Condividi tramite


Esercitazione: Instradare il traffico di rete con una tabella di route

Per impostazione predefinita, Azure instrada il traffico tra tutte le subnet di una rete virtuale. È possibile creare le proprie route per eseguire l'override del routing predefinito di Azure. Le route personalizzate sono utili quando, ad esempio, si vuole indirizzare il traffico tra subnet attraverso un'appliance virtuale di rete.

Diagramma delle risorse di Azure create nell'esercitazione.

In questa esercitazione apprenderai a:

  • Creare una rete virtuale e le subnet
  • Creare un'appliance virtuale di rete che indirizza il traffico
  • Distribuire le macchine virtuali (VM) in subnet diverse
  • Creare una tabella di route
  • Creare una route
  • Associare una tabella di routing a una subnet
  • Indirizzare il traffico da una subnet a un'altra attraverso un'appliance virtuale di rete

Prerequisiti

Creare subnet

Per questa esercitazione sono necessarie una subnet della rete perimetrale e una subnet privata. Nella subnet della rete perimetrale verrà distribuita l'appliance virtuale di rete (NVA) e nella subnet privata verranno distribuite le macchine virtuali a cui instradare il traffico. La subnet-1 è la subnet creata nei passaggi precedenti. Usare subnet-1 per la macchina virtuale pubblica.

Creare una rete virtuale e un host Azure Bastion

La procedura seguente consente di creare una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Bastion:

  1. Nel portale cercare e selezionare Reti virtuali.

  2. Nella pagina Reti virtuali selezionare + Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare Crea nuovo.
    Immettere test-rg per il nome.
    Selezionare OK.
    Dettagli istanza
    Nome Immettere vnet-1.
    Paese Selezionare Stati Uniti orientali 2.

    Screenshot della scheda Informazioni di base per la creazione di una rete virtuale nel portale di Azure.

  4. Selezionare Avanti per passare alla scheda Sicurezza.

  5. Nella sezione Azure Bastion, selezionare Abilita Azure Bastion.

    Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite SSH (Secure Shell) o RDP (Remote Desktop Protocol) usando i relativi indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazioni speciali. Per altre informazioni, vedere Informazioni su Azure Bastion.

    Nota

    La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

  6. In Azure Bastion immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Nome host Azure Bastion Immettere bastion.
    Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
    Immettere public-ip-bastion in Nome.
    Selezionare OK.

    Screenshot delle opzioni per abilitare un host Azure Bastion come parte della creazione di una rete virtuale nel portale di Azure.

  7. Selezionare Avanti per passare alla scheda Indirizzi IP.

  8. Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.

  9. In Modifica subnet immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Scopo della subnet Lasciare l'impostazione predefinita Predefinito.
    Nome Immettere subnet-1.
    IPv4
    Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16.
    Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0.
    Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi).

    Screenshot dei dettagli di configurazione per una subnet.

  10. Seleziona Salva.

  11. Selezionare Rivedi e crea nella parte inferiore della finestra. Al termine della convalida, selezionare Crea.

  1. Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.

  2. In Reti virtuali selezionare vnet-1.

  3. In vnet-1 selezionare Subnet nella sezione Impostazioni.

  4. Nell'elenco delle subnet della rete virtuale selezionare + Subnet.

  5. In Aggiungi subnet immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Scopo della subnet Lasciare l'impostazione predefinita Predefinito.
    Nome Immettere subnet-private.
    IPv4
    Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16.
    Indirizzo iniziale Immettere 10.0.2.0.
    Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi).

    Screenshot della creazione di una subnet privata nella rete virtuale.

  6. Selezionare Aggiungi.

  7. Selezionare + Subnet.

  8. In Aggiungi subnet immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Scopo della subnet Lasciare l'impostazione predefinita Predefinito.
    Nome Immettere subnet-dmz.
    IPv4
    Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16.
    Indirizzo iniziale Immettere 10.0.3.0.
    Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi).

    Screenshot della creazione di una subnet della rete perimetrale nella rete virtuale.

  9. Selezionare Aggiungi.

Creare una macchina virtuale appliance virtuale di rete

Le appliance virtuali di rete (appliance virtuali) sono macchine virtuali utili per le funzioni di rete, ad esempio l'ottimizzazione del routing e del firewall. In questa sezione viene creata un'appliance virtuale di rete usando una macchina virtuale Ubuntu 24.04.

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. Selezionare + Crea quindi Macchina virtuale di Azure.

  3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Virtual machine name Immettere vm-nva.
    Paese Selezionare (Stati Uniti) Stati Uniti orientali 2.
    Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta.
    Tipo di sicurezza Selezionare Standard.
    Immagine Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
    Architettura della macchina virtuale Lasciare il valore predefinito x64.
    Dimensione Selezionare una dimensione.
    Account amministratore
    Tipo di autenticazione selezionare Password.
    Username Immettere un nome utente.
    Password Immettere una password.
    Conferma password Reimmettere la password.
    Regole porta in ingresso
    Porte in ingresso pubbliche Selezionare Nessuno.
  4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

  5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare vnet-1.
    Subnet Selezionare subnet-dmz (10.0.3.0/24).
    IP pubblico Selezionare Nessuno.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate.
    Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
    In Nome immettere nsg-nva.
    Selezionare OK.
  6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

  7. Selezionare Crea.

Creare le macchine virtuali pubblica e privata

Creare due macchine virtuali nella rete virtuale vnet-1. Una macchina virtuale si trova nella subnet subnet-1 e l'altra si trova nella subnet subnet-private. Usare la stessa immagine di macchina virtuale per entrambe le macchine virtuali.

Creare la macchina virtuale pubblica

La macchina virtuale pubblica viene usata per simulare un computer in Internet pubblico. Le VM pubblica e privata vengono usate per testare il routing del traffico di rete attraverso la VM appliance virtuale di rete.

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. Selezionare + Crea quindi Macchina virtuale di Azure.

  3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Virtual machine name Immettere vm-public.
    Paese Selezionare (Stati Uniti) Stati Uniti orientali 2.
    Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta.
    Tipo di sicurezza Selezionare Standard.
    Immagine Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
    Architettura della macchina virtuale Lasciare il valore predefinito x64.
    Dimensione Selezionare una dimensione.
    Account amministratore
    Tipo di autenticazione selezionare Password.
    Username Immettere un nome utente.
    Password Immettere una password.
    Conferma password Reimmettere la password.
    Regole porta in ingresso
    Porte in ingresso pubbliche Selezionare Nessuno.
  4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

  5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare vnet-1.
    Subnet Selezionare subnet-1 (10.0.0.0/24).
    IP pubblico Selezionare Nessuno.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno.
  6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

  7. Seleziona Crea.

Creare la macchina virtuale privata

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. Selezionare + Crea quindi Macchina virtuale di Azure.

  3. In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Virtual machine name Immettere vm-private.
    Paese Selezionare (Stati Uniti) Stati Uniti orientali 2.
    Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta.
    Tipo di sicurezza Selezionare Standard.
    Immagine Selezionare Ubuntu Server 24.04 LTS - x64 Gen2.
    Architettura della macchina virtuale Lasciare il valore predefinito x64.
    Dimensione Selezionare una dimensione.
    Account amministratore
    Tipo di autenticazione selezionare Password.
    Username Immettere un nome utente.
    Password Immettere una password.
    Conferma password Reimmettere la password.
    Regole porta in ingresso
    Porte in ingresso pubbliche Selezionare Nessuno.
  4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

  5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare vnet-1.
    Subnet Selezionare subnet-private (10.0.2.0/24).
    IP pubblico Selezionare Nessuno.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno.
  6. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.

  7. Selezionare Crea.

Abilitare l'inoltro IP

Per instradare il traffico attraverso l'appliance virtuale di rete, attivare l'inoltro IP in Azure e nel sistema operativo di vm-nva. Quando l'inoltro IP è abilitato, il traffico ricevuto da vm-nva destinato a un indirizzo IP diverso non viene eliminato e viene inoltrato alla destinazione corretta.

Abilitare l'inoltro IP in Azure

In questa sezione viene attivato l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva.

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. In Macchine virtuali selezionare vm-nva.

  3. In vm-nva espandere Rete, quindi selezionare Impostazioni di rete.

  4. Selezionare il nome dell'interfaccia di rete accanto a Interfaccia di rete:. Il nome inizia con vm-nva e ha un numero casuale assegnato all'interfaccia. Il nome dell'interfaccia in questo esempio è vm-nva313.

    Screenshot dell'interfaccia di rete della VM appliance virtuale di rete.

  5. Nella pagina di panoramica dell'interfaccia di rete selezionare Configurazioni IP nella sezione Impostazioni.

  6. In Configurazioni IPselezionare la casella accanto a Abilita inoltro IP.

    Screenshot dell'abilitazione dell'inoltro IP.

  7. Selezionare Applica.

Abilitare l'inoltro IP nel sistema operativo

In questa sezione viene attivato l'inoltro IP per il sistema operativo dell'interfaccia di rete della macchina virtuale vm-nva per inoltrare il traffico di rete. Usare il servizio Azure Bastion per connettersi alla macchina virtuale vm-nva.

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. In Macchine virtuali selezionare vm-nva.

  3. Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.

  4. Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.

  5. Selezionare Connetti.

  6. Immettere le informazioni seguenti nel prompt della macchina virtuale per abilitare l'inoltro IP:

    sudo vim /etc/sysctl.conf
    
  7. Nell'editor Vim rimuovere # dalla riga net.ipv4.ip_forward=1:

    Premere il tasto INS.

    # Uncomment the next line to enable packet forwarding for IPv4
    net.ipv4.ip_forward=1
    

    Premere il tasto ESC.

    Immettere :wq e premere Invio.

  8. Chiudere la sessione di Bastion.

  9. Riavviare la macchina virtuale.

Creare una tabella di route

In questa sezione viene creata una tabella di route per definire la route del traffico attraverso la VM appliance virtuale di rete. La tabella di route è associata alla subnet subnet-1 in cui è distribuita la macchina virtuale vm-public.

  1. Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.

  2. Seleziona + Crea.

  3. In Crea tabella di route immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Paese Selezionare Stati Uniti orientali 2.
    Nome Immettere route-table-public.
    Propaga route del gateway Lasciare l'impostazione predefinita .
  4. Selezionare Rivedi e crea.

  5. Seleziona Crea.

Creare una route

In questa sezione viene creata una route all'interno della tabella di route creata nei passaggi precedenti.

  1. Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.

  2. Selezionare route-table-public.

  3. Espandere Impostazioni, quindi selezionare Route.

  4. Selezionare + Aggiungi in Route.

  5. Immettere o selezionare le informazioni seguenti in Aggiungi route:

    Impostazione Valore
    Nome route Immettere to-private-subnet.
    Tipo destinazione Selezionare Indirizzi IP.
    Indirizzi IP/Intervalli CIDR di destinazione Immettere 10.0.2.0/24.
    Tipo hop successivo Selezionare Appliance virtuale.
    Indirizzo hop successivo Immettere 10.0.3.4.
    Questo è l'indirizzo IP dell'appliance virtuale vm-nva creata nei passaggi precedenti.

    Screenshot della creazione della route nella tabella di route.

  6. Selezionare Aggiungi.

  7. Selezionare subnet in Impostazioni.

  8. Selezionare + Associa.

  9. Immettere o selezionare le informazioni seguenti in Associa subnet:

    Impostazione Valore
    Rete virtuale Selezionare vnet-1 (test-rg).
    Subnet Selezionare subnet-1.
  10. Seleziona OK.

Testare il routing del traffico di rete

Testare il routing del traffico di rete da vm-public a vm-private. Testare il routing del traffico di rete da vm-private a vm-public.

Testare il traffico di rete da vm-public a vm-private

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. In Macchine virtuali selezionare vm-public.

  3. Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.

  4. Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.

  5. Selezionare Connetti.

  6. Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-public a vm-private:

    tracepath vm-private
    

    La risposta restituita è simile all'esempio seguente:

    azureuser@vm-public:~$ tracepath vm-private
     1?: [LOCALHOST]                      pmtu 1500
     1:  vm-nva.internal.cloudapp.net                          1.766ms 
     1:  vm-nva.internal.cloudapp.net                          1.259ms 
     2:  vm-private.internal.cloudapp.net                      2.202ms reached
     Resume: pmtu 1500 hops 2 back 1 
    

    Notare che nella risposta precedente sono presenti due hop per il traffico ICMP tracepath da vm-public a vm-private. Il primo hop è vm-nva. Il quinto hop è la macchina virtuale vm-private di destinazione.

    Azure ha inviato il traffico da subnet-1 attraverso l'appliance virtuale di rete e non direttamente a subnet-private perché in precedenza è stata aggiunta la route to-private-subnet a route-table-public ed è stata associata a subnet-1.

  7. Chiudere la sessione di Bastion.

Testare il traffico di rete da vm-private a vm-public

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. In Macchine virtuali selezionare vm-private.

  3. Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.

  4. Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.

  5. Selezionare Connetti.

  6. Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-private a vm-public:

    tracepath vm-public
    

    La risposta restituita è simile all'esempio seguente:

    azureuser@vm-private:~$ tracepath vm-public
     1?: [LOCALHOST]                      pmtu 1500
     1:  vm-public.internal.cloudapp.net                       2.584ms reached
     1:  vm-public.internal.cloudapp.net                       2.147ms reached
     Resume: pmtu 1500 hops 1 back 2 
    

    È possibile notare che è presente un hop nella risposta precedente, ovvero la destinazione vm-public.

    Azure ha inviato il traffico direttamente da subnet-private a subnet-1. Per impostazione predefinita, Azure instrada il traffico direttamente tra subnet.

  7. Chiudere la sessione di Bastion.

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.

  1. Accedere al portale di Azure e selezionare Gruppi di risorse.

  2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

  3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

  4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione:

  • È stata creata una tabella di route per poi associarla a una subnet.

  • È stata creata una semplice appliance virtuale di rete che ha indirizzato il traffico da una subnet pubblica a una subnet privata.

È possibile distribuire varie appliance virtuali di rete preconfigurate che offrono numerose funzioni utili da Azure Marketplace.

Per altre informazioni sul routing, vedere Panoramica del routing e Gestire una tabella di route.

Per informazioni su come limitare l'accesso di rete alle risorse PaaS con gli endpoint servizio di rete virtuale, passare all'esercitazione successiva.