Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве вы узнаете, как интегрировать шлюз NAT с внутренней подсистемой балансировки нагрузки.
По умолчанию служба Load Balancer (цен. категория "Стандартный") Azure безопасна. Исходящее подключение явно определяется путем включения исходящего подключения SNAT (преобразование сетевых адресов источника).
Механизм SNAT включается для внутреннего серверного пула с помощью другой общедоступной подсистемы балансировки нагрузки, сетевой маршрутизации или общедоступного IP-адреса, определенного на виртуальной машине.
Интеграция со шлюзом NAT устраняет необходимость развертывать общедоступную подсистему балансировки нагрузки, использовать сетевую маршрутизацию или общедоступный IP-адрес, определенный на виртуальной машине в серверном пуле.
В этом руководстве описано следующее:
- создание Azure Load Balancer;
- Создание двух виртуальных машин для серверного пула Azure Load Balancer.
- Создание шлюза NAT.
- Проверка исходящего подключения виртуальных машин в серверном пуле подсистемы балансировки нагрузки
Необходимые компоненты
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Создайте группу ресурсов
Создайте группу ресурсов, чтобы включать все ресурсы для этого быстрого запуска.
Войдите на портал Azure.
В поле поиска в верхней части портала введите группу ресурсов. Выберите Группы ресурсов в результатах поиска.
Выберите + Создать.
На вкладке "Основы " для создания группы ресурсов введите или выберите следующие сведения.
Параметр Значение Отток подписок Выбор подписки Группа ресурсов test-rg Область/регион Восток США 2 Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Создание виртуальной сети
В поле поиска в верхней части портал Azure введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Нажмите кнопку создания.
Введите или выберите следующие сведения на вкладке "Основные сведения" в разделе "Создание виртуальной сети".
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg или группу ресурсов. Сведения об экземпляре Имя. Введите vnet-1. Область/регион Выберите свой регион. В этом примере используется восточная часть США 2. Перейдите на вкладку "IP-адреса " или нажмите кнопку "Далее: безопасность", а затем " Далее: IP-адреса".
В подсетях выберите подсетьпо умолчанию .
Введите или выберите следующие сведения в разделе Изменить подсеть.
Параметр Значение Назначение подсети Оставьте значение по умолчанию. Имя. Введите подсеть-1. Оставьте остальные параметры в качестве значения по умолчанию, а затем нажмите кнопку "Сохранить".
Выберите +Добавить подсеть.
В поле "Добавить подсеть" введите или выберите следующие сведения.
Параметр Значение Назначение подсети Выберите Бастион Azure. Оставьте остальные параметры по умолчанию, а затем нажмите кнопку "Добавить".
Выберите Проверить и создать, а затем выберите Создать.
Создайте узел Bastion в Azure
Создайте хост Bastion в Azure для безопасного подключения к виртуальной машине.
В поле поиска в верхней части портала Azure введите Бастион. Выберите Bastions в результатах поиска.
Нажмите кнопку создания.
Введите или выберите следующие сведения на вкладке "Основы " в разделе "Создание бастиона".
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg или группу ресурсов. Сведения об экземпляре Имя. Введите бастион. Область/регион Выберите свой регион. В этом примере используется восточная часть США 2. Уровень Выберите разработчика. Виртуальная сеть Выберите виртуальную сеть-1. Подсеть Выберите AzureBastionSubnet. Выберите Проверить и создать, а затем выберите Создать.
Создание шлюза NAT.
В поле поиска в верхней части портал Azure введите общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.
Нажмите кнопку создания.
Введите следующие сведения в разделе "Создание общедоступного IP-адреса".
Параметр Значение Отток подписок Выберите свою подписку. Группа ресурсов Выберите группу ресурсов. В примере используется test-rg. Область/регион выберите регион. В этом примере используется восточная часть США 2. Имя. Введите public-ip-nat. Версия протокола IP Выберите IPv4. Номер SKU Выберите Стандартное. Зона доступности Выберите Зональная избыточность. Уровень Выберите Региональный. Выберите Просмотр и создание, а затем нажмите кнопку Создать.
В поле поиска в верхней части портал Azure введите шлюз NAT. В результатах поиска выберите NAT-шлюзы.
Нажмите кнопку создания.
Введите или выберите следующие сведения на вкладке "Основные сведения" шлюза создания сетевых адресов (NAT).
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg или группу ресурсов. Сведения об экземпляре Имя шлюза NAT Введите nat-gateway. Область/регион Выберите свой регион. В этом примере используется восточная часть США 2. Номер SKU Выберите Стандартное. Время ожидания простоя TCP (минуты) Сохраните значение по умолчанию 4. Нажмите кнопку Далее.
На вкладке "Исходящий IP-адрес" выберите +Добавить общедоступные IP-адреса или префиксы.
В разделе "Добавление общедоступных IP-адресов" или префиксов выберите общедоступные IP-адреса. Выберите общедоступный IP-адрес, созданный ранее, public-ip-nat.
Нажмите кнопку Далее.
На вкладке "Сеть" в виртуальной сети выберите виртуальную сеть-1.
Оставьте флажок для По умолчанию для всех подсетей снятым.
В разделе "Выбор определенных подсетей" выберите подсеть-1.
Выберите Проверить и создать, а затем выберите Создать.
Создание подсистемы балансировки нагрузки
В этом разделе описано, как создать внутреннюю подсистему балансировки нагрузки, которая балансирует нагрузку виртуальных машин. Внутренняя подсистема балансировки нагрузки используется для балансировки трафика в виртуальной сети с частным IP-адресом.
Во время создания подсистемы балансировки нагрузки необходимо настроить:
- Интерфейсный IP-адрес
- Внутренний пул
- Правила балансировки нагрузки для входящего трафика
В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.
На странице Подсистема балансировки нагрузки щелкните Создать.
На странице Создание подсистемы балансировки нагрузки на вкладке Основные сведения укажите следующее.
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя. Введите подсистему балансировки нагрузки Область/регион Выберите регион (США) Восточная часть США 2. Номер SKU Оставьте значение по умолчанию Стандартная. Тип Выберите Внутренний. Уровень Оставьте значение по умолчанию Региональная. В нижней части страницы выберите Далее: интерфейсная IP-конфигурация.
В разделе Интерфейсная IP-конфигурация выберите + Добавить интерфейсную IP-конфигурацию.
Введите внешний интерфейс в имя.
Выберите подсеть-1 (10.0.0.0/24) в подсети.
Оставьте остальные параметры значениями по умолчанию.
Выберите Добавить.
Внизу страницы выберите элемент Далее. Серверные пулы.
На вкладке Серверные пулы нажмите кнопку + Добавить серверный пул.
Введите серверный пул для имени в добавлении внутреннего пула.
Выберите значение Сетевая карта или IP-адрес в поле Конфигурация внутреннего пула.
Выберите Сохранить.
Внизу страницы выберите Далее: правила для входящего трафика.
На вкладке Правила для входящего трафика в разделе Правило балансировки нагрузки нажмите кнопку + Добавить правило балансировки нагрузки.
В разделе Добавление правила балансировки нагрузки введите следующую информацию или выберите указанные ниже варианты.
Параметр Значение Имя. Введите http-rule Версия IP-адреса Выберите IPv4. Интерфейсный IP-адрес Выберите интерфейс. Внутренний пул Выберите серверный пул. Протокол Выберите TCP. Порт Введите 80. Серверный порт Введите 80. Проба работоспособности Выберите Создать.
В поле "Имя" введите пробу работоспособности.
Выберите TCP в поле Протокол.
Сохраните остальные значения по умолчанию и щелкните ОК.Сохранение сеанса Выберите Отсутствует. Время ожидания простоя (в минутах) Введите или выберите 15. Сброс TCP Щелкните Включено. Плавающий IP-адрес Выберите Отключено. Выберите Сохранить.
В нижней части страницы нажмите синюю кнопку Просмотр + создание.
Нажмите кнопку создания.
Создание виртуальных машин
В этом разделе описано, как создать две виртуальные машины (vm-1 и vm-2) в двух разных зонах (зона 1 и зона 2).
Эти виртуальные машины добавляются во внутренний пул подсистемы балансировки нагрузки, которую вы создали ранее.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите + Создать, затем выберите Виртуальная машина Azure.
В разделе Создание виртуальной машины на вкладке Основные сведения укажите следующее.
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Название виртуальной машины Введите vm-1. Область/регион Выберите регион Восточная часть США 2. Параметры доступности Выберите зону 1. Тип безопасности Выберите Стандартное. Изображения Выберите Ubuntu Server 22.04 LTS — x64-го поколения 2-го поколения. Архитектура виртуальной машины Оставьте значение по умолчанию x64. Размер Выберите размер. Учетная запись администратора Тип аутентификации выберите Пароль. Имя пользователя Введите azureuser. Пароль Введите пароль. Подтверждение пароля Повторно введите пароль. Правила входящего порта Общедоступные входящие порты Выберите Отсутствует. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).
На вкладке Сеть введите или выберите следующие значения параметров.
Параметр Значение Сетевой интерфейс Виртуальная сеть Выберите виртуальную сеть-1. Подсеть Выберите подсеть-1 (10.0.0.0/24) Общедоступный IP-адрес Выберите Отсутствует. Группа безопасности сети сетевого адаптера Нажмите кнопку Дополнительно. Настройка группы безопасности сети Выберите Создать.
В группе безопасности сети введите nsg-1 в name.
В разделе Правила для входящего трафика щелкните + Добавить правило для входящих подключений.
В поле Служба выберите HTTP.
Нажмите кнопку "Добавить
ОК"Балансировка нагрузки Настроить эту виртуальную машину для работы с существующим решением по балансировке нагрузки? Установите флажок. Параметры балансировки нагрузки Варианты балансировки нагрузки Выберите подсистему балансировки нагрузки Azure Выберите подсистему балансировки нагрузки Выбор подсистемы балансировки нагрузки Выберите серверный пул Выбор серверного пула Выберите Review + create (Просмотреть и создать).
Проверьте параметры, а затем нажмите кнопку Создать.
Выполните предыдущие действия, чтобы создать виртуальную машину со следующими значениями и всеми остальными параметрами, которые совпадают с vm-1:
Параметр Виртуальная машина 2 Имя. vm-2 Зона доступности 2 группу безопасности сети; Выберите существующий nsg-1 Варианты балансировки нагрузки Выберите подсистему балансировки нагрузки Azure Выберите подсистему балансировки нагрузки Выбор подсистемы балансировки нагрузки Выберите серверный пул Выбор серверного пула
Тестирование шлюза NAT
В этом разделе описано, как протестировать шлюз NAT. Сначала вы обнаружите общедоступный IP-адрес шлюза NAT. Затем подключитесь к тестовой виртуальной машине и проверьте исходящее подключение через шлюз NAT.
В поле поиска в верхней части портала введите Общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.
Выберите public-ip-nat.
Запишите общедоступный IP-адрес.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-1.
На странице "Обзор" выберите "Подключиться", а затем перейдите на вкладку Бастиона.
Выберите Использовать бастион.
Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.
В командной строке bash введите следующую команду.
curl ifconfig.meУбедитесь, что IP-адрес, возвращенный командой, соответствует общедоступному IP-адресу шлюза NAT.
azureuser@vm-1:~$ curl ifconfig.me 203.0.113.0.25Закройте подключение бастиона к vm-1.
Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.
Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.
На странице групп ресурсов выберите группу ресурсов test-rg.
На странице test-rg выберите "Удалить группу ресурсов".
Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".
Следующие шаги
Дополнительные сведения о шлюзе Azure NAT см. в следующем разделе: