Интеграция шлюза NAT с брандмауэром Azure в концентраторе и периферийной сети для исходящего подключения

В этом руководстве описано, как интегрировать шлюз NAT с брандмауэром Azure в концентраторе и периферийной сети для повышения исходящего подключения и масштабируемости.

Брандмауэр Azure предоставляет 2 496 портов SNAT на общедоступный IP-адрес, настроенный для каждого экземпляра масштабируемого набора виртуальных машин серверной части (не менее двух экземпляров). С Брандмауэр Azure можно связать до 250 общедоступных IP-адресов. В зависимости от требований к архитектуре и шаблонов трафика может потребоваться больше портов SNAT, чем у брандмауэра Azure. Кроме того, вам может потребоваться использовать меньше общедоступных IP-адресов, а также требуется больше портов SNAT. Лучший способ исходящего подключения — использовать шлюз NAT. Шлюз NAT предоставляет 64512 портов SNAT на общедоступный IP-адрес и может использоваться до 16 общедоступных IP-адресов.

Шлюз NAT можно интегрировать с брандмауэром Azure, настроив шлюз NAT непосредственно в подсети брандмауэра Azure. Эта связь предоставляет более масштабируемый метод исходящего подключения. Для рабочих развертываний рекомендуется сеть концентратора и периферийной сети, где брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки являются пиринговыми виртуальными сетями в том же регионе, что и виртуальная сеть концентратора, где находится брандмауэр. В этой архитектурной конфигурации шлюз NAT может обеспечить исходящее подключение из узловой виртуальной сети для всех пиринговых периферийных виртуальных сетей.

Схема ресурсов Azure, созданных в руководстве.

Примечание.

Хотя шлюз NAT можно развернуть в концентраторе и периферийной архитектуре виртуальной сети, как описано в этом руководстве, шлюз NAT не поддерживается в центральной виртуальной сети архитектуры виртуальной глобальной сети. Чтобы использовать в архитектуре vWAN, шлюз NAT необходимо настроить непосредственно на периферийные виртуальные сети, связанные с защищенным виртуальным концентратором (vWAN). Дополнительные сведения о параметрах архитектуры брандмауэра Azure см. в разделе "Что такое параметры архитектуры Диспетчера брандмауэра Azure"?

В этом руководстве описано следующее:

  • Создание виртуальной сети концентратора и развертывание Брандмауэр Azure и Бастиона Azure во время развертывания
  • Создайте шлюз NAT и свяжите его с подсетью брандмауэра в виртуальной сети концентратора
  • Создайте спицевую виртуальную сеть
  • Создание пееринга виртуальных сетей
  • Создайте таблицу маршрутов для спицевой виртуальной сети
  • Создание политики брандмауэра для виртуальной сети концентратора
  • Создание виртуальной машины для проверки исходящего подключения через шлюз NAT

Предварительные условия

Создайте группу ресурсов

Создайте группу ресурсов, чтобы включать все ресурсы для этого быстрого запуска.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите группу ресурсов. Выберите Группы ресурсов в результатах поиска.

  3. Выберите + Создать.

  4. На вкладке "Основы " для создания группы ресурсов введите или выберите следующие сведения.

    Настройка Значение
    Подписка Выбор подписки
    Группа ресурсов test-rg
    Область/регион Западная часть США
  5. Выберите Просмотреть и создать.

  6. Нажмите кнопку создания.

Создание виртуальной сети концентратора

Виртуальная сеть концентратора содержит подсеть брандмауэра, связанную с Azure Firewall и шлюзом NAT. Используйте следующий пример, чтобы создать виртуальную сеть концентратора.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портал Azure введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.

  3. Нажмите кнопку создания.

  4. Введите или выберите следующие сведения на вкладке "Основные сведения" в разделе "Создание виртуальной сети".

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg или группу ресурсов.
    Сведения об экземпляре
    Имя. Введите vnet-hub.
    Область/регион Выберите свой регион. В этом примере используется регион западная часть США.
  5. Перейдите на вкладку "IP-адреса " или нажмите кнопку "Далее: безопасность", а затем " Далее: IP-адреса".

  6. В подсетях выберите подсетьпо умолчанию .

  7. Введите или выберите следующие сведения в разделе Изменить подсеть.

    Настройка Значение
    Назначение подсети Оставьте значение по умолчанию.
    Имя. Введите subnet-1.
  8. Оставьте остальные параметры в качестве значения по умолчанию, а затем нажмите кнопку "Сохранить".

  9. Выберите +Добавить подсеть.

  10. В поле "Добавить подсеть" введите или выберите следующие сведения.

    Настройка Значение
    Назначение подсети Выберите Бастион Azure.
  11. Оставьте остальные параметры по умолчанию, а затем нажмите кнопку "Добавить".

  12. Выберите +Добавить подсеть.

  13. В поле "Добавить подсеть" введите или выберите следующие сведения.

    Настройка Значение
    Назначение подсети Выберите брандмауэр Azure.
  14. Оставьте остальные параметры по умолчанию, а затем нажмите кнопку "Добавить".

  15. Выберите Проверить и создать, а затем выберите Создать.

Создайте узел Bastion в Azure

Бастион Azure обеспечивает безопасное подключение RDP и SSH к виртуальным машинам по протоколу TLS, не требуя общедоступных IP-адресов на виртуальных машинах.

  1. В поле поиска в верхней части портала Azure введите Бастион. Выберите Bastions в результатах поиска.

  2. Нажмите кнопку создания.

  3. Введите или выберите следующие сведения на вкладке "Основы " в разделе "Создание бастиона".

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg или группу ресурсов.
    Сведения об экземпляре
    Имя. Введите бастион.
    Область/регион Выберите свой регион. В этом примере используется регион западная часть США.
    Уровень Выберите разработчика.
    Виртуальная сеть Выберите vnet-1.
    Подсеть Выберите AzureBastionSubnet.
  4. Выберите Проверить и создать, а затем выберите Создать.

Создание брандмауэра Azure

  1. В поле поиска в верхней части портала введите Брандмауэр. Выберите брандмауэры в результатах поиска.

  2. Выберите + Создать.

  3. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите брандмауэр.
    Область/регион Выберите Запад США.
    Зона доступности Примите значение по умолчанию None.
    Номер SKU брандмауэра Выберите Стандартное.
    Управление брандмауэром Выберите " Использовать политику брандмауэра" для управления этим брандмауэром.
    Политика брандмауэра Нажмите кнопку "Добавить новую".
    Имя: введите политику брандмауэра.
    Регион: выбор западной части США.
    Уровень политики: Стандартный.
    Нажмите кнопку "ОК".
    Выбор виртуальной сети
    Виртуальная сеть Выберите вариант Использовать существующее.
    Виртуальная сеть Выберите vnet-hub.
    Общедоступный IP-адрес
    Общедоступный IP-адрес Нажмите кнопку "Добавить новую".
    Имя: введите общедоступный IP-брандмауэр.
    Номер SKU: Стандартный.
    Назначение: статическое.
    Зона доступности: Зонально-избыточный.
    Нажмите кнопку "ОК".
  4. Примите остальные значения по умолчанию и выберите Проверка и создание.

  5. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание брандмауэра занимает несколько минут.

  6. После завершения развертывания перейдите в группу ресурсов test-rg и выберите ресурс брандмауэра .

  7. Запишите частный и общедоступный IP-адреса брандмауэра. Вы будете использовать эти адреса позже.

Создание шлюза NAT

Весь исходящий интернет-трафик проходит через шлюз NAT к Интернету. Используйте следующий пример, чтобы создать шлюз NAT для концентратора и периферийной сети и связать его с AzureFirewallSubnet.

  1. В поле поиска в верхней части портала введите Общедоступные IP-адреса. В результатах поиска выберите элемент Общедоступный IP-адрес.

  2. Выберите + Создать.

  3. Введите следующие сведения в разделе "Создание общедоступного IP-адреса".

    Настройка Значение
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Область/регион Выберите Запад США.
    Имя. Введите public-ip-nat.
    Версия протокола IP Выберите IPv4.
    Артикул (SKU) Выберите Стандартное.
    Зона доступности Выберите Зональная избыточность.
    Уровень Выберите Региональный.
  4. Выберите Просмотр и создание, а затем нажмите кнопку Создать.

    Примечание.

    Общедоступный IP-адрес уровня "Стандартный" версии 2 можно связать только с шлюзом NAT уровня "Стандартный" версии 2, а не с другими службами.

  5. В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.

  6. Выберите + Создать.

  7. Введите или выберите следующие сведения на вкладке Основные сведения действия Создание шлюза трансляции сетевых адресов (NAT).

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя шлюза NAT Введите nat-gateway.
    Область/регион Выберите Запад США.
    Артикул (SKU) Выберите Стандартное.
    Время ожидания простоя TCP (минуты) Сохраните значение по умолчанию 4.
  8. Нажмите кнопку Далее.

  9. На вкладке "Исходящий IP-адрес" выберите +Добавить общедоступные IP-адреса или префиксы.

  10. В разделе "Добавление общедоступных IP-адресов" или префиксов выберите общедоступные IP-адреса. Выберите общедоступный IP-адрес, созданный ранее, public-ip-nat.

  11. Нажмите кнопку Далее.

  12. На вкладке "Сеть" в виртуальной сети выберите виртуальный концентратор.

  13. Оставьте флажок для По умолчанию для всех подсетей снятым.

  14. В разделе "Выбор определенных подсетей" выберите AzureFirewallSubnet.

  15. Выберите Проверить и создать, а затем выберите Создать.

Создание спицевой виртуальной сети

Периферийная виртуальная сеть содержит тестовую виртуальную машину, используемую для проверки маршрутизации интернет-трафика в шлюз NAT. Используйте следующий пример для создания спицы сети.

  1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  2. Выберите + Создать.

  3. На вкладке "Основные сведения" для создания виртуальной сети введите или выберите следующие сведения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите vnet-spoke.
    Область/регион Выберите Запад США.
  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .

  6. На вкладке IP-адресов в адресном пространстве IPv4 выберите удалить адресное пространство, чтобы удалить адресное пространство , заполненное автоматически.

  7. Выберите + Добавить пространство адресов IPv4.

  8. В адресном пространстве IPv4 введите 10.1.0.0. Оставьте значение по умолчанию /16 (65 536 адресов) в выборе маски.

  9. Выберите +Добавить подсеть.

  10. В поле "Добавить подсеть " введите или выберите следующие сведения:

    Настройка Значение
    Назначение подсети Оставьте значение по умолчанию.
    Имя. Введите subnet-private.
    IРv4
    Диапазон адресов IPv4 Оставьте значение по умолчанию 10.1.0.0/16.
    Начальный адрес Оставьте значение по умолчанию 10.1.0.0.
    Размер Оставьте значение по умолчанию /24(256 адресов).
  11. Выберите Добавить.

  12. Выберите Просмотреть и создать.

  13. Нажмите кнопку создания.

Создайте пиринг между концентратором и периферийным устройством

Пиринг виртуальной сети обеспечивает подключение хаба к спице и спицы к хабу. Используйте следующий пример, чтобы создать двустороннее пиринговое соединение между концентратором и спицей.

  1. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  2. Выберите vnet-hub.

  3. Выберите одноранговые соединения в параметрах.

  4. Выберите Добавить.

  5. Введите или выберите следующие сведения в разделе "Добавление пиринга".

    Настройка Значение
    Сводка по удаленной виртуальной сети
    Имя пиринговой связи Введите vnet-spoke-to-vnet-hub.
    Модель развертывания виртуальной сети Оставьте значение по умолчанию Менеджер ресурсов.
    Подписка Выберите свою подписку.
    Виртуальная сеть Выберите виртуальную сеть-интерфейс (test-rg).
    Параметры пиринга удаленной виртуальной сети
    Разрешить "vnet-spoke" доступ к "vnet-hub" Оставьте значение по умолчанию "Выбрано".
    Разрешить "vnet-spoke" получать переадресованный трафик из "vnet-hub". Установите флажок.
    Разрешить шлюзу или серверу маршрутизации в "vnet-spoke" перенаправлять трафик в "vnet-hub". Оставьте значение по умолчанию unselected.
    Включите "vnet-spoke" для использования удаленного шлюза или сервера маршрутов 'vnet-hub'. Оставьте значение по умолчанию unselected.
    Сводка по локальной виртуальной сети
    Имя пиринговой связи Введите vnet-hub-to-vnet-spoke.
    Параметры пиринга локальной виртуальной сети
    Разрешить "vnet-hub" получить доступ к "vnet-spoke" Оставьте значение по умолчанию "Выбрано".
    Разрешить "vnet-hub" получать переадресованный трафик из "vnet-spoke" Установите флажок.
    Разрешить шлюзу или серверу маршрутов в "vnet-hub" перенаправлять трафик в "vnet-spoke". Оставьте значение по умолчанию unselected.
    Включите "vnet-hub" для использования удаленного шлюза или сервера маршрутизации виртуальной сети Оставьте значение по умолчанию unselected.
  6. Выберите Добавить.

  7. Выберите Обновить и убедитесь, что Статус пирингаПодключено.

Создание таблицы маршрутов для спицевой сети

Таблица маршрутов перенаправляет весь трафик, исходящий из периферийной виртуальной сети, в центральную виртуальную сеть. Таблица маршрутов настраивается с частным IP-адресом Azure Firewall в роли виртуального устройства.

Получение частного IP-адреса брандмауэра

Частный IP-адрес брандмауэра необходим для таблицы маршрутов, созданной далее в этой статье. Используйте следующий пример, чтобы получить частный IP-адрес брандмауэра.

  1. В поле поиска в верхней части портала введите Брандмауэр. Выберите брандмауэры в результатах поиска.

  2. Выберите брандмауэр.

  3. В Обзоребрандмауэра обратите внимание на IP-адрес в поле Частный IP-адрес брандмауэра. IP-адрес в этом примере — 10.0.1.68.

Создание таблицы маршрутов

Создайте таблицу маршрутов для направления всего трафика между спицами и исходящего в интернет через брандмауэр в виртуальной сети концентратора.

  1. В поле поиска в верхней части портала введите Таблица маршрутов. Выберите таблицы маршрутизации в результатах поиска.

  2. Выберите + Создать.

  3. В таблице "Создать маршрут " введите или выберите следующие сведения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Область/регион Выберите Запад США.
    Имя. Введите таблицу-маршрутизации-спица.
    Пропагирование маршрутов шлюза Выберите Нет.
  4. Выберите Просмотреть и создать.

  5. Нажмите кнопку создания.

  6. В поле поиска в верхней части портала введите Таблица маршрутов. Выберите таблицы маршрутизации в результатах поиска.

  7. Выберите route-table-spoke.

  8. В разделе "Параметры" выберите "Маршруты".

  9. Выберите + Добавить в Маршруты.

  10. Введите или выберите следующие сведения в поле "Добавить маршрут".

    Настройка Значение
    Имя маршрута Введите маршрут к хабу.
    Тип назначения Выберите IP-адреса.
    Диапазоны IP-адресов назначения или CIDR Введите 0.0.0.0/0.
    Тип следующего прыжка Выберите Виртуальный модуль.
    Адрес следующего прыжка Введите 10.0.1.68.
  11. Выберите Добавить.

  12. В разделе Параметры выберите Подсети.

  13. Нажмите + Связать.

  14. Введите или выберите следующие сведения в Связать подсеть.

    Настройка Значение
    Виртуальная сеть Выберите виртуальную сеть-интерфейс (test-rg).
    Подсеть Выберите частную подсеть.
  15. Нажмите ОК.

Настройка брандмауэра

Трафик из периферийной сети через концентратор должен быть разрешен через политику брандмауэра и сетевое правило. Используйте следующий пример, чтобы создать политику брандмауэра и правило сети.

Настройка сетевого правила

  1. В поле поиска в верхней части портала введите Брандмауэр. Выберите в результатах поиска политики брандмауэра.

  2. Выберите политику брандмауэра.

  3. Разверните раздел "Параметры" , а затем выберите правила сети.

  4. Выберите + Добавить коллекцию правил.

  5. В поле "Добавить коллекцию правил" введите или выберите следующие сведения:

    Настройка Значение
    Имя. Введите spoke-to-internet.
    Тип коллекции правил Выберите Сеть.
    Приоритет Введите 100.
    Сбор правил Выберите Разрешить.
    Группа набора правил Выберите DefaultNetworkRuleCollectionGroup.
    Правила
    Имя. Введите allow-web.
    Тип источника IP-адрес.
    Источник Введите 10.1.0.0/24.
    Протокол Выберите TCP.
    Порты назначения Введите 80 443.
    Тип назначения Выберите IP-адрес.
    Назначение Входить*
  6. Выберите Добавить.

Создание тестовой виртуальной машины

Виртуальная машина Ubuntu используется для тестирования исходящего интернет-трафика через шлюз NAT. Используйте следующий пример для создания виртуальной машины Ubuntu.

  1. На портале найдите и выберите "Виртуальные машины".

  2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

  3. На вкладке Основные сведения в разделе Создание виртуальной машины введите или выберите следующие сведения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Название виртуальной машины Введите vm-spoke.
    Область/регион Выберите Запад США.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Оставьте значение по умолчанию Стандартный.
    Изображение Выберите Ubuntu Server 24.04 LTS — x64 Gen2.
    Архитектура виртуальной машины Оставьте значение по умолчанию x64.
    Размер Выберите размер.
    Учетная запись администратора
    Тип аутентификации Выберите Открытый ключ SSH.
    Имя пользователя Введите azureuser.
    SSH public key source (Источник открытого ключа SSH) Выберите Создать новую пару ключей.
    Имя пары ключей Введите vm-spoke-key.
    Правила входящего порта
    Общедоступные входящие порты Выберите Отсутствует.
  4. Выберите вкладку "Сеть" в верхней части страницы или нажмите кнопку "Далее:Диски", а затем "Далее:Сеть".

  5. На вкладке Сеть введите или выберите следующие значения параметров:

    Настройка Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите vnet-spoke.
    Подсеть Выберите подсеть -private (10.1.0.0/24).
    Общедоступный IP-адрес Выберите Отсутствует.
    Группа безопасности сетевого интерфейсного контроллера Выберите Дополнительно.
    Настройка группы безопасности сети Выберите Создать новый.
    Введите nsg-1 для имени.
    Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".
  6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

  7. Проверьте параметры и выберите Создать.

  8. Откроется диалоговое окно создания пары ключей . Выберите Download private key and create resource (Скачать закрытый ключ и создать ресурс).

Закрытый ключ загружается на локальный компьютер. Закрытый ключ необходим в последующих шагах для подключения к виртуальной машине с помощью Бастиона Azure. Имя файла закрытого ключа — это имя, которое вы ввели в поле имени пары ключей . В этом примере файл закрытого ключа называется SSH-key.

Дождитесь завершения развертывания виртуальной машины, прежде чем перейти к следующим шагам.

Примечание.

Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.

Тестирование шлюза NAT

Вы подключаетесь к виртуальным машинам Ubuntu, созданным на предыдущих шагах, чтобы убедиться, что исходящий интернет-трафик покидает шлюз NAT.

Получение общедоступного IP-адреса шлюза NAT

Получите общедоступный IP-адрес шлюза NAT для проверки действий далее в статье.

  1. В поле поиска в верхней части портала введите Общедоступный IP-адрес. В результатах поиска выберите элемент Общедоступный IP-адрес.

  2. Выберите public-ip-nat.

  3. Запишите значение в IP-адресе. Пример, используемый в этой статье, — 203.0.113.0.25.

Тестирование шлюза NAT от спицы

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите vm-spoke.

  3. В разделе "Обзор" выберите "Подключиться" и "Подключиться через бастион".

  4. Выберите SSH в качестве типа подключения. Отправьте файл закрытого ключа SSH. Нажмите Подключиться.

  5. В командной строке bash введите следующую команду:

    curl ifconfig.me
    
  6. Убедитесь, что IP-адрес, возвращенный командой, соответствует общедоступному IP-адресу шлюза NAT.

    azureuser@vm-1:~$ curl ifconfig.me
    203.0.113.0.25
    
  7. Закройте подключение Bastion к vm-spoke.

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Следующие шаги

Перейдите к следующей статье, чтобы узнать, как интегрировать шлюз NAT с Azure Load Balancer: