Tutoriel : Intégrer une passerelle NAT au Pare-feu Azure dans un réseau hub-and-spoke à des fins de connectivité sortante
Dans ce didacticiel, vous apprenez à intégrer une passerelle NAT à un pare-feu Azure dans un réseau hub and spoke
Le Pare-feu Azure fournit 2 496 ports SNAT par adresse IP publique configurée par instance de groupe de machines virtuelles identiques back-end (au moins deux instances). Vous pouvez associer jusqu’à 250 adresses IP publiques au Pare-feu Azure. En fonction de vos besoins d’architecture et modèles de trafic, vous pouvez nécessiter de plus de ports SNAT que ce que le Pare-feu Azure peut fournir. Vous pouvez également avoir besoin d’utiliser moins d’adresses IP publiques tout en nécessitant plus de ports SNAT. Une meilleure méthode pour la connectivité sortante consiste à utiliser une passerelle NAT. Une passerelle NAT fournit 64 512 ports SNAT par adresse IP publique et peut être utilisée avec un maximum de 16 adresses IP publiques.
Une passerelle NAT peut être intégrée au Pare-feu Azure en étant directement configurée sur le sous-réseau du Pare-feu Azure afin de fournir une méthode plus évolutive de connectivité sortante. Pour les déploiements de production, un réseau hub-and-spoke, dans lequel le pare-feu est dans son propre réseau virtuel, est recommandé. Les serveurs de charge de travail sont des réseaux virtuels appairés dans la même région que le réseau virtuel hub où réside le pare-feu. Dans cette configuration architecturale, la passerelle NAT peut fournir une connectivité sortante à partir du réseau virtuel hub pour tous les réseaux virtuels spoke appairés.
Remarque
Azure NAT Gateway n’est actuellement pas prise en charge dans les architectures réseau d’un hub virtuel sécurisé (vWAN). Vous devez déployer à l’aide d’une architecture de réseau virtuel hub, comme décrit dans ce tutoriel. Pour plus d’informations sur les options d’architecture du Pare-feu Azure, consultez Quelles sont les options d’architecture d’Azure Firewall Manager ?
Dans ce tutoriel, vous allez apprendre à :
- Créer un réseau virtuel hub et déployer un Pare-feu Azure et Azure Bastion pendant le déploiement
- Créer une passerelle NAT et l’associer au sous-réseau du pare-feu dans le réseau virtuel hub
- Créer un réseau virtuel spoke
- Créer un peering de réseaux virtuels
- Créer une table de routage pour le réseau virtuel spoke
- Créer une stratégie de pare-feu pour le réseau virtuel hub
- Créer une machine virtuelle pour tester la connectivité sortante par le biais de la passerelle NAT
Prérequis
- Compte Azure avec un abonnement actif. Créez un compte gratuitement.
Créer le réseau virtuel hub
Le réseau virtuel hub contient le sous-réseau de pare-feu associé au Pare-feu Azure et à la passerelle NAT. Utilisez l’exemple suivant pour créer le réseau virtuel hub.
Connectez-vous au portail Azure.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez + Créer.
Sous l’onglet Informations de base de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez Créer nouveau.
Entrez test-rg.
Sélectionnez OK.Détails de l’instance Nom Entrez vnet-hub. Région Sélectionnez (États-Unis) USA Centre Sud. Sélectionnez Suivant pour passer à l’onglet Sécurité.
Sélectionnez Activer Azure Bastion dans la section Azure Bastion de l’onglet Sécurité.
Azure Bastion utilise votre navigateur web pour se connecter aux machines virtuelles de votre réseau virtuel au moyen de SSH (Secure Shell) ou RDP (Remote Desktop Protocol) à l’aide de leurs adresses IP privées. Les machines virtuelles ne requièrent pas d’adresse IP publique, de logiciel client ou de configuration spéciale. Pour obtenir plus d’informations sur Azure Bastion, voir Azure Bastion
Remarque
Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.
Saisissez ou sélectionnez les informations suivantes dans Azure Bastion :
Paramètre Valeur Nom d’hôte Azure Bastion Entrez bastion. Adresse IP publique Azure Bastion Sélectionnez Créer une adresse IP publique.
Saisissez public-ip-bastion dans le champ Nom.
Sélectionnez OK.Sélectionnez Activer Pare-feu Azure dans la section Pare-feu Azure de l’onglet Sécurité.
Pare-feu Azure est un service de sécurité réseau informatique géré qui protège vos ressources Réseau virtuel Azure. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud. Pour plus d’informations sur le Pare-feu Azure, consultez Pare-feu Azure.
Saisissez ou sélectionnez les informations suivantes dans Pare-feu Azure :
Paramètre Valeur Nom du Pare-feu Azure Entrez firewall. Niveau Sélectionnez Standard. Policy Sélectionnez Créer.
Sélectionnez firewall-policy dans Nom.
Sélectionnez OK.Adresse IP publique du Pare-feu Azure Sélectionnez Créer une adresse IP publique.
Entrez public-ip-firewall dans Nom.
Sélectionnez OK.Sélectionnez Suivant pour passer à l’onglet adresses IP.
Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Le déploiement de l’hôte bastion et du pare-feu prend quelques minutes. Lorsque le réseau virtuel est créé dans le cadre du déploiement, vous pouvez passer aux étapes suivantes.
Créer la passerelle NAT
Tout le trafic Internet sortant traverse la passerelle NAT vers Internet. Utilisez l’exemple suivant pour créer une passerelle NAT pour le réseau hub-and-spoke et l’associer à AzureFirewallSubnet.
Dans la zone de recherche située en haut du portail, entrez Passerelle NAT. Sélectionnez Passerelle NAT dans les résultats de la recherche.
Sélectionnez + Créer.
Sous l’onglet Informations de base de Créer une passerelle NAT (traduction d’adresses réseau), entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom de la passerelle NAT Entrez nat-gateway. Région Sélectionnez USA Centre Sud. Zone de disponibilité Sélectionnez Zone ou Aucune zone. Délai d’inactivité TCP (minutes) Conservez la valeur par défaut 4. Pour plus d’informations sur les zones de disponibilité, consultez Passerelle NAT et zones de disponibilité.
Sélectionnez Suivant : Adresse IP sortante.
Dans IP sortante, dans Adresses IP publiques, sélectionnez Créer une adresse IP publique.
Entrez public-ip-nat dans Nom.
Sélectionnez OK.
Sélectionnez Suivant : Sous-réseau.
Dans Réseau virtuel sélectionnez vnet-hub.
Sélectionnez AzureFirewallSubnet dans Nom du sous-réseau.
Sélectionnez Vérifier + créer.
Sélectionnez Create (Créer).
Créer un réseau virtuel spoke
Le réseau virtuel spoke contient la machine virtuelle de test utilisée pour tester le routage du trafic Internet vers la passerelle NAT. Utilisez l’exemple suivant pour créer le réseau spoke.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez + Créer.
Sous l’onglet Informations de base de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom Entrez vnet-spoke. Région Sélectionnez USA Centre Sud. Sélectionnez Suivant pour passer à l’onglet Sécurité.
Sélectionnez Suivant pour passer à l’onglet adresses IP.
Sous l’onglet Adresses IP dans Espace d’adressage IPv4, sélectionnez Supprimer l’espace d’adressage pour supprimer l’espace d’adressage rempli automatiquement.
Sélectionnez + Ajouter un espace d’adressage IPv4.
Dans Espace d’adressage IPv4, entrez 10.1.0.0. Laissez la valeur par défaut /16 (65 536 adresses) dans la sélection du masque.
Sélectionnez + Ajouter un sous-réseau.
Dans Ajouter un sous-réseau entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Objectif du sous-réseau Laissez la valeur par défaut sur Par défaut. Nom Entrez subnet-private. IPv4 Plage d'adresses IPv4 Conservez la valeur par défaut de 10.1.0.0/16. Adresse de début Laissez la valeur par défaut de 10.1.0.0. Taille Laissez la valeur par défaut sur /24(256 adresses). Sélectionnez Ajouter.
Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Créer un peering entre un hub et le spoke
Un peering de réseaux virtuels est utilisé pour connecter le hub au spoke et le spoke au hub. Utilisez l’exemple suivant pour créer un peering de réseaux bidirectionnels entre le hub et le spoke.
Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.
Sélectionnez vnet-hub.
Sous Peerings, sélectionnez Paramètres.
Sélectionnez Ajouter.
Dans Ajouter peering, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Résumé du réseau virtuel distant Nom du lien de peering Entrez vnet-spoke-to-vnet-hub. Modèle de déploiement de réseau virtuel Conservez la valeur par défaut Gestionnaire des ressources. Abonnement Sélectionnez votre abonnement. Réseau virtuel Sélectionnez vnet-spoke (test-rg). Paramètres d’appairage de réseaux virtuels distants Autoriser « vnet-spoke » à accéder à « vnet-hub » Conservez la case cochée, comme par défaut. Autoriser « vnet-spoke » à recevoir le trafic transféré de « vnet-hub » Cochez la case. Autoriser la passerelle ou le serveur de routes dans « vnet-spoke » à transférer le trafic vers « vnet-hub » Conservez la valeur par défaut ou la case non cochée. Activer « vnet-spoke » pour utiliser la passerelle distante ou le serveur de routes de « vnet-hub » Conservez la valeur par défaut ou la case non cochée. Résumé du réseau virtuel local Nom du lien de peering Entrez vnet-hub-to-vnet-spoke. Paramètres d’appairage de réseaux virtuels locaux Autoriser « vnet-hub » à accéder à « vnet-spoke-2 » Conservez la case cochée, comme par défaut. Autoriser « vnet-hub » à recevoir le trafic transféré de « vnet-spoke » Cochez la case. Autoriser la passerelle ou le serveur de routes dans « vnet-hub » à transférer le trafic vers « vnet-spoke » Conservez la valeur par défaut ou la case non cochée. Activer « vnet-hub » pour utiliser la passerelle distante ou le serveur de routes de « vnet-spoke » Conservez la valeur par défaut ou la case non cochée. Sélectionnez Ajouter.
Sélectionnez Actualiser et vérifiez que l’État du Peering indique Connecté.
Créer une table de routage de réseau spoke
Une table de routage force tout le trafic qui quitte le réseau virtuel spoke vers le réseau virtuel hub. La table de routage est configurée avec l’adresse IP privée du Pare-feu Azure en tant qu’appliance virtuelle.
Obtenir l’adresse IP privée du pare-feu
L’adresse IP privée du pare-feu est nécessaire pour la table de routage créée plus loin dans cet article. Utilisez l’exemple suivant pour obtenir l’adresse IP privée du pare-feu.
Dans la zone de recherche située en haut du portail, entrez Pare-feu. Dans les résultats de la recherche, sélectionnez Pare-feux.
Sélectionnez firewall.
Dans la Vue d’ensemble de firewall, notez l’adresse IP figurant dans le champ IP privée de pare-feu. L’adresse IP dans cet exemple est 10.0.1.68.
Créer une table de routage
Créez une table de routage pour forcer tout le trafic inter-spoke et Internet sortant à traverser le pare-feu dans le réseau virtuel hub.
Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.
Sélectionnez + Créer.
Dans Créer une table de routage, entrez ou sélectionnez ces informations :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Région Sélectionnez USA Centre Sud. Nom Entrez route-table-spoke. Propager des itinéraires de passerelle Sélectionnez Non. Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.
Sélectionnez route-table-spoke.
Dans Paramètres, sélectionnez Routages.
Sélectionnez + Ajouter dans Routes.
Dans Ajouter une route, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Nom de l’itinéraire Entrez route-to-hub. Type de destination Sélectionnez Adresses IP. Plages d’adresses IP/CIDR de destination Entrez 0.0.0.0/0. Type de tronçon suivant Sélectionnez Appliance virtuelle. adresse de tronçon suivant Entrez 10.0.1.68. Sélectionnez Ajouter.
Sélectionnez Sous-réseaux dans Paramètres.
Sélectionnez + Associer.
Dans Associer un sous-réseau, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Réseau virtuel Sélectionnez vnet-spoke (test-rg). Subnet Sélectionnez subnet-private. Sélectionnez OK.
Configurer le pare-feu
Le trafic en provenance du spoke par l’intermédiaire du hub doit être autorisé par la stratégie de pare-feu et une règle de réseau. Utilisez l’exemple suivant pour créer la stratégie de pare-feu et la règle de réseau.
Configurer une règle de réseau
Dans la zone de recherche située en haut du portail, entrez Pare-feu. Sélectionnez Stratégies de pare-feu dans les résultats de la recherche.
Sélectionnez firewall-policy.
Développez Paramètres, puis sélectionnez Règles de réseau.
Sélectionnez + Ajouter une collection de règles.
Dans Ajouter une collection de règles, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Nom Entrez spoke-to-internet. Type de regroupement de règles Sélectionnez Réseau. Priorité Entrez 100. Action de regroupement de règles Sélectionnez Autoriser. Groupe de regroupement de règles Sélectionnez DefaultNetworkRuleCollectionGroup. Règles Nom Entrez allow-web. Type de source Adresse IP. Source Entrez 10.1.0.0/24. Protocol Sélectionnez TCP. Ports de destination Entrez 80,443. Type de destination Sélectionnez Adresse IP. Destination Entrez *. Sélectionnez Ajouter.
Créer une machine virtuelle de test
Une machine virtuelle Ubuntu est utilisée pour tester le trafic Internet sortant par la passerelle NAT. Utilisez l’exemple suivant pour créer une machine virtuelle Ubuntu.
La procédure suivante crée une machine virtuelle de test (VM) nommée vm-spoke dans le réseau virtuel.
Dans le portail, recherchez et sélectionnez Machines virtuelles.
Dans Machines virtuelles, sélectionnez + Créer, puis Machine virtuelle Azure.
Sous l’onglet Général de la page Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-rg. Détails de l’instance Nom de la machine virtuelle Entrez vm-spoke. Région Sélectionnez (États-Unis) USA Centre Sud. Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise. Type de sécurité Conservez la valeur par défaut Standard. Image Sélectionnez Ubuntu Server 24.04 LTS – x64 Gen2. Architecture de machine virtuelle Laissez la valeur par défaut x64. Taille Sélectionnez une taille. Compte administrateur Type d'authentification Sélectionnez Mot de passe. Nom d’utilisateur entrez azureuser. Mot de passe Entrez un mot de passe. Confirmer le mot de passe Entrez de nouveau le mot de passe. Règles des ports d’entrée Aucun port d’entrée public Sélectionnez Aucun. Sélectionnez l’onglet Mise en réseau en haut de la page ou sélectionnez Suivant : Disques, puis Suivant : Mise en réseau.
Entrez ou sélectionnez les informations suivantes sous l’onglet Réseau :
Paramètre Valeur Interface réseau Réseau virtuel Sélectionnez vnet-spoke. Subnet Sélectionnez subnet-private (10.1.0.0/24). Adresse IP publique Sélectionnez Aucun. Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé. Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
Entrez nsg-1 pour le nom.
Pour le reste, laissez les valeurs par défaut et sélectionnez OK.Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier + créer.
Passez en revue les paramètres, puis sélectionnez Créer.
Attendez la fin du déploiement de la machine virtuelle avant de passer aux étapes suivantes.
Remarque
Les machines virtuelles d’un réseau virtuel avec un hôte bastion n’ont pas besoin d’adresses IP publiques. Bastion fournit l’adresse IP publique et les machines virtuelles utilisent des adresses IP privées pour communiquer au sein du réseau. Vous pouvez supprimer les adresses IP publiques des machines virtuelles des réseaux virtuels hébergés par bastion. Pour plus d’informations, consultez Dissocier une adresse IP publique d’une machine virtuelle Azure.
Tester la passerelle NAT
Vous vous connectez aux machines virtuelles Ubuntu que vous avez créées dans les étapes précédentes pour vérifier que le trafic Internet sortant quitte la passerelle NAT.
Obtenir une adresse IP publique de la passerelle NAT
Obtenez l’adresse IP publique de la passerelle NAT pour vérifier les étapes décrites plus loin dans l’article.
Dans la zone de recherche située en haut du portail, entrez IP publique. Sélectionnez Adresses IP publique dans les résultats de la recherche.
Sélectionnez public-ip-nat.
Notez la valeur de l’adresse IP. L’exemple utilisé dans cet article est 203.0.113.0.25.
Tester la passerelle NAT à partir du spoke
Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.
Sélectionnez vm-spoke.
Dans Vue d’ensemble, sélectionnez Connecter, puis Se connecter via Bastion.
Entrez le nom d’utilisateur et le mot de passe saisis pendant la création de la machine virtuelle. Sélectionnez Connecter.
À l’invite Bash, entrez la commande suivante :
curl ifconfig.me
Vérifiez que l’adresse IP retournée par la commande correspond à l’adresse IP publique de la passerelle NAT.
azureuser@vm-1:~$ curl ifconfig.me 203.0.113.0.25
Fermez la connexion Bastion à vm-spoke.
Lorsque vous avez terminé d’utiliser les ressources que vous avez créées, vous pouvez supprimer le groupe de ressources et toutes ses ressources.
Depuis le portail Azure, recherchez et sélectionnez Groupes de ressources.
Dans la page Groupes de ressources, sélectionnez le groupe de ressources test-rg.
Dans la page test-rg, sélectionnez Supprimer le groupe de ressources.
Entrez test-rg dans Entrez le nom du groupe de ressources pour confirmer la suppression, puis sélectionnez Supprimer.
Étapes suivantes
Passez à l’article suivant pour découvrir comment intégrer une passerelle NAT à un équilibreur de charge Azure :