Tutorial: Integrar o gateway da NAT com o Firewall do Azure em uma rede hub e spoke para ter conectividade de saída
Neste tutorial, você aprenderá a integrar um gateway da NAT com um Firewall do Azure em uma rede de hub e spoke
O Firewall do Azure fornece 2.496 portas SNAT por endereço IP público configuradas de acordo com a instância do Conjunto de Dimensionamento de Máquinas Virtuais de back-end (mínimo de duas instâncias). Você pode associar até 250 endereços IP públicos ao Firewall do Azure. Dependendo dos requisitos de arquitetura e dos padrões de tráfego, você pode exigir mais portas SNAT do que o que o Firewall do Azure pode fornecer. Você também pode exigir o uso de menos IPs públicos, mas exigindo ao mesmo tempo mais portas SNAT. Um método melhor para conectividade de saída é usar o gateway da NAT. O gateway da NAT fornece 64.512 portas SNAT por endereço IP público e pode ser usado com até 16 endereços IP públicos.
O gateway da NAT pode ser integrado ao Firewall do Azure com a configuração do gateway da NAT diretamente para a sub-rede do Firewall do Azure a fim de fornecer um método mais escalonável de conectividade de saída. Para implantações de produção, é recomendada uma rede hub e spoke, em que o firewall é, por si só, a rede virtual. Os servidores de carga de trabalho são redes virtuais emparelhadas na mesma região que a rede virtual hub em que o firewall reside. Nessa configuração de arquitetura, o gateway da NAT pode fornecer conectividade de saída da rede virtual hub para todas as redes virtuais spoke emparelhadas.
Observação
Atualmente, não há suporte do Gateway da NAT do Azure em arquiteturas de rede de hub virtual (vWAN) seguras. Implante usando uma arquitetura de rede virtual do hub, conforme descrito neste tutorial. Para obter mais informações sobre as opções da arquitetura do Firewall do Azure, confira Quais são as opções de arquitetura do Gerenciador de Firewall do Azure?.
Neste tutorial, você aprenderá a:
- Criar uma rede virtual de hub e implantar um Firewall do Azure e o Azure Bastion durante a implantação
- Criar um gateway da NAT e associá-lo à sub-rede de firewall na rede virtual hub
- Criar uma rede virtual spoke
- Criar um emparelhamento de rede virtual
- Criar uma tabela de rotas para a rede virtual spoke
- Criar uma política de firewall para a rede virtual hub
- Criar uma máquina virtual para testar a conectividade de saída por meio do gateway da NAT
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Criar a rede virtual hub
A rede virtual hub contém a sub-rede de firewall associada ao gateway da NAT e ao Firewall do Azure. Use o exemplo a seguir para criar a rede virtual hub.
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione Criar novo.
Insira test-rg.
Selecione OK.Detalhes da instância Nome Insira vnet-hub. Region Selecione (EUA) Centro-Sul dos EUA. Selecione Avançar para prosseguir para a guia Segurança.
Selecione Habilitar Azure Bastion na seção Azure Bastion da guia Segurança.
O Azure Bastion usa seu navegador para se conectar a VMs em sua rede virtual por meio do secure shell (SSH) ou protocolo da área de trabalho remota (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações sobre o Azure Bastion, consulte Azure Bastion
Observação
Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.
Insira ou selecione as informações a seguir em Azure Bastion.
Configuração Valor Nome do host do Azure Bastion Insira bastion. Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
Insira public-ip-bastion em Nome.
Selecione
.Selecione Habilitar Firewall do Azure na seção Firewall do Azure da guia Segurança.
O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Para obter mais informações sobre o Firewall do Azure, confira Firewall do Azure.
Insira ou selecione as informações a seguir em Firewall do Azure:
Configuração Valor Nome do Firewall do Azure Insira firewall. Camada Selecione Padrão. Política Selecione Criar novo.
Insira firewall-policy em Nome.
Selecione OK.Endereço IP público do Firewall do Azure Selecione Criar um endereço IP público.
Insira public-ip-firewall em Nome.
Selecione
.Selecione Avançar para prosseguir para a guia Endereços de IP.
Selecione Examinar + criar.
Selecione Criar.
A implantação do host do bastion e do firewall leva alguns minutos. Quando a rede virtual for criada como parte da implantação, você poderá prosseguir para as próximas etapas.
Criar o gateway da NAT
Todo o tráfego de saída da Internet atravessa o gateway da NAT para a Internet. Use o exemplo a seguir para criar um gateway da NAT para a rede hub e spoke e associá-lo ao AzureFirewallSubnet.
Na caixa de pesquisa na parte superior do portal, insira Gateway da NAT. Selecione Gateways da NAT nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações básicas em Criar gateway da NAT (conversão de endereços de rede), insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome do gateway da NAT Insira o nat-gateway. Região Selecione Centro-Sul dos EUA. Zona de disponibilidade Selecione uma Zona ou Sem zona. Tempo limite ocioso do TCP (minutos) Mantenha o padrão de 4. Para obter informações sobre zonas de disponibilidade, confira Gateway da NAT e zonas de disponibilidade.
Selecione Avançar: IP de saída.
Em IP de Saída, em Endereços IP públicos, selecione Criar um endereço IP público.
Insira public-ip-nat em Nome.
Selecione OK.
Selecione Avançar: Sub-rede.
Em Rede Virtual selecione vnet-hub.
Selecione AzureFirewallSubnet em Nome da sub-rede.
Selecione Examinar + criar.
Selecione Criar.
Criar a rede virtual spoke
A rede virtual spoke contém a máquina virtual de teste usada para testar o roteamento do tráfego da Internet para o gateway da NAT. Use o exemplo a seguir para criar a rede spoke.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome Insira vnet-spoke. Região Selecione Centro-Sul dos EUA. Selecione Avançar para prosseguir para a guia Segurança.
Selecione Avançar para prosseguir para a guia Endereços de IP.
Na guia Endereços IP em Espaço de endereços IPv4, selecione Excluir espaço de endereços para excluir o espaço de endereços que é preenchido automaticamente.
Selecione + Adicionar espaço de endereços IPv4.
No Espaço do endereços IPv4 insira 10.1.0.0. Deixe o padrão de /16 (65.536 endereços) na seleção de máscara.
Selecione +Adicionar uma sub-rede.
Insira ou selecione as informações a seguir em Adicionar sub-rede:
Configuração Valor Finalidade da sub-rede Deixe o padrãoPadrão. Nome Insira subnet-private. IPv4 Intervalo de endereços IPv4 Mantenha o padrão de 10.1.0.0/16. Endereço inicial Deixe o padrão de 10.1.0.0. Tamanho Deixe o padrão /24(256 endereços). Selecione Adicionar.
Selecione Examinar + criar.
Selecione Criar.
Criar emparelhamento entre o hub e o spoke
Um emparelhamento de rede virtual é usado para conectar o hub ao spoke e o spoke ao hub. Use o exemplo a seguir para criar um emparelhamento de rede bidirecional entre o hub e o spoke.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-hub.
Selecione Emparelhamentos em Configurações.
Selecione + Adicionar.
Insira ou selecione as seguintes informações em Adicionar emparelhamento:
Configuração Valor Resumo da rede virtual remota Nome do link de emparelhamento Insira vnet-spoke-to-vnet-hub. Modelo de implantação de rede virtual Mantenha o padrão Gerenciador de recursos. Subscription Selecione sua assinatura. Rede virtual Selecione vnet-spoke (test-rg). Configurações do emparelhamento da rede virtual remota Permitir que o "vnet-spoke" acesse o "vnet-hub" Deixe o padrão Selecionado. Permitir que o "vnet-spoke" receba o tráfego encaminhado do "vnet-hub" Selecione a caixa de seleção. Permitir que o gateway ou o servidor de rota em "vnet-spoke" encaminhe o tráfego para "vnet-hub" Mantenha o padrão de Desmarcado. Permitir que "vnet-spoke" use o gateway remoto ou o servidor de rota de "vnet-hub" Mantenha o padrão de Desmarcado. Resumo da rede virtual local Nome do link de emparelhamento Insira vnet-hub-to-vnet-spoke. Configurações de emparelhamento da rede virtual local Permitir que o "vnet-hub" acesse o "vnet-spoke-2" Deixe o padrão Selecionado. Permitir que o "vnet-hub" receba o tráfego encaminhado do "vnet-spoke" Selecione a caixa de seleção. Permitir que o gateway ou o servidor de rota em "vnet-hub" encaminhe o tráfego para "vnet-spoke" Mantenha o padrão de Desmarcado. Permitir que "vnet-hub" use o gateway remoto ou o servidor de rota de "vnet-spoke" Mantenha o padrão de Desmarcado. Selecione Adicionar.
Selecione Atualizar e verifique se o Status do emparelhamento é Conectado.
Criar tabela de rotas de rede spoke
Uma tabela de rotas força todo o tráfego que sai da rede virtual spoke para a rede virtual de hub. A tabela de rotas é configurada com o endereço IP privado do Firewall do Azure como a solução de virtualização.
Obter o endereço IP privado do firewall
O endereço IP privado do firewall é exigido pela tabela de rotas criada posteriormente neste artigo. Use o exemplo a seguir para obter o endereço IP privado do firewall.
Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Firewalls nos resultados da pesquisa.
Selecione firewall.
Na Visão geral do firewall, observe o endereço IP no campo IP privado do Firewall. Neste exemplo, o endereço IP é 10.0.1.68.
Criar tabela de rotas
Crie uma tabela de rotas para forçar todo o tráfego de saída entre spokes e da internet por meio do firewall na rede virtual hub.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione + Criar.
Em Criar Tabela de rotas, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Região Selecione Centro-Sul dos EUA. Nome Insira route-table-spoke. Propagar rotas de gateway Selecione Não. Selecione Examinar + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione route-table-spoke.
Em Configurações, selecione Rotas.
Selecione + Adicionar em Rotas.
Insira ou selecione as seguintes informações em Adicionar rota:
Configuração Valor Nome da rota Insira route-to-hub. Tipo de destino Selecione Endereços IP. Intervalos de CIDR /endereço IP de destino Insira 0.0.0.0/0. Tipo do próximo salto Selecione Solução de virtualização. Endereço do próximo salto Insira 10.0.1.68. Selecione Adicionar.
Selecione Sub-redes em Configurações.
Selecione + Associar.
Insira ou selecione as seguintes informações em Associar sub-rede:
Configuração Valor Rede virtual Selecione vnet-spoke (test-rg). Sub-rede Selecione subnet-private. Selecione OK.
Configurar o firewall
O tráfego do spoke por meio do hub precisa ser permitido por meio da política de firewall e de uma regra de rede. Use o exemplo a seguir para criar a política de firewall e a regra de rede.
Configurar regra de rede
Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Políticas de Firewall nos resultados da pesquisa.
Selecione firewall-policy.
Expanda Configurações e selecione Regras de rede.
Selecione + Adicionar uma coleção de regras.
Em Adicionar coleção de regras, insira ou selecione as seguintes informações:
Configuração Valor Nome Insira spoke-to-internet. Tipo de coleção de regras Selecionar Rede. Prioridade Insira 100. Ação da coleção de regras selecione Permitir. Grupo de coleções de regras Selecione DefaultNetworkRuleCollectionGroup. Regras Nome Insira allow-web. Tipo de origem Endereço IP. Fonte Insira 10.1.0.0/24. Protocolo selecione TCP. Portas de destino Insira 80,443. Tipo de Destino Selecione Endereço IP. Destino Insira * Selecione Adicionar.
Criar máquina virtual de teste
Uma máquina virtual Ubuntu é usada para testar o tráfego de saída da Internet por meio do gateway da NAT. Use o seguinte exemplo para criar uma máquina virtual Ubuntu.
O procedimento a seguir cria uma máquina virtual de teste (VM) chamada vm-spoke na rede virtual.
No portal, pesquise e selecione Máquinas virtuais.
Em Máquinas virtuais, selecione + Criar e, em seguida, Máquina virtual do Azure.
Na guia Informações Básicas em Criar uma máquina virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-spoke. Região Selecione (EUA) Centro-Sul dos EUA. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Deixe o padrão de Standard. Imagem Selecione Ubuntu Server 24.04 LTS - x64 Gen2. Arquitetura de VMs Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Senha. Nome de Usuário insira azureuser. Senha Digite uma senha. Confirmar senha Digitar novamente a senha. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione a guia Rede na parte superior da página ou selecione Avançar: Discos e Avançar: Rede.
Insira ou selecione as seguintes informações na guia Rede:
Configuração Valor Interface de rede Rede virtual Selecione vnet-spoke. Sub-rede Selecione subnet-private (10.1.0.0/24). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Insira nsg-1 no nome.
Deixe os demais valores como padrão e selecione OK.Deixe o restante das configurações nos padrões e selecione Revisar + criar.
Examine as configurações e selecione Criar.
Aguarde até que a máquina virtual conclua a implantação antes de continuar com as próximas etapas.
Observação
Máquinas virtuais em uma rede virtual com um bastion host não precisam de endereços IP públicos. O Bastion fornece o IP público e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas no bastion. Para obter mais informações, confira dissociar um endereço IP público de uma VM do Azure.
Testar um gateway da NAT
Conecte-se às máquinas virtuais Ubuntu criadas nas etapas anteriores para verificar se o tráfego de saída da Internet está saindo do gateway da NAT.
Obter endereço IP público do gateway da NAT
Obtenha o endereço IP público do gateway da NAT para verificação das etapas mais adiante no artigo.
Na caixa de pesquisa na parte superior do portal, insira IP público. Selecione Endereços IP públicos nos resultados da pesquisa.
Selecione public-ip-nat.
Anote o valor no endereço IP. O exemplo usado neste artigo é 203.0.113.0.25.
Testar o gateway da NAT do spoke
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-spoke.
Em Visão geral, selecione Conectar e Conectar-se com Bastion.
Insira o nome de usuário e a senha fornecidos durante a criação da VM. Selecione Conectar.
No prompt de bash, digite o seguinte comando:
curl ifconfig.me
Verifique se o endereço IP retornado pelo comando corresponde ao endereço IP público do gateway da NAT.
azureuser@vm-1:~$ curl ifconfig.me 203.0.113.0.25
Fechar a conexão do Bastion com vm-spoke.
Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.
No portal do Azure, procure por Grupos de recursos e selecione essa opção.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos .
Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.
Próximas etapas
Avance para o próximo artigo para saber como integrar um gateway da NAT a um Azure Load Balancer: