教學課程:使用 Azure 入口網站整合 NAT 閘道與公用負載平衡器
在本教學課程中,您將瞭解如何整合 NAT 閘道與公用負載平衡器。
依預設,Azure Standard Load Balancer 是安全的。 輸出連線是藉由啟用輸出 SNAT (來源網路位址轉譯) 來明確定義。 在負載平衡規則或輸出規則中啟用 SNAT。
NAT 閘道整合取代了後端集區輸出 SNAT 的輸出規則需求。
在本教學課程中,您會了解如何:
- 建立 NAT 閘道
- 建立 Azure Load Balancer
- 為 Azure Load Balancer 的後端集區建立兩個虛擬機器
- 驗證負載平衡器後端集區中虛擬機器的輸出連線能力
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
登入 Azure
使用您的 Azure 帳戶登入 Azure 入口網站 。
建立 NAT 閘道
部署 NAT 閘道資源和其他資源之前,需要有資源群組才能包含已部署的資源。 在下列步驟中,您將建立資源群組、NAT 閘道資源和公用 IP 位址。 您可以使用一或多個公用 IP 位址資源、公用 IP 前置詞或兩者。
如需公用 IP 前置詞和 NAT 閘道的相關資訊,請參閱管理 NAT 閘道。
在入口網站頂端的搜尋方塊中,輸入 NAT 閘道。 在搜尋結果中,選取 [NAT 閘道]。
選取 + 建立。
在 [建立網路位址轉譯 (NAT) 閘道] 中,輸入或選取 [基本資訊] 索引標籤中的此項資訊:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 [新建]
輸入 test-rg。
選取 [確定]。[執行個體詳細資料] NAT 閘道名稱 輸入 nat-gateway 區域 選取 [美國東部 2]。 可用性區域 選取 [無區域]。 TCP 閒置逾時 (分鐘) 保留預設值 [4]。 如需可用性區域和 NAT 閘道的相關資訊,請參閱 NAT 閘道和可用性區域。
選取 [輸出 IP] 索引標籤,或選取頁面底部的 [下一步:輸出 IP] 按鈕。
在 [輸出 IP] 索引標籤中,輸入或選取以下資訊:
設定 值 公用 IP 位址 選取 [建立新的公用 IP 位址]。
在 [名稱] 中輸入 public-ip-nat。
選取 [確定]。選取 [檢閱 + 建立] 索引頁面,或是選取頁面底部的 [檢閱 + 建立] 藍色按鈕。
選取 建立。
建立虛擬網路和堡壘主機
下列程序會建立具有資源子網路、Azure Bastion 子網路和 Azure Bastion 主機的虛擬網路。
在入口網站中,搜尋並選取 [虛擬網路]。
在 [虛擬網路] 頁面上,選取 [+ 建立]。
在 [建立虛擬網路] 的 [基本] 索引標籤中,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 名稱 輸入 vnet-1。 區域 選取 [(美國) 美國東部 2]。 選取 [下一步],繼續前往 [安全性] 索引標籤。
在 [安全性] 索引標籤的 [Azure Bastion] 區段中,選取 [啟用 Azure Bastion]。
Azure Bastion 會使用您的瀏覽器,透過安全殼層 (SSH) 或遠端桌面通訊協定 (RDP) 連線至虛擬網路中的 VM (使用其私人 IP 位址)。 VM 不需要公用 IP 位址、用戶端軟體或特殊設定。 如需 Azure Bastion 的詳細資訊,請參閱 Azure Bastion
在 [Azure Bastion] 中,輸入或選取下列資訊:
設定 值 Azure Bastion 主機名稱 輸入 bastion。 Azure Bastion 公用 IP 位址 選取 [建立公用 IP 位址]。
在 [名稱] 中輸入 public-ip-bastion。
選取 [確定]。選取 [下一步],繼續前往 [IP 位址] 索引標籤。
在 [子網路] 的 [位址空間] 方塊中,選取 [預設] 子網路。
在 [編輯子網路] 中,輸入或選取下列資訊:
設定 值 子網路用途 保留預設值 [Default]。 名稱 輸入 subnet-1。 IPv4 IPv4 位址範圍 保留 10.0.0.0/16 的預設值。 起始位址 保留預設值 [10.0.0.0]。 大小 保留預設值 [/24(256 addresses)]。 安全性 NAT 閘道 選取 [nat-gateway]。 選取 [儲存]。
選取畫面底部的 [檢閱 + 建立],然後在驗證通過時,選取 [建立]。
建立負載平衡器
在本節中,您會建立區域備援負載平衡器以平衡虛擬機器的負載。 透過區域備援,即便有一或多個可用性區域可能失敗,但是地區中只要有一個區域維持良好狀況,資料路徑就得以存留。
建立負載平衡器期間,您會設定:
- 前端 IP 位址
- 後端集區
- 輸入負載平衡規則
在入口網站頂端的搜尋方塊中,輸入負載平衡器。 在搜尋結果中,選取 [負載平衡器]。
在 [負載平衡器] 頁面中,選取 [建立]。
在 [建立負載平衡器] 頁面的 [基本] 索引標籤中,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 名稱 輸入 load-balancer 區域 選取 [(美國) 美國東部 2]。 SKU 保留預設值 [標準]。 類型 選取 [公用]。 層 保留預設值 [區域]。 在頁面底端選取 [下一步:前端 IP 設定]。
在 [前端 IP 設定] 中,選取 [+ 新增前端 IP 設定]。
在 [名稱] 中輸入 frontend。
選取 [IPv4] 或 [IPv6] 作為 [IP 版本]。
注意
路由喜好設定或跨區域負載平衡 (全域層) 目前不支援 IPv6。
選取 [IP 位址] 作為 [IP 類型]。
注意
如需 IP 首碼的詳細資訊,請參閱 Azure 公用 IP 位址首碼。
選取 [公用 IP 位址] 中的 [新建]。
在 [新增公用 IP 位址] 中,輸入 public-ip-load-balancer 作為 [名稱]。
選取 [可用性區域] 中的 [區域備援]。
針對 [路由喜好設定] 保留 [Microsoft 網路] 的預設值。
選取 [確定]。
選取 [新增]。
選取頁面底部的 [下一步:後端集區]。
在 [後端集區] 索引標籤中選取 [+ 新增後端集區]。
在 [新增後端集區] 中,輸入 backend-pool 作為 [名稱]。
在 [虛擬網路] 中選取 [vnet-1 (test-rg)]。
針對 [後端集區設定] 選取 [NIC] 或 [IP 位址]。
選取 [儲存]。
選取頁面底部的 [下一步:輸入規則] 按鈕。
在 [負載平衡規則] 的 [輸入規則] 索引標籤中,選取 [+ 新增負載平衡規則]。
在 [新增負載平衡規則] 中輸入或選取以下資訊:
設定 值 名稱 輸入 http-rule IP 版本 根據需求選擇 [IPv4] 或 [IPv6]。 前端 IP 位址 選取 [front-end] 後端集區 選取 [backend-pool]。 通訊協定 選取 [TCP]。 連接埠 輸入 80。 後端連接埠 輸入 80。 健康狀態探查 選取 [新建]
在 [名稱] 中,輸入 health-probe。
在 [通訊協定] 中選取 [TCP]。
保留其餘的預設值,然後選取 [確定]。工作階段持續性 選取 [無]。 閒置逾時 (分鐘) 輸入或選取 [15]。 TCP 重設 選取 [啟用] 。 浮動 IP 選取 [已停用]。 輸出來源網路位址轉譯 (SNAT) 保留預設值 [(建議) 使用輸出規則,對後端集區成員提供網際網路的存取權]。 選取 [儲存]。
選取頁面底部的 [檢閱 + 建立] 藍色按鈕。
選取 建立。
建立虛擬機器
在本節中,您會在兩個不同的區域 (區域 1 和區域 2) 中建立兩個 VM (vm-1 和 vm-2)。
這些 VM 會新增至先前建立之負載平衡器的後端集區。
在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。
選取 [+ 建立],然後選取 [Azure 虛擬機器]。
在 [建立虛擬機器] 中,輸入或選取 [基本資訊] 索引標籤中的值:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 虛擬機器名稱 輸入 vm-1。 區域 選取 [美國東部 2]。 可用性選項 選取 [區域 1]。 安全性類型 選取 [標準]。 映像 選取 [Ubuntu Server 22.04 LTS - x64 Gen2]。 VM 架構 保留預設值 [x64]。 大小 選取大小。 系統管理員帳戶 驗證類型 選取 [密碼]。 使用者名稱 輸入 azureuser。 密碼 輸入密碼。 確認密碼 請重新輸入密碼。 輸入連接埠規則 公用輸入連接埠 選取 [無]。 選取 [網路] 索引標籤,或選取 [下一步: 磁碟],然後選取 [下一步: 網路]。
在 [網路] 索引標籤中,輸入或選取下列資訊:
設定 值 網路介面 虛擬網路 選取 [vnet-1]。 子網路 選取 [subnet-1 (10.0.0.0/24)] 公用 IP 選取 [無]。 NIC 網路安全性群組 選取 [進階] 設定網路安全性群組 選取 [新建]
在 [建立網路安全性群組] 的 [名稱] 中,輸入 nsg-1。
在 [輸入規則] 下,選取 [+新增輸入規則]。
在 [服務] 中選取 [HTTP]。
選取 [新增]
選取 [確定]負載平衡 要將此虛擬機器放在現有負載平衡解決方案後方嗎? 選取核取方塊。 負載平衡設定 負載平衡選項 選取 [Azure Load Balancer] 選取負載平衡器 選取 [load-balancer] 選取後端集區 選取 [backend-pool] 選取 [檢閱 + 建立]。
檢閱設定,然後選取 [建立]。
依照上述步驟,使用下列值建立 VM (其他所有設定則與 vm-1 相同):
設定 VM 2 名稱 vm-2 可用性區域 2 網路安全性群組 選取現有的 nsg-1 負載平衡選項 選取 [Azure Load Balancer] 選取負載平衡器 選取 [load-balancer] 選取後端集區 選取 [backend-pool]
測試 NAT 閘道
在本節中,您會測試 NAT 閘道。 您先探索 NAT 閘道的公用 IP。 接著,您會連線至測試虛擬機器,並透過 NAT 閘道驗證輸出連線。
在入口網站頂端的搜尋方塊中,輸入公用 IP。 在搜尋結果中,選取 [公用 IP 位址]。
選取 [public-ip-nat]。
記下公用 IP 位址:
在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。
選取 [vm-1]。
在 [概觀] 頁面上,選取 [連線],然後選取 [Bastion] 索引標籤。
選取 [使用 Bastion]。
輸入在 VM 建立期間輸入的使用者名稱和密碼。 選取 Connect。
在 bash 命令提示字元中輸入下列命令:
curl ifconfig.me
確認命令傳回的 IP 位址符合 NAT 閘道的公用 IP 位址。
azureuser@vm-1:~$ curl ifconfig.me 20.7.200.36
關閉與 vm-1 的 bastion 連線。
使用完所建立的資源時,您可以刪除資源群組及其所有資源。
在 Azure 入口網站中,搜尋並選取 [資源群組]。
在 [資源群組] 頁面上,選取 [test-rg] 資源群組。
在 [test-rg] 頁面上,選取 [刪除資源群組]。
在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg,然後選取 [刪除]。
下一步
如需 Azure NAT 閘道的詳細資訊,請參閱: