Didacticiel : créer une règle NAT de trafic entrant sur plusieurs machines virtuelles à l’aide du Portail Azure

  • Article

Les règles NAT de trafic entrant vous permettent de vous connecter à des machines virtuelles dans un réseau virtuel Azure à l’aide de l’adresse IP publique et du numéro de port d’un Azure Load Balancer.

Pour plus d’informations sur les règles Azure Load Balancer, consultez Gérer les règles de gestion Azure Load Balancer à l’aide du portail Azure.

Dans ce tutoriel, vous apprenez à effectuer les opérations suivantes :

  • Créer un réseau virtuel et des machines virtuelles
  • Créer un équilibreur de charge public de référence SKU standard avec une adresse IP de front-end, une sonde d’intégrité, une configuration de back-end et une règle d’équilibrage de charge
  • Créer une règle NAT entrante de plusieurs machines virtuelles
  • Créer une passerelle NAT pour l’accès Internet sortant pour le pool de back-ends
  • Installer et configurer un serveur web sur les machines virtuelles afin d’illustrer les règles de réacheminement de port et d’équilibrage de charge

Prérequis

Créer un réseau virtuel et des machines virtuelles

Un réseau virtuel et un sous-réseau sont nécessaires pour les ressources du tutoriel. Dans cette section, vous créez un réseau virtuel et des machines virtuelles pour les étapes ultérieures.

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  3. Dans Machines virtuelles, sélectionnez + Créer>+ Machine virtuelle.

  4. Dans Créer une machine virtuelle, entrez ou sélectionnez les valeurs suivantes sous l’onglet Fonctions base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez Créer nouveau.
    Entrez TutorialLBPF-rg.
    Sélectionnez OK.
    Détails de l’instance
    Nom de la machine virtuelle Entrez myVM1.
    Région Entrez (États-Unis) USA Ouest 2.
    Options de disponibilité Sélectionnez Zone de disponibilité.
    Zone de disponibilité tapez 1.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez Ubuntu Server 20.04 LTS - Gen2.
    Instance Azure Spot Conservez la valeur par défaut (case non cochée).
    Taille Sélectionnez une taille de machine virtuelle.
    Compte administrateur
    Type d'authentification sélectionnez Clé publique SSH.
    Nom d’utilisateur entrez azureuser.
    Source de la clé publique SSH Sélectionnez Générer une nouvelle paire de clés.
    Nom de la paire de clés Entrez myKey.
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun.

  5. Sélectionnez l'onglet Mise en réseau ou choisissez Suivant : Disques, puis Suivant : Mise en réseau.

  6. Sous l’onglet Mise en réseau, entrez ou sélectionnez les informations suivantes.

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez Créer nouveau.
    Entrez myVNet dans Nom.
    Dans Espace d’adressage, sous Plage d’adresses, entrez 10.1.0.0/16.
    Dans Sous-réseaux, sous Nom de sous-réseau, entrez myBackendSubnet.
    Dans plage d’adresses, entrez 10.1.0.0/24.
    Sélectionnez OK.
    Subnet Sélectionnez myBackendSubnet.
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé.
    Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
    Entrez myNSG dans Nom.
    Sélectionnez + Ajouter une règle de trafic entrant sous Règles de trafic entrant.
    Dans Service, sélectionnez HTTP.
    Entrez 100 dans Priorité.
    Entrez myNSGRule pour Nom.
    Sélectionnez Ajouter.
    Sélectionnez OK.

  7. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton Vérifier + créer situé au bas de la page.

  8. Sélectionnez Create (Créer).

  9. À l’invite Générer une nouvelle paire de clés, sélectionnez Télécharger la clé privée et créer une ressource. Votre fichier de clé sera téléchargé sous myKey.pem. Vérifiez que vous savez où le fichier .pem a été téléchargé ; vous avez besoin du chemin du fichier de clé dans les étapes ultérieures.

  10. Effectuez les étapes 1 à 8 pour créer une autre machine virtuelle avec les valeurs suivantes et tous les autres paramètres identiques à ceux de myVM1 :

    Paramètre Machine virtuelle 2
    Concepts de base
    Détails de l’instance
    Nom de la machine virtuelle myVM2
    Zone de disponibilité 2
    Compte administrateur
    Type d'authentification Clé publique SSH
    Source de la clé publique SSH Sélectionnez Utiliser une clé existante stockée dans Azure.
    Clés stockées Sélectionnez myKey.
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun.
    Mise en réseau
    Interface réseau
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé.
    Configurer un groupe de sécurité réseau Sélectionnez le groupe myNSG existant

Créer un équilibrage de charge

Vous créez un équilibreur de charge dans cette section. L’adresse IP du front-end, le pool de back-ends, l’équilibrage de charge et les règles NAT de trafic entrant sont configurés dans le cadre de la création.

  1. Dans la zone de recherche située en haut du portail, entrez Équilibreur de charge. Sélectionnez Équilibreurs de charge dans les résultats de la recherche.

  2. Dans la page Équilibreur de charge, sélectionnez Créer.

  3. Dans l’onglet Fonctions de base de la page Créer un équilibreur de charge, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez TutorialLBPF-rg.
    Détails de l’instance
    Nom Entrez myLoadBalancer
    Région Sélectionnez USA Ouest 2.
    SKU Conservez la valeur par défaut Standard.
    Type Sélectionnez Public.
    Niveau Conservez la valeur par défaut Régional.

  4. Sélectionnez Suivant : configuration de l’adresse IP front-end au bas de la page.

  5. Dans Configuration de l’adresse IP front-end, sélectionnez + Ajouter une adresse IP front-end.

  6. Entrez myFrontend dans Nom.

  7. Sélectionnez IPv4 ou IPv6 pour la Version IP.

    Notes

    IPv6 n’est actuellement pas pris en charge avec la Préférence de routage ou l’équilibrage de charge Inter-régions (niveau Global).

  8. Sélectionnez Adresse IP pour Type IP.

    Notes

    Pour plus d’informations sur les préfixes IP, consultez Préfixe d’adresse IP publique Azure.

  9. Sélectionnez Créer nouvelle dans Adresse IP publique.

  10. Dans Ajouter une adresse IP publique, entrez myPublicIP pour Nom.

  11. Sélectionnez Zone-redondante dans la Zone de disponibilité.

    Notes

    Dans les régions avec des zones de disponibilité, vous avez la possibilité de sélectionner aucune zone (option par défaut), une zone spécifique ou redondant dans une zone. Le choix dépendra de vos exigences spécifiques en matière de défaillance de domaine. Dans les régions sans Zones de disponibilité, ce champ n’apparaît pas.
    Pour plus d’informations sur les zones de disponibilité, consultez Vue d’ensemble des zones de disponibilité.

  12. Laissez la valeur par défaut Réseau Microsoft pour Préférence de routage.

  13. Sélectionnez OK.

  14. Sélectionnez Ajouter.

  15. Sélectionnez Suivant : Pools de back-end au bas de la page.

  16. Sous l’onglet Pools de back-ends, sélectionnez + Ajouter un pool de back-end.

  17. Entrez ou sélectionnez les informations suivantes dans Ajouter un pool de back-ends.

    Paramètre Valeur
    Nom Entrez myBackendPool.
    Réseau virtuel Sélectionnez myVNet (TutorialLBPF-rg) .
    Configuration d’un pool de back-ends Sélectionner Carte réseau.
    Version de l’adresse IP Sélectionnez IPv4.

  18. Sélectionnez + Ajouter dans Machines virtuelles.

  19. Cochez les cases en regard de myVM1 et myVM2 dans Ajouter des machines virtuelles au pool de back-ends.

  20. Sélectionnez Ajouter.

  21. Sélectionnez Ajouter.

  22. Sélectionnez le bouton Suivant : Règles entrantes au bas de la page.

  23. Dans Règle d’équilibrage de la charge sous l’onglet Règles de trafic entrant, sélectionnez + Ajouter une règle d’équilibrage de charge.

  24. Dans Ajouter une règle d’équilibrage de charge, entrez ou sélectionnez les informations suivantes.

    Paramètre Valeur
    Nom Entrez MyHTTPRule
    Version de l’adresse IP Sélectionnez IPv4 ou IPv6 en fonction de vos besoins.
    Adresse IP du serveur frontal Sélectionnez myFrontend.
    Pool principal Sélectionnez MyBackendPool.
    Protocol Sélectionnez TCP.
    Port Entrez 80.
    Port principal Entrez 80.
    Sonde d’intégrité Sélectionnez Créer nouveau.
    Dans Nom, entrez myHealthProbe.
    Sélectionnez TCP dans Protocole.
    Laissez les autres valeurs par défaut et sélectionnez OK.
    Persistance de session Sélectionnez Aucun.
    Délai d’inactivité (minutes) Entrez ou sélectionnez 15.
    Réinitialisation du protocole TCP Sélectionnez Enabled.
    IP flottante Sélectionnez Désactivé.
    Traduction d’adresses réseau (SNAT) sources sortante Conservez la valeur par défaut (Recommandé) Utiliser des règles de trafic sortant pour fournir aux membres du pool de back-ends l’accès à Internet.

    Pour plus d’informations sur les règles d’équilibrage de charge, voir Règles d’équilibrage de charge.

  25. Sélectionnez Ajouter.

  26. Sélectionnez le bouton bleu Vérifier + créer au bas de la page.

  27. Sélectionnez Create (Créer).

Créer une règle NAT entrante de plusieurs machines virtuelles

Dans cette section, vous allez créer une règle NAT de trafic entrant à instances multiples vers le pool back-end de l’équilibreur de charge.

  1. Dans la zone de recherche située en haut du portail, entrez Équilibreur de charge. Sélectionnez Équilibreurs de charge dans les résultats de la recherche.

  2. Sélectionnez myLoadBalancer.

  3. Dans myLoadBalancer, sélectionnez Règles NAT de trafic entrant dans les paramètres.

  4. Sélectionnez + Ajouterdans Règles NAT de trafic entrant.

  5. Dans Ajouter une règle NAT de trafic entrant, entrez ou sélectionnez les informations suivantes.

    Paramètre Valeur
    Nom Entrez myNATRule-SSH.
    Type Sélectionnez Pool principal.
    Pool back-end cible Sélectionnez MyBackendPool.
    Adresse IP du serveur frontal Sélectionnez myFrontend.
    Début de la plage de ports frontend Entrez 221.
    Nombre maximal d’ordinateurs dans le pool back-end Entrez 500.
    Port principal Entrez 22.
    Protocol Sélectionnez TCP.

  6. Laissez les autres valeurs par défaut et sélectionnez Ajouter.

Notes

Pour afficher les mappages de ports aux machines virtuelles du pool back-end, consultez Afficher les mappages de ports.

Créer une passerelle NAT

Dans cette section, vous créez une passerelle NAT pour l’accès Internet sortant des ressources dans le réseau virtuel.

Pour plus d’informations sur les connexions sortantes et la NAT de réseau virtuel Azure, consultez SNAT (Source Network Address Translation) pour les connexions sortantes et Qu’est-ce que la NAT de réseau virtuel ?.

  1. Dans la zone de recherche située en haut du portail, entrez Passerelle NAT. Sélectionnez Passerelle NAT dans les résultats de la recherche.

  2. Dans Passerelles NAT, sélectionnez + Créer.

  3. Dans Créer une passerelle NAT (traduction d’adresses réseau) , entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez TutorialLBPF-rg.
    Détails de l’instance
    Nom de la passerelle NAT Entrez myNATgateway.
    Région Sélectionnez USA Ouest 2.
    Zone de disponibilité Sélectionnez Aucun.
    Délai d’inactivité (minutes) Entrez 15.

  4. Sélectionnez l’onglet IP sortante ou le bouton Suivant : IP sortante situé en bas de la page.

  5. Dans IP sortante, sélectionnez Créer une adresse IP publique à côté d’Adresses IP publiques.

  6. Entrez myNATGatewayIP pour le Nom dans Ajouter une adresse IP publique.

  7. Sélectionnez OK.

  8. Sélectionnez l’onglet Sous-réseau ou le bouton Suivant : Sous-réseau situé en bas de la page.

  9. Dans Réseau virtuel, dans l’onglet Sous-réseau, sélectionnez myVNet.

  10. Sélectionnez myBackendSubnet sous Nom du sous-réseau.

  11. Sélectionnez le bouton bleu Vérifier + créer en bas de la page, ou l’onglet Vérifier + créer.

  12. Sélectionnez Create (Créer).

Installer le serveur web

Dans cette section, vous allez vous connecter en mode SSH aux machines virtuelles via les règles NAT de trafic entrant et installer un serveur web.

  1. Dans la zone de recherche située en haut du portail, entrez Équilibreur de charge. Sélectionnez Équilibreurs de charge dans les résultats de la recherche.

  2. Sélectionnez myLoadBalancer.

  3. Sélectionnez Configuration de l’adresse IP du front-end dans Paramètres.

  4. Dans Configuration de l’adresse IP du front-end, prenez note de l’adresse IP de myFrontend. C’est-à-dire 20.99.165.176 dans cet exemple.

    Screenshot of public IP in Azure portal.

  5. Si vous utilisez un ordinateur Mac ou Linux, ouvrez une invite Bash. Si vous utilisez un ordinateur Windows, ouvrez une invite de commandes PowerShell.

  6. À l’invite, ouvrez une connexion SSH à myVM1. Remplacez l’adresse IP par l’adresse que vous avez récupérée à l’étape précédente et le port 221 que vous avez utilisé pour la règle NAT de trafic entrant myVM1. Remplacez le chemin du fichier .pem par l’emplacement où le fichier de clé a été téléchargé.

    ssh -i .\Downloads\myKey.pem azureuser@20.99.165.176 -p 221

    Conseil

    Vous pourrez utiliser la clé SSH que vous avez créée la prochaine fois que vous créerez une machine virtuelle dans Azure. Il vous suffira de sélectionner Utiliser une clé stockée dans Azure pour Source de la clé publique SSH la prochaine fois que vous créerez une machine virtuelle. Vous disposerez déjà de la clé privée sur votre ordinateur, et n’aurez donc pas besoin de télécharger quoi que ce soit.

  7. Dans votre session SSH, mettez à jour vos sources de package, puis installez le dernier package NGINX.

    sudo apt-get -y update
sudo apt-get -y install nginx

  8. Entrez Exit pour quitter la session SSH.

  9. À l’invite, ouvrez une connexion SSH à myVM2. Remplacez l’adresse IP par l’adresse que vous avez récupérée à l’étape précédente et le port 222 que vous avez utilisé pour la règle NAT de trafic entrant myVM2. Remplacez le chemin du fichier .pem par l’emplacement où le fichier de clé a été téléchargé.

    ssh -i .\Downloads\myKey.pem azureuser@20.99.165.176 -p 222

  10. Dans votre session SSH, mettez à jour vos sources de package, puis installez le dernier package NGINX.

    sudo apt-get -y update
sudo apt-get -y install nginx

  11. Entrez Exit pour quitter la session SSH.

Tester le serveur web

Dans cette section, vous allez ouvrir votre navigateur web et entrer l’adresse IP de l’équilibreur de charge que vous avez récupérée à l’étape précédente.

  1. Ouvrez votre navigateur web.

  2. Dans la barre d’adresses, entrez l’adresse IP de l’équilibreur de charge. C’est-à-dire 20.99.165.176 dans cet exemple.

  3. Le site web NGINX par défaut s’affiche.

    Screenshot of testing the NGINX web server.

Nettoyer les ressources

Si vous ne comptez pas continuer à utiliser cette application, supprimez les machines virtuelles et l’équilibreur de charge en effectuant les étapes suivantes :

  1. Dans la zone de recherche située en haut du portail, entrez Groupe de ressources. Sélectionnez Groupes de ressources dans les résultats de la recherche.

  2. Sélectionnez TutorialLBPF-rg dans Groupes de ressources.

  3. Sélectionnez Supprimer le groupe de ressources.

  4. Entrez TutorialLBPF-rg dans TAPEZ LE NOM DU GROUPE DE RESSOURCES : . Sélectionnez Supprimer.

Étapes suivantes

Passez à l’article suivant pour découvrir comment créer un équilibreur de charge interrégional :

Créer un équilibreur de charge entre les régions à l’aide du portail Azure