Интеграция шлюза NAT с брандмауэром Azure в концентраторе и периферийной сети для исходящего подключения

В этом руководстве описано, как интегрировать шлюз NAT с брандмауэром Azure в концентраторе и периферийной сети для повышения исходящего подключения и масштабируемости.

Брандмауэр Azure предоставляет 2496 портов SNAT на общедоступный IP-адрес, настроенный для каждого экземпляра масштабируемого набора виртуальных машин серверной части (не менее двух экземпляров). С Брандмауэр Azure можно связать до 250 общедоступных IP-адресов. В зависимости от требований к архитектуре и шаблонов трафика может потребоваться больше портов SNAT, чем у брандмауэра Azure. Кроме того, вам может потребоваться использовать меньше общедоступных IP-адресов, а также требуется больше портов SNAT. Лучший способ исходящего подключения — использовать шлюз NAT. Шлюз NAT предоставляет 64512 портов SNAT на общедоступный IP-адрес и может использоваться до 16 общедоступных IP-адресов.

Шлюз NAT можно интегрировать с брандмауэром Azure, настроив шлюз NAT непосредственно в подсети брандмауэра Azure. Эта связь предоставляет более масштабируемый метод исходящего подключения. Для рабочих развертываний рекомендуется сеть концентратора и периферийной сети, где брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки являются пиринговых виртуальных сетей в том же регионе, что и виртуальная сеть концентратора, где находится брандмауэр. В этой архитектуре шлюз NAT может обеспечить исходящее подключение из центральной виртуальной сети для всех периферийных виртуальных сетей, пиринговых.

Примечание

Хотя шлюз NAT можно развернуть в концентраторе и периферийной архитектуре виртуальной сети, как описано в этом руководстве, шлюз NAT не поддерживается в центральной виртуальной сети архитектуры виртуальной глобальной сети. Чтобы использовать в архитектуре vWAN, шлюз NAT необходимо настроить непосредственно на периферийные виртуальные сети, связанные с защищенным виртуальным концентратором (vWAN). Дополнительные сведения о параметрах архитектуры Брандмауэра Azure см. в разделе Параметры архитектуры Диспетчера брандмауэра Azure.

В этом руководстве описано следующее:

• Создание виртуальной сети концентратора и развертывание Брандмауэр Azure и Бастиона Azure во время развертывания
• Создайте шлюз NAT и свяжите его с подсетью брандмауэра в виртуальной сети концентратора
• Создание периферийной виртуальной сети
• Создание пиринга виртуальных сетей
• Создание таблицы маршрутов для периферийной виртуальной сети
• Создание политики брандмауэра для виртуальной сети концентратора
• Создание виртуальной машины для проверки исходящего подключения через шлюз NAT

Необходимые компоненты

Портал

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

PowerShell

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

Azure Cloud Shell

Azure размещает Azure Cloud Shell, интерактивную среду оболочки, которую можно использовать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для выполнения кода в этой статье можно использовать предустановленные команды Cloud Shell, не устанавливая ничего в локальной среде.

Чтобы запустить Azure Cloud Shell, выполните приведенные действия.

Вариант	Пример/ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

1. Запустите Cloud Shell.

2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

3. Вставьте код или команду в сеанс Cloud Shell, выбрав CTRL+SHIFT+V в Windows и Linux или выбрав Cmd+Shift+V в macOS.

4. Нажмите Enter, чтобы запустить код или команду.

Чтобы установить и использовать PowerShell локально для работы с этой статьей, вам понадобится модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните команду Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

CLI

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

Если у вас нет аккаунта Azure, создайте бесплатную учетную запись перед началом.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".

  

• Если вы предпочитаете запускать справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, подумайте о запуске Azure CLI в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, войдите в Azure CLI с помощью команды az login . Чтобы завершить процесс аутентификации, следуйте шагам, отображаемым в вашем терминале. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".

  • Когда вас попросят, установите расширение Azure CLI при первом использовании. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этой статьей требуется Azure CLI версии 2.0.28 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Создание виртуальной сети концентратора

Виртуальная сеть концентратора содержит подсеть брандмауэра, связанную с шлюзом Брандмауэр Azure и NAT. Используйте следующий пример, чтобы создать виртуальную сеть концентратора.

Портал

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

3. Выберите + Создать.

4. На вкладке "Основные сведения" для создания виртуальной сети введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите Создать. Введите test-rg. Нажмите кнопку ОК.
   Сведения об экземпляре
   Имя.	Введите vnet-hub.
   Область/регион	Выберите регион (США) Центрально-южная часть США.

5. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

6. Выберите "Включить бастион Azure" в разделе "Бастион Azure" на вкладке "Безопасность".

   Бастион Azure использует браузер для подключения к виртуальным машинам в виртуальной сети через безопасную оболочку (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения о Бастионе Azure см. в статье "Бастион Azure"

   Примечание

   Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

7. Введите или выберите следующие сведения в Бастионе Azure:

   Параметр	Значение
   Имя узла Бастиона Azure	Введите бастион.
   Общедоступный IP-адрес Бастиона Azure	Выберите " Создать общедоступный IP-адрес". Введите public-ip-бастион в поле "Имя". Нажмите кнопку ОК.

8. Выберите "Включить Брандмауэр Azure" в разделе Брандмауэр Azure вкладки "Безопасность".

   Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Дополнительные сведения о Брандмауэр Azure см. в Брандмауэр Azure.

9. Введите или выберите следующие сведения в Брандмауэр Azure:

   Параметр	Значение
   Имя брандмауэра Azure	Введите брандмауэр.
   Уровень	Выберите Стандартное.
   Политика	Выберите Создать. Введите политику брандмауэра в имени. Нажмите кнопку ОК.
   общедоступный IP-адрес Брандмауэр Azure	Выберите " Создать общедоступный IP-адрес". Введите имя общедоступного ip-брандмауэра . Нажмите кнопку ОК.

10. Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .

11. Выберите Review + create (Просмотреть и создать).

12. Нажмите кнопку создания.

Развертывание узла бастиона и брандмауэра занимает несколько минут. При создании виртуальной сети в рамках развертывания можно перейти к следующим шагам.

PowerShell

Создайте группу ресурсов с помощью New-AzResourceGroup .

# Create resource group
$rgParams = @{
    Name = 'test-rg'
    Location = 'South Central US'
}
New-AzResourceGroup @rgParams

Создайте виртуальную сеть концентратора с помощью New-AzVirtualNetwork .

# Create hub virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'South Central US'
    Name = 'vnet-hub'
    AddressPrefix = '10.0.0.0/16'
}
$hubVnet = New-AzVirtualNetwork @vnetParams

Используйте Add-AzVirtualNetworkSubnetConfig , чтобы создать подсеть для брандмауэра Azure и Бастиона Azure.

# Create default subnet
$subnetParams = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Firewall
$subnetParams = @{
    Name = 'AzureFirewallSubnet'
    AddressPrefix  = '10.0.1.64/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Bastion
$subnetParams = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix  = '10.0.1.0/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Для обновления виртуальной сети используйте командлет Set-AzVirtualNetwork.

# Create the virtual network
$hubVnet | Set-AzVirtualNetwork

Используйте New-AzPublicIpAddress для создания общедоступного IP-адреса для Бастиона Azure.

# Create public IP for Azure Bastion
$publicIpBastionParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'South Central US'
    Name = 'public-ip-bastion'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIpBastion = New-AzPublicIpAddress @publicIpBastionParams

Используйте New-AzBastion для создания Бастиона Azure.

# Create Azure Bastion
$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-hub"
    PublicIpAddressName = "public-ip-bastion"
    PublicIPAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
}
New-AzBastion @bastionParams

Используйте New-AzPublicIpAddress для создания общедоступного IP-адреса для брандмауэра Azure.

# Create public IP for Azure Firewall
$publicIpFirewallParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'South Central US'
    Name = 'public-ip-firewall'
    AllocationMethod  = 'Static'
    Sku = 'Standard'
    Zone = 1, 2, 3
}
$publicIpFirewall = New-AzPublicIpAddress @publicIpFirewallParams

Используйте New-AzFirewallPolicy для создания политики брандмауэра.

# Create firewall policy
$firewallPolicyParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'South Central US'
    Name = 'firewall-policy'
}
$firewallPolicy = New-AzFirewallPolicy @firewallPolicyParams

Используйте New-AzFirewall для создания брандмауэра Azure.

# Create Azure Firewall
    $firewallParams = @{
        ResourceGroupName = 'test-rg'
        Location = 'South Central US'
        Name = 'firewall'
        VirtualNetworkName = 'vnet-hub'
        PublicIpName = 'public-ip-firewall'
        FirewallPolicyId = $firewallPolicy.Id
    }
    $firewall = New-AzFirewall @firewallParams

CLI

Используйте az group create для создания группы ресурсов.

# Variables
RESOURCE_GROUP="test-rg"
LOCATION="southcentralus"

az group create \
	--name $RESOURCE_GROUP \
	--location $LOCATION

Используйте az network vnet create для создания виртуальной сети концентратора.

# Variables
RESOURCE_GROUP="test-rg"
VNET_HUB_NAME="vnet-hub"
VNET_HUB_ADDRESS_PREFIX="10.0.0.0/16"
SUBNET_1_NAME="subnet-1"
SUBNET_1_PREFIX="10.0.0.0/24"

az network vnet create \
	--resource-group $RESOURCE_GROUP \
	--name $VNET_HUB_NAME \
	--address-prefix $VNET_HUB_ADDRESS_PREFIX \
	--subnet-name $SUBNET_1_NAME \
	--subnet-prefix $SUBNET_1_PREFIX

Используйте az network vnet subnet create для создания подсети для Бастиона Azure.

# Variables
RESOURCE_GROUP="test-rg"
VNET_HUB_NAME="vnet-hub"
BASTION_SUBNET_NAME="AzureBastionSubnet"
BASTION_SUBNET_PREFIX="10.0.1.0/26"

az network vnet subnet create \
	--resource-group $RESOURCE_GROUP \
	--vnet-name $VNET_HUB_NAME \
	--name $BASTION_SUBNET_NAME \
	--address-prefix $BASTION_SUBNET_PREFIX

Используйте az network vnet subnet create для создания подсети для брандмауэра Azure.

# Variables
RESOURCE_GROUP="test-rg"
VNET_HUB_NAME="vnet-hub"
FIREWALL_SUBNET_NAME="AzureFirewallSubnet"
FIREWALL_SUBNET_PREFIX="10.0.1.64/26"

az network vnet subnet create \
	--resource-group $RESOURCE_GROUP \
	--vnet-name $VNET_HUB_NAME \
	--name $FIREWALL_SUBNET_NAME \
	--address-prefix $FIREWALL_SUBNET_PREFIX

Используйте az network public-ip create для создания общедоступного IP-адреса для Бастиона Azure.

# Variables
RESOURCE_GROUP="test-rg"
BASTION_PUBLIC_IP_NAME="public-ip-bastion"
ALLOCATION_METHOD="Static"
SKU="Standard"

az network public-ip create \
	--resource-group $RESOURCE_GROUP \
	--name $BASTION_PUBLIC_IP_NAME \
	--allocation-method $ALLOCATION_METHOD \
	--sku $SKU

Используйте az network bastion create для создания Azure Bastion.

# Variables
RESOURCE_GROUP="test-rg"
BASTION_NAME="bastion"
BASTION_PUBLIC_IP_NAME="public-ip-bastion"
VNET_HUB_NAME="vnet-hub"

az network bastion create \
	--resource-group $RESOURCE_GROUP \
	--name $BASTION_NAME \
	--public-ip-address $BASTION_PUBLIC_IP_NAME \
	--vnet-name $VNET_HUB_NAME

Используйте az network public-ip create для создания общедоступного IP-адреса для брандмауэра Azure.

# Variables
RESOURCE_GROUP="test-rg"
FIREWALL_PUBLIC_IP_NAME="public-ip-firewall"
ALLOCATION_METHOD="Static"
SKU="Standard"

az network public-ip create \
	--resource-group $RESOURCE_GROUP \
	--name $FIREWALL_PUBLIC_IP_NAME \
	--allocation-method $ALLOCATION_METHOD \
	--sku $SKU

Используйте az network firewall policy create для создания политики брандмауэра.

# Variables
RESOURCE_GROUP="test-rg"
FIREWALL_POLICY_NAME="firewall-policy"

az network firewall policy create \
	--resource-group $RESOURCE_GROUP \
	--name $FIREWALL_POLICY_NAME

Используйте az network firewall create для создания брандмауэра Azure.

# Variables
RESOURCE_GROUP="test-rg"
FIREWALL_NAME="firewall"
VNET_HUB_NAME="vnet-hub"
FIREWALL_POLICY_NAME="firewall-policy"
FIREWALL_PUBLIC_IP_NAME="public-ip-firewall"

az network firewall create \
	--resource-group $RESOURCE_GROUP \
	--name $FIREWALL_NAME \
	--vnet-name $VNET_HUB_NAME \
	--firewall-policy $FIREWALL_POLICY_NAME \
	--public-ip $FIREWALL_PUBLIC_IP_NAME

Создание шлюза NAT

Весь исходящий интернет-трафик проходит через шлюз NAT к Интернету. Используйте следующий пример, чтобы создать шлюз NAT для концентратора и периферийной сети и связать его с AzureFirewallSubnet.

Портал

1. В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.

2. Выберите + Создать.

3. На вкладке "Основы" шлюза создания сетевых адресов (NAT) введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя шлюза NAT	Введите nat-gateway.
   Область/регион	Выберите Центрально-южная часть США.
   Зона доступности	Выберите зону или зону "Нет".
   Время ожидания простоя TCP (минуты)	Сохраните значение по умолчанию 4.

   Дополнительные сведения о зонах доступности см. в разделе шлюза NAT и зон доступности.

4. Выберите Далее: Исходящий IP-адрес внизу страницы.

5. В исходящих IP-адресах в общедоступных IP-адресах выберите "Создать новый общедоступный IP-адрес".

6. Введите public-ip-nat в name.

7. Нажмите ОК.

8. Выберите Далее: Подсеть.

9. В виртуальная сеть выберите vnet-hub.

10. Выберите AzureFirewallSubnet в имени подсети.

11. Выберите Review + create (Просмотреть и создать).

12. Нажмите кнопку создания.

PowerShell

Используйте New-AzPublicIpAddress , чтобы создать общедоступный IP-адрес для шлюза NAT.

# Create public IP for NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'southcentralus'
    Name = 'public-ip-nat'
    AllocationMethod = 'Static'
    Sku = 'Standard'
}
$publicIpNat = New-AzPublicIpAddress @publicIpNatParams

Создайте шлюз NAT с помощью New-AzNatGateway .

$natGatewayParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    PublicIpAddress = $publicIpNat
    Sku = 'Standard'
    IdleTimeoutInMinutes = 4
    Location = 'South Central US'
}
$natGateway = New-AzNatGateway @natGatewayParams

Используйте Set-AzVirtualNetworkSubnetConfig , чтобы связать шлюз NAT с AzureFirewallSubnet.

# Get the AzureFirewallSubnet from the hub virtual network
$subnetParams = @{
    VirtualNetwork = $hubVnet
    Name = 'AzureFirewallSubnet'
}
$subnet = Get-AzVirtualNetworkSubnetConfig @subnetParams

$subnet.NatGateway = $natGateway

# Associate NAT gateway with AzureFirewallSubnet
$subnetParams = @{
    VirtualNetwork = $hubVnet
    Name = 'AzureFirewallSubnet'
    AddressPrefix = '10.0.1.64/26'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnetParams

Для обновления виртуальной сети используйте командлет Set-AzVirtualNetwork.

# Update the virtual network
$hubVnet | Set-AzVirtualNetwork

CLI

Используйте az network public-ip create для создания общедоступного IP-адреса для шлюза NAT.

# Variables
RESOURCE_GROUP="test-rg"
NAT_PUBLIC_IP_NAME="public-ip-nat"
ALLOCATION_METHOD="Static"
SKU="Standard"

az network public-ip create \
	--resource-group $RESOURCE_GROUP \
	--name $NAT_PUBLIC_IP_NAME \
	--allocation-method $ALLOCATION_METHOD \
	--sku $SKU

Используйте az network nat gateway create для создания шлюза NAT.

# Variables
RESOURCE_GROUP="test-rg"
NAT_GATEWAY_NAME="nat-gateway"
NAT_PUBLIC_IP_NAME="public-ip-nat"
IDLE_TIMEOUT="4"

az network nat gateway create \
	--resource-group $RESOURCE_GROUP \
	--name $NAT_GATEWAY_NAME \
	--public-ip-address $NAT_PUBLIC_IP_NAME \
	--idle-timeout $IDLE_TIMEOUT

Используйте az network vnet subnet update , чтобы связать шлюз NAT с AzureFirewallSubnet.

# Variables
RESOURCE_GROUP="test-rg"
VNET_HUB_NAME="vnet-hub"
FIREWALL_SUBNET_NAME="AzureFirewallSubnet"
NAT_GATEWAY_NAME="nat-gateway"

az network vnet subnet update \
	--resource-group $RESOURCE_GROUP \
	--vnet-name $VNET_HUB_NAME \
	--name $FIREWALL_SUBNET_NAME \
	--nat-gateway $NAT_GATEWAY_NAME

Создание периферийной виртуальной сети

Периферийная виртуальная сеть содержит тестовую виртуальную машину, используемую для проверки маршрутизации интернет-трафика в шлюз NAT. Используйте следующий пример для создания периферийной сети.

Портал

1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

2. Выберите + Создать.

3. На вкладке "Основные сведения" для создания виртуальной сети введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите виртуальную сеть.
   Область/регион	Выберите Центрально-южная часть США.

4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

5. Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .

6. На вкладке IP-адресов в адресном пространстве IPv4 выберите удалить адресное пространство, чтобы удалить адресное пространство , заполненное автоматически.

7. Выберите +Добавить адресное пространство IPv4.

8. В адресном пространстве IPv4 введите 10.1.0.0. Оставьте значение по умолчанию /16 (65 536 адресов) в выборе маски.

9. Выберите +Добавить подсеть.

10. В поле "Добавить подсеть " введите или выберите следующие сведения:

    Параметр	Значение
    Назначение подсети	Оставьте значение по умолчанию по умолчанию.
    Имя.	Введите подсеть-private.
    IРv4
    Диапазон адресов IPv4	Оставьте значение по умолчанию 10.1.0.0/16.
    Начальный адрес	Оставьте значение по умолчанию 10.1.0.0.
    Размер	Оставьте значение по умолчанию /24(256 адресов).

11. Выберите Добавить.

12. Выберите Review + create (Просмотреть и создать).

13. Нажмите кнопку создания.

PowerShell

Используйте New-AzVirtualNetwork для создания лепестковой виртуальной сети.

# Create spoke virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'South Central US'
    Name = 'vnet-spoke'
    AddressPrefix = '10.1.0.0/16'
}
$spokeVnet = New-AzVirtualNetwork @vnetParams

Используйте Add-AzVirtualNetworkSubnetConfig, чтобы создать подсеть для спицевой виртуальной сети.

# Create subnet in spoke virtual network
$subnetParams = @{
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    VirtualNetwork = $spokeVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Используйте Set-AzVirtualNetwork для обновления виртуальной сети spoke.

# Create the virtual network
$spokeVnet | Set-AzVirtualNetwork

CLI

Используйте az network vnet create, чтобы создать виртуальную сеть типа "spoke".

# Variables
RESOURCE_GROUP="test-rg"
VNET_SPOKE_NAME="vnet-spoke"
VNET_SPOKE_ADDRESS_PREFIX="10.1.0.0/16"
SPOKE_SUBNET_NAME="subnet-private"
SPOKE_SUBNET_PREFIX="10.1.0.0/24"

az network vnet create \
	--resource-group $RESOURCE_GROUP \
	--name $VNET_SPOKE_NAME \
	--address-prefix $VNET_SPOKE_ADDRESS_PREFIX \
	--subnet-name $SPOKE_SUBNET_NAME \
	--subnet-prefix $SPOKE_SUBNET_PREFIX

Создание пиринга между концентратором и периферийным устройствами

Пиринг виртуальной сети используется для подключения концентратора к периферийной и периферийной сети к концентратору. Используйте следующий пример, чтобы создать двусторонняя пиринговая связь между концентратором и периферийным устройством.

Портал

1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

2. Выберите виртуальный концентратор.

3. Выберите пиринги в параметрах.

4. Выберите Добавить.

5. Введите или выберите следующие сведения в разделе "Добавление пиринга".

   Параметр	Значение
   Сводка по удаленной виртуальной сети
   Имя пиринговой связи	Введите vnet-spoke-to-vnet-hub.
   Модель развертывания виртуальной сети	Оставьте значение по умолчанию resource manager.
   Отток подписок	Выберите свою подписку.
   Виртуальная сеть	Выберите виртуальную сеть-периферийный (test-rg).
   Параметры пиринга удаленной виртуальной сети
   Разрешить "виртуальной сети", чтобы получить доступ к "vnet-hub"	Оставьте значение по умолчанию "Выбрано".
   Разрешить "виртуальной сети" получать переадресованный трафик из "vnet-hub"	Установите флажок.
   Разрешить шлюзу или серверу маршрутизации в виртуальной сети перенаправить трафик в "vnet-hub"	Оставьте значение по умолчанию unselected.
   Включение "виртуальной сети- периферийный" для использования удаленного шлюза или сервера маршрутов "vnet-hub"	Оставьте значение по умолчанию unselected.
   Сводка по локальной виртуальной сети
   Имя пиринговой связи	Введите vnet-hub-to-vnet-spoke.
   Параметры пиринга локальной виртуальной сети
   Разрешить "vnet-hub" получить доступ к "vnet-spoke"	Оставьте значение по умолчанию "Выбрано".
   Разрешить "vnet-hub" получать переадресованный трафик из "виртуальной сети-периферийный"	Установите флажок.
   Разрешить шлюзу или серверу маршрутизации в "vnet-hub" перенаправить трафик в "виртуальную сеть- периферийный"	Оставьте значение по умолчанию unselected.
   Включите "vnet-hub" для использования удаленного шлюза или сервера маршрутизации виртуальной сети	Оставьте значение по умолчанию unselected.

6. Выберите Добавить.

7. Выберите "Обновить" и убедитесь, что состояние пиринга подключено.

PowerShell

Используйте Add-AzVirtualNetworkPeering, чтобы создать пиринг из концентратора в спицевую сеть.

# Create peering from hub to spoke
$peeringParams = @{
    Name = 'vnet-hub-to-vnet-spoke'
    VirtualNetwork = $hubVnet
    RemoteVirtualNetworkId = $spokeVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Используйте Add-AzVirtualNetworkPeering для создания пиринга из спицевой сети в хаб.

# Create peering from spoke to hub
$peeringParams = @{
    Name = 'vnet-spoke-to-vnet-hub'
    VirtualNetwork = $spokeVnet
    RemoteVirtualNetworkId = $hubVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

CLI

Используйте az network vnet peering create, чтобы создать соединение от концентратора к конечному узлу.

# Variables
RESOURCE_GROUP="test-rg"
VNET_HUB_NAME="vnet-hub"
HUB_TO_SPOKE_PEERING_NAME="vnet-hub-to-vnet-spoke"
VNET_SPOKE_NAME="vnet-spoke"

az network vnet peering create \
	--resource-group $RESOURCE_GROUP \
	--vnet-name $VNET_HUB_NAME \
	--name $HUB_TO_SPOKE_PEERING_NAME \
	--remote-vnet $VNET_SPOKE_NAME \
	--allow-forwarded-traffic

Используйте az network vnet peering create, чтобы установить пиринг с периферийного узла в концентратор.

# Variables
RESOURCE_GROUP="test-rg"
VNET_SPOKE_NAME="vnet-spoke"
SPOKE_TO_HUB_PEERING_NAME="vnet-spoke-to-vnet-hub"
VNET_HUB_NAME="vnet-hub"

az network vnet peering create \
	--resource-group $RESOURCE_GROUP \
	--vnet-name $VNET_SPOKE_NAME \
	--name $SPOKE_TO_HUB_PEERING_NAME \
	--remote-vnet $VNET_HUB_NAME \
	--allow-forwarded-traffic

Создание таблицы маршрутов для периферийной сети

Таблица маршрутов заставляет весь трафик покидать периферийную виртуальную сеть в виртуальную сеть концентратора. Таблица маршрутов настраивается с частным IP-адресом Брандмауэр Azure в качестве виртуального устройства.

Получение частного IP-адреса брандмауэра

Частный IP-адрес брандмауэра необходим для таблицы маршрутов, созданной далее в этой статье. Используйте следующий пример, чтобы получить частный IP-адрес брандмауэра.

Портал

1. В поле поиска в верхней части портала введите Брандмауэр. Выберите брандмауэры в результатах поиска.

2. Выберите брандмауэр.

3. В обзоребрандмауэра обратите внимание на IP-адрес в частном IP-адресе брандмауэра поля. IP-адрес в этом примере — 10.0.1.68.

PowerShell

Используйте Get-AzFirewall , чтобы получить частный IP-адрес брандмауэра.

# Get the private IP address of the firewall
$firewallParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'firewall'
}
$firewall = Get-AzFirewall @firewallParams
$firewall.IpConfigurations[0].PrivateIpAddress

CLI

# Get the private IP address of the firewall
az network firewall show \
	--resource-group test-rg \
	--name firewall \
	--query "ipConfigurations[0].privateIpAddress" \
	--output tsv

Создание таблицы маршрутов

Создайте таблицу маршрутов для принудительной принудительной передачи трафика через брандмауэр в виртуальной сети концентратора.

Портал

1. В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.

2. Выберите + Создать.

3. В таблице "Создать маршрут " введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Область/регион	Выберите Центрально-южная часть США.
   Имя.	Введите маршрутизацию-таблицу-периферийный.
   Распространение маршрутов шлюза	Выберите Нет.

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

6. В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.

7. Выберите route-table-spoke.

8. В разделе "Параметры" выберите "Маршруты".

9. Выберите + Добавить в маршруты.

10. Введите или выберите следующие сведения в поле "Добавить маршрут".

    Параметр	Значение
    Имя маршрута	Введите маршрут к концентратору.
    Тип назначения	Выберите IP-адреса.
    Диапазоны IP-адресов назначения или CIDR	Введите 0.0.0.0/0.
    Тип следующего прыжка	Выберите Виртуальный модуль.
    Адрес следующего прыжка	Введите 10.0.1.68.

11. Выберите Добавить.

12. В разделе Параметры выберите Подсети.

13. Нажмите + Связать.

14. Введите или выберите следующие сведения в подсети "Связать".

    Параметр	Значение
    Виртуальная сеть	Выберите виртуальную сеть-периферийный (test-rg).
    Подсеть	Выберите подсеть частной.

15. Нажмите ОК.

PowerShell

Создайте таблицу маршрутов с помощью New-AzRouteTable .

# Create route table
$routeTableParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'South Central US'
    Name = 'route-table-spoke'
}
$routeTable = New-AzRouteTable @routeTableParams

Используйте Add-AzRouteConfig для создания маршрута в таблице маршрутов.

# Create route
$routeConfigParams = @{
    Name = 'route-to-hub'
    AddressPrefix = '0.0.0.0/0'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = $firewall.IpConfigurations[0].PrivateIpAddress
    RouteTable = $routeTable
}
Add-AzRouteConfig @routeConfigParams

Используйте Set-AzRouteTable для обновления таблицы маршрутов.

# Update the route table
$routeTable | Set-AzRouteTable

Используйте Set-AzVirtualNetworkSubnetConfig, чтобы связать таблицу маршрутов с подключаемой подсетью.

# Associate route table with subnet
$subnetConfigParams = @{
    VirtualNetwork = $spokeVnet
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    RouteTable = $routeTable
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

Используйте Set-AzVirtualNetwork для обновления виртуальной сети spoke.

# Update the virtual network
$spokeVnet | Set-AzVirtualNetwork

CLI

Используйте az network route-table create для создания таблицы маршрутов.

# Variables
RESOURCE_GROUP="test-rg"
ROUTE_TABLE_NAME="route-table-spoke"
LOCATION="southcentralus"

az network route-table create \
	--resource-group $RESOURCE_GROUP \
	--name $ROUTE_TABLE_NAME \
	--location $LOCATION

Используйте az network route-table route create для создания маршрута.

# Variables
RESOURCE_GROUP="test-rg"
ROUTE_TABLE_NAME="route-table-spoke"
ROUTE_NAME="route-to-hub"
ADDRESS_PREFIX="0.0.0.0/0"
NEXT_HOP_TYPE="VirtualAppliance"
NEXT_HOP_IP="10.0.1.68"

az network route-table route create \
	--resource-group $RESOURCE_GROUP \
	--route-table-name $ROUTE_TABLE_NAME \
	--name $ROUTE_NAME \
	--address-prefix $ADDRESS_PREFIX \
	--next-hop-type $NEXT_HOP_TYPE \
	--next-hop-ip-address $NEXT_HOP_IP

Используйте az network vnet subnet update , чтобы связать таблицу маршрутов с подсетью.

# Variables
RESOURCE_GROUP="test-rg"
VNET_SPOKE_NAME="vnet-spoke"
SPOKE_SUBNET_NAME="subnet-private"
ROUTE_TABLE_NAME="route-table-spoke"

az network vnet subnet update \
	--resource-group $RESOURCE_GROUP \
	--vnet-name $VNET_SPOKE_NAME \
	--name $SPOKE_SUBNET_NAME \
	--route-table $ROUTE_TABLE_NAME

Настройка брандмауэра

Трафик из периферийной сети через концентратор должен быть разрешен через политику брандмауэра и сетевое правило. Используйте следующий пример, чтобы создать политику брандмауэра и правило сети.

Настройка сетевого правила

Портал

1. В поле поиска в верхней части портала введите Брандмауэр. Выберите политики брандмауэра в результатах поиска.

2. Выберите политику брандмауэра.

3. Разверните раздел "Параметры" , а затем выберите правила сети.

4. Выберите + Добавить коллекцию правил.

5. В поле "Добавить коллекцию правил" введите или выберите следующие сведения:

   Параметр	Значение
   Имя.	Введите периферийные подключения к Интернету.
   Тип коллекции правил	Выберите Сеть.
   Приоритет	Введите 100.
   Действие коллекции правил	Выберите Разрешить.
   Группа коллекции правил	Выберите DefaultNetworkRuleCollectionGroup.
   Правила
   Имя.	Введите allow-web.
   Тип источника	IP-адрес.
   Исходный код	Введите 10.1.0.0/24.
   Протокол	Выберите TCP.
   Порты назначения	Введите 80 443.
   Тип назначения	Выберите IP-адрес.
   Назначение	Входить*

6. Выберите Добавить.

PowerShell

Используйте Get-AzFirewallPolicy , чтобы получить существующую политику брандмауэра.

# Get the existing firewall policy
$firewallPolicyParams = @{
    Name = 'firewall-policy'
    ResourceGroupName = 'test-rg'
}
$firewallPolicy = Get-AzFirewallPolicy @firewallPolicyParams

Чтобы создать сетевое правило, используйте New-AzFirewallPolicyNetworkRule .

# Create a network rule for web traffic
$networkRuleParams = @{
    Name = 'allow-internet'
    SourceAddress = '10.1.0.0/24'
    Protocol = 'TCP'
    DestinationAddress = '*'
    DestinationPort = '*'
}
$networkRule = New-AzFirewallPolicyNetworkRule @networkRuleParams

Используйте New-AzFirewallPolicyFilterRuleCollection , чтобы создать коллекцию правил для сетевого правила.

# Create a rule collection for the network rule
$ruleCollectionParams = @{
    Name = 'spoke-to-internet'
    Priority = 100
    Rule = $networkRule
    ActionType = 'Allow'
}
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection @ruleCollectionParams

Используйте New-AzFirewallPolicyRuleCollectionGroup для создания группы коллекций правил.

$newRuleCollectionGroupParams = @{
        Name = 'DefaultNetworkRuleCollectionGroup'
        Priority = 200
        FirewallPolicyObject = $firewallPolicy
        RuleCollection = $ruleCollection
    }
New-AzFirewallPolicyRuleCollectionGroup @newRuleCollectionGroupParams

CLI

Используйте az network firewall policy rule-collection-group create для создания группы коллекций правил.

# Variables
RULE_COLLECTION_GROUP_NAME="DefaultNetworkRuleCollectionGroup"
FIREWALL_POLICY_NAME="firewall-policy"
RESOURCE_GROUP="test-rg"
PRIORITY="200"

az network firewall policy rule-collection-group create \
	--name $RULE_COLLECTION_GROUP_NAME \
	--policy-name $FIREWALL_POLICY_NAME \
	--resource-group $RESOURCE_GROUP \
	--priority $PRIORITY

Используйте az network firewall policy rule-collection-group collection add-filter-collection чтобы создать коллекцию правил сети.

# Variables
COLLECTION_NAME="spoke-to-internet"
ACTION="Allow"
RULE_NAME="allow-web"
RULE_TYPE="NetworkRule"
SOURCE_ADDRESSES="10.1.0.0/24"
IP_PROTOCOLS="TCP"
DESTINATION_ADDRESSES="*"
DESTINATION_PORTS="*"
COLLECTION_PRIORITY="100"
FIREWALL_POLICY_NAME="firewall-policy"
RESOURCE_GROUP="test-rg"
RULE_COLLECTION_GROUP_NAME="DefaultNetworkRuleCollectionGroup"

az network firewall policy rule-collection-group collection add-filter-collection \
	--name $COLLECTION_NAME \
	--action $ACTION \
	--rule-name $RULE_NAME \
	--rule-type $RULE_TYPE \
	--source-addresses $SOURCE_ADDRESSES \
	--ip-protocols $IP_PROTOCOLS \
	--destination-addresses $DESTINATION_ADDRESSES \
	--destination-ports $DESTINATION_PORTS \
	--collection-priority $COLLECTION_PRIORITY \
	--policy-name $FIREWALL_POLICY_NAME \
	--resource-group $RESOURCE_GROUP \
	--rule-collection-group-name $RULE_COLLECTION_GROUP_NAME

Создание тестовой виртуальной машины

Виртуальная машина Ubuntu используется для тестирования исходящего интернет-трафика через шлюз NAT. Используйте следующий пример для создания виртуальной машины Ubuntu.

Портал

1. На портале найдите и выберите "Виртуальные машины".

2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

3. На вкладке Основные сведения в разделе Создание виртуальной машины введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Название виртуальной машины	Введите виртуальную машину.
   Область/регион	Выберите регион (США) Центрально-южная часть США.
   Параметры доступности	Выберите Избыточность инфраструктуры не требуется.
   Тип безопасности	Оставьте значение по умолчанию Стандартный.
   Изображения	Выберите Ubuntu Server 24.04 LTS — x64-го поколения 2-го поколения.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	выберите Пароль.
   Имя пользователя	Введите azureuser.
   Пароль	Введите пароль.
   Подтверждение пароля	Повторно введите пароль.
   Правила входящего порта
   Общедоступные входящие порты	Выберите Отсутствует.

4. Выберите вкладку "Сеть" в верхней части страницы или нажмите кнопку "Далее:Диски", а затем "Далее:Сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров:

   Параметр	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите виртуальную сеть.
   Подсеть	Выберите подсеть -private (10.1.0.0/24).
   Общедоступный IP-адрес	Выберите Отсутствует.
   Группа безопасности сети сетевого адаптера	Выберите Дополнительно.
   Настройка группы безопасности сети	Выберите Создать. Введите nsg-1 для имени. Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".

6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

7. Проверьте параметры и выберите Создать.

Дождитесь завершения развертывания виртуальной машины, прежде чем перейти к следующим шагам.

Примечание

Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.

PowerShell

Создайте группу безопасности сети с помощью New-AzNetworkSecurityGroup .

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Name = "nsg-1"
    Location = "southcentralus"
}
New-AzNetworkSecurityGroup @nsgParams

Используйте New-AzNetworkInterface для создания сетевого интерфейса.

$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    SubnetId = (Get-AzVirtualNetwork -ResourceGroupName "test-rg" -Name "vnet-spoke").Subnets[0].Id
    NetworkSecurityGroupId = (Get-AzNetworkSecurityGroup -ResourceGroupName "test-rg" -Name "nsg-1").Id
    Location = "southcentralus"
}
New-AzNetworkInterface @nicParams

Используйте get-Credential , чтобы задать имя пользователя и пароль для виртуальной машины и сохранить их в переменной $cred .

$cred = Get-Credential

Примечание

Для виртуальной машины требуется имя пользователя. Пароль является необязательным и не используется, если задано. Для виртуальных машин Linux рекомендуется настроить ключ SSH.

Используйте New-AzVMConfig для определения виртуальной машины.

$vmConfigParams = @{
    VMName = "vm-spoke"
    VMSize = "Standard_DS4_v2"
    }
$vmConfig = New-AzVMConfig @vmConfigParams

Используйте Set-AzVMOperatingSystem и Set-AzVMSourceImage для создания остальной части конфигурации виртуальной машины. В следующем примере создается виртуальная машина Ubuntu Server:

$osParams = @{
    VM = $vmConfig
    ComputerName = "vm-spoke"
    Credential = $cred
    }
$vmConfig = Set-AzVMOperatingSystem @osParams -Linux -DisablePasswordAuthentication

$imageParams = @{
    VM = $vmConfig
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
    }
$vmConfig = Set-AzVMSourceImage @imageParams

Используйте Add-AzVMNetworkInterface , чтобы подключить сетевой адаптер, созданный ранее, к виртуальной машине.

# Get the network interface object
$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    }
$nic = Get-AzNetworkInterface @nicParams

$vmConfigParams = @{
    VM = $vmConfig
    Id = $nic.Id
    }
$vmConfig = Add-AzVMNetworkInterface @vmConfigParams

Создайте виртуальную машину с помощью New-AzVM . Команда создает ключи SSH для виртуальной машины для входа. Запишите расположение закрытого ключа. Закрытый ключ необходим в последующих шагах для подключения к виртуальной машине с помощью Бастиона Azure.

$vmParams = @{
    VM = $vmConfig
    ResourceGroupName = "test-rg"
    Location = "southcentralus"
    SshKeyName = "ssh-key"
    }
New-AzVM @vmParams -GenerateSshKey

CLI

Используйте az network nsg create для создания группы безопасности сети.

# Variables
RESOURCE_GROUP="test-rg"
NSG_NAME="nsg-1"
LOCATION="southcentralus"

az network nsg create \
	--resource-group $RESOURCE_GROUP \
	--name $NSG_NAME \
	--location $LOCATION

Используйте az network nic create для создания сетевого интерфейса.

# Variables
RESOURCE_GROUP="test-rg"
NIC_NAME="vm-spoke-nic"
VNET_SPOKE_NAME="vnet-spoke"
SPOKE_SUBNET_NAME="subnet-private"
NSG_NAME="nsg-1"

az network nic create \
	--resource-group $RESOURCE_GROUP \
	--name $NIC_NAME \
	--vnet-name $VNET_SPOKE_NAME \
	--subnet $SPOKE_SUBNET_NAME \
	--network-security-group $NSG_NAME

Используйте az vm create, чтобы создать виртуальную машину.

# Variables
RESOURCE_GROUP="test-rg"
VM_NAME="vm-spoke"
LOCATION="southcentralus"
NIC_NAME="vm-spoke-nic"
VM_IMAGE="Ubuntu2204"
ADMIN_USERNAME="azureuser"

az vm create \
	--resource-group $RESOURCE_GROUP \
	--name $VM_NAME \
	--location $LOCATION \
	--nics $NIC_NAME \
	--image $VM_IMAGE \
	--admin-username $ADMIN_USERNAME \
	--generate-ssh-keys

Тестирование шлюза NAT

Вы подключаетесь к виртуальным машинам Ubuntu, созданным на предыдущих шагах, чтобы убедиться, что исходящий интернет-трафик покидает шлюз NAT.

Получение общедоступного IP-адреса шлюза NAT

Получите общедоступный IP-адрес шлюза NAT для проверки действий далее в статье.

Портал

1. В поле поиска в верхней части портала введите Общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.

2. Выберите public-ip-nat.

3. Запишите значение в IP-адресе. Пример, используемый в этой статье, — 203.0.113.0.25.

PowerShell

Используйте Get-AzPublicIpAddress , чтобы получить общедоступный IP-адрес шлюза NAT.

# Get the public IP address of the NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'public-ip-nat'
}
$publicIpNat = Get-AzPublicIpAddress @publicIpNatParams
$publicIpNat.IpAddress

CLI

Используйте az network public-ip show , чтобы получить общедоступный IP-адрес шлюза NAT.

# Variables
RESOURCE_GROUP="test-rg"
NAT_PUBLIC_IP_NAME="public-ip-nat"

az network public-ip show \
	--resource-group $RESOURCE_GROUP \
	--name $NAT_PUBLIC_IP_NAME \
	--query "ipAddress" \
	--output tsv

Тестирование шлюза NAT из периферийной сети

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите виртуальную машину.

3. В разделе "Обзор" выберите "Подключиться" и "Подключиться через бастион".

4. Выберите SSH в качестве типа подключения. Отправьте файл закрытого ключа SSH. Нажмите Подключиться.

5. В командной строке bash введите следующую команду:

   curl ifconfig.me
   

6. Убедитесь, что IP-адрес, возвращенный командой, соответствует общедоступному IP-адресу шлюза NAT.

   azureuser@vm-1:~$ curl ifconfig.me
   203.0.113.0.25
   

7. Закройте подключение Бастиона к виртуальной машине.

Портал

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg.

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

PowerShell

Удалите группу ресурсов с помощью Remove-AzResourceGroup .

# Remove resource group
$rgParams = @{
    Name = 'test-rg'
}
Remove-AzResourceGroup @rgParams

CLI

Используйте az group delete , чтобы удалить группу ресурсов.

# Variables
RESOURCE_GROUP="test-rg"

az group delete \
	--name $RESOURCE_GROUP \
	--yes \
	--no-wait

Следующие шаги

Перейдите к следующей статье, чтобы узнать, как интегрировать шлюз NAT с Azure Load Balancer:

Интеграция шлюза NAT с внутренней подсистемой балансировки нагрузки