Szybki start: Utwórz bramę NAT

W tym szybkim wprowadzeniu dowiesz się, jak utworzyć bramę NAT przy użyciu portalu Azure, interfejsu wiersza polecenia Azure, programu PowerShell, Bicep, szablonu ARM i narzędzia Terraform. Usługa NAT Gateway zapewnia skalowalną łączność wychodzącą dla maszyn wirtualnych na platformie Azure.

Ważne

Standardowe SKU V2 Brama NAT platformy Azure jest w fazie podglądu. Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

Portal

• Konto Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

PowerShell

• Konto Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Azure Cloud Shell lub Azure PowerShell.

  Kroki tego krótkiego przewodnika uruchamiają polecenia cmdlet programu Azure PowerShell interaktywnie w usłudze Azure Cloud Shell. Aby uruchomić polecenia w usłudze Cloud Shell, wybierz pozycję Otwórz program CloudShell w prawym górnym rogu bloku kodu. Wybierz pozycję Kopiuj , aby skopiować kod, a następnie wklej go w usłudze Cloud Shell, aby go uruchomić. Możesz również uruchomić usługę Cloud Shell z poziomu witryny Azure Portal.

  Możesz również zainstalować program Azure PowerShell lokalnie , aby uruchomić polecenia cmdlet. Kroki opisane w tym artykule wymagają modułu Azure PowerShell w wersji 5.4.1 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az , aby znaleźć zainstalowaną wersję. Jeśli chcesz uaktualnić, zobacz Aktualizowanie modułu programu Azure PowerShell.

CLI

Jeśli nie masz jeszcze konta platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

• Użyj środowiska Bash w Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Get started with Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj Azure CLI. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie Azure CLI w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić Azure CLI w kontenerze Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do Azure CLI za pomocą polecenia az login. Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane na Twoim terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Gdy zostaniesz o to poproszony/a, zainstaluj rozszerzenie Azure CLI przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.

  • Uruchom az version, aby sprawdzić zainstalowaną wersję i biblioteki zależne. Aby zaktualizować do najnowszej wersji, uruchom az upgrade.

Terraform

• Konto Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.

• Zainstaluj i skonfiguruj rozwiązanie Terraform.

Portal

Utwórz bramę NAT

Przed wdrożeniem bramy NAT i innych zasobów, niezbędna jest grupa zasobów, która będzie zawierać wdrożone zasoby. Kroki te pozwolą ci utworzyć grupę zasobów, zasób bramy NAT i publiczny adres IP. Można użyć co najmniej jednego zasobu publicznego adresu IP, prefiksów publicznych adresów IP lub obu tych elementów.

Aby uzyskać informacje o publicznych prefiksach IP i bramie NAT, zobacz Zarządzanie bramą NAT.

1. W polu wyszukiwania w górnej części portalu wprowadź NAT gateway. Wybierz bramy NAT w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. W opcji Tworzenie bramy translacji adresów sieciowych (NAT) wprowadź lub wybierz następujące informacje w zakładce Podstawowe:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję platformy Azure.
   Grupa zasobów	Wybierz pozycjęUtwórz nowy. Wpisz test-rg. Wybierz przycisk OK.
   Szczegóły wystąpienia
   Nazwa bramy NAT	Wprowadź nat-gateway
   Rejon	Wybierz East US 2
   Strefa dostępności	Wybierz pozycję Brak strefy.
   Limit czasu bezczynności protokołu TCP (w minutach)	Pozostaw wartość domyślną 4.

   Aby uzyskać informacje o strefach dostępności i bramie translatora adresów sieciowych, zobacz Brama translatora adresów sieciowych i strefy dostępności.

4. Wybierz kartę Wychodzący adres IP lub wybierz przycisk Dalej: wychodzący adres IP w dolnej części strony.

5. Na karcie Wychodzący adres IP wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Publiczne adresy IP	Wybierz pozycję Utwórz nowy publiczny adres IP. W Nazwa wprowadź public-ip-nat. Wybierz przycisk OK.

6. Wybierz kartę Przegląd + tworzenie lub wybierz niebieski przycisk Przegląd + tworzenie w dolnej części strony.

7. Wybierz Utwórz.

Utwórz sieć wirtualną i hosta bastionowego

Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów, podsiecią usługi Azure Bastion i hostem usługi Azure Bastion.

1. W portalu wyszukaj i wybierz pozycję Sieci wirtualne.

2. Na stronie Sieci wirtualne wybierz + Utwórz.

3. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz swoją subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa	Wprowadź vnet-1.
   Rejon	Wybierz (USA) East US 2.

   

4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .

5. Wybierz pozycję Włącz usługę Azure Bastion w sekcji Azure Bastion na karcie Zabezpieczenia.

   Usługa Azure Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu SSH (Secure Shell) lub protokołu RDP (Remote Desktop Protocol) przy użyciu ich prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Azure Bastion

   Uwaga / Notatka

   Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Ceny i SKU. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania.

6. Wprowadź lub wybierz następujące informacje w usłudze Azure Bastion:

   Ustawienia	Wartość
   Nazwa hosta usługi Azure Bastion	Wprowadź bastion.
   Publiczny adres IP usługi Azure Bastion	Wybierz pozycję Utwórz publiczny adres IP. Wprowadź public-ip-bastion w polu Nazwa. Wybierz przycisk OK.

   

7. Wybierz Dalej, aby przejść do karty Adresy IP.

8. W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.

9. W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Cel podsieci	Pozostaw wartość domyślną Domyślna.
   Nazwa	Wprowadź subnet-1.
   Protokół IPv4
   Zakres adresów IPv4	Pozostaw wartość domyślną 10.0.0.0/16.
   Adres początkowy	Pozostaw wartość domyślną 10.0.0.0.
   Rozmiar	Pozostaw wartość domyślną /24(256 adresów).
   Bezpieczeństwo
   Brama translatora adresów sieciowych	Wybierz pozycję nat-gateway.

   

10. Wybierz Zapisz.

11. Wybierz pozycję Przejrzyj i utwórz w dolnej części ekranu, a po zakończeniu walidacji wybierz pozycję Utwórz.

Tworzenie testowej maszyny wirtualnej

Poniższa procedura tworzy testową maszynę wirtualną o nazwie vm-1 w sieci wirtualnej.

1. W portalu wyszukaj i wybierz pozycję Maszyny wirtualne.

2. W obszarze Maszyny wirtualne wybierz pozycję + Utwórz, a następnie maszynę wirtualną platformy Azure.

3. Na karcie Podstawy w oknie Tworzenie maszyny wirtualnej, wprowadź lub wybierz następujące informacje:

   Ustawienia	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz swoją subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa maszyny wirtualnej	Wprowadź vm-1.
   Rejon	Wybierz East US 2.
   Opcje dostępności	Wybierz opcję Brak wymogu dot. nadmiarowości infrastruktury.
   Typ zabezpieczeń	Pozostaw wartość domyślną standardu.
   obraz	Wybierz pozycję Ubuntu Server 22.04 LTS — x64 Gen2.
   Architektura maszyny wirtualnej	Pozostaw wartość domyślną x64.
   Rozmiar	Wybierz rozmiar.
   Konto administratora
   Typ uwierzytelniania	Wybierz Hasło.
   Nazwa użytkownika	Wprowadź azureuser.
   Hasło	Wprowadź hasło.
   Potwierdź hasło	Wprowadź ponownie hasło.
   Reguły portów przychodzących
   Publiczne porty ruchu przychodzącego	Wybierz pozycję Brak.

4. Wybierz kartę Sieć w górnej części strony.

5. Wprowadź lub wybierz następujące informacje na karcie Sieć :

   Ustawienia	Wartość
   Interfejs sieciowy
   Sieć wirtualna	Wybierz pozycję vnet-1.
   Podsieć	Wybierz podsieć-1 (10.0.0.0/24).
   Publiczny adres IP	Wybierz pozycję Brak.
   Grupa zabezpieczeń sieciowych NIC	Wybierz opcję Zaawansowane.
   Konfigurowanie sieciowej grupy zabezpieczeń	Wybierz pozycjęUtwórz nowy. Wprowadź nsg-1 jako nazwę. Pozostaw wartości domyślne pozostałych i wybierz przycisk OK.

6. Pozostaw pozostałe ustawienia domyślne i wybierz pozycję Przejrzyj i utwórz.

7. Przejrzyj ustawienia i wybierz pozycję Utwórz.

Uwaga / Notatka

Maszyny wirtualne w sieci wirtualnej z hostem bastionu nie wymagają publicznych adresów IP. Usługa Bastion udostępnia publiczny adres IP, a maszyny wirtualne używają prywatnych adresów IP do komunikacji w sieci. Publiczne adresy IP można usunąć ze wszystkich maszyn wirtualnych w sieciach wirtualnych hostowanych w bastionie. Aby uzyskać więcej informacji, zobacz Odłączanie publicznego adresu IP od maszyny wirtualnej Azure.

Uwaga / Notatka

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

• Publiczny adres IP jest przypisywany do maszyny wirtualnej.
• Maszyna wirtualna (VM) jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia, z regułami wychodzącymi lub bez nich.
• Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

PowerShell

Tworzenie grupy zasobów

Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup. Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

Poniższy przykład tworzy grupę zasobów o nazwie test-rg w lokalizacji eastus2 :

$rsg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

Utwórz bramę NAT

W tej sekcji utwórz bramę translatora adresów sieciowych i zasoby pomocnicze.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1,2,3
}
$publicIP = New-AzPublicIpAddress @ip

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '10'
    Sku = 'Standard'
    Location = 'eastus2'
    PublicIpAddress = $publicIP
}
$natGateway = New-AzNatGateway @nat

## Create subnet config and associate NAT gateway to subnet##
$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    NatGateway = $natGateway
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create Azure Bastion subnet ##
$bastsubnet = @{
    Name = 'AzureBastionSubnet' 
    AddressPrefix = '10.0.1.0/26'
}
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig @bastsubnet

## Create the virtual network ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig,$bastsubnetConfig
}
$vnet = New-AzVirtualNetwork @net

## Create public IP address for bastion host ##
$ip = @{
    Name = 'public-ip'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1,2,3
}
$publicip = New-AzPublicIpAddress @ip

## Create bastion host ##
$bastion = @{
    Name = 'bastion'
    ResourceGroupName = 'test-rg'
    PublicIpAddressRgName = 'test-rg'
    PublicIpAddressName = 'public-ip'
    VirtualNetworkRgName = 'test-rg'
    VirtualNetworkName = 'vnet-1'
    Sku = 'Basic'
}
New-AzBastion @bastion

Wdrożenie hosta bastionu może potrwać kilka minut. Przed kontynuowaniem do następnej sekcji, poczekaj na wdrożenie serwera bastionowego.

Tworzenie maszyny wirtualnej

W tej sekcji utworzysz maszynę wirtualną, aby przetestować bramę NAT i zweryfikować publiczny adres IP połączenia wychodzącego.

# Set the administrator and password for the VM ##
$cred = Get-Credential

## Place the virtual network into a variable ##
$vnet = Get-AzVirtualNetwork -Name 'vnet-1' -ResourceGroupName 'test-rg'

## Create network interface for virtual machine ##
$nic = @{
    Name = "nic-1"
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Subnet = $vnet.Subnets[0]
}
$nicVM = New-AzNetworkInterface @nic

## Create a virtual machine configuration ##
$vmsz = @{
    VMName = 'vm-1'
    VMSize = 'Standard_DS1_v2'  
}
$vmos = @{
    ComputerName = 'vm-1'
    Credential = $cred
}
$vmimage = @{
    PublisherName = 'Canonical'
    Offer = '0001-com-ubuntu-server-jammy'
    Skus = '22_04-lts-gen2'
    Version = 'latest'     
}
$vmConfig = New-AzVMConfig @vmsz `
    | Set-AzVMOperatingSystem @vmos -Linux `
    | Set-AzVMSourceImage @vmimage `
    | Add-AzVMNetworkInterface -Id $nicVM.Id

## Create the virtual machine ##
$vm = @{
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    VM = $vmConfig
}
New-AzVM @vm

Przed przejściem do następnej sekcji poczekaj na ukończenie tworzenia maszyny wirtualnej.

CLI

Tworzenie grupy zasobów

Utwórz grupę zasobów za pomocą az group create. Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

az group create \
    --name test-rg \
    --location eastus2

Utwórz bramę NAT

W tej sekcji utwórz bramę translatora adresów sieciowych i zasoby pomocnicze.

Tworzenie publicznego adresu IP

Aby uzyskać dostęp do Internetu, potrzebujesz co najmniej jednego publicznego adresu IP dla bramy NAT. Użyj polecenia az network public-ip create , aby utworzyć zasób publicznego adresu IP.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-nat \
    --sku Standard \
    --allocation-method Static \
    --location eastus2 \
    --zone 1 2 3

Utwórz zasób bramy NAT

Utwórz zasób sieciowej bramy NAT przy użyciu polecenia az network nat gateway create. Brama NAT używa publicznego adresu IP utworzonego w poprzednim kroku. Limit czasu bezczynności wynosi 10 minut.

az network nat gateway create \
    --resource-group test-rg \
    --name nat-gateway \
    --public-ip-addresses public-ip-nat \
    --idle-timeout 10

Tworzenie sieci wirtualnej i podsieci

Utwórz sieć wirtualną o nazwie vnet-1 z podsiecią o nazwie subnet-1 przy użyciu polecenia az network vnet create. Przestrzeń adresowa IP dla sieci wirtualnej to 10.0.0.0/16. Podsieć w sieci wirtualnej to 10.0.0.0/24.

az network vnet create \
    --resource-group test-rg \
    --name vnet-1 \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Tworzenie podsieci usługi Azure Bastion

Utwórz podsieć Azure Bastion o nazwie AzureBastionSubnet przy użyciu az network vnet subnet create:

az network vnet subnet create \
    --name AzureBastionSubnet \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --address-prefix 10.0.1.0/26

Kojarzenie bramy translatora adresów sieciowych z podsiecią

Skojarz bramę translatora adresów sieciowych z podsiecią przy użyciu polecenia az network vnet subnet update:

az network vnet subnet update \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --nat-gateway nat-gateway

Tworzenie publicznego adresu IP dla hosta usługi Bastion

Utwórz publiczny adres IP hosta usługi Bastion przy użyciu az network public-ip create:

az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --location eastus2 \
    --zone 1 2 3

Tworzenie hosta usługi Bastion

Utwórz hosta usługi Azure Bastion przy użyciu polecenia az network bastion create:

az network bastion create \
    --name bastion \
    --public-ip-address public-ip \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --location eastus2

Wdrożenie hosta usługi Bastion może potrwać kilka minut. Przed przejściem do następnej sekcji zaczekaj na wdrożenie hosta usługi Bastion.

Tworzenie maszyny wirtualnej

Utwórz maszynę wirtualną o nazwie vm-1 , aby przetestować bramę translatora adresów sieciowych i zweryfikować publiczny adres IP połączenia wychodzącego. Użyj az vm create:

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --authentication-type password \
    --public-ip-address "" \
    --subnet subnet-1 \
    --vnet-name vnet-1

Przed przejściem do następnej sekcji poczekaj na ukończenie tworzenia maszyny wirtualnej.

Terraform

Ten plik Terraform wdraża sieć wirtualną, zasób bramy NAT i maszynę wirtualną z systemem Ubuntu. Maszyna wirtualna z systemem Ubuntu jest wdrażana w podsieci skojarzonej z zasobem bramy NAT.

Skrypt generuje również losowy klucz publiczny SSH i kojarzy go z maszyną wirtualną w celu zapewnienia bezpiecznego dostępu. Klucz publiczny jest zwracany na końcu wykonywania skryptu.

Skrypt używa dostawców Random i AzAPI oprócz dostawcy modułu AzureRM. Dostawca losowy służy do generowania unikatowej nazwy grupy zasobów i klucza SSH. Dostawca AzAPI służy do generowania klucza publicznego SSH.

Podobnie jak w przypadku klucza publicznego, nazwy utworzonej grupy zasobów, sieci wirtualnej, podsieci i bramy translatora adresów sieciowych są drukowane po uruchomieniu skryptu.

Narzędzie Terraform umożliwia definiowanie, wyświetlanie wersji zapoznawczej i wdrażanie infrastruktury chmury. Za pomocą narzędzia Terraform tworzysz pliki konfiguracji przy użyciu składni HCL. Składnia listy HCL umożliwia określenie dostawcy chmury — takiego jak platforma Azure — oraz elementów tworzących infrastrukturę chmury. Po utworzeniu plików konfiguracji utworzysz plan wykonywania, który umożliwia wyświetlenie podglądu zmian infrastruktury przed ich wdrożeniem. Po zweryfikowaniu zmian należy zastosować plan wykonywania w celu wdrożenia infrastruktury.

Wdrożenie kodu Terraform

Uwaga / Notatka

Przykładowy kod dla tego artykułu znajduje się w repozytorium Azure Terraform na GitHubie.

Zobacz więcej artykułów i przykładowego kodu pokazującego, jak zarządzać zasobami platformy Azure za pomocą narzędzia Terraform

1. Utwórz katalog, w którym chcesz przetestować i uruchomić przykładowy kod programu Terraform i utworzyć go jako bieżący katalog.

2. Utwórz plik o nazwie main.tf i wstaw następujący kod:

   # Resource Group
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = "${random_pet.prefix.id}-rg"
   }
   
   # Virtual Network
   resource "azurerm_virtual_network" "my_terraform_network" {
     name                = "${random_pet.prefix.id}-vnet"
     address_space       = ["10.0.0.0/16"]
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   }
   
   # Subnet 1
   resource "azurerm_subnet" "my_terraform_subnet_1" {
     name                 = "subnet-1"
     resource_group_name  = azurerm_resource_group.rg.name
     virtual_network_name = azurerm_virtual_network.my_terraform_network.name
     address_prefixes     = ["10.0.0.0/24"]
   }
   
   # Public IP address for NAT gateway
   resource "azurerm_public_ip" "my_public_ip" {
     name                = "public-ip-nat"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
   }
   
   # NAT Gateway
   resource "azurerm_nat_gateway" "my_nat_gateway" {
     name                = "nat-gateway"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   }
   
   # Associate NAT Gateway with Public IP
   resource "azurerm_nat_gateway_public_ip_association" "example" {
     nat_gateway_id       = azurerm_nat_gateway.my_nat_gateway.id
     public_ip_address_id = azurerm_public_ip.my_public_ip.id
   }
   
   # Associate NAT Gateway with Subnet
   resource "azurerm_subnet_nat_gateway_association" "example" {
     subnet_id      = azurerm_subnet.my_terraform_subnet_1.id
     nat_gateway_id = azurerm_nat_gateway.my_nat_gateway.id
   }
   
   # Create public IP for virtual machine
   resource "azurerm_public_ip" "my_public_ip_vm" {
     name                = "public-ip-vm"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     allocation_method   = "Static"
     sku                 = "Standard"
   }
   
   # Create Network Security Group and rule
   resource "azurerm_network_security_group" "my_terraform_nsg" {
     name                = "nsg-1"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     security_rule {
       name                       = "SSH"
       priority                   = 1001
       direction                  = "Inbound"
       access                     = "Allow"
       protocol                   = "Tcp"
       source_port_range          = "*"
       destination_port_range     = "22"
       source_address_prefix      = "*"
       destination_address_prefix = "*"
     }
   }
   
   # Create network interface
   resource "azurerm_network_interface" "my_terraform_nic" {
     name                = "nic-1"
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     ip_configuration {
       name                          = "my_nic_configuration"
       subnet_id                     = azurerm_subnet.my_terraform_subnet_1.id
       private_ip_address_allocation = "Dynamic"
       public_ip_address_id          = azurerm_public_ip.my_public_ip_vm.id
     }
   }
   
   # Connect the security group to the network interface
   resource "azurerm_network_interface_security_group_association" "example" {
     network_interface_id      = azurerm_network_interface.my_terraform_nic.id
     network_security_group_id = azurerm_network_security_group.my_terraform_nsg.id
   }
   
   # Generate random text for a unique storage account name
   resource "random_id" "random_id" {
     keepers = {
       # Generate a new ID only when a new resource group is defined
       resource_group = azurerm_resource_group.rg.name
     }
   
     byte_length = 8
   }
   
   # Create storage account for boot diagnostics
   resource "azurerm_storage_account" "my_storage_account" {
     name                     = "diag${random_id.random_id.hex}"
     location                 = azurerm_resource_group.rg.location
     resource_group_name      = azurerm_resource_group.rg.name
     account_tier             = "Standard"
     account_replication_type = "LRS"
   }
   
   # Create virtual machine
   resource "azurerm_linux_virtual_machine" "my_terraform_vm" {
     name                  = "vm-1"
     location              = azurerm_resource_group.rg.location
     resource_group_name   = azurerm_resource_group.rg.name
     network_interface_ids = [azurerm_network_interface.my_terraform_nic.id]
     size                  = "Standard_DS1_v2"
   
     os_disk {
       name                 = "myOsDisk"
       caching              = "ReadWrite"
       storage_account_type = "Premium_LRS"
     }
   
     source_image_reference {
       publisher = "Canonical"
       offer     = "0001-com-ubuntu-server-jammy"
       sku       = "22_04-lts-gen2"
       version   = "latest"
     }
   
     computer_name  = "hostname"
     admin_username = var.username
   
     admin_ssh_key {
       username   = var.username
       public_key = azapi_resource_action.ssh_public_key_gen.output.publicKey
     }
   
     boot_diagnostics {
       storage_account_uri = azurerm_storage_account.my_storage_account.primary_blob_endpoint
     }
   }
   
   resource "random_pet" "prefix" {
     prefix = var.resource_group_name_prefix
     length = 1
   }
   

3. Utwórz plik o nazwie outputs.tf i wstaw następujący kod:

   output "resource_group_name" {
     description = "The name of the created resource group."
     value       = azurerm_resource_group.rg.name
   }
   
   output "virtual_network_name" {
     description = "The name of the created virtual network."
     value       = azurerm_virtual_network.my_terraform_network.name
   }
   
   output "subnet_name_1" {
     description = "The name of the created subnet 1."
     value       = azurerm_subnet.my_terraform_subnet_1.name
   }
   
   output "nat_gateway"{
     description = "The name of the created NAT gateway."
     value       = azurerm_nat_gateway.my_nat_gateway.id
   }
   

4. Utwórz plik o nazwie providers.tf i wstaw następujący kod:

   terraform {
     required_providers {
       azapi = {
         source  = "azure/azapi"
         version = "~>1.5"
       }
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

5. Utwórz plik o nazwie ssh.tf i wstaw następujący kod:

   resource "random_pet" "ssh_key_name" {
     prefix    = "ssh"
     separator = ""
   }
   
   resource "azapi_resource_action" "ssh_public_key_gen" {
     type        = "Microsoft.Compute/sshPublicKeys@2022-11-01"
     resource_id = azapi_resource.ssh_public_key.id
     action      = "generateKeyPair"
     method      = "POST"
   
     response_export_values = ["publicKey", "privateKey"]
   }
   
   resource "azapi_resource" "ssh_public_key" {
     type      = "Microsoft.Compute/sshPublicKeys@2022-11-01"
     name      = random_pet.ssh_key_name.id
     location  = azurerm_resource_group.rg.location
     parent_id = azurerm_resource_group.rg.id
   }
   
   output "key_data" {
     value = azapi_resource_action.ssh_public_key_gen.output.publicKey
   }
   

6. Utwórz plik o nazwie variables.tf i wstaw następujący kod:

   variable "resource_group_location" {
     type        = string
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   
   variable "username" {
     type        = string
     description = "The username for the local account that will be created on the new VM."
     default     = "azureuser"
   }
   

Inicjowanie narzędzia Terraform

Uruchom terraform init, aby zainicjalizować wdrożenie Terraform. Polecenie to pobiera dostawcę Azure wymaganego do zarządzania zasobami Azure.

terraform init -upgrade

Kluczowe punkty:

• Parametr -upgrade uaktualnia niezbędne wtyczki dostawcy do najnowszej wersji, która jest zgodna z ograniczeniami wersji konfiguracji.

Tworzenie planu wykonania programu Terraform

Uruchom terraform plan, aby utworzyć plan realizacji.

terraform plan -out main.tfplan

Kluczowe punkty:

• Polecenie terraform plan tworzy plan wykonania, ale nie wykonuje go. Zamiast tego, określa, jakie działania są niezbędne do stworzenia konfiguracji określonej w plikach konfiguracyjnych. Ten wzorzec pozwala Ci zweryfikować, czy plan wykonania spełnia Twoje oczekiwania, zanim wprowadzisz jakiekolwiek zmiany do rzeczywistych zasobów.
• Opcjonalny parametr -out pozwala określić plik wyjściowy dla planu. Użycie parametru -out zapewnia, że plan, który przejrzałeś, zostanie dokładnie zastosowany.

Zastosuj plan wykonawczy Terraform

Uruchom terraform apply, aby zastosować plan wykonawczy do infrastruktury chmury.

terraform apply main.tfplan

Kluczowe punkty:

• Przykładowe polecenie terraform apply zakłada, że wcześniej uruchomiono polecenie terraform plan -out main.tfplan.
• Jeśli podałeś inną nazwę pliku dla parametru -out, użyj tej samej nazwy pliku w wywołaniu terraform apply.
• Jeśli nie użyłeś parametru -out, wywołaj terraform apply bez żadnych parametrów.

Weryfikowanie wyników

Interfejs wiersza polecenia platformy Azure

1. Pobierz nazwę grupy zasobów platformy Azure.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Pobierz identyfikator bramy NAT.

   nat_gateway=$(terraform output -raw nat_gateway)
   

3. Uruchom az network nat gateway show aby wyświetlić szczegółowe informacje o bramie NAT.

   az network nat gateway show \
       --resource-group $resource_group_name \
       --ids $nat_gateway
   

PowerShell

1. Pobierz nazwę grupy zasobów platformy Azure.

   $resource_group_name=$(terraform output -raw resource_group_name)
   

2. Pobierz identyfikator bramy NAT.

   $nat_gateway=$(terraform output -raw nat_gateway)
   

3. Uruchom Get-AzNatGateway, aby wyświetlić szczegółowe informacje o bramie NAT.

   $nat = @{
       Name = $nat_gateway
       ResourceGroupName = $resource_group_name
   }
   Get-AzNatGateway @nat
   

Testowanie bramy NAT

W tej sekcji przetestujesz bramę NAT. Najpierw odnajdziesz publiczny adres IP bramy NAT. Następnie połączysz się z testową maszyną wirtualną i sprawdzisz połączenie wychodzące za pośrednictwem publicznego adresu IP bramy NAT.

1. W polu wyszukiwania w górnej części portalu wprowadź publiczny adres IP. Wybierz Adresy IP publiczne w wynikach wyszukiwania.

2. Wybierz pozycję public-ip-nat.

3. Zanotuj publiczny adres IP:

   

4. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

5. Wybierz pozycję vm-1.

6. Na stronie Przegląd wybierz pozycję Połącz, a następnie wybierz kartę Bastion.

7. Wybierz Użyj Bastion.

8. Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej. Wybierz i podłącz.

9. W wierszu polecenia bash wprowadź następujące polecenie:

   curl ifconfig.me
   

10. Sprawdź, czy adres IP zwrócony przez polecenie jest zgodny z publicznym adresem IP bramy NAT.

    azureuser@vm-1:~$ curl ifconfig.me
    203.0.113.0.25
    

Uprzątnij zasoby

Portal

Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.

2. Na stronie Grupy zasobów wybierz grupę zasobów test-rg .

3. Na stronie test-rg wybierz pozycję Usuń grupę zasobów.

4. Wprowadź test-rg w Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz Usuń.

PowerShell

Jeśli nie zamierzasz nadal używać tej aplikacji, usuń sieć wirtualną, maszynę wirtualną i bramę translatora adresów sieciowych za pomocą następującego polecenia:

Remove-AzResourceGroup -Name 'test-rg' -Force

CLI

Jeśli nie zamierzasz nadal używać tej aplikacji, usuń sieć wirtualną, maszynę wirtualną i bramę translatora adresów sieciowych za pomocą następującego polecenia:

az group delete \
    --name test-rg \
    --yes

Terraform

Jeśli zasoby utworzone za pomocą narzędzia Terraform nie są już potrzebne, wykonaj następujące czynności:

1. Uruchom terraform plan oraz określ flagę destroy.

   terraform plan -destroy -out main.destroy.tfplan
   

   Kluczowe punkty:

   • Polecenie terraform plan tworzy plan wykonania, ale nie wykonuje go. Zamiast tego, określa, jakie działania są niezbędne do stworzenia konfiguracji określonej w plikach konfiguracyjnych. Ten wzorzec pozwala Ci zweryfikować, czy plan wykonania spełnia Twoje oczekiwania, zanim wprowadzisz jakiekolwiek zmiany do rzeczywistych zasobów.
   • Opcjonalny parametr -out pozwala określić plik wyjściowy dla planu. Użycie parametru -out zapewnia, że plan, który przejrzałeś, zostanie dokładnie zastosowany.

2. Uruchom terraform apply, aby wdrożyć plan realizacji.

   terraform apply main.destroy.tfplan
   

Dalsze kroki

Aby uzyskać więcej informacji na temat usługi Azure NAT Gateway, zobacz:

Omówienie zasobu usługi Azure NAT Gateway