyin.

Özel sanal makine oluşturma

1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

2. + Oluştur'u ve ardından Azure sanal makinesini seçin.

3. Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   Sanal makine ismi	vm-private girin.
   Bölge	(ABD) Doğu ABD 2'yi seçin.
   Kullanılabilirlik seçenekleri	Altyapı yedekliliği gerekli değil'i seçin.
   Güvenlik türü	Standart'ı seçin.
   Görsel	Ubuntu Server 24.04 LTS - x64 2. Nesil'i seçin.
   VM mimarisi	Varsayılan ayar olarak x64'ü bırakın.
   Boyut	Bir boyut seçin.
   Yönetici hesabı
   Doğrulama türü	SSH ortak anahtarı'ni seçin.
   Kullanıcı adı	Bir kullanıcı adı girin.
   SSH ortak anahtar kaynağı	Yeni anahtar çifti oluştur'a tıklayın.
   Anahtar çifti adı	vm-private-key girin.
   Gelen bağlantı noktası kuralları
   Genel gelen bağlantı noktaları	Hiçbiri seçeneğini belirtin.

4. İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

5. Ağ sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Ağ arabirimi
   Sanal ağ	vnet-1'i seçin.
   Alt ağ	Alt ağ-özel (10.0.2.0/24) seçeneğini seçin.
   Genel IP Adresi	Hiçbiri seçeneğini belirtin.
   NIC ağ güvenlik grubu	Hiçbiri seçeneğini belirtin.

6. Diğer seçenekleri varsayılan değerlerde bırakın ve Gözden geçir ve oluştur'u seçin.

7. Oluştur'u belirleyin.

PowerShell

subnet-1 alt ağında New-AzVM ile bir sanal makine oluşturun. Aşağıdaki örnek, vm-public adlı bir sanal makineyi, subnet-public alt ağının vnet-1 sanal ağı içinde oluşturur.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-public-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Özel alt ağ subnet-private içinde bir sanal makine oluşturun.

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    Image = "Ubuntu2204"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = ""  # No public IP address
    SshKeyName = "vm-private-ssh-key"
    GenerateSshKey = $true
}

# Create the virtual machine
New-AzVM @vmParams

Sanal makinenin oluşturulması birkaç dakika sürer. Sanal makine oluşturulana ve Azure çıkışı PowerShell'e döndürene kadar sonraki adıma devam etmeyin.

CLI

subnet-1 alt ağında az vm create komutunu kullanarak bir sanal makine oluşturun. parametresi Azure'ın --no-wait komutu arka planda yürütmesini sağlar, böylece sonraki komuta devam edebilirsiniz.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys \
    --no-wait

Özel alt ağ subnet-private içinde bir sanal makine oluşturun.

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --generate-ssh-keys

IP iletmeyi etkinleştirme

Trafiği NVA üzerinden yönlendirmek için Azure'da ve vm-nva işletim sisteminde IP iletmeyi açın. IP iletme etkinleştirildiğinde, vm-nva tarafından alınan ve farklı bir IP adresini hedefleyen trafik bırakılmaz ve doğru hedefe iletilir.

Azure'da IP iletmeyi etkinleştirme

Bu bölümde, vm-nva sanal makinesinin ağ arabirimi için IP iletmeyi açarsınız.

Portal

1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

2. Sanal makineler'de vm-nva'yı seçin.

3. vm-nva'da Ağ'ı genişletin ve Ağ ayarları'nı seçin.

4. Ağ Arabirimi: öğesinin yanındaki arabirimin adını seçin. Ad vm-nva ile başlar ve arabirime rastgele bir sayı atanır. Bu örnekteki arabirimin adı vm-nva313'tür.

   

5. Ağ arabirimine genel bakış sayfasında Ayarlar bölümünden IP yapılandırmaları'nı seçin.

6. IP yapılandırmalarında, IP iletmeyi etkinleştir'in yanındaki kutuyu seçin.

   

7. Uygula’yı seçin.

PowerShell

Set-AzNetworkInterface ile vm-nva sanal makinesinin ağ arabirimi için IP iletmeyi etkinleştirin. Aşağıdaki örnek, vm-nva313 adlı ağ arabirimi için IP iletmeyi etkinleştirir.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

CLI

az network nic update ile vm-nva sanal makinesinin ağ arabirimi için IP iletmeyi etkinleştirin. Aşağıdaki örnek, vm-nvaVMNic adlı ağ arabirimi için IP iletmeyi etkinleştirir.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

İşletim sisteminde IP iletmeyi etkinleştirme

Bu bölümde, ağ trafiğini iletmek için vm-nva sanal makinesinin işletim sistemi için IP iletmeyi açın. Komut Çalıştır özelliğini kullanarak sanal makinede bir betik çalıştırın.

Portal

1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

2. Sanal makineler'de vm-nva'yı seçin.

3. İşlemler'i genişletin ve çalıştır komutunu seçin.

4. RunShellScript'i seçin.

5. Komut Betiğini Çalıştır penceresine aşağıdaki betiği girin:

   sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
   sudo sysctl -p
   

6. Çalıştır'ı seçin.

7. Betiğin tamamlanmasını bekleyin. Çıktı, IP iletme ayarının etkinleştirildiğini gösterir.

8. sanal makineyi yeniden başlatmak için vm-nva'nınGenel Bakış sayfasına dönün ve Yeniden Başlat'ı seçin.

PowerShell

Invoke-AzVMRunCommand ile vm-nva sanal makinesinin işletim sisteminde IP iletmeyi etkinleştirin. Aşağıdaki örnek, işletim sisteminde IP iletmeyi etkinleştirir.

$runCommandParams = @{
    ResourceGroupName = "test-rg"
    VMName = "vm-nva"
    CommandId = "RunShellScript"
    ScriptString = @"
sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sudo sysctl -p
"@
}
Invoke-AzVMRunCommand @runCommandParams

CLI

az vm run-command invoke ile vm-nva sanal makinesinin işletim sisteminde IP iletmeyi etkinleştirin. Aşağıdaki örnek, işletim sisteminde IP iletmeyi etkinleştirir.

az vm run-command invoke \
    --resource-group test-rg \
    --name vm-nva \
    --command-id RunShellScript \
    --scripts "sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf" "sudo sysctl -p"

Yönlendirme tablosu oluşturma

Bu bölümde, NVA sanal makinesi aracılığıyla trafiğin yolunu tanımlamak için bir yol tablosu oluşturun. Yol tablosu, vm-public sanal makinesinin dağıtıldığı alt ağ-1 alt ağıyla ilişkilendirilir.

Portal

1. Portalın üst kısmındaki arama kutusuna Rota tablosu yazın. Arama sonuçlarında Rota tabloları'nı seçin.

2. +Oluştur'u seçin.

3. Yol Oluştur tablosuna aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   Bölge	Doğu ABD 2’yi seçin.
   İsim	route-table-public girin.
   Ağ geçidi yollarını yay	Varsayılan değeri Evet olarak bırakın.

4. Gözden geçir ve oluştur’u seçin.

5. Oluştur'u belirleyin.

Rota oluştur

Bu bölümde, önceki adımlarda oluşturduğunuz yol tablosunda bir yol oluşturun.

1. Portalın üst kısmındaki arama kutusuna Rota tablosu yazın. Arama sonuçlarında Rota tabloları'nı seçin.

2. route-table-public öğesini seçin.

3. Ayarlar'ı genişletin ve Ardından Yollar'ı seçin.

4. Rotalar bölümünde + Ekle'yi seçin.

5. Yol ekle bölümüne aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Yönlendirme adı	Özel alt ağa girin.
   Hedef türü	IP Adresleri'ne tıklayın.
   Hedef IP adresleri/CIDR aralıkları	10.0.2.0/24 girin.
   Sonraki atlama türü	Sanal gereç’i seçin.
   Sonraki geçiş adresi	10.0.3.4 girin. Bu, önceki adımlarda oluşturduğunuz vm-nva ip adresidir..

6. Ekle'yi seçin.

7. Ayarlar'da Alt Ağlar'ı seçin.

8. + İlişkilendir seçin.

9. Alt ağı ilişkilendir bölümüne aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Sanal ağ	vnet-1 (test-rg) öğesini seçin.
   Alt ağ	alt ağ-1'i seçin.

10. Tamam'ı seçin.

PowerShell

New-AzRouteTable ile bir yol tablosu oluşturun. Aşağıdaki örnek route-table-public adlı bir yol tablosu oluşturur.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Get-AzRouteTable ile yol tablosu nesnesini alarak bir yol oluşturun, Add-AzRouteConfig ile bir yol oluşturun, ardından Rota yapılandırmasını Set-AzRouteTable ile yol tablosuna yazın.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Yönlendirme tablosunu Subnet-1 alt ağıyla Set-AzVirtualNetworkSubnetConfig ile ilişkilendirin. Aşağıdaki örnek route-table-public route tablosunu subnet-1 alt ağıyla ilişkilendirir.

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

CLI

az network route-table create komutunu kullanarak bir yol tablosu oluşturun. Aşağıdaki örnek route-table-public adlı bir yol tablosu oluşturur.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

az network route-table route create komutuyla rota tablosunda bir yol oluşturun.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

route-table-subnet-public route tablosunu, subnet-1 alt ağına az network vnet subnet update ile atayın.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

Ağ trafiğinin yönlendirmesini test edin

Vm-public'dan vm-private'a ağ trafiğinin yönlendirmesini test edin. Vm-private'tan vm-public'a ağ trafiğinin yönlendirmesini test edin.

Vm-public'dan vm-private'a ağ trafiğini test etme

1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

2. Sanal makineler'de vm-public'ı seçin.

3. Bağlan'ı seçin, ardından Bastion aracılığıyla bağlan'ı Genel Bakış bölümünde seçin.

4. Bastion bağlantısı sayfasında aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Kimlik Doğrulaması Türü	Yerel Dosyadan SSH Özel Anahtarı'nı seçin.
   Kullanıcı adı	Oluşturduğunuz kullanıcı adını girin.
   Yerel Dosya	İndirdiğiniz vm-public-key özel anahtar dosyasını seçin.

5. Bağlan'ı seçin.

6. İstemde, vm-public'dan vm-private'a ağ trafiğinin yönlendirmesini izlemek için aşağıdaki komutu girin:

   tracepath vm-private
   

   Yanıt aşağıdaki örneğe benzer:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   Bu yanıtta tracepath ICMP trafiği için iki atlama olduğunu görebilirsiniz. İlk atlama vm-nva'dır. İkinci atlama, hedef vm-private'dır.

   Azure, 1 alt ağından gelen trafiği NVA üzerinden gönderdi ve doğrudan alt ağ-özel'e göndermedi çünkü daha önce route-table-public için özel alt ağa yolunu eklediniz ve bunu alt ağ-1 ile ilişkilendirmiştiniz.

7. Bastion oturumunu kapatın.

Vm-private'dan vm-public'a ağ trafiğini test etme

1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

2. Sanal makineler'de vm-private'ı seçin.

3. Genel Bakış bölümünde Bağlan'ı ve ardından Bastion aracılığıyla bağlan'ı seçin.

4. Bastion bağlantısı sayfasında aşağıdaki bilgileri girin veya seçin:

   Ayarlar	Değer
   Kimlik Doğrulaması Türü	Yerel Dosyadan SSH Özel Anahtarı'nı seçin.
   Kullanıcı adı	Oluşturduğunuz kullanıcı adını girin.
   Yerel Dosya	İndirdiğiniz vm-private-key özel anahtar dosyasını seçin.

5. Bağlan'ı seçin.

6. İstemde, vm-private'tan vm-public'a ağ trafiğinin yönlendirmesini izlemek için aşağıdaki komutu girin:

   tracepath vm-public
   

   Yanıt aşağıdaki örneğe benzer:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   Bu yanıtta hedef vm-public olan tek bir atlama olduğunu görebilirsiniz.

   Azure trafiği doğrudan alt ağ-özel'den subnet-1'e gönderdi. Varsayılan olarak Azure, trafiği doğrudan alt ağlar arasında yönlendirir.

7. Bastion oturumunu kapatın.

Portal

Oluşturduğunuz kaynakları kullanmayı bitirdiğinizde, kaynak grubunu ve tüm kaynaklarını silebilirsiniz.

1. Azure portalında Kaynak grupları'nı arayın ve seçin.

2. Kaynak grupları sayfasında test-rg kaynak grubunu seçin.

3. test-rg sayfasında Kaynak grubunu sil'i seçin.

4. Silme işlemini onaylamak için Kaynak grubu adını girin alanına test-rg yazın ve ardından Sil'i seçin.

PowerShell

Artık gerekli olmadığında Remove-AzResourcegroup komutunu kullanarak kaynak grubunu ve içerdiği tüm kaynakları kaldırın.

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

CLI

Artık gerekli değilse az group delete komutunu kullanarak kaynak grubunu ve içerdiği tüm kaynakları kaldırın.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Sonraki adımlar

Bu öğreticide şunları yapacaksınız:

• Bir yol tablosu oluşturup bir alt ağ ile ilişkilendirdi.

• Trafiği genel bir alt ağdan özel bir alt ağa yönlendiren basit bir NVA oluşturuldu.

Önceden yapılandırılmış farklı NVA'ları birçok yararlı ağ işlevi sağlayan Azure Marketplace'ten dağıtabilirsiniz.

Yönlendirme hakkında daha fazla bilgi için bkz. Yönlendirmeye genel bakış ve Yönlendirme tablosunu yönetme. Yönlendirme, Azure Sanal Ağ Yöneticisi'nin kullanıcı tanımlı yol (UDR) yönetim özelliğiyle de büyük ölçekte otomatik olarak yapılandırılabilir.

Sanal ağ hizmet uç noktalarıyla PaaS kaynaklarına ağ erişimini kısıtlamayı öğrenmek için sonraki öğreticiye geçin.

Hizmet uç noktalarını kullanarak ağ erişimini kısıtlama