Поделиться через

Конфигурация подсистемы балансировки нагрузки только для исходящего трафика

Используйте комбинацию внутренних и внешних стандартных балансировщиков нагрузки для создания исходящего трафика для виртуальных машин, находящихся за внутренним балансировщиком нагрузки.

Эта конфигурация предоставляет исходящий NAT для внутреннего сценария балансировки нагрузки, создавая настройку "только исходящего трафика" для вашего внутреннего пула.

Note

Шлюз NAT Azure — это рекомендуемая конфигурация для исходящего подключения в рабочих развертываниях. Дополнительные сведения о шлюзе NAT см. в статье "Что такое шлюз NAT Azure?".

Сведения о развертывании конфигурации подсистемы балансировки нагрузки исходящего трафика с помощью шлюза NAT Azure см. в руководстве по интеграции шлюза NAT с внутренним балансировщиком нагрузки на портале Azure.

Дополнительные сведения об исходящих подключениях в Azure и доступе по умолчанию можно найти в разделах Source Network Address Translation (SNAT) для исходящих подключений и Default outbound access.

На рисунке показана только конфигурация подсистемы балансировки нагрузки исходящего трафика

Рисунок: конфигурация балансировщика нагрузки только для исходящего трафика

Prerequisites

Создание виртуальной сети и узла бастиона

Следующая процедура создает виртуальную сеть с ресурсной подсетью, подсетью Azure Bastion и узлом Azure Bastion.

Important

Почасовая тарификация начинается с момента развертывания Бастиона, независимо от объема исходящего трафика. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

    Setting Value
    Сведения о проекте
    Subscription Выберите подписку.
    Группа ресурсов Выберите Создать новое.
    Введите load-balancer-rg в Имя.
    Нажмите кнопку ОК.
    Сведения об инстанции
    Name Введите lb-vnet.
    Region Выберите Восточная часть США.

  4. Нажмите вкладку "Безопасность " или "Далее " в нижней части страницы.

  5. В разделе Бастион Azure введите или выберите следующие сведения:

    Setting Value
    Бастион Azure
    Включение Бастиона Azure Установите флажок.
    Имя хоста Azure Bastion Введите lb-bastion.
    Общедоступный IP-адрес Бастиона Azure Выберите Создать новое.
    Введите lb-бастион-ip в поле Имя.
    Нажмите кнопку ОК.

  6. Выберите вкладку "IP-адреса" или "Далее" в нижней части страницы.

  7. На странице "Создание виртуальной сети " введите или выберите следующие сведения:

    Setting Value
    Добавление адресного пространства IPv4
    Диапазон IPv4-адресов Введите 10.0.0.0/16 (65 356 адресов).
    Subnets Выберите ссылку подсети по умолчанию для редактирования.
    Шаблон подсети Оставьте значение «По умолчанию».
    Name Введите серверную подсеть.
    Начальный адрес Введите 10.0.0.0.
    Размер подсети Введите /24(256 адреса).
    Security
    NAT Gateway Выберите "Нет".

  8. Нажмите кнопку "Сохранить".

  9. Выберите "Проверка и создание " в нижней части экрана и при прохождении проверки нажмите кнопку "Создать".

Создание внутренней подсистемы балансировки нагрузки

В этом разделе вы создадите внутреннюю подсистему балансировки нагрузки.

  1. В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.

  2. На странице Подсистема балансировки нагрузки щелкните Создать.

  3. На странице Создание подсистемы балансировки нагрузки на вкладке Основные сведения укажите следующее.

    Setting Value
    Сведения о проекте
    Subscription Выберите подписку.
    Группа ресурсов Выберите lb-resource-group.
    Сведения об инстанции
    Name Ввод lb-internal
    Region Выберите регион (США) Восточная часть США.
    SKU Оставьте значение по умолчанию Стандартная.
    Type Выберите Внутреннее.

  4. В нижней части страницы выберите Далее: интерфейсная IP-конфигурация.

  5. В разделе Интерфейсная IP-конфигурация выберите + Добавить интерфейсную IP-конфигурацию.

  6. Введите lb-int-frontend в поле "Имя".

  7. Выберите lb-vnet в виртуальной сети.

  8. Выберите серверную подсеть в подсети.

  9. Выберите значение Динамический для параметра Назначение.

  10. Выберите Межзонное резервирование в зоне доступности.

    Note

    В регионах с зонами доступности у вас есть возможность выбрать зону без определения (параметр по умолчанию), конкретную зону или избыточность зон. Выбранный вариант будет зависеть от конкретных требований к сбою домена. Для регионов без зон доступности это поле не отображается.
    Дополнительные сведения о зонах доступности см. здесь.

  11. Нажмите кнопку "Добавить".

  12. Внизу страницы выберите элемент Далее. Серверные пулы.

  13. На вкладке Серверные пулы нажмите кнопку + Добавить серверный пул.

  14. Введите lb-int-backend-pool для Имя в Добавить пул серверов.

  15. Выберите значение Сетевая карта или IP-адрес в поле Конфигурация внутреннего пула.

  16. Нажмите кнопку "Сохранить".

  17. В нижней части страницы нажмите синюю кнопку Просмотр + создание.

  18. Нажмите кнопку "Создать".

Создание общедоступной подсистемы балансировки нагрузки

В этом разделе вы создадите общедоступную подсистему балансировки нагрузки.

  1. В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.

  2. На странице Подсистема балансировки нагрузки щелкните Создать.

  3. На странице Создание подсистемы балансировки нагрузки на вкладке Основные сведения укажите следующее.

    Setting Value
    Сведения о проекте
    Subscription Выберите подписку.
    Группа ресурсов Выберите lb-resource-group.
    Сведения об инстанции
    Name Введите lb-public
    Region Выберите регион (США) Восточная часть США.
    SKU Оставьте значение по умолчанию Стандартная.
    Type Выберите Общедоступный.
    Tier Оставьте значение по умолчанию Региональная.

  4. В нижней части страницы выберите Далее: интерфейсная IP-конфигурация.

  5. В разделе IP-конфигурация внешнего интерфейса нажмите кнопку + Добавить IP-адрес внешнего интерфейса.

  6. Введите lb-ext-frontend в name.

  7. Выберите IPv4 или IPv6 в качестве версии протокола IP.

    Note

    В настоящее время IPv6 не поддерживается с предпочтительным вариантом маршрутизации или балансировкой нагрузки между регионами (глобальный уровень).

  8. Выберите значение IP-адрес для параметра Тип IP-адреса.

    Note

    Дополнительные сведения о префиксах IP-адресов см. в статье Префикс общедоступного IP-адреса Azure.

  9. Выберите вариант Создать новый в разделе Общедоступный IP-адрес.

  10. В поле "Добавление общедоступного IP-адреса" введите lb-public-ip для имени.

  11. Выберите Межзонное резервирование в зоне доступности.

    Note

    В регионах с зонами доступности у вас есть возможность выбрать зону без определения (параметр по умолчанию), конкретную зону или избыточность зон. Выбранный вариант будет зависеть от конкретных требований к сбою домена. Для регионов без зон доступности это поле не отображается.
    Дополнительные сведения о зонах доступности см. здесь.

  12. Для параметра Предпочтение маршрутизации оставьте значение по умолчанию Сеть Майкрософт.

  13. Нажмите ОК.

  14. Нажмите кнопку "Добавить".

  15. Внизу страницы выберите элемент Далее. Серверные пулы.

  16. На вкладке Серверные пулы нажмите кнопку + Добавить серверный пул.

  17. Введите lb-pub-backend-pool в поле Имя в Добавить серверный пул.

  18. Выберите lb-VNet в виртуальной сети.

  19. Выберите значение Сетевая карта или IP-адрес в поле Конфигурация внутреннего пула.

  20. Нажмите кнопку "Сохранить".

  21. В нижней части страницы нажмите синюю кнопку Просмотр + создание.

  22. Нажмите кнопку "Создать".

Создать виртуальную машину

Вы создадите виртуальную машину в этом разделе. Во время создания вы добавите его в пул внутренней подсистемы балансировки нагрузки. После создания виртуальной машины вы добавите виртуальную машину в внутренний пул общедоступной подсистемы балансировки нагрузки.

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. На странице Виртуальные машины выберите + Создать>Виртуальная машина.

  3. В разделе Создание виртуальной машины на вкладке Основные сведения введите или выберите следующие значения:

    Setting Value
    Сведения о проекте
    Subscription Выберите подписку Azure.
    Группа ресурсов Выберите lb-resource-group
    Сведения об инстанции
    Название виртуальной машины Введите lb-VM
    Region Выберите регион (США) Восточная часть США.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Выберите Стандартное.
    Image Выберите Windows Server 2022 Datacenter: Azure Edition — 2-го поколения.
    Виртуальная машина Azure Spot Оставьте флажок в состоянии по умолчанию (не отмечен).
    Size Выберите размер виртуальной машины или подтвердите значение по умолчанию.
    Учетная запись администратора
    Username Введите имя пользователя.
    Password Введите пароль.
    Подтверждение пароля Введите пароль еще раз.
    Правила входящего порта
    Общедоступные входящие порты Выберите Нет.

  4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

  5. На вкладке 'Сеть' выберите или введите:

    Setting Value
    Сетевой интерфейс
    Виртуальная сеть lb-VNet
    Subnet backend-subnet
    Общедоступный IP-адрес Выберите "Нет".
    Группа безопасности сети NIC Нажмите кнопку Дополнительно.
    Настройка группы безопасности сети Оставьте значение по умолчанию vm-NSG. Это может отличаться, если выбрать другое имя виртуальной машины.

  6. В разделе Балансировка нагрузки выберите следующее:

    Setting Value
    Варианты балансировки нагрузки Выберите Балансировка нагрузки Azure.
    Выбор подсистемы балансировки нагрузки Выберите lb-internal
    Выберите серверный пул Выберите lb-int-backend-pool

  7. Выберите Review + create.

  8. Проверьте параметры, а затем нажмите кнопку Создать.

Добавление виртуальной машины в внутренний пул общедоступной подсистемы балансировки нагрузки

В этом разделе вы добавите виртуальную машину, созданную ранее, в внутренний пул общедоступной подсистемы балансировки нагрузки.

  1. В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.

  2. Выберите lb-public.

  3. Выберите серверные пулы в параметрах в lb-public.

  4. Выберите lb-pub-backend-pool в разделе Серверный пул на странице серверных пулов .

  5. В пуле lb-pub-backend-pool выберите lb-VNet в виртуальной сети.

  6. На виртуальных машинах нажмите синюю кнопку +Добавить .

  7. Выберите поле рядом с lb-VM в "Добавление виртуальных машин в пул серверов заднего плана".

  8. Нажмите кнопку "Добавить".

  9. Нажмите кнопку "Сохранить".

Проверка подключения перед правилом исходящих подключений

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите lb-VM.

  3. На странице Обзор выберите Подключиться и Бастион.

  4. Введите имя пользователя и пароль, введенные в процессе создания виртуальной машины.

  5. Нажмите Подключиться.

  6. Откройте браузер Microsoft Edge.

  7. В адресной строке введите https://whatsmyip.org .

  8. Подключение должно закончиться сбоем. По умолчанию стандартный общедоступный балансировщик нагрузки не позволяет исходящий трафик без заданного правила для исходящего соединения.

Создать правило для исходящего трафика публичного балансировщика нагрузки

  1. В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.

  2. Выберите lb-public.

  3. Выберите правила исходящего трафика в параметрах в lb-public.

  4. Выберите + Добавить в разделе Правила для исходящего трафика.

  5. Введите или выберите следующие сведения, чтобы настроить правило исходящей связи.

    Setting Value
    Name Введите myOutboundRule.
    IP-адрес фронтенда Выберите lb-ext-frontend.
    Protocol Оставьте значение по умолчанию Все.
    Время ожидания простоя (в минутах) Перемещение ползунка до 15 минут.
    Сброс TCP Выберите "Включено".
    Пул серверов бэкенда Выберите lb-pub-backend-pool.
    Выделение портов
    Выделение портов Выберите Выбрать число исходящих портов вручную.
    Исходящие порты
    Выберите по Выберите Число портов для каждого экземпляра.
    Количество портов для каждого экземпляра Введите 10000

  6. Нажмите кнопку "Добавить".

Проверка подключения после правила исходящего трафика

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите lb-VM.

  3. На странице Обзор выберите Подключиться и Бастион.

  4. Введите имя пользователя и пароль, введенные в процессе создания виртуальной машины.

  5. Нажмите Подключиться.

  6. Откройте браузер Microsoft Edge.

  7. В адресной строке введите https://whatsmyip.org .

  8. Подключение должно завершиться успешно.

  9. Отображаемый IP-адрес должен быть внешним IP-адресом lb-public.

Очистите ресурсы

При отсутствии необходимости удалите группу ресурсов, подсистемы балансировки нагрузки, виртуальную машину и все связанные ресурсы.

Для этого выберите группу ресурсов lb-resource-group и нажмите кнопку "Удалить".

Дальнейшие шаги

В этой статье вы создали конфигурацию "только исходящего трафика" с сочетанием общедоступных и внутренних подсистем балансировки нагрузки.

Эта конфигурация позволяет балансировать входящий внутренний трафик к основному пулу, предотвращая любые общедоступные входящие подключения.

Дополнительные сведения о Azure Load Balancer и Бастионе Azure см. в статье "Что такое Azure Load Balancer?" и что такое Бастион Azure?

  • Last updated on