通过

出站专用负载均衡器配置

使用内部和外部标准负载均衡器的组合为内部负载均衡器后面的 VM 创建出站连接。

此配置为内部负载均衡器方案提供出站 NAT,为后端池生成“仅出口”设置。

注意

对于生产部署中出站连接,推荐的配置是 Azure NAT 网关。 有关 NAT 网关的详细信息,请参阅什么是 Azure NAT 网关?

若要使用 Azure NAT 网关部署仅出站负载均衡器配置,请参阅教程:将 NAT 网关与内部负载均衡器集成 - Azure 门户

有关 Azure 中出站连接和默认出站访问权限的详细信息,请参阅出站连接的源网络地址转换 (SNAT)默认出站访问权限

仅限出口的负载均衡器配置的屏幕截图。

图:出口专用负载均衡器配置

重要

2026 年 3 月 31 日起,新的虚拟网络默认使用专用子网,并且不再提供 默认出站访问。 使用出站连接的显式形式,例如 NAT 网关。

必备条件

创建虚拟网络和堡垒主机

创建虚拟网络和堡垒主机

以下过程创建包含资源子网、Azure Bastion 子网和 Azure Bastion 主机的虚拟网络。

  1. 在门户中,搜索并选择“虚拟网络”。

  2. 在“虚拟网络”页面上,选择“+ 创建”。

  3. 创建虚拟网络基本信息选项卡上输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择“新建”。
    在“名称”中,输入“load-balancer-rg”。
    选择“确定”
    实例详细信息
    名称 输入“lb-vnet”
    区域 选择“中国东部”。

  4. 选择“安全性”选项卡或页面底部的“下一步”按钮。

  5. 在“Azure Bastion”下,输入或选择以下信息:

    设置
    Azure Bastion
    启用 Azure Bastion 选中复选框。
    Azure Bastion 主机名 输入“lb-bastion”
    Azure Bastion 公共 IP 地址 选择“新建”。
    在“名称”中输入“lb-bastion-ip”
    选择“确定”

  6. 选择“IP 地址”选项卡,或选择页面底部的“下一步”

  7. 在“创建虚拟网络”页面上,输入或选择以下信息:

    设置
    添加 IPv4 地址空间
    IPv4 地址空间 输入“10.0.0.0/16 (65,356 个地址)”
    子网 选择要编辑的默认子网链接。
    子网模板 保留默认值“默认”。
    名称 输入backend-subnet
    开始地址 输入“10.0.0.0”
    子网大小 输入 /24(256 个地址)
    安全性
    NAT 网关 选择“无”。

  8. 选择“保存”。

  9. 选择屏幕底部的“查看 + 创建”,然后在验证通过时选择“创建”。

创建内部负载均衡器

在本节中,您将创建内部负载均衡器。

  1. 在门户顶部的搜索框中,输入“负载均衡器”。 在搜索结果中选择“负载均衡器”。

  2. 在“负载均衡器”页上,选择“创建” 。

  3. 在“创建负载均衡器”页的“基本信息”选项卡中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择load-balancer-rg
    实例详细信息
    名称 输入“lb-internal”
    区域 选择“中国北部 3”。
    SKU 保留默认值“标准”。
    类型 选择“内部”。

  4. 在页面底部选择“下一步: 前端 IP 配置”。

  5. 在“前端 IP 配置”中,选择“+ 添加前端 IP 配置”。

  6. “名称”中输入“lb-int-frontend”

  7. 选择lb-vnet虚拟网络中。

  8. 在“子网”中选择“后端子网”

  9. 选择动态用于分配

  10. 在“可用性区域”中选择“区域冗余” 。

    注意

    在拥有可用性区域的地区,您可以选择不指定区域(默认选项)、特定区域或区域冗余。 请根据特定的域故障要求做出选择。 在不提供“可用性区域”设置的区域中,不会显示此字段。
    有关可用性区域的详细信息,请参阅可用性区域概述

  11. 选择 添加

  12. 在页面底部选择 下一步: 后端池

  13. 在“后端池”选项卡上,选择“+ 添加后端池” 。

  14. “添加后端池”“名称”中,输入“lb-int-backend-pool”

  15. 对于“后端池配置”,请选择“NIC”或“IP 地址” 。

  16. 选择“保存”。

  17. 选择页面底部的“查看 + 创建”蓝色按钮。

  18. 选择“创建”。

创建公共负载均衡器

在本节中,您将创建公共负载均衡器。

  1. 在门户顶部的搜索框中,输入“负载均衡器”。 在搜索结果中选择“负载均衡器”。

  2. 在“负载均衡器”页上,选择“创建” 。

  3. 在“创建负载均衡器”页的“基本信息”选项卡中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择load-balancer-rg
    实例详细信息
    名称 输入“lb-public”
    区域 选择“中国北部 3”。
    SKU 保留默认值“标准”。
    类型 选择 公共
    请保留默认设置“Regional”。

  4. 在页面底部选择“下一步: 前端 IP 配置”。

  5. 在“前端 IP 配置”中,选择“+ 添加前端 IP” 。

  6. 在“名称”中输入“lb-ext-frontend”

  7. 对于“IP 版本”,选择“IPv4”或“IPv6” 。

  8. 对于“IP 类型”,选择“IP 地址” 。

    注意

    有关 IP 前缀的详细信息,请参阅 Azure 公共 IP 地址前缀

  9. 在“公共 IP 地址”中选择“新建”

  10. 添加公共 IP 地址名称 中,输入 lb-public-ip

  11. 在“可用性区域”中选择“区域冗余” 。

    注意

    具有可用性区域的区域中,可以选择无区域(默认选项)、特定区域或区域冗余。 请根据特定的域故障要求做出选择。 在没有可用性区域的区域中,此字段不会显示。 有关可用性区域的详细信息,请参阅可用性区域概述

  12. 选择“确定”

  13. 选择 添加

  14. 在页面底部选择“下一步: 后端池”。

  15. 在“后端池”选项卡上,选择“+ 添加后端池” 。

  16. 在“添加后端池”窗口的“名称”字段中,输入lb-pub-backend-pool

  17. 虚拟网络中选择lb-vnet

  18. 对于“后端池配置”,请选择“NIC”或“IP 地址” 。

  19. 选择“保存”。

  20. 选择页面底部的“查看 + 创建”蓝色按钮。

  21. 选择“创建”。

创建虚拟机

在本部分中创建虚拟机。 在创建过程中,将其添加到内部负载均衡器的后端池。 创建虚拟机后,将虚拟机添加到公共负载均衡器的后端池。

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

  2. 在“虚拟机”中,选择 + 创建“虚拟机”。

  3. 在“创建虚拟机”中,在“基本信息”选项卡中输入或选择值 :

    设置
    项目详细信息
    订阅 选择 Azure 订阅
    资源组 选择lb-resource-group
    实例详细信息
    虚拟机名称 输入lb-VM
    区域 选择“中国北部 3”
    可用性选项 选择“无需基础结构冗余”
    安全类型 选择“标准”。
    图像 选择“Windows Server 2022 数据中心:Azure 版本 - Gen2”
    大小 选择 VM 大小或采用默认设置
    管理员帐户
    用户名 输入用户名
    密码 输入密码
    确认密码 重新输入密码
    入站端口规则
    公共入站端口 选择“无”

  4. 选择“ 网络 ”选项卡,或选择“ 下一步:磁盘”,然后选择 “下一步:网络”。

  5. 在“网络”选项卡中,选择或输入:

    设置
    网络接口
    虚拟网络 lb-VNet
    子网 backend-子网
    公共 IP 选择“无”。
    NIC 网络安全组 选择“高级”
    配置网络安全组 保留默认值“vm-NSG”。 如果为 VM 选择其他名称,则此值可能有所不同。

  6. 负载均衡下,选择以下值:

    设置
    负载均衡选项 选择 Azure 负载均衡
    选择负载均衡器 选择 lb-internal
    选择后端池 选择“lb-int-backend-pool”

  7. 选择“查看 + 创建”。

  8. 检查设置,然后选择“创建”。

将 VM 添加到公共负载均衡器的后端池

在本部分中,您将先前创建的虚拟机添加到公共负载均衡器的后端池。

  1. 在门户顶部的搜索框中,输入“负载均衡器”。 在搜索结果中选择“负载均衡器”。

  2. 选择“lb-public”

  3. 在“lb-public”的“设置”中,选择“后端池”

  4. 在“后端池”页面的“后端池”下选择“lb-pub-backend-pool”

  5. lb-pub-backend-pool 中的 虚拟网络 中选择 lb-vnet

  6. 在“虚拟机”中,选择蓝色的“+ 添加”按钮。

  7. 在“向后端池添加虚拟机”中,选中“lb-VM”旁边的框

  8. 选择 添加

  9. 选择“保存”。

在出站规则之前测试网络连接

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

  2. 选择lb-VM

  3. 在“ 概述 ”页中,选择“ 连接”,然后选择“ Bastion”。

  4. 输入在创建 VM 期间提供的用户名和密码。

  5. 选择“连接” 。

  6. 打开 Microsoft Edge 浏览器。

  7. 在地址栏中输入“https://whatsmyip.org”。

  8. 连接失败。 默认情况下,标准公共负载均衡器在没有已定义的出站规则的情况下不允许有出站流量

创建公共的负载均衡器外部规则

  1. 在门户顶部的搜索框中,输入“负载均衡器”。 在搜索结果中选择“负载均衡器”。

  2. 选择lb-public

  3. lb-public设置中,选择出站规则

  4. 出站规则中选择+ 添加

  5. 输入或选择以下参数以配置出站规则。

    设置
    名称 输入 myOutboundRule
    前端 IP 地址 选择lb-ext-frontend
    协议 保留默认值“全部”。
    空闲超时(分钟) 将滑块移动到 15 分钟。
    TCP 重置 选择“启用”。
    后端池 选择 lb-pub-backend-pool
    端口分配
    端口分配 选择“手动选择出站端口数”。
    出站端口
    选择依据 选择每个实例的端口
    每个实例的端口数 输入10000

  6. 选择 添加

在出站规则之后测试连接

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

  2. 选择lb-VM

  3. 在“概览”页面上,选择“连接”,然后选择“Bastion”。

  4. 输入在创建 VM 期间提供的用户名和密码。

  5. 选择“连接” 。

  6. 打开 Microsoft Edge 浏览器。

  7. 在地址栏中输入“https://whatsmyip.org”。

  8. 连接成功。

  9. 显示的 IP 地址是 lb-public 的前端 IP 地址。

清理资源

不再需要资源时,请删除资源组、负载均衡器、VM 和所有相关资源。

选择资源组 负载均衡器-rg ,然后选择“ 删除”。

后续步骤

在本文中,你已使用公共负载均衡器和内部负载均衡器的组合创建了“仅限出口”配置。

此配置平衡传入内部流量到后端池,同时阻止任何公共入站连接。

有关 Azure 负载均衡器和 Azure Bastion 的详细信息,请参阅什么是 Azure 负载均衡器?什么是 Azure Bastion?

  • Last updated on