教學課程：使用 NAT 閘道和公用負載平衡器設定雙堆疊輸出連線

在本教學課程中，瞭解如何將 NAT 閘道和公用負載平衡器設定為雙堆疊子網路，以允許使用 NAT 閘道的 v4 工作負載和使用公用負載平衡器的 v6 工作負載進行輸出連線。

NAT 閘道支援使用 IPv4 公用 IP 位址進行輸出連線，而負載平衡器同時支援 IPv4 和 IPv6 公用 IP 位址。 當具有 IPv4 公用 IP 的 NAT 閘道與使用 IPv4 公用 IP 位址的負載平衡器一起出現時，NAT 閘道優先於負載平衡器以提供輸出連線。 當 NAT 閘道部署在具有 IPv6 負載平衡器的雙堆疊網路中時，IPv4 輸出流量會使用 NAT 閘道，而 IPv6 輸出流量會使用負載平衡器。

在本教學課程中，您會了解如何：

• 建立虛擬網路
• 建立具有 IPv4 公用位址的 NAT 閘道
• 將 IPv6 新增至虛擬網路
• 建立具有 IPv6 公用位址的公用負載平衡器
• 建立雙堆疊虛擬機器
• 驗證雙堆疊虛擬機器的輸出連線能力

必要條件

入口網站

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。

CLI

• 在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。

  

• 若要在本地執行 CLI 參考命令，請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。

  • 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟，完成驗證程序。 如需其他登入選項，請參閱使用 Azure CLI 登入。

  • 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。

  • 執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本，請執行 az upgrade。

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• 本教學課程需要 2.0.28 版或更新版本的 Azure CLI。 如果您是使用 Azure Cloud Shell，就已安裝最新版本。

登入 Azure

入口網站

使用您的 Azure 帳戶登入 Azure 入口網站 。

CLI

使用 az login 登入 Azure。

az login

建立虛擬網路

在本節中，建立虛擬機器和負載平衡器的虛擬網路。

入口網站

下列程序會建立具有資源子網路、Azure Bastion 子網路和 Azure Bastion 主機的虛擬網路。

1. 在入口網站中，搜尋並選取 [虛擬網路]。

2. 在 [虛擬網路] 頁面上，選取 [+ 建立]。

3. 在 [建立虛擬網路] 的 [基本] 索引標籤中，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [新建] 在 [名稱] 中輸入 test-rg。 選取 [確定]。
   [執行個體詳細資料]
   名稱	輸入 vnet-1。
   區域	選取 [美國東部 2]。

   

4. 選取 [下一步]，繼續前往 [安全性] 索引標籤。

5. 在 [安全性] 索引標籤的 [Azure Bastion] 區段中，選取 [啟用 Bastion]。

   Azure Bastion 會使用您的瀏覽器，透過安全殼層 (SSH) 或遠端桌面通訊協定 (RDP) 連線至您的虛擬網路中的 VM (使用其私人 IP 位址)。 VM 不需要公用 IP 位址、用戶端軟體或特殊設定。 如需 Azure Bastion 的詳細資訊，請參閱 Azure Bastion

   注意

   每小時價格從 Bastion 部署的那一刻開始，而不論輸出資料使用量為何。 如需詳細資訊，請參閱價格和 SKU。 如果您要將 Bastion 部署為教學課程或測試的一部分，建議您在完成使用之後刪除此資源。

6. 在 [Azure Bastion] 中，輸入或選取下列資訊：

   設定	值
   Azure Bastion 主機名稱	輸入 bastion。
   Azure Bastion 公用 IP 位址	選取 [建立公用 IP 位址]。 在 [名稱] 中輸入 public-ip。 選取 [確定]。

   

7. 選取 [下一步]，繼續前往 [IP 位址] 索引標籤。

8. 在位址空間方塊的 [子網路] 中，選取 default 子網路。

9. 在 [編輯子網路] 中，輸入或選取下列資訊：

   設定	值
   子網路詳細資料
   子網路範本	保留預設值 [Default]。
   名稱	輸入 subnet-1。
   起始位址	保留預設值 [10.0.0.0]。
   子網路大小	保留預設值 [/24(256 個位址)]。

   

10. 選取 [儲存]。

11. 選取畫面底部的 [檢閱 + 建立]，然後在驗證通過時，選取 [建立]。

CLI

建立資源群組

Azure 資源群組是一種邏輯容器，您會在其中部署與管理 Azure 資源。

使用 az group create 來建立資源群組。

az group create \
    --name test-rg \
    --location eastus2

建立網路和子網路

使用 az network vnet create 建立虛擬網路。

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes '10.0.0.0/16'

使用 az network vnet subnet create 建立虛擬網路和 Azure Bastion 子網路的 IPv4 子網路。

az network vnet subnet create \
    --name subnet-1 \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --address-prefixes '10.0.0.0/24'

az network vnet subnet create \
    --name AzureBastionSubnet \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --address-prefixes '10.0.1.0/26'

建立 Bastion 主機

使用 az network public-ip create 來建立堡壘主機的公用 IP 位址。

az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku standard \
    --zone 1 2 3

使用 az network bastion create 建立堡壘主機。

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --public-ip-address public-ip \
    --vnet-name vnet-1 \
    --location eastus2 \
    --sku basic

堡壘主機部署需要幾分鐘的時間。 部署虛擬網路時，您可以繼續進行後續步驟。

建立 NAT 閘道

NAT 閘道提供虛擬網路 IPv4 部分的輸出連線能力。 使用下列範例來建立 NAT 閘道。

入口網站

1. 在入口網站頂端的搜尋方塊中，輸入 NAT 閘道。 在搜尋結果中，選取 [NAT 閘道]。

2. 選取 + 建立。

3. 在 [建立網路位址轉譯 (NAT) 閘道] 的 [基本] 索引標籤中，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [test-rg]。
   [執行個體詳細資料]
   NAT 閘道名稱	輸入 nat-gateway。
   區域	選取 [美國東部 2]。
   可用性區域	選取 [區域] 或 [無區域]。
   TCP 閒置逾時 (分鐘)	保留預設值 [4]。

4. 選取 [Next: Outbound IP] \(下一步：輸出 IP\)。

5. 在 公用 IP 位址中，選取 [建立新的公用 IP 位址]。

6. 在 [名稱] 中輸入 public-ip-nat。 選取 [確定]。

7. 選取 [Next: Subnet] \(下一步：子網路\)。

8. 在 [虛擬網络] 中，選取 [vnet-1]。

9. 在子網清單中，選取subnet-1的方塊。

10. 選取 [檢閱 + 建立]。

11. 選取 建立。

CLI

使用 az network public-ip create 來建立 NAT 閘道的公用 IPv4 位址。

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-nat \
    --sku standard \
    --zone 1 2 3

使用 az network nat gateway create 來建立 NAT 閘道。

az network nat gateway create \
    --resource-group test-rg \
    --name nat-gateway \
    --public-ip-addresses public-ip-nat \
    --idle-timeout 4

使用 az network vnet subnet update 將 NAT 閘道與 subnet-1 產生關聯。

az network vnet subnet update \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --nat-gateway nat-gateway

將 IPv6 新增至虛擬網路

在 NAT 閘道與 subnet-1 相關聯之後，必須將 IPv6 新增至虛擬網路。 使用下列範例，將和 IPv6 位址空間和子網路新增至您在先前步驟中建立的虛擬網路。

入口網站

1. 在入口網站頂端的搜尋方塊中，輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]。

2. 選取 [vnet-1]。

3. 在 [設定] 中，選取 [位址空間]。

4. 在顯示 [新增其他位址範圍] 方塊中，輸入 2404:f800:8000:122::/63。

5. 選取 [儲存]。

6. 在 [設定] 中選取 [子網路]。

7. 在子網清單中選取 subnet-1 。

8. 選取 [新增 IPv6 位址空間] 旁的方塊。

9. 在 [IPv6 位址空間] 中輸入 2404:f800:8000:122::/64。

10. 選取 [儲存]。

CLI

使用 az network vnet update，將 IPv6 位址空間新增至虛擬網路。

az network vnet update \
    --address-prefixes 10.0.0.0/16 2404:f800:8000:122::/63 \
    --name vnet-1 \
    --resource-group test-rg

使用 az network vnet subnet update，將 IPv6 子網路新增至虛擬網路。

az network vnet subnet update \
    --address-prefixes 10.0.0.0/24 2404:f800:8000:122::/64 \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg

建立雙堆疊虛擬機器

虛擬機器的網路設定具有 IPv4 和 IPv6 組態。 建立具有內部 IPv4 位址的虛擬機器。 然後將 IPv6 組態新增至虛擬機器的網路介面。

入口網站

下列程序會在虛擬網路中建立名為 vm-1 的測試虛擬機器 (VM)。

1. 在入口網站中，搜尋並選取 [虛擬機器]。

2. 在 [虛擬機器] 中，選取 [+ 建立]，然後選取 [Azure 虛擬機器]。

3. 在 [建立虛擬機器] 的 [基本] 索引標籤上，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [test-rg]。
   [執行個體詳細資料]
   虛擬機器名稱	輸入 vm-1。
   區域	選取 [美國東部 2]。
   可用性選項	選取 [不需要基礎結構備援]。
   安全性類型	選取 [標準]。
   映像	選取 [Ubuntu Server 22.04 LTS - x64 Gen2]。
   VM 架構	保留預設值 [x64]。
   大小	選取大小。
   系統管理員帳戶
   驗證類型	選取 [密碼]。
   使用者名稱	輸入 azureuser。
   密碼	輸入密碼。
   確認密碼	請重新輸入密碼。
   輸入連接埠規則
   公用輸入連接埠	選取 [無]。

4. 選取頁面頂端的 [網路] 索引標籤。

5. 在 [網路] 索引標籤中，輸入或選取以下資訊：

   設定	值
   網路介面
   虛擬網路	選取 [vnet-1]。
   子網路	選取 [subnet-1 (10.0.0.0/24)]。
   公用 IP	選取 [無]。
   NIC 網路安全性群組	選取進階。
   設定網路安全性群組	選取 [新建] 輸入 nsg-1 做為名稱。 將其餘項目保留為預設值，然後選取 [確定]。

6. 將其餘設定保留為預設值，然後選取 [檢閱 + 建立]。

7. 檢閱設定並選取 [建立]。

注意

具有 Bastion 主機的虛擬網路中的虛擬機器不需要公用 IP 位址。 Bastion 會提供公用 IP，而 VM 會使用私人 IP 在網路內通訊。 您可以從 Bastion 裝載的虛擬網路中的任何 VM 移除公用 IP。 如需詳細資訊，請參閱中斷公用 IP 位址與 Azure VM 的關聯。

注意

Azure 會針對未獲指派公用 IP 位址或位於內部基本 Azure 負載平衡器後端集區中的 VM，提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。

發生下列其中一個事件時，會停用預設輸出存取 IP：

• 系統會指派公用 IP 位址給 VM。
• 無論有沒有輸出規則，都會將 VM 放在標準負載平衡器的後端集區中。
• Azure NAT 閘道資源會指派給 VM 的子網。

在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 不會有預設輸出存取。

如需 Azure 中輸出連線的詳細資訊，請參閱 Azure 中的預設輸出存取與針對輸出連線，使用來源網路位址轉譯 (SNAT)。

等候虛擬機器完成部署，再繼續進行後續步驟。

將 IPv6 新增至虛擬機器

支援 IPv6，虛擬機器必須已將 IPv6 網路組態新增至網路介面。 使用下列範例將 IPv6 網路組態新增至虛擬機器。

1. 在入口網站頂端的搜尋方塊中，輸入虛擬機器。 在搜尋結果中，選取 [虛擬機器]。

2. 選取 [vm-1]。

3. 在 [設定] 中，選取 [網路]。

4. 在 [網路介面：] 欄位中選取網路介面的名稱。 網路介面的名稱是虛擬機器名稱加上隨機數字。 在此範例中，它是 vm-1202。

5. 在網路介面內容的 [設定] 中，選取 [IP 設定]。

6. 選取 + 新增。

7. 在 [新增 IP 設定] 中，輸入或選取下列資訊：

   設定	值
   名稱	輸入 ipconfig-ipv6。
   IP 版本	選取 [IPv6]。

8. 其餘設定保留預設值，然後選取 [新增]。

CLI

建立 NSG

使用 az network nsg create 來建立虛擬機器的網路安全性群組。

az network nsg create \
    --name nsg-1 \
    --resource-group test-rg

使用 az network nsg rule create 來建立虛擬機器 RDP 連線的規則。

az network nsg rule create \
    --resource-group test-rg \
    --nsg-name nsg-1 \
    --name ssh-rule \
    --protocol '*' \
    --direction inbound \
    --source-address-prefix '*' \
    --source-port-range '*' \
    --destination-address-prefix '*' \
    --destination-port-range 22 \
    --access allow \
    --priority 200

建立網路介面

使用 az network nic create 來建立虛擬機器的網路介面。

az network nic create \
    --name nic-1 \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --private-ip-address-version IPv4 

將 IPv6 新增至網路介面

支援 IPv6，虛擬機器必須已將 IPv6 網路組態新增至網路介面。 IPv6 不能是虛擬機網路介面的主要 IP 組態。 如需詳細資訊，請參閱 IPv6 概觀。

使用 az network nic ip-config create，將 IPv6 組態新增至網路介面。

az network nic ip-config create \
    --name ipconfig-ipv6 \
    --nic-name nic-1 \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --private-ip-address-version IPv6

建立虛擬機器

使用 az vm create 建立虛擬機器。

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --authentication-type password \
    --nics nic-1    

建立公用負載平衡器

公用負載平衡器具有負載平衡器後端集區的前端 IPv6 位址和輸出規則。 輸出規則會控制後端集區中虛擬機器的外部 IPv6 連線行為。 使用下列範例來建立 IPv6 公用負載平衡器。

入口網站

1. 在入口網站頂端的搜尋方塊中，輸入負載平衡器。 在搜尋結果中，選取 [負載平衡器]。

2. 選取 + 建立。

3. 在 [建立負載平衡器] 的 [基本] 索引標籤中，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [test-rg]。
   [執行個體詳細資料]
   名稱	輸入 load-balancer。
   區域	選取 [美國東部 2]。
   SKU	保留預設值 [標準]。
   類型	選取 [公用]。
   層	保留預設值區域。

4. 選取 [下一步: 前端 IP 設定]。

5. 選取 [+ 新增前端 IP 設定]。

6. 在 [新增前端 IP 設定] 中，輸入或選取下列資訊：

   設定	值
   名稱	輸入 frontend-ipv6。
   IP 版本	選取 [IPv6]。
   IP 類型	選取 [IP 位址]。
   公用 IP 位址	選取 [新建] 在 [名稱] 中，輸入 public-ip-ipv6。 選取 [確定]。

7. 選取 [新增]。

8. 選取 [下一步：後端集區]。

9. 選取 [+新增後端集區]。

10. 在 [新增後端集區] 中，輸入或選取下列資訊：

    設定	值
    名稱	輸入 backend-pool。
    虛擬網路	選取 [vnet-1 (test-rg)]。
    後端集區設定	保留預設值 [NIC]。

11. 選取 [儲存]。

12. 選取 [下一步：輸入規則] 然後 [下一步：輸出規則]。

13. 選取 [新增輸出規則]。

14. 在 [新增輸出規則] 中，輸入或選取下列資訊：

    設定	值
    名稱	輸入 輸出規則。
    IP 版本	選取 [IPv6]。
    前端 IP 位址	選取 frontend-ipv6。
    通訊協定	保留 [全部] 的預設值。
    閒置逾時 (分鐘)	保留預設值 [4]。
    TCP 重設	保留預設值 [已啟用]。
    後端集區	選取 [後端集區]。
    連接埠配置
    連接埠配置	選取 [手動選擇輸出連接埠數目]。
    輸出連接埠
    選擇依據	選取 [每個執行個體的連接埠數]。
    每個執行個體的連接埠數	輸入 20000。

15. 選取 [新增]。

16. 選取 [檢閱 + 建立]。

17. 選取 建立。

等候負載平衡器完成部署，再繼續進行後續步驟。

將虛擬機器新增至負載平衡器

1. 在入口網站頂端的搜尋方塊中，輸入負載平衡器。 在搜尋結果中，選取 [負載平衡器]。

2. 選取 [load-balancer]。

3. 在 [設定] 上，選取 [後端集區]。

4. 選取 [後端集區]。

5. 在 [虛擬網络] 中，選取 vnet-1 （test-rg） 。

6. 在 [IP 設定] 中，選取 [+ 新增]。

7. 選取與 ipconfig-ipv6 IP 組態對應的 vm-1 複選框。 請勿選取 ipconfig1。

8. 選取 [新增]。

9. 選取 [儲存]。

CLI

使用 az network public-ip create ，為負載平衡器的前端 IP 位址建立公用 IPv6 位址。

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-ipv6 \
    --sku standard \
    --version IPv6 \
    --zone 1 2 3

使用 az network lb create 來建立負載平衡器。

az network lb create \
    --name load-balancer \
    --resource-group test-rg \
    --backend-pool-name backend-pool \
    --frontend-ip-name frontend-ipv6 \
    --location eastus2 \
    --public-ip-address public-ip-ipv6 \
    --sku standard

使用 az network lb outbound-rule create，為負載平衡器的後端集區建立輸出規則。 輸出規則會啟用負載平衡器後端集區中虛擬機器的輸出連線能力。

az network lb outbound-rule create \
    --address-pool backend-pool \
    --frontend-ip-configs frontend-ipv6 \
    --lb-name load-balancer \
    --name outbound-rule \
    --protocol All \
    --resource-group test-rg \
    --outbound-ports 20000 \
    --enable-tcp-reset true

將虛擬機器新增至負載平衡器

使用 az network nic ip-config address-pool add，將虛擬機器的網路介面新增至負載平衡器的後端集區。

az network nic ip-config address-pool add \
    --address-pool backend-pool \
    --ip-config-name ipconfig-ipv6 \
    --nic-name nic-1 \
    --resource-group test-rg \
    --lb-name load-balancer

驗證輸出連線能力

使用 Azure Bastion 連線到虛擬機器，以確認 IPv4 和 IPv6 輸出流量。

取得 IPv4 和 IPv6 公用 IP 位址

在您可以驗證輸出連線之前，請先不要使用 IPv4 和您先前建立的 IPv6 公用 IP 位址。 使用下列範例來取得公用 IP 位址。

入口網站

1. 在入口網站頂端的搜尋方塊中，輸入公用 IP 位址。 在搜尋結果中，選取 [公用 IP 位址]。

2. 選取 public-ip-nat。

3. 記下 IP 位址中的位址。 在此範例中為 20.230.191.5。

4. 回到 [公用 IP 位址]。

5. 選取 public-ip-ipv6。

6. 記下 IP 位址中的位址。 在此範例中，2603:1030:c02:8::14。

CLI

使用 az network public-ip show 取得 IPv4 和 IPv6 公用 IP 位址。

IPv4

az network public-ip show \
    --resource-group test-rg \
    --name public-ip-nat \
    --query ipAddress \
    --output tsv

azureuser@Azure:~$ az network public-ip show \
    --resource-group test-rg \
    --name public-ip-nat \
    --query ipAddress \
    --output tsv
40.90.217.214

IPv6

az network public-ip show \
    --resource-group test-rg \
    --name public-ip-ipv6 \
    --query ipAddress \
    --output tsv

azureuser@Azure:~$ az network public-ip show \
    --resource-group test-rg \
    --name public-ip-ipv6 \
    --query ipAddress \
    --output tsv
2603:1030:c04:3::4d

記下這兩個 IP 位址。 使用 IP 來驗證每個堆疊的輸出連線能力。

測試連線能力

入口網站

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中，輸入虛擬機器。 在搜尋結果中，選取 [虛擬機器]。

3. 選取 [vm-1]。

4. 在 [概觀] 頁面的 [vm-1] 中，選取 [連線]，然後選取 [Bastion]。 選取 [使用 Bastion]

5. 輸入您在建立虛擬機器時所建立的使用者名稱和密碼。

6. 選取 Connect。

7. 在命令行中，輸入下列命令來驗證 IPv4 位址。

   curl -4 icanhazip.com
   

   azureuser@vm-1:~$ curl -4 icanhazip.com
   20.230.191.5
   

8. 在命令行中，輸入下列命令來驗證 IPv4 位址。

   curl -6 icanhazip.com
   

   azureuser@vm-1:~$ curl -6 icanhazip.com
   2603:1030:c02:8::14
   

9. 關閉 vm-1 的防禦連線。

CLI

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中，輸入虛擬機器。 在搜尋結果中，選取 [虛擬機器]。

3. 選取 [vm-1]。

4. 在 [概觀] 頁面的 [vm-1] 中，選取 [連線]，然後選取 [Bastion]。 選取 [使用 Bastion]

5. 輸入您在建立虛擬機器時所建立的使用者名稱和密碼。

6. 選取 Connect。

7. 在命令行中，輸入下列命令來驗證 IPv4 位址。

   curl -4 icanhazip.com
   

   azureuser@vm-1:~$ curl -4 icanhazip.com
   40.90.217.214
   

8. 在命令行中，輸入下列命令來驗證 IPv4 位址。

   curl -6 icanhazip.com
   

   azureuser@vm-1:~$ curl -6 icanhazip.com
   2603:1030:c04:3::4d
   

9. 關閉 vm-1 的防禦連線。

清除資源

當您完成使用本文中建立的資源時，請刪除資源群組及其包含的所有資源。

入口網站

1. 在 Azure 入口網站中，搜尋並選取 [資源群組]。

2. 在 [資源群組] 頁面上，選取 test-rg 資源群組。

3. 在 test-rg 頁面上，選取 [刪除資源群組]。

4. 在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg，然後選取 [刪除]。

CLI

使用 az group delete 來刪除資源群組及其所包含的資源。

az group delete \
    --name test-rg

下一步

請前往下一篇文章以了解如何：

將 NAT 閘道整合到中樞和輪輻網路