Tutorial: Integración de NAT Gateway con Azure Firewall en una red en estrella tipo hub-and-spoke para la conectividad saliente
En este tutorial, aprenderá a integrar una instancia de NAT Gateway con Azure Firewall en una red en estrella tipo hub-and-spoke
Azure Firewall proporciona 2496 puertos SNAT por IP pública configurada por instancia de conjunto de escalado de máquinas virtuales de back-end (mínimo dos instancias). Puede asociar hasta 250 IP públicas con Azure Firewall. En función de sus requisitos de arquitectura y los patrones de tráfico, es posible que necesite más puertos SNAT de los que Azure Firewall puede proporcionar. También puede requerir el uso de menos direcciones IP públicas, pero más puertos SNAT. El mejor método para la conectividad saliente es usar NAT Gateway. NAT Gateway proporciona 64 512 puertos SNAT por IP pública y se puede usar con hasta 16 IP públicas.
NAT Gateway se puede integrar con Azure Firewall configurando NAT Gateway directamente en la subred de Azure Firewall para proporcionar un método más escalable para la conectividad de salida. Para las implementaciones de producción, se recomienda una red en estrella tipo hub-and-spoke, en la que el firewall está en su propia red virtual. Los servidores de cargas de trabajo son redes virtuales emparejadas en la misma región que la red virtual de centro donde reside el firewall. En esta configuración de la arquitectura, NAT Gateway puede proporcionar conectividad saliente desde la red virtual de centro para todas las redes virtuales de radio emparejadas.
Nota:
Azure NAT Gateway no se admite actualmente en arquitecturas de red de centro virtual protegido (vWAN). Debe realizar la implementación mediante una arquitectura de red virtual de centro de conectividad, tal como se describe en este tutorial. Para más información sobre las opciones de la arquitectura de Azure Firewall, consulte Opciones de arquitectura de Azure Firewall Manager.
En este tutorial, aprenderá a:
- Crear una red virtual de centro e implementar una instancia de Azure Firewall y Azure Bastion durante la implementación
- Crear una instancia de NAT Gateway y asociarla con la subred de firewall en la red virtual de centro
- Crear una red virtual de radio
- Creación de un emparejamiento de redes virtuales
- Crear una tabla de rutas para la red virtual de radio
- Crear una directiva de firewall para la red virtual de centro
- Crear una máquina virtual para probar la conectividad saliente mediante NAT Gateway
Requisitos previos
- Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Creación de una red virtual de centro
La red virtual de centro contiene la subred de firewall que está asociada con Azure Firewall y NAT Gateway. Use el ejemplo siguiente para crear la red virtual de centro.
Inicie sesión en Azure Portal.
En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione + Create (+ Crear).
En la pestaña Conceptos básicos de Crear red virtual, escriba o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione Crear nuevo.
Introducir test-rg.
Seleccione
.Detalles de instancia Nombre Escriba vnet-hub. Region Seleccione Centro-sur de EE. UU. (EE. UU.) . Seleccione Siguiente para ir a la pestaña Seguridad.
Seleccione Habilitar Azure Bastion en la sección Azure Bastion de la pestaña Seguridad.
Azure Bastion usa el explorador para conectarse a las máquinas virtuales de la red virtual a través del shell seguro (SSH) o el protocolo de escritorio remoto (RDP) mediante sus direcciones IP privadas. Las máquinas virtuales no necesitan direcciones IP públicas, software cliente ni configuración especial. Para más información sobre Azure Bastion, consulte Azure Bastion
Nota:
Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.
Escriba o seleccione la información siguiente en Azure Bastion:
Configuración Valor Nombre de host de Azure Bastion Escriba bastión. Dirección IP pública de Azure Bastion Seleccione Crear una dirección IP pública.
Escriba public-ip-bastion en Nombre.
Seleccione Aceptar.Seleccione Habilitar Azure Firewall en la sección Azure Firewall de la pestaña Seguridad.
Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Para más información acerca de Azure Firewall, consulte Azure Firewall.
Escriba o seleccione la información siguiente en Azure Firewall:
Configuración Valor Nombre de Azure Firewall Escriba firewall. Nivel Seleccione Estándar. Directiva Seleccione Crear nuevo.
Escriba firewall-policy en Nombre.
Seleccione Aceptar.IP pública de Azure Firewall Seleccione Crear una dirección IP pública.
Escriba public-ip-firewall en Nombre.
Seleccione Aceptar.Seleccione Siguiente para continuar a la pestaña Direcciones IP.
Seleccione Revisar + crear.
Seleccione Crear.
El host bastión y el firewall tarda unos minutos en implementarse. Cuando se cree la red virtual como parte de la implementación, puede continuar con los pasos siguientes.
Creación de la puerta de enlace de NAT
Todo el tráfico saliente de Internet atravesa la puerta de enlace a Internet de la instancia de NAT Gateway. Use el ejemplo siguiente para crear una puerta de enlace de NAT Gateway para la red en estrella tipo hub-and-spoke y para asociarla a AzureFirewallSubnet.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Puerta de enlace NAT. Seleccione Puertas de enlace NAT en los resultados de búsqueda.
Seleccione + Create (+ Crear).
En la pestaña Datos básicos de Crear puerta de enlace de traducción de direcciones de red (NAT), escriba o seleccione la información siguiente:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre de NAT Gateway Escriba nat-gateway. Region Seleccione Centro-sur de EE. UU. . Zona de disponibilidad Seleccione una zona o Ninguna zona. Tiempo de espera de inactividad de TCP (minutos) Deje el valor predeterminado 4. Para más información sobre las zonas de disponibilidad, consulte NAT Gateway y zonas de disponibilidad.
Seleccione Next: Outbound IP (Siguiente: Dirección IP de salida).
En Dirección IP de salida, en Direcciones IP públicas, seleccione Crear una dirección IP pública.
Escriba public-ip-nat en Nombre.
Seleccione Aceptar.
Seleccione Next: Subnet (Siguiente: Subred).
En Virtual Network, seleccione vnet-hub.
Seleccione AzureFirewallSubnet en Nombre de subred.
Seleccione Revisar + crear.
Seleccione Crear.
Creación de una red virtual de radio
La red virtual de radio contiene la máquina virtual de prueba que se usa para probar el enrutamiento del tráfico de Internet a la puerta de enlace de NAT Gateway. Use el ejemplo siguiente para crear la red de radio.
En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione + Create (+ Crear).
En la pestaña Conceptos básicos de Crear red virtual, escriba o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre Escriba vnet-spoke. Region Seleccione Centro-sur de EE. UU. . Seleccione Siguiente para ir a la pestaña Seguridad.
Seleccione Siguiente para continuar a la pestaña Direcciones IP.
En la pestaña Direcciones IP de Espacio de direcciones IPv4, seleccione Eliminar espacio de direcciones para eliminar el espacio de direcciones que se rellena automáticamente.
Seleccione + Agregar espacio de direcciones IPv4.
En Espacio de direcciones IPv4, escriba 10.1.0.0. Deje el valor predeterminado de /16 (65 536 direcciones) en la selección de máscara.
Seleccione + Agregar una subred.
En Agregar subred, escriba o seleccione la información siguiente:
Configuración Valor Propósito de subred Deje el valor predeterminado. Nombre Escriba subnet-private. IPv4 Intervalo de direcciones IPv4 Deje el valor predeterminado de 10.1.0.0/16. Dirección inicial Deje el valor predeterminado de 10.1.0.0. Size Deje el valor predeterminado de /24(256 direcciones). Seleccione Agregar.
Seleccione Revisar + crear.
Seleccione Crear.
Emparejamiento entre la red virtual de centro y la de radio
Se usa un emparejamiento de red virtual para conectar la red virtual de centro a la red virtual de radio y la red virtual de radio a la red virtual de centro. Use el ejemplo siguiente para crear un emparejamiento de red bidireccional entre la red virtual de centro y la red virtual de radio.
En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione vnet-hub.
En Configuración, seleccione Emparejamientos.
Seleccione +Agregar.
En Agregar emparejamiento, escriba o seleccione la información siguiente:
Configuración Valor Resumen de red virtual remota Nombre del vínculo de emparejamiento Escriba vnet-spoke-to-vnet-hub. Modelo de implementación de red virtual Deje el valor predeterminado, Administrador de recursos. Suscripción Seleccione su suscripción. Red virtual Seleccione vnet-spoke (test-rg). Configuración de emparejamiento de red virtual remota Permitir que "vnet-spoke" acceda a "vnet-hub" Deje el valor predeterminado de Seleccionado. Permitir que "vnet-spoke" reciba el tráfico reenviado desde "vnet-hub" Seleccionar la casilla. Permitir que la puerta de enlace o el servidor de rutas en 'vnet-spoke' reenvíen el tráfico a 'vnet-hub' Deje esta casilla desactivada, tal y como está de forma predeterminada. Habilitar 'vnet-spoke' para usar la puerta de enlace remota o el servidor de rutas de 'vnet-hub' Deje esta casilla desactivada, tal y como está de forma predeterminada. Resumen de red virtual local Nombre del vínculo de emparejamiento Escriba vnet-hub-to-vnet-spoke. Configuración de emparejamiento de red virtual local Permitir que "vnet-hub" acceda a "vnet-spoke-2" Deje el valor predeterminado de Seleccionado. Permitir que "vnet-hub" reciba el tráfico reenviado desde "vnet-spoke" Seleccionar la casilla. Permitir que la puerta de enlace o el servidor de rutas en 'vnet-hub' reenvíen el tráfico a 'vnet-spoke' Deje esta casilla desactivada, tal y como está de forma predeterminada. Habilitar 'vnet-hub' para usar la puerta de enlace remota de 'vnet-spoke' o el servidor de rutas Deje esta casilla desactivada, tal y como está de forma predeterminada. Seleccione Agregar.
Seleccione Actualizar y compruebe que el Estado del emparejamiento es Conectado.
Creación de una tabla de rutas de la red de radio
Una tabla de rutas fuerza todo el tráfico saliente de la red virtual de radio a la red virtual de centro. La tabla de rutas se configura con la dirección IP privada de Azure Firewall como aplicación virtual.
Obtención de la dirección IP privada del firewall
Necesita la dirección IP privada del firewall para la tabla de rutas que creará más adelante en este artículo. Use el ejemplo siguiente para obtener la dirección IP privada del firewall.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Firewall. En los resultados de la búsqueda, seleccione Firewalls.
Seleccione firewall.
En la Información general de firewall, anote la dirección IP que aparece en el campo IP privada de firewall. En este ejemplo, la dirección IP es 10.0.1.68.
Creación de una tabla de rutas
Cree una tabla de rutas para forzar todo el tráfico de salida entre radios y de Internet a través del firewall de la red virtual de centro.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Tabla de rutas. Seleccione Tablas de rutas en los resultados de la búsqueda.
Seleccione + Create (+ Crear).
En Crear tabla de rutas, escriba o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Region Seleccione Centro-sur de EE. UU. . Nombre Escriba route-table-spoke. Propagar las rutas de la puerta de enlace así que seleccione No. Seleccione Revisar + crear.
Seleccione Crear.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Tabla de rutas. Seleccione Tablas de rutas en los resultados de la búsqueda.
Seleccione route-table-spoke.
En Configuración, seleccione Rutas.
Seleccione + Agregar en Rutas.
En Agregar ruta, escriba o seleccione la información siguiente:
Configuración Value Nombre de ruta Escriba route-to-hub. Tipo de destino Seleccione Direcciones IP. Intervalos de direcciones IP de destino y CIDR Escriba 0.0.0.0/0. Tipo de próximo salto Seleccione Aplicación virtual. Siguiente dirección de salto Escriba 10.0.1.68. Seleccione Agregar.
Seleccione Subredes en Configuración.
Seleccione + Asociar.
En Asociar subred, escriba o seleccione la información siguiente:
Configuración Value Virtual network Seleccione vnet-spoke (test-rg). Subnet Seleccione subnet-private. Seleccione Aceptar.
Configurar el firewall
El tráfico desde las redes virtuales de radio a través de la red virtual de centro debe permitirse por medio de un directiva de firewall y una regla de red. Use el ejemplo siguiente para crear la directiva de firewall y la regla de red.
Configuración de una regla de red
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Firewall. Seleccione Directivas de firewall en los resultados de la búsqueda.
Seleccione firewall-policy.
Expanda Configuración y, a continuación, seleccione Reglas de red.
Seleccione + Agregar una colección de reglas.
En Agregar una colección de reglas, escriba o seleccione la siguiente información:
Configuración Value Nombre Escriba spoke-to-internet. Tipo de colección de reglas Seleccione Network (Red). Priority Escriba 100. Acción de colección de reglas seleccione Permitir. Grupo de colección de reglas Seleccione DefaultNetworkRuleCollectionGroup. Reglas Nombre Escriba allow-web. Tipo de origen Dirección IP. Source Escriba 10.1.0.0/24. Protocolo seleccione TCP. Puertos de destino Escriba 80,443. Tipo de destino Seleccione Dirección IP. Destination Escriba *. Seleccione Agregar.
Creación de una máquina virtual de prueba
Una máquina virtual de Ubuntu se usa para probar el tráfico saliente de Internet a través de la instancia de NAT Gateway. Use el ejemplo siguiente para crear una máquina virtual de Ubuntu.
El procedimiento siguiente crea una máquina virtual (VM) de prueba denominada vm-spoke en la red virtual.
En el portal, busque y seleccione Máquinas virtuales.
En Máquinas virtuales, seleccione + Crear y, después, Máquina virtual de Azure.
En la pestaña Datos básicos de Crear una máquina virtual, escriba o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre de la máquina virtual Escriba vm-spoke. Region Seleccione Centro-sur de EE. UU. (EE. UU.) . Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura. Tipo de seguridad Deje el valor predeterminado Estándar. Imagen Seleccione Ubuntu Server 24.04 LTS: x64 Gen2. Arquitectura VM Deje el valor predeterminado, x64. Size Seleccione un tamaño. Cuenta de administrador Tipo de autenticación Seleccione Contraseña. Nombre de usuario escriba usuarioazure. Contraseña Escriba una contraseña. Confirmar contraseña Reescriba la contraseña. Reglas de puerto de entrada Puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Redes en la parte superior de la página o seleccione Siguiente: Discos, después Siguiente: Redes.
En la pestaña Redes, escriba o seleccione la siguiente información:
Parámetro Valor Interfaz de red Virtual network Seleccione vnet-spoke. Subnet Seleccione subnet-private (10.1.0.0/24). Dirección IP pública Seleccione Ninguno. Grupo de seguridad de red de NIC Seleccione Advanced (Avanzadas). Configuración del grupo de seguridad de red Seleccione Crear nuevo.
Escriba nsg-1 como nombre.
Deje el resto de los valores predeterminados y seleccione Aceptar.Deje el resto de las opciones en sus valores predeterminados y luego seleccione Revisar + crear.
Revise la configuración y seleccione Crear.
Espere a que la máquina virtual finalice la implementación antes de continuar con los pasos siguientes.
Nota:
Las máquinas virtuales de una red virtual con un host bastión no necesitarán direcciones IP públicas. Bastion proporcionará la dirección IP pública y las máquinas virtuales usarán direcciones IP privadas para comunicarse dentro de la red. Es posible quitar las direcciones IP públicas de cualquier máquina virtual en redes virtuales hospedadas por Bastion. Para obtener más información, consulte Desasociación de una dirección IP pública de una máquina virtual de Azure.
Prueba de la puerta de enlace NAT
Conéctese a las máquinas virtuales de Ubuntu que ha creado en los pasos anteriores para comprobar que el tráfico saliente de Internet sale de la instancia de NAT Gateway.
Obtención de la IP pública de NAT Gateway
Obtenga la dirección IP pública de NAT Gateway para comprobar los pasos que se indican más adelante en el artículo.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba IP pública. Seleccione Direcciones IP públicas en los resultados de la búsqueda.
Seleccionar public-ip-nat.
Anote el valor de la Dirección IP. El ejemplo usado en este artículo es 203.0.113.0.25.
Prueba de la instancia de NAT Gateway desde la red de radio
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. En los resultados de la búsqueda, seleccione Máquinas virtuales.
Seleccione vm-spoke.
En la página Información general, seleccione Conectar y, después, Conectar a través de Bastion.
Escriba el nombre de usuario y la contraseña especificados durante la creación de la máquina virtual. Seleccione Conectar.
En el indicador de bash, introduce el siguiente comando:
curl ifconfig.me
Comprueba que la dirección IP que devolvió el comando coincida con la dirección IP pública de la puerta de enlace NAT.
azureuser@vm-1:~$ curl ifconfig.me 203.0.113.0.25
Cierre la conexión de Bastion a vm-spoke.
Cuando termine de usar los recursos que creó, puede eliminar el grupo de recursos y todos sus recursos.
En Azure Portal, busque y seleccione Grupos de recursos.
En la página Grupos de recursos, seleccione el grupo de recursos test-rg.
En la página test-rg, elija Eliminar grupo de recursos.
Escriba test-rg en Introducir nombre del grupo de recursos para confirmar la eliminación y, luego, seleccione Eliminar.
Pasos siguientes
Avance al siguiente artículo para obtener información sobre cómo integrar una puerta de enlace NAT con una instancia de Azure Load Balancer: