Tutorial: Usar um gateway da NAT com uma rede hub e spoke
Uma rede hub e spoke é um dos blocos de construção de uma infraestrutura de rede de vários locais altamente disponível. A implantação mais comum de uma rede hub e spoke é feita com a intenção de rotear todo o tráfego entre spokes e de saída para a Internet por meio do hub central. A finalidade é inspecionar todo o tráfego que atravessa a rede com uma NVA (Solução de Virtualização de Rede) para verificação de segurança e inspeção de pacotes.
Em relação ao tráfego de saída para a Internet, a solução de virtualização de rede normalmente teria um adaptador de rede com um endereço IP público atribuído. A NVA, depois de inspecionar o tráfego de saída, encaminha o tráfego para fora da interface pública e para a Internet. O Gateway da NAT do Azure elimina a necessidade do endereço IP público atribuído ao NVA. A associação de um gateway da NAT à sub-rede pública da NVA altera o roteamento da interface pública para rotear todo o tráfego da Internet de saída por meio do gateway da NAT. A eliminação do endereço IP público aumenta a segurança e permite o dimensionamento da SNAT (conversão de endereços de rede de origem para saída) com vários endereços IP públicos e ou prefixos de IP públicos.
Importante
A NVA usada neste artigo é apenas para fins de demonstração e é simulada com uma máquina virtual Ubuntu. A solução não inclui um balanceador de carga para alta disponibilidade da implantação de NVA. Substitua a máquina virtual do Ubuntu neste artigo por uma NVA desejada. Confira o fornecedor da NVA escolhida para obter instruções de roteamento e configuração. Um balanceador de carga e zonas de disponibilidade são recomendados para uma infraestrutura de NVA altamente disponível.
Neste tutorial, você aprenderá como:
- Crie um gateway da NAT.
- Crie uma rede virtual hub e spoke.
- Crie uma NVA (Solução de Virtualização de Rede) simulada.
- Force todo o tráfego dos spokes através do hub.
- Force a saída de todo o tráfego de Internet no hub e nos spokes do gateway da NAT.
- Teste o gateway da NAT e o roteamento entre spokes.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Criar um gateway da NAT
Todo o tráfego de Internet de saída atravessa o gateway da NAT para a Internet. Use o exemplo a seguir para criar um gateway da NAT para a rede hub e spoke.
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira Gateway da NAT. Selecione Gateways da NAT nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações básicas em Criar gateway da NAT (conversão de endereços de rede), insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione Criar novo.
Insira test-rg no Nome.
Selecione OK.Detalhes da instância Nome do gateway da NAT Insira o nat-gateway. Região Selecione Leste dos EUA 2. Zona de disponibilidade Selecione uma Zona ou Sem zona. Tempo limite ocioso do TCP (minutos) Mantenha o padrão de 4. Selecione Avançar: IP de saída.
Em IP de Saída, em Endereços IP públicos, selecione Criar um endereço IP público.
Insira public-ip-nat em Nome.
Selecione OK.
Selecione Examinar + criar.
Selecione Criar.
Criar uma rede virtual do hub
A rede virtual do hub é a rede central da solução. A rede do hub contém o dispositivo NVA e uma sub-rede pública e privada. O gateway da NAT é atribuído à sub-rede pública durante a criação da rede virtual. Um host do Azure Bastion é configurado como parte do exemplo a seguir. O bastion host será usado para se conectar com segurança à máquina virtual NVA e às máquinas virtuais de teste implantadas nos spokes posteriormente no artigo.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome Insira vnet-hub. Região Selecione Leste dos EUA 2. Selecione Avançar para prosseguir para a guia Segurança.
Selecione Habilitar Bastion na seção Azure Bastion da guia Segurança.
O Azure Bastion usa seu navegador para se conectar a VMs em sua rede virtual por meio do secure shell (SSH) ou protocolo da área de trabalho remota (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações sobre o Azure Bastion, consulte Azure Bastion
Observação
Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.
Insira ou selecione as informações a seguir em Azure Bastion.
Configuração Valor Nome do host do Azure Bastion Insira bastion. Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
Insira public-ip no Nome.
Selecione OK.Selecione Avançar para prosseguir para a guia Endereços IP.
Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão.
Em Editar sub-rede, insira ou selecione as seguintes informações:
Configuração Valor Detalhes da sub-rede Modelo de sub-rede Deixe o padrãoPadrão. Nome Insira subnet-private. Endereço inicial Deixe o padrão de 10.0.0.0. Tamanho da sub-rede Deixe o padrão /24(256 endereços). Selecione Salvar.
Clique em +Adicionar sub-rede.
Em Adicionar sub-rede, insira ou selecione as seguintes informações:
Configuração Valor Detalhes da sub-rede Modelo de sub-rede Deixe o padrãoPadrão. Nome Insira subnet-public. Endereço inicial Insira 10.0.253.0 Tamanho da sub-rede Selecione /28 (16 endereços) Segurança Gateway da NAT Selecione nat-gateway. Selecione Adicionar.
Selecione Examinar + criar.
Selecione Criar.
Leva alguns minutos para que o bastion host seja implantado. Quando a rede virtual for criada como parte da implantação, você poderá prosseguir para as próximas etapas.
Criar máquina virtual NVA simulada
A NVA simulada atua como uma solução de virtualização para rotear todo o tráfego entre os spokes e o hub e o tráfego de saída para a Internet. Uma máquina virtual do Ubuntu é usada para a NVA simulada. Use o exemplo a seguir para criar a NVA simulada e configurar os adaptadores de rede.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e depois a máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-nva. Região Selecione (EUA) Leste dos EUA 2. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Selecione Padrão. Imagem Selecione Ubuntu Server 22.04 LTS - x64 Gen2. Arquitetura de VMs; Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Senha. Nome de Usuário Digite um nome de usuário. Senha Digite uma senha. Confirmar senha Reinsira a senha. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione Avançar: Discos e Avançar: Rede.
Na guia Rede, insira ou selecione as seguintes informações:
Configuração Valor Interface de rede Rede virtual Selecione vnet-hub. Sub-rede Selecione subnet-public (10.0.253.0/28). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Em Nome, insira nsg-nva.
Selecione OK.Deixe o padrão nas outras opções e selecione Examinar + criar.
Selecione Criar.
Configurar interfaces de rede de máquina virtual
A configuração de IP do adaptador de rede primário da máquina virtual é definida como dinâmica por padrão. Use o exemplo a seguir para alterar a configuração de IP do adaptador de rede primário para estático e adicionar um adaptador de rede secundário à interface privada da NVA.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-nva.
Na Visão geral, selecione Parar se a máquina virtual estiver em execução.
Selecione Rede em Configurações.
Em Rede, selecione o nome do adaptador de rede ao lado de Adaptador de Rede. O nome da interface é o nome da máquina virtual e números e letras aleatórios. Neste exemplo, o nome da interface é vm-nva271.
Nas propriedades do adaptador de rede, selecione Configurações de IP em Configurações.
Selecione a caixa ao lado de Habilitar encaminhamento de IP.
Escolha Aplicar.
Quando a ação de aplicar for concluída, selecione ipconfig1.
Em Atribuição em ipconfig1, selecione Estático.
Em Endereço do IP Privado insira 10.0.253.10.
Selecione Salvar.
Quando a ação de salvamento for concluída, retorne à configuração de rede para vm-nva.
Na página Rede de vm-nva, selecione Anexar interface de rede.
Selecione Criar e anexar adaptador de rede.
Em Criar adaptador de rede, insira ou selecione as informações abaixo:
Configuração Valor Detalhes do projeto Resource group Selecione test-rg. Interface de rede Name Insira nic-private. Sub-rede Selecione subnet-private (10.0.0.0/24). Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione nsg-nva. Atribuição de endereço IP privado Selecione Estático. Endereço IP privado Insira 10.0.0.10. Selecione Criar.
Configurar o software da máquina virtual
O roteamento para a NVA simulada usa tabelas IP e NAT internas na máquina virtual Ubuntu. Conecte-se à máquina virtual NVA com o Azure Bastion para configurar tabelas IP e a configuração de roteamento.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-nva.
Inicie vm-nva.
Quando a máquina virtual for concluída, continue com as próximas etapas.
Em Operações, selecione Bastion.
Insira o nome de usuário e a senha que você inseriu quando a máquina virtual foi criada.
Selecione Conectar.
Insira as seguintes informações no prompt da máquina virtual para habilitar o encaminhamento de IP:
sudo vim /etc/sysctl.confNo editor Vim, remova
#da linhanet.ipv4.ip_forward=1:Pressione a tecla Insert.
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Pressione a tecla ESC.
Insira
:wqe pressione ENTER.Insira as seguintes informações para habilitar a NAT interna na máquina virtual:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistentSelecione Sim duas vezes.
sudo su iptables-save > /etc/iptables/rules.v4 exitUse o Vim para editar a configuração com as seguintes informações:
sudo vim /etc/rc.localPressione a tecla Insert.
Adicione a seguinte linha ao arquivo de configuração:
/sbin/iptables-restore < /etc/iptables/rules.v4Pressione a tecla ESC.
Insira
:wqe pressione ENTER.Reinicialize a máquina virtual:
sudo reboot
Criar tabela de rotas da rede do hub
As tabelas de rotas são usadas para substituir o roteamento padrão do Azure. Crie uma tabela de rotas para forçar todo o tráfego dentro da sub-rede privada do hub pela NVA simulada.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar Tabela de rotas, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Região Selecione Leste dos EUA 2. Nome Insira route-table-nat-hub. Propagar rotas de gateway Mantenha o padrão Sim. Selecione Examinar + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione route-table-nat-hub.
Em Configurações, selecione Rotas.
Selecione + Adicionar em Rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Configuração Valor Nome da rota Insira default-via-nat-hub. Tipo de destino Selecione Endereços IP. Intervalos de CIDR /endereço IP de destino Insira 0.0.0.0/0. Tipo do próximo salto Selecione Solução de virtualização. Endereço do próximo salto Insira 10.0.0.10.
Esse é o endereço IP que você adicionou à interface privada da NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associar.
Insira ou selecione as seguintes informações em Associar sub-rede:
Configuração Valor Rede virtual Selecione vnet-hub (test-rg). Sub-rede Selecione subnet-private. Selecione OK.
Criar a rede virtual spoke 1
Crie outra rede virtual em uma região diferente para o primeiro spoke da rede hub e spoke.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome Insira vnet-spoke-1. Region Selecione (EUA) Centro-Sul dos EUA. Selecione Avançar para prosseguir para a guia Segurança.
Selecione Avançar para prosseguir para a guia Endereços de IP.
Na guia Endereços IP no espaço de endereço IPv4, selecione a lixeira para excluir o espaço de endereço preenchido automaticamente.
No Espaço do endereços IPv4 insira 10.1.0.0. Deixe o padrão de /16 (65.536 endereços) na seleção de máscara.
Selecione +Adicionar uma sub-rede.
Insira ou selecione as informações a seguir em Adicionar sub-rede:
Configuração Valor Detalhes da sub-rede Modelo de sub-rede Deixe o padrãoPadrão. Nome Insira subnet-private. Endereço inicial Insira 10.1.0.0. Tamanho da sub-rede Deixe o padrão /24(256 endereços). Selecione Adicionar.
Selecione Examinar + criar.
Selecione Criar.
Criar emparelhamento entre hub e spoke 1
Um emparelhamento de rede virtual é usado para conectar o hub ao spoke 1 e o spoke 1 ao hub. Use o exemplo a seguir para criar um emparelhamento de rede bidirecional entre o hub e o spoke 1.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamentos em Configurações.
Selecione + Adicionar.
Insira ou selecione as seguintes informações em Adicionar emparelhamento:
Configuração Valor Esta rede virtual Nome do link de emparelhamento Insira vnet-hub-to-vnet-spoke-1. Permitir que o "vnet-hub" acesse o "vnet-spoke-1" Deixe o padrão Selecionado. Permitir que o "vnet-hub" receba o tráfego encaminhado do "vnet-spoke-1" Selecione a caixa de seleção. Permitir que o gateway em "vnet-hub" encaminhe o tráfego para o "vnet-spoke-1" Mantenha o padrão de Desmarcado. Habilitar o "vnet-hub" para usar o gateway remoto do "vnet-spoke-1" Mantenha o padrão de Desmarcado. Rede virtual remota Nome do link de emparelhamento Insira vnet-spoke-1-to-vnet-hub. Modelo de implantação de rede virtual Mantenha o padrão Gerenciador de recursos. Subscription Selecione sua assinatura. Rede virtual Selecione vnet-spoke-1. Permitir que o "vnet-spoke-1" acesse o "vnet-hub" Deixe o padrão Selecionado. Permitir que o "vnet-spoke-1" receba o tráfego encaminhado do "vnet-hub" Selecione a caixa de seleção. Permitir que o gateway em "vnet-spoke-1" encaminhe o tráfego para o "vnet-hub" Mantenha o padrão de Desmarcado. Habilitar o "vnet-spoke-1" para usar o gateway remoto do "vnet-hub" Mantenha o padrão de Desmarcado. Selecione Adicionar.
Selecione Atualizar e verifique se o Status do emparelhamento é Conectado.
Criar tabela de rotas de rede spoke 1
Crie uma tabela de rotas para forçar todo o tráfego de saída entre spokes e da Internet por meio da NVA simulada na rede virtual hub.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar Tabela de rotas, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Região Selecione Centro-Sul dos EUA. Nome Insira route-table-nat-spoke-1. Propagar rotas de gateway Mantenha o padrão Sim. Selecione Examinar + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione route-table-nat-spoke-1.
Em Configurações, selecione Rotas.
Selecione + Adicionar em Rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Configuração Valor Nome da rota Insira default-via-nat-spoke-1. Tipo de destino Selecione Endereços IP. Intervalos de CIDR /endereço IP de destino Insira 0.0.0.0/0. Tipo do próximo salto Selecione Solução de virtualização. Endereço do próximo salto Insira 10.0.0.10.
Esse é o endereço IP que você adicionou à interface privada da NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associar.
Insira ou selecione as seguintes informações em Associar sub-rede:
Configuração Valor Rede virtual Selecione vnet-spoke-1 (test-rg). Sub-rede Selecione subnet-private. Selecione OK.
Criar uma máquina virtual de teste spoke 1
Uma máquina virtual do Windows Server 2022 é usada para testar o tráfego de internet de saída por meio do gateway da NAT e do tráfego entre spokes na rede hub e spoke. Use o exemplo a seguir para criar uma máquina virtual do Windows Server 2022.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e depois a máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-spoke-1. Região Selecione (EUA) Centro-Sul dos EUA. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Selecione Padrão. Imagem Selecione Windows Server 2022 Datacenter – x64 Gen2. Arquitetura de VMs; Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Senha. Nome de Usuário Digite um nome de usuário. Senha Digite uma senha. Confirmar senha Reinsira a senha. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione Avançar: Discos e Avançar: Rede.
Na guia Rede, insira ou selecione as seguintes informações:
Configuração Valor Interface de rede Rede virtual Selecione vnet-spoke-1. Sub-rede Selecione subnet-private (10.1.0.0/24). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Insira nsg-spoke-1.Regras de entrada Selecione + Adicionar uma regra de entrada.
Selecione HTTP em Serviço.
Selecione Adicionar.
Selecione
.Selecione OK.
Deixe o padrão nas outras opções e selecione Examinar + criar.
Selecione Criar.
Instalar o IIS na máquina virtual de teste spoke 1
IIS é instalado na máquina virtual do Windows Server 2022 para testar o tráfego de Internet de saída por meio do gateway da NAT e do tráfego entre spokes na rede hub e spoke.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-1.
Em Operações, selecione Executar comando.
Selecione RunPowerShellScript.
Insira o seguinte script em Executar Script de Comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selecione Executar.
Aguarde até que o script seja concluído antes de continuar para a próxima etapa. Pode levar alguns minutos para que o script seja concluído.
Quando o script for concluído, a Saída* exibirá o seguinte:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Criar a segunda rede virtual spoke
Crie a segunda rede virtual para o segundo spoke da rede hub e spoke.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome Insira vnet-spoke-2. Região Selecione (EUA) Oeste dos EUA 2. Selecione Avançar para prosseguir para a guia Segurança.
Selecione Avançar para prosseguir para a guia Endereços de IP.
Na guia Endereços IP no espaço de endereço IPv4, selecione a lixeira para excluir o espaço de endereço preenchido automaticamente.
No Espaço dos endereços IPv4 insira 10.2.0.0. Deixe o padrão de /16 (65.536 endereços) na seleção de máscara.
Selecione +Adicionar uma sub-rede.
Insira ou selecione as informações a seguir em Adicionar sub-rede:
Configuração Valor Detalhes da sub-rede Modelo de sub-rede Deixe o padrãoPadrão. Nome Insira subnet-private. Endereço inicial Insira 10.2.0.0 Tamanho da sub-rede Deixe o padrão /24(256 endereços). Selecione Adicionar.
Selecione Examinar + criar.
Selecione Criar.
Criar emparelhamento entre hub e spoke 2
Crie um par de rede virtual bidirecional entre o hub e o spoke 2.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamentos em Configurações.
Selecione + Adicionar.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamentos em Configurações.
Selecione + Adicionar.
Insira ou selecione as seguintes informações em Adicionar emparelhamento:
Configuração Valor Esta rede virtual Nome do link de emparelhamento Insira vnet-hub-to-vnet-spoke-2. Permitir que o "vnet-hub" acesse o "vnet-spoke-2" Deixe o padrão Selecionado. Permitir que o "vnet-hub" receba o tráfego encaminhado do "vnet-spoke-2" Selecione a caixa de seleção. Permitir que o gateway em "vnet-hub" encaminhe o tráfego para o "vnet-spoke-2" Mantenha o padrão de Desmarcado. Habilitar o "vnet-hub" para usar o gateway remoto do "vnet-spoke-2" Mantenha o padrão de Desmarcado. Rede virtual remota Nome do link de emparelhamento Insira vnet-spoke-2-to-vnet-hub. Modelo de implantação de rede virtual Mantenha o padrão Gerenciador de recursos. Subscription Selecione sua assinatura. Rede virtual Selecione vnet-spoke-2. Permitir que o "vnet-spoke-1" acesse o "vnet-hub" Deixe o padrão Selecionado. Permitir que o "vnet-spoke-1" receba o tráfego encaminhado do "vnet-hub" Selecione a caixa de seleção. Permitir que o gateway em "vnet-spoke-1" encaminhe o tráfego para o "vnet-hub" Mantenha o padrão de Desmarcado. Habilitar o "vnet-spoke-1" para usar o gateway remoto do "vnet-hub" Mantenha o padrão de Desmarcado. Selecione Adicionar.
Selecione Atualizar e verifique se o Status do emparelhamento é Conectado.
Criar tabela de rotas de rede spoke 2
Crie uma tabela de rotas para forçar todo o tráfego entre spokes e de saída para a Internet por meio da NVA simulada na rede virtual hub.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar Tabela de rotas, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Região Selecione Oeste dos EUA 2. Nome Insira route-table-nat-spoke-2. Propagar rotas de gateway Mantenha o padrão Sim. Selecione Examinar + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione route-table-nat-spoke-2.
Em Configurações, selecione Rotas.
Selecione + Adicionar em Rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Configuração Valor Nome da rota Insira default-via-nat-spoke-2. Tipo de destino Selecione Endereços IP. Intervalos de CIDR /endereço IP de destino Insira 0.0.0.0/0. Tipo do próximo salto Selecione Solução de virtualização. Endereço do próximo salto Insira 10.0.0.10.
Esse é o endereço IP que você adicionou à interface privada da NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associar.
Insira ou selecione as seguintes informações em Associar sub-rede:
Configuração Valor Rede virtual Selecione vnet-spoke-2 (test-rg). Sub-rede Selecione subnet-private. Selecione OK.
Criar duas máquinas virtuais de teste spoke
Crie uma máquina virtual do Windows Server 2022 para a máquina virtual de teste no spoke 2.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e depois a máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-spoke-2. Região Selecione (EUA) Oeste dos EUA 2. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Selecione Padrão. Imagem Selecione Windows Server 2022 Datacenter – x64 Gen2. Arquitetura de VMs; Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Senha. Nome de Usuário Digite um nome de usuário. Senha Digite uma senha. Confirmar senha Reinsira a senha. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione Avançar: Discos e Avançar: Rede.
Na guia Rede, insira ou selecione as seguintes informações:
Configuração Valor Interface de rede Rede virtual Selecione vnet-spoke-2. Sub-rede Selecione subnet-private (10.2.0.0/24). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Insira nsg-spoke-2.Regras de entrada Selecione + Adicionar uma regra de entrada.
Selecione HTTP em Serviço.
Selecione Adicionar.
Selecione OK.Deixe o padrão nas outras opções e selecione Examinar + criar.
Selecione Criar.
Instalar o IIS na máquina virtual de teste spoke 2
IIS é instalado na máquina virtual do Windows Server 2022 para testar o tráfego de Internet de saída por meio do gateway da NAT e do tráfego entre spokes na rede hub e spoke.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-2.
Em Operações, selecione Executar comando.
Selecione RunPowerShellScript.
Insira o seguinte script em Executar Script de Comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selecione Executar.
Aguarde até que o script seja concluído antes de continuar para a próxima etapa. Pode levar alguns minutos para que o script seja concluído.
Quando o script for concluído, a Saída* exibirá o seguinte:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Testar um gateway da NAT
Você se conectará às máquinas virtuais do Windows Server 2022 criadas nas etapas anteriores para verificar se o tráfego de Internet de saída está saindo do gateway da NAT.
Obter endereço IP público do gateway da NAT
Obtenha o endereço IP público do gateway da NAT para verificação das etapas mais adiante no artigo.
Na caixa de pesquisa na parte superior do portal, insira IP público. Selecione Endereços IP públicos nos resultados da pesquisa.
Selecione public-ip-nat.
Anote o valor no endereço IP. O exemplo usado neste artigo é 52.153.224.79.
Testar o gateway da NAT do spoke 1
Use o Microsoft Edge na máquina virtual do Windows Server 2022 para se conectar a https://whatsmyip.com e verificar a funcionalidade do gateway da NAT.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-1.
Em Operações, selecione Bastion.
Insira o nome de usuário e a senha que você inseriu quando a máquina virtual foi criada.
Selecione Conectar.
Abra o Microsoft Edge quando a área de trabalho terminar de carregar.
Na barra de endereços, insira https://whatsmyip.com.
Verifique se o endereço IP de saída exibido é o mesmo do IP do gateway da NAT obtido anteriormente.
Deixe a conexão do bastion aberta para vm-spoke-1.
Testar o gateway da NAT do spoke 2
Use o Microsoft Edge na máquina virtual do Windows Server 2022 para se conectar a https://whatsmyip.com e verificar a funcionalidade do gateway da NAT.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-2.
Em Operações, selecione Bastion.
Insira o nome de usuário e a senha que você inseriu quando a máquina virtual foi criada.
Selecione Conectar.
Abra o Microsoft Edge quando a área de trabalho terminar de carregar.
Na barra de endereços, insira https://whatsmyip.com.
Verifique se o endereço IP de saída exibido é o mesmo do IP do gateway da NAT obtido anteriormente.
Deixe a conexão do bastion aberta para vm-spoke-2.
Testar o roteamento entre os spokes
O tráfego do spoke 1 para o spoke 2 e do spoke 2 para o spoke 1 roteará pela NVA simulada na rede virtual do hub. Use os exemplos a seguir para verificar o roteamento entre spokes da rede hub e spoke.
Testar o roteamento do spoke 1 para o spoke 2
Use o Microsoft Edge para se conectar ao servidor Web no vm-spoke-2 instalado nas etapas anteriores.
Retorne à conexão do bastion aberta com vm-spoke-1.
Abra o Microsoft Edge se ele não estiver aberto.
Na barra de endereços, insira 10.2.0.4.
Verifique se a página do IIS é exibida em vm-spoke-2.
Feche a conexão do bastion com vm-spoke-1.
Testar o roteamento do spoke 2 para o spoke 1
Use o Microsoft Edge para se conectar ao servidor Web no vm-spoke-1 instalado nas etapas anteriores.
Retorne à conexão aberta do bastion com vm-spoke-2.
Abra o Microsoft Edge se ele não estiver aberto.
Na barra de endereços, insira 10.1.0.4.
Verifique se a página do IIS é exibida em vm-spoke-1.
Feche a conexão do bastion com vm-spoke-1.
Limpar os recursos
Quando terminar de usar os recursos criados, você poderá excluir o grupo de recursos e todos os recursos dele:
No portal do Azure, procure por Grupos de recursos e selecione essa opção.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos .
Digite test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.
Próximas etapas
Avance para o próximo artigo para saber como usar um Balanceador de carga do gateway do Azure em soluções de virtualização de rede altamente disponíveis: