Zelfstudie: NAT-gateway integreren met Azure Firewall in een hub en spoke-netwerk voor uitgaande connectiviteit

  • Artikel

In deze zelfstudie leert u hoe u een NAT-gateway integreert met een Azure Firewall in een hub- en spoke-netwerk

Azure Firewall biedt 2496 SNAT-poorten per openbaar IP-adres dat is geconfigureerd per instantie van de virtuele-machineschaalset van de back-end (minimaal twee exemplaren). U kunt maximaal 250 openbare IP-adressen koppelen aan Azure Firewall. Afhankelijk van uw architectuurvereisten en verkeerspatronen hebt u mogelijk meer SNAT-poorten nodig dan wat Azure Firewall kan bieden. Mogelijk hebt u ook minder openbare IP-adressen nodig, terwijl er ook meer SNAT-poorten nodig zijn. Een betere methode voor uitgaande connectiviteit is het gebruik van de NAT-gateway. NAT-gateway biedt 64.512 SNAT-poorten per openbaar IP-adres en kan worden gebruikt met maximaal 16 openbare IP-adressen.

NAT-gateway kan worden geïntegreerd met Azure Firewall door de NAT-gateway rechtstreeks naar het Azure Firewall-subnet te configureren om een meer schaalbare methode voor uitgaande connectiviteit te bieden. Voor productie-implementaties wordt een hub- en spoke-netwerk aanbevolen, waarbij de firewall zich in een eigen virtueel netwerk bevindt. De workloadservers zijn gekoppelde virtuele netwerken in dezelfde regio als het virtuele hubnetwerk waarin de firewall zich bevindt. In deze architectuur kan nat-gateway uitgaande connectiviteit bieden vanuit het virtuele hubnetwerk voor alle virtuele spoke-netwerken die zijn gekoppeld.

Diagram of Azure resources created in tutorial.

Notitie

Azure NAT Gateway wordt momenteel niet ondersteund in beveiligde vWAN-architecturen (Virtual Hub Network). U moet implementeren met behulp van een architectuur voor virtuele hubs, zoals beschreven in deze zelfstudie. Zie Wat zijn de architectuuropties voor Azure Firewall Manager voor meer informatie over opties voor Azure Firewall-architectuur.

In deze zelfstudie leert u het volgende:

  • Een virtueel hubnetwerk maken en een Azure Firewall en Azure Bastion implementeren tijdens de implementatie
  • Een NAT-gateway maken en koppelen aan het firewallsubnet in het virtuele hubnetwerk
  • Een virtueel spoke-netwerk maken
  • Een peering voor een virtueel netwerk maken
  • Een routetabel maken voor het virtuele spoke-netwerk
  • Een firewallbeleid maken voor het virtuele hubnetwerk
  • Een virtuele machine maken om de uitgaande connectiviteit via de NAT-gateway te testen

Vereisten

Het virtuele hubnetwerk maken

Het virtuele hubnetwerk bevat het firewallsubnet dat is gekoppeld aan de Azure Firewall en NAT-gateway. Gebruik het volgende voorbeeld om het virtuele hubnetwerk te maken.

  1. Meld u aan bij het Azure-portaal.

  2. Voer in het zoekvak boven aan de portal het virtuele netwerk in. Selecteer Virtuele netwerken in de zoekresultaten.

  3. Selecteer + Maken.

  4. Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer Nieuw maken.
    Voer test-rg in.
    Selecteer OK.
    Exemplaardetails
    Naam Voer vnet-hub in.
    Regio Selecteer (VS) VS - zuid-centraal.

  5. Selecteer Volgendeom door te gaan naar het tabblad Beveiliging.

  6. Selecteer Bastion inschakelen in de sectie Azure Bastion van het tabblad Beveiliging .

    Azure Bastion gebruikt uw browser om verbinding te maken met VM's in uw virtuele netwerk via secure shell (SSH) of RDP (Remote Desktop Protocol) met behulp van hun privé-IP-adressen. De VM's hebben geen openbare IP-adressen, clientsoftware of speciale configuratie nodig. Zie Azure Bastion voor meer informatie over Azure Bastion

    Notitie

    De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

  7. Voer de volgende gegevens in of selecteer deze in Azure Bastion:

    Instelling Weergegeven als
    Azure Bastion-hostnaam Voer bastion in.
    Openbaar IP-adres van Azure Bastion Selecteer Een openbaar IP-adres maken.
    Voer het openbare IP-adres in de naam in.
    Selecteer OK.

  8. Selecteer Azure Firewall inschakelen in de sectie Azure Firewall van het tabblad Beveiliging .

    Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Zie Azure Firewall voor meer informatie over Azure Firewall.

  9. Voer de volgende gegevens in of selecteer deze in Azure Firewall:

    Instelling Weergegeven als
    Azure Firewall-naam Voer de firewall in.
    Laag Selecteer Standaard.
    Beleid Selecteer Nieuw maken.
    Voer firewallbeleid in naam in.
    Selecteer OK.
    Openbaar IP-adres van Azure Firewall Selecteer Een openbaar IP-adres maken.
    Voer de openbare ip-firewall in naam in.
    Selecteer OK.

  10. Selecteer Controleren + maken.

  11. Selecteer Maken.

Het duurt enkele minuten voordat de bastionhost en firewall zijn geïmplementeerd. Wanneer het virtuele netwerk wordt gemaakt als onderdeel van de implementatie, kunt u doorgaan met de volgende stappen.

De NAT-gateway maken

Al het uitgaande internetverkeer gaat via de NAT-gateway naar internet. Gebruik het volgende voorbeeld om een NAT-gateway te maken voor het hub- en spoke-netwerk en deze te koppelen aan het AzureFirewallSubnet.

  1. Voer in het zoekvak boven aan de portal NAT-gateway in. Selecteer NAT-gateways in de zoekresultaten.

  2. Selecteer + Maken.

  3. Voer op het tabblad Basis van de NAT-gateway (Network Address Translation) de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    NAT-gatewaynaam Voer nat-gateway in.
    Regio Selecteer VS - zuid-centraal.
    Availability zone Selecteer een zone of geen zone.
    Time-out voor tcp-inactiviteit (minuten) Laat de standaardwaarde 4 staan.

    Zie NAT-gateway en beschikbaarheidszones voor meer informatie over beschikbaarheidszones.

  4. Selecteer Volgende: Uitgaand IP-adres.

  5. Selecteer in uitgaand IP-adres in openbare IP-adressen een nieuw openbaar IP-adres maken.

  6. Voer public-ip-nat in naam in.

  7. Selecteer OK.

  8. Selecteer Volgende: Subnet.

  9. Selecteer vnet-hub in Virtual Network.

  10. Selecteer AzureFirewallSubnet in subnetnaam.

  11. Selecteer Controleren + maken.

  12. Selecteer Maken.

Virtueel spoke-netwerk maken

Het virtuele spoke-netwerk bevat de virtuele testmachine die wordt gebruikt om de routering van internetverkeer naar de NAT-gateway te testen. Gebruik het volgende voorbeeld om het spoke-netwerk te maken.

  1. Voer in het zoekvak boven aan de portal het virtuele netwerk in. Selecteer Virtuele netwerken in de zoekresultaten.

  2. Selecteer + Maken.

  3. Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Naam Voer vnet-spoke in.
    Regio Selecteer VS - zuid-centraal.

  4. Selecteer Volgendeom door te gaan naar het tabblad Beveiliging.

  5. Selecteer Volgendeom door te gaan naar het tabblad IP-adressen.

  6. Selecteer op het tabblad IP-adressen in de IPv4-adresruimte de prullenbak om de adresruimte te verwijderen die automatisch is ingevuld.

  7. Voer in IPv4-adresruimte 10.1.0.0 in. Laat de standaardwaarde /16 (65.536 adressen) in de maskerselectie staan.

  8. Selecteer + Een subnet toevoegen.

  9. Voer in Een subnet toevoegen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Details van subnet
    Subnetsjabloon Laat de standaardwaarde staan.
    Naam Voer een subnet-privé in.
    Beginadres Voer 10.1.0.0 in.
    Subnetgrootte Laat de standaardwaarde /24(256 adressen) staan.

  10. Selecteer Toevoegen.

  11. Selecteer Controleren + maken.

  12. Selecteer Maken.

Peering maken tussen de hub en spoke

Een peering van een virtueel netwerk wordt gebruikt om de hub te verbinden met de spoke en de spoke met de hub. Gebruik het volgende voorbeeld om een peering in twee richtingen tussen de hub en spoke te maken.

  1. Voer in het zoekvak boven aan de portal het virtuele netwerk in. Selecteer Virtuele netwerken in de zoekresultaten.

  2. Selecteer vnet-hub.

  3. Selecteer Peerings in Instellingen.

  4. Selecteer +Toevoegen.

  5. Voer de volgende gegevens in of selecteer deze in Peering toevoegen:

    Instelling Weergegeven als
    Dit virtuele netwerk
    Naam van peeringkoppeling Voer vnet-hub-naar-vnet-spoke in.
    'vnet-hub' toegang geven tot 'vnet-spoke' Laat de standaardwaarde geselecteerd staan.
    Toestaan dat 'vnet-hub' doorgestuurd verkeer van 'vnet-spoke' ontvangt Schakel het selectievakje in.
    Gateway in 'vnet-hub' toestaan om verkeer door te sturen naar 'vnet-spoke' Laat de standaardwaarde Uitgeschakeld staan.
    'vnet-hub' inschakelen om externe gateway van vnet-spoke te gebruiken Laat de standaardwaarde Uitgeschakeld staan.
    Extern virtueel netwerk
    Naam van peeringkoppeling Voer vnet-spoke-to-vnet-hub in.
    Implementatiemodel voor het virtuele netwerk Laat de standaardwaarde van Resource Manager staan.
    Abonnement Selecteer uw abonnement.
    Virtueel netwerk Selecteer vnet-spoke.
    Toestaan dat 'vnet-spoke' toegang heeft tot 'vnet-hub' Laat de standaardwaarde geselecteerd staan.
    Toestaan dat 'vnet-spoke' doorgestuurd verkeer van 'vnet-hub' ontvangt Schakel het selectievakje in.
    Gateway in 'vnet-spoke' toestaan om verkeer door te sturen naar 'vnet-hub' Laat de standaardwaarde Uitgeschakeld staan.
    Schakel 'vnet-spoke' in om de externe gateway van vnet-hub te gebruiken Laat de standaardwaarde Uitgeschakeld staan.

  6. Selecteer Toevoegen.

  7. Selecteer Vernieuwen en controleer of de peeringstatus is Verbinding maken.

Routetabel voor spoke-netwerk maken

Een routetabel dwingt al het verkeer dat het virtuele spoke-netwerk verlaat naar het virtuele hubnetwerk. De routetabel wordt geconfigureerd met het privé-IP-adres van de Azure Firewall als het virtuele apparaat.

Privé-IP-adres van firewall verkrijgen

Het privé-IP-adres van de firewall is nodig voor de routetabel die verderop in dit artikel is gemaakt. Gebruik het volgende voorbeeld om het privé-IP-adres van de firewall op te halen.

  1. Voer firewall in het zoekvak boven aan de portal in. Selecteer Firewalls in de zoekresultaten.

  2. Selecteer de firewall.

  3. Noteer in het overzicht van de firewall het IP-adres in het veld Privé-IP-adres van de firewall. Het IP-adres in dit voorbeeld is 10.0.1.68.

Routetabel maken

Maak een routetabel om alle inter-spoke- en internetverkeer via de firewall in het virtuele hubnetwerk af te dwingen.

  1. Voer in het zoekvak boven aan de portal routetabel in. Selecteer Routetabellen in de zoekresultaten.

  2. Selecteer + Maken.

  3. Voer in de tabel Route maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Regio Selecteer VS - zuid-centraal.
    Naam Voer route-tabel-spoke in.
    Gatewayroutes doorgeven Selecteer Nee.

  4. Selecteer Controleren + maken.

  5. Selecteer Maken.

  6. Voer in het zoekvak boven aan de portal routetabel in. Selecteer Routetabellen in de zoekresultaten.

  7. Selecteer route-table-spoke.

  8. Selecteer Routes in Instellingen.

  9. Selecteer + Toevoegen in routes.

  10. Voer de volgende gegevens in of selecteer deze in Route toevoegen:

    Instelling Weergegeven als
    Routenaam Voer route-naar-hub in.
    Doeltype Selecteer IP-adressen.
    DOEL-IP-adressen/CIDR-bereiken Voer 0.0.0.0/0 in.
    Volgend hoptype Selecteer Virtueel apparaat.
    Adres van de volgende hop Voer 10.0.1.68 in.

  11. Selecteer Toevoegen.

  12. Selecteer Subnetten in Instellingen.

  13. Selecteer + Koppelen.

  14. Voer de volgende gegevens in of selecteer deze in subnet koppelen:

    Instelling Weergegeven als
    Virtueel netwerk Selecteer vnet-spoke (test-rg).
    Subnet Selecteer privé subnet.

  15. Selecteer OK.

Firewall configureren

Verkeer van de spoke via de hub moet worden toegestaan via en firewallbeleid en een netwerkregel. Gebruik het volgende voorbeeld om het firewallbeleid en de netwerkregel te maken.

Netwerkregel configureren

  1. Voer firewall in het zoekvak boven aan de portal in. Selecteer Firewallbeleid in de zoekresultaten.

  2. Selecteer firewallbeleid.

  3. Selecteer netwerkregels in Instellingen.

  4. Selecteer + Een regelverzameling toevoegen.

  5. Voer in Een regelverzameling toevoegen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Naam Voer spoke-to-internet in.
    Type regelverzameling Selecteer Netwerk.
    Prioriteit Voer 100 in.
    Actie Regelverzameling Selecteer Toestaan.
    Groep Regelverzameling Selecteer DefaultNetworkRuleCollectionGroup.
    Regels
    Naam Voer allow-web in.
    Source type IP-adres.
    Bron Voer 10.1.0.0/24 in.
    Protocol Selecteer TCP.
    Doelpoorten Voer 80.443 in.
    Doeltype Selecteer IP-adres.
    Doel Voer*

  6. Selecteer Toevoegen.

Virtuele testmachine maken

Een virtuele Ubuntu-machine wordt gebruikt om het uitgaande internetverkeer via de NAT-gateway te testen. Gebruik het volgende voorbeeld om een virtuele Ubuntu-machine te maken.

Met de volgende procedure maakt u een virtuele testmachine (VM) met de naam vm-spoke in het virtuele netwerk.

  1. Zoek en selecteer virtuele machines in de portal.

  2. Selecteer + Maken in virtuele machines en vervolgens de virtuele Azure-machine.

  3. Voer op het tabblad Basisbeginselen van Een virtuele machine maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Virtual machine name Voer vm-spoke in.
    Regio Selecteer (VS) VS - zuid-centraal.
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist.
    Beveiligingstype Laat de standaardwaarde van Standard staan.
    Image Selecteer Ubuntu Server 22.04 LTS - x64 Gen2.
    VM-architectuur Laat de standaardwaarde x64 staan.
    Tekengrootte Selecteer een grootte.
    Beheerdersaccount
    Authentication type Selecteer Wachtwoord.
    Username Voer azureuser in.
    Wachtwoord Voer een wachtwoord in.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.
    Regels voor binnenkomende poort
    Openbare poorten voor inkomend verkeer Selecteer Geen.

  4. Selecteer het tabblad Netwerken boven aan de pagina.

  5. Voer de volgende gegevens in of selecteer deze op het tabblad Netwerken :

    Instelling Weergegeven als
    Netwerkinterface
    Virtueel netwerk Selecteer vnet-spoke.
    Subnet Selecteer subnet-privé (10.1.0.0/24).
    Openbare IP Selecteer Geen.
    NIC-netwerkbeveiligingsgroep Selecteer Geavanceerd.
    Netwerkbeveiligingsgroep configureren Selecteer Nieuw maken.
    Voer nsg-1 in als naam.
    Laat de rest op de standaardwaarden staan en selecteer OK.

  6. Laat de rest van de instellingen op de standaardwaarden staan en selecteer Beoordelen en maken.

  7. Controleer de instellingen en selecteer Maken.

Notitie

Virtuele machines in een virtueel netwerk met een bastionhost hebben geen openbare IP-adressen nodig. Bastion biedt het openbare IP-adres en de VM's gebruiken privé-IP's om binnen het netwerk te communiceren. U kunt de openbare IP-adressen verwijderen van virtuele machines in gehoste virtuele bastionnetwerken. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine voor meer informatie.

NAT-gateway testen

U maakt verbinding met de virtuele Ubuntu-machines die u in de vorige stappen hebt gemaakt om te controleren of het uitgaande internetverkeer de NAT-gateway verlaat.

Openbaar IP-adres van NAT-gateway verkrijgen

Haal het openbare IP-adres van de NAT-gateway op voor verificatie van de stappen verderop in het artikel.

  1. Voer in het zoekvak boven aan de portal een openbaar IP-adres in. Selecteer Openbare IP-adressen in de zoekresultaten.

  2. Selecteer public-ip-nat.

  3. Noteer de waarde in het IP-adres. Het voorbeeld dat in dit artikel wordt gebruikt, is 20.225.88.213.

NAT-gateway testen vanuit spoke

  1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer vm-spoke.

  3. Selecteer Bastion in Bewerkingen.

  4. Voer de gebruikersnaam en het wachtwoord in die zijn ingevoerd tijdens het maken van de VM. Selecteer Verbinding maken.

  5. Voer in de bash-prompt de volgende opdracht in:

    curl ifconfig.me

  6. Controleer of het IP-adres dat door de opdracht wordt geretourneerd, overeenkomt met het openbare IP-adres van de NAT-gateway.

    azureuser@vm-1:~$ curl ifconfig.me
20.225.88.213

  7. Sluit de Bastion-verbinding met vm-spoke.

Resources opschonen

Wanneer u klaar bent met het gebruik van de resources die u hebt gemaakt, kunt u de resourcegroep en alle bijbehorende resources verwijderen:

  1. Zoek en selecteer Resourcegroepen in de Azure-portal.

  2. Selecteer op de pagina Resourcegroepen de resourcegroep test-rg .

  3. Selecteer op de pagina test-rg de optie Resourcegroep verwijderen.

  4. Voer test-rg in Voer de naam van de resourcegroep in om het verwijderen te bevestigen en selecteer vervolgens Verwijderen.

Volgende stappen

Ga naar het volgende artikel voor meer informatie over het integreren van een NAT-gateway met een Azure Load Balancer:

NAT-gateway integreren met een interne load balancer