Esercitazione: Instradare il traffico di rete con una tabella di route
Per impostazione predefinita, Azure instrada il traffico tra tutte le subnet di una rete virtuale. È possibile creare le proprie route per eseguire l'override del routing predefinito di Azure. Le route personalizzate sono utili quando, ad esempio, si vuole indirizzare il traffico tra subnet attraverso un'appliance virtuale di rete.
In questa esercitazione apprenderai a:
- Creare una rete virtuale e le subnet
- Creare un'appliance virtuale di rete che indirizza il traffico
- Distribuire le macchine virtuali (VM) in subnet diverse
- Creare una tabella di route
- Creare una route
- Associare una tabella di routing a una subnet
- Indirizzare il traffico da una subnet a un'altra attraverso un'appliance virtuale di rete
Prerequisiti
- Un account Azure con una sottoscrizione attiva. È possibile creare un account gratuitamente.
Creare subnet
Per questa esercitazione sono necessarie una subnet della rete perimetrale e una subnet privata. Nella subnet della rete perimetrale verrà distribuita l'appliance virtuale di rete (NVA) e nella subnet privata verranno distribuite le macchine virtuali a cui instradare il traffico. La subnet-1 è la subnet creata nei passaggi precedenti. Usare subnet-1 per la macchina virtuale pubblica.
Creare una rete virtuale e un host Azure Bastion
La procedura seguente consente di creare una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Bastion:
Nel portale cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali selezionare + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo.
Immettere test-rg per il nome.
Selezionare OK.Dettagli istanza Nome Immettere vnet-1. Paese Selezionare Stati Uniti orientali 2. Selezionare Avanti per passare alla scheda Sicurezza.
Nella sezione Azure Bastion, selezionare Abilita Azure Bastion.
Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite SSH (Secure Shell) o RDP (Remote Desktop Protocol) usando i relativi indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazioni speciali. Per altre informazioni, vedere Informazioni su Azure Bastion.
In Azure Bastion immettere o selezionare le informazioni seguenti:
Impostazione Valore Nome host Azure Bastion Immettere bastion. Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
Immettere public-ip-bastion in Nome.
Selezionare OK.Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.
In Modifica subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-1. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16. Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0. Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi). Seleziona Salva.
Selezionare Rivedi e crea nella parte inferiore della finestra. Al termine della convalida, selezionare Crea.
Nella casella di ricerca nella parte superiore del portale immettere Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
In Reti virtuali selezionare vnet-1.
In vnet-1 selezionare Subnet nella sezione Impostazioni.
Nell'elenco delle subnet della rete virtuale selezionare + Subnet.
In Aggiungi subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-private. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16. Indirizzo iniziale Immettere 10.0.2.0. Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi). Selezionare Aggiungi.
Selezionare + Subnet.
In Aggiungi subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-dmz. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16. Indirizzo iniziale Immettere 10.0.3.0. Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi). Selezionare Aggiungi.
Creare una macchina virtuale appliance virtuale di rete
Le appliance virtuali di rete (appliance virtuali) sono macchine virtuali utili per le funzioni di rete, ad esempio l'ottimizzazione del routing e del firewall. In questa sezione viene creata un'appliance virtuale di rete usando una macchina virtuale Ubuntu 24.04.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea quindi Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-nva. Paese Selezionare (Stati Uniti) Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Ubuntu Server 24.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-dmz (10.0.3.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
In Nome immettere nsg-nva.
Selezionare OK.Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.
Selezionare Crea.
Creare le macchine virtuali pubblica e privata
Creare due macchine virtuali nella rete virtuale vnet-1. Una macchina virtuale si trova nella subnet subnet-1 e l'altra si trova nella subnet subnet-private. Usare la stessa immagine di macchina virtuale per entrambe le macchine virtuali.
Creare la macchina virtuale pubblica
La macchina virtuale pubblica viene usata per simulare un computer in Internet pubblico. Le VM pubblica e privata vengono usate per testare il routing del traffico di rete attraverso la VM appliance virtuale di rete.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea quindi Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-public. Paese Selezionare (Stati Uniti) Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Ubuntu Server 24.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-1 (10.0.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.
Seleziona Crea.
Creare la macchina virtuale privata
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea quindi Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-private. Paese Selezionare (Stati Uniti) Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Selezionare Standard. Immagine Selezionare Ubuntu Server 24.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-private (10.0.2.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno. Lasciare le altre opzioni impostate sui valori predefiniti e selezionare Rivedi e crea.
Selezionare Crea.
Abilitare l'inoltro IP
Per instradare il traffico attraverso l'appliance virtuale di rete, attivare l'inoltro IP in Azure e nel sistema operativo di vm-nva. Quando l'inoltro IP è abilitato, il traffico ricevuto da vm-nva destinato a un indirizzo IP diverso non viene eliminato e viene inoltrato alla destinazione corretta.
Abilitare l'inoltro IP in Azure
In questa sezione viene attivato l'inoltro IP per l'interfaccia di rete della macchina virtuale vm-nva.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare vm-nva.
In vm-nva espandere Rete, quindi selezionare Impostazioni di rete.
Selezionare il nome dell'interfaccia di rete accanto a Interfaccia di rete:. Il nome inizia con vm-nva e ha un numero casuale assegnato all'interfaccia. Il nome dell'interfaccia in questo esempio è vm-nva313.
Nella pagina di panoramica dell'interfaccia di rete selezionare Configurazioni IP nella sezione Impostazioni.
In Configurazioni IPselezionare la casella accanto a Abilita inoltro IP.
Selezionare Applica.
Abilitare l'inoltro IP nel sistema operativo
In questa sezione viene attivato l'inoltro IP per il sistema operativo dell'interfaccia di rete della macchina virtuale vm-nva per inoltrare il traffico di rete. Usare il servizio Azure Bastion per connettersi alla macchina virtuale vm-nva.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare vm-nva.
Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.
Selezionare Connetti.
Immettere le informazioni seguenti nel prompt della macchina virtuale per abilitare l'inoltro IP:
sudo vim /etc/sysctl.conf
Nell'editor Vim rimuovere
#
dalla riganet.ipv4.ip_forward=1
:Premere il tasto INS.
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1
Premere il tasto ESC.
Immettere
:wq
e premere Invio.Chiudere la sessione di Bastion.
Riavviare la macchina virtuale.
Creare una tabella di route
In questa sezione viene creata una tabella di route per definire la route del traffico attraverso la VM appliance virtuale di rete. La tabella di route è associata alla subnet subnet-1 in cui è distribuita la macchina virtuale vm-public.
Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
In Crea tabella di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Paese Selezionare Stati Uniti orientali 2. Nome Immettere route-table-public. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Creare una route
In questa sezione viene creata una route all'interno della tabella di route creata nei passaggi precedenti.
Nella casella di ricerca nella parte superiore del portale immettere Tabella di route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare route-table-public.
Espandere Impostazioni, quindi selezionare Route.
Selezionare + Aggiungi in Route.
Immettere o selezionare le informazioni seguenti in Aggiungi route:
Impostazione Valore Nome route Immettere to-private-subnet. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 10.0.2.0/24. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.0.3.4.
Questo è l'indirizzo IP dell'appliance virtuale vm-nva creata nei passaggi precedenti.Selezionare Aggiungi.
Selezionare subnet in Impostazioni.
Selezionare + Associa.
Immettere o selezionare le informazioni seguenti in Associa subnet:
Impostazione Valore Rete virtuale Selezionare vnet-1 (test-rg). Subnet Selezionare subnet-1. Seleziona OK.
Testare il routing del traffico di rete
Testare il routing del traffico di rete da vm-public a vm-private. Testare il routing del traffico di rete da vm-private a vm-public.
Testare il traffico di rete da vm-public a vm-private
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare vm-public.
Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.
Selezionare Connetti.
Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-public a vm-private:
tracepath vm-private
La risposta restituita è simile all'esempio seguente:
azureuser@vm-public:~$ tracepath vm-private 1?: [LOCALHOST] pmtu 1500 1: vm-nva.internal.cloudapp.net 1.766ms 1: vm-nva.internal.cloudapp.net 1.259ms 2: vm-private.internal.cloudapp.net 2.202ms reached Resume: pmtu 1500 hops 2 back 1
Notare che nella risposta precedente sono presenti due hop per il traffico ICMP
tracepath
da vm-public a vm-private. Il primo hop è vm-nva. Il quinto hop è la macchina virtuale vm-private di destinazione.Azure ha inviato il traffico da subnet-1 attraverso l'appliance virtuale di rete e non direttamente a subnet-private perché in precedenza è stata aggiunta la route to-private-subnet a route-table-public ed è stata associata a subnet-1.
Chiudere la sessione di Bastion.
Testare il traffico di rete da vm-private a vm-public
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
In Macchine virtuali selezionare vm-private.
Nella sezione Panoramica, selezionare Connetti quindi selezionare Connetti tramite Bastion.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.
Selezionare Connetti.
Nel prompt immettere il comando seguente per tracciare il routing del traffico di rete da vm-private a vm-public:
tracepath vm-public
La risposta restituita è simile all'esempio seguente:
azureuser@vm-private:~$ tracepath vm-public 1?: [LOCALHOST] pmtu 1500 1: vm-public.internal.cloudapp.net 2.584ms reached 1: vm-public.internal.cloudapp.net 2.147ms reached Resume: pmtu 1500 hops 1 back 2
È possibile notare che è presente un hop nella risposta precedente, ovvero la destinazione vm-public.
Azure ha inviato il traffico direttamente da subnet-private a subnet-1. Per impostazione predefinita, Azure instrada il traffico direttamente tra subnet.
Chiudere la sessione di Bastion.
Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.
Accedere al portale di Azure e selezionare Gruppi di risorse.
Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.
Nella pagina test-rg selezionare Elimina gruppo di risorse.
Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.
Passaggi successivi
In questa esercitazione:
È stata creata una tabella di route per poi associarla a una subnet.
È stata creata una semplice appliance virtuale di rete che ha indirizzato il traffico da una subnet pubblica a una subnet privata.
È possibile distribuire varie appliance virtuali di rete preconfigurate che offrono numerose funzioni utili da Azure Marketplace.
Per altre informazioni sul routing, vedere Panoramica del routing e Gestire una tabella di route.
Per informazioni su come limitare l'accesso di rete alle risorse PaaS con gli endpoint servizio di rete virtuale, passare all'esercitazione successiva.