Руководство. Использование шлюза NAT с концентратором и периферийной сетью
Сеть концентратора и периферийной сети является одним из стандартных блоков высокодоступной сетевой инфраструктуры расположения. Наиболее распространенное развертывание концентратора и периферийной сети выполняется с целью маршрутизации всего межресундового и исходящего интернет-трафика через центральный концентратор. Цель — проверить весь трафик, проходящий через сеть с помощью сетевого виртуального устройства (NVA), для проверки безопасности и проверки пакетов.
Для исходящего трафика в Интернет виртуальный сетевой модуль обычно имеет один сетевой интерфейс с назначенным общедоступным IP-адресом. NVA после проверки исходящего трафика перенаправит трафик через общедоступный интерфейс и в Интернет. Шлюз NAT Azure устраняет потребность в общедоступном IP-адресе, назначенном NVA. Связывание шлюза NAT с общедоступной подсетью NVA изменяет маршрутизацию для общедоступного интерфейса, чтобы маршрутизировать весь исходящий интернет-трафик через шлюз NAT. Устранение общедоступного IP-адреса повышает безопасность и позволяет масштабировать преобразование исходящих сетевых адресов (SNAT) с несколькими общедоступными IP-адресами и префиксами общедоступных IP-адресов.
Внимание
NVA, используемый в этой статье, предназначен только для демонстрационных целей и имитируется с виртуальной машиной Ubuntu. Решение не включает подсистему балансировки нагрузки для обеспечения высокой доступности развертывания NVA. Замените виртуальную машину Ubuntu в этой статье на NVA вашего выбора. Обратитесь к поставщику выбранного NVA, чтобы получить инструкции по маршрутизации и настройке. Для высокодоступной инфраструктуры NVA рекомендуется использовать подсистему балансировки нагрузки и зоны доступности.
В этом руководстве описано следующее:
- Создайте шлюз NAT.
- Создание концентратора и периферийной виртуальной сети.
- Создайте имитированное виртуальное сетевое устройство (NVA).
- Принудительной передачи всего трафика из периферийных узлов через концентратор.
- Принудительно принудить весь интернет-трафик в концентраторе и периферийные серверы шлюза NAT.
- Тестирование шлюза NAT и межресресной маршрутизации.
Необходимые компоненты
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Создание шлюза NAT.
Весь исходящий интернет-трафик проходит через шлюз NAT к Интернету. Используйте следующий пример, чтобы создать шлюз NAT для концентратора и периферийной сети.
Войдите на портал Azure.
В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.
Выберите + Создать.
На вкладке "Основы" шлюза создания сетевых адресов (NAT) введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите Создать.
Введите test-rg в name.
Нажмите кнопку ОК.Сведения об экземпляре Имя шлюза NAT Введите nat-gateway. Область/регион Выберите регион Восточная часть США 2. Availability zone Выберите зону или зону "Нет". Время ожидания простоя TCP (минуты) Сохраните значение по умолчанию 4. Выберите Далее: Исходящий IP-адрес внизу страницы.
В исходящих IP-адресах в общедоступных IP-адресах выберите "Создать новый общедоступный IP-адрес".
Введите public-ip-nat в name.
Нажмите ОК.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Создание центральной виртуальной сети
Виртуальная сеть концентратора — это центральная сеть решения. Сеть концентратора содержит устройство NVA и общедоступную и частную подсеть. Шлюз NAT назначается общедоступной подсети во время создания виртуальной сети. Узел Бастиона Azure настраивается в рамках следующего примера. Узел бастиона используется для безопасного подключения к виртуальной машине NVA и тестовых виртуальных машин, развернутых в периферийных модулях далее в статье.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите + Создать.
На вкладке "Основы " виртуальной сети введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя. Введите vnet-hub. Область/регион Выберите регион Восточная часть США 2. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
Выберите "Включить бастион Azure" в разделе "Бастион Azure" на вкладке "Безопасность".
Бастион Azure использует браузер для подключения к виртуальным машинам в виртуальной сети через безопасную оболочку (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения о Бастионе Azure см. в статье "Бастион Azure"
Примечание.
Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
Введите или выберите следующие сведения в Бастионе Azure:
Параметр Значение Имя узла Бастиона Azure Введите бастион. Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
Введите public-ip-бастион в поле "Имя".
Нажмите кнопку ОК.Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов .
В поле адресного пространства в подсетях выберите подсеть по умолчанию .
В разделе "Изменить подсеть" введите или выберите следующие сведения:
Параметр Значение Назначение подсети Оставьте значение по умолчанию по умолчанию. Имя. Введите подсеть-private. IРv4 Диапазон адресов IPv4 Оставьте значение по умолчанию 10.0.0.0/16. Начальный адрес Оставьте значение по умолчанию 10.0.0.0. Размер Оставьте значение по умолчанию /24(256 адресов). Выберите Сохранить.
Выберите +Добавить подсеть.
В поле "Добавить подсеть" введите или выберите следующие сведения:
Параметр Значение Назначение подсети Оставьте значение по умолчанию по умолчанию. Имя. Введите общедоступную подсеть. IРv4 Диапазон адресов IPv4 Оставьте значение по умолчанию 10.0.0.0/16. Начальный адрес Введите 10.0.253.0. Размер Выберите /28(16 адресов). Безопасность Шлюз NAT Выберите nat-gateway. Выберите Добавить.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Развертывание узла бастиона занимает несколько минут. При создании виртуальной сети в рамках развертывания можно перейти к следующим шагам.
Создание имитированной виртуальной машины NVA
Имитированная NVA выступает в качестве виртуального устройства для маршрутизации всего трафика между периферийными устройствами и концентратором и исходящим трафиком в Интернет. Виртуальная машина Ubuntu используется для имитации NVA. Используйте следующий пример, чтобы создать имитированный NVA и настроить сетевые интерфейсы.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите + Создать, затем выберите Виртуальная машина Azure.
В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Virtual machine name Введите vm-nva. Область/регион Выберите регион (США) Восточная часть США 2. Параметры доступности Выберите Избыточность инфраструктуры не требуется. Тип безопасности Выберите Стандартное. Изображения Выберите Ubuntu Server 24.04 LTS — x64-го поколения 2-го поколения. Архитектура виртуальной машины Оставьте значение по умолчанию x64. Размер Выберите размер. Учетная запись администратора Тип аутентификации выберите Пароль. Username Введите имя пользователя. Пароль Введите пароль. Подтверждение пароля Введите пароль еще раз. Правила входящего порта Общедоступные входящие порты Выберите Отсутствует. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".
На вкладке Сеть введите или выберите следующие значения параметров.
Параметр Значение Сетевой интерфейс Виртуальная сеть Выберите виртуальный концентратор. Подсеть Выберите подсеть общедоступную (10.0.253.0/28). Общедоступный IP-адрес Выберите Отсутствует. Группа безопасности сети сетевого адаптера Выберите Дополнительно. Настройка группы безопасности сети Выберите Создать.
В поле "Имя" введите nsg-nva.
Нажмите кнопку ОК.Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".
Нажмите кнопку создания.
Настройка сетевых интерфейсов виртуальной машины
IP-конфигурация основного сетевого интерфейса виртуальной машины устанавливается как динамическая по умолчанию. Используйте следующий пример, чтобы изменить ip-конфигурацию первичного сетевого интерфейса на статическую и добавить дополнительный сетевой интерфейс для частного интерфейса NVA.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-nva.
В разделе "Обзор" выберите "Остановить", если виртуальная машина запущена.
Разверните узел "Сеть" , а затем выберите параметры сети.
В параметрах сети выберите имя сетевого интерфейса рядом с Сетевым интерфейсом:. Имя интерфейса — это имя виртуальной машины и случайные числа и буквы. В этом примере имя интерфейса — vm-nva271.
В свойствах сетевого интерфейса выберите Конфигурации IP в разделе Параметры.
Выберите поле рядом с параметром "Включить IP-пересылку".
Выберите Применить.
После завершения действия применения выберите ipconfig1.
В параметрах частных IP-адресов в ipconfig1 выберите "Статический".
В частном IP-адресе введите 10.0.253.10.
Выберите Сохранить.
Когда действие сохранения завершится, вернитесь в конфигурацию сети для vm-nva.
В параметрах сети виртуальной машины-nva выберите "Подключить сетевой интерфейс".
Выберите команду Create and attach network interface (Создать и присоединить сетевой интерфейс).
В разделе "Создание сетевого интерфейса" введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Группа ресурсов Выберите test-rg. Сетевой интерфейс Имя. Введите nic-private. Подсеть Выберите подсеть -private (10.0.0.0/24). Группа безопасности сети сетевого адаптера Выберите Дополнительно. Настройка группы безопасности сети Выберите nsg-nva. Назначение частного IP-адреса Выберите Статический. Частный IP-адрес Введите 10.0.0.10. Нажмите кнопку создания.
Настройка программного обеспечения виртуальной машины
Маршрутизация для имитированного NVA использует IP-таблицы и внутренние NAT в виртуальной машине Ubuntu. Подключитесь к виртуальной машине NVA с помощью Бастиона Azure, чтобы настроить IP-таблицы и конфигурацию маршрутизации.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-nva.
Запустите vm-nva.
После завершения загрузки виртуальной машины перейдите к следующим шагам.
В разделе "Обзор" выберите "Подключиться", а затем нажмите кнопку "Подключиться" через бастион.
Введите имя пользователя и пароль, введенные при создании виртуальной машины.
Нажмите Подключиться.
Введите следующие сведения в запросе виртуальной машины, чтобы включить IP-пересылку:
sudo vim /etc/sysctl.confВ редакторе Vim удалите
#строкуnet.ipv4.ip_forward=1:Нажмите клавишу INSERT.
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Нажмите клавишу ESC.
Введите
:wqи нажмите клавишу ВВОД.Введите следующие сведения, чтобы включить внутренний NAT на виртуальной машине:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistentДважды нажмите кнопку "Да ".
sudo su iptables-save > /etc/iptables/rules.v4 exitИспользуйте Vim для изменения конфигурации со следующими сведениями:
sudo vim /etc/rc.localНажмите клавишу INSERT.
Добавьте следующую строку в файл конфигурации:
/sbin/iptables-restore < /etc/iptables/rules.v4Нажмите клавишу ESC.
Введите
:wqи нажмите клавишу ВВОД.Перезагрузите виртуальную машину:
sudo reboot
Создание таблицы сетевых маршрутов концентратора
Таблицы маршрутов используются для перезаписи маршрутизации Azure по умолчанию. Создайте таблицу маршрутов для принудительной принудительной передачи всего трафика в частной подсети концентратора через имитированную NVA.
В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.
Выберите + Создать.
В таблице "Создать маршрут " введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Область/регион Выберите регион Восточная часть США 2. Имя. Введите route-table-nat-hub. Распространение маршрутов шлюза Не изменяйте значение по умолчанию Да. Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.
Выберите route-table-nat-hub.
Разверните раздел "Параметры", а затем выберите "Маршруты".
Выберите + Добавить в маршруты.
Введите или выберите следующие сведения в поле "Добавить маршрут".
Параметр Значение Имя маршрута Введите значение по умолчанию через nat-hub. Тип назначения Выберите IP-адреса. Диапазоны IP-адресов назначения или CIDR Введите 0.0.0.0/0. Тип следующего прыжка Выберите Виртуальный модуль. Адрес следующего прыжка Введите 10.0.0.10.
Это IP-адрес, который вы добавили в частный интерфейс NVA на предыдущих шагах.Выберите Добавить.
В разделе Параметры выберите Подсети.
Нажмите + Связать.
Введите или выберите следующие сведения в подсети "Связать".
Параметр Значение Виртуальная сеть Выберите vnet-hub (test-rg). Подсеть Выберите подсеть частной. Нажмите ОК.
Создание периферийной виртуальной сети
Создайте другую виртуальную сеть в другом регионе для первой периферийной сети концентратора и периферийной сети.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите + Создать.
На вкладке "Основы " виртуальной сети введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя. Введите vnet-spoke-1. Область/регион Выберите регион (США) Центрально-южная часть США. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .
На вкладке IP-адресов в адресном пространстве IPv4 выберите удалить адресное пространство, чтобы удалить адресное пространство , заполненное автоматически.
Выберите " Добавить адресное пространство IPv4".
В адресном пространстве IPv4 введите 10.1.0.0. Оставьте значение по умолчанию /16 (65 536 адресов) в выборе маски.
Выберите +Добавить подсеть.
В поле "Добавить подсеть " введите или выберите следующие сведения:
Параметр Значение Назначение подсети Оставьте значение по умолчанию по умолчанию. Имя. Введите подсеть-private. IРv4 Диапазон адресов IPv4 Оставьте значение по умолчанию 10.1.0.0/16. Начальный адрес Оставьте значение по умолчанию 10.1.0.0. Размер Оставьте значение по умолчанию /24(256 адресов). Выберите Добавить.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Создание пиринга между концентратором и периферийным
Пиринг между виртуальными сетями используется для подключения концентратора к периферийным и периферийным узлам. Используйте следующий пример, чтобы создать двусторонний пиринг сети между концентратором и периферийным.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите виртуальный концентратор.
Выберите пиринги в параметрах.
Выберите Добавить.
Введите или выберите следующие сведения в разделе "Добавление пиринга".
Параметр Значение Сводка по удаленной виртуальной сети Имя пиринговой связи Введите vnet-spoke-1-to-vnet-hub. Модель развертывания виртуальной сети Оставьте значение по умолчанию resource manager. Отток подписок Выберите свою подписку. Виртуальная сеть Выберите vnet-spoke-1 (test-rg). Параметры пиринга удаленной виртуальной сети Разрешить "vnet-spoke-1" доступ к "vnet-hub" Оставьте значение по умолчанию "Выбрано". Разрешить "vnet-spoke-1" получать переадресованный трафик из "vnet-hub" Установите флажок. Разрешить шлюзу или серверу маршрутизации в vnet-spoke-1 перенаправить трафик в "vnet-hub" Оставьте значение по умолчанию unselected. Включите "vnet-spoke-1" для использования удаленного шлюза или сервера маршрутизации "vnet-hub" Оставьте значение по умолчанию unselected. Сводка по локальной виртуальной сети Имя пиринговой связи Введите vnet-hub-to-vnet-spoke-1. Параметры пиринга локальной виртуальной сети Разрешить "vnet-hub" получить доступ к "vnet-spoke-1" Оставьте значение по умолчанию "Выбрано". Разрешить "vnet-hub" получать переадресованный трафик из "vnet-spoke-1" Установите флажок. Разрешить шлюзу или серверу маршрутизации в "vnet-hub" перенаправить трафик в "vnet-spoke-1" Оставьте значение по умолчанию unselected. Включите "vnet-hub" для использования удаленного шлюза или сервера маршрутизации "vnet-spoke-1" Оставьте значение по умолчанию unselected. Выберите Добавить.
Выберите "Обновить" и убедитесь, что состояние пиринга подключено.
Создание периферийной таблицы сетевого маршрута
Создайте таблицу маршрутов для принудительной принудительной передачи всего трафика через имитированный NVA в виртуальной сети концентратора.
В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.
Выберите + Создать.
В таблице "Создать маршрут " введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Область/регион Выберите Центрально-южная часть США. Имя. Введите route-table-nat-spoke-1. Распространение маршрутов шлюза Не изменяйте значение по умолчанию Да. Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.
Выберите route-table-nat-spoke-1.
В разделе "Параметры" выберите "Маршруты".
Выберите + Добавить в маршруты.
Введите или выберите следующие сведения в поле "Добавить маршрут".
Параметр Значение Имя маршрута Введите значение по умолчанию через-nat-spoke-1. Тип назначения Выберите IP-адреса. Диапазоны IP-адресов назначения или CIDR Введите 0.0.0.0/0. Тип следующего прыжка Выберите Виртуальный модуль. Адрес следующего прыжка Введите 10.0.0.10.
Это IP-адрес, который вы добавили в частный интерфейс NVA на предыдущих шагах.Выберите Добавить.
В разделе Параметры выберите Подсети.
Нажмите + Связать.
Введите или выберите следующие сведения в подсети "Связать".
Параметр Значение Виртуальная сеть Выберите vnet-spoke-1 (test-rg). Подсеть Выберите подсеть частной. Нажмите ОК.
Создание одной тестовой виртуальной машины
Виртуальная машина Windows Server 2022 используется для тестирования исходящего интернет-трафика через шлюз NAT и межконцепционный трафик в концентраторе и периферийной сети. Используйте следующий пример для создания виртуальной машины Windows Server 2022.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите + Создать, затем выберите Виртуальная машина Azure.
В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Virtual machine name Введите vm-spoke-1. Область/регион Выберите регион (США) Центрально-южная часть США. Параметры доступности Выберите Избыточность инфраструктуры не требуется. Тип безопасности Выберите Стандартное. Изображения Выберите Windows Server 2022 Datacenter — x64-го поколения 2-го поколения. Архитектура виртуальной машины Оставьте значение по умолчанию x64. Размер Выберите размер. Учетная запись администратора Тип аутентификации выберите Пароль. Username Введите имя пользователя. Пароль Введите пароль. Подтверждение пароля Введите пароль еще раз. Правила входящего порта Общедоступные входящие порты Выберите Отсутствует. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".
На вкладке Сеть введите или выберите следующие значения параметров.
Параметр Значение Сетевой интерфейс Виртуальная сеть Выберите vnet-spoke-1. Подсеть Выберите подсеть -private (10.1.0.0/24). Общедоступный IP-адрес Выберите Отсутствует. Группа безопасности сети сетевого адаптера Выберите Дополнительно. Настройка группы безопасности сети Выберите Создать.
Введите nsg-spoke-1.Правила для входящего трафика Выберите +Добавить правило для входящего трафика.
Выберите HTTP в службе.
Выберите Добавить.
Нажмите кнопку ОК.Нажмите ОК.
Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".
Нажмите кнопку создания.
Дождитесь завершения развертывания виртуальной машины, прежде чем продолжить дальнейшие действия.
Установка СЛУЖБ IIS на одной тестовой виртуальной машине
Службы IIS устанавливаются на виртуальной машине Windows Server 2022 для тестирования исходящего интернет-трафика через шлюз NAT и межсписаемый трафик в концентраторе и периферийной сети.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-spoke-1.
Разверните операции и выберите команду "Выполнить".
Выберите RunPowerShellScript.
Введите следующий сценарий в скрипте запуска команд:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Выберите Выполнить.
Дождитесь завершения скрипта, прежде чем перейти к следующему шагу. Выполнение скрипта может занять несколько минут.
После завершения скрипта выходные данные отображаются следующим образом:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Создание второй периферийной виртуальной сети
Создайте вторую виртуальную сеть для второй периферийной сети концентратора и периферийной сети.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите + Создать.
На вкладке "Основы " виртуальной сети введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя. Введите vnet-spoke-2. Область/регион Выберите (США) Западная часть США 2. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .
На вкладке IP-адресов в адресном пространстве IPv4 выберите удалить адресное пространство, чтобы удалить адресное пространство , заполненное автоматически.
Выберите " Добавить адресное пространство IPv4".
В адресном пространстве IPv4 введите 10.2.0.0. Оставьте значение по умолчанию /16 (65 536 адресов) в выборе маски.
Выберите +Добавить подсеть.
В поле "Добавить подсеть " введите или выберите следующие сведения:
Параметр Значение Назначение подсети Оставьте значение по умолчанию по умолчанию. Имя. Введите подсеть-private. IРv4 Диапазон адресов IPv4 Оставьте значение по умолчанию 10.2.0.0/16. Начальный адрес Оставьте значение по умолчанию 10.2.0.0. Размер Оставьте значение по умолчанию /24(256 адресов). Выберите Добавить.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Создание пиринга между концентратором и периферийными двумя
Создайте двусторонний одноранговый узел виртуальной сети между концентратором и двумя периферийными узлами.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите виртуальный концентратор.
Выберите пиринги в параметрах.
Выберите Добавить.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите виртуальный концентратор.
Выберите пиринги в параметрах.
Выберите Добавить.
Введите или выберите следующие сведения в разделе "Добавление пиринга".
Параметр Значение Сводка по удаленной виртуальной сети Имя пиринговой связи Введите vnet-spoke-2-to-vnet-hub. Модель развертывания виртуальной сети Оставьте значение по умолчанию resource manager. Отток подписок Выберите свою подписку. Виртуальная сеть Выберите vnet-spoke-2 (test-rg). Параметры пиринга удаленной виртуальной сети Разрешить "vnet-spoke-2" получить доступ к "vnet-hub" Оставьте значение по умолчанию "Выбрано". Разрешить "vnet-spoke-2" получать переадресованный трафик из "vnet-hub" Установите флажок. Разрешить шлюзу или серверу маршрутизации в vnet-spoke-2 перенаправить трафик в "vnet-hub" Оставьте значение по умолчанию unselected. Включите "vnet-spoke-2" для использования удаленного шлюза или сервера маршрутизации "vnet-hub" Оставьте значение по умолчанию unselected. Сводка по локальной виртуальной сети Имя пиринговой связи Введите vnet-hub-to-vnet-spoke-2. Параметры пиринга локальной виртуальной сети Разрешить "vnet-hub" получить доступ к "vnet-spoke-2" Оставьте значение по умолчанию "Выбрано". Разрешить "vnet-hub" получать переадресованный трафик из "vnet-spoke-2" Установите флажок. Разрешить шлюзу или серверу маршрутизации в "vnet-hub" перенаправить трафик в "vnet-spoke-2" Оставьте значение по умолчанию unselected. Включите "vnet-hub" для использования удаленного шлюза или сервера маршрутизации "vnet-spoke-2" Оставьте значение по умолчанию unselected. Выберите Добавить.
Выберите "Обновить" и убедитесь, что состояние пиринга подключено.
Создание периферийной двух сетевой таблицы маршрутов
Создайте таблицу маршрутов для принудительной принудительной передачи всего исходящего интернета и межресресного трафика через имитированный NVA в виртуальной сети концентратора.
В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.
Выберите + Создать.
В таблице "Создать маршрут " введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Область/регион Выберите Западная часть США 2. Имя. Введите route-table-nat-spoke-2. Распространение маршрутов шлюза Не изменяйте значение по умолчанию Да. Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.
Выберите route-table-nat-spoke-2.
В разделе "Параметры" выберите "Маршруты".
Выберите + Добавить в маршруты.
Введите или выберите следующие сведения в поле "Добавить маршрут".
Параметр Значение Имя маршрута Введите значение по умолчанию через-nat-spoke-2. Тип назначения Выберите IP-адреса. Диапазоны IP-адресов назначения или CIDR Введите 0.0.0.0/0. Тип следующего прыжка Выберите Виртуальный модуль. Адрес следующего прыжка Введите 10.0.0.10.
Это IP-адрес, который вы добавили в частный интерфейс NVA на предыдущих шагах.Выберите Добавить.
В разделе Параметры выберите Подсети.
Нажмите + Связать.
Введите или выберите следующие сведения в подсети "Связать".
Параметр Значение Виртуальная сеть Выберите vnet-spoke-2 (test-rg). Подсеть Выберите подсеть частной. Нажмите ОК.
Создание тестовой виртуальной машины с двумя периферийными устройствами
Создайте виртуальную машину Windows Server 2022 для тестовой виртуальной машины в двух периферийных устройствах.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите + Создать, затем выберите Виртуальная машина Azure.
В разделе "Создание виртуальной машины " введите или выберите следующие сведения на вкладке "Основные сведения".
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Virtual machine name Введите vm-spoke-2. Область/регион Выберите (США) Западная часть США 2. Параметры доступности Выберите Избыточность инфраструктуры не требуется. Тип безопасности Выберите Стандартное. Изображения Выберите Windows Server 2022 Datacenter — x64-го поколения 2-го поколения. Архитектура виртуальной машины Оставьте значение по умолчанию x64. Размер Выберите размер. Учетная запись администратора Тип аутентификации выберите Пароль. Username Введите имя пользователя. Пароль Введите пароль. Подтверждение пароля Введите пароль еще раз. Правила входящего порта Общедоступные входящие порты Выберите Отсутствует. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".
На вкладке Сеть введите или выберите следующие значения параметров.
Параметр Значение Сетевой интерфейс Виртуальная сеть Выберите vnet-spoke-2. Подсеть Выберите подсеть -private (10.2.0.0/24). Общедоступный IP-адрес Выберите Отсутствует. Группа безопасности сети сетевого адаптера Выберите Дополнительно. Настройка группы безопасности сети Выберите Создать.
Введите nsg-spoke-2.Правила для входящего трафика Выберите +Добавить правило для входящего трафика.
Выберите HTTP в службе.
Выберите Добавить.
Нажмите кнопку ОК.Оставьте остальные параметры по умолчанию и выберите "Просмотр и создание".
Нажмите кнопку создания.
Дождитесь завершения развертывания виртуальной машины, прежде чем продолжить дальнейшие действия.
Установка IIS на периферийной двух тестовой виртуальной машине
Службы IIS устанавливаются на виртуальной машине Windows Server 2022 для тестирования исходящего интернет-трафика через шлюз NAT и межсписаемый трафик в концентраторе и периферийной сети.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-spoke-2.
В операциях выберите команду "Выполнить".
Выберите RunPowerShellScript.
Введите следующий сценарий в скрипте запуска команд:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Выберите Выполнить.
Дождитесь завершения скрипта, прежде чем перейти к следующему шагу. Выполнение скрипта может занять несколько минут.
После завершения скрипта выходные данные* отображаются следующим образом:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Тестирование шлюза NAT
Подключитесь к виртуальным машинам Windows Server 2022, созданным на предыдущих шагах, чтобы убедиться, что исходящий интернет-трафик покидает шлюз NAT.
Получение общедоступного IP-адреса шлюза NAT
Получите общедоступный IP-адрес шлюза NAT для проверки действий далее в статье.
В поле поиска в верхней части портала введите Общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.
Выберите public-ip-nat.
Запишите значение в IP-адресе. Пример, используемый в этой статье, — 52.153.224.79.
Тестирование шлюза NAT из периферийной сети
Используйте Microsoft Edge на виртуальной машине Windows Server 2022 для подключения https://whatsmyip.com к проверке функциональности шлюза NAT.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-spoke-1.
В разделе "Обзор" выберите "Подключиться" и "Подключиться через бастион".
Введите имя пользователя и пароль, введенные при создании виртуальной машины.
Нажмите Подключиться.
Откройте Microsoft Edge после завершения загрузки рабочего стола.
В адресной строке введите https://whatsmyip.com.
Убедитесь, что отображаемый исходящий IP-адрес совпадает с IP-адресом шлюза NAT, полученного ранее.
Оставьте подключение бастиона открытым к vm-spoke-1.
Тестирование шлюза NAT из периферийных двух
Используйте Microsoft Edge на виртуальной машине Windows Server 2022 для подключения https://whatsmyip.com к проверке функциональности шлюза NAT.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-spoke-2.
В разделе "Обзор" выберите "Подключиться" и "Подключиться через бастион".
Введите имя пользователя и пароль, введенные при создании виртуальной машины.
Нажмите Подключиться.
Откройте Microsoft Edge после завершения загрузки рабочего стола.
В адресной строке введите https://whatsmyip.com.
Убедитесь, что отображаемый исходящий IP-адрес совпадает с IP-адресом шлюза NAT, полученного ранее.
Оставьте подключение бастиона открытым для vm-spoke-2.
Тестирование маршрутизации между периферийными узлами
Трафик из периферийной сети в один к периферийным двум и периферийным двум маршрутам через имитированный NVA в виртуальной сети концентратора. Используйте следующие примеры, чтобы проверить маршрутизацию между периферийными узлами и периферийной сетью.
Тестирование маршрутизации с периферийной одной на две
Используйте Microsoft Edge для подключения к веб-серверу на виртуальной машине-периферийной версии 2 , установленной на предыдущих шагах.
Вернитесь к открытому подключению бастиона к vm-spoke-1.
Откройте Microsoft Edge , если он не открыт.
В адресной строке введите 10.2.0.4.
Убедитесь, что страница IIS отображается из vm-spoke-2.
Закройте подключение бастиона к vm-spoke-1.
Тестирование маршрутизации между периферийными двумя и периферийными
Используйте Microsoft Edge для подключения к веб-серверу на виртуальной машине-периферийной версии 1 , установленной на предыдущих шагах.
Вернитесь к открытому подключению бастиона к vm-spoke-2.
Откройте Microsoft Edge , если он не открыт.
В адресной строке введите 10.1.0.4.
Убедитесь, что страница IIS отображается из vm-spoke-1.
Закройте подключение бастиона к vm-spoke-1.
Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.
Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.
На странице групп ресурсов выберите группу ресурсов test-rg.
На странице test-rg выберите "Удалить группу ресурсов".
Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".
Следующие шаги
Перейдите к следующей статье, чтобы узнать, как использовать Load Balancer шлюза Azure для виртуальных устройств с высокой доступностью: