Esercitazione: Instradare il traffico di rete con una tabella di route

Per impostazione predefinita, Azure instrada il traffico tra tutte le subnet di una rete virtuale. È possibile creare le proprie route per eseguire l'override del routing predefinito di Azure. Le route personalizzate sono utili quando, ad esempio, si vuole indirizzare il traffico tra subnet attraverso un'appliance virtuale di rete.

In questa esercitazione apprenderai a:

• Creare una rete virtuale e le subnet
• Creare un'appliance virtuale di rete che indirizza il traffico
• Distribuire le macchine virtuali (VM) in subnet diverse
• Creare una tabella di route
• Creare una route
• Associare una tabella di routing a una subnet
• Indirizzare il traffico da una subnet a un'altra attraverso un'appliance virtuale di rete

Prerequisiti

Portale

• Un account Azure con una sottoscrizione attiva. È possibile creare un account gratuitamente.

PowerShell

• Un account Azure con una sottoscrizione attiva. È possibile creare un account gratuitamente.

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione	Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure.

Per usare Azure Cloud Shell:

1. Avviare Cloud Shell.

2. Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.

3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.

4. Selezionare Invio per eseguire il codice o il comando.

Se si sceglie di installare e usare PowerShell in locale, per questo articolo è necessario il modulo Azure PowerShell 1.0.0 o versione successiva. Eseguire Get-Module -ListAvailable Az per trovare la versione installata. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

CLI

Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• Questo articolo richiede l'interfaccia della riga di comando di Azure versione 2.0.28 o successiva. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare subnet

Per questa esercitazione sono necessarie una subnet della rete perimetrale e una subnet privata. Nella subnet della rete perimetrale verrà distribuita l'appliance virtuale di rete (NVA) e nella subnet privata verranno distribuite le macchine virtuali a cui instradare il traffico. La subnet-1 è la subnet creata nei passaggi precedenti. Usare subnet-1 per la macchina virtuale pubblica.

Portale

Creare una rete virtuale e un host Azure Bastion

La procedura seguente consente di creare una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Bastion:

1. Nel portale cercare e selezionare Reti virtuali.

2. Nella pagina Reti virtuali selezionare + Crea.

3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare Crea nuovo. Immettere test-rg per il nome. Selezionare OK.
   Dettagli istanza
   Nome	Immettere vnet-1.
   Paese	Selezionare Stati Uniti orientali 2.

   

4. Selezionare Avanti per passare alla scheda Sicurezza.

5. Nella sezione Azure Bastion, selezionare Abilita Azure Bastion.

   Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite SSH (Secure Shell) o RDP (Remote Desktop Protocol) usando i relativi indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazioni speciali. Per altre informazioni, vedere Informazioni su Azure Bastion.

   Nota

   La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

6. In Azure Bastion immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Nome host Azure Bastion	Immettere bastion.
   Indirizzo IP pubblico di Azure Bastion	Selezionare Crea un indirizzo IP pubblico. Immettere public-ip-bastion in Nome. Selezionare OK.

   

7. Selezionare Avanti per passare alla scheda Indirizzi IP.

8. Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.

9. In Modifica subnet immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Scopo della subnet	Lasciare l'impostazione predefinita Predefinito.
   Nome	Immettere subnet-1.
   IPv4
   Intervallo di indirizzi IPv4	Lasciare l'impostazione predefinita 10.0.0.0/16.
   Indirizzo iniziale	Lasciare l'impostazione predefinita 10.0.0.0.
   Dimensione	Lasciare l'impostazione predefinita /24 (256 indirizzi).

   

10. Seleziona Salva.

11. Selezionare Rivedi e crea nella parte inferiore della finestra. Al termine della convalida, selezionare Crea.

1. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

2. In Reti virtuali selezionare vnet-1.

3. In vnet-1 selezionare Subnet nella sezione Impostazioni.

4. Nell'elenco delle subnet della rete virtuale selezionare + Subnet.

5. In Aggiungi subnet immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Scopo della subnet	Lasciare l'impostazione predefinita Predefinito.
   Nome	Immettere subnet-private.
   IPv4
   Intervallo di indirizzi IPv4	Lasciare l'impostazione predefinita 10.0.0.0/16.
   Indirizzo iniziale	Immettere 10.0.2.0.
   Dimensione	Lasciare l'impostazione predefinita /24 (256 indirizzi).

   

6. Selezionare Aggiungi.

7. Selezionare + Subnet.

8. In Aggiungi subnet immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Scopo della subnet	Lasciare l'impostazione predefinita Predefinito.
   Nome	Immettere subnet-dmz.
   IPv4
   Intervallo di indirizzi IPv4	Lasciare l'impostazione predefinita 10.0.0.0/16.
   Indirizzo iniziale	Immettere 10.0.3.0.
   Dimensione	Lasciare l'impostazione predefinita /24 (256 indirizzi).

   

9. Selezionare Aggiungi.

PowerShell

Creare un gruppo di risorse con New-AzResourceGroup. Nell'esempio seguente viene creato un gruppo di risorse denominato test-rg per tutte le risorse create in questo articolo.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @rg

Creare una rete virtuale con New-AzVirtualNetwork. Nell'esempio seguente viene creata una rete virtuale denominata vnet-1 con il prefisso dell'indirizzo 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Creare quattro subnet creando quattro configurazioni di subnet con New-AzVirtualNetworkSubnetConfig. L'esempio seguente crea quattro configurazioni di subnet per le subnet Public, Private, DMZ e Azure Bastion.

$subnetConfigPublicParams = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigBastionParams = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPrivateParams = @{
    Name = "subnet-private"
    AddressPrefix = "10.0.2.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigDmzParams = @{
    Name = "subnet-dmz"
    AddressPrefix = "10.0.3.0/24"
    VirtualNetwork = $virtualNetwork
}

$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subnetConfigPublicParams
$subnetConfigBastion = Add-AzVirtualNetworkSubnetConfig @subnetConfigBastionParams
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subnetConfigPrivateParams
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig @subnetConfigDmzParams

Scrivere le configurazioni della subnet nella rete virtuale con Set-AzVirtualNetwork, che consente di creare le subnet nella rete virtuale:

$virtualNetwork | Set-AzVirtualNetwork

Creare Azure Bastion

Creare un indirizzo IP pubblico per l'host Azure Bastion con New-AzPublicIpAddress. Nell'esempio seguente viene creato un indirizzo IP pubblico denominato public-ip-bastion nella rete virtuale vnet-1 .

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

Creare un host Azure Bastion con New-AzBastion. L'esempio seguente crea un host Azure Bastion denominato bastion nella subnet AzureBastionSubnet della rete virtuale vnet-1. Azure Bastion viene usato per connettere in modo sicuro le macchine virtuali di Azure senza esporle alla rete Internet pubblica.

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
}
New-AzBastion @bastionParams -AsJob

CLI

Creare un gruppo di risorse con az group create per tutte le risorse create in questo articolo.

# Create a resource group.
az group create \
    --name test-rg \
    --location eastus2

Creare una rete virtuale con una subnet con az network vnet create.

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

Creare altre due subnet con az network vnet subnet create.

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

# Create a private subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-private \
    --address-prefix 10.0.2.0/24

# Create a DMZ subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name subnet-dmz \
    --address-prefix 10.0.3.0/24

Creare Azure Bastion

Creare un indirizzo IP pubblico per l'host Azure Bastion con az network public-ip create. Nell'esempio seguente viene creato un indirizzo IP pubblico denominato public-ip-bastion nella rete virtuale vnet-1 .

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

Creare un host Azure Bastion con az network bastion create. L'esempio seguente crea un host Azure Bastion denominato bastion nella subnet AzureBastionSubnet della rete virtuale vnet-1. Azure Bastion viene usato per connettere in modo sicuro le macchine virtuali di Azure senza esporle alla rete Internet pubblica.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2
    --no-wait

Creare una macchina virtuale appliance virtuale di rete

Le appliance virtuali di rete (appliance virtuali) sono macchine virtuali utili per le funzioni di rete, ad esempio l'ottimizzazione del routing e del firewall. In questa sezione viene creata un'appliance virtuale di rete usando una macchina virtuale Ubuntu 24.04.

Portale

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. Selezionare + Crea quindi Macchina virtuale di Azure.

3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Virtual machine name	Immettere vm-nva.
   Paese	Selezionare (Stati Uniti) Stati Uniti orientali 2.
   Opzioni di disponibilità	Selezionare La ridondanza dell'infrastruttura non è richiesta.
   Tipo di sicurezza	Selezionare Standard.
   Immagine	Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
   Architettura della macchina virtuale	Lasciare il valore predefinito x64.
   Dimensione	Selezionare una dimensione.
   Account amministratore
   Tipo di autenticazione	selezionare Password.
   Username	Immettere un nome utente.
   Password	Immettere una password.
   Conferma password	Reimmettere la password.
   Regole porta in ingresso
   Porte in ingresso pubbliche	Selezionare Nessuno.

4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Interfaccia di rete
   Rete virtuale	Selezionare vnet-1.
   Subnet	Selezionare subnet-dmz (10.0.3.0/24).
   IP pubblico	Selezionare Nessuno.
   Gruppo di sicurezza di rete della scheda di interfaccia di rete	Seleziona Avanzate.
   Configura gruppo di sicurezza di rete	Selezionare Crea nuovo. In Nome immettere nsg-nva. Selezionare OK.

6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

7. Seleziona Crea.

PowerShell

Creare la VM con New-AzVM. L'esempio seguente crea una macchina virtuale denominata vm-nva.

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-nva"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-dmz"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

CLI

Creare una macchina virtuale da usare come appliance virtuale di rete nella subnet subnet-dmz con az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-nva \
    --image Ubuntu2204 \
    --public-ip-address "" \
    --subnet subnet-dmz \
    --vnet-name vnet-1 \
    --admin-username azureuser \
    --authentication-type password

La creazione della VM richiede alcuni minuti. Non continuare con il passaggio successivo fino a quando Azure non completa la creazione della macchina virtuale e restituisce l'output sulla macchina virtuale.

Creare le macchine virtuali pubblica e privata

Creare due macchine virtuali nella rete virtuale vnet-1. Una macchina virtuale si trova nella subnet subnet-1 e l'altra si trova nella subnet subnet-private. Usare la stessa immagine di macchina virtuale per entrambe le macchine virtuali.

Creare la macchina virtuale pubblica

La macchina virtuale pubblica viene usata per simulare un computer in Internet pubblico. Le VM pubblica e privata vengono usate per testare il routing del traffico di rete attraverso la VM appliance virtuale di rete.

Portale

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. Selezionare + Crea quindi Macchina virtuale di Azure.

3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Virtual machine name	Immettere vm-public.
   Paese	Selezionare (Stati Uniti) Stati Uniti orientali 2.
   Opzioni di disponibilità	Selezionare La ridondanza dell'infrastruttura non è richiesta.
   Tipo di sicurezza	Selezionare Standard.
   Immagine	Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
   Architettura della macchina virtuale	Lasciare il valore predefinito x64.
   Dimensione	Selezionare una dimensione.
   Account amministratore
   Tipo di autenticazione	selezionare Password.
   Username	Immettere un nome utente.
   Password	Immettere una password.
   Conferma password	Reimmettere la password.
   Regole porta in ingresso
   Porte in ingresso pubbliche	Selezionare Nessuno.

4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Interfaccia di rete
   Rete virtuale	Selezionare vnet-1.
   Subnet	Selezionare subnet-1 (10.0.0.0/24).
   IP pubblico	Selezionare Nessuno.
   Gruppo di sicurezza di rete della scheda di interfaccia di rete	Selezionare Nessuno.

6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

7. Seleziona Crea.

Creare la macchina virtuale privata

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. Selezionare + Crea quindi Macchina virtuale di Azure.

3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Virtual machine name	Immettere vm-private.
   Paese	Selezionare (Stati Uniti) Stati Uniti orientali 2.
   Opzioni di disponibilità	Selezionare La ridondanza dell'infrastruttura non è richiesta.
   Tipo di sicurezza	Selezionare Standard.
   Immagine	Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
   Architettura della macchina virtuale	Lasciare il valore predefinito x64.
   Dimensione	Selezionare una dimensione.
   Account amministratore
   Tipo di autenticazione	selezionare Password.
   Username	Immettere un nome utente.
   Password	Immettere una password.
   Conferma password	Reimmettere la password.
   Regole porta in ingresso
   Porte in ingresso pubbliche	Selezionare Nessuno.

4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Interfaccia di rete
   Rete virtuale	Selezionare vnet-1.
   Subnet	Selezionare subnet-private (10.0.2.0/24).
   IP pubblico	Selezionare Nessuno.
   Gruppo di sicurezza di rete della scheda di interfaccia di rete	Selezionare Nessuno.

6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

7. Seleziona Crea.

PowerShell

Creare una macchina virtuale nella subnet subnet-1 con New-AzVM. L'esempio seguente crea una macchina virtuale denominata vm-public nella subnet pubblica della rete virtuale vnet-1.

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-public"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

Creare una macchina virtuale nella subnet privata della subnet.

# Create a credential object
$cred = Get-Credential

# Define the VM parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-private"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    PublicIpAddressName = $null  # No public IP address
}

# Create the VM
New-AzVM @vmParams

La creazione della VM richiede alcuni minuti. Non proseguire con il passaggio successivo fino a quando non viene creata la macchina virtuale e Azure non restituisce l'output a PowerShell.

CLI

Creare una macchina virtuale nella subnet subnet-1 con az vm create. Il parametro --no-wait consente ad Azure di eseguire il comando in background, pertanto è possibile continuare con il comando successivo.

az vm create \
    --resource-group test-rg \
    --name vm-public \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --public-ip-address "" \
    --admin-username azureuser \
    --authentication-type password \
    --no-wait

Creare una macchina virtuale nella subnet privata della subnet.

az vm create \
    --resource-group test-rg \
    --name vm-private \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-private \
    --public-ip-address "" \
    --admin-username azureuser \
    --authentication-type password

Abilitare l'inoltro IP

Per instradare il traffico attraverso l'appliance virtuale di rete, attivare l'inoltro IP in Azure e nel sistema operativo di vm-nva. Quando l'inoltro IP è abilitato, il traffico ricevuto da vm-nva destinato a un indirizzo IP diverso non viene eliminato e viene inoltrato alla destinazione corretta.

Abilitare l'inoltro IP in Azure

In questa sezione viene attivato l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva.

Portale

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. In Macchine virtuali selezionare vm-nva.

3. In vm-nva espandere Rete, quindi selezionare Impostazioni di rete.

4. Selezionare il nome dell'interfaccia di rete accanto a Interfaccia di rete:. Il nome inizia con vm-nva e ha un numero casuale assegnato all'interfaccia. Il nome dell'interfaccia in questo esempio è vm-nva313.

   

5. Nella pagina di panoramica dell'interfaccia di rete selezionare Configurazioni IP nella sezione Impostazioni.

6. In Configurazioni IPselezionare la casella accanto a Abilita inoltro IP.

   

7. Selezionare Applica.

PowerShell

Abilitare l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva con Set-AzNetworkInterface. L'esempio seguente abilita l'inoltro IP per l'interfaccia di rete denominata vm-nva313.

$nicParams = @{
  Name = "vm-nva"
  ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @nicParams

$nic.EnableIPForwarding = $true

Set-AzNetworkInterface -NetworkInterface $nic

CLI

Abilitare l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva con az network nic update. L'esempio seguente abilita l'inoltro IP per l'interfaccia di rete denominata vm-nvaVMNic.

az network nic update \
    --name vm-nvaVMNic \
    --resource-group test-rg \
    --ip-forwarding true

Abilitare l'inoltro IP nel sistema operativo

In questa sezione viene attivato l'inoltro IP per il sistema operativo dell'interfaccia di rete della macchina virtuale vm-nva per inoltrare il traffico di rete. Usare il servizio Azure Bastion per connettersi alla macchina virtuale vm-nva.

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. In Macchine virtuali selezionare vm-nva.

3. Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.

4. Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.

5. Selezionare Connetti.

6. Immettere le informazioni seguenti nel prompt della macchina virtuale per abilitare l'inoltro IP:

   sudo vim /etc/sysctl.conf
   

7. Nell'editor Vim rimuovere # dalla riga net.ipv4.ip_forward=1:

   Premere il tasto INS.

   # Uncomment the next line to enable packet forwarding for IPv4
   net.ipv4.ip_forward=1
   

   Premere il tasto ESC.

   Immettere :wq e premere Invio.

8. Chiudere la sessione di Bastion.

9. Riavviare la macchina virtuale.

Creare una tabella di route

In questa sezione viene creata una tabella di route per definire la route del traffico attraverso la VM appliance virtuale di rete. La tabella di route è associata alla subnet subnet-1 in cui è distribuita la macchina virtuale vm-public.

Portale

1. Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.

2. Seleziona + Crea.

3. In Crea tabella di route immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Paese	Selezionare Stati Uniti orientali 2.
   Nome	Immettere route-table-public.
   Propaga route del gateway	Lasciare l'impostazione predefinita Sì.

4. Selezionare Rivedi e crea.

5. Seleziona Crea.

Creare una route

In questa sezione viene creata una route all'interno della tabella di route creata nei passaggi precedenti.

1. Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.

2. Selezionare route-table-public.

3. Espandere Impostazioni, quindi selezionare Route.

4. Selezionare + Aggiungi in Route.

5. Immettere o selezionare le informazioni seguenti in Aggiungi route:

   Impostazione	Valore
   Nome route	Immettere to-private-subnet.
   Tipo destinazione	Selezionare Indirizzi IP.
   Indirizzi IP/Intervalli CIDR di destinazione	Immettere 10.0.2.0/24.
   Tipo hop successivo	Selezionare Appliance virtuale.
   Indirizzo hop successivo	Immettere 10.0.3.4. Questo è l'indirizzo IP dell'appliance virtuale vm-nva creata nei passaggi precedenti.

   

6. Selezionare Aggiungi.

7. Selezionare subnet in Impostazioni.

8. Selezionare + Associa.

9. Immettere o selezionare le informazioni seguenti in Associa subnet:

   Impostazione	Valore
   Rete virtuale	Selezionare vnet-1 (test-rg).
   Subnet	Selezionare subnet-1.

10. Seleziona OK.

PowerShell

Creare una tabella di route con New-AzRouteTable. Nell'esempio seguente viene creata una tabella di route denominata route-table-public.

$routeTableParams = @{
    Name = 'route-table-public'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
}
$routeTablePublic = New-AzRouteTable @routeTableParams

Creare una route recuperando l'oggetto tabella di route con Get-AzRouteTable, creare una route con Add-AzRouteConfig, quindi scrivere la configurazione della route nella tabella di route con Set-AzRouteTable.

$routeTableParams = @{
    ResourceGroupName = "test-rg"
    Name = "route-table-public"
}

$routeConfigParams = @{
    Name = "to-private-subnet"
    AddressPrefix = "10.0.2.0/24"
    NextHopType = "VirtualAppliance"
    NextHopIpAddress = "10.0.3.4"
}

$routeTable = Get-AzRouteTable @routeTableParams
$routeTable | Add-AzRouteConfig @routeConfigParams | Set-AzRouteTable

Associare la tabella di route alla subnet subnet-1 con Set-AzVirtualNetworkSubnetConfig. L'esempio seguente associa la tabella route-table-public alla subnet subnet-1 .

$vnetParams = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$virtualNetwork = Get-AzVirtualNetwork @vnetParams

$subnetParams = @{
    VirtualNetwork = $virtualNetwork
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    RouteTable = $routeTablePublic
}
Set-AzVirtualNetworkSubnetConfig @subnetParams | Set-AzVirtualNetwork

CLI

Creare una tabella di route con az network route-table create. Nell'esempio seguente viene creata una tabella di route denominata route-table-public.

# Create a route table
az network route-table create \
    --resource-group test-rg \
    --name route-table-public

Creare una route nella tabella di route con az network route-table route create.

az network route-table route create \
    --name to-private-subnet \
    --resource-group test-rg \
    --route-table-name route-table-public \
    --address-prefix 10.0.2.0/24 \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.3.4

Associare la tabella route-table-subnet-public alla subnet subnet-1 con az network vnet subnet update.

az network vnet subnet update \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --resource-group test-rg \
    --route-table route-table-public

Testare il routing del traffico di rete

Testare il routing del traffico di rete da vm-public a vm-private. Testare il routing del traffico di rete da vm-private a vm-public.

Testare il traffico di rete da vm-public a vm-private

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. In Macchine virtuali selezionare vm-public.

3. Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.

4. Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.

5. Selezionare Connetti.

6. Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-public a vm-private:

   tracepath vm-private
   

   La risposta restituita è simile all'esempio seguente:

   azureuser@vm-public:~$ tracepath vm-private
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-nva.internal.cloudapp.net                          1.766ms 
    1:  vm-nva.internal.cloudapp.net                          1.259ms 
    2:  vm-private.internal.cloudapp.net                      2.202ms reached
    Resume: pmtu 1500 hops 2 back 1 
   

   Notare che nella risposta precedente sono presenti due hop per il traffico ICMP tracepath da vm-public a vm-private. Il primo hop è vm-nva. Il quinto hop è la macchina virtuale vm-private di destinazione.

   Azure ha inviato il traffico da subnet-1 attraverso l'appliance virtuale di rete e non direttamente a subnet-private perché in precedenza è stata aggiunta la route to-private-subnet a route-table-public ed è stata associata a subnet-1.

7. Chiudere la sessione di Bastion.

Testare il traffico di rete da vm-private a vm-public

1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

2. In Macchine virtuali selezionare vm-private.

3. Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.

4. Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.

5. Selezionare Connetti.

6. Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-private a vm-public:

   tracepath vm-public
   

   La risposta restituita è simile all'esempio seguente:

   azureuser@vm-private:~$ tracepath vm-public
    1?: [LOCALHOST]                      pmtu 1500
    1:  vm-public.internal.cloudapp.net                       2.584ms reached
    1:  vm-public.internal.cloudapp.net                       2.147ms reached
    Resume: pmtu 1500 hops 1 back 2 
   

   È possibile notare che è presente un hop nella risposta precedente, ovvero la destinazione vm-public.

   Azure ha inviato il traffico direttamente da subnet-private a subnet-1. Per impostazione predefinita, Azure instrada il traffico direttamente tra subnet.

7. Chiudere la sessione di Bastion.

Portale

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.

1. Accedere al portale di Azure e selezionare Gruppi di risorse.

2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

PowerShell

Quando non sono più necessari, usare Remove-AzResourcegroup per rimuovere il gruppo di risorse e tutte le risorse contenute.

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

CLI

Quando il gruppo di risorse e tutte le risorse in esso contenute non sono più necessari, usare az group delete per rimuoverli.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Passaggi successivi

In questa esercitazione:

• È stata creata una tabella di route per poi associarla a una subnet.

• È stata creata una semplice appliance virtuale di rete che ha indirizzato il traffico da una subnet pubblica a una subnet privata.

È possibile distribuire varie appliance virtuali di rete preconfigurate che offrono numerose funzioni utili da Azure Marketplace.

Per altre informazioni sul routing, vedere Panoramica del routing e Gestire una tabella di route.

Per informazioni su come limitare l'accesso di rete alle risorse PaaS con gli endpoint servizio di rete virtuale, passare all'esercitazione successiva.

Limitare l'accesso alla rete con gli endpoint servizio