Aracılığıyla paylaş

Öğretici: Giden bağlantı için NAT ağ geçidini merkez-uç ağındaki Azure Güvenlik Duvarı tümleştirme

  • Makale

Bu öğreticide, NAT ağ geçidini merkez-uç ağındaki bir Azure Güvenlik Duvarı ile tümleştirmeyi öğreneceksiniz

Azure Güvenlik Duvarı, arka uç Sanal Makine Ölçek Kümesi örneği başına yapılandırılan genel IP adresi başına 2.496 SNAT bağlantı noktası sağlar (en az iki örnek). Azure Güvenlik Duvarı ile en fazla 250 genel IP adresi ilişkilendirebilirsiniz. Mimari gereksinimlerinize ve trafik desenlerinize bağlı olarak, Azure Güvenlik Duvarı sağlayabileceklerinden daha fazla SNAT bağlantı noktası gerekebilir. Ayrıca daha az genel IP kullanılmasını ve daha fazla SNAT bağlantı noktası kullanılmasını da gerektirebilirsiniz. Giden bağlantı için daha iyi bir yöntem NAT ağ geçidi kullanmaktır. NAT ağ geçidi genel IP adresi başına 64.512 SNAT bağlantı noktası sağlar ve en fazla 16 genel IP adresiyle kullanılabilir.

NAT ağ geçidi, giden bağlantı için daha ölçeklenebilir bir yöntem sağlamak için NAT ağ geçidini doğrudan Azure Güvenlik Duvarı alt aya yapılandırarak Azure Güvenlik Duvarı ile tümleştirilebilir. Üretim dağıtımları için, güvenlik duvarının kendi sanal ağında olduğu bir merkez-uç ağı önerilir. İş yükü sunucuları, güvenlik duvarının bulunduğu merkez sanal ağıyla aynı bölgedeki eşlenmiş sanal ağlardır. Bu mimari kurulumda NAT ağ geçidi eşlenen tüm uç sanal ağları için merkez sanal ağından giden bağlantı sağlayabilir.

Öğreticide oluşturulan Azure kaynaklarının diyagramı.

Not

Azure NAT Gateway şu anda güvenli sanal hub ağı (vWAN) mimarilerinde desteklenmemektedir. Bu öğreticide açıklandığı gibi bir merkez sanal ağ mimarisi kullanarak dağıtmanız gerekir. Azure Güvenlik Duvarı mimari seçenekleri hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı Manager mimari seçenekleri nelerdir?.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Dağıtım sırasında merkez sanal ağı oluşturma ve Azure Güvenlik Duvarı ve Azure Bastion dağıtma
  • Bir NAT ağ geçidi oluşturun ve bunu merkez sanal ağındaki güvenlik duvarı alt ağıyla ilişkilendirin
  • Uç sanal ağı oluşturma
  • Sanal ağ eşlemesi oluşturma
  • Uç sanal ağı için rota tablosu oluşturma
  • Merkez sanal ağı için güvenlik duvarı ilkesi oluşturma
  • NAT ağ geçidi üzerinden giden bağlantıyı test etmek için bir sanal makine oluşturma

Önkoşullar

Merkez sanal ağını oluşturma

Hub sanal ağı, Azure Güvenlik Duvarı ve NAT ağ geçidiyle ilişkili güvenlik duvarı alt ağını içerir. Hub sanal ağını oluşturmak için aşağıdaki örneği kullanın.

  1. Azure Portal’ında oturum açın.

  2. Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal ağlar'ı seçin.

  3. +Oluştur'u seçin.

  4. Sanal ağ oluştur'un Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur’u seçin.
    test-rg girin.
    Tamam'ı seçin.
    Örnek ayrıntıları
    Veri Akışı Adı vnet-hub girin.
    Bölge (ABD) Orta Güney ABD'yi seçin.

  5. Güvenlik sekmesine gitmek için İleri'yi seçin.

  6. Güvenlik sekmesinin Azure Bastion bölümünde Azure Bastion'ı Etkinleştir'i seçin.

    Azure Bastion, özel IP adreslerini kullanarak güvenli kabuk (SSH) veya uzak masaüstü protokolü (RDP) üzerinden sanal ağınızdaki VM'lere bağlanmak için tarayıcınızı kullanır. VM'lerin genel IP adreslerine, istemci yazılımına veya özel yapılandırmaya ihtiyacı yoktur. Azure Bastion hakkında daha fazla bilgi için bkz. Azure Bastion

    Not

    Saatlik fiyatlandırma, giden veri kullanımına bakılmaksızın Bastion dağıtıldığından itibaren başlar. Daha fazla bilgi için bkz . Fiyatlandırma ve SKU'lar. Bastion'ı bir öğretici veya test kapsamında dağıtıyorsanız, kullanmayı bitirdikten sonra bu kaynağı silmenizi öneririz.

  7. Azure Bastion'da aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Azure Bastion ana bilgisayar adı Bastion yazın.
    Azure Bastion genel IP adresi Genel IP adresi oluştur'u seçin.
    Ad alanına public-ip-bastion yazın.
    Tamam'ı seçin.

  8. Güvenlik sekmesinin Azure Güvenlik Duvarı bölümünde Azure Güvenlik Duvarı etkinleştir'i seçin.

    Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik oranına ve kısıtlamasız bulut ölçeklenebilirliğine sahip, tam durum bilgisi olan bir hizmet olarak güvenlik duvarıdır. Azure Güvenlik Duvarı hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı.

  9. Azure Güvenlik Duvarı aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Azure Güvenlik Duvarı adı Güvenlik duvarı girin.
    Katman Standart'ı seçin.
    İlke Yeni oluştur’u seçin.
    Ad alanına güvenlik duvarı ilkesi girin.
    Tamam'ı seçin.
    genel IP adresini Azure Güvenlik Duvarı Genel IP adresi oluştur'u seçin.
    Ad alanına public-ip-firewall girin.
    Tamam'ı seçin.

  10. IP adresleri sekmesine gitmek için İleri'yi seçin.

  11. Gözden geçir ve oluştur’u seçin.

  12. Oluştur'u belirleyin.

Savunma konağı ve güvenlik duvarının dağıtılması birkaç dakika sürer. Sanal ağ dağıtımın bir parçası olarak oluşturulduğunda sonraki adımlara geçebilirsiniz.

NAT ağ geçidini oluşturma

Tüm giden İnternet trafiği NAT ağ geçidinden İnternet'e gider. Merkez-uç ağı için bir NAT ağ geçidi oluşturmak ve bunu AzureFirewallSubnet ile ilişkilendirmek için aşağıdaki örneği kullanın.

  1. Portalın üst kısmındaki arama kutusuna NAT ağ geçidi girin. Arama sonuçlarında NAT ağ geçitleri'ni seçin.

  2. +Oluştur'u seçin.

  3. Ağ adresi çevirisi (NAT) ağ geçidi oluştur'un Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu test-rg öğesini seçin.
    Örnek ayrıntıları
    NAT ağ geçidi adı nat-gateway girin.
    Bölge Orta Güney ABD’yi seçin.
    Availability zone Bir Bölge seçin veya Bölge yok seçeneğini belirleyin.
    TCP boşta kalma zaman aşımı (dakika) Varsayılan değeri 4 olarak bırakın.

    Kullanılabilirlik alanları hakkında daha fazla bilgi için bkz . NAT ağ geçidi ve kullanılabilirlik alanları.

  4. İleri: Giden IP'yi seçin.

  5. Genel IP adreslerinde Giden IP'de Yeni bir genel IP adresi oluştur'u seçin.

  6. Ad alanına public-ip-nat girin.

  7. Tamam'ı seçin.

  8. İleri: Alt Ağ'ı seçin.

  9. Sanal Ağ vnet-hub'ı seçin.

  10. Alt ağ adında AzureFirewallSubnet'i seçin.

  11. Gözden geçir ve oluştur’u seçin.

  12. Oluştur'u belirleyin.

Uç sanal ağı oluşturma

Uç sanal ağı, internet trafiğinin NAT ağ geçidine yönlendirilmesi için kullanılan test sanal makinesini içerir. Uç ağını oluşturmak için aşağıdaki örneği kullanın.

  1. Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal ağlar'ı seçin.

  2. +Oluştur'u seçin.

  3. Sanal ağ oluştur'un Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu test-rg öğesini seçin.
    Örnek ayrıntıları
    Veri Akışı Adı Vnet-spoke girin.
    Bölge Orta Güney ABD’yi seçin.

  4. Güvenlik sekmesine gitmek için İleri'yi seçin.

  5. IP adresleri sekmesine gitmek için İleri'yi seçin.

  6. IPv4 adres alanının IP Adresleri sekmesinde Adres alanını sil'i seçerek otomatik olarak doldurulan adres alanını silin.

  7. + IPv4 adres alanı ekle'yi seçin.

  8. IPv4 adres alanına 10.1.0.0 girin. Maske seçiminde varsayılan /16 (65.536 adres) seçeneğini değiştirmeyin.

  9. + Alt ağ ekle'yi seçin.

  10. Alt ağ ekle bölümüne aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Alt ağ amacı Varsayılan Varsayılan değeri değiştirmeyin.
    Veri Akışı Adı Alt ağ-özel girin.
    IPv4
    IPv4 adres aralığı Varsayılan değeri 10.1.0.0/16 olarak bırakın.
    Başlangıç adresi Varsayılan değeri 10.1.0.0 olarak bırakın.
    Size Varsayılan /24(256 adres) olarak bırakın.

  11. Ekle'yi seçin.

  12. Gözden geçir ve oluştur’u seçin.

  13. Oluştur'u belirleyin.

Merkez ile uç arasında eşleme oluşturma

Sanal ağ eşlemesi, hub'ı uça, uç ise hub'a bağlamak için kullanılır. Merkez ile uç arasında iki yönlü bir ağ eşlemesi oluşturmak için aşağıdaki örneği kullanın.

  1. Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal ağlar'ı seçin.

  2. vnet-hub'ı seçin.

  3. Ayarlar'da Eşlemeler'i seçin.

  4. + Ekle'yi seçin.

  5. Eşleme ekle bölümüne aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Uzak sanal ağ özeti
    Eşleme bağlantı adı vnet-spoke-to-vnet-hub girin.
    Sanal ağ dağıtım modeli Resource manager'ın varsayılan değerini değiştirmeyin.
    Abonelik Aboneliğinizi seçin.
    Sanal ağ vnet-spoke (test-rg) öğesini seçin.
    Uzak sanal ağ eşleme ayarları
    'vnet-spoke' öğesinin 'vnet-hub' erişimine izin ver Varsayılan Seçili seçeneğini değiştirmeyin.
    'vnet-spoke' öğesinin 'vnet-hub' içinden iletilen trafiği almasına izin ver Onay kutusunu seçin.
    'vnet-spoke' içindeki ağ geçidi veya yönlendirme sunucusunun trafiği 'vnet-hub' adresine iletmesine izin ver Varsayılan Olarak Seçilmemiş olarak bırakın.
    'vnet-hub' uzak ağ geçidini veya yol sunucusunu kullanmak için 'vnet-spoke' özelliğini etkinleştirin Varsayılan Olarak Seçilmemiş olarak bırakın.
    Yerel sanal ağ özeti
    Eşleme bağlantı adı vnet-hub-vnet-spoke girin.
    Yerel sanal ağ eşleme ayarları
    'vnet-hub'ın 'vnet-spoke-2' erişimine izin ver Varsayılan Seçili seçeneğini değiştirmeyin.
    'vnet-hub'ın 'vnet-spoke' içinden iletilen trafiği almasına izin ver Onay kutusunu seçin.
    'vnet-hub' içindeki ağ geçidi veya yönlendirme sunucusunun trafiği 'vnet-spoke' adresine iletmesine izin ver Varsayılan Olarak Seçilmemiş olarak bırakın.
    'vnet-hub'ı 'vnet-spoke'un uzak ağ geçidini veya yönlendirme sunucusunu kullanmak için etkinleştirin Varsayılan Olarak Seçilmemiş olarak bırakın.

  6. Ekle'yi seçin.

  7. Yenile'yi seçin ve Eşleme durumunun Bağlı olduğunu doğrulayın.

Uç ağ yönlendirme tablosu oluşturma

Rota tablosu uç sanal ağından merkez sanal ağına giden tüm trafiği zorlar. Yol tablosu, sanal gereç olarak Azure Güvenlik Duvarı özel IP adresiyle yapılandırılır.

Güvenlik duvarının özel IP adresini alma

Bu makalenin devamında oluşturulan yol tablosu için güvenlik duvarının özel IP adresi gereklidir. Güvenlik duvarı özel IP adresini almak için aşağıdaki örneği kullanın.

  1. Portalın üst kısmındaki arama kutusuna Güvenlik Duvarı yazın. Arama sonuçlarında Güvenlik Duvarları'nı seçin.

  2. Güvenlik duvarı'nı seçin.

  3. Güvenlik duvarına genel bakış bölümünde Güvenlik duvarı özel IP alanındaki IP adresini not edin. Bu örnekteki IP adresi 10.0.1.68'dir.

Yönlendirme tablosu oluşturma

Merkez sanal ağındaki güvenlik duvarı üzerinden tüm uçlar arası ve İnternet çıkış trafiğini zorlamak için bir rota tablosu oluşturun.

  1. Portalın üst kısmındaki arama kutusuna Rota tablosu yazın. Arama sonuçlarında Rota tabloları'nı seçin.

  2. +Oluştur'u seçin.

  3. Yol Oluştur tablosuna aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu test-rg öğesini seçin.
    Örnek ayrıntıları
    Bölge Orta Güney ABD’yi seçin.
    Veri Akışı Adı Route-table-spoke girin.
    Ağ geçidi yollarını yay Hayır'ı seçin.

  4. Gözden geçir ve oluştur’u seçin.

  5. Oluştur'u belirleyin.

  6. Portalın üst kısmındaki arama kutusuna Rota tablosu yazın. Arama sonuçlarında Rota tabloları'nı seçin.

  7. Route-table-spoke öğesini seçin.

  8. Ayarlar'da Yollar'ı seçin.

  9. Yollarda + Ekle'yi seçin.

  10. Yol ekle bölümüne aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Yönlendirme adı Hub'a yönlendirme girin.
    Hedef türü IP Adresleri'ne tıklayın.
    Hedef IP adresleri/CIDR aralıkları 0.0.0.0/0 girin.
    Sonraki atlama türü Sanal gereç’i seçin.
    Sonraki atlama adresi 10.0.1.68 girin.

  11. Ekle'yi seçin.

  12. Ayarlar'da Alt Ağlar'ı seçin.

  13. + İlişkili'yi seçin.

  14. Alt ağı ilişkilendir bölümüne aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Sanal ağ vnet-spoke (test-rg) öğesini seçin.
    Alt ağ Alt ağ-özel'i seçin.

  15. Tamam'ı seçin.

Güvenlik Duvarını yapılandırma

Merkez üzerinden uçtan gelen trafiğe, güvenlik duvarı ilkesi ve ağ kuralı üzerinden izin verilmelidir. Güvenlik duvarı ilkesini ve ağ kuralını oluşturmak için aşağıdaki örneği kullanın.

Ağ kuralını yapılandırma

  1. Portalın üst kısmındaki arama kutusuna Güvenlik Duvarı yazın. Arama sonuçlarında Güvenlik Duvarı İlkeleri'ni seçin.

  2. Güvenlik duvarı ilkesi'ni seçin.

  3. Ayarlar'ı genişletin ve ağ kuralları'nı seçin.

  4. + Kural koleksiyonu ekle'yi seçin.

  5. Kural koleksiyonu ekle bölümüne aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Veri Akışı Adı Uçarak İnternet'e girin.
    Kural koleksiyonu türü Ağ'ı seçin.
    Öncelik 100 değerini girin.
    Kural koleksiyonu eylemi İzin ver'i seçin.
    Kural koleksiyonu grubu DefaultNetworkRuleCollectionGroup'ı seçin.
    Kurallar
    Veri Akışı Adı allow-web girin.
    Source type IP Adresi.
    Kaynak 10.1.0.0/24 girin.
    Protokol TCP’yi seçin.
    Hedef Bağlantı Noktaları 80.443 girin.
    Hedef Türü IP Adresi'ne tıklayın.
    Hedef Girmek*

  6. Ekle'yi seçin.

Test sanal makinesi oluşturma

NAT ağ geçidi üzerinden giden internet trafiğini test etmek için bir Ubuntu sanal makinesi kullanılır. Ubuntu sanal makinesi oluşturmak için aşağıdaki örneği kullanın.

Aşağıdaki yordam, sanal ağda vm-spoke adlı bir test sanal makinesi (VM) oluşturur.

  1. Portalda Sanal makineler'i arayın ve seçin.

  2. Sanal makineler'de + Oluştur'u ve ardından Azure sanal makinesi'ne tıklayın.

  3. Sanal makine oluşturmanın Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu test-rg öğesini seçin.
    Örnek ayrıntıları
    Virtual machine name Vm-spoke girin.
    Bölge (ABD) Orta Güney ABD'yi seçin.
    Kullanılabilirlik seçenekleri Altyapı yedekliliği gerekli değil'i seçin.
    Güvenlik türü Standart varsayılanını değiştirmeyin.
    Görsel Ubuntu Server 24.04 LTS - x64 2. Nesil'i seçin.
    VM mimarisi Varsayılan x64'leri değiştirmeyin.
    Size Bir boyut seçin.
    Yönetici hesabı
    Authentication type Parola'ya tıklayın.
    Username azureuser girin.
    Parola Bir parola girin.
    Parolayı onaylayın Parolayı yeniden girin.
    Gelen bağlantı noktası kuralları
    Genel gelen bağlantı noktaları Hiçbiri seçeneğini belirtin.

  4. Sayfanın üst kısmındaki Ağ sekmesini seçin veya İleri:Diskler'i ve ardından İleri:Ağ'ı seçin.

  5. sekmesine aşağıdaki bilgileri girin veya seçin:

    Ayar Value
    Ağ arabirimi
    Sanal ağ Vnet-spoke öğesini seçin.
    Alt ağ Alt ağ özel (10.1.0.0/24) öğesini seçin.
    Genel IP Hiçbiri seçeneğini belirtin.
    NIC ağ güvenlik grubu Gelişmiş'i seçin.
    Ağ güvenlik grubunu yapılandırma Yeni oluştur’u seçin.
    Ad olarak nsg-1 girin.
    Gerisini varsayılan değerlerde bırakın ve Tamam'ı seçin.

  6. Ayarların geri kalanını varsayılan ayarlarda bırakın ve Gözden geçir ve oluştur'u seçin.

  7. Ayarları gözden geçirin ve Oluştur'u seçin.

Sonraki adımlara geçmeden önce sanal makinenin dağıtımı tamamlanmasını bekleyin.

Not

Savunma konağı olan bir sanal ağdaki sanal makinelerin genel IP adreslerine ihtiyacı yoktur. Bastion genel IP'yi sağlar ve VM'ler ağ içinde iletişim kurmak için özel IP'ler kullanır. Savunma tarafından barındırılan sanal ağlardaki tüm VM'lerden genel IP'leri kaldırabilirsiniz. Daha fazla bilgi için bkz . Azure VM'den genel IP adresini ilişkilendirme.

NAT ağ geçidini test edin

Giden İnternet trafiğinin NAT ağ geçidinden ayrıldığını doğrulamak için önceki adımlarda oluşturduğunuz Ubuntu sanal makinelerine bağlanırsınız.

NAT ağ geçidi genel IP adresini alma

Makalenin devamında yer alan adımların doğrulanması için NAT ağ geçidi genel IP adresini alın.

  1. Portalın üst kısmındaki arama kutusuna Genel IP girin. Arama sonuçlarında Genel IP adresleri'ni seçin.

  2. public-ip-nat öğesini seçin.

  3. IP adresindeki değeri not edin. Bu makalede kullanılan örnek 203.0.113.0.25'tir.

Uçtan NAT ağ geçidini test edin

  1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Arama sonuçlarında Sanal makineler'i seçin.

  2. Vm-spoke öğesini seçin.

  3. Genel Bakış'ta Bağlan'ı ve ardından Bastion aracılığıyla bağlan'ı seçin.

  4. VM oluşturma sırasında girilen kullanıcı adını ve parolayı girin. Bağlan'ı seçin.

  5. Bash istemine aşağıdaki komutu girin:

    curl ifconfig.me

  6. Komut tarafından döndürülen IP adresinin NAT ağ geçidinin genel IP adresiyle eşleşir olduğunu doğrulayın.

    azureuser@vm-1:~$ curl ifconfig.me
203.0.113.0.25

  7. Bastion'ın vm-spoke bağlantısını kapatın.

Oluşturduğunuz kaynakları kullanmayı bitirdiğinizde, kaynak grubunu ve tüm kaynaklarını silebilirsiniz.

  1. Azure portalında Kaynak grupları'nı arayın ve seçin.

  2. Kaynak grupları sayfasında test-rg kaynak grubunu seçin.

  3. test-rg sayfasında Kaynak grubunu sil'i seçin.

  4. Silme işlemini onaylamak için Kaynak grubu adını girin alanına test-rg yazın ve ardından Sil'i seçin.

Sonraki adımlar

Bir NAT ağ geçidini Azure Load Balancer ile tümleştirmeyi öğrenmek için sonraki makaleye geçin:

NAT ağ geçidini iç yük dengeleyici ile tümleştirme