Szybki start: tworzenie standardowej bramy NAT

W tym przewodniku szybkiego startu dowiesz się, jak utworzyć bramę NAT dla Standard SKU Azure NAT Gateway przy użyciu portalu Azure, Azure PowerShell lub Azure CLI. Usługa Azure NAT Gateway zapewnia skalowalną łączność wychodzącą dla maszyn wirtualnych w Azure.

Na poniższym diagramie przedstawiono zasoby, które utworzysz w tym przewodniku Szybki start.

Wymagania wstępne

Portal

• Konto Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

PowerShell

• Konto Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Azure Cloud Shell lub Azure PowerShell.

  Kroki tego krótkiego przewodnika uruchamiają polecenia cmdlet programu Azure PowerShell interaktywnie w usłudze Azure Cloud Shell. Aby uruchomić polecenia w usłudze Cloud Shell, wybierz pozycję Otwórz usługę Cloud Shell w prawym górnym rogu bloku kodu. Wybierz pozycję Kopiuj , aby skopiować kod, a następnie wklej go do usługi Cloud Shell, aby go uruchomić. Możesz również uruchomić usługę Cloud Shell z poziomu witryny Azure Portal.

  Możesz również zainstalować program Azure PowerShell lokalnie , aby uruchomić polecenia cmdlet. Kroki opisane w tym artykule wymagają modułu Azure PowerShell w wersji 5.4.1 lub nowszej. Aby dowiedzieć się, jaka wersja jest zainstalowana, uruchom polecenie Get-Module -ListAvailable Az. Jeśli musisz przeprowadzić uaktualnienie, zobacz Update-AzModule.

CLI

• Jeśli nie masz jeszcze konta platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

• Użyj środowiska Bash w Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Get started with Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj Azure CLI. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie Azure CLI w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić Azure CLI w kontenerze Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do Azure CLI za pomocą polecenia az login. Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane na Twoim terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Gdy zostaniesz o to poproszony/a, zainstaluj rozszerzenie Azure CLI przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.

  • Uruchom az version, aby sprawdzić zainstalowaną wersję i biblioteki zależne. Aby zaktualizować do najnowszej wersji, uruchom az upgrade.

Tworzenie grupy zasobów

Portal

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Grupy zasobów. Wybierz pozycję Grupy zasobów w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. W obszarze Tworzenie grupy zasobów wprowadź lub wybierz następujące wartości:

   Ustawienia	Wartość
   Szczegóły projektu
   Subscription	Wybierz subskrypcję platformy Azure.
   Grupa zasobów	Wprowadź test-rg.
   Szczegóły zasobu
   Region	Wybierz (USA) East US 2.

4. Wybierz opcję Recenzja + utwórz.

5. Wybierz Utwórz.

PowerShell

Utwórz grupę zasobów przy użyciu polecenia New-AzResourceGroup. Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

Poniższy przykład tworzy grupę zasobów o nazwie test-rg w eastus2 lokalizacji:

$rsg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

CLI

Utwórz grupę zasobów przy użyciu polecenia az group create. Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

az group create \
    --name test-rg \
    --location eastus2

Utwórz wirtualną sieć

Portal

Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów:

1. W portalu wyszukaj i wybierz pozycję Sieci wirtualne.

2. Na stronie Sieci wirtualne wybierz + Utwórz.

3. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Szczegóły projektu
   Subscription	Wybierz swoją subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa	Wprowadź vnet-1.
   Region	Wybierz (USA) East US 2.

4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .

5. Wybierz Dalej, aby przejść do karty Adresy IP.

6. W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.

7. W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Cel podsieci	Pozostaw wartość domyślną.
   Nazwa	Wprowadź subnet-1.
   Protokół IPv4
   Zakres adresów IPv4	Pozostaw wartość domyślną 10.0.0.0/16.
   Adres początkowy	Pozostaw wartość domyślną 10.0.0.0.
   rozmiar	Pozostaw wartość domyślną /24 (256 adresów).

8. Wybierz Zapisz.

9. Wybierz pozycję Przejrzyj i utwórz w dolnej części okienka. Gdy sieć wirtualna przejdzie walidację, wybierz pozycję Utwórz.

PowerShell

Utwórz konfigurację podsieci maszyny wirtualnej i podsieci hosta Azure Bastion przy użyciu New-AzVirtualNetworkSubnetConfig.

$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet

$bastsubnet = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix = '10.0.1.0/26'
}
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig @bastsubnet

Utwórz sieć wirtualną przy użyciu polecenia New-AzVirtualNetwork.

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig, $bastsubnetConfig
}
$vnet = New-AzVirtualNetwork @net

CLI

Utwórz sieć wirtualną o nazwie vnet-1 z podsiecią o nazwie subnet-1 przy użyciu az network vnet create.

az network vnet create \
    --resource-group test-rg \
    --name vnet-1 \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Utwórz podsieć Azure Bastion o nazwie AzureBastionSubnet przy użyciu az network vnet subnet create.

az network vnet subnet create \
    --name AzureBastionSubnet \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --address-prefix 10.0.1.0/26

Wdrażanie usługi Azure Bastion

Portal

Azure Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu SSH (Secure Shell) lub protokołu Remote Desktop (RDP) przy użyciu ich prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.

Uwaga / Notatka

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Ceny i SKU. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania.

1. W polu wyszukiwania w górnej części portalu wprowadź wartość Bastion. Wybierz pozycję Bastions w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. Na karcie Podstawy w Utwórz Bastion, wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Szczegóły projektu
   Subscription	Wybierz swoją subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa	Wprowadź bastion.
   Region	Wybierz (USA) East US 2.
   poziom	Wybierz pozycję Deweloper.
   Konfigurowanie sieci wirtualnych
   Sieć wirtualna	Wybierz pozycję vnet-1.

   Uwaga / Notatka

   Wersja SKU dla deweloperów usługi Azure Bastion jest bezpłatna i nie wymaga posiadania dedykowanej podsieci Azure Bastion. Aby uzyskać więcej informacji, zobacz Szybki start: wdrażanie usługi Azure Bastion — jednostka SKU dla deweloperów.

4. Wybierz opcję Recenzja + utwórz.

5. Wybierz Utwórz.

PowerShell

Utwórz publiczny adres IP hosta Azure Bastion przy użyciu New-AzPublicIpAddress.

$ip = @{
    Name = 'public-ip'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicip = New-AzPublicIpAddress @ip

Utwórz hosta Azure Bastion przy użyciu New-AzBastion.

$bastion = @{
    Name = 'bastion'
    ResourceGroupName = 'test-rg'
    PublicIpAddressRgName = 'test-rg'
    PublicIpAddressName = 'public-ip'
    VirtualNetworkRgName = 'test-rg'
    VirtualNetworkName = 'vnet-1'
    Sku = 'Basic'
}
New-AzBastion @bastion -AsJob

Wdrożenie hosta Azure Bastion może potrwać kilka minut.

CLI

Utwórz publiczny adres IP hosta Azure Bastion przy użyciu az network public-ip create.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --location eastus2 \
    --zone 1 2 3

Utwórz hosta Azure Bastion przy użyciu az network bastion create.

az network bastion create \
    --name bastion \
    --public-ip-address public-ip \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --location eastus2 \
    --sku Basic \
    --no-wait

Wdrożenie hosta Azure Bastion może potrwać kilka minut.

Tworzenie maszyny wirtualnej

Portal

Poniższa procedura tworzy maszynę wirtualną z systemem Linux przy użyciu uwierzytelniania klucza SSH:

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyny wirtualne. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

2. Wybierz pozycję + Utwórz, a następnie wybierz maszynę wirtualną Azure.

3. Na karcie Podstawy tworzenia maszyny wirtualnej wprowadź lub wybierz następujące wartości:

   Ustawienia	Wartość
   Szczegóły projektu
   Subscription	Wybierz subskrypcję platformy Azure.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa maszyny wirtualnej	Wprowadź vm-1.
   Region	Wybierz (USA) East US 2.
   Opcje dostępności	Wybierz opcję Brak wymogu dot. nadmiarowości infrastruktury.
   Typ zabezpieczeń	Wybierz opcję Standardowa.
   Obraz	Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2.
   rozmiar	Wybierz rozmiar lub pozostaw ustawienie domyślne.
   Konto administratora
   Authentication type (Typ uwierzytelniania)	Wybierz opcję Klucz publiczny SSH.
   Nazwa użytkownika	Wprowadź azureuser.
   Źródło klucza publicznego SSH	Wybierz pozycję Generuj nową parę kluczy.
   Nazwa pary kluczy	Wprowadź vm-1_key.

4. Wybierz kartę Sieć lub wybierz pozycję >.

5. Wybierz następujące wartości:

   Ustawienia	Wartość
   Interfejs sieciowy
   Sieć wirtualna	Wybierz pozycję vnet-1.
   Podsieć	Wybierz podsieć-1.
   Publiczny adres IP	Wybierz pozycję Brak.

6. Wybierz opcję Recenzja + utwórz.

7. Przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

8. Po otwarciu okna Generuj nową parę kluczy wybierz pozycję Pobierz klucz prywatny i utwórz zasób. Plik klucza jest pobierany jako vm-1_key.pem. Upewnij się, że wiesz, gdzie jest pobierany plik pem. Aby nawiązać połączenie z maszyną wirtualną, potrzebna jest ścieżka do pliku klucza.

PowerShell

W tej sekcji utworzysz maszynę wirtualną, aby przetestować bramę NAT i zweryfikować publiczny adres IP połączenia wychodzącego.

Utwórz maszynę wirtualną przy użyciu polecenia New-AzVM. Podczas tworzenia maszyny wirtualnej jest generowana para kluczy SSH.

$securePassword = ConvertTo-SecureString ' ' -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential ('azureuser', $securePassword)

$vm = @{
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Name = 'vm-1'
    Image = 'Ubuntu2204'
    Size = 'Standard_DS1_v2'
    VirtualNetworkName = 'vnet-1'
    SubnetName = 'subnet-1'
    PublicIpAddressName = ''
    GenerateSshKey = $true
    SshKeyName = 'vm-1_key'
    Credential = $cred
}
New-AzVM @vm

Poczekaj na zakończenie tworzenia maszyny wirtualnej przed przejściem do następnej sekcji.

CLI

Utwórz maszynę wirtualną z systemem Linux o nazwie vm-1 z uwierzytelnianiem klucza SSH przy użyciu polecenia az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Ubuntu2404 \
    --admin-username azureuser \
    --generate-ssh-keys \
    --public-ip-address "" \
    --subnet subnet-1 \
    --vnet-name vnet-1

Poczekaj na zakończenie tworzenia maszyny wirtualnej przed przejściem do następnej sekcji.

Utwórz bramę NAT

Portal

W tej sekcji utworzysz zasób bramy NAT i połączysz go z podsiecią sieci wirtualnej, którą utworzyłeś.

1. W polu wyszukiwania w górnej części portalu wprowadź NAT gateway. Wybierz bramy NAT w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. W sekcji Tworzenie bramy NAT wprowadź lub wybierz następujące informacje na karcie Podstawy:

   Ustawienia	Wartość
   Szczegóły projektu
   Subscription	Wybierz subskrypcję platformy Azure.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa bramy NAT	Wprowadź nat-gateway.
   Region	Wybierz (USA) East US 2.
   SKU	Wybierz opcję Standardowa.
   Strefa dostępności	Wybierz pozycję Brak strefy.
   Limit czasu bezczynności protokołu TCP (w minutach)	Pozostaw wartość domyślną 4.

   Aby uzyskać informacje o strefach dostępności i NAT Gateway, zobacz Niezawodność w Azure NAT Gateway.

4. Wybierz kartę Wychodzący adres IP lub wybierz pozycję Dalej: wychodzący adres IP.

5. Wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Publiczne adresy IP	Wybierz pozycję Utwórz nowy publiczny adres IP. W Nazwa wprowadź public-ip-nat. Wybierz przycisk OK.

6. Wybierz kartę Sieć lub wybierz pozycję Dalej: Sieć.

7. W obszarze Sieć wirtualna wybierz pozycję vnet-1.

8. W polu Nazwa podsieci zaznacz pole wyboru podsieć-1 .

9. Wybierz kartę Przejrzyj i utwórz lub wybierz przycisk Przejrzyj i utwórz w dolnej części okienka.

10. Wybierz Utwórz.

PowerShell

W tej sekcji utworzysz zasób NAT gateway i skojarzysz go z podsiecią sieci wirtualnej.

Utwórz publiczny adres IP dla bramy NAT przy użyciu polecenia New-AzPublicIpAddress.

$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIP = New-AzPublicIpAddress @ip

Utwórz zasób bramy NAT przy użyciu New-AzNatGateway.

$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '10'
    Sku = 'Standard'
    Location = 'eastus2'
    PublicIpAddress = $publicIP
}
$natGateway = New-AzNatGateway @nat

Skojarz bramę NAT z subnet-1 przy użyciu Set-AzVirtualNetworkSubnetConfig. Zastosuj konfigurację przy użyciu polecenia Set-AzVirtualNetwork.

$vnet = Get-AzVirtualNetwork -Name 'vnet-1' -ResourceGroupName 'test-rg'

$subnet = @{
    VirtualNetwork = $vnet
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnet

$vnet | Set-AzVirtualNetwork

CLI

W tej sekcji utworzysz zasób NAT gateway i skojarzysz go z podsiecią sieci wirtualnej.

Utwórz publiczny adres IP dla bramy NAT przy użyciu polecenia az network public-ip create.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-nat \
    --sku Standard \
    --allocation-method Static \
    --location eastus2 \
    --zone 1 2 3

Utwórz zasób bramy NAT przy użyciu polecenia az network nat gateway create.

az network nat gateway create \
    --resource-group test-rg \
    --name nat-gateway \
    --public-ip-addresses public-ip-nat \
    --idle-timeout 10

Skojarz bramę NAT z subnet-1 przy użyciu az network vnet subnet update.

az network vnet subnet update \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --nat-gateway nat-gateway

Przetestuj bramę translatora adresów sieciowych

Aby przetestować bramę NAT, należy najpierw odnaleźć jej publiczny adres IP. Następnie połączysz się z testowej maszyny wirtualnej i sprawdzisz połączenie wychodzące za pośrednictwem tego publicznego adresu IP.

1. W polu wyszukiwania w górnej części portalu wprowadź publiczny adres IP. Wybierz Adresy IP publiczne w wynikach wyszukiwania.

2. Wybierz pozycję public-ip-nat.

3. Zanotuj publiczny adres IP.

   

4. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

5. Wybierz pozycję vm-1.

6. Na stronie Przegląd wybierz pozycję Połącz, a następnie wybierz kartę Bastion .

7. Wybierz Użyj Bastion.

8. W obszarze Typ uwierzytelniania wybierz pozycję Klucz prywatny SSH z pliku lokalnego.

9. W polu Nazwa użytkownika wprowadź azureuser.

10. Wybierz pozycję Przeglądaj i przejdź do pliku vm-1_key.pem pobranego podczas tworzenia maszyny wirtualnej.

11. Wybierz i podłącz.

12. W terminalu Bash wprowadź następujące polecenie:

    curl ifconfig.me
    

13. Sprawdź, czy adres IP zwracany przez polecenie jest zgodny z publicznym adresem IP NAT gateway.

    azureuser@vm-1:~$ curl ifconfig.me
    203.0.113.0.25
    

Uprzątnij zasoby

Portal

Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.

2. Na stronie Grupy zasobów wybierz grupę zasobów test-rg .

3. Na stronie test-rg wybierz pozycję Usuń grupę zasobów.

4. Wprowadź test-rg w Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz Usuń.

PowerShell

Jeśli ta aplikacja nie jest już potrzebna, usuń sieć wirtualną, maszynę wirtualną i bramę translatora adresów sieciowych przy użyciu następującego polecenia:

Remove-AzResourceGroup -Name 'test-rg' -Force

CLI

Jeśli ta aplikacja nie jest już potrzebna, usuń sieć wirtualną, maszynę wirtualną i bramę translatora adresów sieciowych przy użyciu następującego polecenia:

az group delete \
    --name test-rg \
    --yes

Treści powiązane

• Omówienie bramy NAT Azure
• Zasób bramy NAT