Sdílet prostřednictvím


Kurz: Integrace služby NAT Gateway se službou Azure Firewall v hvězdicové síti pro odchozí připojení

V tomto kurzu se dozvíte, jak integrovat bránu NAT Gateway se službou Azure Firewall do hvězdicové sítě.

Azure Firewall poskytuje 2 496 portů SNAT na veřejnou IP adresu nakonfigurovanou pro instanci škálovací sady back-endových virtuálních počítačů (minimálně dvě instance). Ke službě Azure Firewall můžete přidružit až 250 veřejných IP adres. V závislosti napožadavch Můžete také vyžadovat použití menšího počtu veřejných IP adres a zároveň vyžadovat více portů SNAT. Lepší metodou odchozího připojení je použití služby NAT Gateway. NaT Gateway poskytuje 64 512 portů SNAT na veřejnou IP adresu a dá se použít s až 16 veřejnými IP adresami.

Bránu NAT gateway je možné integrovat se službou Azure Firewall tak, že nakonfigurujete bránu NAT přímo do podsítě služby Azure Firewall, aby byla zajištěna škálovatelná metoda odchozího připojení. Pro produkční nasazení se doporučuje hvězdicová síť, kde je brána firewall ve vlastní virtuální síti. Servery úloh jsou partnerské virtuální sítě ve stejné oblasti jako centrální virtuální síť, ve které se nachází brána firewall. V tomto nastavení architektury může služba NAT Gateway poskytovat odchozí připojení z virtuální sítě centra pro všechny paprskové virtuální sítě v partnerském vztahu.

Diagram prostředků Azure vytvořených v kurzu

Poznámka:

Azure NAT Gateway se v současné době nepodporuje v zabezpečených architekturách virtuálních rozbočovačů (vWAN). Musíte nasadit pomocí architektury virtuální sítě centra, jak je popsáno v tomto kurzu. Další informace o možnostech architektury služby Azure Firewall najdete v tématu Jaké jsou možnosti architektury Azure Firewall Manageru?

V tomto kurzu se naučíte:

  • Vytvoření virtuální sítě centra a nasazení služby Azure Firewall a služby Azure Bastion během nasazování
  • Vytvořte bránu NAT a přidružte ji k podsíti brány firewall ve virtuální síti centra.
  • Vytvoření paprskové virtuální sítě
  • Vytvoření partnerského vztahu virtuálních sítí
  • Vytvoření směrovací tabulky pro paprskovou virtuální síť
  • Vytvoření zásad brány firewall pro virtuální síť centra
  • Vytvoření virtuálního počítače pro otestování odchozího připojení přes bránu NAT Gateway

Požadavky

Vytvoření virtuální sítě centra

Virtuální síť centra obsahuje podsíť brány firewall přidruženou ke službě Azure Firewall a bráně NAT. Pomocí následujícího příkladu vytvořte virtuální síť centra.

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

  3. Vyberte + Vytvořit.

  4. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Zadejte test-rg.
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte vnet-hub.
    Oblast Vyberte (USA) USA – středojiž.
  5. Výběrem možnosti Další přejděte na kartu Zabezpečení .

  6. V části Azure Bastion na kartě Zabezpečení vyberte Povolit Službu Azure Bastion.

    Azure Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes secure shell (SSH) nebo protokol RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace o službě Azure Bastion najdete v tématu Azure Bastion.

    Poznámka:

    Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

  7. Zadejte nebo vyberte následující informace ve službě Azure Bastion:

    Nastavení Hodnota
    Název hostitele služby Azure Bastion Zadejte bastion.
    Veřejná IP adresa služby Azure Bastion Vyberte Vytvořit veřejnou IP adresu.
    Do názvu zadejte public-ip-bastion .
    Vyberte OK.
  8. V části Azure Firewall na kartě Zabezpečení vyberte Povolit bránu Azure Firewall.

    Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Další informace o službě Azure Firewall najdete v tématu Azure Firewall.

  9. Zadejte nebo vyberte následující informace ve službě Azure Firewall:

    Nastavení Hodnota
    Název služby Azure Firewall Zadejte bránu firewall.
    Úroveň Vyberte položku Standardní.
    Zásady Vyberte, že chcete vytvořit novou IP adresu.
    Zadejte zásadu brány firewall v názvu.
    Vyberte OK.
    Veřejná IP adresa služby Azure Firewall Vyberte Vytvořit veřejnou IP adresu.
    Do pole Název zadejte veřejnou ip-bránu firewall .
    Vyberte OK.
  10. Výběrem možnosti Další přejděte na kartu IP adresy.

  11. Vyberte Zkontrolovat a vytvořit.

  12. Vyberte Vytvořit.

Nasazení hostitele bastionu a brány firewall trvá několik minut. Po vytvoření virtuální sítě v rámci nasazení můžete pokračovat k dalším krokům.

Vytvoření služby NAT Gateway

Veškerý odchozí internetový provoz prochází bránou NAT gateway k internetu. Pomocí následujícího příkladu vytvořte bránu NAT pro hvězdicovou síť a přidružte ji k AzureFirewallSubnet.

  1. Do vyhledávacího pole v horní části portálu zadejte NAT Gateway. Ve výsledcích hledání vyberte brány NAT.

  2. Vyberte + Vytvořit.

  3. Na kartě Základy brány pro vytvoření překladu síťových adres (NAT) zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název brány NAT Zadejte nat-gateway.
    Oblast Vyberte USA (střed) – jih.
    Availability zone Vyberte zónu nebo žádnou zónu.
    Časový limit nečinnosti protokolu TCP (minuty) Ponechte výchozí hodnotu 4.

    Další informace o zónách dostupnosti najdete v tématu NAT Gateway a zóny dostupnosti.

  4. Vyberte Další: Odchozí IP adresa.

  5. V části Odchozí IP adresa ve veřejných IP adresách vyberte Vytvořit novou veřejnou IP adresu.

  6. Do pole Název zadejte public-ip-nat.

  7. Vyberte OK.

  8. Vyberte Další: Podsíť.

  9. Ve virtuální síti vyberte vnet-hub.

  10. V názvu podsítě vyberte AzureFirewallSubnet.

  11. Vyberte Zkontrolovat a vytvořit.

  12. Vyberte Vytvořit.

Vytvoření paprskové virtuální sítě

Paprsková virtuální síť obsahuje testovací virtuální počítač použitý k otestování směrování internetového provozu do služby NAT Gateway. K vytvoření paprskové sítě použijte následující příklad.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

  2. Vyberte + Vytvořit.

  3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte paprsky virtuální sítě.
    Oblast Vyberte USA (střed) – jih.
  4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

  5. Výběrem možnosti Další přejděte na kartu IP adresy.

  6. Na kartě IP adresy v adresního prostoru IPv4 vyberte Odstranit adresní prostor a odstraňte automaticky vyplněný adresní prostor.

  7. Vyberte + Přidat adresní prostor IPv4.

  8. Do adresního prostoru IPv4 zadejte 10.1.0.0. Ve výběru masky ponechte výchozí hodnotu /16 (65 536 adres ).

  9. Vyberte + Přidat podsíť.

  10. V části Přidat podsíť zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Účel podsítě Ponechte výchozí výchozí.
    Název Zadejte privátní podsíť.
    IPv4
    Rozsah adres IPv4 Ponechte výchozí hodnotu 10.1.0.0/16.
    Počáteční adresa Ponechte výchozí hodnotu 10.1.0.0.
    Velikost Ponechte výchozí hodnotu /24(256 adres).
  11. Vyberte Přidat.

  12. Vyberte Zkontrolovat a vytvořit.

  13. Vyberte Vytvořit.

Vytvoření partnerského vztahu mezi centrem a paprskem

Partnerský vztah virtuální sítě slouží k připojení centra k paprsku a paprsku k centru. Pomocí následujícího příkladu vytvořte obousměrný partnerský vztah sítě mezi centrem a paprskem.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

  2. Vyberte vnet-hub.

  3. V Nastavení vyberte Partnerské vztahy.

  4. Vyberte + Přidat.

  5. Zadejte nebo vyberte následující informace v části Přidat partnerský vztah:

    Nastavení Hodnota
    Souhrn vzdálených virtuálních sítí
    Název odkazu peeringu Zadejte vnet-spoke-to-vnet-hub.
    Model nasazení virtuální sítě Ponechte výchozí hodnotu Resource Manageru.
    Předplatné Vyberte své předplatné.
    Virtuální síť Vyberte vnet-spoke (test-rg).</a0>
    Nastavení partnerského vztahu vzdálené virtuální sítě
    Povolit vnet-spoke přístup k virtuální síti-hub Ponechte výchozí hodnotu Selected (Vybraná).
    Povolit "vnet-spoke" přijímat přesměrovaný provoz z "vnet-hub" Zaškrtněte políčko.
    Povolit bráně nebo směrovacímu serveru v paprsku virtuální sítě přesměrovávat provoz do vnet-hubu Ponechte výchozí hodnotu Nevybrané.
    Povolte "vnet-spoke", aby používal vzdálenou bránu vnet-hub nebo směrovací server. Ponechte výchozí hodnotu Nevybrané.
    Souhrn místních virtuálních sítí
    Název odkazu peeringu Zadejte vnet-hub-to-vnet-spoke.
    Nastavení partnerského vztahu místních virtuálních sítí
    Povolit vnet-hubu přístup k virtuální síti-spoke-2 Ponechte výchozí hodnotu Selected (Vybraná).
    Povolit službě vnet-hub přijímat přesměrovaný provoz z paprsku virtuální sítě Zaškrtněte políčko.
    Povolit bráně nebo směrovacímu serveru ve vnet-hubu přesměrovat provoz do vnet-spoke Ponechte výchozí hodnotu Nevybrané.
    Povolte vnet-hub, aby používal vzdálenou bránu nebo směrovací server vnet-spoke. Ponechte výchozí hodnotu Nevybrané.
  6. Vyberte Přidat.

  7. Vyberte Aktualizovat a ověřte, že stav partnerského vztahu je Připojeno.

Vytvoření směrovací tabulky paprskové sítě

Směrovací tabulka vynutí veškerý provoz, který opustí paprskovou virtuální síť, do virtuální sítě centra. Směrovací tabulka je nakonfigurovaná s privátní IP adresou brány Azure Firewall jako virtuálního zařízení.

Získání privátní IP adresy brány firewall

Privátní IP adresa brány firewall je potřebná pro směrovací tabulku vytvořenou dále v tomto článku. Pomocí následujícího příkladu získejte privátní IP adresu brány firewall.

  1. Do vyhledávacího pole v horní části portálu zadejte bránu firewall. Ve výsledcích hledání vyberte brány firewall .

  2. Vyberte bránu firewall.

  3. V přehledu brány firewall si poznamenejte IP adresu v poli Privátní IP adresa brány firewall. IP adresa v tomto příkladu je 10.0.1.68.

Vytvoření směrovací tabulky

Vytvořte směrovací tabulku, která vynutí veškerý příchozí provoz mezi paprsky a internetovým výstupem přes bránu firewall ve virtuální síti centra.

  1. Do vyhledávacího pole v horní části portálu zadejte směrovací tabulku. Ve výsledcích hledání vyberte Směrovací tabulky .

  2. Vyberte + Vytvořit.

  3. Do pole Vytvořit směrovací tabulku zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Oblast Vyberte USA (střed) – jih.
    Název Zadejte směrovací paprsky.
    Šíření tras brány Vyberte možnost Ne.
  4. Vyberte Zkontrolovat a vytvořit.

  5. Vyberte Vytvořit.

  6. Do vyhledávacího pole v horní části portálu zadejte směrovací tabulku. Ve výsledcích hledání vyberte Směrovací tabulky .

  7. Vyberte paprsky směrovací tabulky.

  8. V nastavení vyberte Trasy.

  9. Vyberte + Přidat v trasách.

  10. Do příkazu Přidat trasu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Název trasy Zadejte route-to-hub.
    Typ cíle Vyberte IP adresy.
    Cílové IP adresy nebo rozsahy CIDR Zadejte 0.0.0.0/0.
    Typ dalšího směrování Vyberte Virtuální zařízení.
    Adresa dalšího segmentu Zadejte 10.0.1.68.
  11. Vyberte Přidat.

  12. V nastavení vyberte podsítě.

  13. Vyberte + Přidružit.

  14. Zadejte nebo vyberte následující informace v podsíti Přidružit:

    Nastavení Hodnota
    Virtuální síť Vyberte vnet-spoke (test-rg).</a0>
    Podsíť Vyberte privátní podsíť.
  15. Vyberte OK.

Konfigurace brány firewall

Provoz z paprsku přes centrum musí být povolený prostřednictvím zásad brány firewall a pravidla sítě. Pomocí následujícího příkladu vytvořte zásady brány firewall a pravidlo sítě.

Konfigurace pravidla sítě

  1. Do vyhledávacího pole v horní části portálu zadejte bránu firewall. Ve výsledcích hledání vyberte zásady brány firewall.

  2. Vyberte zásady brány firewall.

  3. Rozbalte Nastavení a pak vyberte Pravidla sítě.

  4. Vyberte + Přidat kolekci pravidel.

  5. V části Přidat kolekci pravidel zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Name Zadejte paprsky na internet.
    Typ kolekce pravidel Vyberte Síť.
    Priorita Zadejte 100.
    Akce kolekce pravidel Vyberte Povolit.
    Skupina kolekcí pravidel Vyberte DefaultNetworkRuleCollectionGroup.
    Pravidla
    Název Zadejte allow-web.
    Source type IP adresa.
    Zdroj Zadejte 10.1.0.0/24.
    Protokol Vyberte TCP.
    Cílové porty Zadejte 80 443.
    Destination Type Vyberte IP adresu.
    Cíl Vstoupit*
  6. Vyberte Přidat.

Vytvoření testovacího virtuálního počítače

Virtuální počítač s Ubuntu se používá k otestování odchozího internetového provozu přes bránu NAT Gateway. Pomocí následujícího příkladu vytvořte virtuální počítač s Ubuntu.

Následující postup vytvoří testovací virtuální počítač s názvem vm-spoke ve virtuální síti.

  1. Na portálu vyhledejte a vyberte Virtuální počítače.

  2. Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.

  3. Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Virtual machine name Zadejte paprskový virtuální počítač.
    Oblast Vyberte (USA) USA – středojiž.
    Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury.
    Typ zabezpečení Ponechte výchozí hodnotu Standard.
    Image Vyberte Ubuntu Server 24.04 LTS - x64 Gen2.
    Architektura virtuálního počítače Ponechte výchozí hodnotu x64.
    Velikost Vyberte velikost.
    Účet správce
    Authentication type Vyberte heslo.
    Username Zadejte azureuser.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.
    Pravidla portů pro příchozí spojení
    Veřejné příchozí porty Vyberte Žádná.
  4. Vyberte kartu Sítě v horní části stránky nebo vyberte Další:Disky a pak Další:Sítě.

  5. Na kartě Sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte vnet-spoke.
    Podsíť Vyberte privátní podsíť (10.1.0.0/24).
    Veřejná IP adresa Vyberte Žádná.
    Skupina zabezpečení sítě síťových adaptérů Vyberte Upřesnit.
    Konfigurace skupiny zabezpečení sítě Vyberte, že chcete vytvořit novou IP adresu.
    Jako název zadejte nsg-1 .
    Ponechte zbytek ve výchozím nastavení a vyberte OK.
  6. Zbývající nastavení ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

  7. Zkontrolujte nastavení a vyberte Vytvořit.

Než budete pokračovat k dalším krokům, počkejte na dokončení nasazení virtuálního počítače.

Poznámka:

Virtuální počítače ve virtuální síti s hostitelem bastionu nepotřebují veřejné IP adresy. Bastion poskytuje veřejnou IP adresu a virtuální počítače používají privátní IP adresy ke komunikaci v síti. Veřejné IP adresy můžete odebrat z libovolného virtuálního počítače v hostovaných virtuálních sítích bastionu. Další informace najdete v tématu Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

Testování služby NAT Gateway

Připojíte se k virtuálním počítačům s Ubuntu, které jste vytvořili v předchozích krocích, abyste ověřili, že odchozí internetový provoz opouští bránu NAT Gateway.

Získání veřejné IP adresy služby NAT Gateway

Získejte veřejnou IP adresu služby NAT Gateway pro ověření kroků dále v článku.

  1. Do vyhledávacího pole v horní části portálu zadejte veřejnou IP adresu. Ve výsledcích hledání vyberte veřejné IP adresy .

  2. Vyberte public-ip-nat.

  3. Poznamenejte si hodnotu v IP adrese. Příklad použitý v tomto článku je 203.0.113.0.25.

Testování služby NAT Gateway z paprsku

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte paprskový virtuální počítač.

  3. V přehledu vyberte Připojit a pak připojit přes Bastion.

  4. Zadejte uživatelské jméno a heslo zadané během vytváření virtuálního počítače. Vyberte Připojit.

  5. Do příkazového řádku Bash zadejte následující příkaz:

    curl ifconfig.me
    
  6. Ověřte, že IP adresa vrácená příkazem odpovídá veřejné IP adrese služby NAT Gateway.

    azureuser@vm-1:~$ curl ifconfig.me
    203.0.113.0.25
    
  7. Zavřete připojení Bastionu k paprsku virtuálního počítače.

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

  1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

  2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

  3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

  4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

Další kroky

V dalším článku se dozvíte, jak integrovat službu NAT Gateway se službou Azure Load Balancer: