Интеграция шлюза NAT с брандмауэром Azure в концентраторе и периферийной сети для исходящего подключения

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

Azure Cloud Shell

Azure размещает Azure Cloud Shell, интерактивную среду оболочки, которую можно использовать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для выполнения кода в этой статье можно использовать предустановленные команды Cloud Shell, не устанавливая ничего в локальной среде.

Чтобы запустить Azure Cloud Shell, выполните приведенные действия.

Вариант	Пример/ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

1. Запустите Cloud Shell.

2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

3. Вставьте код или команду в сеанс Cloud Shell, выбрав CTRL+SHIFT+V в Windows и Linux или выбрав Cmd+Shift+V в macOS.

4. Нажмите Enter, чтобы запустить код или команду.

Чтобы установить и использовать PowerShell локально для работы с этой статьей, вам понадобится модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните команду Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите группу ресурсов. Выберите Группы ресурсов в результатах поиска.

3. Выберите + Создать.

4. На вкладке "Основы " для создания группы ресурсов введите или выберите следующие сведения.

   Параметр	Значение
   Отток подписок	Выбор подписки
   Группа ресурсов	test-rg
   Область/регион	Западная часть США

5. Выберите Review + create (Просмотреть и создать).

6. Нажмите кнопку создания.

Создайте группу ресурсов с помощью New-AzResourceGroup. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

В следующем примере создается группа ресурсов с именем test-rg в расположении westus :

$rsg = @{
    Name = 'test-rg'
    Location = 'westus'
}
New-AzResourceGroup @rsg

1. Войдите на портал Azure.

2. В поле поиска в верхней части портал Azure введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.

3. Нажмите кнопку создания.

4. Введите или выберите следующие сведения на вкладке "Основные сведения" в разделе "Создание виртуальной сети".

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg или группу ресурсов.
   Сведения об экземпляре
   Имя.	Введите vnet-hub.
   Область/регион	Выберите свой регион. В этом примере используется регион западная часть США.

5. Перейдите на вкладку "IP-адреса " или нажмите кнопку "Далее: безопасность", а затем " Далее: IP-адреса".

6. В подсетях выберите подсетьпо умолчанию .

7. Введите или выберите следующие сведения в разделе Изменить подсеть.

   Параметр	Значение
   Назначение подсети	Оставьте значение по умолчанию.
   Имя.	Введите subnet-1.

8. Оставьте остальные параметры в качестве значения по умолчанию, а затем нажмите кнопку "Сохранить".

9. Выберите +Добавить подсеть.

10. В поле "Добавить подсеть" введите или выберите следующие сведения.

    Параметр	Значение
    Назначение подсети	Выберите Бастион Azure.

11. Оставьте остальные параметры по умолчанию, а затем нажмите кнопку "Добавить".

12. Выберите +Добавить подсеть.

13. В поле "Добавить подсеть" введите или выберите следующие сведения.

    Параметр	Значение
    Назначение подсети	Выберите брандмауэр Azure.

14. Оставьте остальные параметры по умолчанию, а затем нажмите кнопку "Добавить".

15. Выберите Проверить и создать, а затем выберите Создать.

Создайте виртуальную сеть концентратора с помощью New-AzVirtualNetwork .

# Create hub virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-hub'
    AddressPrefix = '10.0.0.0/16'
}
$hubVnet = New-AzVirtualNetwork @vnetParams

Используйте Add-AzVirtualNetworkSubnetConfig , чтобы создать подсеть для брандмауэра Azure и Бастиона Azure.

# Create default subnet
$subnetParams = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Firewall
$subnetParams = @{
    Name = 'AzureFirewallSubnet'
    AddressPrefix  = '10.0.1.64/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Bastion
$subnetParams = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix  = '10.0.1.0/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Для обновления виртуальной сети используйте командлет Set-AzVirtualNetwork.

# Create the virtual network
$hubVnet | Set-AzVirtualNetwork

1. В поле поиска в верхней части портала Azure введите Бастион. Выберите Bastions в результатах поиска.

2. Нажмите кнопку создания.

3. Введите или выберите следующие сведения на вкладке "Основы " в разделе "Создание бастиона".

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg или группу ресурсов.
   Сведения об экземпляре
   Имя.	Введите бастион.
   Область/регион	Выберите свой регион. В этом примере используется регион западная часть США.
   Уровень	Выберите разработчика.
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите AzureBastionSubnet.

4. Выберите Проверить и создать, а затем выберите Создать.

Используйте New-AzPublicIpAddress для создания общедоступного IP-адреса для Бастиона Azure.

# Create public IP for Azure Bastion
$publicIpBastionParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-bastion'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIpBastion = New-AzPublicIpAddress @publicIpBastionParams

Используйте New-AzBastion для создания Бастиона Azure.

# Create Azure Bastion
$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-hub"
    PublicIpAddressName = "public-ip-bastion"
    PublicIPAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams

1. В поле поиска в верхней части портала введите Брандмауэр. Выберите брандмауэры в результатах поиска.

2. Выберите + Создать.

3. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите брандмауэр.
   Область/регион	Выберите Запад США.
   Зона доступности	Примите значение по умолчанию None.
   Номер SKU брандмауэра	Выберите Стандартное.
   Управление брандмауэром	Выберите " Использовать политику брандмауэра" для управления этим брандмауэром.
   Политика брандмауэра	Нажмите кнопку "Добавить новую". Имя: введите политику брандмауэра. Регион: выбор западной части США. Уровень политики: Стандартный. Нажмите кнопку "ОК".
   Выбор виртуальной сети
   Виртуальная сеть	Выберите вариант Использовать существующее.
   Виртуальная сеть	Выберите виртуальный концентратор.
   Общедоступный IP-адрес
   Общедоступный IP-адрес	Нажмите кнопку "Добавить новую". Имя: введите общедоступный IP-брандмауэр. Номер SKU: Стандартный. Назначение: статическое. Зона доступности: Зонально-избыточный. Нажмите кнопку "ОК".

4. Примите остальные значения по умолчанию и выберите Проверка и создание.

5. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

   Развертывание брандмауэра занимает несколько минут.

6. После завершения развертывания перейдите в группу ресурсов test-rg и выберите ресурс брандмауэра .

7. Запишите частный и общедоступный IP-адреса брандмауэра. Вы будете использовать эти адреса позже.

Используйте New-AzPublicIpAddress для создания общедоступного IP-адреса для брандмауэра Azure.

# Create public IP for Azure Firewall
$publicIpFirewallParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-firewall'
    AllocationMethod  = 'Static'
    Sku = 'Standard'
    Zone = 1, 2, 3
}
$publicIpFirewall = New-AzPublicIpAddress @publicIpFirewallParams

Используйте New-AzFirewallPolicy для создания политики брандмауэра.

# Create firewall policy
$firewallPolicyParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'firewall-policy'
}
$firewallPolicy = New-AzFirewallPolicy @firewallPolicyParams

Используйте New-AzFirewall для создания брандмауэра Azure.

# Create Azure Firewall
    $firewallParams = @{
        ResourceGroupName = 'test-rg'
        Location = 'westus'
        Name = 'firewall'
        VirtualNetworkName = 'vnet-hub'
        PublicIpName = 'public-ip-firewall'
        FirewallPolicyId = $firewallPolicy.Id
    }
    $firewall = New-AzFirewall @firewallParams

1. В поле поиска в верхней части портала введите Общедоступные IP-адреса. В результатах поиска выберите элемент Общедоступный IP-адрес.

2. Выберите + Создать.

3. Введите следующие сведения в разделе "Создание общедоступного IP-адреса".

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Область/регион	Выберите Запад США.
   Имя.	Введите public-ip-nat.
   Версия протокола IP	Выберите IPv4.
   Артикул (SKU)	Выберите Стандартное.
   Зона доступности	Выберите Зональная избыточность.
   Уровень	Выберите Региональный.

4. Выберите Просмотр и создание, а затем нажмите кнопку Создать.

5. В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.

6. Выберите + Создать.

7. Введите или выберите следующие сведения на вкладке "Основные сведения" шлюза создания сетевых адресов (NAT).

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя шлюза NAT	Введите nat-gateway.
   Область/регион	Выберите Запад США.
   Артикул (SKU)	Выберите Стандартное.
   Время ожидания простоя TCP (минуты)	Сохраните значение по умолчанию 4.

8. Нажмите кнопку Далее.

9. На вкладке "Исходящий IP-адрес" выберите +Добавить общедоступные IP-адреса или префиксы.

10. В разделе "Добавление общедоступных IP-адресов" или префиксов выберите общедоступные IP-адреса. Выберите общедоступный IP-адрес, созданный ранее, public-ip-nat.

11. Нажмите кнопку Далее.

12. На вкладке "Сеть" в виртуальной сети выберите виртуальный концентратор.

13. Оставьте флажок для По умолчанию для всех подсетей снятым.

14. В разделе "Выбор определенных подсетей" выберите AzureFirewallSubnet.

15. Выберите Проверить и создать, а затем выберите Создать.

Используйте New-AzPublicIpAddress , чтобы создать общедоступный IP-адрес, избыточный в зоне IPv4 для шлюза NAT.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

Используйте New-AzNatGateway для создания ресурса шлюза NAT.

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'Standard'
    Location = 'westus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1
}
$natGateway = New-AzNatGateway @nat

Используйте Set-AzVirtualNetworkSubnetConfig , чтобы связать шлюз NAT с AzureFirewallSubnet.

# Get the hub virtual network
$vnetHub = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-hub'

# Associate NAT gateway with AzureFirewallSubnet
$subnetParams = @{
    VirtualNetwork = $vnetHub
    Name = 'AzureFirewallSubnet'
    AddressPrefix = '10.0.1.64/26'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnetParams

# Update the virtual network
$vnetHub | Set-AzVirtualNetwork

1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

2. Выберите + Создать.

3. На вкладке "Основные сведения" для создания виртуальной сети введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите виртуальную сеть.
   Область/регион	Выберите Запад США.

4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

5. Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .

6. На вкладке IP-адресов в адресном пространстве IPv4 выберите удалить адресное пространство, чтобы удалить адресное пространство , заполненное автоматически.

7. Выберите +Добавить адресное пространство IPv4.

8. В адресном пространстве IPv4 введите 10.1.0.0. Оставьте значение по умолчанию /16 (65 536 адресов) в выборе маски.

9. Выберите +Добавить подсеть.

10. В поле "Добавить подсеть " введите или выберите следующие сведения:

    Параметр	Значение
    Назначение подсети	Оставьте значение по умолчанию по умолчанию.
    Имя.	Введите подсеть-private.
    IРv4
    Диапазон адресов IPv4	Оставьте значение по умолчанию 10.1.0.0/16.
    Начальный адрес	Оставьте значение по умолчанию 10.1.0.0.
    Размер	Оставьте значение по умолчанию /24(256 адресов).

11. Выберите Добавить.

12. Выберите Review + create (Просмотреть и создать).

13. Нажмите кнопку создания.

Используйте New-AzVirtualNetwork для создания лепестковой виртуальной сети.

# Create spoke virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-spoke'
    AddressPrefix = '10.1.0.0/16'
}
$spokeVnet = New-AzVirtualNetwork @vnetParams

Используйте Add-AzVirtualNetworkSubnetConfig, чтобы создать подсеть для спицевой виртуальной сети.

# Create subnet in spoke virtual network
$subnetParams = @{
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    VirtualNetwork = $spokeVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Используйте Set-AzVirtualNetwork для обновления виртуальной сети spoke.

# Create the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

2. Выберите виртуальный концентратор.

3. Выберите пиринги в параметрах.

4. Выберите Добавить.

5. Введите или выберите следующие сведения в разделе "Добавление пиринга".

   Параметр	Значение
   Сводка по удаленной виртуальной сети
   Имя пиринговой связи	Введите vnet-spoke-to-vnet-hub.
   Модель развертывания виртуальной сети	Оставьте значение по умолчанию resource manager.
   Отток подписок	Выберите свою подписку.
   Виртуальная сеть	Выберите виртуальную сеть-периферийный (test-rg).
   Параметры пиринга удаленной виртуальной сети
   Разрешить "виртуальной сети", чтобы получить доступ к "vnet-hub"	Оставьте значение по умолчанию "Выбрано".
   Разрешить "виртуальной сети" получать переадресованный трафик из "vnet-hub"	Установите флажок.
   Разрешить шлюзу или серверу маршрутизации в виртуальной сети перенаправить трафик в "vnet-hub"	Оставьте значение по умолчанию unselected.
   Включение "виртуальной сети- периферийный" для использования удаленного шлюза или сервера маршрутов "vnet-hub"	Оставьте значение по умолчанию unselected.
   Сводка по локальной виртуальной сети
   Имя пиринговой связи	Введите vnet-hub-to-vnet-spoke.
   Параметры пиринга локальной виртуальной сети
   Разрешить "vnet-hub" получить доступ к "vnet-spoke"	Оставьте значение по умолчанию "Выбрано".
   Разрешить "vnet-hub" получать переадресованный трафик из "виртуальной сети-периферийный"	Установите флажок.
   Разрешить шлюзу или серверу маршрутизации в "vnet-hub" перенаправить трафик в "виртуальную сеть- периферийный"	Оставьте значение по умолчанию unselected.
   Включите "vnet-hub" для использования удаленного шлюза или сервера маршрутизации виртуальной сети	Оставьте значение по умолчанию unselected.

6. Выберите Добавить.

7. Выберите "Обновить" и убедитесь, что состояние пиринга подключено.

Используйте Add-AzVirtualNetworkPeering, чтобы создать пиринг из концентратора в спицевую сеть.

# Create peering from hub to spoke
$peeringParams = @{
    Name = 'vnet-hub-to-vnet-spoke'
    VirtualNetwork = $hubVnet
    RemoteVirtualNetworkId = $spokeVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Используйте Add-AzVirtualNetworkPeering для создания пиринга из спицевой сети в хаб.

# Create peering from spoke to hub
$peeringParams = @{
    Name = 'vnet-spoke-to-vnet-hub'
    VirtualNetwork = $spokeVnet
    RemoteVirtualNetworkId = $hubVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

1. В поле поиска в верхней части портала введите Брандмауэр. Выберите брандмауэры в результатах поиска.

2. Выберите брандмауэр.

3. В обзоребрандмауэра обратите внимание на IP-адрес в частном IP-адресе брандмауэра поля. IP-адрес в этом примере — 10.0.1.68.

Используйте Get-AzFirewall , чтобы получить частный IP-адрес брандмауэра.

# Get the private IP address of the firewall
$firewallParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'firewall'
}
$firewall = Get-AzFirewall @firewallParams
$firewall.IpConfigurations[0].PrivateIpAddress

1. В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.

2. Выберите + Создать.

3. В таблице "Создать маршрут " введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Область/регион	Выберите Запад США.
   Имя.	Введите маршрутизацию-таблицу-периферийный.
   Распространение маршрутов шлюза	Выберите Нет.

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

6. В поле поиска в верхней части портала введите таблицу Route. Выберите таблицы route в результатах поиска.

7. Выберите route-table-spoke.

8. В разделе "Параметры" выберите "Маршруты".

9. Выберите + Добавить в маршруты.

10. Введите или выберите следующие сведения в поле "Добавить маршрут".

    Параметр	Значение
    Имя маршрута	Введите маршрут к концентратору.
    Тип назначения	Выберите IP-адреса.
    Диапазоны IP-адресов назначения или CIDR	Введите 0.0.0.0/0.
    Тип следующего прыжка	Выберите Виртуальный модуль.
    Адрес следующего прыжка	Введите 10.0.1.68.

11. Выберите Добавить.

12. В разделе Параметры выберите Подсети.

13. Нажмите + Связать.

14. Введите или выберите следующие сведения в подсети "Связать".

    Параметр	Значение
    Виртуальная сеть	Выберите виртуальную сеть-периферийный (test-rg).
    Подсеть	Выберите подсеть частной.

15. Нажмите ОК.

Создайте таблицу маршрутов с помощью New-AzRouteTable .

# Create route table
$routeTableParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'route-table-spoke'
}
$routeTable = New-AzRouteTable @routeTableParams

Используйте Add-AzRouteConfig для создания маршрута в таблице маршрутов.

# Create route
$routeConfigParams = @{
    Name = 'route-to-hub'
    AddressPrefix = '0.0.0.0/0'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = $firewall.IpConfigurations[0].PrivateIpAddress
    RouteTable = $routeTable
}
Add-AzRouteConfig @routeConfigParams

Используйте Set-AzRouteTable для обновления таблицы маршрутов.

# Update the route table
$routeTable | Set-AzRouteTable

Используйте Set-AzVirtualNetworkSubnetConfig, чтобы связать таблицу маршрутов с подключаемой подсетью.

# Associate route table with subnet
$subnetConfigParams = @{
    VirtualNetwork = $spokeVnet
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    RouteTable = $routeTable
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

Используйте Set-AzVirtualNetwork для обновления виртуальной сети spoke.

# Update the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. В поле поиска в верхней части портала введите Брандмауэр. Выберите политики брандмауэра в результатах поиска.

2. Выберите политику брандмауэра.

3. Разверните раздел "Параметры" , а затем выберите правила сети.

4. Выберите + Добавить коллекцию правил.

5. В поле "Добавить коллекцию правил" введите или выберите следующие сведения:

   Параметр	Значение
   Имя.	Введите периферийные подключения к Интернету.
   Тип коллекции правил	Выберите Сеть.
   Приоритет	Введите 100.
   Действие коллекции правил	Выберите Разрешить.
   Группа коллекции правил	Выберите DefaultNetworkRuleCollectionGroup.
   Правила
   Имя.	Введите allow-web.
   Тип источника	IP-адрес.
   Исходный код	Введите 10.1.0.0/24.
   Протокол	Выберите TCP.
   Порты назначения	Введите 80 443.
   Тип назначения	Выберите IP-адрес.
   Назначение	Входить*

6. Выберите Добавить.

Используйте Get-AzFirewallPolicy , чтобы получить существующую политику брандмауэра.

# Get the existing firewall policy
$firewallPolicyParams = @{
    Name = 'firewall-policy'
    ResourceGroupName = 'test-rg'
}
$firewallPolicy = Get-AzFirewallPolicy @firewallPolicyParams

Чтобы создать сетевое правило, используйте New-AzFirewallPolicyNetworkRule .

# Create a network rule for web traffic
$networkRuleParams = @{
    Name = 'allow-internet'
    SourceAddress = '10.1.0.0/24'
    Protocol = 'TCP'
    DestinationAddress = '*'
    DestinationPort = '*'
}
$networkRule = New-AzFirewallPolicyNetworkRule @networkRuleParams

Используйте New-AzFirewallPolicyFilterRuleCollection , чтобы создать коллекцию правил для сетевого правила.

# Create a rule collection for the network rule
$ruleCollectionParams = @{
    Name = 'spoke-to-internet'
    Priority = 100
    Rule = $networkRule
    ActionType = 'Allow'
}
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection @ruleCollectionParams

Используйте New-AzFirewallPolicyRuleCollectionGroup для создания группы коллекций правил.

$newRuleCollectionGroupParams = @{
        Name = 'DefaultNetworkRuleCollectionGroup'
        Priority = 200
        FirewallPolicyObject = $firewallPolicy
        RuleCollection = $ruleCollection
    }
New-AzFirewallPolicyRuleCollectionGroup @newRuleCollectionGroupParams

1. На портале найдите и выберите "Виртуальные машины".

2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

3. На вкладке Основные сведения в разделе Создание виртуальной машины введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Название виртуальной машины	Введите виртуальную машину.
   Область/регион	Выберите Запад США.
   Параметры доступности	Выберите Избыточность инфраструктуры не требуется.
   Тип безопасности	Оставьте значение по умолчанию Стандартный.
   Изображения	Выберите Ubuntu Server 24.04 LTS — x64-го поколения 2-го поколения.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	Выберите Открытый ключ SSH.
   Имя пользователя	Введите azureuser.
   SSH public key source (Источник открытого ключа SSH)	Выберите Создать новую пару ключей.
   Имя пары ключей	Введите vm-spoke-key.
   Правила входящего порта
   Общедоступные входящие порты	Выберите Отсутствует.

4. Выберите вкладку "Сеть" в верхней части страницы или нажмите кнопку "Далее:Диски", а затем "Далее:Сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров:

   Параметр	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите виртуальную сеть.
   Подсеть	Выберите подсеть -private (10.1.0.0/24).
   Общедоступный IP-адрес	Выберите Отсутствует.
   Группа безопасности сети сетевого адаптера	Выберите Дополнительно.
   Настройка группы безопасности сети	Выберите Создать. Введите nsg-1 для имени. Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".

6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

7. Проверьте параметры и выберите Создать.

8. Откроется диалоговое окно создания пары ключей . Выберите Download private key and create resource (Скачать закрытый ключ и создать ресурс).

Закрытый ключ загружается на локальный компьютер. Закрытый ключ необходим в последующих шагах для подключения к виртуальной машине с помощью Бастиона Azure. Имя файла закрытого ключа — это имя, которое вы ввели в поле имени пары ключей . В этом примере файл закрытого ключа называется SSH-key.

Дождитесь завершения развертывания виртуальной машины, прежде чем перейти к следующим шагам.

Создайте группу безопасности сети с помощью New-AzNetworkSecurityGroup .

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Name = "nsg-1"
    Location = "westus"
}
New-AzNetworkSecurityGroup @nsgParams

Используйте New-AzNetworkInterface для создания сетевого интерфейса.

$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    SubnetId = (Get-AzVirtualNetwork -ResourceGroupName "test-rg" -Name "vnet-spoke").Subnets[0].Id
    NetworkSecurityGroupId = (Get-AzNetworkSecurityGroup -ResourceGroupName "test-rg" -Name "nsg-1").Id
    Location = "westus"
}
New-AzNetworkInterface @nicParams

Используйте get-Credential , чтобы задать имя пользователя и пароль для виртуальной машины и сохранить их в переменной $cred .

$cred = Get-Credential

Используйте New-AzVMConfig для определения виртуальной машины.

$vmConfigParams = @{
    VMName = "vm-spoke"
    VMSize = "Standard_DS4_v2"
    }
$vmConfig = New-AzVMConfig @vmConfigParams

Используйте Set-AzVMOperatingSystem и Set-AzVMSourceImage для создания остальной части конфигурации виртуальной машины. В следующем примере создается виртуальная машина Ubuntu Server:

$osParams = @{
    VM = $vmConfig
    ComputerName = "vm-spoke"
    Credential = $cred
    }
$vmConfig = Set-AzVMOperatingSystem @osParams -Linux -DisablePasswordAuthentication

$imageParams = @{
    VM = $vmConfig
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
    }
$vmConfig = Set-AzVMSourceImage @imageParams

Используйте Add-AzVMNetworkInterface , чтобы подключить сетевой адаптер, созданный ранее, к виртуальной машине.

# Get the network interface object
$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    }
$nic = Get-AzNetworkInterface @nicParams

$vmConfigParams = @{
    VM = $vmConfig
    Id = $nic.Id
    }
$vmConfig = Add-AzVMNetworkInterface @vmConfigParams

Создайте виртуальную машину с помощью New-AzVM . Команда создает ключи SSH для виртуальной машины для входа. Запишите расположение закрытого ключа. Закрытый ключ необходим в последующих шагах для подключения к виртуальной машине с помощью Бастиона Azure.

$vmParams = @{
    VM = $vmConfig
    ResourceGroupName = "test-rg"
    Location = "westus"
    SshKeyName = "vm-spoke-key"
    }
New-AzVM @vmParams -GenerateSshKey

1. В поле поиска в верхней части портала введите Общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.

2. Выберите public-ip-nat.

3. Запишите значение в IP-адресе. Пример, используемый в этой статье, — 203.0.113.0.25.

Используйте Get-AzPublicIpAddress , чтобы получить общедоступный IP-адрес шлюза NAT.

# Get the public IP address of the NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'public-ip-nat'
}
$publicIpNat = Get-AzPublicIpAddress @publicIpNatParams
$publicIpNat.IpAddress

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg.

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Удалите группу ресурсов с помощью Remove-AzResourceGroup .

# Remove resource group
$rgParams = @{
    Name = 'test-rg'
}
Remove-AzResourceGroup @rgParams