练习 - 创建自定义路由
实现安全策略时,需要控制网络流量在 Azure 基础结构中的路由方式。
在下面的练习中,需要使用网络虚拟设备 (NVA) 来帮助保护和监视流量。 需要确保前端公共服务器与内部专用服务器之间的通信始终通过设备路由。
需要配置网络,确保从公共子网流向专用子网的所有流量都会通过 NVA 进行路由。 为此,需要创建公共子网的自定义路由,以将此流量路由到外围网络子网。 稍后,需要将 NVA 部署到外围网络子网。
在此练习中,需要创建路由表、自定义路由和子网。 然后将路由表与子网关联。
创建路由表和自定义路由
第一个任务是创建新的路由表,然后为面向专用子网的所有流量添加自定义路由。
注意
可能会出现以下错误:此命令已隐式弃用。 请忽略此学习模块的此错误。 我们正努力开发此功能!
在 Cloud Shell 窗口屏幕的右上角,选择“更多”图标 (...),然后选择“设置”>“转到经典版本”。
在 Azure Cloud Shell 中,运行以下命令以创建一个路由表:
az network route-table create \ --name publictable \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --disable-bgp-route-propagation false在 Cloud Shell 中运行以下命令以创建自定义路由:
az network route-table route create \ --route-table-name publictable \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name productionsubnet \ --address-prefix 10.0.1.0/24 \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.2.4
创建虚拟网络和子网
下一个任务是创建 vnet 虚拟网络以及所需的三个子网:publicsubnet、privatesubnet 和 dmzsubnet。
运行以下命令以创建 vnet 虚拟网络和 publicsubnet 子网:
az network vnet create \ --name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.0.0/16 \ --subnet-name publicsubnet \ --subnet-prefixes 10.0.0.0/24在 Cloud Shell 中运行以下命令以创建 privatesubnet 子网:
az network vnet subnet create \ --name privatesubnet \ --vnet-name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.1.0/24运行以下命令以创建 dmzsubnet 子网:
az network vnet subnet create \ --name dmzsubnet \ --vnet-name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.2.0/24现在应有三个子网。 运行以下命令以显示 vnet 虚拟网络中的所有子网:
az network vnet subnet list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vnet-name vnet \ --output table
将路由表与公共子网关联
在本练习中,最后一个任务是将路由表与 publicsubnet 子网关联。
运行以下命令将路由表与公共子网关联。
az network vnet subnet update \
--name publicsubnet \
--vnet-name vnet \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--route-table publictable