Tutorial: Integrieren eines NAT-Gateways in einen öffentlichen Lastenausgleich über das Azure-Portal

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie ein NAT-Gateway in einen öffentlichen Lastenausgleich integrieren.

Azure Load Balancer Standard ist standardmäßig sicher. Ausgehende Konnektivität wird explizit durch Aktivieren der Übersetzung der Quellnetzwerkadresse (Source Network Address Translation, SNAT) für ausgehenden Datenverkehr definiert. Die SNAT wird in einer Lastenausgleichsregel oder in Ausgangsregeln aktiviert.

Durch die NAT-Gatewayintegration werden keine Ausgangsregeln für ausgehende SNAT des Back-End-Pools mehr benötigt.

Diagram of Azure resources created in tutorial.

In diesem Tutorial lernen Sie, wie die folgenden Aufgaben ausgeführt werden:

  • Erstellen eines NAT-Gateways
  • Erstellen einer Azure Load Balancer-Instanz
  • Erstellen von zwei virtuellen Computern für den Back-End-Pool von Azure Load Balancer
  • Überprüfen der ausgehenden Konnektivität der virtuellen Computer im Back-End-Pool des Lastenausgleichs

Voraussetzungen

Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

Anmelden bei Azure

Melden Sie sich mit Ihrem Azure-Konto beim Azure-Portal an.

Erstellen eines NAT-Gateways

Wenn Sie die NAT-Gatewayressource und die anderen Ressourcen bereitstellen möchten, ist eine Ressourcengruppe erforderlich, die die bereitgestellten Ressourcen enthält. In den folgenden Schritten erstellen Sie eine Ressourcengruppe, eine NAT-Gatewayressource und eine öffentliche IP-Adresse. Sie können mehrere öffentliche IP-Adressressourcen und/oder Präfixes für öffentliche IP-Adressen verwenden.

Informationen zu öffentlichen IP-Präfixen und einem NAT-Gateway finden Sie unter Verwalten des NAT-Gateways.

  1. Geben Sie am oberen Rand des Portals den Suchbegriff NAT-Gateway in das Suchfeld ein. Wählen Sie in den Suchergebnissen NAT-Gateways aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen unter Gateway für die Netzwerkadressübersetzung (NAT) erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Neu erstellen.
    Geben Sie test-rg ein.
    Wählen Sie OK aus.
    Instanzendetails
    Name des NAT-Gateways Geben Sie nat-gateway ein.
    Region Wählen Sie USA, Osten 2 aus.
    Verfügbarkeitszone Wählen Sie Keine Zone aus.
    TCP-Leerlauftimeout (Minuten) Übernehmen Sie den Standardwert 4.

    Weitere Informationen zu Verfügbarkeitszonen und NAT-Gateways finden Sie unter NAT-Gateway und Verfügbarkeitszonen.

  4. Wählen Sie die Registerkarte Ausgehende IP-Adresse oder unten auf der Seite die Schaltfläche Weiter: Ausgehende IP-Adresse aus.

  5. Geben Sie auf der Registerkarte Ausgehende IP-Adresse die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Öffentliche IP-Adressen Wählen Sie Neue öffentliche IP-Adresse erstellen aus.
    Geben Sie für Namepublic-ip-nat ein.
    Wählen Sie OK aus.

  6. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  7. Klicken Sie auf Erstellen.

Erstellen eines virtuellen Netzwerks und eines Bastion-Hosts

Mit der folgenden Prozedur wird ein virtuelles Netzwerk mit einem Ressourcensubnetz, einem Azure Bastion-Subnetz und einem Azure Bastionhost erstellt.

  1. Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.

  2. Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

  3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie vnet-1 ein.
    Region Wählen Sie USA, Osten 2 aus.

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.

  5. Wählen Sie auf der Registerkarte Sicherheit im Abschnitt Azure Bastion die Option Bastion aktivieren aus.

    Azure Bastion verwendet Ihren Browser, um mithilfe ihrer privaten IP-Adressen eine Verbindung mit VMs in Ihrem virtuellen Netzwerk über Secure Shell (SSH) oder das Remotedesktopprotokoll (RDP) herzustellen. Die VMs benötigen keine öffentlichen IP-Adressen, keine Clientsoftware und keine spezielle Konfiguration. Weitere Informationen zu Azure Bastion finden Sie unter Azure Bastion.

    Hinweis

    Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion als Teil eines Tutorials oder Tests bereitstellen, empfehlen wir Ihnen, diese Ressource zu löschen, nachdem Sie diese verwendet haben.

  6. Geben Sie in Azure Bastion die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Azure Bastion-Hostname Geben Sie bastion ein.
    Öffentliche Azure Bastion-IP-Adresse Wählen Sie Öffentliche IP-Adresse erstellen aus.
    Geben Sie public-ip für Name ein.
    Wählen Sie OK aus.

    Screenshot of enable bastion host in Create virtual network in the Azure portal.

  7. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.

  8. Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.

  9. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Subnetzdetails
    Subnetzvorlage Übernehmen Sie den Standardwert Default.
    Name Geben Sie subnet-1 ein.
    Startadresse Übernehmen Sie den Standardwert 10.0.0.0.
    Subnetzgröße Übernehmen Sie den Standardwert /24 (256 Adressen).
    Security
    NAT Gateway Wählen Sie nat-gateway aus.

    Screenshot of default subnet rename and configuration.

  10. Wählen Sie Speichern aus.

  11. Wählen Sie am unteren Bildschirmrand Überprüfen + erstellen aus, und wenn die Validierung erfolgreich ist, wählen Sie Erstellen aus.

Erstellen eines Load Balancers

In diesem Abschnitt erstellen Sie einen zonenredundanten Lastenausgleich für virtuelle Computer. Bei Zonenredundanz können eine oder mehrere Verfügbarkeitszonen ausfallen, aber der Datenpfad bleibt dennoch so lange verfügbar, wie eine Zone in der Region fehlerfrei bleibt.

Während der Erstellung des Lastenausgleichs konfigurieren Sie Folgendes:

  • Front-End-IP-Adresse
  • Back-End-Pool
  • Lastenausgleichsregeln für eingehenden Datenverkehr

  1. Geben Sie am oberen Rand des Portals den Suchbegriff Lastenausgleich in das Suchfeld ein. Wählen Sie in den Suchergebnissen Lastenausgleichsmodule aus.

  2. Wählen Sie auf der Seite Load Balancer die Option Erstellen aus.

  3. Geben Sie auf der Seite Lastenausgleich erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie Lastenausgleich ein.
    Region Wählen Sie (USA) USA, Osten 2 aus.
    SKU Übernehmen Sie den Standardwert Standard.
    type Wählen Sie Öffentlich aus.
    Tarif Übernehmen Sie den Standardwert für Region.

  4. Wählen Sie unten auf der Seite Weiter: Front-End-IP-Konfiguration aus.

  5. Wählen Sie unter Front-End-IP-Konfiguration die Option + Front-End-IP-Konfiguration hinzufügen aus.

  6. Geben Sie frontend in das Feld Name ein.

  7. Wählen Sie als IP-Version die Option IPv4 oder IPv6 aus.

    Hinweis

    IPv6 wird derzeit nicht mit Routingpräferenz oder regionsübergreifendem Lastenausgleich (globale Ebene) unterstützt.

  8. Wählen Sie für den IP-Typ die Option IP-Adresse aus.

    Hinweis

    Weitere Informationen zu IP-Präfixen finden Sie unter Präfix für öffentliche IP-Adressen.

  9. Wählen Sie unter Öffentliche IP-Adresse die Option Neu erstellen aus.

  10. Geben Sie unter Öffentliche IP-Adresse hinzufügen in das Feld Name den Namen public-ip-load-balancer ein.

  11. Wählen Sie unter Verfügbarkeitszone die Option Zonenredundant aus.

    Hinweis

    In Regionen mit Verfügbarkeitszonen haben Sie die Möglichkeit, „Keine Zone“ (Standardoption), eine bestimmte Zone oder die Option „Zonenredundant“ auszuwählen. Die Auswahl hängt von Ihren spezifischen Domänenfehleranforderungen ab. In Regionen ohne Verfügbarkeitszonen wird dieses Feld nicht angezeigt.
    Weitere Informationen zu Verfügbarkeitszonen finden Sie in der Übersicht der Verfügbarkeitszonen.

  12. Übernehmen Sie unter Routingpräferenz die Standardeinstellung Microsoft-Netzwerk.

  13. Klicken Sie auf OK.

  14. Wählen Sie Hinzufügen.

  15. Wählen Sie unten auf der Seite Weiter: Back-End-Pools aus.

  16. Wählen Sie auf der Registerkarte Back-End-Pools die Option + Back-End-Pool hinzufügen aus.

  17. Geben Sie unter Back-End-Pool hinzufügen in das Feld Name den Namen backend-pool ein.

  18. Wählen Sie unter Virtuelles Netzwerk die Option vnet-1 (test-rg) aus.

  19. Wählen Sie unter Backend Pool Configuration (Konfiguration des Back-End-Pools) die Option NIC oder IP-Adresse aus.

  20. Wählen Sie Speichern aus.

  21. Wählen Sie unten auf der Seite die Schaltfläche Weiter: Regeln für eingehenden Datenverkehr aus.

  22. Wählen Sie unter Lastenausgleichsregel auf der Registerkarte Regeln für eingehenden Datenverkehr die Option + Lastenausgleichsregel hinzufügen aus.

  23. Geben Sie unter Lastenausgleichsregel hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Name Geben Sie http-rule ein.
    IP-Version Wählen Sie abhängig von Ihren Anforderungen IPv4 oder IPv6 aus.
    Front-End-IP-Adresse Wählen Sie front-end aus.
    Back-End-Pool Wählen Sie Back-End-Pool aus.
    Protocol Wählen Sie TCP aus.
    Port Geben Sie 80 ein.
    Back-End-Port Geben Sie 80 ein.
    Integritätstest Wählen Sie Neu erstellen.
    Geben Sie unter Name den Text Integritätstest ein.
    Wählen Sie TCP für Protokoll aus.
    Übernehmen Sie die übrigen Standardeinstellungen, und klicken Sie auf OK.
    Sitzungspersistenz Wählen Sie Keine.
    Leerlaufzeitüberschreitung (Minuten) Geben Sie 15 ein, oder wählen Sie diesen Wert aus.
    TCP-Zurücksetzung Wählen Sie Aktiviert.
    Unverankerte IP Wählen Sie Deaktiviert aus.
    Übersetzung der Quellnetzwerkadresse (SNAT) für ausgehenden Datenverkehr Übernehmen Sie die Standardeinstellung (Empfohlen) Verwenden Sie Ausgangsregeln, um Back-End-Poolmitgliedern Zugriff auf das Internet zu gewähren.

  24. Wählen Sie Speichern aus.

  25. Klicken Sie unten auf der Seite auf die blaue Schaltfläche Überprüfen + erstellen.

  26. Klicken Sie auf Erstellen.

Erstellen von virtuellen Computern

In diesem Abschnitt erstellen Sie zwei virtuelle Computer (vm-1 und vm-2) in zwei verschiedenen Zonen (Zone 1 und Zone 2).

Diese virtuellen Computer werden dem Back-End-Pool des zuvor erstellten Lastenausgleichs hinzugefügt.

  1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  2. Wählen Sie + Erstellen und dann Virtueller Azure-Computer aus.

  3. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Werte ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name des virtuellen Computers Geben Sie vm-1 ein.
    Region Wählen Sie USA, Osten 2 aus.
    Verfügbarkeitsoptionen Wählen Sie Zone 1 aus.
    Sicherheitstyp Wählen Sie Standard aus.
    Image Wählen Sie Ubuntu Server 22.04 LTS – x64 Gen2 aus.
    VM-Architektur Übernehmen Sie den Standardwert x64.
    Size Wählen Sie eine Größe aus.
    Administratorkonto
    Authentifizierungsart Wählen Sie Kennwort aus.
    Username Geben Sie azureuser ein.
    Kennwort Geben Sie ein Kennwort ein.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.
    Regeln für eingehende Ports
    Öffentliche Eingangsports Wählen Sie Keine.

  4. Wählen Sie die Registerkarte Netzwerk aus, oder wählen Sie Weiter: Datenträger und anschließend Weiter: Netzwerk aus.

  5. Geben Sie auf der Registerkarte „Netzwerk“ die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Netzwerkschnittstelle
    Virtuelles Netzwerk Wählen Sie vnet-1 aus.
    Subnet Wählen Sie Subnetz-1 (10.0.0.0/24) aus
    Öffentliche IP-Adresse Wählen Sie Keine aus.
    NIC-Netzwerksicherheitsgruppe Wählen Sie Erweitert aus.
    Konfigurieren von Netzwerksicherheitsgruppen Wählen Sie Neu erstellen.
    Geben Sie unter Netzwerksicherheitsgruppe erstellen in das Feld Name den Namen nsg-1 ein.
    Klicken Sie unter Regeln für eingehenden Datenverkehr auf + Eingangsregel hinzufügen.
    Wählen Sie unter Dienst die Option HTTP aus.
    Wählen Sie Hinzufügen
    und anschließend OK aus.
    Lastenausgleich
    Diese VM hinter einer vorhandenen Lastenausgleichslösung platzieren? Aktivieren Sie das Kontrollkästchen.
    Lastenausgleichseinstellungen
    Optionen für den Lastenausgleich Wählen Sie Azure-Lastenausgleich aus.
    Wählen Sie einen Lastenausgleich aus. Wählen Sie load-balancer aus.
    Wählen Sie einen Back-End-Pool aus. Wählen Sie backend-pool aus.

  6. Klicken Sie auf Überprüfen + erstellen.

  7. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

  8. Führen Sie die vorherigen Schritte aus, um einen virtuellen Computer mit den unten angegebenen Werten zu erstellen. Verwenden Sie für alle übrigen Einstellungen die Werte von vm-1:

    Einstellung VM 2
    Name vm-2
    Verfügbarkeitszone 2
    Netzwerksicherheitsgruppe Wählen Sie die vorhandene nsg-1 aus.
    Optionen für den Lastenausgleich Wählen Sie Azure-Lastenausgleich aus.
    Wählen Sie einen Lastenausgleich aus. Wählen Sie load-balancer aus.
    Wählen Sie einen Back-End-Pool aus. Wählen Sie backend-pool aus.

Testen des NAT-Gateways

In diesem Abschnitt testen Sie das NAT-Gateway. Sie ermitteln zunächst die öffentliche IP-Adresse des NAT-Gateways. Anschließend stellen Sie eine Verbindung mit dem virtuellen Testcomputer her und überprüfen die ausgehende Verbindung über das NAT-Gateway.

  1. Geben Sie am oberen Rand des Portals den Suchbegriff Öffentliche IP-Adresse in das Suchfeld ein. Wählen Sie in den Suchergebnissen Öffentliche IP-Adressen aus.

  2. Wählen Sie public-ip-nat aus.

  3. Notieren Sie sich die öffentliche IP-Adresse:

    Screenshot of public IP address of NAT gateway.

  4. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  5. Wählen Sie vm-1 aus.

  6. Wählen Sie auf der Seite Übersicht die Option Verbinden und dann die Registerkarte Bastion aus.

  7. Klicken Sie auf Bastion verwenden.

  8. Geben Sie den Benutzernamen und das Kennwort ein, die Sie bei der VM-Erstellung verwendet haben. Wählen Sie Verbinden.

  9. Geben Sie an der Bash-Eingabeaufforderung den folgenden Befehl ein:

    curl ifconfig.me

  10. Überprüfen Sie, ob die vom Befehl zurückgegebene IP-Adresse mit der öffentlichen IP-Adresse des NAT-Gateways übereinstimmt.

    azureuser@vm-1:~$ curl ifconfig.me
20.7.200.36

  11. Schließen Sie die Bastion-Verbindung mit vm-1.

Bereinigen von Ressourcen

Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen:

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.

  2. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.

  3. Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.

  4. Geben Sie unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen den Wert test-rg ein, und wählen Sie dann Löschen aus.

Nächste Schritte

Weitere Informationen zum Azure NAT Gateway finden Sie hier:

Azure NAT Gateway – Übersicht