Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma rede hub e spoke é um dos blocos de construção de uma infraestrutura de rede de vários locais altamente disponível. A implantação mais comum de uma rede hub e spoke é feita com a intenção de rotear todo o tráfego entre spokes e de saída para a Internet por meio do hub central. A finalidade é inspecionar todo o tráfego que atravessa a rede com uma NVA (Solução de Virtualização de Rede) para verificação de segurança e inspeção de pacotes.
Em relação ao tráfego de saída para a Internet, a solução de virtualização de rede normalmente teria um adaptador de rede com um endereço IP público atribuído. A NVA, depois de inspecionar o tráfego de saída, encaminha o tráfego para fora da interface pública e para a Internet. O Gateway da NAT do Azure elimina a necessidade do endereço IP público atribuído ao NVA. A associação de um gateway da NAT à sub-rede pública da NVA altera o roteamento da interface pública para rotear todo o tráfego da Internet de saída por meio do gateway da NAT. A eliminação do endereço IP público aumenta a segurança e permite o dimensionamento da SNAT (conversão de endereços de rede de origem para saída) com vários endereços IP públicos e ou prefixos de IP públicos.
Importante
A NVA usada neste artigo é apenas para fins de demonstração e é simulada com uma máquina virtual Ubuntu. A solução não inclui um balanceador de carga para alta disponibilidade da implantação de NVA. Substitua a máquina virtual do Ubuntu neste artigo por uma NVA desejada. Confira o fornecedor da NVA escolhida para obter instruções de roteamento e configuração. Recomenda-se o uso de um balanceador de carga e de zonas de disponibilidade para garantir uma infraestrutura de NVA com alta disponibilidade.
Neste tutorial, você aprenderá como:
- Crie um gateway da NAT.
- Crie uma rede virtual hub e spoke.
- Crie uma NVA (Solução de Virtualização de Rede) simulada.
- Force todo o tráfego dos spokes através do hub.
- Force a saída de todo o tráfego de Internet no hub e nos spokes do gateway da NAT.
- Teste o gateway da NAT e o roteamento entre spokes.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Criar um grupo de recursos
Crie um grupo de recursos para conter todos os recursos deste início rápido.
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira o grupo de recursos. Selecione Grupos de recursos nos resultados da pesquisa.
Selecione + Criar.
Na guia Noções básicas de Criar um grupo de recursos, insira ou selecione as informações a seguir.
Configuração Valor Subscrição Selecione sua assinatura Grupo de recursos test-rg Região Oeste dos EUA Selecione Examinar + criar.
Selecione Criar.
Criar um gateway da NAT
Todo o tráfego de saída da Internet atravessa o Gateway da NAT para a Internet. Use o exemplo a seguir para criar um gateway da NAT para a rede hub e spoke.
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal do Azure, insira Endereço IP público. Selecione Endereços IP públicos nos resultados da pesquisa.
Selecione Criar.
Insira ou selecione as informações a seguir em Criar endereço IP público.
Configuração Valor Subscrição Selecione sua assinatura. Grupo de recursos Selecione o seu grupo de recursos. O exemplo usa test-rg. Região Selecione uma região. Este exemplo usa Oeste dos EUA. Nome Insira public-ip-nat. Versão IP Selecione IPv4. SKU Selecione Padrão. Zona de disponibilidade Selecione Com redundância de zona. Camada Selecione Regional. Selecione Examinar + criar e Criar.
Na caixa de pesquisa na parte superior do portal do Azure, insira Gateway da NAT. Selecione Gateways da NAT nos resultados da pesquisa.
Selecione Criar.
Insira ou selecione as informações a seguir na guia Noções básicas do Criar gateway da NAT (conversão de endereços de rede).
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg ou seu grupo de recursos. Detalhes da instância Nome do gateway da NAT Insira nat-gateway. Região Selecione sua região. Este exemplo usa Oeste dos EUA. SKU Selecione Padrão. Tempo limite ocioso do TCP (minutos) Mantenha o padrão de 4. Selecione Próximo.
Na guia IP de saída , selecione + Adicionar endereços IP públicos ou prefixos.
Em Adicionar endereços IP públicos ou prefixos, selecione endereços IP públicos. Selecione o endereço IP público que você criou anteriormente, public-ip-nat.
Selecione Próximo.
Na guia Rede , na rede virtual, selecione vnet-1.
Deixe a caixa de seleção Definir como padrão para todas as sub-redes desmarcada.
Em Selecionar sub-redes específicas, selecione sub-rede-1.
Selecione Examinar + criar e, em seguida, selecione Criar.
Criar uma rede virtual do hub
A rede virtual do hub é a rede central da solução. A rede do hub contém o dispositivo NVA e uma sub-rede pública e privada. O gateway da NAT é atribuído à sub-rede pública durante a criação da rede virtual. Um host do Azure Bastion é configurado como parte do exemplo a seguir. O bastion host será usado para se conectar com segurança à máquina virtual NVA e às máquinas virtuais de teste implantadas nos spokes posteriormente no artigo.
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione Criar.
Insira ou selecione as seguintes informações na guia Informações básicas em Criar rede virtual.
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg ou seu grupo de recursos. Detalhes da instância Nome Insira vnet-1. Região Selecione sua região. Este exemplo usa Oeste dos EUA. Selecione a guia Endereços IP ou selecione Avançar: Segurança e, em seguida , Avançar: Endereços IP.
Em Sub-redes , selecione a sub-rede padrão .
Insira ou selecione as seguintes informações em Editar sub-rede.
Configuração Valor Finalidade da sub-rede Deixar o padrão. Nome Digite subnet-1. Deixe o restante das configurações como padrão e selecione Salvar.
Selecione + Adicionar uma sub-rede.
Em Adicionar uma sub-rede , insira ou selecione as informações a seguir.
Configuração Valor Finalidade da sub-rede Selecione Azure Bastion. Deixe o restante das configurações como padrão e selecione Adicionar.
Selecione Examinar + criar e, em seguida, selecione Criar.
Criar um host do Azure Bastion
O Azure Bastion fornece conectividade RDP e SSH segura para máquinas virtuais por TLS sem a necessidade de endereços IP públicos nas VMs.
Na caixa de pesquisa na parte superior do portal do Azure, insira Bastion. Selecione Bastions nos resultados da pesquisa.
Selecione Criar.
Insira ou selecione as informações a seguir na guia Noções básicas de Criar um Bastion.
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg ou seu grupo de recursos. Detalhes da instância Nome Insira bastion. Região Selecione sua região. Este exemplo usa Oeste dos EUA. Camada Selecione Desenvolvedor. Rede virtual Selecione vnet-1. Sub-rede Selecione AzureBastionSubnet. Selecione Examinar + criar e, em seguida, selecione Criar.
Criar máquina virtual NVA simulada
O NVA simulado atua como um dispositivo virtual para rotear todo o tráfego entre os raios e o hub e o tráfego de saída para a Internet. Uma máquina virtual do Ubuntu é usada para a NVA simulada. Use o exemplo a seguir para criar a NVA simulada e configurar os adaptadores de rede.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e depois a máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-nva. Região Selecione (EUA) Oeste dos EUA. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Selecione Padrão. Imagem Selecione Ubuntu Server 24.04 LTS - x64 Gen2. Arquitetura de VM Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Chave pública SSH. Nome de Usuário Digite um nome de usuário. Origem de chave pública SSH Selecione Gerar novo par de chaves. Tipo de chave SSH Deixe o padrão do formato RSA SSH. Nome do par de chaves Insira ssh-key. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione Avançar: Discos e Avançar: Rede.
Na guia Rede, insira ou selecione as seguintes informações:
Configuração Valor Interface de rede Rede virtual Selecione vnet-hub. Sub-rede Selecione subnet-public (10.0.253.0/28). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Em Nome, insira nsg-nva.
Selecione OK.Deixe o padrão nas outras opções e selecione Examinar + criar.
Selecione Criar.
A caixa de diálogo Gerar novo par de chaves é exibida. Selecione Baixar chave privada e criar recurso.
A chave privada será baixada no computador local. A chave privada será necessária em etapas posteriores para conectar-se à máquina virtual com o Azure Bastion. O nome do arquivo de chave privada é o nome que você inseriu no campo nome do par chave . Neste exemplo, o arquivo de chave privada é nomeado ssh-key.
Configurar interfaces de rede de máquina virtual
A configuração de IP do adaptador de rede primário da máquina virtual é definida como dinâmica por padrão. Use o exemplo a seguir para alterar a configuração de IP do adaptador de rede primário para estático e adicionar um adaptador de rede secundário à interface privada da NVA.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-nva.
Na Visão geral, selecione Parar se a máquina virtual estiver em execução.
Expanda Rede e selecione Configurações de rede.
Em Configurações de rede, selecione o nome do adaptador de rede ao lado de Adaptador de Rede. O nome da interface é o nome da máquina virtual e números e letras aleatórios. Neste exemplo, o nome da interface é vm-nva271.
Nas propriedades do adaptador de rede, selecione Configurações de IP em Configurações.
Selecione a caixa ao lado de Habilitar encaminhamento de IP.
Escolha Aplicar.
Quando a ação de aplicar for concluída, selecione ipconfig1.
Em Configurações de endereço IP privado em ipconfig1 selecione Estático.
Em Endereço IP privado insira 10.0.253.10.
Clique em Salvar.
Quando a ação de salvamento for concluída, retorne à configuração de rede para vm-nva.
Na página Configurações de rede de vm-nva, selecione Anexar interface de rede.
Selecione Criar e anexar adaptador de rede.
Em Criar adaptador de rede, insira ou selecione as informações abaixo:
Configuração Valor Detalhes do projeto Grupo de recursos Selecione test-rg. Interface de rede Nome Insira nic-private. Sub-rede Selecione subnet-private (10.0.0.0/24). Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione nsg-nva. Atribuição de endereço IP privado Selecione Estático. Endereço IP privado Insira 10.0.0.10. Selecione Criar.
Inicie a máquina virtual.
Configurar o software da máquina virtual
O roteamento para a NVA simulada usa tabelas IP e NAT internas na máquina virtual Ubuntu. Conecte-se à máquina virtual NVA com o Azure Bastion para configurar tabelas IP e a configuração de roteamento.
No portal do Azure, pesquise e selecione máquinas virtuais.
Na página máquinas virtuais , selecione vm-nva.
Na página Visão geral da VM, selecione Conectar e Conectar via Bastion.
Na tela de conexão do Bastion, altere Tipo de autenticação para Chave privada SSH do arquivo local.
Digite o Nome de usuário que você usou ao criar a máquina virtual. Nesse exemplo, o usuário é chamado azureuser, substitua pelo nome de usuário que você criou.
Em Arquivo local, selecione o ícone de pasta e navegue até o arquivo de chave privada que foi gerado quando você criou a VM. O arquivo de chave privada normalmente é nomeado
id_rsaouid_rsa.pem.ssh-key.pemSelecione Conectar.
Insira as seguintes informações no prompt da máquina virtual para habilitar o encaminhamento de IP:
sudo nano /etc/sysctl.confNo editor Nano, remova o
#da linhanet.ipv4.ip_forward=1.# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Pressione Ctrl + O para salvar o arquivo.
Pressione Ctrl + X para sair do editor.
Insira as seguintes informações para habilitar a NAT interna na máquina virtual:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistentSelecione Sim duas vezes.
sudo su iptables-save > /etc/iptables/rules.v4 exitUse o Nano para editar a configuração com as seguintes informações:
sudo nano /etc/rc.localAdicione a seguinte linha ao arquivo de configuração:
/sbin/iptables-restore < /etc/iptables/rules.v4Pressione Ctrl + O para salvar o arquivo.
Pressione Ctrl + X para sair do editor.
Reinicialize a máquina virtual:
sudo reboot
Criar tabela de rotas da rede do hub
As tabelas de rotas são usadas para substituir o roteamento padrão do Azure. Crie uma tabela de rotas para forçar todo o tráfego dentro da sub-rede privada do hub pela NVA simulada.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar Tabela de rotas, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg. Detalhes da instância Região Selecione Oeste dos EUA. Nome Insira route-table-nat-hub. Propagar rotas de gateway Mantenha o padrão Sim. Selecione Examinar + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione route-table-nat-hub.
Expanda Configurações e selecione Rotas.
Selecione + Adicionar em Rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Configuração Valor Nome da rota Insira default-via-nat-hub. Tipo de destino Selecione Endereços IP. Intervalos de CIDR /endereço IP de destino Insira 0.0.0.0/0. Tipo do próximo salto Selecione Solução de virtualização. Endereço do próximo salto Insira 10.0.0.10.
Este é o endereço IP que você adicionou à interface privada da NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associar.
Insira ou selecione as seguintes informações em Associar sub-rede:
Configuração Valor Rede virtual Selecione vnet-hub (test-rg). Sub-rede Selecione subnet-private. Selecione OK.
Criar a rede virtual spoke 1
Crie outra rede virtual em uma região diferente para o primeiro spoke da rede hub e spoke.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg. Detalhes da instância Nome Insira vnet-spoke-1. Região Selecione (EUA) Centro-Sul dos EUA. Selecione Avançar para prosseguir para a guia Segurança.
Selecione Avançar para prosseguir para a guia Endereços IP.
Na guia Endereços IP em Espaço de endereços IPv4, selecione Excluir espaço de endereços para excluir o espaço de endereços que é preenchido automaticamente.
Selecione Adicionar espaço de endereços IPv4.
Em Espaço de endereço IPv4, insira 10.1.0.0. Mantenha o padrão de /16 (65.536 endereços) na seleção de máscara.
Selecione + Adicionar uma sub-rede.
Em Adicionar uma sub-rede, insira ou selecione as seguintes informações:
Configuração Valor Finalidade da sub-rede Mantenha o padrão Padrão. Nome Insira subnet-private. IPv4 Intervalo de endereços IPv4 Mantenha o padrão de 10.1.0.0/16. Endereço inicial Mantenha o padrão de 10.1.0.0. Tamanho Mantenha o padrão de /24(256 endereços). Selecione Adicionar.
Selecione Examinar + criar.
Selecione Criar.
Criar emparelhamento entre hub e spoke 1
Um emparelhamento de rede virtual é usado para conectar o hub ao spoke 1 e o spoke 1 ao hub. Use o exemplo a seguir para criar um emparelhamento de rede bidirecional entre o hub e o spoke 1.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Expanda Configurações e, em seguida, selecione Emparelhamentos.
Selecione + Adicionar.
Insira ou selecione as seguintes informações em Adicionar emparelhamento:
Configuração Valor Resumo da rede virtual remota Nome do link de emparelhamento Insira vnet-spoke-1-to-vnet-hub. Modelo de implantação de rede virtual Mantenha o padrão Gerenciador de recursos. Subscrição Selecione sua assinatura. Rede virtual Selecione vnet-spoke-1 (test-rg). Configurações do emparelhamento da rede virtual remota Permitir que o "vnet-spoke-1" acesse o "vnet-hub" Deixe o padrão Selecionado. Permitir que o "vnet-spoke-1" receba o tráfego encaminhado do "vnet-hub" Marque a caixa de seleção. Permitir que o servidor de gateway ou de rota em "vnet-spoke-1" encaminhe o tráfego para "vnet-hub" Mantenha o padrão de Não Selecionado. Habilitar o "vnet-spoke-1" para usar o servidor de rota ou gateway remoto do "vnet-hub" Mantenha o padrão de Não Selecionado. Resumo da rede virtual local Nome do link de emparelhamento Insira vnet-hub-to-vnet-spoke-1. Configurações de emparelhamento da rede virtual local Permitir que o "vnet-hub" acesse o "vnet-spoke-1" Deixe o padrão Selecionado. Permitir que o "vnet-hub" receba o tráfego encaminhado do "vnet-spoke-1" Marque a caixa de seleção. Permitir que o servidor de gateway ou de rota em "vnet-hub" encaminhe o tráfego para "vnet-spoke-1" Mantenha o padrão de Não Selecionado. Habilitar o "vnet-hub" para usar o servidor de rota ou gateway remoto do "vnet-spoke-1" Mantenha o padrão de Não Selecionado. Selecione Adicionar.
Selecione Atualizar e verifique se o Status do emparelhamento é Conectado.
Criar tabela de rotas de rede spoke 1
Crie uma tabela de rotas para forçar todo o tráfego de saída entre spokes e da Internet por meio da NVA simulada na rede virtual hub.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar Tabela de rotas, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg. Detalhes da instância Região Selecione Centro-Sul dos EUA. Nome Insira route-table-nat-spoke-1. Propagar rotas de gateway Mantenha o padrão Sim. Selecione Examinar + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione route-table-nat-spoke-1.
Expanda Configurações e selecione Rotas.
Selecione + Adicionar em Rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Configuração Valor Nome da rota Insira default-via-nat-spoke-1. Tipo de destino Selecione Endereços IP. Intervalos de CIDR /endereço IP de destino Insira 0.0.0.0/0. Tipo do próximo salto Selecione Solução de virtualização. Endereço do próximo salto Insira 10.0.0.10.
Este é o endereço IP que você adicionou à interface privada da NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associar.
Insira ou selecione as seguintes informações em Associar sub-rede:
Configuração Valor Rede virtual Selecione vnet-spoke-1 (test-rg). Sub-rede Selecione subnet-private. Selecione OK.
Criar uma máquina virtual de teste spoke 1
Uma máquina virtual do Windows Server 2022 é usada para testar o tráfego de internet de saída por meio do gateway da NAT e do tráfego entre spokes na rede hub e spoke. Use o exemplo a seguir para criar uma máquina virtual do Windows Server 2022.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e depois a máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-spoke-1. Região Selecione (EUA) Centro-Sul dos EUA. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Selecione Padrão. Imagem Selecione Windows Server 2022 Datacenter – x64 Gen2. Arquitetura de VM Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Senha. Nome de Usuário Digite um nome de usuário. Senha Digite uma senha. Confirmar senha Reinsira a senha. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione Avançar: Discos e Avançar: Rede.
Na guia Rede, insira ou selecione as seguintes informações:
Configuração Valor Interface de rede Rede virtual Selecione vnet-spoke-1. Sub-rede Selecione subnet-private (10.1.0.0/24). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Insira nsg-spoke-1.Regras de entrada Selecione + Adicionar uma regra de entrada.
Selecione HTTP em Serviço.
Selecione Adicionar.
Selecione OK.Selecione OK.
Deixe o padrão nas outras opções e selecione Examinar + criar.
Selecione Criar.
Aguarde até que a máquina virtual conclua a implantação antes de continuar nas próximas etapas.
Instalar o IIS na máquina virtual de teste spoke um
O IIS é instalado na máquina virtual do Windows Server 2022 para testar o tráfego de saída da Internet por meio do gateway NAT e o tráfego entre spoke na rede hub e spoke.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-1.
Expanda Operações e selecione Executar comando.
Selecione RunPowerShellScript.
Insira o seguinte script em Executar Script de Comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selecione Executar.
Aguarde até que o script seja concluído antes de continuar para a próxima etapa. Pode levar alguns minutos para que o script seja concluído.
Quando o script for concluído, a Saída exibirá o seguinte:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Criar a segunda rede virtual spoke
Crie a segunda rede virtual para o segundo spoke da rede hub e spoke.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg. Detalhes da instância Nome Insira vnet-spoke-2. Região Selecione (EUA) Oeste dos EUA 2. Selecione Avançar para prosseguir para a guia Segurança.
Selecione Avançar para prosseguir para a guia Endereços IP.
Na guia Endereços IP em Espaço de endereços IPv4, selecione Excluir espaço de endereços para excluir o espaço de endereços que é preenchido automaticamente.
Selecione Adicionar espaço de endereços IPv4.
Em Espaço dos endereços IPv4 insira 10.2.0.0. Mantenha o padrão de /16 (65.536 endereços) na seleção de máscara.
Selecione + Adicionar uma sub-rede.
Em Adicionar uma sub-rede, insira ou selecione as seguintes informações:
Configuração Valor Finalidade da sub-rede Mantenha o padrão Padrão. Nome Insira subnet-private. IPv4 Intervalo de endereços IPv4 Mantenha o padrão de 10.2.0.0/16. Endereço inicial Mantenha o padrão de 10.2.0.0. Tamanho Mantenha o padrão de /24(256 endereços). Selecione Adicionar.
Selecione Examinar + criar.
Selecione Criar.
Criar emparelhamento entre hub e spoke 2
Crie um par de rede virtual bidirecional entre o hub e o spoke 2.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamentos em Configurações.
Selecione + Adicionar.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamentos em Configurações.
Selecione + Adicionar.
Insira ou selecione as seguintes informações em Adicionar emparelhamento:
Configuração Valor Resumo da rede virtual remota Nome do link de emparelhamento Insira vnet-spoke-2-to-vnet-hub. Modelo de implantação de rede virtual Mantenha o padrão Gerenciador de recursos. Subscrição Selecione sua assinatura. Rede virtual Selecione vnet-spoke-2 (test-rg). Configurações do emparelhamento da rede virtual remota Permitir que o "vnet-spoke-2" acesse o "vnet-hub" Deixe o padrão Selecionado. Permitir que o "vnet-spoke-2" receba o tráfego encaminhado do "vnet-hub" Marque a caixa de seleção. Permitir que o servidor de gateway ou de rota em "vnet-spoke-2" encaminhe o tráfego para "vnet-hub" Mantenha o padrão de Não Selecionado. Habilitar o "vnet-spoke-2" para usar o servidor de rota ou gateway remoto do "vnet-hub" Mantenha o padrão de Não Selecionado. Resumo da rede virtual local Nome do link de emparelhamento Insira vnet-hub-to-vnet-spoke-2. Configurações de emparelhamento da rede virtual local Permitir que o "vnet-hub" acesse o "vnet-spoke-2" Deixe o padrão Selecionado. Permitir que o "vnet-hub" receba o tráfego encaminhado do "vnet-spoke-2" Marque a caixa de seleção. Permitir que o servidor de gateway ou de rota em "vnet-hub" encaminhe o tráfego para "vnet-spoke-2" Mantenha o padrão de Não Selecionado. Habilitar o "vnet-hub" para usar o servidor de rota ou gateway remoto do "vnet-spoke-2" Mantenha o padrão de Não Selecionado. Selecione Adicionar.
Selecione Atualizar e verifique se o Status do emparelhamento é Conectado.
Criar tabela de rotas de rede spoke 2
Crie uma tabela de rotas para forçar todo o tráfego entre spokes e de saída para a Internet por meio da NVA simulada na rede virtual hub.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar Tabela de rotas, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg. Detalhes da instância Região Selecione Oeste dos EUA 2. Nome Insira route-table-nat-spoke-2. Propagar rotas de gateway Mantenha o padrão Sim. Selecione Examinar + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione route-table-nat-spoke-2.
Em Configurações, selecione Rotas.
Selecione + Adicionar em Rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Configuração Valor Nome da rota Insira default-via-nat-spoke-2. Tipo de destino Selecione Endereços IP. Intervalos de CIDR /endereço IP de destino Insira 0.0.0.0/0. Tipo do próximo salto Selecione Solução de virtualização. Endereço do próximo salto Insira 10.0.0.10.
Este é o endereço IP que você adicionou à interface privada da NVA nas etapas anteriores..Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associar.
Insira ou selecione as seguintes informações em Associar sub-rede:
Configuração Valor Rede virtual Selecione vnet-spoke-2 (test-rg). Sub-rede Selecione subnet-private. Selecione OK.
Criar duas máquinas virtuais de teste spoke
Crie uma máquina virtual do Windows Server 2022 para a máquina virtual de teste no spoke 2.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e depois a máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione as informações a seguir na guia Básico:
Configuração Valor Detalhes do projeto Subscrição Selecione sua assinatura. Grupo de recursos Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-spoke-2. Região Selecione (EUA) Oeste dos EUA 2. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Selecione Padrão. Imagem Selecione Windows Server 2022 Datacenter – x64 Gen2. Arquitetura de VM Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Senha. Nome de Usuário Digite um nome de usuário. Senha Digite uma senha. Confirmar senha Reinsira a senha. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione Avançar: Discos e Avançar: Rede.
Na guia Rede, insira ou selecione as seguintes informações:
Configuração Valor Interface de rede Rede virtual Selecione vnet-spoke-2. Sub-rede Selecione subnet-private (10.2.0.0/24). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Insira nsg-spoke-2.Regras de entrada Selecione + Adicionar uma regra de entrada.
Selecione HTTP em Serviço.
Selecione Adicionar.
Selecione OK.Deixe o padrão nas outras opções e selecione Examinar + criar.
Selecione Criar.
Aguarde até que a máquina virtual conclua a implantação antes de continuar nas próximas etapas.
Instalar o IIS na máquina virtual de teste spoke dois
O IIS é instalado na máquina virtual do Windows Server 2022 para testar o tráfego de saída da Internet por meio do gateway NAT e o tráfego entre spoke na rede hub e spoke.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-2.
Em Operações, selecione Executar comando.
Selecione RunPowerShellScript.
Insira o seguinte script em Executar Script de Comando:
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)Selecione Executar.
Aguarde até que o script seja concluído antes de continuar para a próxima etapa. Pode levar alguns minutos para que o script seja concluído.
Quando o script for concluído, a Saída* exibirá o seguinte:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
Testar um gateway da NAT
Para verificar se o tráfego de saída da Internet está saindo do gateway NAT, conecte-se às máquinas virtuais do Windows Server 2022 que você criou nas etapas anteriores.
Obter endereço IP público do gateway da NAT
Obtenha o endereço IP público do gateway da NAT para verificação das etapas mais adiante no artigo.
Entre no Portal do Azure em https://portal.azure.com.
Na caixa de pesquisa na parte superior do portal, insira IP público. Selecione Endereços IP públicos nos resultados da pesquisa.
Selecione public-ip-nat.
Anote o valor no endereço IP. O exemplo usado neste artigo é 203.0.113.25.
Testar o gateway da NAT do spoke 1
Use o Microsoft Edge na máquina virtual do Windows Server 2022 para se conectar a https://whatsmyip.com e verificar a funcionalidade do gateway da NAT.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-1.
Em Visão geral, selecione Conectar e Conectar-se com Bastion.
Insira o nome de usuário e a senha que você inseriu quando a máquina virtual foi criada.
Selecione Conectar.
Abra o Microsoft Edge quando a área de trabalho terminar de carregar.
Na barra de endereços, insira https://whatsmyip.com.
Verifique se o endereço IP de saída exibido é o mesmo do IP do gateway da NAT obtido anteriormente.
Deixe a conexão do bastion aberta com vm-spoke-1.
Testar o gateway da NAT do spoke 2
Use o Microsoft Edge na máquina virtual do Windows Server 2022 para se conectar a https://whatsmyip.com e verificar a funcionalidade do gateway da NAT.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke-2.
Em Visão geral, selecione Conectar e Conectar-se com Bastion.
Insira o nome de usuário e a senha que você inseriu quando a máquina virtual foi criada.
Selecione Conectar.
Abra o Microsoft Edge quando a área de trabalho terminar de carregar.
Na barra de endereços, insira https://whatsmyip.com.
Verifique se o endereço IP de saída exibido é o mesmo do IP do gateway da NAT obtido anteriormente.
Deixe a conexão do bastion aberta com vm-spoke-2.
Testar o roteamento entre os spokes
O tráfego do spoke um para o spoke dois e do spoke dois para o spoke um roteará pela NVA simulada na rede virtual do hub. Use os exemplos a seguir para verificar o roteamento entre spokes da rede hub e spoke.
Testar o roteamento do spoke 1 para o spoke 2
Use o Microsoft Edge para se conectar ao servidor Web no vm-spoke-2 instalado nas etapas anteriores.
Retorne à conexão do bastion aberta com vm-spoke-1.
Abra o Microsoft Edge se ele não estiver aberto.
Na barra de endereços, insira 10.2.0.4.
Verifique se a página do IIS é exibida em vm-spoke-2.
Feche a conexão do bastion com vm-spoke-1.
Testar o roteamento do spoke 2 para o spoke 1
Use o Microsoft Edge para se conectar ao servidor Web no vm-spoke-1 instalado nas etapas anteriores.
Retorne à conexão aberta do bastion com vm-spoke-2.
Abra o Microsoft Edge se ele não estiver aberto.
Na barra de endereços, insira 10.1.0.4.
Verifique se a página do IIS é exibida em vm-spoke-1.
Feche a conexão do bastion com vm-spoke-1.
Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.
No portal do Azure, procure por Grupos de recursos e selecione essa opção.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos .
Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.
Próximas etapas
Avance para o próximo artigo para saber como usar um Balanceador de carga do gateway do Azure em soluções de virtualização de rede altamente disponíveis: