Быстрый старт: Создание стандартного шлюза Azure NAT V2

В этом кратком руководстве описано, как создать шлюз Azure NAT уровня "Стандартный" версии 2 с помощью портала Azure и PowerShell. Служба шлюза NAT предоставляет масштабируемое исходящее подключение для виртуальных машин в Azure.

Замечание

Terraform в настоящее время недоступна. Используйте портал Azure, CLI или Azure PowerShell для создания шлюза NAT уровня "Стандартный" версии 2.

Предпосылки

Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Azure Cloud Shell или Azure PowerShell.

Действия, описанные в этом кратком руководстве, запускают командлеты Azure PowerShell в интерактивном режиме в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать", чтобы скопировать код, а затем вставьте его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портала Azure.

Вы также можете установить Azure PowerShell локально для выполнения командлетов. Для действий, описанных в этой статье, требуется модуль Azure PowerShell версии 5.4.1 или более поздней. Выполните Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам нужно обновить модуль Azure PowerShell, см. статью Обновление модуля Azure PowerShell.

Создайте группу ресурсов

Создайте группу ресурсов, чтобы включать все ресурсы для этого быстрого запуска.

Войдите на портал Azure.
В поле поиска в верхней части портала введите группу ресурсов. Выберите Группы ресурсов в результатах поиска.
Нажмите кнопку +Создать.
На вкладке "Основы " для создания группы ресурсов введите или выберите следующие сведения.

Setting Ценность

Subscription Выбор подписки

Группа ресурсов test-rg

Регион Восточная часть США
Выберите Review + create.
Нажмите кнопку "Создать".

Setting	Ценность
Subscription	Выбор подписки
Группа ресурсов	test-rg
Регион	Восточная часть США

Создайте группу ресурсов с помощью New-AzResourceGroup. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

В следующем примере создается группа ресурсов с именем test-rg в расположении eastus :

$rsg = @{
    Name = 'test-rg'
    Location = 'eastus'
}
New-AzResourceGroup @rsg

Создайте группу ресурсов с помощью az group create. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

В следующем примере создается группа ресурсов с именем test-rg в расположении eastus :

az group create \
    --name test-rg \
    --location eastus

Создание шлюза NAT

В этом разделе описано, как создать шлюз NAT и вспомогательные ресурсы.

Шлюз NAT Azure поддерживает несколько вариантов развертывания для IP-адресов и конфигураций избыточности для удовлетворения требований к подключению и доступности.

Зонально-избыточный адрес IPv4
Префикс избыточности зоны IPv4

Адрес IPv4 с избыточностью между зонами

Войдите на портал предварительной версии Azure.
В поле поиска в верхней части портал Azure введите общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.
Нажмите кнопку "Создать".

Введите следующие сведения в разделе "Создание общедоступного IP-адреса".

Setting	Ценность
Сведения о проекте
Subscription	Выберите подписку.
Группа ресурсов	Выберите группу ресурсов. В примере используется test-rg.
Сведения об инстанции
Регион	выберите регион. В этом примере используется Восточная часть США.
Сведения о конфигурации
Имя	Введите public-ip-nat.
Версия протокола IP	Выберите IPv4.
Артикул (SKU)	Выберите Standard V2 (для использования с шлюзом NAT Standard V2).
Тир	Выберите Региональный.

Выберите Просмотр и создание, а затем нажмите кнопку Создать.
В поле поиска в верхней части портал Azure введите шлюз NAT. В результатах поиска выберите NAT-шлюзы.
Нажмите кнопку "Создать".

Введите или выберите следующие сведения на вкладке "Основные сведения" шлюза создания сетевых адресов (NAT).

Setting	Ценность
Сведения о проекте
Subscription	Выберите подписку.
Группа ресурсов	Выберите test-rg или группу ресурсов.
Сведения об инстанции
Имя шлюза NAT	Введите nat-gateway.
Регион	Выберите свой регион. В этом примере используется Восточная часть США.
Артикул (SKU)	Выберите Стандарт V2.
Время ожидания простоя TCP (минуты)	Сохраните значение по умолчанию 4.

Нажмите кнопку Далее.
На вкладке "Исходящий IP-адрес" выберите +Добавить общедоступные IP-адреса или префиксы.
В разделе "Добавление общедоступных IP-адресов" или префиксов выберите общедоступные IP-адреса. Выберите общедоступный IP-адрес, созданный ранее, public-ip-nat.
Нажмите кнопку "Сохранить".
Выберите Проверить и создать, а затем выберите Создать.

Используйте New-AzPublicIpAddress , чтобы создать общедоступный IP-адрес, избыточный в зоне IPv4 для шлюза NAT.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    Sku = 'StandardV2'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

Используйте New-AzNatGateway для создания ресурса шлюза NAT.

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'StandardV2'
    Location = 'eastus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1,2,3
}
$natGateway = New-AzNatGateway @nat

Используйте az network public-ip create , чтобы создать общедоступный IP-адрес, избыточный в зоне IPv4 для шлюза NAT.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-nat \
    --location eastus \
    --sku StandardV2 \
    --allocation-method Static \
    --version IPv4 \
    --zone 1 2 3

Выполните команду az network nat gateway create для создания ресурса шлюза NAT.

az network nat gateway create \
    --resource-group test-rg \
    --name nat-gateway \
    --location eastus \
    --public-ip-addresses public-ip-nat \
    --idle-timeout 4 \
    --sku StandardV2 \
    --zone 1 2 3

Зональный избыточный префикс IPv4

Войдите на портал предварительной версии Azure.
В поле поиска в верхней части портал Azure введите префикс общедоступного IP-адреса. Выберите префиксы общедоступного IP-адреса в результатах поиска.
Нажмите кнопку "Создать".

Введите следующие сведения на вкладке "Основы" префикса общедоступного IP-адреса.

Setting	Ценность
Сведения о проекте
Subscription	Выберите подписку.
Группа ресурсов	Выберите группу ресурсов. В этом примере используется test-rg.
Сведения об инстанции
Имя	Введите public-ip-prefix-nat.
Регион	Выберите свой регион. В этом примере используется Восточная часть США.
Sku	Выберите Стандарт V2.
Версия протокола IP	Выберите IPv4.
Владение префиксом	Выберите корпорацию Майкрософт, принадлежащей корпорации Майкрософт.
Размер префикса	Выберите размер префикса. В этом примере используется /28 (16 адресов).

Выберите Проверить и создать, а затем выберите Создать.
В поле поиска в верхней части портал Azure введите шлюз NAT. В результатах поиска выберите NAT-шлюзы.
Нажмите кнопку "Создать".

Введите или выберите следующие сведения на вкладке "Основные сведения" шлюза создания сетевых адресов (NAT).

Setting	Ценность
Сведения о проекте
Subscription	Выберите подписку.
Группа ресурсов	Выберите test-rg или группу ресурсов.
Сведения об инстанции
Имя шлюза NAT	Введите nat-gateway.
Регион	Выберите свой регион. В этом примере используется Восточная часть США.
Артикул (SKU)	Выберите Стандарт V2.
Время ожидания простоя TCP (минуты)	Сохраните значение по умолчанию 4.

Нажмите кнопку Далее.
На вкладке "Исходящий IP-адрес" выберите +Добавить общедоступные IP-адреса или префиксы.
В разделе "Добавление общедоступных IP-адресов" или префиксов выберите префиксы общедоступного IP-адреса. Выберите префикс общедоступного IP-адреса, созданный ранее, public-ip-prefix-nat.
Выберите Проверить и создать, а затем выберите Создать.

Используйте New-AzPublicIpPrefix, чтобы создать зонально избыточный общедоступный IPv4-префикс для шлюза NAT.

## Create public IP prefix for NAT gateway ##
$ip = @{
    Name = 'public-ip-prefix-nat'
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    Sku = 'StandardV2'
    PrefixLength = '31'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4prefix = New-AzPublicIpPrefix @ip

Используйте New-AzNatGateway для создания ресурса шлюза NAT.

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'StandardV2'
    Location = 'eastus'
    PublicIpPrefix = $publicIPIPv4prefix
    Zone = 1,2,3
}
$natGateway = New-AzNatGateway @nat

Используйте az network public-ip prefix create для создания зонально избыточного общедоступного префикса IP-адреса IPv4 для NAT-шлюза.

az network public-ip prefix create \
    --resource-group test-rg \
    --name public-ip-prefix-nat \
    --location eastus \
    --length 31 \
    --sku StandardV2 \
    --version IPv4 \
    --zone 1 2 3

Выполните команду az network nat gateway create для создания ресурса шлюза NAT.

az network nat gateway create \
    --resource-group test-rg \
    --name nat-gateway \
    --location eastus \
    --public-ip-prefixes public-ip-prefix-nat \
    --idle-timeout 4 \
    --sku StandardV2 \
    --zone 1 2 3

Создание конфигураций виртуальной сети и подсети

Создайте виртуальную сеть и подсети, необходимые для этого краткого руководства.

В поле поиска в верхней части портал Azure введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Нажмите кнопку "Создать".

Введите или выберите следующие сведения на вкладке "Основные сведения" в разделе "Создание виртуальной сети".

Setting	Ценность
Сведения о проекте
Subscription	Выберите подписку.
Группа ресурсов	Выберите test-rg или группу ресурсов.
Сведения об инстанции
Имя	Введите vnet-1.
Регион	Выберите свой регион. В этом примере используется Восточная часть США.

Перейдите на вкладку "IP-адреса " или нажмите кнопку "Далее" и " Далее".
В подсетях выберите подсетьпо умолчанию .

Введите или выберите следующие сведения в разделе Изменить подсеть.

Setting	Ценность
Назначение подсети	Оставьте значение по умолчанию.
Имя	Введите subnet-1.
Частная подсеть
Включение частной подсети (нет исходящего доступа по умолчанию)	Установите флажок.
Безопасность
Шлюз NAT	Выберите nat-gateway.

Нажмите кнопку "Сохранить".
Выберите +Добавить подсеть.
В поле "Добавить подсеть" введите или выберите следующие сведения.

Setting Ценность

Назначение подсети Выберите Бастион Azure.
Оставьте остальные параметры по умолчанию, а затем нажмите кнопку "Добавить".
Выберите Проверить и создать, а затем выберите Создать.

Setting	Ценность
Назначение подсети	Выберите Бастион Azure.

Используйте New-AzVirtualNetworkSubnetConfig для создания конфигураций подсети. Создайте виртуальную сеть с помощью команды New-AzVirtualNetwork.

## Create subnet config and associate NAT gateway to subnet ##
$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    NatGateway = $natGateway
    DefaultOutboundAccess = $false
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create Azure Bastion subnet ##
$bastsubnet = @{
    Name = 'AzureBastionSubnet' 
    AddressPrefix = '10.0.1.0/26'
}
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig @bastsubnet

## Create the virtual network ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig,$bastsubnetConfig
}
$vnet = New-AzVirtualNetwork @net

Используйте az network vnet create для создания виртуальной сети. Используйте az network vnet subnet create and az network vnet subnet update для создания и настройки подсети.

## Create the virtual network ##
az network vnet create \
    --resource-group test-rg \
    --name vnet-1 \
    --location eastus \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

## Associate NAT gateway to subnet and disable default outbound access ##
az network vnet subnet update \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --nat-gateway nat-gateway \
    --default-outbound false

## Create Azure Bastion subnet ##
az network vnet subnet create \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/26

Создайте узел Bastion в Azure

Создайте хост Bastion в Azure для безопасного подключения к виртуальной машине.

В поле поиска в верхней части портала Azure введите Бастион. Выберите Bastions в результатах поиска.
Нажмите кнопку "Создать".

Введите или выберите следующие сведения на вкладке "Основы " в разделе "Создание бастиона".

Setting	Ценность
Сведения о проекте
Subscription	Выберите подписку.
Группа ресурсов	Выберите test-rg или группу ресурсов.
Сведения об инстанции
Имя	Введите бастион.
Регион	Выберите свой регион. В этом примере используется Восточная часть США.
Тир	Выберите разработчика.
Виртуальная сеть	Выберите vnet-1.
Подсеть	Выберите AzureBastionSubnet.

Выберите Проверить и создать, а затем выберите Создать.

Используйте New-AzBastion для создания узла Бастиона Azure.

## Create public IP address for bastion host ##
$ip = @{
    Name = 'public-ip-bastion'
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1,2,3
}
$publicipbastion = New-AzPublicIpAddress @ip

## Create bastion host ##
$bastion = @{
    Name = 'bastion'
    ResourceGroupName = 'test-rg'
    PublicIpAddressRgName = 'test-rg'
    PublicIpAddressName = 'public-ip-bastion'
    VirtualNetworkRgName = 'test-rg'
    VirtualNetworkName = 'vnet-1'
    Sku = 'Basic'
}
New-AzBastion @bastion

Чтобы создать общедоступный IP-адрес узла-бастиона, выполните команду az network public-ip create. Используйте az network Bastion create для создания узла Бастиона Azure.

## Create public IP address for bastion host ##
az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus \
    --sku Standard \
    --allocation-method Static \
    --zone 1 2 3

## Create bastion host ##
az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --location eastus \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --sku Basic

Узлу бастиона может потребоваться несколько минут для развертывания. Дождитесь развертывания узла бастиона, прежде чем перейти к следующему разделу.

Создать виртуальную машину

В этом разделе описано, как создать виртуальную машину для тестирования шлюза NAT и проверить общедоступный IP-адрес исходящего подключения. Следующая команда создает ключи SSH для проверки подлинности. Закрытый ключ требуется позже для входа на виртуальную машину через Бастион Azure. Для команды требуются учетные данные имени пользователя и пароля. Пароль не используется для входа в виртуальную машину.

В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите "Создать>виртуальную машину".

В разделе "Создание виртуальной машины" введите или выберите следующие сведения на вкладке "Основные сведения".

Setting	Ценность
Сведения о проекте
Subscription	Выберите подписку.
Группа ресурсов	Выберите test-rg или группу ресурсов.
Сведения об инстанции
Название виртуальной машины	Введите vm-1.
Регион	Выберите свой регион. В этом примере используется Восточная часть США.
Параметры доступности	Оставьте значение по умолчанию для параметра Избыточность инфраструктуры не требуется.
Тип безопасности	Выберите Стандартное.
Изображение	Выберите Ubuntu Server 24.04 LTS — 2-го поколения.
Size	Выбор размера
Тип аутентификации	Выберите Открытый ключ SSH.
Имя пользователя	Введите имя пользователя по вашему выбору. Вам потребуется это имя пользователя для входа в виртуальную машину позже.
SSH public key source (Источник открытого ключа SSH)	Выберите Создать новую пару ключей.
Имя пары ключей	Введите ssh-key.
Общедоступные входящие порты	Выберите "Нет".

Нажмите кнопку "Далее": диски, а затем нажмите кнопку "Далее: сеть".

На вкладке Сеть введите или выберите следующие значения параметров.

Setting	Ценность
Сетевой интерфейс
Виртуальная сеть	Выберите vnet-1.
Подсеть	Выберите подсеть-1.
Общедоступный IP-адрес	Выберите "Нет".
Группа безопасности сети NIC	Выберите Базовый.
Общедоступные входящие порты	Оставьте значение по умолчанию Нет.

Выберите Проверить и создать, а затем выберите Создать.

Используйте get-Credential для создания имени пользователя и пароля для виртуальной машины. Используйте New-AzNetworkInterface , чтобы создать сетевой интерфейс для виртуальной машины. Используйте New-AzVMConfig для создания конфигурации виртуальной машины. Создайте виртуальную машину с помощью New-AzVM .

## Get credentials for virtual machine ##
$cred = Get-Credential

## Create network interface for virtual machine ##
$nic = @{
    Name = "nic-1"
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
}
$nicVM = New-AzNetworkInterface @nic

## Create a virtual machine configuration ##
$vmsz = @{
    VMName = 'vm-1'
    VMSize = 'Standard_DS1_v2'  
}
$vmos = @{
    ComputerName = 'vm-1'
    Credential = $cred
    DisablePasswordAuthentication = $true
}
$vmimage = @{
    PublisherName = 'Canonical'
    Offer = '0001-com-ubuntu-server-jammy'
    Skus = '22_04-lts-gen2'
    Version = 'latest'     
}
$vmConfig = New-AzVMConfig @vmsz `
    | Set-AzVMOperatingSystem @vmos -Linux `
    | Set-AzVMSourceImage @vmimage `
    | Add-AzVMNetworkInterface -Id $nicVM.Id

## Create the virtual machine ##
$vm = @{
    ResourceGroupName = 'test-rg'
    Location = 'eastus'
    VM = $vmConfig
    SshKeyName = 'ssh-key'
}
New-AzVM @vm -GenerateSshKey

Используйте az network nic create , чтобы создать сетевой интерфейс для виртуальной машины. Для создания виртуальной машины используйте az vm create.

## Create network interface for virtual machine ##
az network nic create \
    --resource-group test-rg \
    --name nic-1 \
    --vnet-name vnet-1 \
    --subnet subnet-1

## Create the virtual machine ##
az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --location eastus \
    --nics nic-1 \
    --image Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest \
    --size Standard_DS1_v2 \
    --admin-username azureuser \
    --generate-ssh-keys \
    --public-ip-address ""

Прежде чем перейти к следующему разделу, дождитесь завершения создания виртуальной машины.

Это важно

Убедитесь, что вы скачайте закрытый ключ SSH на виртуальную машину. Для входа на виртуальную машину через Бастион Azure требуется закрытый ключ.

Тестирование шлюза NAT

В этом разделе описано, как протестировать шлюз NAT. Сначала вы обнаружите общедоступный IP-адрес шлюза NAT. Затем подключитесь к тестовой виртуальной машине и проверьте исходящее подключение через общедоступный IP-адрес шлюза NAT.

В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.
Выберите nat-gateway.
Разверните раздел "Параметры", а затем выберите исходящий IP-адрес.
Запишите IP-адрес, используемый в качестве исходящего. Здесь перечислены отдельные общедоступные IP-адреса и префиксы общедоступных IP-адресов, настроенные для шлюза NAT.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-1.
На странице "Обзор" выберите "Подключиться", а затем нажмите кнопку "Подключиться" через бастион.
В раскрывающемся списке проверки подлинности выберите закрытый ключ SSH из локального файла.
В поле "Имя пользователя" введите имя пользователя, введенное во время создания виртуальной машины.
В локальном файле выберите файл закрытого ключа SSH, скачанный ранее.
Нажмите Подключиться.
В командной строке bash введите следующую команду:
```
curl ifconfig.me
```
Убедитесь, что IP-адрес, возвращенный командой, соответствует общедоступному IP-адресу шлюза NAT, который вы указали ранее.
```
azureuser@vm-1:~$ curl ifconfig.me
203.0.113.0.25
```

Очистите ресурсы

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

На портале Azure найдите и выберите группы ресурсов.
На странице групп ресурсов выберите группу ресурсов test-rg .
На странице test-rg выберите "Удалить группу ресурсов".
Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Если вы не собираетесь продолжать использовать это приложение, удалите виртуальную сеть, виртуальную машину и шлюз NAT с помощью следующей команды:

Remove-AzResourceGroup -Name 'test-rg' -Force

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Дальнейшие шаги

Дополнительные сведения о шлюзе Azure NAT см. в следующем разделе:

Обзор шлюза NAT Azure Ресурс шлюза NAT Azure

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-11-19