教學課程:使用 Azure 入口網站 整合 NAT 閘道與內部負載平衡器

  • 發行項

在本教學課程中,您將瞭解如何整合 NAT 閘道與內部負載平衡器。

根據預設,Azure Standard Load Balancer 是安全的。 輸出連線是藉由啟用輸出 SNAT(來源網路位址轉譯)明確定義。

SNAT 是透過另一個公用負載平衡器、網路路由或虛擬機上定義的公用IP,針對內部後端集區啟用。

NAT 閘道整合取代了部署公用負載平衡器、網路路由,或後端集區中虛擬機上定義的公用IP的需求。

Diagram of Azure resources created in tutorial.

在本教學課程中,您會了解如何:

  • 建立 Azure Load Balancer
  • 為 Azure Load Balancer 的後端集區建立兩部虛擬機
  • 建立 NAT 閘道
  • 驗證負載平衡器後端集區中虛擬機的輸出連線能力

必要條件

具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶

使用您的 Azure 帳戶登入 Azure 入口網站

建立 NAT 閘道

部署 NAT 閘道資源和其他資源之前,需要有資源群組才能包含已部署的資源。 在下列步驟中,您會建立資源群組、NAT 閘道資源和公用IP位址。 您可以使用一或多個公用IP位址資源、公用IP前置綴或兩者。

如需公用IP前綴和NAT閘道的相關信息,請參閱 管理 NAT 閘道

  1. 在入口網站頂端的搜尋方塊中,輸入 NAT閘道。 在搜尋結果中選取 NAT 閘道

  2. 選取 + 建立

  3. [建立網络位址轉換 (NAT) 網關] 中,於 [ 基本] 索引 標籤中輸入或選取此資訊:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [新建]
    輸入 test-rg
    選取 [ 確定]。
    [執行個體詳細資料]
    NAT 閘道名稱 輸入 nat-gateway
    區域 選取 [美國東部 2]
    可用性區域 選取 [無區域]。
    TCP 閒置逾時 (分鐘) 保留預設值 4

    如需可用性區域和 NAT 閘道的相關信息,請參閱 NAT 閘道和可用性區域

  4. 選取 [ 輸出 IP] 索引標籤,或選取頁面底部的 [ 下一步:輸出 IP] 按鈕。

  5. 在 [ 輸出 IP] 索引標籤中,輸入或選取下列資訊:

    設定
    公用 IP 位址 選取 [建立新的公用IP 位址]。
    在 [ 名稱] 中,輸入 public-ip-nat
    選取 [ 確定]。

  6. 選取 [ 檢閱 + 建立] 索引標籤,或選取頁面底部的藍色 [檢閱 + 建立] 按鈕。

  7. 選取 建立

建立虛擬網路和防禦主機

下列程式會建立具有資源子網、Azure Bastion 子網和 Azure Bastion 主機的虛擬網路。

  1. 在入口網站中,搜尋並選取 [虛擬網路]

  2. 在 [ 虛擬網络] 頁面上,選取 [ + 建立]。

  3. 在 [建立虛擬網路] 的 [基本] 索引標籤中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 test-rg
    [執行個體詳細資料]
    名稱 輸入 vnet-1
    區域 選取 [ 美國東部 2]。

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. 選取 [下一步 ] 以繼續進行 [ 安全性] 索引標籤。

  5. 在 [安全性] 索引標籤的 [Azure Bastion] 區段中,選取 [啟用 Bastion]。

    Azure Bastion 會使用瀏覽器,透過安全殼層 (SSH) 或遠端桌面通訊協定 (RDP) 連線到虛擬網路中的 VM,方法是使用其私人 IP 位址。 VM 不需要公用IP位址、客戶端軟體或特殊設定。 如需 Azure Bastion 的詳細資訊,請參閱 Azure Bastion

    注意

    每小時定價從 Bastion 部署的那一刻開始,不論輸出數據使用量為何。 如需詳細資訊,請參閱 定價SKU

    如果您要將 Bastion 部署為教學課程或測試的一部分,建議您在完成使用之後刪除此資源。

  6. 在 Azure Bastion輸入或選取下列資訊:

    設定
    Azure Bastion 主機名 輸入 防禦
    Azure Bastion 公用 IP 位址 選取 [ 建立公用IP 位址]。
    在 [名稱] 中輸入 public-ip
    選取 [ 確定]。

    Screenshot of enable bastion host in Create virtual network in the Azure portal.

  7. 選取 [下一步 ] 以繼續進行 [ IP 位址] 索引標籤。

  8. 在 [子網] 的 [位址空間] 方塊中,選取預設子網。

  9. 在 [ 編輯子網] 中,輸入或選取下列資訊:

    設定
    子網詳細數據
    子網範本 保留預設預設值
    名稱 輸入 subnet-1
    起始位址 保留預設值 10.0.0.0
    子網大小 保留 /24(256 位址)的預設值
    安全性
    NAT 閘道 選取 nat-gateway

    Screenshot of default subnet rename and configuration.

  10. 選取 [儲存]。

  11. 選取畫面底部的 [檢閱 + 建立],然後在驗證通過時,選取 [建立]

建立負載平衡器

在本節中,您會建立可平衡虛擬機負載平衡的內部負載平衡器。 內部負載平衡器是用來使用私人IP位址對虛擬網路內的流量進行負載平衡。

在建立負載平衡器期間,您可以設定:

  • 前端 IP 位址
  • 後端集區
  • 輸入負載平衡規則

  1. 在入口網站頂端的搜尋方塊中,輸入 負載平衡器。 選取 搜尋結果中的負載平衡器

  2. 在 [ 負載平衡器] 頁面中,選取 [ 建立]。

  3. 在 [建立負載平衡器] 頁面的 [基本] 索引卷標中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 test-rg
    [執行個體詳細資料]
    名稱 輸入 負載平衡器
    區域 選取 [美國) 美國東部 2]。
    SKU 保留預設 標準
    類型 選取 [內部]。
    保留預設 的區域

  4. 選取 頁面底部的 [下一步:前端IP組態 ]。

  5. [前端 IP 組態] 中,選取 [+ 新增前端 IP 組態]。

  6. 在 [名稱] 中輸入前端

  7. 在 [子網] 中選取 subnet-1 (10.0.0.0.0/24)。

  8. 保留其餘選項的預設值。

  9. 選取新增

  10. 選取 頁面底部的 [下一步:後端集 區]。

  11. 在 [ 後端集區] 索引卷標中,選取 [+ 新增後端集區]。

  12. 在 [新增後端集區] 中輸入後端集區作為 [名稱]。

  13. 針對 [後端集區組態] 選取 [NIC] 或 [IP 位址]。

  14. 選取 [儲存]。

  15. 選取頁面底部的 [ 下一步:輸入規則 ] 按鈕。

  16. 在 [輸入規則] 索引標籤的 [負載平衡規則] 中,選取 [+ 新增負載平衡規則]。

  17. 在 [ 新增負載平衡規則] 中,輸入或選取下列資訊:

    設定
    名稱 輸入 HTTP-rule
    IP 版本 選取 [IPv4]
    前端 IP 位址 選取 前端
    後端集區 選取 [後端集區]。
    通訊協定 選取 [TCP]。
    Port 輸入 80
    後端連接埠 輸入 80
    健康狀態探查 選取 [新建]
    在 [ 名稱] 中,輸入 健康情況探查
    在 [通訊協定] 中選取 [TCP]。
    保留其餘的預設值,然後選取 [ 確定]。
    工作階段持續性 選取 [無]。
    閒置逾時 (分鐘) 輸入或選取 15
    TCP 重設 選取 [啟用] 。
    浮動 IP 選取 [已停用]

  18. 選取 [儲存]。

  19. 選取頁面底部的藍色 [檢閱 + 建立] 按鈕。

  20. 選取 建立

建立虛擬機器

在本節中,您會在兩個不同的區域 (區域 1 和區域 2) 中建立兩部 VM(vm-1 vm-2)。

這些 VM 會新增至稍早建立之負載平衡器的後端集區。

  1. 在入口網站頂端的搜尋方塊中,輸入 虛擬機。 在搜尋結果中選取 [虛擬機 ]。

  2. 選取 [+ 建立],然後選取 [Azure 虛擬機]。

  3. [建立虛擬機] 中,輸入或選取 [ 基本] 索引 卷標的值:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 test-rg
    [執行個體詳細資料]
    虛擬機器名稱 輸入 vm-1
    區域 選取 [ 美國東部 2]。
    可用性選項 選取 [ 區域 1]。
    安全性類型 選取 [標準]。
    映像 選取 [Ubuntu Server 22.04 LTS - x64 Gen2]。
    VM 架構 保留預設值 x64
    大小 選取大小。
    系統管理員帳戶
    驗證類型 選取 [ 密碼]。
    使用者名稱 輸入 azureuser
    密碼 輸入密碼。
    確認密碼 重新輸入密碼。
    輸入連接埠規則
    公用輸入連接埠 選取 [無]。

  4. 選取 [網络] 索引標籤,或選取 [下一步:磁碟],然後選取 [下一步:網络]。

  5. 在 [網路] 索引標籤中,輸入或選取下列資訊:

    設定
    網路介面
    虛擬網路 選取 vnet-1
    子網路 選取 subnet-1 (10.0.0.0/24)
    公用 IP 選取 [無]。
    NIC 網路安全性群組 選取 [ 進階]
    設定網路安全性群組 選取 [新建]
    在 [建立網络安全組] 中,於 [名稱] 中輸入 nsg-1
    在 [輸入規則] 底下,選取 [+新增輸入規則]。
    在 [服務],選取 [HTTP]。
    選取 [新增
    ] 選取     [確定]
    負載平衡
    將此虛擬機放在現有的負載平衡解決方案後面嗎? 選取核取方塊。
    負載平衡設定
    負載平衡選項 選取 Azure 負載平衡器
    選取負載平衡器 選取 負載平衡器
    選取後端集區 選取 後端集區

  6. 選取 [檢閱 + 建立]。

  7. 檢閱設定,然後選取 [ 建立]。

  8. 請遵循上述步驟來建立 VM,其中包含下列值,以及與 vm-1 相同的所有其他設定:

    設定 VM 2
    名稱 vm-2
    可用性區域 2
    網路安全性群組 選取現有的 nsg-1
    負載平衡選項 選取 Azure 負載平衡器
    選取負載平衡器 選取 負載平衡器
    選取後端集區 選取 後端集區

測試 NAT 閘道

在本節中,您會測試 NAT 閘道。 您必須先探索 NAT 閘道的公用IP。 接著,您會連線到測試虛擬機,並透過 NAT 閘道驗證輸出連線。

  1. 在入口網站頂端的搜尋方塊中,輸入 公用IP。 在搜尋結果中選取 [公用IP 位址 ]。

  2. 選取 public-ip-nat

  3. 記下公用IP位址。

    Screenshot of public IP address of NAT gateway.

  4. 在入口網站頂端的搜尋方塊中,輸入 虛擬機。 在搜尋結果中選取 [虛擬機 ]。

  5. 選取 vm-1

  6. 在 [概觀] 頁面上,選取 [連線],然後選取 [Bastion] 索引標籤。

  7. 選取 [使用 Bastion]。

  8. 輸入虛擬機建立期間輸入的使用者名稱和密碼。 選取 Connect

  9. 在bash提示字元中,輸入下列命令。

    curl ifconfig.me

  10. 確認命令傳回的IP位址符合NAT閘道的公用IP位址。

    azureuser@vm-1:~$ curl ifconfig.me
20.7.200.36

  11. 關閉 vm-1 的防禦連線

清除資源

當您使用所建立的資源完成時,您可以刪除資源群組及其所有資源。

  1. 在 Azure 入口網站中,搜尋並選取 [資源群組]。

  2. 在 [ 資源群組] 頁面上,選取 test-rg 資源群組。

  3. test-rg 頁面上,選取 [ 刪除資源群組]。

  4. 在 [輸入資源組名] 中輸入 test-rg 以確認刪除,然後選取 [刪除]。

下一步

如需 Azure NAT 閘道的詳細資訊,請參閱:

Azure NAT 閘道概觀