Tutoriel : Intégrer une passerelle NAT à un équilibreur de charge interne à l’aide du portail Azure

  • Article

Dans ce tutoriel, vous apprenez à intégrer une passerelle NAT à un équilibreur de charge interne.

Par défaut, un Standard Load Balancer Azure est sécurisé. La connectivité sortante est définie explicitement par l’activation de la traduction d’adresses réseau (SNAT) sortante.

La traduction d’adresses réseau est activée pour un pool de back-ends interne via un autre équilibreur de charge public, un routage réseau ou une adresse IP publique définie sur une machine virtuelle.

L’intégration de la passerelle NAT remplace la nécessité de déployer un équilibreur de charge public, un routage réseau ou une adresse IP publique définie sur une machine virtuelle dans le pool de back-ends.

Diagram of Azure resources created in tutorial.

Dans ce tutoriel, vous allez apprendre à :

  • Créer un équilibreur de charge Azure
  • Créer deux machines virtuelles pour le pool de back-ends de l’équilibreur de charge Azure
  • Créer une passerelle NAT
  • Valider la connectivité sortante des machines virtuelles dans le pool de back-ends de l’équilibreur de charge

Prérequis

Compte Azure avec un abonnement actif. Créez un compte gratuitement.

Connectez-vous au portail Azure avec votre compte Azure.

Créer une passerelle NAT

Avant de déployer la ressource de passerelle NAT et les autres ressources, un groupe de ressources est requis pour contenir les ressources déployées. Dans les étapes suivantes, vous créez un groupe de ressources, une ressource de passerelle NAT et une adresse IP publique. Vous pouvez utiliser une ou plusieurs ressources d’adresse IP publique, des préfixes d’adresse IP publique, ou ces deux options à la fois.

Pour plus d’informations sur les préfixes d’adresses IP publiques et une passerelle NAT, consultez Gérer la passerelle NAT.

  1. Dans la zone de recherche située en haut du portail, entrez Passerelle NAT. Sélectionnez Passerelle NAT dans les résultats de la recherche.

  2. Sélectionnez + Créer.

  3. Dans Créer une passerelle NAT (traduction d’adresses réseau) , entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez Créer nouveau.
    Entrez test-rg.
    Sélectionnez OK.
    Détails de l’instance
    Nom de la passerelle NAT Entrer nat-gateway
    Région Sélectionnez USA Est 2
    Zone de disponibilité Sélectionnez Aucune zone.
    Délai d’inactivité TCP (minutes) Conservez la valeur par défaut 4.

    Pour plus d’informations sur les zones de disponibilité et la passerelle NAT, consultez Passerelle NAT et zones de disponibilité.

  4. Sélectionnez l’onglet IP sortante, ou sélectionnez le bouton Suivant : IP sortante situé au bas de la page.

  5. Sous l’onglet IP sortante, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Adresses IP publiques Sélectionnez Créer une adresse IP publique.
    Dans Nom, entrez public-ip-nat.
    Sélectionnez OK.

  6. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

  7. Sélectionnez Create (Créer).

Créer un réseau virtuel et un hôte bastion

La procédure suivante crée un réseau virtuel avec un sous-réseau de ressources, un sous-réseau Azure Bastion et un hôte Azure Bastion.

  1. Dans le portail, recherchez et sélectionnez Réseaux virtuels.

  2. Dans la page Réseaux virtuels, sélectionnez + Créer.

  3. Sous l’onglet Général de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-rg.
    Détails de l’instance
    Nom Entrez vnet-1.
    Région Sélectionnez USA Est.

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. Sélectionnez Suivant pour passer à l’onglet Sécurité.

  5. Sélectionnez Activer Bastion dans la section Azure Bastion de l’onglet Sécurité.

    Azure Bastion utilise votre navigateur web pour se connecter aux machines virtuelles de votre réseau virtuel au moyen de SSH (Secure Shell) ou RDP (Remote Desktop Protocol) à l’aide de leurs adresses IP privées. Les machines virtuelles ne requièrent pas d’adresse IP publique, de logiciel client ou de configuration spéciale. Pour obtenir plus d’informations sur Azure Bastion, voir Azure Bastion

    Remarque

    Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.

  6. Saisissez ou sélectionnez les informations suivantes dans Azure Bastion :

    Paramètre Valeur
    Nom d’hôte Azure Bastion Entrez bastion.
    Adresse IP publique Azure Bastion Sélectionnez Créer une adresse IP publique.
    Entrez public-ip dans Nom.
    Sélectionnez OK.

    Screenshot of enable bastion host in Create virtual network in the Azure portal.

  7. Sélectionnez Suivant pour passer à l’onglet Adresses IP.

  8. Dans la zone Espace d’adressage de Sous-réseaux, sélectionnez le sous-réseau par défaut.

  9. Dans Modifier le sous-réseau, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du sous-réseau
    Modèle de sous-réseau Laissez la valeur par défaut sur Par défaut.
    Nom Entrez subnet-1.
    Adresse de début Laissez la valeur par défaut sur 10.0.0.0.
    Taille du sous-réseau Laissez la valeur par défaut sur /24(256 adresses).
    Sécurité
    Passerelle NAT Sélectionnez nat-gateway.

    Screenshot of default subnet rename and configuration.

  10. Cliquez sur Enregistrer.

  11. Sélectionnez Vérifier + créer dans la partie inférieure de l’écran, puis une fois la validation réussie, sélectionnez Créer.

Créer un équilibreur de charge

Dans cette section, vous créez un équilibreur de charge interne qui équilibre la charge de machines virtuelles. Un équilibreur de charge interne est utilisé pour équilibrer la charge du trafic à l’intérieur d’un réseau virtuel avec une adresse IP privée.

Lors de la création de l’équilibreur de charge, vous allez configurer les éléments suivants :

  • Adresse IP du serveur frontal
  • Pool de back-ends
  • Règles d’équilibrage des charges entrantes

  1. Dans la zone de recherche située en haut du portail, entrez Équilibreur de charge. Sélectionnez Équilibreurs de charge dans les résultats de la recherche.

  2. Dans la page Équilibreur de charge, sélectionnez Créer.

  3. Dans l’onglet Fonctions de base de la page Créer un équilibreur de charge, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-rg.
    Détails de l’instance
    Nom Entrez load-balancer
    Région Sélectionnez (États-Unis) USA Est 2.
    SKU Conservez la valeur par défaut Standard.
    Type sélectionnez Interne.
    Niveau Conservez la valeur par défaut Régional.

  4. Sélectionnez Suivant : configuration de l’adresse IP front-end au bas de la page.

  5. Dans Configuration de l’adresse IP front-end, sélectionnez + Ajouter une configuration d’adresse IP front-end.

  6. Entrez frontend dans Nom.

  7. Sélectionnez sous-réseau 1 (10.0.0.0/24) dans Sous-réseau.

  8. Laissez le reste des options avec leurs valeurs par défaut.

  9. Sélectionnez Ajouter.

  10. Sélectionnez Suivant : Pools de back-end au bas de la page.

  11. Sous l’onglet Pools de back-end, sélectionnez + Ajouter un pool de back-end.

  12. Entrez backend-pool pour le Nom dans Ajouter un pool de back-end.

  13. Sélectionnez Carte d’interface réseau ou Adresse IP pour la Configuration du pool de back-end.

  14. Sélectionnez Enregistrer.

  15. Sélectionnez le bouton Suivant : Règles entrantes au bas de la page.

  16. Dans Règle d’équilibrage de la charge sous l’onglet Règles de trafic entrant, sélectionnez + Ajouter une règle d’équilibrage de charge.

  17. Dans Ajouter une règle d’équilibrage de charge, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Nom Entrez http-rule
    Version de l’adresse IP Sélectionnez IPv4.
    Adresse IP du serveur frontal Sélectionnez front-end.
    Pool de back-ends Sélectionnez backend-pool.
    Protocol Sélectionnez TCP.
    Port Entrez 80.
    Port principal Entrez 80.
    Sonde d’intégrité Sélectionnez Créer nouveau.
    Dans Nom, entrez health-probe.
    Sélectionnez TCP dans Protocole.
    Laissez les autres valeurs par défaut et sélectionnez OK.
    Persistance de session Sélectionnez Aucun.
    Délai d’inactivité (minutes) Entrez ou sélectionnez 15.
    Réinitialisation du protocole TCP Sélectionnez Enabled.
    IP flottante Sélectionnez Désactivé.

  18. Sélectionnez Enregistrer.

  19. Sélectionnez le bouton bleu Vérifier + créer au bas de la page.

  20. Sélectionnez Create (Créer).

Créer des machines virtuelles

Dans cette section, vous créez deux machines virtuelles (vm-1 et vm-2) dans deux zones différentes (Zone 1 et Zone 2).

Ces machines virtuelles sont ajoutées au pool de back-ends de l’équilibreur de charge créé auparavant.

  1. Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  2. Sélectionnez + Créer, puis Machine virtuelle Azure.

  3. Dans Créer une machine virtuelle, tapez ou sélectionnez les valeurs sous l’onglet De base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-rg.
    Détails de l’instance
    Nom de la machine virtuelle Entrez vm-1.
    Région Sélectionnez USA Est.
    Options de disponibilité Sélectionnez Zone 1.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez Ubuntu Server 22.04 LTS - x64 Gen2.
    Architecture de machine virtuelle Laissez la valeur par défaut x64.
    Taille Sélectionnez une taille.
    Compte administrateur
    Type d'authentification Sélectionnez Mot de passe.
    Nom d’utilisateur entrez azureuser.
    Mot de passe Entrez un mot de passe.
    Confirmer le mot de passe Entrez de nouveau le mot de passe.
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun.

  4. Sélectionnez l'onglet Mise en réseau ou choisissez Suivant : Disques, puis Suivant : Mise en réseau.

  5. Sous l’onglet Mise en réseau, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez vnet-1.
    Subnet Sélectionnez subnet-1 (10.0.0.0/24).
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé
    Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
    Dans Créer un groupe de sécurité réseau, entrez nsg-1 dans Nom.
    Sous
    , sélectionnez +Ajouter une règle de trafic entrant.
    Dans Service, sélectionnez HTTP.
    Sélectionner Ajouter
    Sélectionner OK
    Équilibrage de charge
    Placer cette machine virtuelle derrière une solution d’équilibrage de charge existante ? Activez la case à cocher.
    Paramètres d’équilibrage de charge
    Options d’équilibrage de charge Sélectionnez Équilibreur de charge Azure
    Sélectionnez un équilibreur de charge Sélectionner load-balancer
    Sélectionnez un pool principal Sélectionner backend-pool

  6. Sélectionnez Revoir + créer.

  7. Passez en revue les paramètres, puis sélectionnez Créer.

  8. Effectuez les étapes précédentes pour créer une machine virtuelle avec les valeurs suivantes, avec tous les autres paramètres identiques à ceux de vm-1 :

    Paramètre Machine virtuelle 2
    Nom vm-2
    Zone de disponibilité 2
    Groupe de sécurité réseau Sélectionner le groupe de sécurité réseau nsg-1 existant
    Options d’équilibrage de charge Sélectionnez Équilibreur de charge Azure
    Sélectionnez un équilibreur de charge Sélectionner load-balancer
    Sélectionnez un pool principal Sélectionner backend-pool

Tester la passerelle NAT

Dans cette section, nous testons la passerelle NAT. Nous découvrez d’abord l’IP publique de la passerelle NAT. Nous vous connectez ensuite à la machine virtuelle de test et vérifiez la connexion sortante via la passerelle NAT.

  1. Dans la zone de recherche située en haut du portail, entrez IP publique. Sélectionnez Adresses IP publique dans les résultats de la recherche.

  2. Sélectionnez public-ip-nat.

  3. Prenez note de l’adresse IP publique.

    Screenshot of public IP address of NAT gateway.

  4. Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  5. Sélectionnez vm-1.

  6. Dans la page Vue d’ensemble, sélectionnez Se connecter, puis l’onglet Bastion.

  7. Sélectionnez Utiliser Bastion.

  8. Entrez le nom d’utilisateur et le mot de passe utilisés lors de la création de la machine virtuelle. Sélectionnez Se connecter.

  9. À l’invite Bash, entrez la commande suivante.

    curl ifconfig.me

  10. Vérifiez que l’adresse IP retournée par la commande correspond à l’adresse IP publique de la passerelle NAT.

    azureuser@vm-1:~$ curl ifconfig.me
20.7.200.36

  11. Fermez la connexion Bastion à vm-1.

Nettoyer les ressources

Lorsque vous avez fini d’utiliser les ressources créées, vous pouvez supprimer le groupe de ressources et toutes ses ressources :

  1. Depuis le portail Azure, recherchez et sélectionnez Groupes de ressources.

  2. Dans la page Groupes de ressources, sélectionnez le groupe de ressources test-rg.

  3. Dans la page test-rg, sélectionnez Supprimer le groupe de ressources.

  4. Entrez test-rg dans Entrer le nom du groupe de ressources pour confirmer la suppression, puis sélectionnez Supprimer.

Étapes suivantes

Pour plus d’informations sur la Passerelle NAT Azure, consultez :

Vue d’ensemble de la Passerelle NAT Azure