Быстрый старт: Создание шлюза NAT

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Azure Cloud Shell или Azure PowerShell.

  Действия, описанные в этом кратком руководстве, запускают командлеты Azure PowerShell в интерактивном режиме в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloudshell в правом верхнем углу блока кода. Выберите "Копировать", чтобы скопировать код, а затем вставьте его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портала Azure.

  Вы также можете установить Azure PowerShell локально для выполнения командлетов. Для действий, описанных в этой статье, требуется модуль Azure PowerShell версии 5.4.1 или более поздней. Выполните Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам нужно обновить модуль Azure PowerShell, см. статью Обновление модуля Azure PowerShell.

Если у вас нет аккаунта Azure, создайте бесплатную учетную запись перед началом.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".

  

• Если вы предпочитаете запускать справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, подумайте о запуске Azure CLI в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, войдите в Azure CLI с помощью команды az login . Чтобы завершить процесс аутентификации, следуйте шагам, отображаемым в вашем терминале. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".

  • Когда вас попросят, установите расширение Azure CLI при первом использовании. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

1. В поле поиска в верхней части портала введите группы ресурсов. Выберите Группы ресурсов в результатах поиска.

2. Нажмите кнопку +Создать.

3. В разделе "Создание группы ресурсов" введите или выберите следующие значения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку Azure.
   Группа ресурсов	Введите test-rg.
   Сведения о ресурсе
   Регион	Выберите регион (США) Восточная часть США 2.

4. Выберите Review + create.

5. Нажмите кнопку "Создать".

Создайте группу ресурсов с помощью New-AzResourceGroup. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

В следующем примере создается группа ресурсов с именем test-rg в расположении eastus2 :

$rsg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

Создайте группу ресурсов с помощью az group create. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

az group create \
    --name test-rg \
    --location eastus2

Следующая процедура создает виртуальную сеть с подсетью ресурсов.

1. На портале найдите и выберите "Виртуальные сети".

2. На странице Виртуальные сети выберите команду + Создать.

3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Имя	Введите vnet-1.
   Регион	Выберите регион (США) Восточная часть США 2.

4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

5. Нажмите Далее, чтобы перейти на вкладку IP-адреса.

6. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

7. В разделе "Изменить подсеть" введите или выберите следующие сведения:

   Настройки	Ценность
   Назначение подсети	Оставьте значение «По умолчанию».
   Имя	Введите subnet-1.
   IPv4
   Диапазон адресов IPv4	Оставьте значение по умолчанию 10.0.0.0/16.
   Начальный адрес	Оставьте значение по умолчанию 10.0.0.0.
   Размер	Оставьте значение по умолчанию /24 (256 адресов).

8. Нажмите кнопку "Сохранить".

9. Выберите "Проверка и создание " в нижней части экрана и при прохождении проверки нажмите кнопку "Создать".

Создайте конфигурацию подсети виртуальной машины и подсети узла Бастиона с помощью New-AzVirtualNetworkSubnetConfig.

$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet

$bastsubnet = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix = '10.0.1.0/26'
}
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig @bastsubnet

Создайте виртуальную сеть с помощью New-AzVirtualNetwork.

$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig, $bastsubnetConfig
}
$vnet = New-AzVirtualNetwork @net

Создайте виртуальную сеть с именем vnet-1 с подсетью с именем subnet-1 с помощью az network vnet create.

az network vnet create \
    --resource-group test-rg \
    --name vnet-1 \
    --address-prefix 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Создайте подсеть Бастиона Azure с именем AzureBastionSubnet с помощью az network vnet subnet create.

az network vnet subnet create \
    --name AzureBastionSubnet \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --address-prefix 10.0.1.0/26

Бастион Azure использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения см. в статье "Что такое Бастион Azure?".

1. В поле поиска в верхней части портала введите Бастион. Выберите Bastions в результатах поиска.

2. Нажмите кнопку +Создать.

3. На вкладке "Основные сведения" в разделе "Создание бастиона" введите или выберите следующие сведения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Имя	Введите бастион.
   Регион	Выберите регион (США) Восточная часть США 2.
   Тир	Выберите разработчика.
   Настройка виртуальных сетей
   Виртуальная сеть	Выберите vnet-1.

   Замечание

   Developer SKU для Azure Bastion бесплатен и не требует выделенной сети AzureBastionSubnet. Дополнительные сведения см. в Кратком руководстве по началу работы: развертывание Бастиона Azure — SKU разработчика.

4. Выберите Review + create.

5. Нажмите кнопку "Создать".

Создайте общедоступный IP-адрес для узла Azure Bastion с использованием команды New-AzPublicIpAddress.

$ip = @{
    Name = 'public-ip'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicip = New-AzPublicIpAddress @ip

Создайте хост Azure Bastion с помощью New-AzBastion.

$bastion = @{
    Name = 'bastion'
    ResourceGroupName = 'test-rg'
    PublicIpAddressRgName = 'test-rg'
    PublicIpAddressName = 'public-ip'
    VirtualNetworkRgName = 'test-rg'
    VirtualNetworkName = 'vnet-1'
    Sku = 'Basic'
}
New-AzBastion @bastion -AsJob

Узлу бастиона может потребоваться несколько минут для развертывания.

Создайте общедоступный IP-адрес узла Бастиона Azure с помощью az network public-ip create.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --location eastus2 \
    --zone 1 2 3

Создайте узел Azure Bastion с помощью az network bastion create.

az network bastion create \
    --name bastion \
    --public-ip-address public-ip \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --location eastus2 \
    --sku Basic \
    --no-wait

Развертывание узла Бастиона может занять несколько минут.

Следующая процедура создает виртуальную машину Linux с проверкой подлинности ключа SSH.

1. В поле поиска в верхней части портала введите виртуальные машины. В результатах поиска выберите Виртуальные машины.

2. Нажмите кнопку "+ Создать ", а затем выберите виртуальную машину Azure.

3. На вкладке "Основные сведения" для создания виртуальной машины введите или выберите следующие значения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку Azure.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Название виртуальной машины	Введите vm-1.
   Регион	Выберите регион (США) Восточная часть США 2.
   Параметры доступности	Выберите "Не требуется избыточность инфраструктуры".
   Тип безопасности	Выберите Стандартное.
   Изображение	Выберите Ubuntu Server 24.04 LTS — x64 Gen2.
   Размер	Выберите размер или оставьте параметр по умолчанию.
   Учетная запись администратора
   Тип аутентификации	Выберите Открытый ключ SSH.
   Имя пользователя	Введите azureuser.
   SSH public key source (Источник открытого ключа SSH)	Выберите Создать новую пару ключей.
   Имя пары ключей	Введите vm-1_key.

4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

5. На вкладке "Сеть" выберите следующие значения:

   Настройки	Ценность
   Сетевой интерфейс
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите подсеть-1.
   Общедоступный IP-адрес	Выберите "Нет".

6. Выберите Review + create.

7. Проверьте параметры, а затем нажмите кнопку Создать.

8. Когда откроется окно "Создать новую пару ключей" , выберите "Скачать закрытый ключ" и создайте ресурс. Файл ключа загружается как vm-1_key.pem. Убедитесь, что вы знаете, где файл .pem был скачан. Для подключения к виртуальной машине необходим путь к файлу ключа.

В этом разделе описано, как создать виртуальную машину для тестирования шлюза NAT и проверить общедоступный IP-адрес исходящего подключения.

Создание виртуальной машины с помощью New-AzVM. Пара ключей SSH создается во время создания виртуальной машины.

$securePassword = ConvertTo-SecureString ' ' -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential ('azureuser', $securePassword)

$vm = @{
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Name = 'vm-1'
    Image = 'Ubuntu2204'
    Size = 'Standard_DS1_v2'
    VirtualNetworkName = 'vnet-1'
    SubnetName = 'subnet-1'
    PublicIpAddressName = ''
    GenerateSshKey = $true
    SshKeyName = 'vm-1_key'
    Credential = $cred
}
New-AzVM @vm

Прежде чем перейти к следующему разделу, дождитесь завершения создания виртуальной машины.

Создайте виртуальную машину Linux с именем vm-1 с проверкой подлинности ключа SSH с помощью az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Ubuntu2404 \
    --admin-username azureuser \
    --generate-ssh-keys \
    --public-ip-address "" \
    --subnet subnet-1 \
    --vnet-name vnet-1

Прежде чем перейти к следующему разделу, дождитесь завершения создания виртуальной машины.

В этом разделе описано, как создать ресурс шлюза NAT и связать его с подсетью созданной виртуальной сети.

1. В поле поиска в верхней части портала введите сетевой шлюз NAT. В результатах поиска выберите NAT-шлюзы.

2. Нажмите кнопку +Создать.

3. В разделе Создание шлюза NAT на вкладке Основные сведения введите или выберите следующие сведения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку Azure.
   Группа ресурсов	Выберите test-rg.
   Сведения об инстанции
   Имя шлюза NAT	Введите nat-gateway.
   Регион	Выберите регион (США) Восточная часть США 2.
   Артикул (SKU)	Выберите Стандартное.
   Зона доступности	Выберите "Нет зоны".
   Время ожидания простоя TCP (минуты)	Сохраните значение по умолчанию 4.

   Сведения о зонах доступности и шлюзе NAT см. в статье "Надежность" в шлюзе NAT Azure.

4. Выберите вкладку Исходящий IP-адрес или нажмите кнопку Далее: исходящий IP-адрес.

5. На вкладке Outbound IP (Исходящий IP-адрес) введите или выберите следующие значения параметров:

   Настройки	Ценность
   Общедоступные IP-адреса	Выберите Создание общедоступного IP-адреса. В поле "Имя" введите public-ip-nat. Нажмите кнопку ОК.

6. Выберите вкладку "Сеть" или нажмите кнопку "Далее: Сеть".

7. В виртуальной сети выберите виртуальную сеть-1.

8. В Имя подсети установите флажок рядом с subnet-1.

9. Перейдите на вкладку Просмотр и создание или нажмите кнопку Просмотр и создание внизу страницы.

10. Нажмите кнопку "Создать".

В этом разделе описано, как создать ресурс шлюза NAT и связать его с подсетью виртуальной сети.

Используйте New-AzPublicIpAddress для создания общедоступного IP-адреса для этого шлюза NAT.

$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIP = New-AzPublicIpAddress @ip

Создайте ресурс шлюза NAT, используя New-AzNatGateway.

$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '10'
    Sku = 'Standard'
    Location = 'eastus2'
    PublicIpAddress = $publicIP
}
$natGateway = New-AzNatGateway @nat

Свяжите шлюз NAT с подсетью-1, используя Set-AzVirtualNetworkSubnetConfig, и примените конфигурацию с помощью Set-AzVirtualNetwork.

$vnet = Get-AzVirtualNetwork -Name 'vnet-1' -ResourceGroupName 'test-rg'

$subnet = @{
    VirtualNetwork = $vnet
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnet

$vnet | Set-AzVirtualNetwork

В этом разделе описано, как создать ресурс шлюза NAT и связать его с подсетью виртуальной сети.

Создайте общедоступный IP-адрес для шлюза NAT с помощью az network public-ip create.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-nat \
    --sku Standard \
    --allocation-method Static \
    --location eastus2 \
    --zone 1 2 3

Создайте ресурс шлюза NAT с помощью az network nat gateway create.

az network nat gateway create \
    --resource-group test-rg \
    --name nat-gateway \
    --public-ip-addresses public-ip-nat \
    --idle-timeout 10

Свяжите шлюз NAT с подсетью-1 с помощью az network vnet subnet update.

az network vnet subnet update \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --name subnet-1 \
    --nat-gateway nat-gateway

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. На портале Azure найдите и выберите группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg .

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Если вы не собираетесь продолжать использовать это приложение, удалите виртуальную сеть, виртуальную машину и шлюз NAT с помощью следующей команды:

Remove-AzResourceGroup -Name 'test-rg' -Force

Если вы не собираетесь продолжать использовать это приложение, удалите виртуальную сеть, виртуальную машину и шлюз NAT с помощью следующей команды:

az group delete \
    --name test-rg \
    --yes