Kurz: Směrování síťového provozu pomocí směrovací tabulky
Azure standardně směruje provoz mezi všemi podsítěmi ve virtuální síti. Můžete vytvořit vlastní trasy a přepsat tak výchozí směrování Azure. Vlastní trasy jsou užitečné, když například chcete směrovat provoz mezi podsítěmi přes síťové virtuální zařízení (NVA).
V tomto kurzu se naučíte:
- Vytvoření virtuální sítě a podsítí
- Vytvoření síťového virtuálního zařízení, které směruje provoz
- Nasazení virtuálních počítačů do různých podsítí
- Vytvoření směrovací tabulky
- Vytvoření trasy
- Přidružení směrovací tabulky k podsíti
- Směrování provozu z jedné podsítě do jiné přes síťové virtuální zařízení
Požadavky
- Účet Azure s aktivním předplatným. Účet si můžete vytvořit zdarma.
Vytvoření podsítí
Pro účely tohoto kurzu je potřeba DMZ a privátní podsíť. Podsíť DMZ je místo, kam nasadíte síťové virtuální zařízení a privátní podsíť nasadíte virtuální počítače, do kterých chcete směrovat provoz. Podsíť 1 je podsíť vytvořená v předchozích krocích. Pro veřejný virtuální počítač použijte podsíť 1 .
Vytvoření virtuální sítě a hostitele služby Azure Bastion
Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Služby Azure Bastion a hostitelem Bastionu:
Na portálu vyhledejte a vyberte Virtuální sítě.
Na stránce Virtuální sítě vyberte + Vytvořit.
Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
Jako název zadejte test-rg .
Vyberte OK.Podrobnosti o instanci Název Zadejte vnet-1. Oblast Vyberte USA – východ 2. Výběrem možnosti Další přejděte na kartu Zabezpečení .
V části Azure Bastion vyberte Povolit Azure Bastion.
Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes Secure Shell (SSH) nebo RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace najdete v tématu Co je Azure Bastion?.
Poznámka:
Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.
V Azure Bastionu zadejte nebo vyberte následující informace:
Nastavení Hodnota Název hostitele služby Azure Bastion Zadejte bastion. Veřejná IP adresa služby Azure Bastion Vyberte Vytvořit veřejnou IP adresu.
Do názvu zadejte public-ip-bastion .
Vyberte OK.Výběrem možnosti Další přejděte na kartu IP adresy.
V poli Adresní prostor v podsítích vyberte výchozí podsíť.
V části Upravit podsíť zadejte nebo vyberte následující informace:
Nastavení Hodnota Účel podsítě Ponechte výchozí hodnotu Výchozí. Název Zadejte podsíť-1. IPv4 Rozsah adres IPv4 Ponechte výchozí hodnotu 10.0.0.0/16. Počáteční adresa Ponechte výchozí hodnotu 10.0.0.0. Velikost Ponechte výchozí hodnotu /24 (256 adres). Zvolte Uložit.
V dolní části okna vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.
Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .
Ve virtuálních sítích vyberte vnet-1.
V síti vnet-1 vyberte v části Nastavení podsítě.
V seznamu podsítí virtuální sítě vyberte + Podsíť.
V části Přidat podsíť zadejte nebo vyberte následující informace:
Nastavení Hodnota Účel podsítě Ponechte výchozí hodnotu Výchozí. Název Zadejte privátní podsíť. IPv4 Rozsah adres IPv4 Ponechte výchozí hodnotu 10.0.0.0/16. Počáteční adresa Zadejte 10.0.2.0. Velikost Ponechte výchozí hodnotu /24 (256 adres). Vyberte Přidat.
Vyberte + podsíť.
V části Přidat podsíť zadejte nebo vyberte následující informace:
Nastavení Hodnota Účel podsítě Ponechte výchozí hodnotu Výchozí. Název Zadejte podsíť dmz. IPv4 Rozsah adres IPv4 Ponechte výchozí hodnotu 10.0.0.0/16. Počáteční adresa Zadejte 10.0.3.0. Velikost Ponechte výchozí hodnotu /24 (256 adres). Vyberte Přidat.
Vytvoření virtuálního počítače síťového virtuálního zařízení
Síťová virtuální zařízení (NVA) jsou virtuální počítače, které pomáhají se síťovými funkcemi, jako je směrování a optimalizace brány firewall. V této části vytvořte síťové virtuální zařízení s Ubuntu 24.04 .
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Vyberte + Vytvořit a pak virtuální počítač Azure.
V části Vytvořit virtuální počítač zadejte nebo vyberte následující informace na kartě Základy :
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte test-rg. Podrobnosti o instanci Virtual machine name Zadejte vm-nva. Oblast Vyberte USA – východ 2. Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury. Typ zabezpečení Vyberte položku Standardní. Image Vyberte Ubuntu Server 24.04 LTS - x64 Gen2. Architektura virtuálního počítače Ponechte výchozí hodnotu x64. Velikost Vyberte velikost. Účet správce Authentication type Vyberte heslo. Username Zadejte uživatelské jméno. Heslo Zadejte heslo. Potvrdit heslo Zadejte znovu heslo. Pravidla portů pro příchozí spojení Veřejné příchozí porty Vyberte Žádná. Vyberte Další: Disky a další : Sítě.
Na kartě Sítě zadejte nebo vyberte následující informace:
Nastavení Hodnota Síťové rozhraní Virtuální síť Vyberte vnet-1. Podsíť Vyberte podsíť dmz (10.0.3.0/24). Veřejná IP adresa Vyberte Žádná. Skupina zabezpečení sítě síťových adaptérů Vyberte Upřesnit. Konfigurace skupiny zabezpečení sítě Vyberte, že chcete vytvořit novou IP adresu.
Do pole Název zadejte nsg-nva.
Vyberte OK.Zbývající možnosti ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Vytvoření veřejného a privátního virtuálního počítače
Ve virtuální síti vnet-1 vytvořte dva virtuální počítače. Jeden virtuální počítač je v podsíti podsíť 1 a druhý virtuální počítač je v privátní podsíti podsítě. Pro oba virtuální počítače použijte stejnou image virtuálního počítače.
Vytvoření veřejného virtuálního počítače
Veřejný virtuální počítač se používá k simulaci počítače ve veřejném internetu. Veřejný a privátní virtuální počítač slouží k otestování směrování síťového provozu přes virtuální počítač síťového virtuálního zařízení.
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Vyberte + Vytvořit a pak virtuální počítač Azure.
V části Vytvořit virtuální počítač zadejte nebo vyberte následující informace na kartě Základy :
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte test-rg. Podrobnosti o instanci Virtual machine name Zadejte veřejný virtuální počítač. Oblast Vyberte USA – východ 2. Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury. Typ zabezpečení Vyberte položku Standardní. Image Vyberte Ubuntu Server 24.04 LTS - x64 Gen2. Architektura virtuálního počítače Ponechte výchozí hodnotu x64. Velikost Vyberte velikost. Účet správce Authentication type Vyberte heslo. Username Zadejte uživatelské jméno. Heslo Zadejte heslo. Potvrdit heslo Zadejte znovu heslo. Pravidla portů pro příchozí spojení Veřejné příchozí porty Vyberte Žádná. Vyberte Další: Disky a další : Sítě.
Na kartě Sítě zadejte nebo vyberte následující informace:
Nastavení Hodnota Síťové rozhraní Virtuální síť Vyberte vnet-1. Podsíť Vyberte podsíť 1 (10.0.0.0/24). Veřejná IP adresa Vyberte Žádná. Skupina zabezpečení sítě síťových adaptérů Vyberte Žádná. Zbývající možnosti ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Vytvoření privátního virtuálního počítače
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Vyberte + Vytvořit a pak virtuální počítač Azure.
V části Vytvořit virtuální počítač zadejte nebo vyberte následující informace na kartě Základy :
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte test-rg. Podrobnosti o instanci Virtual machine name Zadejte vm-private. Oblast Vyberte USA – východ 2. Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury. Typ zabezpečení Vyberte položku Standardní. Image Vyberte Ubuntu Server 24.04 LTS - x64 Gen2. Architektura virtuálního počítače Ponechte výchozí hodnotu x64. Velikost Vyberte velikost. Účet správce Authentication type Vyberte heslo. Username Zadejte uživatelské jméno. Heslo Zadejte heslo. Potvrdit heslo Zadejte znovu heslo. Pravidla portů pro příchozí spojení Veřejné příchozí porty Vyberte Žádná. Vyberte Další: Disky a další : Sítě.
Na kartě Sítě zadejte nebo vyberte následující informace:
Nastavení Hodnota Síťové rozhraní Virtuální síť Vyberte vnet-1. Podsíť Vyberte privátní podsíť (10.0.2.0/24). Veřejná IP adresa Vyberte Žádná. Skupina zabezpečení sítě síťových adaptérů Vyberte Žádná. Zbývající možnosti ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Povolení předávání IP
Pokud chcete směrovat provoz přes síťové virtuální zařízení, zapněte předávání IP v Azure a v operačním systému virtuálního zařízení vm-nva. Pokud je povolené předávání IP, veškerý provoz přijatý virtuálním zařízením vm-nva určený pro jinou IP adresu se nezahodí a přesměruje se do správného cíle.
Povolení předávání IP v Azure
V této části zapnete předávání IP pro síťové rozhraní virtuálního počítače vm-nva .
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Ve virtuálních počítačích vyberte vm-nva.
V zařízení vm-nva rozbalte položku Sítě a pak vyberte Nastavení sítě.
Vyberte název rozhraní vedle síťového rozhraní:. Název začíná virtuálním zařízením vm-nva a má přiřazené náhodné číslo rozhraní. Název rozhraní v tomto příkladu je vm-nva313.
Na stránce přehledu síťového rozhraní vyberte konfigurace PROTOKOLU IP v části Nastavení .
V konfiguracích PROTOKOLU IP zaškrtněte políčko vedle možnosti Povolit předávání IP.
Vyberte Použít.
Povolení předávání IP v operačním systému
V této části zapněte předávání IP pro operační systém virtuálního počítače vm-nva pro přesměrování síťového provozu. Pomocí služby Azure Bastion se připojte k virtuálnímu počítači vm-nva .
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Ve virtuálních počítačích vyberte vm-nva.
V části Přehled vyberte Připojit a pak Připojit přes Bastion.
Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.
Vyberte Připojit.
Na příkazovém řádku virtuálního počítače zadejte následující informace, abyste povolili předávání IP:
sudo vim /etc/sysctl.conf
V editoru Vim odeberte
#
z řádkunet.ipv4.ip_forward=1
:Stiskněte klávesu Insert .
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1
Stiskněte klávesu Esc .
Enter
:wq
a stiskněte Enter.Zavřete relaci Bastionu.
Restartujte virtuální počítač.
Vytvoření směrovací tabulky
V této části vytvořte směrovací tabulku, která definuje trasu provozu přes virtuální počítač síťového virtuálního zařízení. Směrovací tabulka je přidružená k podsíti podsítě 1 , ve které je nasazen virtuální počítač s veřejným virtuálním počítačem.
Do vyhledávacího pole v horní části portálu zadejte směrovací tabulku. Ve výsledcích hledání vyberte Směrovací tabulky .
Vyberte + Vytvořit.
Do pole Vytvořit směrovací tabulku zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte test-rg. Podrobnosti o instanci Oblast Vyberte USA – východ 2. Název Zadejte směrovací tabulku veřejnou. Šíření tras brány Ponechte výchozí hodnotu Ano. Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Vytvoření trasy
V této části vytvořte trasu ve směrovací tabulce, kterou jste vytvořili v předchozích krocích.
Do vyhledávacího pole v horní části portálu zadejte směrovací tabulku. Ve výsledcích hledání vyberte Směrovací tabulky .
Vyberte směrovací tabulku veřejnou.
Rozbalte nastavení a pak vyberte Trasy.
Vyberte + Přidat v trasách.
Do příkazu Přidat trasu zadejte nebo vyberte následující informace:
Nastavení Hodnota Název trasy Zadejte do privátní podsítě. Typ cíle Vyberte IP adresy. Cílové IP adresy nebo rozsahy CIDR Zadejte 10.0.2.0/24. Typ dalšího směrování Vyberte Virtuální zařízení. Adresa dalšího segmentu Zadejte 10.0.3.4.
Toto je IP adresa virtuálního zařízení vm-nva, kterou jste vytvořili v předchozích krocích.Vyberte Přidat.
V nastavení vyberte podsítě.
Vyberte + Přidružit.
Zadejte nebo vyberte následující informace v podsíti Přidružit:
Nastavení Hodnota Virtuální síť Vyberte vnet-1 (test-rg). Podsíť Vyberte podsíť 1. Vyberte OK.
Testování směrování síťového provozu
Otestujte směrování síťového provozu z virtuálního počítače do privátního virtuálního počítače. Otestujte směrování síťového provozu z virtuálního počítače do veřejného virtuálního počítače.
Testování síťového provozu z virtuálního počítače do privátního virtuálního počítače
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Ve virtuálních počítačích vyberte veřejný virtuální počítač.
V části Přehled vyberte Připojit a připojit přes Bastion.
Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.
Vyberte Připojit.
Na příkazovém řádku zadejte následující příkaz, který trasuje směrování síťového provozu z virtuálního počítače do privátního virtuálního počítače:
tracepath vm-private
Odpověď bude podobná jako v následujícím příkladu:
azureuser@vm-public:~$ tracepath vm-private 1?: [LOCALHOST] pmtu 1500 1: vm-nva.internal.cloudapp.net 1.766ms 1: vm-nva.internal.cloudapp.net 1.259ms 2: vm-private.internal.cloudapp.net 2.202ms reached Resume: pmtu 1500 hops 2 back 1
Vidíte, že ve výše uvedené odpovědi existují dva segmenty směrování pro
tracepath
provoz PROTOKOLU ICMP z virtuálního počítače do privátního virtuálního počítače. Prvním segmentem směrování je vm-nva. Druhým segmentem směrování je cílový virtuální počítač privátní.Azure odeslal provoz z podsítě-1 přes síťové virtuální zařízení, nikoli přímo do privátní podsítě, protože jste dříve přidali trasu do privátní podsítě do směrovací tabulky a přidružte ji k podsíti 1.
Zavřete relaci Bastionu.
Testování síťového provozu z privátního virtuálního počítače do veřejného virtuálního počítače
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Ve virtuálních počítačích vyberte vm-private.
V části Přehled vyberte Připojit a připojit přes Bastion.
Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.
Vyberte Připojit.
Na příkazovém řádku zadejte následující příkaz, který trasuje směrování síťového provozu z vm-private do vm-public:
tracepath vm-public
Odpověď bude podobná jako v následujícím příkladu:
azureuser@vm-private:~$ tracepath vm-public 1?: [LOCALHOST] pmtu 1500 1: vm-public.internal.cloudapp.net 2.584ms reached 1: vm-public.internal.cloudapp.net 2.147ms reached Resume: pmtu 1500 hops 1 back 2
Vidíte, že ve výše uvedené odpovědi existuje jeden segment směrování, což je cílový virtuální počítač veřejný.
Azure odeslal provoz přímo z privátní podsítě do podsítě 1. Azure ve výchozím nastavení směruje provoz přímo mezi podsítěmi.
Zavřete relaci Bastionu.
Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.
Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.
Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.
Na stránce test-rg vyberte Odstranit skupinu prostředků.
Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.
Další kroky
V tomto kurzu se naučíte:
Vytvořili jste směrovací tabulku a přidružte ji k podsíti.
Vytvořili jsme jednoduché síťové virtuální zařízení, které směrovaly provoz z veřejné podsítě do privátní podsítě.
Z Azure Marketplace můžete nasadit různá předkonfigurovaná síťová virtuální zařízení, která poskytují mnoho užitečných síťových funkcí.
Další informace o směrování najdete v tématech Přehled směrování a Správa směrovací tabulky.
Pokud chcete zjistit, jak omezit síťový přístup k prostředkům PaaS pomocí koncových bodů služeb virtuální sítě, přejděte k dalšímu kurzu.