Condividi tramite


Esercitazione: Integrare un gateway NAT con un servizio di bilanciamento del carico pubblico usando il portale di Azure

Questa esercitazione illustra come integrare un gateway NAT con un servizio di bilanciamento del carico pubblico.

Per impostazione predefinita, un'istanza di Azure Load Balancer Standard è sicura. La connettività in uscita viene definita in modo esplicito abilitando SNAT in uscita (Source Network Address Translation). SNAT è abilitato in una regola di bilanciamento del carico o regole in uscita.

L'integrazione del gateway NAT sostituisce la necessità di regole in uscita per SNAT in uscita del pool back-end.

Diagramma delle risorse di Azure create nell'esercitazione.

In questa esercitazione apprenderai a:

  • Creare un gateway NAT
  • Crea un servizio di bilanciamento del carico di Azure:
  • Creare due macchine virtuali per il pool back-end del servizio di Azure Load Balancer
  • Convalidare la connettività in uscita delle macchine virtuali nel pool back-end del servizio di bilanciamento del carico

Prerequisiti

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

Accedere ad Azure

Accedere al portale di Azure con il proprio account Azure.

Creare un gateway NAT

Prima di distribuire la risorsa gateway NAT e le altre risorse, è necessario un gruppo di risorse per contenere le risorse distribuite. Nei passaggi seguenti viene creato un gruppo di risorse, una risorsa gateway NAT e un indirizzo IP pubblico. È possibile usare una o più risorse indirizzo IP pubblico, prefissi IP pubblici o entrambi.

Per informazioni sui prefissi IP pubblici e su un gateway NAT, vedere Gestire il gateway NAT.

  1. Nella casella di ricerca nella parte superiore del portale immettere gateway NAT. Selezionare Gateway NAT nei risultati della ricerca.

  2. Seleziona + Crea.

  3. In Crea un gateway NAT (Network Address Translation) immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

    Impostazione valore
    Dettagli del progetto
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare Crea nuovo.
    Immettere test-rg.
    Selezionare OK.
    Dettagli istanza
    Nome del gateway NAT Immettere nat-gateway
    Paese Selezionare Stati Uniti orientali 2
    Availability Zone (Zona di disponibilità) Selezionare Nessuna zona.
    Timeout di inattività TCP (minuti) Lasciare l'impostazione predefinita 4.

    Per informazioni sulle zone di disponibilità e sul gateway NAT, vedere Gateway NAT e le zone di disponibilità.

  4. Selezionare la scheda IP in uscita oppure il pulsante Avanti: IP in uscita nella parte inferiore della pagina.

  5. Nella scheda IP in uscita immettere o selezionare le informazioni seguenti:

    Impostazione valore
    Indirizzi IP pubblici Selezionare Crea un nuovo indirizzo IP pubblico.
    In Nome immettere public-ip-nat.
    Selezionare OK.
  6. Selezionare la scheda Rivedi e crea o selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina.

  7. Seleziona Crea.

Creare una rete virtuale e un host bastion

La procedura seguente crea una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Azure Bastion.

  1. Nel portale cercare e selezionare Reti virtuali.

  2. Nella pagina Reti virtuali selezionare + Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Nome Immettere vnet-1.
    Paese Selezionare (Stati Uniti) Stati Uniti orientali 2.

    Screenshot della scheda Informazioni di base di Creare una rete virtuale nel portale di Azure.

  4. Selezionare Avanti per passare alla scheda Sicurezza.

  5. Selezionare Abilita Azure Bastion nella sezione Azure Bastion della scheda Sicurezza.

    Azure Bastion usa il browser per connettersi alle VM nella rete virtuale tramite Secure Shell (SSH) o Remote Desktop Protocol (RDP) usando i relativi indirizzi IP privati. Le VM non necessitano di indirizzi IP pubblici, software client o configurazione speciale. Per altre informazioni su Azure Bastion, vedere Azure Bastion

    Nota

    La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

  6. Immettere o selezionare le informazioni seguenti in Azure Bastion:

    Impostazione Valore
    Nome host Azure Bastion Immettere bastion.
    Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
    Immettere public-ip-bastion in Nome.
    Selezionare OK.

    Screenshot dell'abilitazione dell'host bastion in Creare una rete virtuale nel portale di Azure.

  7. Selezionare Avanti per passare alla scheda Indirizzi IP.

  8. Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.

  9. In Modifica subnet immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Scopo della subnet Lasciare l'impostazione predefinita Predefinito.
    Nome Immettere subnet-1.
    IPv4
    Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16.
    Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0.
    Dimensione Lasciare l'impostazione predefinita /24(256 indirizzi).
    Sicurezza
    Gateway NAT Selezionare nat-gateway.

    Screenshot della ridenominazione e della configurazione della subnet predefinita.

  10. Seleziona Salva.

  11. Selezionare Rivedi e crea in fondo allo schermo e, quando la convalida ha esito positivo, selezionare Crea.

Creare un servizio di bilanciamento del carico

In questa sezione viene creato un servizio di bilanciamento del carico con ridondanza della zona che bilancia il carico delle macchine virtuali. Con la ridondanza della zona, in caso di errore di una o più zone di disponibilità, il percorso dati continua a funzionare, a condizione che una zona dell'area rimanga integra.

Durante la creazione del bilanciamento del carico, configurare:

  • Indirizzo IP front-end IP
  • Pool back-end
  • Regole di bilanciamento del carico in ingresso
  1. Nella casella di ricerca nella parte superiore del portale immettere Load Balancer. Selezionare Load Balancer nei risultati della ricerca.

  2. Nella pagina Bilanciamento del carico selezionare Crea.

  3. Nella scheda Informazioni di base della pagina Crea servizio di bilanciamento del carico immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Nome Immettere load-balancer
    Paese Selezionare (Stati Uniti) Stati Uniti orientali 2.
    SKU Lasciare l'impostazione predefinita Standard.
    Type Selezionare Pubblico.
    Livello Lasciare l'impostazione predefinita Locale.
  4. Selezionare Avanti: Configurazione IP front-end nella parte inferiore della pagina.

  5. In Configurazione IP front-end selezionare + Aggiungi una configurazione IP front-end.

  6. Immettere front-end in Nome.

  7. Selezionare IPv4 o IPv6 per Versione indirizzo IP.

    Nota

    L'indirizzo IPv6 non è al momento supportato con Preferenza di routing o Bilanciamento del carico tra aree (livello globale).

  8. Selezionare Indirizzo IP per Tipo di IP.

    Nota

    Per altre informazioni sui prefissi IP, vedere Prefisso dell'indirizzo IP pubblico di Azure.

  9. Selezionare Crea nuovo in Indirizzo IP pubblico.

  10. In Aggiungi un indirizzo IP pubblico, immettere public-ip-load-balancer per Nome.

  11. Selezionare Con ridondanza della zona in Zona di disponibilità.

    Nota

    Nelle aree con Zone di disponibilità è possibile selezionare nessuna zona (opzione predefinita), una zona specifica o una zona con ridondanza della zona. La scelta dipende dai requisiti specifici per gli errori di dominio. Nelle aree senza zone di disponibilità, questo campo non viene visualizzato.
    Per altre informazioni sulle zone di disponibilità, vedere Panoramica delle zone di disponibilità.

  12. Lasciare l'impostazione predefinita Microsoft Network per Preferenza di routing.

  13. Seleziona OK.

  14. Selezionare Aggiungi.

  15. Selezionare Avanti: Pool back-end nella parte inferiore della pagina.

  16. Nella scheda Pool back-end selezionare + Aggiungi un pool back-end.

  17. Immettere backend-pool nel campo Nome in Aggiungi pool back-end.

  18. Selezionare vnet-1 (test-rg) in Rete virtuale.

  19. Selezionare NIC o Indirizzo IP per Configurazione pool back-end.

  20. Seleziona Salva.

  21. Selezionare il pulsante Avanti: Regole in ingresso nella parte inferiore della pagina.

  22. In Regola di bilanciamento del carico nella scheda Regole in ingresso, selezionare + Aggiungi una regola di bilanciamento del carico.

  23. In Aggiungi regola di bilanciamento del carico, immettere o selezionare le informazioni seguenti:

    Impostazione valore
    Nome Immettere http-rule
    Versione IP Selezionare IPv4 o IPv6, a seconda dei requisiti.
    Indirizzo IP front-end IP Selezionare Front-end.
    Pool back-end Selezionare backend-pool.
    Protocollo Selezionare TCP.
    Port Immettere 80.
    Porta back-end Immettere 80.
    Probe di integrità Selezionare Crea nuovo.
    In Nome, immettere health-probe.
    Selezionare TCP in Protocollo.
    Lasciare tutte le altre impostazioni predefinite e selezionare OK.
    Persistenza della sessione Selezionare Nessuno.
    Timeout di inattività (minuti) Immettere o selezionare 15.
    Reimpostazione TCP Selezionare Enabled.
    IP mobile selezionare Disabilitato.
    SNAT (Network Address Translation) di origine in uscita Lasciare l'impostazione predefinita (Scelta consigliata) Usa regole in uscita per fornire l'accesso a Internet ai membri del pool back-end.
  24. Seleziona Salva.

  25. Selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina.

  26. Seleziona Crea.

Creare macchine virtuali

In questa sezione vengono create due macchine virtuali (vm-1 e vm-2) in due zone diverse (Zona 1 e Zona 2).

Queste macchine virtuali vengono aggiunte al pool back-end del servizio di bilanciamento del carico creato in precedenza.

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. Selezionare + Crea, quindi Macchina virtuale di Azure.

  3. In Crea macchina virtuale digitare o selezionare i valori nella scheda Nozioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Virtual machine name Immettere vm-1.
    Paese Selezionare Stati Uniti orientali 2.
    Opzioni di disponibilità Selezionare Zona 1.
    Tipo di sicurezza Selezionare Standard.
    Immagine Selezionare Ubuntu Server 22.04 LTS - x64 Gen2.
    Architettura della macchina virtuale Lasciare il valore predefinito x64.
    Dimensione Selezionare una dimensione.
    Account amministratore
    Tipo di autenticazione selezionare Password.
    Username digitare azureuser.
    Password Immettere una password.
    Conferma password Immettere nuovamente la password.
    Regole porta in ingresso
    Porte in ingresso pubbliche Selezionare Nessuno.
  4. Selezionare la scheda Rete oppure selezionare Avanti: Dischi e quindi Avanti: Rete.

  5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare vnet-1.
    Subnet Selezionare subnet-1 (10.0.0.0/24)
    IP pubblico Selezionare Nessuno.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Avanzato
    Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
    Nella Crea gruppo di sicurezza di rete, immettere nsg-1 in nome.
    In Regole in ingresso, selezionare +Aggiungi una regola in ingresso.
    In Servizio, selezionare HTTP.
    Selezionare Aggiungi
    Seleziona OK
    Bilanciamento del carico
    Associare questa macchina virtuale a una soluzione di bilanciamento del carico esistente? Seleziona la casella di controllo.
    Impostazioni di bilanciamento del carico
    Opzioni di bilanciamento del carico Selezionare Azure Load Balancer
    Selezionare un servizio di bilanciamento del carico Selezionare load-balancer
    Selezionare un pool back-end Selezionare backend-pool
  6. Selezionare Rivedi e crea.

  7. Rivedere le impostazioni e quindi selezionare Crea.

  8. Seguire i passaggi precedenti per creare una macchina virtuale con i valori seguenti e tutte le altre impostazioni uguali a vm-1:

    Impostazione VM 2
    Nome vm-2
    Zona di disponibilità 2
    Gruppo di sicurezza di rete Selezionare il nsg-1 esistente
    Opzioni di bilanciamento del carico Selezionare Azure Load Balancer
    Selezionare un servizio di bilanciamento del carico Selezionare load-balancer
    Selezionare un pool back-end Selezionare backend-pool

Testare il gateway NAT

In questa sezione viene testato il gateway NAT. Si individua prima di tutto l'indirizzo IP pubblico del gateway NAT. Connettersi quindi alla macchina virtuale di test e verificare la connessione in uscita tramite il gateway NAT.

  1. Nella casella di ricerca nella parte superiore del portale, immettere Indirizzo IP pubblico. Selezionare Indirizzi IP pubblici nei risultati della ricerca.

  2. Selezionare public-ip-nat.

  3. Prendere nota dell'indirizzo IP pubblico:

    Screenshot dell'indirizzo IP pubblico del gateway NAT.

  4. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  5. Selezionare vm-1.

  6. Nella pagina Panoramica selezionare Connetti e quindi selezionare la scheda Bastion.

  7. Selezionare Usa Bastion.

  8. Immettere il nome utente e la password specificati durante la creazione della VM. Selezionare Connetti.

  9. Nel prompt di bash immettere il comando seguente:

    curl ifconfig.me
    
  10. Verificare che l'indirizzo IP restituito dal comando corrisponda all'indirizzo IP pubblico del gateway NAT.

    azureuser@vm-1:~$ curl ifconfig.me
    20.7.200.36
    
  11. Chiudere la connessione bastion a vm-1.

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.

  1. Accedere al portale di Azure e selezionare Gruppi di risorse.

  2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

  3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

  4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

Passaggi successivi

Per altre informazioni sul gateway NAT di Azure, vedere: