Руководство. Интеграция шлюза NAT с Брандмауэр Azure в концентраторе и периферийной сети для исходящего подключения
В этом руководстве описано, как интегрировать шлюз NAT с Брандмауэр Azure в концентраторе и периферийной сети.
Брандмауэр Azure предоставляет 2496 портов SNAT на общедоступный IP-адрес, настроенный для каждого экземпляра масштабируемого набора виртуальных машин серверной части (не менее двух экземпляров). С Брандмауэр Azure можно связать до 250 общедоступных IP-адресов. В зависимости от требований к архитектуре и шаблонов трафика может потребоваться больше портов SNAT, чем может предоставить Брандмауэр Azure. Кроме того, вам может потребоваться использовать меньше общедоступных IP-адресов, а также требуется больше портов SNAT. Лучший способ исходящего подключения — использовать шлюз NAT. Шлюз NAT предоставляет 64512 портов SNAT на общедоступный IP-адрес и может использоваться до 16 общедоступных IP-адресов.
Шлюз NAT можно интегрировать с Брандмауэр Azure, настроив шлюз NAT непосредственно в подсеть Брандмауэр Azure, чтобы обеспечить более масштабируемый метод исходящего подключения. Для рабочих развертываний рекомендуется сеть концентратора и периферийной сети, где брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки являются пиринговых виртуальных сетей в том же регионе, что и виртуальная сеть концентратора, где находится брандмауэр. В этой архитектуре шлюз NAT может обеспечить исходящее подключение из центральной виртуальной сети для всех периферийных виртуальных сетей, пиринговых.
Примечание.
Шлюз Azure NAT в настоящее время не поддерживается в защищенных архитектурах виртуальной сети (vWAN). Необходимо развернуть архитектуру виртуальной сети концентратора, как описано в этом руководстве. Дополнительные сведения о параметрах архитектуры Брандмауэра Azure см. в разделе Параметры архитектуры Диспетчера брандмауэра Azure.
В этом руководстве описано следующее:
- Создание виртуальной сети концентратора и развертывание Брандмауэр Azure и Бастиона Azure во время развертывания
- Создайте шлюз NAT и свяжите его с подсетью брандмауэра в виртуальной сети концентратора
- Создание периферийной виртуальной сети
- Создание пиринга виртуальных сетей
- Создание таблицы маршрутов для периферийной виртуальной сети
- Создание политики брандмауэра для виртуальной сети концентратора
- Создание виртуальной машины для проверки исходящего подключения через шлюз NAT
Необходимые компоненты
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Создание виртуальной сети концентратора
Виртуальная сеть концентратора содержит подсеть брандмауэра, связанную с шлюзом Брандмауэр Azure и NAT. Используйте следующий пример, чтобы создать виртуальную сеть концентратора.
Войдите на портал Azure.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите + Создать.
На вкладке "Основы " виртуальной сети введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите Создать.
Введите test-rg.
Нажмите кнопку ОК.Сведения об экземпляре Имя. Введите vnet-hub. Область/регион Выберите регион (США) Центрально-южная часть США. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
Выберите "Включить бастион Azure" в разделе "Бастион Azure" на вкладке "Безопасность".
Бастион Azure использует браузер для подключения к виртуальным машинам в виртуальной сети через безопасную оболочку (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения о Бастионе Azure см. в статье "Бастион Azure"
Примечание.
Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
Введите или выберите следующие сведения в Бастионе Azure:
Параметр Значение Имя узла Бастиона Azure Введите бастион. Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
Введите public-ip-бастион в поле "Имя".
Нажмите кнопку ОК.Выберите "Включить Брандмауэр Azure" в разделе Брандмауэр Azure вкладки "Безопасность".
Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Дополнительные сведения о Брандмауэр Azure см. в Брандмауэр Azure.
Введите или выберите следующие сведения в Брандмауэр Azure:
Параметр Значение Имя брандмауэра Azure Введите брандмауэр. Уровень Выберите Стандартное. Политика Выберите Создать.
Введите политику брандмауэра в имени.
Нажмите кнопку ОК.общедоступный IP-адрес Брандмауэр Azure Выберите " Создать общедоступный IP-адрес".
Введите имя общедоступного ip-брандмауэра .
Нажмите кнопку ОК.Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Развертывание узла бастиона и брандмауэра занимает несколько минут. При создании виртуальной сети в рамках развертывания можно перейти к следующим шагам.
Создание шлюза NAT
Весь исходящий интернет-трафик проходит через шлюз NAT к Интернету. Используйте следующий пример, чтобы создать шлюз NAT для концентратора и периферийной сети и связать его с AzureFirewallSubnet.
В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.
Выберите + Создать.
На вкладке "Основы" шлюза создания сетевых адресов (NAT) введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя шлюза NAT Введите nat-gateway. Область/регион Выберите Центрально-южная часть США. Availability zone Выберите зону или зону "Нет". Время ожидания простоя TCP (минуты) Сохраните значение по умолчанию 4. Дополнительные сведения о зонах доступности см. в разделе шлюза NAT и зон доступности.
Выберите Далее: Исходящий IP-адрес внизу страницы.
В исходящих IP-адресах в общедоступных IP-адресах выберите "Создать новый общедоступный IP-адрес".
Введите public-ip-nat в name.
Нажмите ОК.
Выберите Далее: Подсеть.
В виртуальная сеть выберите vnet-hub.
Выберите AzureFirewallSubnet в имени подсети.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Создание периферийной виртуальной сети
Периферийная виртуальная сеть содержит тестовую виртуальную машину, используемую для проверки маршрутизации интернет-трафика в шлюз NAT. Используйте следующий пример для создания периферийной сети.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите + Создать.
На вкладке "Основы " виртуальной сети введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя. Введите виртуальную сеть. Область/регион Выберите Центрально-южная часть США. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .
На вкладке IP-адресов в адресном пространстве IPv4 выберите удалить адресное пространство, чтобы удалить адресное пространство , заполненное автоматически.
Выберите +Добавить адресное пространство IPv4.
В адресном пространстве IPv4 введите 10.1.0.0. Оставьте значение по умолчанию /16 (65 536 адресов) в выборе маски.
Выберите +Добавить подсеть.
В поле "Добавить подсеть " введите или выберите следующие сведения:
Параметр Значение Назначение подсети Оставьте значение по умолчанию по умолчанию. Имя. Введите подсеть-private. IРv4 Диапазон адресов IPv4 Оставьте значение по умолчанию 10.1.0.0/16. Начальный адрес Оставьте значение по умолчанию 10.1.0.0. Размер Оставьте значение по умолчанию /24(256 адресов). Выберите Добавить.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Создание пиринга между концентратором и периферийным устройствами
Пиринг виртуальной сети используется для подключения концентратора к периферийной и периферийной сети к концентратору. Используйте следующий пример, чтобы создать двусторонняя пиринговая связь между концентратором и периферийным устройством.
В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.
Выберите виртуальный концентратор.
Выберите пиринги в параметрах.
Выберите Добавить.
Введите или выберите следующие сведения в разделе "Добавление пиринга".
Параметр Значение Сводка по удаленной виртуальной сети Имя пиринговой связи Введите vnet-spoke-to-vnet-hub. Модель развертывания виртуальной сети Оставьте значение по умолчанию resource manager. Отток подписок Выберите свою подписку. Виртуальная сеть Выберите виртуальную сеть-периферийный (test-rg). Параметры пиринга удаленной виртуальной сети Разрешить "виртуальной сети", чтобы получить доступ к "vnet-hub" Оставьте значение по умолчанию "Выбрано". Разрешить "виртуальной сети" получать переадресованный трафик из "vnet-hub" Установите флажок. Разрешить шлюзу или серверу маршрутизации в виртуальной сети перенаправить трафик в "vnet-hub" Оставьте значение по умолчанию unselected. Включение "виртуальной сети- периферийный" для использования удаленного шлюза или сервера маршрутов "vnet-hub" Оставьте значение по умолчанию unselected. Сводка по локальной виртуальной сети Имя пиринговой связи Введите vnet-hub-to-vnet-spoke. Параметры пиринга локальной виртуальной сети Разрешить "vnet-hub" получить доступ к "vnet-spoke-2" Оставьте значение по умолчанию "Выбрано". Разрешить "vnet-hub" получать переадресованный трафик из "виртуальной сети-периферийный" Установите флажок. Разрешить шлюзу или серверу маршрутизации в "vnet-hub" перенаправить трафик в "виртуальную сеть- периферийный" Оставьте значение по умолчанию unselected. Включите "vnet-hub" для использования удаленного шлюза или сервера маршрутизации виртуальной сети Оставьте значение по умолчанию unselected. Выберите Добавить.
Выберите "Обновить" и убедитесь, что состояние пиринга подключено.
Создание таблицы маршрутов для периферийной сети
Таблица маршрутов заставляет весь трафик покидать периферийную виртуальную сеть в виртуальную сеть концентратора. Таблица маршрутов настраивается с частным IP-адресом Брандмауэр Azure в качестве виртуального устройства.
Получение частного IP-адреса брандмауэра
Частный IP-адрес брандмауэра необходим для таблицы маршрутов, созданной далее в этой статье. Используйте следующий пример, чтобы получить частный IP-адрес брандмауэра.
В поле поиска в верхней части портала введите Брандмауэр. Выберите брандмауэры в результатах поиска.
Выберите брандмауэр.
В обзоре брандмауэра обратите внимание на IP-адрес в частном IP-адресе брандмауэра поля. IP-адрес в этом примере — 10.0.1.68.
Создание таблицы маршрутов
Создайте таблицу маршрутов для принудительной принудительной передачи трафика через брандмауэр в виртуальной сети концентратора.
В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.
Выберите + Создать.
В таблице "Создать маршрут " введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Область/регион Выберите Центрально-южная часть США. Имя. Введите маршрутизацию-таблицу-периферийный. Распространение маршрутов шлюза Выберите Нет. Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.
Выберите route-table-spoke.
В разделе "Параметры" выберите "Маршруты".
Выберите + Добавить в маршруты.
Введите или выберите следующие сведения в поле "Добавить маршрут".
Параметр Значение Имя маршрута Введите маршрут к концентратору. Тип назначения Выберите IP-адреса. Диапазоны IP-адресов назначения или CIDR Введите 0.0.0.0/0. Тип следующего прыжка Выберите Виртуальный модуль. Адрес следующего прыжка Введите 10.0.1.68. Выберите Добавить.
В разделе Параметры выберите Подсети.
Нажмите + Связать.
Введите или выберите следующие сведения в подсети "Связать".
Параметр Значение Виртуальная сеть Выберите виртуальную сеть-периферийный (test-rg). Подсеть Выберите подсеть частной. Нажмите ОК.
Настройка брандмауэра
Трафик из периферийной сети через концентратор должен быть разрешен через политику брандмауэра и сетевое правило. Используйте следующий пример, чтобы создать политику брандмауэра и правило сети.
Настройка сетевого правила
В поле поиска в верхней части портала введите Брандмауэр. Выберите политики брандмауэра в результатах поиска.
Выберите политику брандмауэра.
Разверните раздел "Параметры" , а затем выберите правила сети.
Выберите + Добавить коллекцию правил.
В поле "Добавить коллекцию правил" введите или выберите следующие сведения:
Параметр Значение Имя. Введите периферийные подключения к Интернету. Тип коллекции правил Выберите Сеть. Приоритет Введите 100. Действие коллекции правил Выберите Разрешить. Группа коллекции правил Выберите DefaultNetworkRuleCollectionGroup. Правила Имя. Введите allow-web. Тип источника IP-адрес. Исходный код Введите 10.1.0.0/24. Протокол Выберите TCP. Порты назначения Введите 80 443. Тип назначения Выберите IP-адрес. Назначение Входить* Выберите Добавить.
Создание тестовой виртуальной машины
Виртуальная машина Ubuntu используется для тестирования исходящего интернет-трафика через шлюз NAT. Используйте следующий пример для создания виртуальной машины Ubuntu.
Следующая процедура создает тестовую виртуальную машину с именем виртуальной машины в виртуальной сети.
На портале найдите и выберите "Виртуальные машины".
На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.
На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Virtual machine name Введите виртуальную машину. Область/регион Выберите регион (США) Центрально-южная часть США. Параметры доступности Выберите Избыточность инфраструктуры не требуется. Тип безопасности Оставьте значение по умолчанию Стандартный. Изображения Выберите Ubuntu Server 24.04 LTS — x64-го поколения 2-го поколения. Архитектура виртуальной машины Оставьте значение по умолчанию x64. Размер Выберите размер. Учетная запись администратора Тип аутентификации выберите Пароль. Username Введите azureuser. Пароль Введите пароль. Подтверждение пароля Повторно введите пароль. Правила входящего порта Общедоступные входящие порты Выберите Отсутствует. Выберите вкладку "Сеть" в верхней части страницы или нажмите кнопку "Далее:Диски", а затем "Далее:Сеть".
На вкладке Сеть введите или выберите следующие значения параметров:
Параметр Значение Сетевой интерфейс Виртуальная сеть Выберите виртуальную сеть. Подсеть Выберите подсеть -private (10.1.0.0/24). Общедоступный IP-адрес Выберите Отсутствует. Группа безопасности сети сетевого адаптера Выберите Дополнительно. Настройка группы безопасности сети Выберите Создать.
Введите nsg-1 для имени.
Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".
Проверьте параметры и выберите Создать.
Дождитесь завершения развертывания виртуальной машины, прежде чем перейти к следующим шагам.
Примечание.
Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.
Тестирование шлюза NAT
Вы подключаетесь к виртуальным машинам Ubuntu, созданным на предыдущих шагах, чтобы убедиться, что исходящий интернет-трафик покидает шлюз NAT.
Получение общедоступного IP-адреса шлюза NAT
Получите общедоступный IP-адрес шлюза NAT для проверки действий далее в статье.
В поле поиска в верхней части портала введите Общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.
Выберите public-ip-nat.
Запишите значение в IP-адресе. Пример, используемый в этой статье, — 203.0.113.0.25.
Тестирование шлюза NAT из периферийной сети
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите виртуальную машину.
В разделе "Обзор" выберите "Подключиться" и "Подключиться через бастион".
Введите имя пользователя и пароль, введенные в процессе создания виртуальной машины. Нажмите Подключиться.
В командной строке bash введите следующую команду:
curl ifconfig.me
Убедитесь, что IP-адрес, возвращенный командой, соответствует общедоступному IP-адресу шлюза NAT.
azureuser@vm-1:~$ curl ifconfig.me 203.0.113.0.25
Закройте подключение Бастиона к виртуальной машине.
Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.
Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.
На странице групп ресурсов выберите группу ресурсов test-rg.
На странице test-rg выберите "Удалить группу ресурсов".
Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".
Следующие шаги
Перейдите к следующей статье, чтобы узнать, как интегрировать шлюз NAT с Azure Load Balancer: