Tutorial: Rotear o tráfego de rede com uma tabela de rotas
O Azure roteia o tráfego entre todas as sub-redes dentro de uma rede virtual, por padrão. Pode criar as sua próprias rotas para substituir o encaminhamento predefinido do Azure. As rotas personalizadas são úteis quando, por exemplo, você deseja rotear o tráfego entre sub-redes por meio de um dispositivo virtual de rede (NVA).
Neste tutorial, irá aprender a:
- Criar uma rede virtual e sub-redes
- Criar uma NVA que encaminha o tráfego
- Implantar máquinas virtuais (VMs) em sub-redes diferentes
- Criar uma tabela de rotas
- Criar uma rota
- Associar uma tabela de rotas a uma sub-rede
- Encaminhar o tráfego de uma sub-rede para outra através de uma NVA
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Você pode criar uma conta gratuitamente.
Criar sub-redes
Uma DMZ e uma sub-rede privada são necessárias para este tutorial. A sub-rede DMZ é onde você implanta o NVA, e a sub-rede privada é onde você implanta as máquinas virtuais para as quais deseja rotear o tráfego. A sub-rede-1 é a sub-rede criada nas etapas anteriores. Use a sub-rede-1 para a máquina virtual pública.
Criar uma rede virtual e um host do Azure Bastion
O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host Bastion:
No portal, pesquise e selecione Redes virtuais.
Na página Redes virtuais, selecione + Criar.
Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione Criar novo.
Digite test-rg para o nome.
Selecione OK.Detalhes da instância Nome Digite vnet-1. País/Região Selecione E.U.A. Leste 2. Selecione Avançar para prosseguir para a guia Segurança .
Na seção Azure Bastion, selecione Habilitar Azure Bastion.
Bastion usa seu navegador para se conectar a VMs em sua rede virtual através de Secure Shell (SSH) ou Remote Desktop Protocol (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, consulte O que é o Azure Bastion?.
Nota
O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.
No Azure Bastion, insira ou selecione as seguintes informações:
Definição Value Nome do host do Azure Bastion Entre no bastião. Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
Digite public-ip-bastion em Name.
Selecione OK.Selecione Avançar para prosseguir para a guia Endereços IP .
Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão .
Em Editar sub-rede, insira ou selecione as seguintes informações:
Definição Value Finalidade da sub-rede Deixe o padrão de Default. Nome Digite subnet-1. IPv4 Intervalo de endereços IPv4 Deixe o padrão de 10.0.0.0/16. Endereço inicial Deixe o padrão de 10.0.0.0. Tamanho Deixe o padrão de /24 (256 endereços). Selecione Guardar.
Selecione Rever + criar na parte inferior da janela. Quando a validação for aprovada, selecione Criar.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Em Redes virtuais, selecione vnet-1.
Em vnet-1, selecione Sub-redes na seção Configurações .
Na lista de sub-redes da rede virtual, selecione + Sub-rede.
Em Adicionar sub-rede, insira ou selecione as seguintes informações:
Definição Value Finalidade da sub-rede Deixe o padrão de Default. Nome Digite subnet-private. IPv4 Intervalo de endereços IPv4 Deixe o padrão de 10.0.0.0/16. Endereço inicial Digite 10.0.2.0. Tamanho Deixe o padrão de /24 (256 endereços). Selecione Adicionar.
Selecione + Sub-rede.
Em Adicionar sub-rede, insira ou selecione as seguintes informações:
Definição Value Finalidade da sub-rede Deixe o padrão de Default. Nome Digite subnet-dmz. IPv4 Intervalo de endereços IPv4 Deixe o padrão de 10.0.0.0/16. Endereço inicial Digite 10.0.3.0. Tamanho Deixe o padrão de /24 (256 endereços). Selecione Adicionar.
Criar uma máquina virtual NVA
As ferramentas virtuais de rede (NVAs) são máquinas virtuais que ajudam com funções de rede, como roteamento e otimização de firewall. Nesta seção, crie um NVA usando uma máquina virtual Ubuntu 24.04 .
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e, em seguida, Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as seguintes informações na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Virtual machine name Digite vm-nva. País/Região Selecione (EUA) Leste dos EUA 2. Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura. Tipo de segurança selecione Standard. Image Selecione Ubuntu Server 24.04 LTS - x64 Gen2. Arquitetura VM Deixe o padrão de x64. Tamanho Selecione um tamanho. Conta de administrador Authentication type Selecione Senha. Username Introduza um nome de utilizador. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Regras de porta de entrada Portas de entrada públicas Selecione Nenhuma. Selecione Next: Disks (Seguinte): Discos e, em seguida , Next: Networking.
Na guia Rede, insira ou selecione as seguintes informações:
Definição Value Interface de Rede Rede virtual Selecione vnet-1. Sub-rede Selecione subnet-dmz (10.0.3.0/24). IP público Selecione Nenhuma. Grupo de segurança de rede NIC Selecione Avançadas. Configurar grupo de segurança de rede Selecione Criar novo.
Em Nome , digite nsg-nva.
Selecione OK.Deixe o restante das opções nos padrões e selecione Revisar + criar.
Selecione Criar.
Criar máquinas virtuais públicas e privadas
Crie duas máquinas virtuais na rede virtual vnet-1 . Uma máquina virtual está na sub-rede 1 e a outra máquina virtual está na sub-rede privada da sub-rede. Use a mesma imagem de máquina virtual para ambas as máquinas virtuais.
Criar máquina virtual pública
A máquina virtual pública é usada para simular uma máquina na Internet pública. A máquina virtual pública e privada é usada para testar o roteamento do tráfego de rede por meio da máquina virtual NVA.
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e, em seguida, Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as seguintes informações na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Virtual machine name Digite vm-public. País/Região Selecione (EUA) Leste dos EUA 2. Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura. Tipo de segurança selecione Standard. Image Selecione Ubuntu Server 24.04 LTS - x64 Gen2. Arquitetura VM Deixe o padrão de x64. Tamanho Selecione um tamanho. Conta de administrador Authentication type Selecione Senha. Username Introduza um nome de utilizador. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Regras de porta de entrada Portas de entrada públicas Selecione Nenhuma. Selecione Next: Disks (Seguinte): Discos e, em seguida , Next: Networking.
Na guia Rede, insira ou selecione as seguintes informações:
Definição Value Interface de Rede Rede virtual Selecione vnet-1. Sub-rede Selecione sub-rede-1 (10.0.0.0/24). IP público Selecione Nenhuma. Grupo de segurança de rede NIC Selecione Nenhuma. Deixe o restante das opções nos padrões e selecione Revisar + criar.
Selecione Criar.
Criar máquina virtual privada
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e, em seguida, Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as seguintes informações na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância Virtual machine name Digite vm-private. País/Região Selecione (EUA) Leste dos EUA 2. Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura. Tipo de segurança selecione Standard. Image Selecione Ubuntu Server 24.04 LTS - x64 Gen2. Arquitetura VM Deixe o padrão de x64. Tamanho Selecione um tamanho. Conta de administrador Authentication type Selecione Senha. Username Introduza um nome de utilizador. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Regras de porta de entrada Portas de entrada públicas Selecione Nenhuma. Selecione Next: Disks (Seguinte): Discos e, em seguida , Next: Networking.
Na guia Rede, insira ou selecione as seguintes informações:
Definição Value Interface de Rede Rede virtual Selecione vnet-1. Sub-rede Selecione subnet-private (10.0.2.0/24). IP público Selecione Nenhuma. Grupo de segurança de rede NIC Selecione Nenhuma. Deixe o restante das opções nos padrões e selecione Revisar + criar.
Selecione Criar.
Ativar o reencaminhamento de IP
Para rotear o tráfego através do NVA, ative o encaminhamento IP no Azure e no sistema operacional do vm-nva. Quando o encaminhamento IP está habilitado, qualquer tráfego recebido pelo vm-nva destinado a um endereço IP diferente, não é descartado e é encaminhado para o destino correto.
Habilitar o encaminhamento de IP no Azure
Nesta seção, você ativa o encaminhamento IP para a interface de rede da máquina virtual vm-nva .
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Em Máquinas virtuais, selecione vm-nva.
No vm-nva, expanda Rede e selecione Configurações de rede.
Selecione o nome da interface ao lado de Interface de Rede:. O nome começa com vm-nva e tem um número aleatório atribuído à interface. O nome da interface neste exemplo é vm-nva313.
Na página de visão geral da interface de rede, selecione Configurações de IP na seção Configurações .
Em Configurações de IP, marque a caixa ao lado de Habilitar encaminhamento de IP.
Selecione Aplicar.
Habilitar o encaminhamento de IP no sistema operacional
Nesta seção, ative o encaminhamento IP para o sistema operacional da máquina virtual vm-nva para encaminhar o tráfego de rede. Use o serviço Azure Bastion para se conectar à máquina virtual vm-nva .
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Em Máquinas virtuais, selecione vm-nva.
Selecione Conectar e, em seguida , Conectar via bastião na seção Visão geral .
Introduza o nome de utilizador e a palavra-passe que introduziu quando a máquina virtual foi criada.
Selecione Ligar.
Insira as seguintes informações no prompt da máquina virtual para habilitar o encaminhamento de IP:
sudo vim /etc/sysctl.conf
No editor Vim, remova o
#
da linhanet.ipv4.ip_forward=1
:Pressione a tecla Insert .
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1
Pressione a tecla Esc .
Digite
:wq
e pressione Enter.Feche a sessão Bastion.
Reinicie a máquina virtual.
Criar uma tabela de rotas
Nesta seção, crie uma tabela de rotas para definir a rota do tráfego através da máquina virtual NVA. A tabela de rotas está associada à sub-rede 1 onde a máquina virtual vm-public está implantada.
Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar tabela de rotas , insira ou selecione as seguintes informações:
Definição Value Detalhes do projeto Subscrição Selecione a sua subscrição. Grupo de recursos Selecione test-rg. Detalhes da instância País/Região Selecione E.U.A. Leste 2. Nome Insira route-table-public. Propagar rotas de gateway Deixe o padrão de Sim. Selecione Rever + criar.
Selecione Criar.
Criar uma rota
Nesta seção, crie uma rota na tabela de rotas que você criou nas etapas anteriores.
Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.
Selecione route-table-public.
Expanda Configurações e selecione Rotas.
Selecione + Adicionar em rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Definição Value Nome da rota Digite to-private-subnet. Tipo de destino Selecione Endereços IP. Endereços IP de destino/intervalos CIDR Digite 10.0.2.0/24. Tipo de salto seguinte Selecione Aplicação virtual. Endereço do próximo salto Digite 10.0.3.4.
Este é o endereço IP do vm-nva que você criou nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associado.
Insira ou selecione as seguintes informações na sub-rede Associar:
Definição Value Rede virtual Selecione vnet-1 (test-rg). Sub-rede Selecione sub-rede-1. Selecione OK.
Testar o roteamento do tráfego de rede
Teste o roteamento do tráfego de rede de vm-public para vm-private. Teste o roteamento do tráfego de rede de vm-private para vm-public.
Teste o tráfego de rede de vm-public para vm-private
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Em Máquinas virtuais, selecione vm-public.
Selecione Conectar e, em seguida, Conectar via bastião na seção Visão geral .
Introduza o nome de utilizador e a palavra-passe que introduziu quando a máquina virtual foi criada.
Selecione Ligar.
No prompt, digite o seguinte comando para rastrear o roteamento do tráfego de rede de vm-public para vm-private:
tracepath vm-private
A resposta é semelhante ao seguinte exemplo:
azureuser@vm-public:~$ tracepath vm-private 1?: [LOCALHOST] pmtu 1500 1: vm-nva.internal.cloudapp.net 1.766ms 1: vm-nva.internal.cloudapp.net 1.259ms 2: vm-private.internal.cloudapp.net 2.202ms reached Resume: pmtu 1500 hops 2 back 1
Você pode ver que há dois saltos na resposta acima para
tracepath
o tráfego ICMP de vm-public para vm-private. O primeiro salto é vm-nva. O segundo salto é o destino vm-private.O Azure enviou o tráfego da sub-rede-1 através do NVA e não diretamente para a sub-rede-privada porque você adicionou anteriormente a rota to-private-subnet à route-table-public e a associou à sub-rede-1.
Feche a sessão Bastion.
Teste o tráfego de rede de vm-private para vm-public
Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Em Máquinas virtuais, selecione vm-private.
Selecione Conectar e, em seguida, Conectar via bastião na seção Visão geral .
Introduza o nome de utilizador e a palavra-passe que introduziu quando a máquina virtual foi criada.
Selecione Ligar.
No prompt, digite o seguinte comando para rastrear o roteamento do tráfego de rede de vm-private para vm-public:
tracepath vm-public
A resposta é semelhante ao seguinte exemplo:
azureuser@vm-private:~$ tracepath vm-public 1?: [LOCALHOST] pmtu 1500 1: vm-public.internal.cloudapp.net 2.584ms reached 1: vm-public.internal.cloudapp.net 2.147ms reached Resume: pmtu 1500 hops 1 back 2
Você pode ver que há um salto na resposta acima, que é o destino vm-public.
O Azure enviou o tráfego diretamente da sub-rede-privada para a sub-rede-1. Por predefinição, o Azure encaminha o tráfego diretamente entre sub-redes.
Feche a sessão Bastion.
Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.
No portal do Azure, procure e selecione Grupos de recursos.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos.
Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.
Próximos passos
Neste tutorial:
Criou uma tabela de rotas e associou-a a uma sub-rede.
Criou um NVA simples que roteava o tráfego de uma sub-rede pública para uma sub-rede privada.
Você pode implantar diferentes NVAs pré-configurados do Azure Marketplace, que fornecem muitas funções de rede úteis.
Para saber mais sobre o encaminhamento, veja Descrição geral do encaminhamento e Manage a route table (Gerir uma tabela de rotas).
Para saber como restringir o acesso à rede a recursos PaaS com pontos de extremidade de serviço de rede virtual, avance para o próximo tutorial.