仅出站的负载均衡器配置

  • 项目

使用内部和外部标准负载均衡器的组合为内部负载均衡器后面的 VM 创建出站连接。

此配置为内部负载均衡器方案提供出站 NAT,为后端池生成“仅出口”设置。

注意

对于生产部署中出站连接,推荐的配置是 Azure NAT 网关。 有关 NAT 网关的详细信息,请参阅什么是 Azure NAT 网关?

若要使用 Azure NAT 网关部署仅出站负载均衡器配置,请参阅教程:将 NAT 网关与内部负载均衡器集成 - Azure 门户

有关 Azure 中出站连接和默认出站访问权限的详细信息,请参阅出站连接的源网络地址转换 (SNAT)默认出站访问权限

该图描绘了仅有出口的负载均衡器配置

图:“仅出口”负载均衡器配置

必备条件

创建虚拟网络和堡垒主机

在本部分中,你将创建一个包含资源子网、Azure Bastion 子网和 Azure Bastion 主机的虚拟网络。

重要

小时定价从部署 Bastion 的时刻开始计算,而无论出站数据使用情况如何。 有关详细信息,请参阅定价SKU。 如果要将 Bastion 部署为教程或测试的一部分,建议在使用完此资源后将其删除。

  1. 在门户中,搜索并选择“虚拟网络”。

  2. 在“虚拟网络”页面上,选择“+ 创建”。

  3. 创建虚拟网络基本信息选项卡上输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择“新建”。
    在“名称”中输入“load-balancer-rg”
    选择“确定”。
    实例详细信息
    名称 输入“lb-vnet”
    区域 选择“中国北部 3”

    Azure 门户中“创建虚拟网络”的“基本信息”选项卡的屏幕截图。

  4. 选择“安全性”选项卡或页面底部的“下一步”按钮。

  5. 在“Azure Bastion”下,输入或选择以下信息:

    设置 “值”
    Azure Bastion
    启用 Azure Bastion 选中复选框。
    Azure Bastion 主机名 输入“lb-bastion”
    Azure Bastion 公共 IP 地址 选择“新建”。
    在“名称”中输入“lb-bastion-ip”
    选择“确定”

  6. 选择“IP 地址”选项卡,或选择页面底部的“下一步”

  7. 在“创建虚拟网络”页面上,输入或选择以下信息:

    设置 “值”
    添加 IPv4 地址空间
    IPv4 地址空间 输入“10.0.0.0/16 (65,356 个地址)”
    子网 选择要编辑的默认子网链接。
    子网模板 保留默认值“默认”。
    名称 输入“backend-subnet”
    开始地址 输入“10.0.0.0”
    子网大小 输入 /24(256 个地址)
    安全性
    NAT 网关 选择“lb-nat-gateway”

    默认子网重命名和配置的屏幕截图。

  8. 选择“保存”。

  9. 选择屏幕底部的“查看 + 创建”,然后在验证通过时选择“创建”。

创建内部负载均衡器

在本节中,将创建内部负载平衡器。

  1. 在门户顶部的搜索框中,输入“负载均衡器”。 在搜索结果中选择“负载均衡器”。

  2. 在“负载均衡器”页上,选择“创建” 。

  3. 在“创建负载均衡器”页的“基本信息”选项卡中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择“lb-resource-group”
    实例详细信息
    名称 输入“lb-internal”
    区域 选择“中国北部 3”。
    SKU 保留默认值“标准”。
    类型 选择“内部”。

  4. 在页面底部选择“下一步: 前端 IP 配置”。

  5. 在“前端 IP 配置”中,选择“+ 添加前端 IP” 。

  6. 在“名称”中输入“lb-int-frontend”

  7. 在“子网”中选择“后端子网”

  8. 为“分配”选择“动态”。

  9. 在“可用性区域”中选择“区域冗余” 。

    注意

    在提供可用性区域设置的区域中,可以选择无区域(默认选项)、特定区域或区域冗余。 请根据特定的域故障要求做出选择。 在不提供“可用性区域”设置的区域中,不会显示此字段。
    有关可用性区域的详细信息,请参阅可用性区域概述

  10. 选择 添加

  11. 在页面底部选择“下一步: 后端池”。

  12. 在“后端池”选项卡上,选择“+ 添加后端池” 。

  13. 在“添加后端池”的“名称”中,输入“lb-int-backend-pool”

  14. 对于“后端池配置”,请选择“NIC”或“IP 地址” 。

  15. 选择“保存”。

  16. 选择页面底部的“查看 + 创建”蓝色按钮。

  17. 选择“创建”。

创建公共负载均衡器

在本节中,将创建公共负载平衡器。

  1. 在门户顶部的搜索框中,输入“负载均衡器”。 在搜索结果中选择“负载均衡器”。

  2. 在“负载均衡器”页上,选择“创建” 。

  3. 在“创建负载均衡器”页的“基本信息”选项卡中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择“lb-resource-group”
    实例详细信息
    名称 输入“lb-public”
    区域 选择“中国北部 3”。
    SKU 保留默认值“标准”。
    类型 选择“公共”。
    保留默认值“区域”。

  4. 在页面底部选择“下一步: 前端 IP 配置”。

  5. 在“前端 IP 配置”中,选择“+ 添加前端 IP” 。

  6. 在“名称”中输入“lb-ext-frontend”

  7. 对于“IP 版本”,选择“IPv4”或“IPv6” 。

  8. 对于“IP 类型”,选择“IP 地址” 。

    注意

    有关 IP 前缀的详细信息,请参阅 Azure 公共 IP 前缀

  9. 在“公共 IP 地址”中选择“新建” 。

  10. 在“添加公共 IP 地址”的“名称”中,输入“lb-public-ip”

  11. 在“可用性区域”中选择“区域冗余” 。

    注意

    在提供可用性区域设置的区域中,可以选择无区域(默认选项)、特定区域或区域冗余。 请根据特定的域故障要求做出选择。 在不提供“可用性区域”设置的区域中,不会显示此字段。
    有关可用性区域的详细信息,请参阅可用性区域概述

  12. 选择“确定” 。

  13. 选择 添加

  14. 在页面底部选择“下一步: 后端池”。

  15. 在“后端池”选项卡上,选择“+ 添加后端池” 。

  16. 在“添加后端池”的“名称”中,输入“lb-pub-backend-pool”

  17. 在“虚拟网络”中选择“lb-VNet”

  18. 对于“后端池配置”,请选择“NIC”或“IP 地址” 。

  19. 选择“保存”。

  20. 选择页面底部的“查看 + 创建”蓝色按钮。

  21. 选择“创建”。

创建虚拟机

在本节中,将创建虚拟机。 创建期间,需要将其添加到内部负载均衡器的后端池。 创建虚拟机后,将虚拟机添加到公共负载均衡器的后端池。

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

  2. 在“虚拟机”中,选择“+ 创建”>“虚拟机”。

  3. 在“创建虚拟机”中,在“基本信息”选项卡中输入或选择值 :

    设置
    项目详细信息
    订阅 选择 Azure 订阅
    资源组 选择“lb-resource-group”
    实例详细信息
    虚拟机名称 输入“lb-VM”
    区域 选择“中国北部 3”
    可用性选项 选择“无需基础结构冗余”
    映像 选择“Windows Server 2022 数据中心:Azure 版本 - Gen2”
    大小 选择 VM 大小或采用默认设置
    管理员帐户
    用户名 输入用户名
    密码 输入密码
    确认密码 重新输入密码
    入站端口规则
    公共入站端口 选择“无”

  4. 选择“网络”选项卡,或选择“下一步: 磁盘”,然后选择“下一步: 网络”。

  5. 在“网络”选项卡中,选择或输入:

    设置
    网络接口
    虚拟网络 lb-VNet
    子网 backend-subnet
    公共 IP 选择
    NIC 网络安全组 选择“高级”
    配置网络安全组 保留默认值“vm-NSG”。 如果为 VM 选择其他名称,则可能有所不同。

  6. 在“负载均衡”下,选择以下项:

    设置
    负载均衡选项 选择“Azure 负载均衡”
    选择负载均衡器 选择“lb-internal”
    选择后端池 选择“lb-int-backend-pool”

  7. 选择“查看 + 创建”。

  8. 检查设置,然后选择“创建”。

将 VM 添加到公共负载均衡器的后端池

在本节中,需要将前面创建的虚拟机添加到公共负载均衡器的后端池。

  1. 在门户顶部的搜索框中,输入“负载均衡器”。 在搜索结果中选择“负载均衡器”。

  2. 选择“lb-public”

  3. 在“lb-public”的“设置”中,选择“后端池”

  4. 在“后端池”页的“后端池”下选择“lb-pub-backend-pool”

  5. 在“lb-pub-backend-pool”的“虚拟网络”中,选择“lb-VNet”

  6. 在“虚拟机”中,选择蓝色的“+ 添加”按钮。

  7. 在“向后端池添加虚拟机”中,选中“lb-VM”旁边的框

  8. 选择“添加” 。

  9. 选择“保存” 。

在出站规则之前测试连接

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

  2. 选择“lb-VM”

  3. 在“概述”页上,选择“连接”,然后选择“Bastion” 。

  4. 输入在 VM 创建过程中输入的用户名和密码。

  5. 选择“连接”。

  6. 打开 Internet Explorer。

  7. 在地址栏中输入“https://whatsmyip.org”。

  8. 该连接应该会失败。 默认情况下,标准公共负载均衡器在没有已定义的出站规则的情况下不允许有出站流量

创建公共负载均衡器出站规则

  1. 在门户顶部的搜索框中,输入“负载均衡器”。 在搜索结果中选择“负载均衡器”。

  2. 选择“lb-public”

  3. 在“lb-public”的“设置”中,选择“出站规则”

  4. 在“出站规则”中选择“+ 添加”。

  5. 输入或选择以下信息以配置出站规则。

    设置
    名称 输入 myOutboundRule。
    前端 IP 地址 选择“lb-ext-frontend”
    协议 保留默认值“全部”。
    空闲超时(分钟) 将滑块移动到 15 分钟。
    TCP 重置 选择“启用”。
    后端池 选择“lb-pub-backend-pool”
    端口分配
    端口分配 选择“手动选择出站端口数”。
    出站端口
    选择依据 选择“每个实例的端口数”。
    每个实例的端口数 输入“10000”

  6. 选择“添加” 。

在出站规则之后测试连接

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

  2. 选择“lb-VM”

  3. 在“概述”页上,选择“连接”,然后选择“Bastion” 。

  4. 输入在 VM 创建过程中输入的用户名和密码。

  5. 选择“连接”。

  6. 打开 Internet Explorer。

  7. 在地址栏中输入“https://whatsmyip.org”。

  8. 该连接应该会成功。

  9. 显示的 IP 地址应该是 lb-public 的前端 IP 地址

清理资源

如果不再需要资源组、负载均衡器、VM 及所有相关资源,请将其删除。

为此,请选择资源组“lb-resource-group”,然后选择“删除”

后续步骤

在本文中,你已通过公共和内部两种负载均衡器的组合创建了一个“仅出口”配置。

利用此配置,你可以将传入的内部流量负载均衡到后端池,而同时仍阻止任何公共入站连接。

有关 Azure 负载均衡器和 Azure Bastion 的详细信息,请参阅什么是 Azure 负载均衡器?什么是 Azure Bastion?