Tutorial: Rotear tráfego com uma tabela de rotas utilizando o Portal do Azure

  • Artigo
  • 11 minutos para o fim da leitura

O Azure roteia tráfego entre todas as sub-redes contidas em uma rede virtual por padrão. É possível criar as próprias rotas para substituir o roteamento padrão do Azure. As rotas personalizadas são úteis quando, por exemplo, você deseja rotear o tráfego entre sub-redes por meio de uma NVA (solução de virtualização de rede).

Neste tutorial, você aprenderá como:

  • Criar uma rede virtual e sub-redes
  • Criar uma NVA que roteia o tráfego
  • Criar uma tabela de rotas
  • Criar uma rota
  • Associar uma tabela de rotas a uma sub-rede
  • Implantar VMs (máquinas virtuais) em diferentes sub-redes
  • Rotear o tráfego de uma sub-rede para outra por meio de uma NVA

Este tutorial usa o portal do Azure. Você também pode concluí-lo usando a CLI do Azure ou o PowerShell.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Visão geral

Este diagrama mostra os recursos criados neste tutorial junto com as rotas de rede esperadas.

Diagram showing an overview of interaction of the Public, Private and N V A Virtual Machines used in this tutorial.

Pré-requisitos

  • Uma assinatura do Azure

Entrar no Azure

Entre no portal do Azure.

Criar uma rede virtual

Nesta seção, você criará uma rede virtual, três sub-redes e um bastion host. Você usará o bastion host para se conectar com segurança às máquinas virtuais.

  1. No menu do portal do Azure, selecione + Criar um recurso>Rede>Rede virtual ou procure Rede Virtual na caixa de pesquisa do portal.

  2. Selecione Criar.

  3. Na guia Básico em Criar rede virtual, insira ou selecione estas informações:

    Configuração Valor
    Subscription Selecione sua assinatura.
    Resource group Selecione Criar e insira myResourceGroup.
    Selecione
    .
    Nome Insira myVirtualNetwork.
    Região Selecione Leste dos EUA.

  4. Selecione a guia Endereços IP ou escolha o botão Avançar: Endereços IP na parte inferior da página.

  5. Em Espaço de endereço IPv4, selecione o espaço de endereço existente e altere-o para 10.0.0.0/16.

  6. Selecione + Adicionar sub-rede e insira Pública em Nome da sub-rede e 10.0.0.0/24 em Intervalo de endereços de sub-rede.

  7. Selecione Adicionar.

  8. Selecione + Adicionar sub-rede e insira Privada em Nome da sub-rede e 10.0.1.0/24 em Intervalo de endereços de sub-rede.

  9. Selecione Adicionar.

  10. Selecione + Adicionar sub-rede e insira DMZ em Nome da sub-rede e 10.0.2.0/24 em Intervalo de endereços de sub-rede.

  11. Selecione Adicionar.

  12. Selecione a guia Segurança ou escolha o botão Avançar: Segurança na parte inferior da página.

  13. Em BastionHost, selecione Habilitar. Insira estas informações:

    Configuração Valor
    Nome do bastion Insira myBastionHost.
    Espaço de endereço da AzureBastionSubnet Insira 10.0.3.0/24.
    Endereço IP público Selecione Criar novo.
    Insira myBastionIP em Nome.
    Selecione
    .

  14. Selecione a guia Revisar + criar ou o botão Revisar + criar.

  15. Selecione Criar.

Criar uma máquina virtual de NVA

NVAs (soluções de virtualização de rede) são máquinas virtuais que ajudam com funções de rede, como roteamento e otimização de firewall. Nesta seção, você criará uma NVA usando uma máquina virtual do Windows Server 2019 Datacenter. Você poderá selecionar um sistema operacional diferente se desejar.

  1. No menu do portal do Azure, selecione + Criar um recurso>Computação>Máquina virtual ou procure Máquina virtual na caixa de pesquisa do portal.

  2. Selecione Criar.

  3. Na guia Básico em Criar máquina virtual, insira ou selecione estas informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Nome da máquina virtual Insira myVMNVA.
    Região Selecione (EUA) Leste dos EUA.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Selecione Padrão.
    Imagem Selecione Windows Server 2019 Datacenter – Gen2.
    Instância do Azure Spot Selecione Não.
    Tamanho Escolha o tamanho da VM ou use a configuração padrão.
    Conta de administrador
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.
    Confirmar senha Reinsira a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.

  4. Selecione a guia Rede ou selecione Avançar: Discos, em seguida, Avançar: Rede.

  5. Na guia Rede, selecione ou insira:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione myVirtualNetwork.
    Sub-rede Selecione DMZ
    IP público Selecione Nenhum
    Grupo de segurança de rede da NIC Selecione Básico
    Rede das portas de entrada públicas Selecione Nenhum.

  6. Selecione a guia Examinar + criar ou clique no botão Examinar + criar na parte inferior da página.

  7. Examine as configurações e selecione Criar.

Criar uma tabela de rotas

Nesta seção, você criará uma tabela de rotas.

  1. No menu do portal do Azure, selecione + Criar um recurso>Rede>Tabela de rotas ou procure Tabela de rotas na caixa de pesquisa do portal.

  2. Selecione Criar.

  3. Na guia Básico de Criar tabela de rotas, insira ou selecione estas informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione myResourceGroup.
    Detalhes da instância
    Região Selecione Leste dos EUA.
    Nome Insira myRouteTablePublic.
    Propagar rotas de gateway Selecione Sim na barra superior.

    Screenshot showing Basics tab of Create route table in Azure portal.

  4. Selecione a guia Examinar + criar ou clique no botão azul Examinar + criar na parte inferior da página.

Criar uma rota

Nesta seção, você criará uma rota na tabela de rotas criada nas etapas anteriores.

  1. Selecione Ir para o recurso ou procure myRouteTablePublic na caixa de pesquisa do portal.

  2. Na página myRouteTablePublic, selecione Rotas na seção Configurações.

  3. Na página Rotas, selecione o botão + Adicionar.

  4. Em Adicionar rota, insira ou selecione estas informações:

    Configuração Valor
    Nome da rota Insira ToPrivateSubnet.
    Prefixo de endereço de destino Selecione Endereços IP.
    Intervalos de CIDR /endereço IP de destino Insira 10.0.1.0/24 (o intervalo de endereços da sub-rede Privada criada anteriormente).
    Tipo do próximo salto Selecione Solução de virtualização.
    Endereço do próximo salto Insira 10.0.2.4 (o endereço da VM myVMNVA criada anteriormente na sub-rede DMZ).

    Screenshot showing Add route configuration in Azure portal.

  5. Selecione Adicionar.

Associar uma tabela de rotas a uma sub-rede

Nesta seção, você associará a tabela de rotas criada nas etapas anteriores a uma sub-rede.

  1. Procure myVirtualNetwork na caixa de pesquisa do portal.

  2. Na página myVirtualNetwork, selecione Sub-redes na seção Configurações.

  3. Na lista de sub-redes da rede virtual, escolha Pública.

  4. Na Tabela de rotas, selecione myRouteTablePublic que você criou nas etapas anteriores.

  5. Selecione Salvar para associar a tabela de rotas à sub-rede Pública.

    Screenshot showing Associate route table to the Public subnet in the virtual network in Azure portal.

Crie máquinas virtuais públicas e privadas

Você criará duas máquinas virtuais na rede virtual myVirtualNetwork e, em seguida, habilitará o protocolo ICMP nelas para que você possa usar a ferramenta tracert para rastrear o tráfego.

Observação

Para ambientes de produção, não é recomendável permitir ICMP por meio do Firewall do Windows.

Criar uma máquina virtual pública

  1. No menu do portal do Azure, selecione Criar um recurso>Computação>Máquina virtual.

  2. Em Criar máquina virtual, insira ou selecione estas informações na guia Básico:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Nome da máquina virtual Insira myVMPublic.
    Região Selecione (EUA) Leste dos EUA.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Selecione Padrão.
    Imagem Selecione Windows Server 2019 Datacenter – Gen2.
    Instância do Azure Spot Selecione Não.
    Tamanho Escolha o tamanho da VM ou use a configuração padrão.
    Conta de administrador
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.
    Confirmar senha Reinsira a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.

  3. Selecione a guia Rede ou selecione Avançar: Discos, em seguida, Avançar: Rede.

  4. Na guia Rede, selecione ou insira:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione myVirtualNetwork.
    Sub-rede Selecione Público.
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Básico.
    Rede das portas de entrada públicas Selecione Nenhum.

  5. Selecione a guia Examinar + criar ou clique no botão azul Examinar + criar na parte inferior da página.

  6. Examine as configurações e selecione Criar.

Criar uma máquina virtual privada

  1. No menu do portal do Azure, selecione Criar um recurso>Computação>Máquina virtual.

  2. Em Criar máquina virtual, insira ou selecione estas informações na guia Básico:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Nome da máquina virtual Insira myVMPrivate.
    Região Selecione (EUA) Leste dos EUA.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Selecione Padrão.
    Imagem Selecione Windows Server 2019 Datacenter – Gen2.
    Instância do Azure Spot Selecione Não.
    Tamanho Escolha o tamanho da VM ou use a configuração padrão.
    Conta de administrador
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.
    Confirmar senha Reinsira a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.

  3. Selecione a guia Rede ou selecione Avançar: Discos, em seguida, Avançar: Rede.

  4. Na guia Rede, selecione ou insira:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione myVirtualNetwork.
    Sub-rede Selecionar Privada.
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Básico.
    Rede das portas de entrada públicas Selecione Nenhum.

  5. Selecione a guia Examinar + criar ou clique no botão azul Examinar + criar na parte inferior da página.

  6. Examine as configurações e selecione Criar.

Permitir o protocolo ICMP no firewall do Windows

  1. Selecione Ir para o recurso ou procure myVMPrivate na caixa de pesquisa do portal.

  2. Na página Visão geral de myVMPrivate, selecione Conectar e Bastion.

  3. Insira o nome de usuário e a senha que você criou para a máquina virtual myVMPrivate anteriormente.

  4. Selecione o botão Conectar.

  5. Abra o Windows PowerShell depois de se conectar.

  6. Insira este comando:

    New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4

  7. No PowerShell, abra uma conexão de área de trabalho remota para a máquina virtual myVMPublic:

    mstsc /v:myvmpublic

  8. Depois de se conectar à VM myVMPublic, abra o Windows PowerShell e insira o mesmo comando da etapa 6.

  9. Feche a conexão do desktop remoto com a VM myVMPublic.

Ativar o encaminhamento de IP

Para rotear o tráfego por meio da NVA, ative o encaminhamento de IP no Azure e no sistema operacional da máquina virtual myVMNVA. Assim que o encaminhamento de IP estiver habilitado, qualquer tráfego recebido pela VM myVMNVA destinado a um endereço IP diferente não será removido e será encaminhado para o destino correto.

Ativar o encaminhamento de IP no Azure

Nesta seção, você ativará o encaminhamento de IP para a interface de rede da máquina virtual myVMNVA no Azure.

  1. Procure myVMNVA na caixa de pesquisa do portal.

  2. Na página de visão geral de myVMNVA, selecione Rede na seção Configurações.

  3. Na página Rede de myVMNVA, selecione o adaptador de rede ao lado de Adaptador de Rede:. O nome do adaptador começará com myvmnva.

    Screenshot showing Networking page of network virtual appliance virtual machine in Azure portal.

  4. Na página de visão geral do adaptador de rede, selecione Configurações de IP na seção Configurações.

  5. Na página Configurações de IP, defina Encaminhamento de IP para Habilitado e selecione Salvar.

    Screenshot showing Enabled I P forwarding in Azure portal.

Ativar o encaminhamento de IP no sistema operacional

Nesta seção, você ativará o encaminhamento de IP para o sistema operacional da máquina virtual myVMNVA para encaminhar o tráfego de rede. Você usará a mesma conexão do bastion na VM myVMPrivate iniciada nas etapas anteriores para abrir uma conexão de área de trabalho remota com a VM myVMNVA.

  1. No PowerShell, na VM myVMPrivate, abra uma conexão de área de trabalho remota para a VM myVMNVA:

    mstsc /v:myvmnva

  2. Depois de se conectar à VM myVMNVA, abra o Windows PowerShell e insira este comando para ativar o encaminhamento de IP:

    Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IpEnableRouter -Value 1

  3. Reinicie a VM myVMNVA.

    Restart-Computer

Testar o roteamento de tráfego de rede

Você testará o roteamento do tráfego de rede usando a ferramenta tracert da VM myVMPublic para a VM myVMPrivate e testará o roteamento na direção oposta.

Testar o tráfego de rede da VM myVMPublic para a VM myVMPrivate

  1. No PowerShell, na VM myVMPrivate, abra uma conexão de área de trabalho remota para a VM myVMPublic:

    mstsc /v:myvmpublic

  2. Depois de se conectar à VM myVMPublic, abra o Windows PowerShell e insira o comando tracert para rastrear o roteamento do tráfego de rede da VM myVMPublic para a VM myVMPrivate:

    tracert myvmprivate

    A resposta é semelhante a este exemplo:

    Tracing route to myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.1.4]
over a maximum of 30 hops:

  1     1 ms     *        2 ms  myvmnva.internal.cloudapp.net [10.0.2.4]
  2     2 ms     1 ms     1 ms  myvmprivate.internal.cloudapp.net [10.0.1.4]

Trace complete.

    Você pode ver que há dois saltos na resposta acima para o tráfego ICMP tracert da VM myVMPublic para a VM myVMPrivate. O primeiro salto é a VM myVMNVA e o segundo é a VM myVMPrivate de destino.

    O Azure enviou o tráfego da sub-rede Pública pela NVA e não diretamente para a sub-rede Privada porque você adicionou anteriormente a rota ToPrivateSubnet à tabela de rotas myRouteTablePublic e a associou à sub-rede Pública.

  3. Feche a conexão do desktop remoto com a VM myVMPublic.

Testar o tráfego de rede da VM myVMPrivate para a VM myVMPublic

  1. No PowerShell na VMmyVMPrivate e insira o comando tracert para rastrear o roteamento do tráfego de rede da VM myVmPrivate para a VM myVmPublic.

    tracert myvmpublic

    A resposta é semelhante a este exemplo:

    Tracing route to myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.0.4]
over a maximum of 30 hops:

  1     1 ms     1 ms     1 ms  myvmpublic.internal.cloudapp.net [10.0.0.4]

Trace complete.

    É possível ver um salto na resposta acima, que é a máquina virtual myVMPublic de destino.

    O Azure enviou o tráfego diretamente da sub-rede Privada para a sub-rede Pública. Por padrão, o Azure roteia o tráfego diretamente entre sub-redes.

  2. Feche a sessão do bastion.

Limpar os recursos

Quando o grupo de recursos não for mais necessário, exclua myResourceGroup e todos os recursos que ele contém:

  1. Insira myResourceGroup na caixa Pesquisar na parte superior do portal do Azure. Quando aparecer myResourceGroup nos resultados da pesquisa, selecione-o.

  2. Selecione Excluir grupo de recursos.

  3. Insira myResourceGroup para DIGITAR O NOME DO GRUPO DE RECURSOS: e selecione Excluir.

Próximas etapas

Neste tutorial, você:

  • Criou uma tabela de rotas e a associou a uma sub-rede.
  • Criou uma NVA simples que roteou o tráfego de uma sub-rede pública para uma sub-rede privada.

Com o Azure Marketplace, você pode implantar diferentes NVAs pré-configuradas, que fornecem muitas funções de rede úteis.

Para saber mais sobre roteamento, consulte Visão geral de roteamento e Gerenciar uma tabela de rotas.

Para saber como restringir o acesso à rede de recursos de PaaS com pontos de extremidade de serviço de rede virtual, prossiga para o próximo tutorial.

Restringir o acesso à rede usando pontos de extremidade de serviço