实验室 05 - 实现站点间连接

实验室简介

在此实验室中,探索虚拟网络之间的通信。 实现虚拟网络对等互连和测试连接。 你还将创建自定义路由。

本实验室需要 Azure 订阅。 订阅类型可能会影响此实验室中功能的可用性。 可以更改区域,但步骤是使用 美国东部 区域编写的。

预计用时:50 分钟

实验室方案

组织将核心 IT 应用和服务(如 DNS 和安全服务)与其他业务部分(包括制造部门)分割开来。 但是,在某些场景中,核心领域的应用和服务需要与制造领域的应用和服务进行通信。 在此实验室中,在分段区域之间配置连接。 这是将生产与开发分离或将一个子公司与另一个子公司分离的常见场景。

交互式实验室模拟

你可能会发现几个交互式实验室模拟可用于本主题。 通过模拟,可按照自己的节奏点击浏览类似的方案。 交互式模拟与本实验室之间存在差异,但许多核心概念是相同的。 不需要 Azure 订阅。

体系结构关系图

实验室 05 体系结构图

工作技能

  • 任务 1:在虚拟网络中创建虚拟机。
  • 任务 2:在不同的虚拟网络中创建虚拟机。
  • 任务 3:使用网络观察程序测试虚拟机之间的连接。
  • 任务 4:配置不同虚拟网络之间的虚拟网络对等互连。
  • 任务 5:使用 Azure PowerShell 测试虚拟机之间的连接。
  • 任务 6:创建自定义路由。

任务 1:创建核心服务虚拟机和虚拟网络

在此任务中,使用虚拟机创建核心服务虚拟网络。

  1. 登录 Azure 门户 - https://portal.azure.com

  2. 搜索并选择 Virtual Machines

  3. 在“虚拟机”页中,选择“创建”,然后选择“Azure 虚拟机”****。

  4. 在“基本信息”选项卡上,使用以下信息完成窗体,然后选择“下一步:** 磁盘 >”。 对于未指定的任何设置,保留默认值。

    设置
    订阅 用户的订阅
    资源组 az104-rg5(新建 [如有必要]**。 )
    虚拟机名称 CoreServicesVM
    区域 (美国)美国东部
    可用性选项 没有所需的基础结构冗余
    安全类型 标准
    图像 Windows Server 2019 Datacenter: x64 Gen2**(注意其他选择)
    大小 Standard_DS2_v3**
    用户名 localadmin
    密码 提供复杂的密码**
    公共入站端口

    基本虚拟机创建页的屏幕截图。

  5. 在“磁盘”选项卡上,采用默认值,然后选择“下一步:**** 网络 >”。

  6. 在“网络”选项卡上,对于“虚拟网络”,选择“新建”****。

  7. 使用以下信息配置虚拟网络,然后选择“确定”**。 如有必要,删除或替换现有信息。

    设置
    名称 CoreServicesVnet(新建)
    地址范围 10.0.0.0/16
    子网名称 Core
    子网地址范围 10.0.0.0/24

  8. 选择“监视”选项卡**。对于“启动诊断”,选择“禁用”**。

  9. 选择“查看 + 创建”,然后选择“创建”。

  10. 无需等待资源创建完成。 继续进行下一个任务。

    注意: 在创建虚拟机时,是否注意到在此任务中创建了虚拟网络? 还可创建虚拟网络基础结构,然后添加虚拟机。

任务 2:在不同的虚拟网络中创建虚拟机

在此任务中,使用虚拟机创建制造服务虚拟网络。

  1. 在 Azure 门户中,搜索并导航到“虚拟机”**

  2. 在“虚拟机”页中,选择“创建”,然后选择“Azure 虚拟机”****。

  3. 在“基本信息”选项卡上,使用以下信息完成窗体,然后选择“下一步:** 磁盘 >”。 对于未指定的任何设置,保留默认值。

    设置
    订阅 用户的订阅
    资源组 az104-rg5
    虚拟机名称 ManufacturingVM
    区域 (美国)美国东部
    安全类型 标准
    可用性选项 不需要基础结构冗余
    映像 Windows Server 2019 Datacenter: x64 Gen2**
    大小 Standard_DS2_v3**
    用户名 localadmin
    密码 提供复杂的密码**
    公共入站端口

  4. 在“磁盘”选项卡上,采用默认值,然后选择“下一步:**** 网络 >”。

  5. 在“网络”选项卡上,对于“虚拟网络”,选择“新建”**

  6. 使用以下信息配置虚拟网络,然后选择“确定”**。 如有必要,删除或替换现有地址范围。

    设置
    名称 ManufacturingVnet
    地址范围 172.16.0.0/16
    子网名称 Manufacturing
    子网地址范围 172.16.0.0/24

  7. 选择“监视”选项卡**。对于“启动诊断”,选择“禁用”**。

  8. 选择“查看 + 创建”,然后选择“创建”。

任务 3:使用网络观察程序测试虚拟机之间的连接

在此任务中,验证对等互连虚拟网络中的资源是否可相互通信。 网络观察程序将用于测试该连接。 在继续之前,确保已部署并正在运行这两个虚拟机。

  1. 在 Azure 门户中,搜索并选择 Network Watcher

  2. 在“网络观察程序”的“网络诊断工具”菜单中,选择“连接故障排除”**

  3. 使用以下信息完成“连接故障排除”页上的字段**

    字段
    源类型 虚拟机
    虚拟机 CoreServicesVM**
    目标类型 虚拟机
    虚拟机 ManufacturingVM**
    首选 IP 版本 两者
    协议 TCP
    目标端口 3389
    源端口 空白
    诊断测试 Defaults

    显示“连接故障排除”设置的 Azure 门户。

  4. 选择“运行诊断测试”。

    注意:可能需要几分钟时间才能返回结果。 收集结果时,屏幕选择将灰显。 请注意,“连接测试”显示“不可访问”****。 这是有道理的,因为虚拟机位于不同的虚拟网络中。

任务 4:配置虚拟网络之间的虚拟网络对等互连

在此任务中,创建虚拟网络对等互连,以启用虚拟网络中资源之间的通信。

  1. 在 Azure 门户中,选择 CoreServicesVnet 虚拟网络。

  2. 在“CoreServicesVnet”中的“设置”下,选择“对等互连”。

  3. 在“CoreServicesVnet” “对等互连”上,选择“+ 添加”。 如果未指定,请使用默认值。
参数
对等互连链接名称 CoreServicesVnet-to-ManufacturingVnet
虚拟网络 ManufacturingVM-net (az104-rg5)
允许 ManufacturingVnet 访问 CoreServicesVnet 已选择(默认)
允许 ManufacturingVnet 接收来自 CoreServicesVnet 的转发流量 已选定
对等互连链接名称 ManufacturingVnet-to-CoreServicesVnet
允许 CoreServicesVnet 访问对等互连虚拟网络 已选择(默认)
允许 CoreServicesVnet 接收来自对等互连虚拟网络的转发流量 已选定
  1. 在“CoreServicesVnet” “对等互连”中,验证是否列出了“将 CoreServicesVnet 连接到 ManufacturingVnet”对等互连。 刷新页面以确保“对等互连状态”为“已连接”****。
  2. 切换到 ManufacturingVnet,并验证 ManufacturingVnet-to-CoreServicesVnet 对等互连是否已列出**。 确保“对等互连状态”为“已连接”**。 你可能需要刷新页面。

任务 5:使用 Azure PowerShell 测试虚拟机之间的连接

在此任务中,重新测试不同虚拟网络中虚拟机之间的连接。

验证 CoreServicesVM 的专用 IP 地址

  1. 在 Azure 门户中,搜索并选择 CoreServicesVM 虚拟机。

  2. 在“概述”边栏选项卡上的“网络”部分中,记录计算机的“专用 IP 地址”****。 需要此信息来测试连接。

测试从 ManufacturingVM 连接到 CoreServicesVM 的连接**

你知道吗?** 可通过多种方式检查连接。 在此任务中,使用“运行命令”。 还可继续使用网络观察程序。 或者,可使用远程桌面连接访问虚拟机。 连接后,使用 test-connection**。 如果有时间,请试用 RDP。

  1. 切换到 ManufacturingVM 虚拟机。

  2. 在“操作”边栏选项卡中,选择“运行命令”边栏选项卡****。

  3. 选择 RunPowerShellScript 并运行 Test-NetConnection 命令**。 务必使用 CoreServicesVM 的专用 IP 地址**。

     Test-NetConnection <CoreServicesVM private IP address> -port 3389

  4. 脚本超时可能需要几分钟时间。页面顶部显示一条信息性消息“正在进行脚本执行”。**

  5. 测试连接应成功,因为已配置对等互连。 此图中你的计算机名称和远程地址可能不同。

    Test-NetConnection 成功的 PowerShell 窗口。

任务 6:创建自定义路由

在此任务中,需要控制外围子网与内部核心服务子网之间的流量。 虚拟网络设备将安装在核心服务子网中,所有流量都应路由到该位置。

  1. 搜索并选择 CoreServicesVnet

  2. 依次选择“子网”、“+ 创建”****。 务必保存你的更改。

    设置
    名称 perimeter
    子网地址范围 10.0.1.0/24

  3. 在 Azure 门户中,搜索并选择 Route tables,然后选择“创建”**

    设置
    订阅 用户的订阅
    资源组 az104-rg5
    区域 美国东部
    名称 rt-CoreServices
    传播网关路由

  4. 部署路由表后,选择“转到资源”**

  5. 依次选择“路由”、“+ 添加”。**** 创建从未来的 NVA 到 CoreServices 虚拟网络的路由。

    设置
    路由名称 PerimetertoCore
    目标类型 IP 地址
    目标 IP 地址 10.0.0.0/16(核心服务虚拟网络)
    下一跃点类型 虚拟设备**(注意其他选择)
    下一跃点地址 10.0.1.7(未来的 NVA)

  6. 在路由完成后选择“+ 添加”**。 最后一件事是将路由与子网相关联。

  7. 依次选择“子网”、“关联”。**** 完成配置。

    设置
    虚拟网络 CoreServicesVnet**
    子网 核心

注意:你已创建一个用户定义的路由,用于将流量从 DMZ 定向到新的 NVA。

清理资源

如果使用自己的订阅,需要一点时间删除实验室资源**。 这将确保资源得到释放,并将成本降至最低。 删除实验室资源的最简单方法是删除实验室资源组。

  • 在 Azure 门户中,选择资源组,选择“删除资源组”,输入资源组名称,然后单击“删除”****
  • Remove-AzResourceGroup -Name resourceGroupName(使用 Azure PowerShell)。
  • az group delete --name resourceGroupName(使用 CLI)。

使用 Copilot 扩展学习

Copilot 可帮助你了解如何使用 Azure 脚本工具。 Copilot 还可以帮助了解实验室中未涵盖的领域或需要更多信息的领域。 打开 Edge 浏览器并选择“Copilot”(右上角)或导航到copilot.microsoft.com。 花几分钟时间尝试这些提示。

  • 如何使用 Azure PowerShell 或 Azure CLI 命令在 vnet1 和 vnet2 之间添加虚拟网络对等互连?
  • 创建一个表,其中突出显示 Azure 上支持的各种 Azure 和第三方监视工具。 突出显示何时使用每个工具。
  • 我何时会在 Azure 中创建自定义网络路由?

通过自定进度的培训了解详细信息

关键结论

恭喜你完成本实验室的内容。 下面是本实验室的主要内容。

  • 默认情况下,不同虚拟网络中的资源无法通信。
  • 通过虚拟网络对等互连,可无缝连接 Azure 中的两个或更多个虚拟网络。
  • 对等互连虚拟网络作为一个整体,用于各种连接。
  • 对等互连虚拟网络中虚拟机之间的流量使用 Microsoft 主干基础结构。
  • 自动为虚拟网络中的每个子网创建系统定义的路由。 用户定义的路由替代或添加到默认系统路由。
  • Azure 网络观察程序提供了一套工具来监视、诊断和查看 Azure IaaS 资源的指标和日志。