僅輸出負載平衡器組態

  • 發行項

搭配使用內部和外部標準負載平衡器,為內部負載平衡器後方的 VM 建立輸出連線。

此組態會為內部負載平衡器案例提供輸出 NAT,並為您的後端集區產生「僅限輸出」設定。

注意

Azure NAT 閘道 是生產部署中輸出連線的建議組態。 如需 NAT 閘道的詳細資訊,請參閱什麼是 Azure NAT 閘道?

若要使用 Azure NAT 閘道部署僅限輸出負載平衡器組態,請參閱教學課程:整合 NAT 閘道與內部負載平衡器 - Azure 入口網站

如需 Azure 中的輸出連線和預設輸出存取的詳細資訊,請參閱輸出連線的來源網路位址轉譯 (SNAT)預設輸出存取

圖描述僅限輸出負載平衡器組態

圖:僅限輸出負載平衡器組態

必要條件

建立虛擬網路和堡壘主機

在本節中,您會建立具有資源子網、Azure Bastion 子網和 Azure Bastion 主機的虛擬網路。

重要

無論輸出資料使用量為何,每小時價格都是從部署 Bastion 的那一刻開始計費。 如需詳細資訊,請參閱價格SKU。 如果要將 Bastion 部署為教學課程或測試的一部分,建議您在完成使用之後刪除此資源。

  1. 在入口網站中,搜尋並選取 [虛擬網路]

  2. 在 [虛擬網路] 頁面上,選取 [+ 建立]。

  3. 在 [建立虛擬網路] 的 [基本] 索引標籤中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [新建]
    在 [名稱] 中輸入 load-balancer-rg
    選取 [確定]。
    [執行個體詳細資料]
    名稱 輸入 lb-vnet
    區域 選取 [美國東部]

    Azure 入口網站 中 [建立虛擬網络] 的 [基本] 索引卷標螢幕快照。

  4. 選取 [安全性] 索引標籤,或頁面底部的 [下一步] 按鈕。

  5. 在 [Azure Bastion] 底下,輸入或選取下列資訊:

    設定
    Azure Bastion
    啟用 Azure Bastion 選取核取方塊。
    Azure Bastion 主機名稱 輸入 lb-bastion
    Azure Bastion 公用 IP 位址 選取 [新建]
    在 [名稱] 中輸入 lb-bastion-ip
    選取 [確定]。

  6. 選取 [IP 位址] 索引標籤,或頁面底部的 [下一步]

  7. 在 [建立虛擬網路] 頁面上,輸入或選取下列資訊:

    設定
    新增 IPv4 位址空間
    IPv4 位址空間 輸入 10.0.0.0/16 (65,356 個位址)
    子網路 選取 [預設] 子網路連結以進行編輯。
    子網路範本 保留預設值 [Default]
    名稱 輸入 backend-subnet
    起始位址 輸入 10.0.0.0
    子網路大小 輸入 /24 (256 個位址)
    安全性
    NAT 閘道 選取 [lb-nat-gateway]

    預設子網重新命名和設定的螢幕快照。

  8. 選取 [儲存]。

  9. 選取畫面底部的 [檢閱 + 建立],然後在驗證通過時,選取 [建立]

建立內部負載平衡器

在本節中,您將建立內部負載平衡器。

  1. 在入口網站頂端的搜尋方塊中,輸入負載平衡器。 在搜尋結果中,選取 [負載平衡器]。

  2. 在 [負載平衡器] 頁面中,選取 [建立]。

  3. 在 [建立負載平衡器] 頁面的 [基本] 索引標籤中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [lb-resource-group]
    [執行個體詳細資料]
    名稱 輸入 lb-internal
    區域 選取 [(美國) 美國東部]
    SKU 保留預設值 [標準]
    類型 選取 [內部]。

  4. 在頁面底端選取 [下一步:前端 IP 設定]

  5. 在 [前端 IP 設定] 中,選取 [+ 新增前端 IP]。

  6. 在 [名稱] 中輸入 lb-int-frontend

  7. 在 [子網路] 中選取 backend-subnet

  8. 針對 [指派] 選取 [動態]

  9. 選取 [可用性區域] 中的 [區域備援]。

    注意

    在具有可用性區域的區域中,您可以選取 [無區域] (預設選項)、特定區域或區域備援。 選擇將取決於您的特定網域失敗需求。 在沒有可用性區域的區域中,不會出現此欄位。
    如需關於可用性區域的詳細資訊,請參閱可用性區域概觀

  10. 選取 [新增]。

  11. 選取頁面底部的 [下一步:後端集區]。

  12. 在 [後端集區] 索引標籤中選取 [+ 新增後端集區]。

  13. 在 [新增後端集區] 中,輸入 lb-int-backend-pool 作為 [名稱]

  14. 針對 [後端集區設定] 選取 [NIC] 或 [IP 位址]。

  15. 選取 [儲存]。

  16. 選取頁面底部的 [檢閱 + 建立] 藍色按鈕。

  17. 選取 建立

建立公用負載平衡器

在本節中,您將建立公用負載平衡器。

  1. 在入口網站頂端的搜尋方塊中,輸入負載平衡器。 在搜尋結果中,選取 [負載平衡器]。

  2. 在 [負載平衡器] 頁面中,選取 [建立]。

  3. 在 [建立負載平衡器] 頁面的 [基本] 索引標籤中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [lb-resource-group]
    [執行個體詳細資料]
    名稱 輸入 lb-public
    區域 選取 [(美國) 美國東部]
    SKU 保留預設值 [標準]
    類型 選取 [公用]
    保留預設值 [區域]。

  4. 在頁面底端選取 [下一步:前端 IP 設定]。

  5. 在 [前端 IP 設定] 中,選取 [+ 新增前端 IP]。

  6. 在 [名稱] 中輸入 lb-ext-frontend

  7. 選取 [IPv4] 或 [IPv6] 作為 [IP 版本]。

    注意

    路由喜好設定或跨區域負載平衡 (全域層) 目前不支援 IPv6。

  8. 選取 [IP 位址] 作為 [IP 類型]。

    注意

    如需 IP 首碼的詳細資訊,請參閱 Azure 公用 IP 位址首碼

  9. 選取 [公用 IP 位址] 中的 [新建]。

  10. 在 [新增公用IP位址] 中,輸入 lb-public-ip 作為 [名稱]

  11. 選取 [可用性區域] 中的 [區域備援]。

    注意

    在具有可用性區域的區域中,您可以選取 [無區域] (預設選項)、特定區域或區域備援。 選擇將取決於您的特定網域失敗需求。 在沒有可用性區域的區域中,不會出現此欄位。
    如需關於可用性區域的詳細資訊,請參閱可用性區域概觀

  12. 針對 [路由喜好設定] 保留 [Microsoft 網路] 的預設值。

  13. 選取 [確定]。

  14. 選取 [新增]。

  15. 選取頁面底部的 [下一步:後端集區]。

  16. 在 [後端集區] 索引標籤中選取 [+ 新增後端集區]。

  17. 在 [新增後端集區] 中,輸入 lb-pub-backend-pool 作為 [名稱]

  18. 選取 [虛擬網路] 中的 [lb-VNet]

  19. 針對 [後端集區設定] 選取 [NIC] 或 [IP 位址]。

  20. 選取 [儲存]。

  21. 選取頁面底部的 [檢閱 + 建立] 藍色按鈕。

  22. 選取 建立

建立虛擬機器

您將在本節中建立虛擬機器。 在建立期間,您會將其新增至內部負載平衡器的後端集區。 建立虛擬機器之後,您會將虛擬機器新增至公用負載平衡器的後端集區。

  1. 在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。

  2. 在 [虛擬機器] 中,選取 [+ 建立]>[虛擬機器]。

  3. 在 [建立虛擬機器] 中,輸入或選取 [基本資訊] 索引標籤中的值:

    設定
    專案詳細資料
    訂用帳戶 選取您的 Azure 訂用帳戶
    資源群組 選取 [lb-resource-group]
    [執行個體詳細資料]
    虛擬機器名稱 輸入 lb-VM
    區域 選取 (美國) 美國東部
    可用性選項 選取 [不需要基礎結構備援]
    安全性類型 選取 [標準]。
    映像 選取 [Windows Server 2022 Datacenter:Azure Edition - Gen2]
    Azure Spot 執行個體 保留預設值 [未核取]。
    大小 選擇 VM 大小或接受預設設定
    系統管理員帳戶
    使用者名稱 輸入使用者名稱
    密碼 輸入密碼
    確認密碼 再次輸入密碼
    輸入連接埠規則
    公用輸入連接埠 選取 [無]

  4. 選取 [網路] 索引標籤,或選取 [下一步: 磁碟],然後選取 [下一步: 網路]

  5. 在 [網路功能] 索引標籤中,選取或輸入:

    設定
    網路介面
    虛擬網路 lb-VNet
    子網路 backend-subnet
    公用 IP 選取 [無]。
    NIC 網路安全性群組 選取 [進階]
    設定網路安全性群組 保留 vm-NSG 的預設值。 如果您為 VM 選擇不同的名稱,這可能會有所不同。

  6. 在 [負載平衡] 下,選取下列項目:

    設定
    負載平衡選項 選取 [Azure 負載平衡]
    選取負載平衡器 選取 [lb-internal]
    選取後端集區 選取 [lb-int-backend-pool]

  7. 選取 [檢閱 + 建立]。

  8. 檢閱設定,然後選取 [建立]

將 VM 新增至公用負載平衡器的後端集區

在本節中,您會將先前建立的虛擬機器新增至公用負載平衡器的後端集區。

  1. 在入口網站頂端的搜尋方塊中,輸入負載平衡器。 在搜尋結果中,選取 [負載平衡器]。

  2. 選取 [lb-public]

  3. lb-public 的 [設定] 中選取 [後端集區]

  4. 在 [後端集區] 頁面的 [後端集區] 底下選取 [lb-pub-backend-pool]

  5. lb-pub-backend-pool 中,選取 [虛擬網路] 中的 [lb-VNet]

  6. 在 [虛擬機器] 中,選取藍色的 [+新增] 按鈕。

  7. 在 [將虛擬機器新增至後端集區] 中,選取 [lb-VM] 旁的方塊。

  8. 選取 [新增]。

  9. 選取 [儲存]。

在設定輸出規則之前測試連線能力

  1. 在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。

  2. 選取 [lb-VM]

  3. 在 [概觀] 頁面中,選取 [連線],然後選取 [Bastion]。

  4. 輸入在 VM 建立期間輸入的使用者名稱和密碼。

  5. 選取 Connect

  6. 開啟 Internet Explorer。

  7. 在網址列中輸入 https://whatsmyip.org

  8. 連線應該會失敗。 根據預設,標準公用負載平衡器不允許未定義輸出規則的輸出流量

建立公用負載平衡器輸出規則

  1. 在入口網站頂端的搜尋方塊中,輸入負載平衡器。 在搜尋結果中,選取 [負載平衡器]。

  2. 選取 [lb-public]

  3. lb-public 的 [設定] 中選取 [輸出規則]

  4. 在 [輸出規則] 中選取 [+ 新增]

  5. 輸入或選取下列資訊以設定輸出規則。

    設定
    名稱 輸入 myOutboundRule
    前端 IP 位址 選取 [lb-ext-frontend]
    通訊協定 保留 [全部] 的預設值。
    閒置逾時 (分鐘) 將滑桿移至 15 分鐘
    TCP 重設 選取 [啟用] 。
    後端集區 選取 [lb-pub-backend-pool]
    連接埠配置
    連接埠配置 選取 [手動選擇輸出連接埠數目]
    輸出連接埠
    選擇依據 選取 [每個執行個體的連接埠數]
    每個執行個體的連接埠數 輸入 10000

  6. 選取 [新增]。

在建立輸出規則之後測試連線能力

  1. 在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。

  2. 選取 [lb-VM]

  3. 在 [概觀] 頁面上,選取 [連線],然後選 [Bastion]。

  4. 輸入在 VM 建立期間輸入的使用者名稱和密碼。

  5. 選取 Connect

  6. 開啟 Internet Explorer。

  7. 在網址列中輸入 https://whatsmyip.org

  8. 連線應該會成功。

  9. 顯示的 IP 位址應該是 lb-public 的前端 IP 位址。

清除資源

若不再需要,可刪除資源群組、負載平衡器、VM 和所有相關資源。

若要這樣做,請選取資源群組 lb-resource-group,然後選取 [刪除]

下一步

在本文中,您已使用公用和內部負載平衡器的組合建立「僅限輸出」組態。

此設定可讓您將傳入的內部流量負載平衡至後端集區,同時仍可防止任何公用輸入連線。

如需有關 Azure Load Balancer 和 Azure Bastion 的詳細資訊,請參閱什麼是 Azure Load Balancer?什麼是 Azure Bastion?