Compartilhar via


Tutorial: Rotear tráfego de rede com uma tabela de rotas

O Azure roteia tráfego entre todas as sub-redes contidas em uma rede virtual por padrão. É possível criar as próprias rotas para substituir o roteamento padrão do Azure. As rotas personalizadas são úteis quando, por exemplo, você deseja rotear o tráfego entre sub-redes por meio de uma NVA (solução de virtualização de rede).

Diagrama dos recursos do Azure criados no tutorial.

Neste tutorial, você aprenderá a:

  • Criar uma rede virtual e sub-redes
  • Criar uma NVA que roteia o tráfego
  • Implantar VMs (máquinas virtuais) em diferentes sub-redes
  • Criar uma tabela de rotas
  • Criar uma rota
  • Associar uma tabela de rotas a uma sub-rede
  • Rotear o tráfego de uma sub-rede para outra por meio de uma NVA

Pré-requisitos

Criar sub-redes

Uma sub-rede DMZ e privada são necessárias para este tutorial. A sub-rede DMZ é onde você implanta o NVA e a sub-rede Privada é onde você implanta as máquinas virtuais para as quais deseja rotear o tráfego. A subnet-1 é a sub-rede criada nas etapas anteriores. Use a sub-rede-1 para a máquina virtual pública.

Criar uma rede virtual e um host do Azure Bastion

O seguinte procedimento cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Bastion:

  1. No portal do Azure, pesquise e selecione Redes virtuais.

  2. Na página Redes virtuais, selecione + Criar.

  3. Na guia Informações Básicas em Criar rede virtual, insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione Criar novo.
    Insira test-rg para o nome.
    Selecione
    .
    Detalhes da instância
    Nome Insira vnet-1.
    Região Selecione Leste dos EUA 2.

    Captura de tela da guia Básico para criar uma rede virtual no portal do Azure.

  4. Selecione Avançar para prosseguir para a guia Segurança.

  5. Na seção Azure Bastion, selecione Habilitar o Azure Bastion.

    O Bastion usa seu navegador para se conectar às VMs em sua rede virtual por meio do Secure Shell (SSH) ou do Protocolo de Área de Trabalho Remota (RDP) usando os respectivos endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, confira O que é o Azure Bastion?.

    Observação

    Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.

  6. Em Azure Bastion, digite ou selecione as seguintes informações:

    Configuração Valor
    Nome do host do Azure Bastion Insira bastion.
    Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
    Insira public-ip-bastion em Nome.
    Selecione
    .

    Captura de tela das opções para habilitar um host do Azure Bastion como parte da criação de uma rede virtual no portal do Azure.

  7. Selecione Avançar para prosseguir para a guia Endereços IP.

  8. Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão.

  9. Em Editar sub-rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Finalidade da sub-rede Mantenha o padrão como Padrão.
    Nome Insira sub-rede-1.
    IPv4
    Intervalo de endereços IPv4 Mantenha o padrão de 10.0.0.0/16.
    Endereço inicial Deixe o padrão de 10.0.0.0.
    Tamanho Deixe o padrão de /24 (256 endereços).

    Captura de tela dos detalhes de configuração de uma sub-rede.

  10. Selecione Salvar.

  11. Selecione Examinar + criar na parte inferior da página. Quando a validação for aprovada na validação, selecione Criar.

  1. Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

  2. Em Redes virtuais, selecione vnet-1.

  3. Em vnet-1, selecione Sub-redes na seção Configurações section.

  4. Na lista de sub-redes da rede virtual, escolha + Sub-rede.

  5. Em Adicionar sub-rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Finalidade da sub-rede Mantenha o padrão como Padrão.
    Nome Insira subnet-private.
    IPv4
    Intervalo de endereços IPv4 Mantenha o padrão de 10.0.0.0/16.
    Endereço inicial Insira 10.0.2.0.
    Tamanho Deixe o padrão de /24 (256 endereços).

    Captura de tela da criação de uma sub-rede privada na rede virtual.

  6. Selecione Adicionar.

  7. Selecione + Sub-rede.

  8. Em Adicionar sub-rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Finalidade da sub-rede Mantenha o padrão como Padrão.
    Nome Insira subnet-dmz.
    IPv4
    Intervalo de endereços IPv4 Mantenha o padrão de 10.0.0.0/16.
    Endereço inicial Insira 10.0.3.0.
    Tamanho Deixe o padrão de /24 (256 endereços).

    Captura de tela da criação de uma sub-rede DMZ na rede virtual.

  9. Selecione Adicionar.

Criar uma máquina virtual de NVA

NVAs (soluções de virtualização de rede) são máquinas virtuais que ajudam com funções de rede, como roteamento e otimização de firewall. Nesta seção, crie um NVA usando uma máquina virtual Ubuntu 24.04.

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione + Criar e depois a máquina virtual do Azure.

  3. Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome da máquina virtual Insira vm-nva.
    Região Selecione (EUA) Leste dos EUA 2.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Selecione Padrão.
    Image Selecione Ubuntu Server 24.04 LTS - x64 Gen2.
    Arquitetura de VMs Mantenha o padrão x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Tipo de autenticação Selecione Senha.
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha.
    Confirmar senha Reinsira a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.
  4. Selecione Avançar: Discos e Avançar: Rede.

  5. Na guia Rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione subnet-dmz (10.0.3.0/24).
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Avançado.
    Configurar um grupo de segurança de rede Selecione Criar novo.
    Em Nome, insira nsg-nva.
    Selecione OK.
  6. Deixe o padrão nas outras opções e selecione Examinar + criar.

  7. Selecione Criar.

Criar máquinas virtuais públicas e privadas

Crie duas máquinas virtuais na rede virtual vnet-1. Uma máquina virtual está na sub-rede subnet-1 e a outra máquina virtual está na sub-rede subnet-private. Use a mesma imagem de máquina virtual para ambas as máquinas virtuais.

Criar uma máquina virtual pública

A máquina virtual pública é usada para simular uma máquina na Internet pública. As máquinas virtuais pública e privada são usadas para testar o roteamento do tráfego de rede por meio da máquina virtual NVA.

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione + Criar e depois a máquina virtual do Azure.

  3. Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome da máquina virtual Insira vm-public.
    Region Selecione (EUA) Leste dos EUA 2.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Selecione Padrão.
    Image Selecione Ubuntu Server 24.04 LTS - x64 Gen2.
    Arquitetura de VMs Mantenha o padrão x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Tipo de autenticação Selecione Senha.
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha.
    Confirmar senha Reinsira a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.
  4. Selecione Avançar: Discos e Avançar: Rede.

  5. Na guia Rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione sub-rede-1 (10.0.0.0/24).
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Nenhum.
  6. Deixe o padrão nas outras opções e selecione Examinar + criar.

  7. Selecione Criar.

Criar uma máquina virtual privada

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione + Criar e depois a máquina virtual do Azure.

  3. Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome da máquina virtual Insira vm-private.
    Region Selecione (EUA) Leste dos EUA 2.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Selecione Padrão.
    Image Selecione Ubuntu Server 24.04 LTS - x64 Gen2.
    Arquitetura de VMs Mantenha o padrão x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Tipo de autenticação Selecione Senha.
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha.
    Confirmar senha Reinsira a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.
  4. Selecione Avançar: Discos e Avançar: Rede.

  5. Na guia Rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione subnet-private (10.0.2.0/24).
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Nenhum.
  6. Deixe o padrão nas outras opções e selecione Examinar + criar.

  7. Selecione Criar.

Habilitar o encaminhamento de IP

Para rotear o tráfego por meio da NVA, ative o encaminhamento de IP no Azure e no sistema operacional da vm-nva. Quando o encaminhamento de IP está habilitado, qualquer tráfego recebido pela vm-nva que seja destinado a um endereço IP diferente não é removido e é encaminhado para o destino correto.

Habilitar o encaminhamento de IP no Azure

Nesta seção, você ativa o encaminhamento de IP para a interface de rede da máquina virtual vm-nva.

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Em Máquinas virtuais, selecione vm-nva.

  3. Em vm-nva, expanda Rede e selecione Configurações de rede.

  4. Selecione o nome do adaptadorao lado de Adaptador de rede:. O nome começa com vm-nva e tem um número aleatório atribuído à interface. O nome da interface neste exemplo é vm-nva313.

    Captura de tela da interface de rede da máquina virtual NVA.

  5. Na página de visão geral do adaptador de rede, selecione Configurações de IP na seção Configurações.

  6. Em Configurações de IP, selecione a caixa ao lado de Habilitar encaminhamento de IP.

    Captura de tela da ativação do encaminhamento de IP.

  7. Escolha Aplicar.

Habilitar o encaminhamento de IP no sistema operacional

Nesta seção, ative o encaminhamento de IP para o sistema operacional da máquina virtual vm-nva para encaminhar o tráfego de rede. Use o serviço Azure Bastion para se conectar à máquina virtual vm-nva.

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Em Máquinas virtuais, selecione vm-nva.

  3. Selecione Conectar e conecte-se via Bastion na seção Visão geral.

  4. Insira o nome de usuário e a senha que você inseriu quando a máquina virtual foi criada.

  5. Selecione Conectar.

  6. Insira as seguintes informações no prompt da máquina virtual para habilitar o encaminhamento de IP:

    sudo vim /etc/sysctl.conf
    
  7. No editor Vim, remova # da linha net.ipv4.ip_forward=1:

    Pressione a tecla Insert.

    # Uncomment the next line to enable packet forwarding for IPv4
    net.ipv4.ip_forward=1
    

    Pressione a tecla ESC.

    Insira :wq e pressione ENTER.

  8. Feche a sessão do Bastion.

  9. Reinicie a máquina virtual.

Criar uma tabela de rotas

Nesta seção, crie uma tabela de rotas para definir a rota do tráfego por meio da máquina virtual NVA. A tabela de rotas está associada à sub-rede subnet-1 em que a máquina virtual vm-public é implantada.

  1. Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Em Criar Tabela de rotas, insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Região Selecione Leste dos EUA 2.
    Nome Insira route-table-public.
    Propagar rotas de gateway Mantenha o padrão Sim.
  4. Selecione Examinar + criar.

  5. Selecione Criar.

Criar uma rota

Nesta seção, crie uma rota na tabela de rotas que você criou nas etapas anteriores.

  1. Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.

  2. Selecione route-table-public.

  3. Expanda Configurações e selecione Rotas.

  4. Selecione + Adicionar em Rotas.

  5. Insira ou selecione as seguintes informações em Adicionar rota:

    Configuração Valor
    Nome da rota Insira to-private-subnet.
    Tipo de destino Selecione Endereços IP.
    Intervalos de CIDR /endereço IP de destino Insira 10.0.2.0/24.
    Tipo do próximo salto Selecione Solução de virtualização.
    Endereço do próximo salto Insira 10.0.3.4.
    Esse é o endereço IP da vm-nva que você criou nas etapas anteriores..

    Captura de tela da criação de rota na tabela de rotas.

  6. Selecione Adicionar.

  7. Selecione Sub-redes em Configurações.

  8. Selecione + Associar.

  9. Insira ou selecione as seguintes informações em Associar sub-rede:

    Configuração Valor
    Rede virtual Selecione vnet-1 (test-rg).
    Sub-rede Selecione sub-rede-1.
  10. Selecione OK.

Testar o roteamento de tráfego de rede

Teste o roteamento do tráfego de rede de vm-public para vm-private. Teste o roteamento do tráfego de rede de vm-private para vm-public.

Testar o tráfego de rede de vm-public para vm-private

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Em Máquinas virtuais, selecione vm-public.

  3. Selecione Conectar e conecte-se via Bastion na seção Visão geral.

  4. Insira o nome de usuário e a senha que você inseriu quando a máquina virtual foi criada.

  5. Selecione Conectar.

  6. No prompt, insira o seguinte comando para rastrear o roteamento do tráfego de rede de vm-public para vm-private:

    tracepath vm-private
    

    A resposta é semelhante ao seguinte exemplo:

    azureuser@vm-public:~$ tracepath vm-private
     1?: [LOCALHOST]                      pmtu 1500
     1:  vm-nva.internal.cloudapp.net                          1.766ms 
     1:  vm-nva.internal.cloudapp.net                          1.259ms 
     2:  vm-private.internal.cloudapp.net                      2.202ms reached
     Resume: pmtu 1500 hops 2 back 1 
    

    Você pode ver que há dois saltos na resposta acima para o tráfego ICMP de tracepath da vm-public para vm-private. O primeiro salto é vm-nva. O segundo salto é o destino vm-private.

    O Azure enviou o tráfego da subnet-1 por meio do NVA, e não diretamente para subnet-private, porque você adicionou anteriormente a rota to-private-subnet à route-table-public e a associou à subnet-1.

  7. Feche a sessão do Bastion.

Testar o tráfego de rede de vm-private para vm-public

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Em Máquinas virtuais, selecione vm-private.

  3. Selecione Conectar e conecte-se via Bastion na seção Visão geral.

  4. Insira o nome de usuário e a senha que você inseriu quando a máquina virtual foi criada.

  5. Selecione Conectar.

  6. No prompt, insira o seguinte comando para rastrear o roteamento do tráfego de rede de vm-private para vm-public:

    tracepath vm-public
    

    A resposta é semelhante ao seguinte exemplo:

    azureuser@vm-private:~$ tracepath vm-public
     1?: [LOCALHOST]                      pmtu 1500
     1:  vm-public.internal.cloudapp.net                       2.584ms reached
     1:  vm-public.internal.cloudapp.net                       2.147ms reached
     Resume: pmtu 1500 hops 1 back 2 
    

    É possível ver um salto na resposta acima, que é o destino vm-public.

    O Azure enviou o tráfego diretamente da subnet-private para a subnet-1. Por padrão, o Azure roteia o tráfego diretamente entre sub-redes.

  7. Feche a sessão do Bastion.

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

  1. No portal do Azure, procure por Grupos de recursos e selecione essa opção.

  2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

  3. Na página test-rg, selecione Excluir grupo de recursos .

  4. Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.

Próximas etapas

Neste tutorial, você:

  • Criou uma tabela de rotas e a associou a uma sub-rede.

  • Criou uma NVA simples que roteou o tráfego de uma sub-rede pública para uma sub-rede privada.

Usando o Azure Marketplace, você pode implantar diferentes NVAs pré-configuradas, que fornecem muitas funções de rede úteis.

Para saber mais sobre roteamento, consulte Visão geral de roteamento e Gerenciar uma tabela de rotas.

Para saber como restringir o acesso à rede de recursos de PaaS com pontos de extremidade de serviço de rede virtual, prossiga para o próximo tutorial.