教程：创建网关负载均衡器

• Azure订阅。 如果没有Azure订阅，请在开始前创建试用订阅。
• 两个 standard sku Azure负载均衡器，其后端池部署在两个不同的Azure区域中。
  • 有关为后端池创建区域标准负载均衡器和虚拟机的信息，请参阅 快速入门：通过 Azure 门户创建公共负载均衡器对虚拟机进行负载均衡。

• 如果希望在本地运行 CLI 引用命令，install Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行Azure CLI。 有关详细信息，请参阅 如何在 Docker 容器中运行Azure CLI。

  • 如果使用本地安装，请使用 az login 命令登录到Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅Azure CLI登录。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息，请参阅 使用 Azure CLI 的扩展。

  • 运行 az 版本查找已安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

• 本教程需要 2.0.28 或更高版本的 Azure CLI。 如果使用 Azure local Shell，则已安装最新版本。

• 具有活跃订阅的Azure帐户。创建试用订阅。

• 现有的公共标准 SKU 的 Azure 负载均衡器。 有关创建负载均衡器的详细信息，请参阅 使用 Azure CLI 创建公共负载均衡器。

  • 在本教程中，示例中的现有load balancer名为 myLoadBalancer。

• 具有活动订阅的 Azure 帐户。创建试用订阅。
• 现有的公共标准 SKU Azure 负载均衡器。 有关创建负载均衡器的详细信息，请参阅 使用 Azure PowerShell 创建公共负载均衡器。
  • 在本教程中，示例中的现有load balancer名为 myLoadBalancer。
• 在本地安装Azure PowerShell。

如果选择在本地安装和使用 PowerShell，本文需要 Azure PowerShell 模块版本 5.4.1 或更高版本。 运行 Get-Module -ListAvailable Az 查找已安装的版本。 如果需要升级，请参阅 Install Azure PowerShell 模块。 如果在本地运行 PowerShell，则还需要运行 Connect-AzAccount -Environment AzureChinaCloud 来创建与Azure的连接。

创建虚拟网络和堡垒主机

以下步骤将创建一个包含资源子网、Azure Bastion子网和Azure Bastion主机的虚拟网络。

1. 在门户中，搜索并选择“虚拟网络”。

2. 在“虚拟网络”页面上，选择“+ 创建”。

3. 在 Basics 选项卡上的 Create virtual network，输入或选择以下信息：

   设置	价值
   项目详细信息
   Subscription	选择订阅。
   资源组	选择“新建”。 在名称中输入 负载均衡器-rg 。 选择“确定”。
   实例详细信息
   Name	输入“lb-vnet”。
   区域	选择“中国东部”。

4. 选择“安全性”选项卡或页面底部的“下一步”按钮。

5. 在 Azure Bastion 下，输入或选择以下信息：

   设置	价值
   Azure Bastion
   启用Azure Bastion	选中复选框。
   Azure Bastion主机名	输入“lb-bastion”。
   Azure Bastion公共 IP 地址	选择“新建”。 在名称中输入 lb-bastion-ip 。 选择“确定”。

6. 选择“IP 地址”选项卡，或选择页面底部的“下一步”。

7. 在 Create virtual network 页上，输入或选择以下信息：

   设置	价值
   添加 IPv4 地址空间
   IPv4 地址空间	输入“10.0.0.0/16 (65,356 个地址)”。
   子网	选择要编辑的默认子网链接。
   子网模板	保留默认值“默认”。
   Name	输入backend-subnet。
   起始地址	输入“10.0.0.0”。
   子网大小	输入 /24（256 个地址）。
   Security
   NAT 网关	选择 “无”。

8. 选择“保存”。

9. 选择屏幕底部的“查看 + 创建”，然后在验证通过时选择“创建”。

以下部分介绍如何创建虚拟网络和相关资源。 后端池中资源所在的虚拟网络是负载均衡器所需的。

这些资源包括堡垒主机、网络安全组和网络安全组规则。

创建资源组

Azure资源组是在其中部署和管理Azure资源的逻辑容器。

使用 az group create 创建资源组：

  az group create \
    --name TutorGwLB-rg \
    --location chinaeast

创建virtual network

网关负载均衡器的后端池中的资源需要一个虚拟网络。

使用 az network virtual network create 创建虚拟网络。

  az network vnet create \
    --resource-group TutorGwLB-rg \
    --location chinaeast \
    --name myVNet \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name myBackendSubnet \
    --subnet-prefixes 10.1.0.0/24

创建堡垒公共 IP 地址

使用 az network public-ip create 为 Azure Bastion 主机创建公共 IP 地址

az network public-ip create \
    --resource-group TutorGwLB-rg \
    --name myBastionIP \
    --sku Standard \
    --zone 1 2 3

Azure Bastion 子网

使用 az network vnet subnet create命令创建堡垒子网。

az network vnet subnet create \
    --resource-group TutorGwLB-rg \
    --name AzureBastionSubnet \
    --vnet-name myVNet \
    --address-prefixes 10.1.1.0/27

创建堡垒主机

使用 az network bastion create 部署堡垒主机，以便安全地管理virtual network中的资源。

az network bastion create \
    --resource-group TutorGwLB-rg \
    --name myBastionHost \
    --public-ip-address myBastionIP \
    --vnet-name myVNet \
    --location chinaeast

部署Azure Bastion主机可能需要几分钟时间。

创建 NSG

使用以下示例创建网络安全组。 您在先前创建的虚拟网络中配置网络流量管理所需的 NSG 规则。

使用 az network nsg create 创建 NSG。

  az network nsg create \
    --resource-group TutorGwLB-rg \
    --name myNSG

创建 NSG 规则

使用 az network nsg rule create 为 NSG 创建规则。

  az network nsg rule create \
    --resource-group TutorGwLB-rg \
    --nsg-name myNSG \
    --name myNSGRule-AllowAll \
    --protocol '*' \
    --direction inbound \
    --source-address-prefix '0.0.0.0/0' \
    --source-port-range '*' \
    --destination-address-prefix '0.0.0.0/0' \
    --destination-port-range '*' \
    --access allow \
    --priority 100

  az network nsg rule create \
    --resource-group TutorGwLB-rg \
    --nsg-name myNSG \
    --name myNSGRule-AllowAll-TCP-Out \
    --protocol 'TCP' \
    --direction outbound \
    --source-address-prefix '0.0.0.0/0' \
    --source-port-range '*' \
    --destination-address-prefix '0.0.0.0/0' \
    --destination-port-range '*' \
    --access allow \
    --priority 100

以下部分介绍如何创建虚拟网络及相关资源。 网关负载均衡器后端池中的资源需要虚拟网络。

这些资源包括堡垒主机、网络安全组和网络安全组规则。

创建资源组

Azure资源组是在其中部署和管理Azure资源的逻辑容器。

使用 New-AzResourceGroup 创建资源组：

New-AzResourceGroup -Name 'TutorGwLB-rg' -Location 'chinaeast'

创建virtual network

在网关负载均衡器的后端池中的资源需要一个虚拟网络。 使用 New-AzVirtualNetwork 创建virtual network。 使用 New-AzBastion 部署堡垒主机，以安全管理虚拟网络中的资源。

无论出站数据使用情况如何，按小时定价都从部署 Bastion 的时间开始算起。 有关详细信息，请参阅 Pricing 和 SKUs。 如果要将 Bastion 部署为教程或测试的一部分，建议在使用完此资源后将其删除。

## Create backend subnet config ##
$subnet = @{
    Name = 'myBackendSubnet'
    AddressPrefix = '10.1.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create Azure Bastion subnet. ##
$bastsubnet = @{
    Name = 'AzureBastionSubnet' 
    AddressPrefix = '10.1.1.0/24'
}
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig @bastsubnet

## Create the virtual network ##
$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'TutorGwLB-rg'
    Location = 'chinaeast'
    AddressPrefix = '10.1.0.0/16'
    Subnet = $subnetConfig,$bastsubnetConfig
}
$vnet = New-AzVirtualNetwork @net

## Create public IP address for bastion host. ##
$ip = @{
    Name = 'myBastionIP'
    ResourceGroupName = 'TutorGwLB-rg'
    Location = 'chinaeast'
    Sku = 'Standard'
    AllocationMethod = 'Static'
}
$publicip = New-AzPublicIpAddress @ip

## Create bastion host ##
$bastion = @{
    ResourceGroupName = 'TutorGwLB-rg'
    Name = 'myBastion'
    PublicIpAddress = $publicip
    VirtualNetwork = $vnet
}
New-AzBastion @bastion -AsJob

创建 NSG

使用以下示例创建网络安全组。 在之前创建的虚拟网络中配置网络流量所需的 NSG 规则。

使用 New-AzNetworkSecurityRuleConfig 为 NSG 创建规则。 使用 New-AzNetworkSecurityGroup 创建 NSG。

## Create rule for network security group and place in variable. ##
$nsgrule1 = @{
    Name = 'myNSGRule-AllowAll'
    Description = 'Allow all'
    Protocol = '*'
    SourcePortRange = '*'
    DestinationPortRange = '*'
    SourceAddressPrefix = '0.0.0.0/0'
    DestinationAddressPrefix = '0.0.0.0/0'
    Access = 'Allow'
    Priority = '100'
    Direction = 'Inbound'
}
$rule1 = New-AzNetworkSecurityRuleConfig @nsgrule1

$nsgrule2 = @{
    Name = 'myNSGRule-AllowAll-TCP-Out'
    Description = 'Allow all TCP Out'
    Protocol = 'TCP'
    SourcePortRange = '*'
    DestinationPortRange = '*'
    SourceAddressPrefix = '0.0.0.0/0'
    DestinationAddressPrefix = '0.0.0.0/0'
    Access = 'Allow'
    Priority = '100'
    Direction = 'Outbound'
}
$rule2 = New-AzNetworkSecurityRuleConfig @nsgrule2

## Create network security group ##
$nsg = @{
    Name = 'myNSG'
    ResourceGroupName = 'TutorGwLB-rg'
    Location = 'chinaeast'
    SecurityRules = $rule1,$rule2
}
New-AzNetworkSecurityGroup @nsg

在本部分中，您将创建配置并部署网关负载均衡器。

1. 在门户顶部的搜索框中，输入 Load balancer。 在搜索结果中选择“负载均衡器”。

2. 在 Load Balancer 页中，选择 Create。

3. 在 创建负载均衡器 页面的 基本信息 选项卡中，输入或选择以下信息：

   设置	价值
   项目详细信息
   Subscription	选择订阅。
   资源组	选择load-balancer-rg。
   实例详细信息
   Name	输入 gateway-load-balancer
   区域	选择“(亚太)中国东部”。
   SKU	选择“网关”。
   类型	选择“内部”。

   创建标准负载均衡器基础选项卡的屏幕截图。

4. 在页面底部选择“下一页: 前端 IP 配置”。

5. 在“前端 IP 配置”中，选择“+ 添加前端 IP”。

6. 在“添加前端 IP 配置”中，输入或选择以下信息：

   设置	价值
   Name	输入“lb-frontend-IP”。
   虚拟网络	选择“lb-vnet”。
   子网	选择“backend-subnet”。
   Assignment	选择“动态”

7. 选择“保存”。

8. 在页面底部选择“下一页: 后端池”。

9. 在“后端池”选项卡上，选择“+ 添加后端池” 。

10. 在“添加后端池”中，输入或选择以下信息。

    设置	价值
    Name	输入“lb-backend-pool”。
    后端池配置	选择“NIC”。
    Gateway load balancer 配置
    类型	选择“内部和外部”。
    内部端口	保留默认值“10800”。
    内部标识符	保留默认值“800”。
    外部端口	保留默认值“10801”。
    外部标识符	保留默认值“801”。

11. 选择“保存”。

12. 选择页面底部的“下一页: 入站规则”按钮。

13. 在“入站规则”选项卡的“负载均衡规则”中，选择“+ 添加负载均衡规则”。

14. 在“添加负载均衡规则”中，输入或选择以下信息：

    设置	价值
    Name	输入 lb-rule
    IP 版本	根据你的要求选择“IPv4”或“IPv6”。
    前端 IP 地址	选择“lb-frontend-IP”。
    后端池	选择“lb-backend-pool”。
    健康探针	选择“新建”。 在“名称”中，输入 lb-health-probe。 在“协议”中选择“TCP”。 将剩余的字段保留为默认值，然后选择“保存”。
    会话持久性	选择 “无”。
    启用 TCP 重置	保留默认的未选中状态。
    启用浮动 IP	保留默认的未选中状态。

    

15. 选择“保存”。

16. 选择页面底部的“查看 + 创建”蓝色按钮。

17. 选择 创建。

在本节中，您将创建一个网关负载均衡器，并使用后端池和前端 IP 配置对其进行设置。 后端池与作为先决条件创建的现有负载均衡器相关联。

创建网关负载均衡器

若要创建负载均衡器，请使用 az network lb create。

  az network lb create \
    --resource-group TutorGwLB-rg \
    --name myLoadBalancer-gw \
    --sku Gateway \
    --vnet-name myVNet \
    --subnet myBackendSubnet \
    --backend-pool-name myBackendPool \
    --frontend-ip-name myFrontEnd

创建隧道接口

<使用 Azure CLI > 自动创建的内部接口将具有值为900和值为10800。

使用 az network lb address-pool tunnel-interface add 来为负载均衡器创建外部隧道接口。

  az network lb address-pool tunnel-interface add \
    --address-pool myBackEndPool \
    --identifier '901' \
    --lb-name myLoadBalancer-gw \
    --protocol VXLAN \
    --resource-group TutorGwLB-rg \
    --type External \
    --port '10801'

创建运行状况探测

需要健康探针以监控负载均衡器中后端实例的运行状况。 使用 az network lb probe create 创建健康探测。

  az network lb probe create \
    --resource-group TutorGwLB-rg \
    --lb-name myLoadBalancer-gw \
    --name myHealthProbe \
    --protocol http \
    --port 80 \
    --path '/' \
    --interval '5' \
    --threshold '2'

创建负载均衡规则

发往后端实例的流量通过负载均衡规则进行路由。 使用 az network lb rule create 创建负载均衡规则。

  az network lb rule create \
    --resource-group TutorGwLB-rg \
    --lb-name myLoadBalancer-gw \
    --name myLBRule \
    --protocol All \
    --frontend-port 0 \
    --backend-port 0 \
    --frontend-ip-name myFrontEnd \
    --backend-pool-name myBackEndPool \
    --probe-name myHealthProbe

在本节中，您将创建配置并部署网关负载均衡器。 使用 New-AzLoadBalancerFrontendIpConfig 创建load balancer的前端 IP 配置。

使用 New-AzLoadBalancerTunnelInterface 为负载均衡器创建两个隧道接口。

使用 New-AzLoadBalancerBackendAddressPoolConfig 为 NVA 创建后端池。

需要健康探测才能监视负载均衡器中后端实例的运行状况。 使用 New-AzLoadBalancerProbeConfig 创建运行状况探测。

发往后端实例的流量通过负载均衡规则进行路由。 使用 New-AzLoadBalancerRuleConfig 创建负载均衡规则。

若要创建并部署负载均衡器，请使用 New-AzLoadBalancer。

## Place virtual network configuration in a variable for later use. ##
$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'TutorGwLB-rg'
}
$vnet = Get-AzVirtualNetwork @net

## Create load balancer frontend configuration and place in variable. ## 
$fe = @{
    Name = 'myFrontend'
    SubnetId = $vnet.subnets[0].id
}
$feip = New-AzLoadBalancerFrontendIpConfig @fe

## Create backend address pool configuration and place in variable. ## 
$int1 = @{
    Type = 'Internal'
    Protocol = 'Vxlan'
    Identifier = '800'
    Port = '10800'
}
$tunnelInterface1 = New-AzLoadBalancerBackendAddressPoolTunnelInterfaceConfig @int1

$int2 = @{
    Type = 'External'
    Protocol = 'Vxlan'
    Identifier = '801'
    Port = '10801'
}
$tunnelInterface2 = New-AzLoadBalancerBackendAddressPoolTunnelInterfaceConfig @int2

$pool = @{
    Name = 'myBackendPool'
    TunnelInterface = $tunnelInterface1,$tunnelInterface2
}
$bepool = New-AzLoadBalancerBackendAddressPoolConfig @pool

## Create the health probe and place in variable. ## 
$probe = @{
    Name = 'myHealthProbe'
    Protocol = 'http'
    Port = '80'
    IntervalInSeconds = '360'
    ProbeCount = '5'
    RequestPath = '/'
}
$healthprobe = New-AzLoadBalancerProbeConfig @probe

## Create the load balancer rule and place in variable. ## 
$para = @{
    Name = 'myLBRule'
    Protocol = 'All'
    FrontendPort = '0'
    BackendPort = '0'
    FrontendIpConfiguration = $feip
    BackendAddressPool = $bepool
    Probe = $healthprobe
}
$rule = New-AzLoadBalancerRuleConfig @para

## Create the load balancer resource. ## 
$lb = @{
    ResourceGroupName = 'TutorGwLB-rg'
    Name = 'myLoadBalancer-gw'
    Location = 'chinaeast'
    Sku = 'Gateway'
    LoadBalancingRule = $rule
    FrontendIpConfiguration = $feip
    BackendAddressPool = $bepool
    Probe = $healthprobe
}
New-AzLoadBalancer @lb

通过Azure Marketplace部署 NVA。 部署后，将 NVA 虚拟机添加到负载均衡器网关的后端池。 要添加虚拟机，请转到网关负载均衡器的后端池选项卡。

通过Azure Marketplace部署 NVA。 部署后，使用 az network nic ip-config address-pool add 将虚拟机添加到后端池。

通过Azure Marketplace部署 NVA。 部署后，使用 Set-AzNetworkInterfaceIpConfig -LoadBalancerBackendAddressPool 将虚拟机添加到后端池。

在此示例中，你将标准负载均衡器的前端与网关负载均衡器连接。

将前端添加到您的订阅中现有负载均衡器的前端 IP。

1. 在Azure portal的搜索框中，输入 Load balancer。 在搜索结果中，选择“负载均衡器”。

2. 在负载均衡器中，选择负载均衡器或现有负载均衡器名称。

3. 在负载均衡器页面的设置中选择前端 IP 配置。

4. 选择负载均衡器的前端 IP。 在此示例中，前端名称为“lb-frontend-IP”。

   

5. 在 Gateway load balancer 旁边的下拉框中，选择 lb-frontend-IP（10.1.0.4）。

6. 选择“保存”。

   

在此示例中，您将标准负载均衡器的前端链接到网关负载均衡器。

将前端添加到订阅中现有负载均衡器的前端 IP。

使用 az network lb frontend-ip show 将网关负载均衡器前端的资源 ID 放入变量中。

使用 az network lb frontend-ip update 将网关负载均衡器的前端连接到现有的负载均衡器。

  feid=$(az network lb frontend-ip show \
    --resource-group TutorGwLB-rg \
    --lb-name myLoadBalancer-gw \
    --name myFrontend \
    --query id \
    --output tsv)

  az network lb frontend-ip update \
    --resource-group CreatePubLBQS-rg \
    --name myFrontendIP \
    --lb-name myLoadBalancer \
    --public-ip-address myPublicIP \
    --gateway-lb $feid

在此示例中，你将标准负载均衡器的前端链接到网关负载均衡器。

在你的订阅中，将前端添加到现有负载均衡器的前端 IP。

使用 Set-AzLoadBalancerFrontendIpConfig 将网关负载均衡器的前端连接到您现有的负载均衡器。

## Place the gateway load balancer configuration into a variable. ##
$par1 = @{
    ResourceGroupName = 'TutorGwLB-rg'
    Name = 'myLoadBalancer-gw'
}
$gwlb = Get-AzLoadBalancer @par1

## Place the existing load balancer into a variable. ##
$par2 = @{
    ResourceGroupName = 'CreatePubLBQS-rg'
    Name = 'myLoadBalancer'
}
$lb = Get-AzLoadBalancer @par2

## Place the existing public IP for the existing load balancer into a variable.
$par3 = @{
    ResourceGroupName = 'CreatePubLBQS-rg'
    Name = 'myPublicIP'
}
$publicIP = Get-AzPublicIPAddress @par3

## Chain the gateway load balancer to your existing load balancer frontend. ##
$par4 = @{
    Name = 'myFrontEndIP'
    PublicIPAddress = $publicIP
    LoadBalancer = $lb
    GatewayLoadBalancerId = $gwlb.FrontendIpConfigurations.Id
}
$config = Set-AzLoadBalancerFrontendIpConfig @par4

$config | Set-AzLoadBalancer

或者，可以将 VM 的 NIC IP 配置链接到网关的负载均衡器。

将网关负载均衡器的前端添加到现有 VM 的 NIC IP 配置中。

1. 在Azure portal的搜索框中，输入 虚拟机。 在搜索结果中，选择Virtual machines。

2. 在 Virtual machines 中，选择要添加到网关负载均衡器的虚拟机。 在本例中，该虚拟机是“myVM1”。

3. 在虚拟机的概述中，选择“设置”中的“网络”。

4. 在“网络”中，选择连接到虚拟机的网络接口的名称。 在此示例中为 myvm1229。

   

5. 在网络接口页上的“设置”中，选择“IP 配置” 。

6. 在 Gateway Load balancer 中选择 lb-frontend-IP。

   

7. 选择“保存”。

或者，可以将 VM 的 NIC IP 配置链接到网关负载均衡器。

将网关负载均衡器的前端添加到现有 VM 的 NIC IP 配置中。

使用 az network lb frontend-ip show 将网关负载均衡器前端的资源 ID 放入变量中。

使用 az network lb frontend-ip update 将网关负载均衡器前端连接到现有 VM 的 NIC IP 配置。

 feid=$(az network lb frontend-ip show \
    --resource-group TutorGwLB-rg \
    --lb-name myLoadBalancer-gw \
    --name myFrontend \
    --query id \
    --output tsv)

  az network nic ip-config update \
    --resource-group MyResourceGroup
    --nic-name MyNIC 
    --name MyIPconfig 
    --gateway-lb $feid

或者，可以将 VM 的 NIC IP 配置链接到网关负载均衡器。

将网关负载均衡器的前端添加到现有 VM 的 NIC IP 配置中。

使用 Set-AzNetworkInterfaceIpConfig 将网关负载均衡器前端连接到现有 VM 的网络接口卡 IP 配置。

 ## Place the gateway load balancer configuration into a variable. ##
$par1 = @{
    ResourceGroupName = 'TutorGwLB-rg'
    Name = 'myLoadBalancer-gw'
}
$gwlb = Get-AzLoadBalancer @par1

## Place the existing NIC into a variable. ##
$par2 = @{
    ResourceGroupName = 'MyResourceGroup'
    Name = 'myNic'
}
$nic = Get-AzNetworkInterface @par2

## Chain the gateway load balancer to your existing VM NIC. ##
$par3 = @{
    Name = 'myIPconfig'
    NetworkInterface = $nic
    GatewayLoadBalancerId = $gwlb.FrontendIpConfigurations.Id
}
$config = Set-AzNetworkInterfaceIpConfig @par3

$config | Set-AzNetworkInterface

如果不再需要资源组、load balancer和所有相关资源，请将其删除。 要执行此操作，请选择包含资源的资源组load-balancer-rg，然后选择删除。

不再需要时，可以使用 az group delete 命令删除资源组、load balancer和剩余资源。

  az group delete \
    --name TutorGwLB-rg

不再需要时，可以使用 Remove-AzResourceGroup 命令删除资源组、load balancer和剩余资源。

Remove-AzResourceGroup -Name 'TutorGwLB-rg'