Share via

Tutorial: Integrar o gateway da NAT com o Firewall do Azure em uma rede hub e spoke para ter conectividade de saída

  • Artigo

Neste tutorial, você aprenderá a integrar um gateway da NAT com um Firewall do Azure em uma rede de hub e spoke

O Firewall do Azure fornece 2.496 portas SNAT por endereço IP público configuradas de acordo com a instância do Conjunto de Dimensionamento de Máquinas Virtuais de back-end (mínimo de duas instâncias). Você pode associar até 250 endereços IP públicos ao Firewall do Azure. Dependendo dos requisitos de arquitetura e dos padrões de tráfego, você pode exigir mais portas SNAT do que o que o Firewall do Azure pode fornecer. Você também pode exigir o uso de menos IPs públicos, mas exigindo ao mesmo tempo mais portas SNAT. Um método melhor para conectividade de saída é usar o gateway da NAT. O gateway da NAT fornece 64.512 portas SNAT por endereço IP público e pode ser usado com até 16 endereços IP públicos.

O gateway da NAT pode ser integrado ao Firewall do Azure com a configuração do gateway da NAT diretamente para a sub-rede do Firewall do Azure a fim de fornecer um método mais escalonável de conectividade de saída. Para implantações de produção, é recomendada uma rede hub e spoke, em que o firewall é, por si só, a rede virtual. Os servidores de carga de trabalho são redes virtuais emparelhadas na mesma região que a rede virtual hub em que o firewall reside. Nessa configuração de arquitetura, o gateway da NAT pode fornecer conectividade de saída da rede virtual hub para todas as redes virtuais spoke emparelhadas.

Diagram of Azure resources created in tutorial.

Observação

Atualmente, não há suporte do Gateway da NAT do Azure em arquiteturas de rede de hub virtual (vWAN) seguras. Implante usando uma arquitetura de rede virtual do hub, conforme descrito neste tutorial. Para obter mais informações sobre as opções da arquitetura do Firewall do Azure, confira Quais são as opções de arquitetura do Gerenciador de Firewall do Azure?.

Neste tutorial, você aprenderá a:

  • Criar uma rede virtual de hub e implantar um Firewall do Azure e o Azure Bastion durante a implantação
  • Criar um gateway da NAT e associá-lo à sub-rede de firewall na rede virtual hub
  • Criar uma rede virtual spoke
  • Criar um emparelhamento de rede virtual
  • Criar uma tabela de rotas para a rede virtual spoke
  • Criar uma política de firewall para a rede virtual hub
  • Criar uma máquina virtual para testar a conectividade de saída por meio do gateway da NAT

Pré-requisitos

Criar a rede virtual hub

A rede virtual hub contém a sub-rede de firewall associada ao gateway da NAT e ao Firewall do Azure. Use o exemplo a seguir para criar a rede virtual hub.

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

  3. Selecione + Criar.

  4. Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione Criar novo.
    Insira test-rg.
    Selecione OK.
    Detalhes da instância
    Nome Insira vnet-hub.
    Region Selecione (EUA) Centro-Sul dos EUA.

  5. Selecione Avançar para prosseguir para a guia Segurança.

  6. Selecione Habilitar Bastion na seção Azure Bastion da guia Segurança.

    O Azure Bastion usa seu navegador para se conectar a VMs em sua rede virtual por meio do secure shell (SSH) ou protocolo da área de trabalho remota (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações sobre o Azure Bastion, consulte Azure Bastion

    Observação

    Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.

  7. Insira ou selecione as informações a seguir em Azure Bastion.

    Configuração Valor
    Nome do host do Azure Bastion Insira bastion.
    Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
    Insira public-ip no Nome.
    Selecione OK.

  8. Selecione Habilitar Firewall do Azure na seção Firewall do Azure da guia Segurança.

    O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Para obter mais informações sobre o Firewall do Azure, confira Firewall do Azure.

  9. Insira ou selecione as informações a seguir em Firewall do Azure:

    Configuração Valor
    Nome do Firewall do Azure Insira firewall.
    Camada Selecione Padrão.
    Política Selecione Criar novo.
    Insira firewall-policy em Nome.
    Selecione OK.
    Endereço IP público do Firewall do Azure Selecione Criar um endereço IP público.
    Insira public-ip-firewall em Nome.
    Selecione
    .

  10. Selecione Examinar + criar.

  11. Selecione Criar.

A implantação do host do bastion e do firewall leva alguns minutos. Quando a rede virtual for criada como parte da implantação, você poderá prosseguir para as próximas etapas.

Criar o gateway da NAT

Todo o tráfego de saída da Internet atravessa o gateway da NAT para a Internet. Use o exemplo a seguir para criar um gateway da NAT para a rede hub e spoke e associá-lo ao AzureFirewallSubnet.

  1. Na caixa de pesquisa na parte superior do portal, insira Gateway da NAT. Selecione Gateways da NAT nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na guia Informações básicas em Criar gateway da NAT (conversão de endereços de rede), insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome do gateway da NAT Insira o nat-gateway.
    Região Selecione Centro-Sul dos EUA.
    Zona de disponibilidade Selecione uma Zona ou Sem zona.
    Tempo limite ocioso do TCP (minutos) Mantenha o padrão de 4.

    Para obter informações sobre zonas de disponibilidade, confira Gateway da NAT e zonas de disponibilidade.

  4. Selecione Avançar: IP de saída.

  5. Em IP de Saída, em Endereços IP públicos, selecione Criar um endereço IP público.

  6. Insira public-ip-nat em Nome.

  7. Selecione OK.

  8. Selecione Avançar: Sub-rede.

  9. Em Rede Virtual selecione vnet-hub.

  10. Selecione AzureFirewallSubnet em Nome da sub-rede.

  11. Selecione Examinar + criar.

  12. Selecione Criar.

Criar a rede virtual spoke

A rede virtual spoke contém a máquina virtual de teste usada para testar o roteamento do tráfego da Internet para o gateway da NAT. Use o exemplo a seguir para criar a rede spoke.

  1. Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome Insira vnet-spoke.
    Região Selecione Centro-Sul dos EUA.

  4. Selecione Avançar para prosseguir para a guia Segurança.

  5. Selecione Avançar para prosseguir para a guia Endereços de IP.

  6. Na guia Endereços IP no espaço de endereço IPv4, selecione a lixeira para excluir o espaço de endereço preenchido automaticamente.

  7. No Espaço do endereços IPv4 insira 10.1.0.0. Deixe o padrão de /16 (65.536 endereços) na seleção de máscara.

  8. Selecione +Adicionar uma sub-rede.

  9. Insira ou selecione as informações a seguir em Adicionar sub-rede:

    Configuração Valor
    Detalhes da sub-rede
    Modelo de sub-rede Deixe o padrãoPadrão.
    Nome Insira subnet-private.
    Endereço inicial Insira 10.1.0.0.
    Tamanho da sub-rede Deixe o padrão /24(256 endereços).

  10. Selecione Adicionar.

  11. Selecione Examinar + criar.

  12. Selecione Criar.

Criar emparelhamento entre o hub e o spoke

Um emparelhamento de rede virtual é usado para conectar o hub ao spoke e o spoke ao hub. Use o exemplo a seguir para criar um emparelhamento de rede bidirecional entre o hub e o spoke.

  1. Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

  2. Selecione vnet-hub.

  3. Selecione Emparelhamentos em Configurações.

  4. Selecione + Adicionar.

  5. Insira ou selecione as seguintes informações em Adicionar emparelhamento:

    Configuração Valor
    Esta rede virtual
    Nome do link de emparelhamento Insira vnet-hub-to-vnet-spoke.
    Permitir que o "vnet-hub" acesse o "vnet-spoke" Deixe o padrão Selecionado.
    Permitir que o "vnet-hub" receba o tráfego encaminhado do "vnet-spoke" Selecione a caixa de seleção.
    Permitir que o gateway em "vnet-hub" encaminhe o tráfego para o "vnet-spoke" Mantenha o padrão de Desmarcado.
    Habilitar o "vnet-hub" para usar o gateway remoto do "vnet-spoke" Mantenha o padrão de Desmarcado.
    Rede virtual remota
    Nome do link de emparelhamento Insira vnet-spoke-to-vnet-hub.
    Modelo de implantação de rede virtual Mantenha o padrão Gerenciador de recursos.
    Subscription Selecione sua assinatura.
    Rede virtual Selecione vnet-spoke.
    Permitir que o "vnet-spoke" acesse o "vnet-hub" Deixe o padrão Selecionado.
    Permitir que o "vnet-spoke" receba o tráfego encaminhado do "vnet-hub" Selecione a caixa de seleção.
    Permitir que o gateway em "vnet-spoke" encaminhe o tráfego para o "vnet-hub" Mantenha o padrão de Desmarcado.
    Habilitar o "vnet-spoke" para usar o gateway remoto do "vnet-hub" Mantenha o padrão de Desmarcado.

  6. Selecione Adicionar.

  7. Selecione Atualizar e verifique se o Status do emparelhamento é Conectado.

Criar tabela de rotas de rede spoke

Uma tabela de rotas força todo o tráfego que sai da rede virtual spoke para a rede virtual de hub. A tabela de rotas é configurada com o endereço IP privado do Firewall do Azure como a solução de virtualização.

Obter o endereço IP privado do firewall

O endereço IP privado do firewall é exigido pela tabela de rotas criada posteriormente neste artigo. Use o exemplo a seguir para obter o endereço IP privado do firewall.

  1. Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Firewalls nos resultados da pesquisa.

  2. Selecione firewall.

  3. Na Visão geral do firewall, observe o endereço IP no campo IP privado do Firewall. Neste exemplo, o endereço IP é 10.0.1.68.

Criar tabela de rotas

Crie uma tabela de rotas para forçar todo o tráfego de saída entre spokes e da internet por meio do firewall na rede virtual hub.

  1. Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Em Criar Tabela de rotas, insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Região Selecione Centro-Sul dos EUA.
    Nome Insira route-table-spoke.
    Propagar rotas de gateway Selecione Não.

  4. Selecione Examinar + criar.

  5. Selecione Criar.

  6. Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.

  7. Selecione route-table-spoke.

  8. Em Configurações, selecione Rotas.

  9. Selecione + Adicionar em Rotas.

  10. Insira ou selecione as seguintes informações em Adicionar rota:

    Configuração Valor
    Nome da rota Insira route-to-hub.
    Tipo de destino Selecione Endereços IP.
    Intervalos de CIDR /endereço IP de destino Insira 0.0.0.0/0.
    Tipo do próximo salto Selecione Solução de virtualização.
    Endereço do próximo salto Insira 10.0.1.68.

  11. Selecione Adicionar.

  12. Selecione Sub-redes em Configurações.

  13. Selecione + Associar.

  14. Insira ou selecione as seguintes informações em Associar sub-rede:

    Configuração Valor
    Rede virtual Selecione vnet-spoke (test-rg).
    Sub-rede Selecione subnet-private.

  15. Selecione OK.

Configurar o firewall

O tráfego do spoke por meio do hub precisa ser permitido por meio da política de firewall e de uma regra de rede. Use o exemplo a seguir para criar a política de firewall e a regra de rede.

Configurar regra de rede

  1. Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Políticas de Firewall nos resultados da pesquisa.

  2. Selecione firewall-policy.

  3. Em Configurações, selecione Regras de rede.

  4. Selecione + Adicionar uma coleção de regras.

  5. Em Adicionar coleção de regras, insira ou selecione as seguintes informações:

    Configuração Valor
    Nome Insira spoke-to-internet.
    Tipo de coleção de regras Selecionar Rede.
    Prioridade Insira 100.
    Ação da coleção de regras selecione Permitir.
    Grupo de coleções de regras Selecione DefaultNetworkRuleCollectionGroup.
    Regras
    Nome Insira allow-web.
    Tipo de origem Endereço IP.
    Fonte Insira 10.1.0.0/24.
    Protocolo selecione TCP.
    Portas de destino Insira 80,443.
    Tipo de Destino Selecione Endereço IP.
    Destino Insira *

  6. Selecione Adicionar.

Criar máquina virtual de teste

Uma máquina virtual Ubuntu é usada para testar o tráfego de saída da Internet por meio do gateway da NAT. Use o seguinte exemplo para criar uma máquina virtual Ubuntu.

O procedimento a seguir cria uma máquina virtual de teste (VM) chamada vm-spoke na rede virtual.

  1. No portal, pesquise e selecione Máquinas virtuais.

  2. Em Máquinas virtuais, selecione + Criar e, em seguida, Máquina virtual do Azure.

  3. Na guia Informações Básicas em Criar uma máquina virtual, insira ou selecione as informações a seguir:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome da máquina virtual Insira vm-spoke.
    Região Selecione (EUA) Centro-Sul dos EUA.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Deixe o padrão de Standard.
    Imagem Selecione Ubuntu Server 22.04 LTS - x64 Gen2.
    Arquitetura de VMs; Mantenha o padrão x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Tipo de autenticação Selecione Senha.
    Nome de Usuário insira azureuser.
    Senha Digite uma senha.
    Confirmar senha Digitar novamente a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.

  4. Selecione a guia Rede na parte superior da página.

  5. Insira ou selecione as seguintes informações na guia Rede:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione vnet-spoke.
    Sub-rede Selecione subnet-private (10.1.0.0/24).
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Avançado.
    Configurar um grupo de segurança de rede Selecione Criar novo.
    Insira nsg-1 no nome.
    Deixe os demais valores como padrão e selecione OK.

  6. Deixe o restante das configurações nos padrões e selecione Revisar + criar.

  7. Examine as configurações e selecione Criar.

Observação

Máquinas virtuais em uma rede virtual com um bastion host não precisam de endereços IP públicos. O Bastion fornece o IP público e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas no bastion. Para obter mais informações, confira dissociar um endereço IP público de uma VM do Azure.

Testar um gateway da NAT

Conecte-se às máquinas virtuais Ubuntu criadas nas etapas anteriores para verificar se o tráfego de saída da Internet está saindo do gateway da NAT.

Obter endereço IP público do gateway da NAT

Obtenha o endereço IP público do gateway da NAT para verificação das etapas mais adiante no artigo.

  1. Na caixa de pesquisa na parte superior do portal, insira IP público. Selecione Endereços IP públicos nos resultados da pesquisa.

  2. Selecione public-ip-nat.

  3. Anote o valor no endereço IP. O exemplo usado neste artigo é 20.225.88.213.

Testar o gateway da NAT do spoke

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione vm-spoke.

  3. Em Operações, selecione Bastion.

  4. Insira o nome de usuário e a senha fornecidos durante a criação da VM. Selecione Conectar.

  5. No prompt de bash, digite o seguinte comando:

    curl ifconfig.me

  6. Verifique se o endereço IP retornado pelo comando corresponde ao endereço IP público do gateway da NAT.

    azureuser@vm-1:~$ curl ifconfig.me
20.225.88.213

  7. Fechar a conexão do Bastion com vm-spoke.

Limpar os recursos

Quando terminar de usar os recursos criados, você poderá excluir o grupo de recursos e todos os recursos dele:

  1. No portal do Azure, procure por Grupos de recursos e selecione essa opção.

  2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

  3. Na página test-rg, selecione Excluir grupo de recursos .

  4. Digite test-rg para Inserir o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.

Próximas etapas

Avance para o próximo artigo para saber como integrar um gateway da NAT a um Azure Load Balancer:

Integrar um gateway NAT a um balanceador de carga interno