練習 - 建立自訂路由
在您實作安全性策略的同時,您希望控制網路流量在 Azure 基礎結構之間路由傳送的方式。
在後續練習中,您會使用網路虛擬設備 (NVA) 來協助保護及監視流量。 您會想要確保前端公用伺服器和內部私人伺服器之間的通訊一律會透過設備來路由傳送。
您會設定網路,以便使從公用子網路流向私人子網路的所有流量都會透過 NVA 路由傳送。 若要達成此流程,您會為公用子網路建立自訂路由,以將此流量路由傳送至周邊網路子網路。 稍後,您會將 NVA 部署至該周邊網路子網路。
在本練習中,您會建立路由表、自訂路由和子網路。 接著,您將會建立路由表與子網路的關聯。
建立路由表和自訂路由
第一個工作是建立新的路由表,然後為針對私人子網路的所有流量新增自訂路由。
注意
您可能會收到錯誤:此命令已隱含地被取代。 請針對本學習課程模組忽略此錯誤。 我們正積極處理中!
在畫面右側的 Cloud Shell 視窗,選取 [更多] 圖示 ([...]),然後選取 [設定] > [前往傳統版本]。
在 Azure Cloud Shell 中,執行下列命令以建立路由表:
az network route-table create \ --name publictable \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --disable-bgp-route-propagation false在 Cloud Shell 中執行下列命令來建立自訂路由:
az network route-table route create \ --route-table-name publictable \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name productionsubnet \ --address-prefix 10.0.1.0/24 \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.2.4
建立虛擬網路和子網路
下一個工作是建立 vnet 虛擬網路,以及您需要的三個子網路:publicsubnet、privatesubnet 和 dmzsubnet。
執行下列命令來建立 vnet 虛擬網路和 publicsubnet 子網路:
az network vnet create \ --name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.0.0/16 \ --subnet-name publicsubnet \ --subnet-prefixes 10.0.0.0/24在 Cloud Shell 中執行下列命令來建立 privatesubnet 子網路:
az network vnet subnet create \ --name privatesubnet \ --vnet-name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.1.0/24執行下列命令來建立 dmzsubnet 子網路:
az network vnet subnet create \ --name dmzsubnet \ --vnet-name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.2.0/24您現在應該有三個子網路。 執行下列命令來顯示 vnet 虛擬網路中的所有子網路:
az network vnet subnet list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vnet-name vnet \ --output table
建立路由表與公用子網路的關聯
本練習的最後一個工作,是將路由表關聯至 publicsubnet 子網路。
執行下列命令來將路由表關聯至公用子網路。
az network vnet subnet update \
--name publicsubnet \
--vnet-name vnet \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--route-table publictable