快速入門：建立標準 V2 Azure NAT 閘道

在本快速入門中，學習如何利用 Azure 入口網站和 PowerShell 建立標準 V2 Azure NAT 閘道。 NAT 閘道服務可為 Azure 中的虛擬機器提供可調整的輸出連線。

這很重要

Standard V2 SKU Azure NAT 閘道目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定，以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未正式發行的版本) 的法律條款。

備註

Terraform 目前無法使用。 使用 Azure Preview 入口網站、CLI 或 Azure PowerShell 來建立標準 V2 NAT 閘道。

先決條件

Portal

• 具有有效訂閱的 Azure 帳戶。 免費建立帳戶。

PowerShell

• 具有有效訂閱的 Azure 帳戶。 免費建立帳戶。

• Azure Cloud Shell 或 Azure PowerShell。

  本快速入門中的步驟會在 Azure Cloud Shell 中以互動方式執行 Azure PowerShell Cmdlet。 若要在 Cloud Shell 中執行命令，請選取程式碼區塊右上角的 [開啟 Cloud Shell]。 選取 [複製] 以複製程式碼，然後將其貼入 Cloud Shell 以執行。 您也可以從 Azure 入口網站內執行 Cloud Shell。

  您也可以在本機安裝 Azure PowerShell 來執行 Cmdlet。 本文中的步驟需要 Azure PowerShell 模組 5.4.1 版或更新版本。 執行 Get-Module -ListAvailable Az 來了解您安裝的版本。 如果您需要升級，請參閱 更新 Azure PowerShell 模組。

命令列介面

如果您沒有 Azure 帳戶，請在開始之前建立 免費帳戶 。

• 若要在本機執行 CLI 參考命令，請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊，請參閱 如何在 Docker 容器中執行 Azure CLI。

  • 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟，完成驗證程序。 如需其他登入選項，請參閱 使用 Azure CLI 向 Azure 進行驗證。

  • 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能的詳細資訊，請參閱 使用和管理 Azure CLI 的擴充功能。

  • 執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本，請執行 az upgrade。

建立資源群組

建立資源群組以包含適用於此快速入門的所有資源。

Portal

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中，輸入資源群組。 在搜尋結果中，選取 [資源群組]。

3. 選取 + Create。

4. 在 [建立資源群組] 的 [基本] 索引標籤中，輸入或選取下列資訊。

   Setting	價值觀
   Subscription	選取您的訂用帳戶
   資源群組	test-rg
   區域	美國東部

5. 選擇 檢閱 + 創建。

6. 選取 ，創建。

PowerShell

使用 New-AzResourceGroup 來建立資源群組。 Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。

下列範例會在 eastus 位置建立一個名為 test-rg 的資源群組：

$rsg = @{
    Name = 'test-rg'
    Location = 'eastus'
}
New-AzResourceGroup @rsg

命令列介面

使用 az group create 來建立資源群組。 Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。

下列範例會在 eastus 位置建立一個名為 test-rg 的資源群組：

az group create \
    --name test-rg \
    --location eastus

建立 NAT 閘道

在本節中，請建立 NAT 閘道和支援的資源。

Azure NAT 閘道支援多種 IP 位址部署選項及備援設定，可滿足您的連線與可用性需求。

• 區域備援 IPv4 位址
• 區域備援 IPv4 首碼

區域備援 IPv4 位址

Portal

1. 登入 Azure Preview 入口網站。

2. 在 Azure 入口網站頂端的搜尋方塊中，輸入公用 IP 位址。 在搜尋結果中，選取 [公用 IP 位址]。

3. 選取 ，創建。

4. 在 [建立公用 IP 位址] 中，輸入下列資訊。

   Setting	價值觀
   項目詳細數據
   Subscription	選取您的訂用帳戶。
   資源群組	選取您的資源群組。 此範例使用 test-rg。
   實例詳細數據
   區域	選取區域。 此範例使用美國東部。
   組態詳細資料
   名稱	輸入 public-ip-nat。
   IP 版本	選取 [IPv4]。
   SKU	選取 [標準 V2 (搭配使用標準 V2 NAT 閘道)]。
   層	選取 [區域]。

5. 選取 [檢閱 + 建立]，然後選取 [建立]。

6. 在 Azure 入口網站頂端的搜尋方塊中，輸入 NAT 閘道。 在搜尋結果中，選取 [NAT 閘道]。

7. 選取 ，創建。

8. 在 [建立網路位址轉譯 (NAT) 閘道] 的 [基本] 索引標籤中，輸入或選取下列資訊。

   Setting	價值觀
   項目詳細數據
   Subscription	選取您的訂用帳戶。
   資源群組	選取 [test-rg] 或您的資源群組。
   實例詳細數據
   NAT 閘道名稱	輸入 nat-gateway。
   區域	選取您的區域。 此範例使用美國東部。
   SKU	選取 [標準 V2]。
   TCP 閒置逾時 (分鐘)	保留預設值 [4]。

9. 選取 下一步。

10. 在 [輸出 IP] 索引標籤中，選取 [+ 新增公用 IP 位址或首碼]。

11. 在 [新增公用 IP 位址或首碼] 中，選取 [公用 IP 位址]。 選取您先前建立的公用 IP 位址 [public-ip-nat]。

12. 選取 [儲存]。

13. 選取 [檢閱 + 建立]，然後選取 [建立]。

PowerShell

使用 New-AzPublicIpAddress 為 NAT 閘道建立區域備援的 IPv4 公用 IP 位址。

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    Sku = 'StandardV2'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

使用 New-AzNatGateway 來建立 NAT 閘道資源。

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'StandardV2'
    Location = 'eastus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1,2,3
}
$natGateway = New-AzNatGateway @nat

命令列介面

使用 az network public-ip create 為 NAT 閘道建立區域備援 IPv4 公用 IP 位址。

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-nat \
    --location eastus \
    --sku StandardV2 \
    --allocation-method Static \
    --version IPv4 \
    --zone 1 2 3

使用 az network nat gateway create 來建立 NAT 閘道資源。

az network nat gateway create \
    --resource-group test-rg \
    --name nat-gateway \
    --location eastus \
    --public-ip-addresses public-ip-nat \
    --idle-timeout 4 \
    --sku StandardV2 \
    --zone 1 2 3

區域備援 IPv4 首碼

Portal

1. 登入 Azure Preview 入口網站。

2. 在 Azure 入口網站頂端的搜尋方塊中，輸入公用 IP 前置詞。 選取搜尋結果中的 [公用 IP 前置詞]。

3. 選取 ，創建。

4. 在 [建立公用 IP 前置詞] 中的 [基本資訊] 索引標籤中，輸入下列資訊。

   Setting	價值觀
   項目詳細數據
   Subscription	選取您的訂用帳戶。
   資源群組	選取您的資源群組。 此範例使用 test-rg。
   實例詳細數據
   名稱	輸入 public-ip-prefix-nat。
   區域	選取您的區域。 此範例使用美國東部。
   Sku	選取 [標準 V2]。
   IP 版本	選取 [IPv4]。
   前置詞所有權	選取 [Microsoft 擁有]。
   首碼大小	選取前置詞大小。 此範例使用 /28 (16 個位址)。

5. 選取 [檢閱 + 建立]，然後選取 [建立]。

6. 在 Azure 入口網站頂端的搜尋方塊中，輸入 NAT 閘道。 在搜尋結果中，選取 [NAT 閘道]。

7. 選取 ，創建。

8. 在 [建立網路位址轉譯 (NAT) 閘道] 的 [基本] 索引標籤中，輸入或選取下列資訊。

   Setting	價值觀
   項目詳細數據
   Subscription	選取您的訂用帳戶。
   資源群組	選取 [test-rg] 或您的資源群組。
   實例詳細數據
   NAT 閘道名稱	輸入 nat-gateway。
   區域	選取您的區域。 此範例使用美國東部。
   SKU	選取 [標準 V2]。
   TCP 閒置逾時 (分鐘)	保留預設值 [4]。

9. 選取 下一步。

10. 在 [輸出 IP] 索引標籤中，選取 [+ 新增公用 IP 位址或首碼]。

11. 在 [新增公用 IP 位址或首碼] 中，選取 [公用 IP 首碼]。 選取您先前建立的公用 IP 首碼 public-ip-prefix-nat。

12. 選取 [檢閱 + 建立]，然後選取 [建立]。

PowerShell

使用 New-AzPublicIpPrefix 為 NAT 閘道建立區域備援 IPv4 公用 IP 首碼。

## Create public IP prefix for NAT gateway ##
$ip = @{
    Name = 'public-ip-prefix-nat'
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    Sku = 'StandardV2'
    PrefixLength = '31'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4prefix = New-AzPublicIpPrefix @ip

使用 New-AzNatGateway 來建立 NAT 閘道資源。

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'StandardV2'
    Location = 'eastus'
    PublicIpPrefix = $publicIPIPv4prefix
    Zone = 1,2,3
}
$natGateway = New-AzNatGateway @nat

命令列介面

使用 az network public-ip prefix create 為 NAT 閘道建立區域備援 IPv4 公用 IP 首碼。

az network public-ip prefix create \
    --resource-group test-rg \
    --name public-ip-prefix-nat \
    --location eastus \
    --length 31 \
    --sku StandardV2 \
    --version IPv4 \
    --zone 1 2 3

使用 az network nat gateway create 來建立 NAT 閘道資源。

az network nat gateway create \
    --resource-group test-rg \
    --name nat-gateway \
    --location eastus \
    --public-ip-prefixes public-ip-prefix-nat \
    --idle-timeout 4 \
    --sku StandardV2 \
    --zone 1 2 3

建立虛擬網路與子網路設定

建立此快速入門所需的虛擬網路和子網路。

Portal

1. 在 Azure 入口網站頂端的搜尋方塊中，輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]。

2. 選取 ，創建。

3. 在 [建立虛擬網路] 的 [基本資料] 索引標籤中，輸入或選取下列資訊。

   Setting	價值觀
   項目詳細數據
   Subscription	選取您的訂用帳戶。
   資源群組	選取 [test-rg] 或您的資源群組。
   實例詳細數據
   名稱	輸入 vnet-1。
   區域	選取您的區域。 此範例使用美國東部。

4. 選取 [IP 位址] 索引標籤，或選取 [下一步]，然後選取 [下一步]。

5. 在 [子網路] 中選取 [預設] 子網路。

6. 在 [編輯子網路] 中，輸入或選取下列資訊。

   Setting	價值觀
   子網路用途	保留預設值。
   名稱	輸入 subnet-1。
   私人子網路
   啟用私人子網路 (無預設的輸出存取)	核取方塊。
   安全性
   NAT 閘道	選取 [nat-gateway]。

7. 選取 [儲存]。

8. 選取 [+ 新增子網路]。

9. 在 [新增子網路] 中輸入或選取下列資訊。

   Setting	價值觀
   子網路用途	選取 [Bastion]。

10. 將其他設定保留為預設值，然後選取 [新增]。

11. 選取 [檢閱 + 建立]，然後選取 [建立]。

PowerShell

使用 New-AzVirtualNetworkSubnetConfig 來建立子網路設定。 使用 New-AzVirtualNetwork 建立虛擬網路。

## Create subnet config and associate NAT gateway to subnet ##
$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    NatGateway = $natGateway
    DefaultOutboundAccess = $false
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create Azure Bastion subnet ##
$bastsubnet = @{
    Name = 'AzureBastionSubnet' 
    AddressPrefix = '10.0.1.0/26'
}
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig @bastsubnet

## Create the virtual network ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig,$bastsubnetConfig
}
$vnet = New-AzVirtualNetwork @net

命令列介面

使用 az network vnet create 建立虛擬網路。 使用 az network vnet subnet create 和 az network vnet subnet update 來建立和設定子網路。

## Create the virtual network ##
az network vnet create \
    --resource-group test-rg \
    --name vnet-1 \
    --location eastus \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

## Associate NAT gateway to subnet and disable default outbound access ##
az network vnet subnet update \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --nat-gateway nat-gateway \
    --default-outbound false

## Create Azure Bastion subnet ##
az network vnet subnet create \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/26

建立 Azure Bastion 主機

建立 Bastion 主機以安全地連線到虛擬機器。

Portal

1. 在 Azure 入口網站頂端的搜尋方塊中輸入 Bastion。 在搜尋結果中選取 [Bastion]。

2. 選取 ，創建。

3. 在 [建立堡壘] 的 [基本] 索引標籤中，輸入或選取下列資訊。

   Setting	價值觀
   項目詳細數據
   Subscription	選取您的訂用帳戶。
   資源群組	選取 [test-rg] 或您的資源群組。
   實例詳細數據
   名稱	輸入 bastion。
   區域	選取您的區域。 此範例使用美國東部。
   層	選取 [開發人員]。
   虛擬網路	選取 vnet-1。
   子網路	選取 [AzureBastionSubnet]。

4. 選取 [檢閱 + 建立]，然後選取 [建立]。

PowerShell

使用 New-AzBastion 建立 Azure Bastion 主機。

## Create public IP address for bastion host ##
$ip = @{
    Name = 'public-ip-bastion'
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1,2,3
}
$publicipbastion = New-AzPublicIpAddress @ip

## Create bastion host ##
$bastion = @{
    Name = 'bastion'
    ResourceGroupName = 'test-rg'
    PublicIpAddressRgName = 'test-rg'
    PublicIpAddressName = 'public-ip-bastion'
    VirtualNetworkRgName = 'test-rg'
    VirtualNetworkName = 'vnet-1'
    Sku = 'Basic'
}
New-AzBastion @bastion

命令列介面

使用 az network public-ip create 來建立堡壘主機的公用 IP 位址。 使用 az network bastion create 建立 Azure Bastion 主機。

## Create public IP address for bastion host ##
az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus \
    --sku Standard \
    --allocation-method Static \
    --zone 1 2 3

## Create bastion host ##
az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --location eastus \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --sku Basic

堡壘主機可能需要幾分鐘的時間才能部署。 等候堡壘主機部署，再繼續進行下一區段。

建立虛擬機

在本節中，您會建立虛擬機來測試 NAT 閘道，並驗證輸出連線的公用 IP 位址。 以下命令會建立用於驗證的 SSH 金鑰。 私密金鑰是稍後透過 Bastion 登入虛擬機器時需要的。 命令需要使用者名稱和密碼的認證。 登入虛擬機器時不會使用密碼。

Portal

1. 在入口網站頂端的搜尋方塊中，輸入 Virtual machine。 在搜尋結果中，選取 [虛擬機器]。

2. 選取 [建立]>[虛擬機器]。

3. 在 [建立虛擬機器] 的 [基本] 索引標籤中，輸入或選取下列資訊。

   Setting	價值觀
   項目詳細數據
   Subscription	選取您的訂用帳戶。
   資源群組	選取 [test-rg] 或您的資源群組。
   實例詳細數據
   虛擬機器名稱	輸入 vm-1。
   區域	選取您的區域。 此範例使用美國東部。
   可用性選項	保留預設值 [不需要基礎結構備援]。
   安全性類型	選取 [標準]。
   影像	選取 [Ubuntu Server 24.04 LTS - Gen2]。
   大小	選取大小
   驗證類型	選取 [SSH 公開金鑰]。
   用戶名稱	輸入您選擇的使用者名稱。 您需要此使用者名稱稍後才能登入虛擬機器。
   SSH 公開金鑰來源	選取 [產生新的金鑰組]。
   金鑰組名稱	輸入 ssh-key。
   公用輸入連接埠	選取 [無]。

4. 選取 [下一步：磁碟]，然後選取 [下一步：網路]。

5. 在 [網路] 索引標籤中，輸入或選取以下資訊。

   Setting	價值觀
   網路介面
   虛擬網路	選取 vnet-1。
   子網路	選取 [subnet-1]。
   公用 IP	選取 [無]。
   NIC 網路安全性群組	選取 [基本]。
   公用輸入連接埠	保留預設值 None。

6. 選取 [檢閱 + 建立]，然後選取 [建立]。

PowerShell

使用 Get-Credential 為虛擬機器建立使用者名稱和密碼。 使用 New-AzNetworkInterface 為虛擬機器建立網路介面。 使用 New-AzVMConfig 來建立虛擬機器設定。 使用 New-AzVM 來建立虛擬機器。

## Get credentials for virtual machine ##
$cred = Get-Credential

## Create network interface for virtual machine ##
$nic = @{
    Name = "nic-1"
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
}
$nicVM = New-AzNetworkInterface @nic

## Create a virtual machine configuration ##
$vmsz = @{
    VMName = 'vm-1'
    VMSize = 'Standard_DS1_v2'  
}
$vmos = @{
    ComputerName = 'vm-1'
    Credential = $cred
    DisablePasswordAuthentication = $true
}
$vmimage = @{
    PublisherName = 'Canonical'
    Offer = '0001-com-ubuntu-server-jammy'
    Skus = '22_04-lts-gen2'
    Version = 'latest'     
}
$vmConfig = New-AzVMConfig @vmsz `
    | Set-AzVMOperatingSystem @vmos -Linux `
    | Set-AzVMSourceImage @vmimage `
    | Add-AzVMNetworkInterface -Id $nicVM.Id

## Create the virtual machine ##
$vm = @{
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    VM = $vmConfig
    SshKeyName = 'ssh-key'
}
New-AzVM @vm -GenerateSshKey

命令列介面

使用 az network nic create 來建立虛擬機器的網路介面。 使用 az vm create 建立虛擬機器。

## Create network interface for virtual machine ##
az network nic create \
    --resource-group test-rg \
    --name nic-1 \
    --vnet-name vnet-1 \
    --subnet subnet-1

## Create the virtual machine ##
az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --location eastus \
    --nics nic-1 \
    --image Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest \
    --size Standard_DS1_v2 \
    --admin-username azureuser \
    --generate-ssh-keys \
    --public-ip-address ""

請等候虛擬機器建立完成，再繼續進行下一小節。

這很重要

確保您將 SSH 私密金鑰下載至虛擬機器。 您需要私密金鑰才能透過 Bastion 登入虛擬機器。

測試 NAT 閘道

在本節中，您會測試 NAT 閘道。 您先探索 NAT 閘道的公用 IP。 然後，您可以連線到測試虛擬機器，並透過 NAT 閘道公用 IP 驗證輸出連線。

1. 在入口網站頂端的搜尋方塊中，輸入 NAT 閘道。 在搜尋結果中，選取 [NAT 閘道]。

2. 選取 [nat-gateway]。

3. 展開 [設定] ，然後選取 [輸出 IP]。

4. 請記下為輸出 IP 位址所部署的 IP 位址。 為 NAT 閘道器所設定的個別公用 IP 與公用 IP 首碼會在此處列出。

5. 在入口網站頂端的搜尋方塊中，輸入 Virtual machine。 在搜尋結果中，選取 [虛擬機器]。

6. 選取 vm-1。

7. 在 [概觀] 頁面上，選取 [連線]，然後選取 [透過 Bastion 連線]。

8. 在 [驗證] 下拉式功能表中，選取 [本機檔案中的 SSH 私密金鑰]。

9. 在 [使用者名稱] 中，輸入您在虛擬機器建立時輸入的使用者名稱。

10. 在 [本機檔案] 中，選取您先前下載的 SSH 私密金鑰檔案。

11. 選擇 連線。

12. 在 bash 命令提示字元中輸入下列命令：

    curl ifconfig.me
    

13. 確認命令傳回的 IP 位址符合您先前記下的 NAT 閘道公用 IP 位址。

    azureuser@vm-1:~$ curl ifconfig.me
    203.0.113.0.25
    

清理資源

Portal

當完成了使用您所建立的資源時，您可以刪除資源群組及其所有資源。

1. 在 Azure 入口網站中，搜尋並選取 [資源群組]。

2. 在 [資源群組] 頁面上，選取 [test-rg] 資源群組。

3. 在 [test-rg] 頁面上，選取 [刪除資源群組]。

4. 在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg，然後選取 [刪除]。

PowerShell

如果您不打算繼續使用此應用程式，請使用下列命令刪除虛擬網路、虛擬機和 NAT 閘道：

Remove-AzResourceGroup -Name 'test-rg' -Force

命令列介面

如果您不打算繼續使用此應用程式，請使用下列命令刪除虛擬網路、虛擬機和 NAT 閘道：

az group delete \
    --name test-rg \
    --yes \
    --no-wait

後續步驟

如需 Azure NAT 閘道的詳細資訊，請參閱：

Azure NAT 閘道概觀Azure NAT 閘道資源