分享方式:


教學課程:使用 Azure 入口網站整合 NAT 閘道與公用負載平衡器

在本教學課程中,您將瞭解如何整合 NAT 閘道與公用負載平衡器。

依預設,Azure Standard Load Balancer 是安全的。 輸出連線是藉由啟用輸出 SNAT (來源網路位址轉譯) 來明確定義。 在負載平衡規則或輸出規則中啟用 SNAT。

NAT 閘道整合取代了後端集區輸出 SNAT 的輸出規則需求。

在教學課程中建立的 Azure 資源的圖表。

在本教學課程中,您會了解如何:

  • 建立 NAT 閘道
  • 建立 Azure Load Balancer
  • 為 Azure Load Balancer 的後端集區建立兩個虛擬機器
  • 驗證負載平衡器後端集區中虛擬機器的輸出連線能力

必要條件

具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶

登入 Azure

使用您的 Azure 帳戶登入 Azure 入口網站

建立 NAT 閘道

部署 NAT 閘道資源和其他資源之前,需要有資源群組才能包含已部署的資源。 在下列步驟中,您將建立資源群組、NAT 閘道資源和公用 IP 位址。 您可以使用一或多個公用 IP 位址資源、公用 IP 前置詞或兩者。

如需公用 IP 前置詞和 NAT 閘道的相關資訊,請參閱管理 NAT 閘道

  1. 在入口網站頂端的搜尋方塊中,輸入 NAT 閘道。 在搜尋結果中,選取 [NAT 閘道]。

  2. 選取 + 建立

  3. 在 [建立網路位址轉譯 (NAT) 閘道] 中,輸入或選取 [基本資訊] 索引標籤中的此項資訊:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [新建]
    輸入 test-rg
    選取 [確定]。
    [執行個體詳細資料]
    NAT 閘道名稱 輸入 nat-gateway
    區域 選取 [美國東部 2]
    可用性區域 選取 [無區域]
    TCP 閒置逾時 (分鐘) 保留預設值 [4]

    如需可用性區域和 NAT 閘道的相關資訊,請參閱 NAT 閘道和可用性區域

  4. 選取 [輸出 IP] 索引標籤,或選取頁面底部的 [下一步:輸出 IP] 按鈕。

  5. 在 [輸出 IP] 索引標籤中,輸入或選取以下資訊:

    設定
    公用 IP 位址 選取 [建立新的公用 IP 位址]
    在 [名稱] 中輸入 public-ip-nat
    選取 [確定]。
  6. 選取 [檢閱 + 建立] 索引頁面,或是選取頁面底部的 [檢閱 + 建立] 藍色按鈕。

  7. 選取 建立

建立虛擬網路和堡壘主機

下列程序會建立具有資源子網路、Azure Bastion 子網路和 Azure Bastion 主機的虛擬網路。

  1. 在入口網站中,搜尋並選取 [虛擬網路]

  2. 在 [虛擬網路] 頁面上,選取 [+ 建立]。

  3. 在 [建立虛擬網路] 的 [基本] 索引標籤中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [test-rg]
    [執行個體詳細資料]
    名稱 輸入 vnet-1
    區域 選取 [(美國) 美國東部 2]

    此螢幕擷取畫面顯示 Azure 入口網站中 [建立虛擬網路] 的 [基本] 索引標籤。

  4. 選取 [下一步],繼續前往 [安全性] 索引標籤。

  5. 在 [安全性] 索引標籤的 [Azure Bastion] 區段中,選取 [啟用 Azure Bastion]

    Azure Bastion 會使用您的瀏覽器,透過安全殼層 (SSH) 或遠端桌面通訊協定 (RDP) 連線至虛擬網路中的 VM (使用其私人 IP 位址)。 VM 不需要公用 IP 位址、用戶端軟體或特殊設定。 如需 Azure Bastion 的詳細資訊,請參閱 Azure Bastion

    注意

    無論輸出資料使用量為何,每小時價格都是從部署 Bastion 的那一刻開始計費。 如需詳細資訊,請參閱價格SKU。 如果您要將 Bastion 部署為教學課程或測試的一部份,建議您在使用完畢後刪除此資源。

  6. 在 [Azure Bastion] 中,輸入或選取下列資訊:

    設定
    Azure Bastion 主機名稱 輸入 bastion
    Azure Bastion 公用 IP 位址 選取 [建立公用 IP 位址]
    在 [名稱] 中輸入 public-ip-bastion
    選取 [確定]。

    此螢幕擷取畫面顯示如何在 Azure 入口網站的 [建立虛擬網路] 中啟用堡壘主機。

  7. 選取 [下一步],繼續前往 [IP 位址] 索引標籤。

  8. 在 [子網路] 的 [位址空間] 方塊中,選取 [預設] 子網路。

  9. 在 [編輯子網路] 中,輸入或選取下列資訊:

    設定
    子網路用途 保留預設值 [Default]
    名稱 輸入 subnet-1
    IPv4
    IPv4 位址範圍 保留 10.0.0.0/16 的預設值。
    起始位址 保留預設值 [10.0.0.0]
    大小 保留預設值 [/24(256 addresses)]
    安全性
    NAT 閘道 選取 [nat-gateway]

    預設子網路重新命名和設定的螢幕擷取畫面。

  10. 選取 [儲存]。

  11. 選取畫面底部的 [檢閱 + 建立],然後在驗證通過時,選取 [建立]

建立負載平衡器

在本節中,您會建立區域備援負載平衡器以平衡虛擬機器的負載。 透過區域備援,即便有一或多個可用性區域可能失敗,但是地區中只要有一個區域維持良好狀況,資料路徑就得以存留。

建立負載平衡器期間,您會設定:

  • 前端 IP 位址
  • 後端集區
  • 輸入負載平衡規則
  1. 在入口網站頂端的搜尋方塊中,輸入負載平衡器。 在搜尋結果中,選取 [負載平衡器]。

  2. 在 [負載平衡器] 頁面中,選取 [建立]。

  3. 在 [建立負載平衡器] 頁面的 [基本] 索引標籤中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [test-rg]
    [執行個體詳細資料]
    名稱 輸入 load-balancer
    區域 選取 [(美國) 美國東部 2]
    SKU 保留預設值 [標準]
    類型 選取 [公用]
    保留預設值 [區域]。
  4. 在頁面底端選取 [下一步:前端 IP 設定]。

  5. 在 [前端 IP 設定] 中,選取 [+ 新增前端 IP 設定]

  6. 在 [名稱] 中輸入 frontend

  7. 選取 [IPv4] 或 [IPv6] 作為 [IP 版本]。

    注意

    路由喜好設定或跨區域負載平衡 (全域層) 目前不支援 IPv6。

  8. 選取 [IP 位址] 作為 [IP 類型]。

    注意

    如需 IP 首碼的詳細資訊,請參閱 Azure 公用 IP 位址首碼

  9. 選取 [公用 IP 位址] 中的 [新建]。

  10. 在 [新增公用 IP 位址] 中,輸入 public-ip-load-balancer 作為 [名稱]

  11. 選取 [可用性區域] 中的 [區域備援]。

    注意

    在具有可用性區域的區域中,您可以選取 [無區域] (預設選項)、特定區域或區域備援。 選擇將取決於您的特定網域失敗需求。 在沒有可用性區域的區域中,不會出現此欄位。
    如需關於可用性區域的詳細資訊,請參閱可用性區域概觀

  12. 針對 [路由喜好設定] 保留 [Microsoft 網路] 的預設值。

  13. 選取 [確定]。

  14. 選取 [新增]。

  15. 選取頁面底部的 [下一步:後端集區]。

  16. 在 [後端集區] 索引標籤中選取 [+ 新增後端集區]。

  17. 在 [新增後端集區] 中,輸入 backend-pool 作為 [名稱]

  18. 在 [虛擬網路] 中選取 [vnet-1 (test-rg)]

  19. 針對 [後端集區設定] 選取 [NIC] 或 [IP 位址]。

  20. 選取 [儲存]。

  21. 選取頁面底部的 [下一步:輸入規則] 按鈕。

  22. 在 [負載平衡規則] 的 [輸入規則] 索引標籤中,選取 [+ 新增負載平衡規則]。

  23. 在 [新增負載平衡規則] 中輸入或選取以下資訊:

    設定
    名稱 輸入 http-rule
    IP 版本 根據需求選擇 [IPv4] 或 [IPv6]。
    前端 IP 位址 選取 [front-end]
    後端集區 選取 [backend-pool]
    通訊協定 選取 [TCP]。
    連接埠 輸入 80
    後端連接埠 輸入 80
    健康狀態探查 選取 [新建]
    在 [名稱] 中,輸入 health-probe
    在 [通訊協定] 中選取 [TCP]
    保留其餘的預設值,然後選取 [確定]。
    工作階段持續性 選取 [無]。
    閒置逾時 (分鐘) 輸入或選取 [15]。
    TCP 重設 選取 [啟用] 。
    浮動 IP 選取 [已停用]
    輸出來源網路位址轉譯 (SNAT) 保留預設值 [(建議) 使用輸出規則,對後端集區成員提供網際網路的存取權]。
  24. 選取 [儲存]。

  25. 選取頁面底部的 [檢閱 + 建立] 藍色按鈕。

  26. 選取 建立

建立虛擬機器

在本節中,您會在兩個不同的區域 (區域 1區域 2) 中建立兩個 VM (vm-1vm-2)。

這些 VM 會新增至先前建立之負載平衡器的後端集區。

  1. 在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。

  2. 選取 [+ 建立],然後選取 [Azure 虛擬機器]

  3. 在 [建立虛擬機器] 中,輸入或選取 [基本資訊] 索引標籤中的值:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [test-rg]
    [執行個體詳細資料]
    虛擬機器名稱 輸入 vm-1
    區域 選取 [美國東部 2]
    可用性選項 選取 [區域 1]
    安全性類型 選取 [標準]。
    映像 選取 [Ubuntu Server 22.04 LTS - x64 Gen2]
    VM 架構 保留預設值 [x64]
    大小 選取大小。
    系統管理員帳戶
    驗證類型 選取 [密碼]
    使用者名稱 輸入 azureuser
    密碼 輸入密碼。
    確認密碼 請重新輸入密碼。
    輸入連接埠規則
    公用輸入連接埠 選取 [無]。
  4. 選取 [網路] 索引標籤,或選取 [下一步: 磁碟],然後選取 [下一步: 網路]

  5. 在 [網路] 索引標籤中,輸入或選取下列資訊:

    設定
    網路介面
    虛擬網路 選取 [vnet-1]
    子網路 選取 [subnet-1 (10.0.0.0/24)]
    公用 IP 選取 [無]。
    NIC 網路安全性群組 選取 [進階]
    設定網路安全性群組 選取 [新建]
    在 [建立網路安全性群組] 的 [名稱] 中,輸入 nsg-1
    在 [輸入規則] 下,選取 [+新增輸入規則]。
    在 [服務] 中選取 [HTTP]
    選取 [新增]
    選取 [確定]
    負載平衡
    要將此虛擬機器放在現有負載平衡解決方案後方嗎? 選取核取方塊。
    負載平衡設定
    負載平衡選項 選取 [Azure Load Balancer]
    選取負載平衡器 選取 [load-balancer]
    選取後端集區 選取 [backend-pool]
  6. 選取 [檢閱 + 建立]。

  7. 檢閱設定,然後選取 [建立]

  8. 依照上述步驟,使用下列值建立 VM (其他所有設定則與 vm-1 相同):

    設定 VM 2
    名稱 vm-2
    可用性區域 2
    網路安全性群組 選取現有的 nsg-1
    負載平衡選項 選取 [Azure Load Balancer]
    選取負載平衡器 選取 [load-balancer]
    選取後端集區 選取 [backend-pool]

測試 NAT 閘道

在本節中,您會測試 NAT 閘道。 您先探索 NAT 閘道的公用 IP。 接著,您會連線至測試虛擬機器,並透過 NAT 閘道驗證輸出連線。

  1. 在入口網站頂端的搜尋方塊中,輸入公用 IP。 在搜尋結果中,選取 [公用 IP 位址]

  2. 選取 [public-ip-nat]

  3. 記下公用 IP 位址:

    NAT 閘道公用 IP 位址的螢幕擷取畫面。

  4. 在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。

  5. 選取 [vm-1]

  6. 在 [概觀] 頁面上,選取 [連線],然後選取 [Bastion] 索引標籤。

  7. 選取 [使用 Bastion]

  8. 輸入在 VM 建立期間輸入的使用者名稱和密碼。 選取 Connect

  9. 在 bash 命令提示字元中輸入下列命令:

    curl ifconfig.me
    
  10. 確認命令傳回的 IP 位址符合 NAT 閘道的公用 IP 位址。

    azureuser@vm-1:~$ curl ifconfig.me
    20.7.200.36
    
  11. 關閉與 vm-1 的 bastion 連線。

使用完所建立的資源時,您可以刪除資源群組及其所有資源。

  1. 在 Azure 入口網站中,搜尋並選取 [資源群組]。

  2. 在 [資源群組] 頁面上,選取 [test-rg] 資源群組。

  3. 在 [test-rg] 頁面上,選取 [刪除資源群組]

  4. 在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg,然後選取 [刪除]

下一步

如需 Azure NAT 閘道的詳細資訊,請參閱: