Öğretici: Azure portalını kullanarak bir yönlendirme tablosu ile ağ trafiğini yönlendirme

Azure, varsayılan olarak bir sanal ağ içindeki tüm alt ağlar arasındaki trafiği yönlendirir. Azure’ın varsayılan yönlendirmesini geçersiz kılmak için kendi yönlendirmelerinizi oluşturabilirsiniz. Örneğin, bir ağ sanal gereci (NVA) aracılığıyla alt ağlar arasındaki trafiği yönlendirmek istediğinizde özel yollar yararlı olur.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Sanal ağı ve alt ağları oluşturma
  • Trafiği yönlendiren bir NVA oluşturma
  • Sanal makineleri (VM) farklı alt ağlara dağıtma
  • Yönlendirme tablosu oluşturma
  • Yönlendirme oluşturma
  • Yönlendirme tablosunu bir alt ağ ile ilişkilendirme
  • NVA aracılığıyla trafiği bir alt ağdan başka birine yönlendirme

Bu öğreticide Azure portal kullanılır. Azure CLI veya PowerShell kullanarak da tamamlayabilirsiniz.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Genel Bakış

Bu diyagramda, beklenen ağ yolları ile birlikte bu öğreticide oluşturulan kaynaklar gösterilir.

Bu öğreticide kullanılan Genel, Özel ve N V A Sanal Makineler etkileşimlerine genel bir bakış gösteren diyagram.

Önkoşullar

  • Bir Azure aboneliği

Azure'da oturum açma

Azure Portal’ında oturum açın.

Sanal ağ oluşturma

Bu bölümde bir sanal ağ, üç alt ağ ve bir savunma konağı oluşturacaksınız. Savunma ana bilgisayarını kullanarak sanal makinelere güvenli bir şekilde bağlanacaksınız.

  1. Azure portal menüsünden + Kaynak> oluştur>Sanal ağı'nı seçin veya portal arama kutusunda Sanal Ağ arayın.

  2. Oluştur’u seçin.

  3. Sanal ağ oluştur'unTemel Bilgiler sekmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur'u seçin, myResourceGroup girin.
    Tamam'ı seçin.
    Name myVirtualNetwork girin.
    Bölge Doğu ABD’yi seçin.
  4. IP Adresleri sekmesini seçin veya sayfanın en altındaki İleri: IP Adresleri düğmesini seçin.

  5. IPv4 adres alanında var olan adres alanını seçin ve 10.0.0.0/16 olarak değiştirin.

  6. + Alt ağ ekle'yi seçin, ardından Alt ağ adı için Genel ve Alt ağ adres aralığı için 10.0.0.0/24 girin.

  7. Add (Ekle) seçeneğini belirleyin.

  8. + Alt ağ ekle'yi seçin, ardından Alt ağ adı için Özel ve Alt ağ adres aralığı için 10.0.1.0/24 girin.

  9. Add (Ekle) seçeneğini belirleyin.

  10. + Alt ağ ekle'yi seçin, ardından Alt ağ adı için DMZ ve Alt ağ adres aralığı için 10.0.2.0/24 girin.

  11. Add (Ekle) seçeneğini belirleyin.

  12. Güvenlik sekmesini seçin veya sayfanın en altındaki sonraki: Güvenlik düğmesini seçin.

  13. BastionHost altında Etkinleştir'i seçin. Şu bilgileri girin:

    Ayar Değer
    Savunma adı myBastionHost girin.
    AzureBastionSubnet adres alanı 10.0.3.0/24 girin.
    Genel IP Adresi Yeni oluştur’u seçin.
    Ad için myBastionIPgirin.
    Tamam'ı seçin.
  14. Gözden Geçir + oluştur sekmesini seçin veya Gözden Geçir + oluştur düğmesini seçin.

  15. Oluştur’u seçin.

NVA sanal makinesi oluşturma

Ağ sanal gereçleri (NVA) yönlendirme ve güvenlik duvarı iyileştirmesi gibi ağ işlevlerine yardımcı olan sanal makinelerdir. Bu bölümde, Windows Server 2019 Datacenter sanal makinesi kullanarak bir NVA oluşturacaksınız. İsterseniz farklı bir işletim sistemi seçebilirsiniz.

  1. Azure portal menüsünde + Kaynak> oluşturİşlem>Sanal makinesi'ni seçin veya portal arama kutusunda Sanal makine'yi arayın.

  2. Oluştur’u seçin.

  3. Sanal makine oluştur'unTemel sekmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Proje Ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak Grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Sanal makine adı myVMNVA girin.
    Bölge (ABD) Doğu ABD'yi seçin.
    Kullanılabilirlik Seçenekleri Altyapı yedekliliği gerekli değil'i seçin.
    Güvenlik türü Standart'ı seçin.
    Görüntü Windows Server 2019 Datacenter - 2. Nesil'i seçin.
    Azure Spot örneği Hayır'ı seçin.
    Boyut VM boyutu'nu seçin veya varsayılan ayarı kullanın.
    Yönetici hesabı
    Kullanıcı adı Bir kullanıcı adı girin.
    Parola Parola girin. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanan karmaşıklık gereksinimlerini karşılamalıdır.
    Parolayı onayla Parolayı yeniden girin.
    Gelen bağlantı noktası kuralları
    Genel gelen bağlantı noktaları Hiçbiri seçeneğini belirtin.
  4. sekmesini veya İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

  5. Ağ sekmesinde şunları seçin veya girin:

    Ayar Değer
    Ağ arabirimi
    Sanal ağ myVirtualNetwork öğesini seçin.
    Alt ağ DMZ'yi seçin
    Genel IP Yok'a tıklayın
    NIC ağ güvenlik grubu Temel'i seçin
    Genel gelen bağlantı noktaları ağı Hiçbiri seçeneğini belirtin.
  6. Gözden geçir ve oluştur sekmesini seçin veya sayfanın en altındaki Gözden Geçir + oluştur düğmesini seçin.

  7. Ayarları gözden geçirin ve oluştur'u seçin.

Genel ve özel sanal makineleri oluşturma

myVirtualNetwork sanal ağında iki sanal makine oluşturacak, ardından trafiği izlemek için tracert aracını kullanabilmek için bu makinelerde İnternet Denetim İletisi Protokolü'ne (ICMP) izin vereceksiniz.

Not

Üretim ortamlarında ICMP'ye Windows Güvenlik Duvarı üzerinden izin vermenizi önermeyiz.

Genel sanal makine oluşturma

  1. Azure portal menüsünden Kaynak> oluşturİşlem>Sanal makinesi'ni seçin.

  2. Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Proje Ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak Grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Sanal makine adı myVMPublic girin.
    Bölge (ABD) Doğu ABD'yi seçin.
    Kullanılabilirlik Seçenekleri Altyapı yedekliliği gerekli değil'i seçin.
    Güvenlik türü Standart'ı seçin.
    Görüntü Windows Server 2019 Datacenter - 2. Nesil'i seçin.
    Azure Spot örneği Hayır'ı seçin.
    Boyut VM boyutu'nu seçin veya varsayılan ayarı kullanın.
    Yönetici hesabı
    Kullanıcı adı Bir kullanıcı adı girin.
    Parola Parola girin. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanan karmaşıklık gereksinimlerini karşılamalıdır.
    Parolayı onayla Parolayı yeniden girin.
    Gelen bağlantı noktası kuralları
    Genel gelen bağlantı noktaları Hiçbiri seçeneğini belirtin.
  3. sekmesini veya İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

  4. Ağ sekmesinde şunları seçin veya girin:

    Ayar Değer
    Ağ arabirimi
    Sanal ağ myVirtualNetwork öğesini seçin.
    Alt ağ Genel’i seçin.
    Genel IP Hiçbiri seçeneğini belirtin.
    NIC ağ güvenlik grubu Temel'i seçin.
    Genel gelen bağlantı noktaları ağı Hiçbiri seçeneğini belirtin.
  5. Gözden Geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  6. Ayarları gözden geçirin ve oluştur'u seçin.

Özel sanal makine oluşturma

  1. Azure portal menüsünden Kaynak> oluşturİşlem>Sanal makinesi'ni seçin.

  2. Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Proje Ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak Grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Sanal makine adı myVMPrivate girin.
    Bölge (ABD) Doğu ABD'yi seçin.
    Kullanılabilirlik Seçenekleri Altyapı yedekliliği gerekli değil'i seçin.
    Güvenlik türü Standart'ı seçin.
    Görüntü Windows Server 2019 Datacenter - 2. Nesil'i seçin.
    Azure Spot örneği Hayır'ı seçin.
    Boyut VM boyutu'nu seçin veya varsayılan ayarı kullanın.
    Yönetici hesabı
    Kullanıcı adı Bir kullanıcı adı girin.
    Parola Bir parola girin. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanan karmaşıklık gereksinimlerini karşılamalıdır.
    Parolayı onayla Parolayı yeniden girin.
    Gelen bağlantı noktası kuralları
    Genel gelen bağlantı noktaları Hiçbiri seçeneğini belirtin.
  3. sekmesini veya İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

  4. Ağ sekmesinde şunları seçin veya girin:

    Ayar Değer
    Ağ arabirimi
    Sanal ağ myVirtualNetwork öğesini seçin.
    Alt ağ Özel’i seçin.
    Genel IP Hiçbiri seçeneğini belirtin.
    NIC ağ güvenlik grubu Temel'i seçin.
    Genel gelen bağlantı noktaları ağı Hiçbiri seçeneğini belirtin.
  5. Gözden geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

  6. Ayarları gözden geçirin ve oluştur'u seçin.

Windows güvenlik duvarında ICMP'ye izin ver

  1. Portal arama kutusunda Kaynağa git veya myVMPrivate ara'yı seçin.

  2. myVMPrivate'ınGenel Bakış sayfasında Bağlan'ı ve ardından Bastion'ı seçin.

  3. Daha önce myVMPrivate sanal makinesi için oluşturduğunuz kullanıcı adını ve parolayı girin.

  4. Bağlan düğmesini seçin.

  5. Bağlandıktan sonra Windows PowerShell açın.

  6. Şu komutu girin:

    New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4
    
  7. PowerShell'den myVMPublic sanal makinesine bir uzak masaüstü bağlantısı açın:

    mstsc /v:myvmpublic
    
  8. myVMPublic VM'ye bağlandıktan sonra Windows PowerShell açın ve 6. adımdaki komutu girin.

  9. myVMPublic VM'ye uzak masaüstü bağlantısını kapatın.

IP iletmeyi açma

Trafiği NVA üzerinden yönlendirmek için Azure'da ve myVMNVA sanal makinesinin işletim sisteminde IP iletmeyi açın. IP iletme etkinleştirildikten sonra myVMNVA VM tarafından alınan ve farklı bir IP adresini hedefleyen trafik bırakılmaz ve doğru hedefe iletilir.

Azure'da IP iletmeyi açma

Bu bölümde, Azure'da myVMNVA sanal makinesinin ağ arabirimi için IP iletmeyi açacaksınız.

  1. Portal arama kutusunda myVMNVA araması yapın.

  2. myVMNVA genel bakış sayfasında Ayarlarbölümünden Ağ'ı seçin.

  3. myVMNVA'nın sayfasında Ağ Arabirimi: öğesinin yanındaki ağ arabirimini seçin. Arabirimin adı myvmnva ile başlar.

    Azure portal'da ağ sanal gereci sanal makinesinin Ağ sayfasını gösteren ekran görüntüsü.

  4. Ağ arabirimine genel bakış sayfasında Ayarlarbölümünden IP yapılandırmaları'nı seçin.

  5. IP yapılandırmaları sayfasında, IP iletmeyiEtkin olarak ayarlayın ve kaydet'i seçin.

    Azure portal'da Etkin I P iletmeyi gösteren ekran görüntüsü.

İşletim sisteminde IP iletmeyi açma

Bu bölümde, ağ trafiğini iletmek için myVMNVA sanal makinesinin işletim sistemi için IP iletmeyi açacaksınız. MyVMNVA VM'sine uzak masaüstü bağlantısı açmak için önceki adımlarda başlattığınız myVMPrivate VM ile aynı savunma bağlantısını kullanacaksınız.

  1. myVMPrivate VM'sinde PowerShell'den myVMNVA VM'sine bir uzak masaüstü bağlantısı açın:

    mstsc /v:myvmnva
    
  2. myVMNVA VM'sine bağlandıktan sonra Windows PowerShell açın ve IP iletmeyi açmak için şu komutu girin:

    Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IpEnableRouter -Value 1
    
  3. myVMNVA VM'lerini yeniden başlatın.

    Restart-Computer
    

Yönlendirme tablosu oluşturma

Bu bölümde bir yol tablosu oluşturacaksınız.

  1. Azure portal menüsünde + Kaynak> oluştur>Yolu tablosu'nu seçin veya portal arama kutusunda Yol tablosu için arama yapın.

  2. Oluştur’u seçin.

  3. Yol tablosu oluştur'unTemel bilgiler sekmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Bölge Doğu ABD’yi seçin.
    Name myRouteTablePublic girin.
    Ağ geçidi yollarını yayma Evet’i seçin.

    Azure portal'da Rota tablosu oluştur'un Temel bilgiler sekmesini gösteren ekran görüntüsü.

  4. Gözden geçir + oluştur sekmesini seçin veya sayfanın en altındaki mavi Gözden Geçir + oluştur düğmesini seçin.

Yönlendirme oluşturma

Bu bölümde, önceki adımlarda oluşturduğunuz yol tablosunda bir yol oluşturacaksınız.

  1. Portal arama kutusunda Kaynağa git veya myRouteTablePublic ara'yı seçin.

  2. myRouteTablePublic sayfasında Ayarlarbölümünden Yollar'ı seçin.

  3. Yollar sayfasında + Ekle düğmesini seçin.

  4. Yol ekle bölümünde şu bilgileri girin veya seçin:

    Ayar Değer
    Yönlendirme adı ToPrivateSubnet girin.
    Adres ön eki hedefi IP Adresleri'ne tıklayın.
    Hedef IP adresleri/CIDR aralıkları 10.0.1.0/24 girin (Daha önce oluşturulan Özel alt ağın adres aralığı).
    Sonraki atlama türü Sanal gereç’i seçin.
    Sonraki atlama adresi 10.0.2.4 girin (DMZ alt akında daha önce oluşturulan myVMNVA VM'nin adresi).

    Azure portal yol yapılandırması ekle'yi gösteren ekran görüntüsü.

  5. Add (Ekle) seçeneğini belirleyin.

Yönlendirme tablosunu bir alt ağ ile ilişkilendirme

Bu bölümde, önceki adımlarda oluşturduğunuz yol tablosunu bir alt ağ ile ilişkilendireceksiniz.

  1. Portal arama kutusunda myVirtualNetwork araması yapın.

  2. myVirtualNetwork sayfasında Ayarlar bölümünden Alt ağlar'ı seçin.

  3. Sanal ağın alt ağ listesinde Genel'i seçin.

  4. Rota tablosunda, önceki adımlarda oluşturduğunuz myRouteTablePublic öğesini seçin.

  5. Yol tablonuzu Genel alt ağ ile ilişkilendirmek için Kaydet'i seçin.

    yönlendirme tablosunu Azure portal sanal ağdaki Genel alt ağıyla ilişkilendir'i gösteren ekran görüntüsü.

Ağ trafiğinin yönlendirmesini test etme

myVMPublic VM'den myVMPrivate VM'ye tracert aracını kullanarak ağ trafiğinin yönlendirmesini test eder ve ardından yönlendirmeyi ters yönde test edersiniz.

myVMPublic VM'den myVMPrivate VM'ye ağ trafiğini test etme

  1. myVMPrivate VM'sinde PowerShell'den myVMPublic VM'sine bir uzak masaüstü bağlantısı açın:

    mstsc /v:myvmpublic
    
  2. myVMPublic VM'ye bağlandıktan sonra Windows PowerShell açın ve myVMPublic VM'den myVMPrivate VM'ye ağ trafiğinin yönlendirmesini izlemek için bu tracert komutunu girin:

    tracert myvmprivate
    

    Yanıt şu örneğe benzer:

    Tracing route to myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.1.4]
    over a maximum of 30 hops:
    
      1     1 ms     *        2 ms  myvmnva.internal.cloudapp.net [10.0.2.4]
      2     2 ms     1 ms     1 ms  myvmprivate.internal.cloudapp.net [10.0.1.4]
    
    Trace complete.
    

    Yukarıdaki yanıtta myVMPublic VM'den myVMPrivate VM'ye tracert ICMP trafiği için iki atlama olduğunu görebilirsiniz. İlk atlama myVMNVA VM, ikinci atlama ise hedef myVMPrivate VM'dir.

    Daha önce ToPrivateSubnet yolunu myRouteTablePublic yol tablosuna ekleyip Bunu Genel alt ağ ile ilişkilendirdiğiniz için Azure, Genel alt ağından trafiği doğrudan Özel alt ağ üzerinden değil, NVA üzerinden göndermişti.

  3. myVMPublic VM'ye uzak masaüstü bağlantısını kapatın.

myVMPrivate VM'den myVMPublic VM'ye ağ trafiğini test etme

  1. myVMPrivate VM'sinde PowerShell'den bu tracert komutunu girerek myVmPrivate VM'den myVmPublic VM'ye ağ trafiğinin yönlendirmesini izleyin.

    tracert myvmpublic
    

    Yanıt şu örneğe benzer:

    Tracing route to myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.0.4]
    over a maximum of 30 hops:
    
      1     1 ms     1 ms     1 ms  myvmpublic.internal.cloudapp.net [10.0.0.4]
    
    Trace complete.
    

    Yukarıdaki yanıtta myVMPublic sanal makinesinin hedefi olan bir atlama olduğunu görebilirsiniz.

    Azure trafiği doğrudan Özel alt ağdan Genel alt ağa gönderdi. Varsayılan olarak Azure, trafiği doğrudan alt ağlar arasında yönlendirir.

  2. Savunma oturumunu kapatın.

Kaynakları temizleme

Kaynak grubuna artık gerek kalmadığında myResourceGroup'u ve içerdiği tüm kaynakları silin:

  1. Azure portal üst kısmındaki Arama kutusuna myResourceGroup yazın. Arama sonuçlarında myResourceGroup seçeneğini gördüğünüzde bunu seçin.

  2. Kaynak grubunu sil'i seçin.

  3. KAYNAK GRUBU ADINI YAZIN: için myResourceGroup girin ve Sil’i seçin.

Sonraki adımlar

Bu öğreticide şunları yaptınız:

  • Bir yol tablosu oluşturup bir alt ağ ile ilişkilendirin.
  • Genel bir alt ağdan özel bir alt ağa trafiği yönlendiren basit bir NVA oluşturuldu.

Azure Market birçok yararlı ağ işlevi sağlayan farklı önceden yapılandırılmış NVA'ları dağıtabilirsiniz.

Yönlendirme hakkında daha fazla bilgi için bkz. Yönlendirmeye genel bakış ve Yönlendirme tablosunu yönetme.

Sanal ağ hizmet uç noktalarıyla PaaS kaynaklarına ağ erişimini kısıtlamayı öğrenmek için sonraki öğreticiye geçin.