Integrace služby NAT Gateway se službou Azure Firewall v hvězdicové síti pro odchozí připojení

V tomto kurzu se dozvíte, jak integrovat bránu NAT Gateway se službou Azure Firewall do hvězdicové sítě pro lepší odchozí připojení a škálovatelnost.

Azure Firewall poskytuje 2 496 portů SNAT na veřejnou IP adresu nakonfigurovanou pro instanci škálovací sady back-endových virtuálních počítačů (minimálně dvě instance). Ke službě Azure Firewall můžete přidružit až 250 veřejných IP adres. V závislosti na vašich požadavcích na architekturu a vzorech přenosu, můžete potřebovat více SNAT portů, než kolik může poskytnout Azure Firewall. Můžete také vyžadovat použití menšího počtu veřejných IP adres a zároveň vyžadovat více portů SNAT. Lepší metodou odchozího připojení je použití služby NAT Gateway. NaT Gateway poskytuje 64 512 portů SNAT na veřejnou IP adresu a dá se použít s až 16 veřejnými IP adresami.

Bránu NAT můžete integrovat se službou Azure Firewall tak, že nakonfigurujete bránu NAT gateway přímo do podsítě služby Azure Firewall. Toto přidružení poskytuje škálovatejší metodu odchozího připojení. Pro produkční nasazení se doporučuje hvězdicová síť, kde je brána firewall ve vlastní virtuální síti. Servery úloh jsou partnerské virtuální sítě ve stejné oblasti jako centrální virtuální síť, ve které se nachází brána firewall. V tomto nastavení architektury může služba NAT Gateway poskytovat odchozí připojení z virtuální sítě centra pro všechny paprskové virtuální sítě v partnerském vztahu.

Důležité

Skladová položka Azure NAT Gateway úrovně Standard V2 je aktuálně ve verzi PREVIEW. Podívejte se na doplňkové podmínky užívání služby Microsoft Azure Preview pro právní podmínky, které se vztahují na funkce Azure, jež jsou ve verzi beta, Preview nebo jinak ještě nejsou obecně dostupné.

Poznámka:

I když můžete nasadit NAT Gateway v architektuře virtuální sítě typu hub-and-spoke, jak je popsáno v tomto kurzu, služba NAT Gateway není podporovaná ve virtuální síti rozbočovače v architektuře vWAN. Pokud chcete použít architekturu virtuální sítě WAN, musí být služba NAT Gateway nakonfigurovaná přímo do paprskových virtuálních sítí přidružených k zabezpečenému virtuálnímu centru (vWAN). Další informace o možnostech architektury služby Azure Firewall najdete v tématu Jaké jsou možnosti architektury Azure Firewall Manageru?

V tomto kurzu se naučíte:

• Vytvoření virtuální sítě centra a nasazení služby Azure Firewall a služby Azure Bastion během nasazování
• Vytvořte bránu NAT a přidružte ji k podsíti brány firewall ve virtuální síti centra.
• Vytvoření paprskové virtuální sítě
• Vytvoření partnerského vztahu virtuálních sítí
• Vytvoření směrovací tabulky pro paprskovou virtuální síť
• Vytvoření zásad brány firewall pro virtuální síť centra
• Vytvoření virtuálního počítače pro otestování odchozího připojení přes bránu NAT Gateway

Požadavky

Portál

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

Prostředí PowerShell

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

Azure Cloud Shell

Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Ke spolupráci se službami Azure můžete použít Bash nebo PowerShell s Cloud Shellem. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.

Spuštění Azure Cloud Shellu:

Možnost	Příklad nebo odkaz
Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu.
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči.
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal.

Použití Azure Cloud Shellu:

1. Spusťte Cloud Shell.

2. Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.

3. Kód nebo příkaz vložte do relace Cloud Shell následujícím způsobem: na Windows a Linuxu stiskněte Ctrl+Shift+V, na macOS použijte Cmd+Shift+V.

4. Stisknutím klávesy Enter spusťte kód nebo příkaz.

Pokud se rozhodnete nainstalovat a používat PowerShell místně, tento článek vyžaduje modul Azure PowerShell verze 1.0.0 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Pokud používáte PowerShell místně, musíte také spustit Connect-AzAccount , abyste vytvořili připojení k Azure.

Vytvoření skupiny zdrojů

Vytvořte skupinu prostředků, která bude obsahovat všechny prostředky pro účely tohoto rychlého startu.

Portál

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části portálu zadejte skupinu prostředků. Ve výsledcích hledání vyberte skupiny prostředků.

3. Vyberte + Vytvořit.

4. Na kartě ZákladyVytvořit skupinu prostředků zadejte nebo vyberte následující informace.

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	test-rg
   Oblast	USA – západ

5. Vyberte Zkontrolovat a vytvořit.

6. Vyberte Vytvořit.

PowerShell

Vytvořte skupinu prostředků pomocí příkazu New-AzResourceGroup. Skupina prostředků Azure je logický kontejner, do kterého se nasazují a spravují prostředky Azure.

Následující příklad vytvoří skupinu prostředků s názvem test-rg v umístění westus.

$rsg = @{
    Name = 'test-rg'
    Location = 'westus'
}
New-AzResourceGroup @rsg

Vytvoření virtuální sítě centra

Virtuální síť centra obsahuje podsíť brány firewall přidruženou ke službě Azure Firewall a bráně NAT. Pomocí následujícího příkladu vytvořte virtuální síť centra.

Portál

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části webu Azure Portal zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

3. Vyberte Vytvořit.

4. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace.

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg nebo skupinu prostředků.
   Podrobnosti o instanci
   Název	Zadejte vnet-hub.
   Oblast	Vyberte svou oblast. V tomto příkladu se používá USA – západ.

5. Vyberte kartu IP adresy nebo vyberte Další: Zabezpečení a pak Další: IP adresy.

6. V podsítích vyberte výchozí podsíť.

7. Zadejte nebo vyberte následující informace v Editovat podsíť.

   Nastavení	Hodnota
   Účel podsítě	Nechte zadanou výchozí hodnotu.
   Název	Zadejte subnet-1.

8. Zbývající nastavení ponechte jako výchozí a pak vyberte Uložit.

9. Vyberte + Přidat podsíť.

10. V Přidat podsíť zadejte nebo vyberte následující informace.

    Nastavení	Hodnota
    Účel podsítě	Vyberte Azure Bastion.

11. Zbývající nastavení ponechte jako výchozí a pak vyberte Přidat.

12. Vyberte + Přidat podsíť.

13. V Přidat podsíť zadejte nebo vyberte následující informace.

    Nastavení	Hodnota
    Účel podsítě	Vyberte Azure Firewall.

14. Zbývající nastavení ponechte jako výchozí a pak vyberte Přidat.

15. Vyberte možnost Zkontrolovat a vytvořit, poté vyberte Vytvořit.

PowerShell

K vytvoření virtuální sítě centra použijte New-AzVirtualNetwork.

# Create hub virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-hub'
    AddressPrefix = '10.0.0.0/16'
}
$hubVnet = New-AzVirtualNetwork @vnetParams

Pomocí rutiny Add-AzVirtualNetworkSubnetConfig vytvořte podsíť pro Azure Firewall a Azure Bastion.

# Create default subnet
$subnetParams = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Firewall
$subnetParams = @{
    Name = 'AzureFirewallSubnet'
    AddressPrefix  = '10.0.1.64/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Bastion
$subnetParams = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix  = '10.0.1.0/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

K aktualizaci virtuální sítě použijte rutinu Set-AzVirtualNetwork.

# Create the virtual network
$hubVnet | Set-AzVirtualNetwork

Vytvoření hostitele Služby Azure Bastion

Azure Bastion poskytuje zabezpečené připojení RDP a SSH k virtuálním počítačům přes protokol TLS bez nutnosti veřejných IP adres na virtuálních počítačích.

Portál

1. Do vyhledávacího pole v horní části webu Azure Portal zadejte Bastion. Ve výsledcích hledání vyberte bastions .

2. Vyberte Vytvořit.

3. Na kartě Základy ve Vytvořit Bastion zadejte nebo vyberte následující informace.

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg nebo skupinu prostředků.
   Podrobnosti o instanci
   Název	Zadejte bastion.
   Oblast	Vyberte svou oblast. V tomto příkladu se používá USA – západ.
   Úroveň	Vyberte Vývojář.
   Virtuální síť	Vyberte vnet-1.
   Podsíť	Vyberte AzureBastionSubnet.

4. Vyberte možnost Zkontrolovat a vytvořit, poté vyberte Vytvořit.

PowerShell

Pomocí rutiny New-AzPublicIpAddress vytvořte veřejnou IP adresu pro Azure Bastion.

# Create public IP for Azure Bastion
$publicIpBastionParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-bastion'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIpBastion = New-AzPublicIpAddress @publicIpBastionParams

K vytvoření Azure Bastion použijte příkaz New-AzBastion.

# Create Azure Bastion
$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-hub"
    PublicIpAddressName = "public-ip-bastion"
    PublicIPAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams

Vytvoření služby Azure Firewall

Portál

1. Do vyhledávacího pole v horní části portálu zadejte bránu firewall. Ve výsledcích hledání vyberte brány firewall .

2. Vyberte + Vytvořit.

3. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg.
   Podrobnosti o instanci
   Název	Zadejte bránu firewall.
   Oblast	Vyberte Západ USA.
   Zóna dostupnosti	Přijměte výchozí hodnotu Žádné.
   Skladová položka brány firewall	Vyberte položku Standardní.
   Správa brány firewall	Vyberte Použít politiku brány firewall ke správě této brány firewall.
   Pravidla firewallu	Vyberte Přidat nový. Název: Zadejte zásadu brány firewall. Oblast: Vyberte USA – západ. Úroveň zásad: Standard. Vyberte OK.
   Volba virtuální sítě
   Virtuální síť	Vyberte Použít existující.
   Virtuální síť	Vyberte vnet-hub.
   Veřejná IP adresa
   Veřejná IP adresa	Vyberte Přidat nový. Název: Zadejte public-ip-firewall. SKU: Standard. Přiřaďte: Statická. Zóna dostupnosti: Zónově redundantní. Vyberte možnost OK.

4. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

5. Projděte si souhrn a pak vyberte Vytvořit, abyste vytvořili bránu firewall.

   Nasazení brány firewall trvá několik minut.

6. Po dokončení nasazení přejděte do skupiny prostředků test-rg a vyberte prostředek brány firewall .

7. Poznamenejte si privátní a veřejné IP adresy brány firewall. Tyto adresy použijete později.

PowerShell

Pomocí rutiny New-AzPublicIpAddress vytvořte veřejnou IP adresu pro Azure Firewall.

# Create public IP for Azure Firewall
$publicIpFirewallParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-firewall'
    AllocationMethod  = 'Static'
    Sku = 'Standard'
    Zone = 1, 2, 3
}
$publicIpFirewall = New-AzPublicIpAddress @publicIpFirewallParams

Pomocí New-AzFirewallPolicy vytvořte zásadu brány firewall.

# Create firewall policy
$firewallPolicyParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'firewall-policy'
}
$firewallPolicy = New-AzFirewallPolicy @firewallPolicyParams

K vytvoření služby Azure Firewall použijte New-AzFirewall .

# Create Azure Firewall
    $firewallParams = @{
        ResourceGroupName = 'test-rg'
        Location = 'westus'
        Name = 'firewall'
        VirtualNetworkName = 'vnet-hub'
        PublicIpName = 'public-ip-firewall'
        FirewallPolicyId = $firewallPolicy.Id
    }
    $firewall = New-AzFirewall @firewallParams

Vytvoření služby NAT Gateway

Veškerý odchozí internetový provoz prochází bránou NAT gateway k internetu. Pomocí následujícího příkladu vytvořte bránu NAT pro hvězdicovou síť a přidružte ji k AzureFirewallSubnet.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte veřejnou IP adresu. Ve výsledcích hledání vyberte veřejné IP adresy .

2. Vyberte + Vytvořit.

3. Do pole Vytvořit veřejnou IP adresu zadejte následující informace.

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg.
   Oblast	Vyberte Západ USA.
   Název	Zadejte public-ip-nat.
   Verze protokolu IP	Vyberte IPv4.
   skladová jednotka (SKU)	Vyberte položku Standardní.
   Zóna dostupnosti	Vyberte možnost zónová redundance.
   Úroveň	Vyberte Oblast.

4. Vyberte Zkontrolovat + vytvořit a potom Vytvořit.

5. Do vyhledávacího pole v horní části portálu zadejte NAT Gateway. Ve výsledcích hledání vyberte brány NAT.

6. Vyberte + Vytvořit.

7. Na kartě Základy brány pro vytvoření překladu síťových adres (NAT) zadejte nebo vyberte následující informace.

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg.
   Podrobnosti o instanci
   Název brány NAT	Zadejte nat-gateway.
   Oblast	Vyberte Západ USA.
   skladová jednotka (SKU)	Vyberte položku Standardní.
   Časový limit nečinnosti protokolu TCP (minuty)	Ponechte výchozí hodnotu 4.

8. Vyberte Další.

9. Na kartě Odchozí IP vyberte + Přidat veřejné IP adresy nebo předpony.

10. V možnosti Přidat veřejné IP adresy nebo předpony vyberte Veřejné IP adresy. Vyberte veřejnou IP adresu, kterou jste vytvořili dříve, public-ip-nat.

11. Vyberte Další.

12. Na kartě Sítě ve virtuální síti vyberte vnet-hub.

13. Nechte políčko Výchozí pro všechny podsítě nezaškrtnuté.

14. V oblasti Vybrat konkrétní podsítě vyberte AzureFirewallSubnet.

15. Vyberte možnost Zkontrolovat a vytvořit, poté vyberte Vytvořit.

PowerShell

Pomocí rutiny New-AzPublicIpAddress vytvořte zónově redundantní veřejnou IP adresu IPv4 pro bránu NAT.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

K vytvoření prostředku brány NAT použijte New-AzNatGateway .

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'Standard'
    Location = 'westus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1
}
$natGateway = New-AzNatGateway @nat

Pomocí rutiny Set-AzVirtualNetworkSubnetConfig přidružte bránu NAT k AzureFirewallSubnet.

# Get the hub virtual network
$vnetHub = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-hub'

# Associate NAT gateway with AzureFirewallSubnet
$subnetParams = @{
    VirtualNetwork = $vnetHub
    Name = 'AzureFirewallSubnet'
    AddressPrefix = '10.0.1.64/26'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnetParams

# Update the virtual network
$vnetHub | Set-AzVirtualNetwork

Vytvoření paprskové virtuální sítě

Paprsková virtuální síť obsahuje testovací virtuální počítač použitý k otestování směrování internetového provozu do služby NAT Gateway. K vytvoření paprskové sítě použijte následující příklad.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

2. Vyberte + Vytvořit.

3. Na kartě ZákladyVytvořit virtuální síť zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg.
   Podrobnosti o instanci
   Název	Zadejte paprsky virtuální sítě.
   Oblast	Vyberte Západ USA.

4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

5. Výběrem možnosti Další přejděte na kartu IP adresy.

6. Na kartě IP adresy v adresního prostoru IPv4 vyberte Odstranit adresní prostor a odstraňte automaticky vyplněný adresní prostor.

7. Vyberte + Přidat adresní prostor IPv4.

8. Do adresního prostoru IPv4 zadejte 10.1.0.0. Ve výběru masky ponechte výchozí hodnotu /16 (65 536 adres ).

9. Vyberte + Přidat podsíť.

10. V části Přidat podsíť zadejte nebo vyberte následující informace:

    Nastavení	Hodnota
    Účel podsítě	Ponechte výchozí výchozí.
    Název	Zadejte privátní podsíť.
    IPv4
    Rozsah adres IPv4	Ponechte výchozí hodnotu 10.1.0.0/16.
    Počáteční adresa	Ponechte výchozí hodnotu 10.1.0.0.
    Velikost	Ponechte výchozí hodnotu /24(256 adres).

11. Vyberte Přidat.

12. Vyberte Zkontrolovat a vytvořit.

13. Vyberte Vytvořit.

PowerShell

K vytvoření paprskové virtuální sítě použijte New-AzVirtualNetwork.

# Create spoke virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-spoke'
    AddressPrefix = '10.1.0.0/16'
}
$spokeVnet = New-AzVirtualNetwork @vnetParams

Pomocí Add-AzVirtualNetworkSubnetConfig vytvořte podsíť pro spoke virtuální síť.

# Create subnet in spoke virtual network
$subnetParams = @{
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    VirtualNetwork = $spokeVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Pomocí Set-AzVirtualNetwork aktualizujte virtuální síť typu "spoke".

# Create the virtual network
$spokeVnet | Set-AzVirtualNetwork

Vytvoření partnerského vztahu mezi centrem a paprskem

Partnerský vztah virtuální sítě slouží k připojení centra k paprsku a paprsku k centru. Pomocí následujícího příkladu vytvořte obousměrný partnerský vztah sítě mezi centrem a paprskem.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

2. Vyberte vnet-hub.

3. V Nastavení vyberte Partnerské vztahy.

4. Vyberte + Přidat.

5. Zadejte nebo vyberte následující informace v části Přidat partnerský vztah:

   Nastavení	Hodnota
   Souhrn vzdálených virtuálních sítí
   Název odkazu peeringu	Zadejte vnet-spoke-to-vnet-hub.
   Model nasazení virtuální sítě	Ponechte výchozí hodnotu Resource Manageru.
   Předplatné	Vyberte své předplatné.
   Virtuální síť	Vyberte vnet-spoke (test-rg).</a0>
   Nastavení partnerského vztahu vzdálené virtuální sítě
   Povolit vnet-spoke přístup k virtuální síti-hub	Ponechte výchozí hodnotu Selected (Vybraná).
   Povolit "vnet-spoke" přijímat přesměrovaný provoz z "vnet-hub"	Zaškrtněte políčko.
   Povolit bráně nebo směrovacímu serveru v paprsku virtuální sítě přesměrovávat provoz do vnet-hubu	Ponechte výchozí hodnotu Nevybrané.
   Povolte "vnet-spoke", aby používal vzdálenou bránu vnet-hub nebo směrovací server.	Ponechte výchozí hodnotu Nevybrané.
   Souhrn místních virtuálních sítí
   Název odkazu peeringu	Zadejte vnet-hub-to-vnet-spoke.
   Nastavení partnerského vztahu místních virtuálních sítí
   Povolit vnet-hubu přístup k virtuální síti -spoke	Ponechte výchozí hodnotu Selected (Vybraná).
   Povolit službě vnet-hub přijímat přesměrovaný provoz z paprsku virtuální sítě	Zaškrtněte políčko.
   Povolit bráně nebo směrovacímu serveru ve vnet-hubu přesměrovat provoz do vnet-spoke	Ponechte výchozí hodnotu Nevybrané.
   Povolte vnet-hub, aby používal vzdálenou bránu nebo směrovací server vnet-spoke.	Ponechte výchozí hodnotu Nevybrané.

6. Vyberte Přidat.

7. Vyberte Aktualizovat a ověřte, že stav partnerského vztahu je Připojeno.

PowerShell

Pomocí rutiny Add-AzVirtualNetworkPeering vytvořte partnerský vztah z uzlu do výběžku.

# Create peering from hub to spoke
$peeringParams = @{
    Name = 'vnet-hub-to-vnet-spoke'
    VirtualNetwork = $hubVnet
    RemoteVirtualNetworkId = $spokeVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Pomocí rutiny Add-AzVirtualNetworkPeering vytvořte propojení z vedlejší sítě do centrální sítě.

# Create peering from spoke to hub
$peeringParams = @{
    Name = 'vnet-spoke-to-vnet-hub'
    VirtualNetwork = $spokeVnet
    RemoteVirtualNetworkId = $hubVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Vytvoření směrovací tabulky paprskové sítě

Směrovací tabulka vynutí veškerý provoz, který opustí paprskovou virtuální síť, do virtuální sítě centra. Směrovací tabulka je nakonfigurovaná s privátní IP adresou brány Azure Firewall jako virtuálního zařízení.

Získání privátní IP adresy brány firewall

Privátní IP adresa brány firewall je potřebná pro směrovací tabulku vytvořenou dále v tomto článku. Pomocí následujícího příkladu získejte privátní IP adresu brány firewall.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte bránu firewall. Ve výsledcích hledání vyberte brány firewall .

2. Vyberte bránu firewall.

3. V přehledubrány firewall si poznamenejte IP adresu v poli Privátní IP adresa brány firewall. IP adresa v tomto příkladu je 10.0.1.68.

PowerShell

Pomocí Get-AzFirewall získejte privátní IP adresu brány firewall.

# Get the private IP address of the firewall
$firewallParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'firewall'
}
$firewall = Get-AzFirewall @firewallParams
$firewall.IpConfigurations[0].PrivateIpAddress

Vytvoření směrovací tabulky

Vytvořte směrovací tabulku, která vynutí veškerý příchozí provoz mezi paprsky a internetovým výstupem přes bránu firewall ve virtuální síti centra.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte směrovací tabulku. Ve výsledcích hledání vyberte Směrovací tabulky .

2. Vyberte + Vytvořit.

3. Do pole Vytvořit směrovací tabulku zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg.
   Podrobnosti o instanci
   Oblast	Vyberte Západ USA.
   Název	Zadejte směrovací paprsky.
   Šíření tras brány	Vyberte možnost Ne.

4. Vyberte Zkontrolovat a vytvořit.

5. Vyberte Vytvořit.

6. Do vyhledávacího pole v horní části portálu zadejte směrovací tabulku. Ve výsledcích hledání vyberte Směrovací tabulky .

7. Vyberte paprsky směrovací tabulky.

8. V nastavení vyberte Trasy.

9. Vyberte + Přidat v trasách.

10. Do příkazu Přidat trasu zadejte nebo vyberte následující informace:

    Nastavení	Hodnota
    Název trasy	Zadejte route-to-hub.
    Typ cíle	Vyberte IP adresy.
    Cílové IP adresy nebo rozsahy CIDR	Zadejte 0.0.0.0/0.
    Typ dalšího směrování	Vyberte Virtuální zařízení.
    Adresa dalšího segmentu	Zadejte 10.0.1.68.

11. Vyberte Přidat.

12. V nastavení vyberte podsítě.

13. Vyberte + Přidružit.

14. Zadejte nebo vyberte následující informace v podsíti Přidružit:

    Nastavení	Hodnota
    Virtuální síť	Vyberte vnet-spoke (test-rg).</a0>
    Podsíť	Vyberte privátní podsíť.

15. Vyberte OK.

PowerShell

K vytvoření směrovací tabulky použijte New-AzRouteTable.

# Create route table
$routeTableParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'route-table-spoke'
}
$routeTable = New-AzRouteTable @routeTableParams

Pomocí rutiny Add-AzRouteConfig vytvořte trasu v směrovací tabulce.

# Create route
$routeConfigParams = @{
    Name = 'route-to-hub'
    AddressPrefix = '0.0.0.0/0'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = $firewall.IpConfigurations[0].PrivateIpAddress
    RouteTable = $routeTable
}
Add-AzRouteConfig @routeConfigParams

K aktualizaci směrovací tabulky použijte Set-AzRouteTable .

# Update the route table
$routeTable | Set-AzRouteTable

K přidružení směrovací tabulky k vedlejší podsíti použijte Set-AzVirtualNetworkSubnetConfig.

# Associate route table with subnet
$subnetConfigParams = @{
    VirtualNetwork = $spokeVnet
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    RouteTable = $routeTable
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

Pomocí Set-AzVirtualNetwork aktualizujte virtuální síť typu "spoke".

# Update the virtual network
$spokeVnet | Set-AzVirtualNetwork

Konfigurace brány firewall

Provoz z paprsku přes centrum musí být povolený prostřednictvím zásad brány firewall a pravidla sítě. Pomocí následujícího příkladu vytvořte zásady brány firewall a pravidlo sítě.

Konfigurace pravidla sítě

Portál

1. Do vyhledávacího pole v horní části portálu zadejte bránu firewall. Ve výsledcích hledání vyberte zásady brány firewall.

2. Vyberte zásady brány firewall.

3. Rozbalte Nastavení a pak vyberte Pravidla sítě.

4. Vyberte + Přidat kolekci pravidel.

5. V části Přidat kolekci pravidel zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Název	Zadejte paprsky na internet.
   Typ kolekce pravidel	Vyberte Síť.
   Priorita	Zadejte 100.
   Akce kolekce pravidel	Vyberte Povolit.
   Skupina kolekcí pravidel	Vyberte DefaultNetworkRuleCollectionGroup.
   Pravidla
   Název	Zadejte allow-web.
   Typ zdroje	IP adresa.
   Zdroj	Zadejte 10.1.0.0/24.
   Protokol	Vyberte TCP.
   Cílové porty	Zadejte 80 443.
   Typ cíle	Vyberte IP adresu.
   Cíl	Vstoupit*

6. Vyberte Přidat.

PowerShell

Pomocí příkazu Get-AzFirewallPolicy získáte existující zásady brány firewall.

# Get the existing firewall policy
$firewallPolicyParams = @{
    Name = 'firewall-policy'
    ResourceGroupName = 'test-rg'
}
$firewallPolicy = Get-AzFirewallPolicy @firewallPolicyParams

K vytvoření pravidla sítě použijte New-AzFirewallPolicyNetworkRule.

# Create a network rule for web traffic
$networkRuleParams = @{
    Name = 'allow-internet'
    SourceAddress = '10.1.0.0/24'
    Protocol = 'TCP'
    DestinationAddress = '*'
    DestinationPort = '*'
}
$networkRule = New-AzFirewallPolicyNetworkRule @networkRuleParams

K vytvoření kolekce pravidel pro síťové pravidlo použijte New-AzFirewallPolicyFilterRuleCollection .

# Create a rule collection for the network rule
$ruleCollectionParams = @{
    Name = 'spoke-to-internet'
    Priority = 100
    Rule = $networkRule
    ActionType = 'Allow'
}
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection @ruleCollectionParams

K vytvoření skupiny kolekcí pravidel použijte New-AzFirewallPolicyRuleCollectionGroup .

$newRuleCollectionGroupParams = @{
        Name = 'DefaultNetworkRuleCollectionGroup'
        Priority = 200
        FirewallPolicyObject = $firewallPolicy
        RuleCollection = $ruleCollection
    }
New-AzFirewallPolicyRuleCollectionGroup @newRuleCollectionGroupParams

Vytvoření testovacího virtuálního počítače

Virtuální počítač s Ubuntu se používá k otestování odchozího internetového provozu přes bránu NAT Gateway. Pomocí následujícího příkladu vytvořte virtuální počítač s Ubuntu.

Portál

1. Na portálu vyhledejte a vyberte Virtuální počítače.

2. Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.

3. Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg.
   Podrobnosti o instanci
   Název virtuálního počítače	Zadejte paprskový virtuální počítač.
   Oblast	Vyberte Západ USA.
   Možnosti dostupnosti	Vyberte Možnost Bez redundance infrastruktury.
   Typ zabezpečení	Ponechte výchozí hodnotu Standard.
   Obrázek	Vyberte Ubuntu Server 24.04 LTS - x64 Gen2.
   Architektura virtuálního počítače	Ponechte výchozí hodnotu x64.
   Velikost	Vyberte velikost.
   Účet správce
   Typ autentizace	Vyberte veřejný klíč SSH.
   Uživatelské jméno	Zadejte azureuser.
   Zdroj veřejného klíče SSH	Vyberte Vygenerovat nový pár klíčů.
   Název páru klíčů	Zadejte vm-spoke-key.
   Pravidla portů pro příchozí spojení
   Veřejné příchozí porty	Vyberte Žádná.

4. Vyberte kartu Sítě v horní části stránky nebo vyberte Další:Disky a pak Další:Sítě.

5. Na kartě Sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Síťové rozhraní
   Virtuální síť	Vyberte vnet-spoke.
   Podsíť	Vyberte privátní podsíť (10.1.0.0/24).
   Veřejná IP adresa	Vyberte Žádná.
   Skupina zabezpečení sítě síťových adaptérů	Vyberte Upřesnit.
   Konfigurace skupiny zabezpečení sítě	Vyberte, že chcete vytvořit novou IP adresu. Jako název zadejte nsg-1 . Ponechte zbytek ve výchozím nastavení a vyberte OK.

6. Zbývající nastavení ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

7. Zkontrolujte nastavení a vyberte Vytvořit.

8. Zobrazí se dialogové okno Vygenerovat novou dvojici klíčů . Vyberte Stáhnout soukromý klíč a vytvořit prostředek.

Privátní klíč se stáhne do místního počítače. Privátní klíč je potřeba v dalších krocích pro připojení k virtuálnímu počítači pomocí služby Azure Bastion. Název souboru privátního klíče je název, který jste zadali v poli Název páru klíčů . V tomto příkladu má soubor privátního klíče název ssh-key.

Než budete pokračovat k dalším krokům, počkejte na dokončení nasazení virtuálního počítače.

Poznámka:

Virtuální počítače ve virtuální síti s hostitelem bastionu nepotřebují veřejné IP adresy. Bastion poskytuje veřejnou IP adresu a virtuální počítače používají privátní IP adresy ke komunikaci v síti. Veřejné IP adresy můžete odebrat z libovolného virtuálního počítače v hostovaných virtuálních sítích bastionu. Další informace najdete v tématu Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

PowerShell

Pomocí rutiny New-AzNetworkSecurityGroup vytvořte skupinu zabezpečení sítě.

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Name = "nsg-1"
    Location = "westus"
}
New-AzNetworkSecurityGroup @nsgParams

K vytvoření síťového rozhraní použijte New-AzNetworkInterface .

$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    SubnetId = (Get-AzVirtualNetwork -ResourceGroupName "test-rg" -Name "vnet-spoke").Subnets[0].Id
    NetworkSecurityGroupId = (Get-AzNetworkSecurityGroup -ResourceGroupName "test-rg" -Name "nsg-1").Id
    Location = "westus"
}
New-AzNetworkInterface @nicParams

Pomocí příkazu Get-Credential nastavte uživatelské jméno a heslo pro virtuální počítač a uložte je do $cred proměnné.

$cred = Get-Credential

Poznámka:

Pro virtuální počítač se vyžaduje uživatelské jméno. Heslo je volitelné a nebude se používat, pokud je nastavené. Pro virtuální počítače s Linuxem se doporučuje konfigurace klíče SSH.

K definování virtuálního počítače použijte New-AzVMConfig .

$vmConfigParams = @{
    VMName = "vm-spoke"
    VMSize = "Standard_DS4_v2"
    }
$vmConfig = New-AzVMConfig @vmConfigParams

Pomocí set-AzVMOperatingSystem a Set-AzVMSourceImage vytvořte zbytek konfigurace virtuálního počítače. Následující příklad vytvoří virtuální počítač s Ubuntu Serverem:

$osParams = @{
    VM = $vmConfig
    ComputerName = "vm-spoke"
    Credential = $cred
    }
$vmConfig = Set-AzVMOperatingSystem @osParams -Linux -DisablePasswordAuthentication

$imageParams = @{
    VM = $vmConfig
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
    }
$vmConfig = Set-AzVMSourceImage @imageParams

Pomocí rutiny Add-AzVMNetworkInterface připojte k virtuálnímu počítači síťovou kartu, kterou jste vytvořili dříve.

# Get the network interface object
$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    }
$nic = Get-AzNetworkInterface @nicParams

$vmConfigParams = @{
    VM = $vmConfig
    Id = $nic.Id
    }
$vmConfig = Add-AzVMNetworkInterface @vmConfigParams

K vytvoření virtuálního počítače použijte New-AzVM . Příkaz vygeneruje klíče SSH pro virtuální počítač pro přihlášení. Poznamenejte si umístění privátního klíče. Privátní klíč je potřeba v dalších krocích pro připojení k virtuálnímu počítači pomocí služby Azure Bastion.

$vmParams = @{
    VM = $vmConfig
    ResourceGroupName = "test-rg"
    Location = "westus"
    SshKeyName = "vm-spoke-key"
    }
New-AzVM @vmParams -GenerateSshKey

Testování služby NAT Gateway

Připojíte se k virtuálním počítačům s Ubuntu, které jste vytvořili v předchozích krocích, abyste ověřili, že odchozí internetový provoz opouští bránu NAT Gateway.

Získání veřejné IP adresy služby NAT Gateway

Získejte veřejnou IP adresu služby NAT Gateway pro ověření kroků dále v článku.

Portál

1. Do vyhledávacího pole v horní části portálu zadejte veřejnou IP adresu. Ve výsledcích hledání vyberte veřejné IP adresy .

2. Vyberte public-ip-nat.

3. Poznamenejte si hodnotu v IP adrese. Příklad použitý v tomto článku je 203.0.113.0.25.

PowerShell

Pomocí rutiny Get-AzPublicIpAddress získejte veřejnou IP adresu brány NAT.

# Get the public IP address of the NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'public-ip-nat'
}
$publicIpNat = Get-AzPublicIpAddress @publicIpNatParams
$publicIpNat.IpAddress

Testování služby NAT Gateway z paprsku

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Vyberte paprskový virtuální počítač.

3. V přehledu vyberte Připojit a pak připojit přes Bastion.

4. Jako typ připojení vyberte SSH . Nahrajte soubor privátního klíče SSH. Vyberte Připojit.

5. Do příkazového řádku Bash zadejte následující příkaz:

   curl ifconfig.me
   

6. Ověřte, že IP adresa vrácená příkazem odpovídá veřejné IP adrese služby NAT Gateway.

   azureuser@vm-1:~$ curl ifconfig.me
   203.0.113.0.25
   

7. Zavřete připojení Bastionu k paprsku virtuálního počítače.

Portál

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

PowerShell

K odebrání skupiny prostředků použijte Remove-AzResourceGroup .

# Remove resource group
$rgParams = @{
    Name = 'test-rg'
}
Remove-AzResourceGroup @rgParams

Další kroky

V dalším článku se dozvíte, jak integrovat službu NAT Gateway se službou Azure Load Balancer:

Integrace služby NAT Gateway s interním nástrojem pro vyrovnávání zatížení