Integración de NAT Gateway con Azure Firewall en una red de grupo radial tipo hub-and-spoke para la conectividad saliente

En este tutorial, aprenderá a integrar una puerta de enlace NAT con Azure Firewall en una red hub-and-spoke para mejorar la conectividad saliente y la escalabilidad.

Azure Firewall proporciona 2496 puertos SNAT por IP pública configurada por instancia de conjunto de escalado de máquinas virtuales de back-end (mínimo dos instancias). Puede asociar hasta 250 IP públicas con Azure Firewall. En función de los requisitos de arquitectura y los patrones de tráfico, es posible que necesite más puertos SNAT que los que puede proporcionar Azure Firewall. También puede requerir el uso de menos direcciones IP públicas, mientras que también requiere más puertos SNAT. El mejor método para la conectividad saliente es usar NAT Gateway. NAT Gateway proporciona 64 512 puertos SNAT por IP pública y se puede usar con hasta 16 IP públicas.

La puerta de enlace NAT se puede integrar con Azure Firewall mediante la configuración de la puerta de enlace NAT directamente en la subred de Azure Firewall. Esta asociación proporciona un método más escalable de conectividad saliente. Para las implementaciones de producción, se recomienda una red en estrella tipo hub-and-spoke, en la que el firewall está en su propia red virtual. Los servidores de cargas de trabajo son redes virtuales emparejadas en la misma región que la red virtual de centro donde reside el firewall. En esta configuración de la arquitectura, NAT Gateway puede proporcionar conectividad saliente desde la red virtual de centro para todas las redes virtuales de radio emparejadas.

Importante

La SKU estándar V2 de Azure NAT Gateway está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Nota:

Aunque puede implementar NAT Gateway en una arquitectura de red virtual de tipo grupo radial tal y como se describe en este tutorial, NAT Gateway no es compatible con la red virtual central de una arquitectura vWAN. Para usarlo en una arquitectura de vWAN, la puerta de enlace NAT debe configurarse directamente en las redes virtuales de radio asociadas al centro virtual protegido (vWAN). Para más información sobre las opciones de la arquitectura de Azure Firewall, consulte Opciones de arquitectura de Azure Firewall Manager.

En este tutorial, aprenderá a:

Crear una red virtual de centro e implementar una instancia de Azure Firewall y Azure Bastion durante la implementación
Crear una instancia de NAT Gateway y asociarla con la subred de firewall en la red virtual de centro
Crear una red virtual de radio
Creación de un emparejamiento de redes virtuales
Crear una tabla de rutas para la red virtual de radio
Crear una directiva de firewall para la red virtual de centro
Crear una máquina virtual para probar la conectividad saliente mediante NAT Gateway

Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

Azure Cloud Shell

Azure hospeda Azure Cloud Shell, un entorno de shell interactivo que puede usar a través del explorador. Puede usar Bash o PowerShell con Cloud Shell para trabajar con servicios de Azure. Puede usar los comandos preinstalados de Cloud Shell para ejecutar el código de este artículo, sin tener que instalar nada en el entorno local.

Para iniciar Azure Cloud Shell:

Opción	Ejemplo o vínculo
Seleccione Pruébelo en la esquina superior derecha de un código o bloque de comandos. Al seleccionar Inténtalo, no se copia automáticamente el código o el comando en Cloud Shell.
Vaya a https://shell.azure.com o seleccione el botón Iniciar Cloud Shell para abrir Cloud Shell en el explorador.
Seleccione el botón Cloud Shell en la barra de menús en la parte superior derecha del Azure portal.

Para usar Azure Cloud Shell:

Inicie Cloud Shell.
Seleccione el botón Copiar en un bloque de código (o bloque de comandos) para copiar el código o comando.
Pegue el código o comando en la sesión de Cloud Shell seleccionando Ctrl+Mayús+V en Windows y Linux o seleccionando Cmd+Mayús+V en macOS.
Seleccione Enter para ejecutar el código o comando.

Si decide instalar y usar PowerShell de forma local, para realizar los pasos de este artículo necesita la versión 1.0.0 del módulo de Azure PowerShell o cualquier versión posterior. Ejecute Get-Module -ListAvailable Az para buscar la versión instalada. Si necesita actualizar, consulte Instalación del módulo de Azure PowerShell. Si PowerShell se ejecuta localmente, también debe ejecutar Connect-AzAccount para crear una conexión con Azure.

Creación de un grupo de recursos

Cree un grupo de recursos para que contenga todos los recursos de este inicio rápido.

Portal
PowerShell

Inicie sesión en Azure Portal.
En el cuadro de búsqueda de la parte superior del portal, escriba Grupo de recursos. Seleccione Grupos de recursos en los resultados de la búsqueda.
Seleccione + Create (+ Crear).
En la pestaña Aspectos básicos de Crear un grupo de recursos, escriba o seleccione la siguiente información.

Configuración Value

Suscripción Seleccione su suscripción.

Grupo de recursos test-rg

Región Oeste de EE. UU.
Seleccione Revisar + crear.
Seleccione Crear.

Cree un grupo de recursos con New-AzResourceGroup. Un grupo de recursos de Azure es un contenedor lógico en el que se implementan y se administran los recursos de Azure.

En el ejemplo siguiente se crea un grupo de recursos denominado test-rg en la ubicación westus :

$rsg = @{
    Name = 'test-rg'
    Location = 'westus'
}
New-AzResourceGroup @rsg

Creación de una red virtual de centro

La red virtual de centro contiene la subred de firewall que está asociada con Azure Firewall y NAT Gateway. Use el ejemplo siguiente para crear la red virtual de centro.

Portal
PowerShell

Inicie sesión en Azure Portal.
En el cuadro de búsqueda de la parte superior de Azure Portal, escriba Redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione Crear.

Escriba o seleccione la siguiente información en la pestaña Conceptos básicos de Crear red virtual.

Configuración	Value
Detalles del proyecto
Suscripción	Seleccione su suscripción.
Grupo de recursos	Seleccione test-rg o el grupo de recursos.
Detalles de instancia
Nombre	Escriba vnet-hub.
Región	Seleccione su región. En este ejemplo se usa West US.

Seleccione la pestaña Direcciones IP o seleccione Siguiente: Seguridad y Siguiente: Direcciones IP.
En Subredes , seleccione la subred predeterminada .
Escriba o seleccione la siguiente información en Editar subred.

Configuración Value

Propósito de la subred deje el valor predeterminado.

Nombre Escriba subnet-1.
Deje el resto de la configuración como predeterminada y seleccione Guardar.
Seleccione + Agregar una subred.
En Agregar una subred , escriba o seleccione la siguiente información.

Configuración Value

Propósito de la subred Seleccione Azure Bastion.
Deje el resto de la configuración como predeterminada y, a continuación, seleccione Agregar.
Seleccione + Agregar una subred.
En Agregar una subred , escriba o seleccione la siguiente información.

Configuración Value

Propósito de la subred Seleccione Azure Firewall.
Deje el resto de la configuración como predeterminada y, a continuación, seleccione Agregar.
Seleccione Revisar y crear y, luego, Crear.

Configuración	Value
Propósito de la subred	deje el valor predeterminado.
Nombre	Escriba subnet-1.

Configuración	Value
Propósito de la subred	Seleccione Azure Bastion.

Configuración	Value
Propósito de la subred	Seleccione Azure Firewall.

Utiliza New-AzVirtualNetwork para crear la red virtual del hub.

# Create hub virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-hub'
    AddressPrefix = '10.0.0.0/16'
}
$hubVnet = New-AzVirtualNetwork @vnetParams

Use Add-AzVirtualNetworkSubnetConfig para crear una subred para Azure Firewall y Azure Bastion.

# Create default subnet
$subnetParams = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Firewall
$subnetParams = @{
    Name = 'AzureFirewallSubnet'
    AddressPrefix  = '10.0.1.64/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Bastion
$subnetParams = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix  = '10.0.1.0/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Actualice la red virtual mediante el comando Set-AzVirtualNetwork.

# Create the virtual network
$hubVnet | Set-AzVirtualNetwork

Creación de un host de Azure Bastion

Azure Bastion proporciona conectividad RDP segura y SSH a máquinas virtuales a través de TLS sin necesidad de direcciones IP públicas en las máquinas virtuales.

Portal
PowerShell

En el cuadro de búsqueda de la parte superior de Azure Portal, escriba Bastion. Seleccione Bastions en los resultados de la búsqueda.
Seleccione Crear.

Escriba o seleccione la siguiente información en la pestaña Aspectos básicos de Crear un bastión.

Configuración	Value
Detalles del proyecto
Suscripción	Seleccione su suscripción.
Grupo de recursos	Seleccione test-rg o el grupo de recursos.
Detalles de instancia
Nombre	Escriba bastion.
Región	Seleccione su región. En este ejemplo se usa West US.
Nivel	Seleccione Programador.
Red de área virtual	Seleccione vnet-1.
Subred	Seleccione AzureBastionSubnet.

Seleccione Revisar y crear y, luego, Crear.

Use New-AzPublicIpAddress para crear una dirección IP pública para Azure Bastion.

# Create public IP for Azure Bastion
$publicIpBastionParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-bastion'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIpBastion = New-AzPublicIpAddress @publicIpBastionParams

Use New-AzBastion para crear Azure Bastion.

# Create Azure Bastion
$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-hub"
    PublicIpAddressName = "public-ip-bastion"
    PublicIPAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams

Creación de Azure Firewall

Portal
PowerShell

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Firewall. En los resultados de la búsqueda, seleccione Firewalls.
Seleccione + Create (+ Crear).

En la página Crear un firewall , use la tabla siguiente para configurar el firewall:

Configuración	Value
Detalles del proyecto
Suscripción	Seleccione su suscripción.
Grupo de recursos	Seleccione test-rg.
Detalles de instancia
Nombre	Escriba firewall.
Región	Seleccione Oeste de EE. UU.
Zona de disponibilidad	Acepte el valor predeterminado Ninguno.
SKU del firewall	Seleccione Estándar.
Administración del firewall	Seleccione Usar una directiva de firewall para administrar este firewall.
Directiva de firewall	Seleccione Agregar nuevo. Nombre: escriba firewall-policy. Región: seleccione Oeste de EE. UU. Nivel de directiva: Estándar. Seleccione Aceptar.
Elegir una red virtual
Red de área virtual	Seleccione Usar existente.
Red de área virtual	Seleccione vnet-hub.
Dirección IP pública
Dirección IP pública	Seleccione Agregar nuevo. Nombre: escriba public-ip-firewall. SKU: Estándar. Asignación: Estática. Zona de disponibilidad: Zona redundante. Seleccione OK.

Acepte los otros valores predeterminados y seleccione Revisar y crear.
Revise el resumen y, a continuación, seleccione Crear para crear el firewall.

El firewall tarda unos minutos en implementarse.
Una vez completada la implementación, vaya al grupo de recursos test-rg y seleccione el recurso de firewall .
Anote las direcciones IP privadas y públicas del firewall. Estas direcciones se usan más adelante.

Use New-AzPublicIpAddress para crear una dirección IP pública para Azure Firewall.

# Create public IP for Azure Firewall
$publicIpFirewallParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-firewall'
    AllocationMethod  = 'Static'
    Sku = 'Standard'
    Zone = 1, 2, 3
}
$publicIpFirewall = New-AzPublicIpAddress @publicIpFirewallParams

Use New-AzFirewallPolicy para crear una directiva de firewall.

# Create firewall policy
$firewallPolicyParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'firewall-policy'
}
$firewallPolicy = New-AzFirewallPolicy @firewallPolicyParams

Use New-AzFirewall para crear Azure Firewall.

# Create Azure Firewall
    $firewallParams = @{
        ResourceGroupName = 'test-rg'
        Location = 'westus'
        Name = 'firewall'
        VirtualNetworkName = 'vnet-hub'
        PublicIpName = 'public-ip-firewall'
        FirewallPolicyId = $firewallPolicy.Id
    }
    $firewall = New-AzFirewall @firewallParams

Creación de la puerta de enlace de NAT

Todo el tráfico saliente de Internet atraviesa la puerta de enlace NAT a Internet. Use el ejemplo siguiente para crear una puerta de enlace de NAT Gateway para la red en estrella tipo hub-and-spoke y para asociarla a AzureFirewallSubnet.

Portal
PowerShell

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Dirección IP pública. Seleccione Direcciones IP públicas en los resultados de la búsqueda.
Seleccione + Create (+ Crear).

Escriba la siguiente información en Crear dirección IP pública.

Configuración	Value
Suscripción	Seleccione su suscripción.
Grupo de recursos	Seleccione test-rg.
Región	Seleccione Oeste de EE. UU.
Nombre	Escriba public-ip-nat.
Versión de la dirección IP	Seleccione IPv4.
SKU	Seleccione Estándar.
Zona de disponibilidad	seleccione Con redundancia de zona.
Nivel	Seleccione Regional.

Seleccione Revisar y crear y, luego, Crear.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Puerta de enlace NAT. Seleccione Puertas de enlace NAT en los resultados de búsqueda.
Seleccione + Create (+ Crear).

Escriba o seleccione la información siguiente en la pestaña Conceptos básicos de Crear puerta de enlace de traducción de direcciones de red (NAT).

Configuración	Value
Detalles del proyecto
Suscripción	Seleccione su suscripción.
Grupo de recursos	Seleccione test-rg.
Detalles de instancia
Nombre de la puerta de enlace NAT	Escriba nat-gateway.
Región	Seleccione Oeste de EE. UU.
SKU	Seleccione Estándar.
Tiempo de espera de inactividad de TCP (minutos)	Deje el valor predeterminado 4.

Seleccione Siguiente.
En la pestaña IP de salida , seleccione + Agregar direcciones IP públicas o prefijos.
En Agregar direcciones IP públicas o prefijos, seleccione Direcciones IP públicas. Seleccione la dirección IP pública que creó anteriormente, public-ip-nat.
Seleccione Siguiente.
En la pestaña Redes , en Red virtual, seleccione vnet-hub.
Deje la casilla Predeterminada en todas las subredes desactivada.
En Seleccionar subredes específicas, seleccione AzureFirewallSubnet.
Seleccione Revisar y crear y, luego, Crear.

Use New-AzPublicIpAddress para crear una dirección IP pública IPv4 con redundancia de zona para la puerta de enlace NAT.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

Use New-AzNatGateway para crear el recurso de puerta de enlace NAT.

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'Standard'
    Location = 'westus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1
}
$natGateway = New-AzNatGateway @nat

Use Set-AzVirtualNetworkSubnetConfig para asociar la puerta de enlace NAT con AzureFirewallSubnet.

# Get the hub virtual network
$vnetHub = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-hub'

# Associate NAT gateway with AzureFirewallSubnet
$subnetParams = @{
    VirtualNetwork = $vnetHub
    Name = 'AzureFirewallSubnet'
    AddressPrefix = '10.0.1.64/26'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnetParams

# Update the virtual network
$vnetHub | Set-AzVirtualNetwork

Creación de una red virtual de radio

La red virtual de radio contiene la máquina virtual de prueba que se usa para probar el enrutamiento del tráfico de Internet a la puerta de enlace de NAT Gateway. Use el ejemplo siguiente para crear la red de radio.

Portal
PowerShell

En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione + Create (+ Crear).

En la pestaña Aspectos básicos de Crear red virtual, escriba o seleccione la siguiente información:

Configuración	Value
Detalles del proyecto
Suscripción	Seleccione su suscripción.
Grupo de recursos	Seleccione test-rg.
Detalles de instancia
Nombre	Escriba vnet-spoke.
Región	Seleccione Oeste de EE. UU.

Seleccione Siguiente para ir a la pestaña Seguridad.
Seleccione Siguiente para continuar con la pestaña Direcciones IP.
En la pestaña Direcciones IP de Espacio de direcciones IPv4, seleccione Eliminar espacio de direcciones para eliminar el espacio de direcciones que se rellena automáticamente.
Seleccione + Agregar espacio de direcciones IPv4.
En Espacio de direcciones IPv4, escriba 10.1.0.0. Deje el valor predeterminado de /16 (65 536 direcciones) en la selección de máscara.
Seleccione + Agregar una subred.

En Agregar una subred, escriba o seleccione la siguiente información:

Configuración	Value
Propósito de la subred	Deje el valor predeterminado Predeterminado.
Nombre	Escriba subnet-private.
IPv4
Intervalo de direcciones IPv4	Deje el valor predeterminado de 10.1.0.0/16.
Dirección inicial	Deje el valor predeterminado de 10.1.0.0.
Tamaño	Deje el valor predeterminado de /24(256 direcciones).

Seleccione Agregar.
Seleccione Revisar + crear.
Seleccione Crear.

Utilice New-AzVirtualNetwork para crear la red virtual spoke.

# Create spoke virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-spoke'
    AddressPrefix = '10.1.0.0/16'
}
$spokeVnet = New-AzVirtualNetwork @vnetParams

Use Add-AzVirtualNetworkSubnetConfig para crear una subred para la red virtual de spoke.

# Create subnet in spoke virtual network
$subnetParams = @{
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    VirtualNetwork = $spokeVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Use Set-AzVirtualNetwork para actualizar la red virtual de spoke.

# Create the virtual network
$spokeVnet | Set-AzVirtualNetwork

Emparejamiento entre la red virtual de centro y la de radio

Se usa un emparejamiento de red virtual para conectar la red virtual de centro a la red virtual de radio y la red virtual de radio a la red virtual de centro. Use el ejemplo siguiente para crear un emparejamiento de red bidireccional entre la red virtual de centro y la red virtual de radio.

Portal
PowerShell

En el cuadro de búsqueda de la parte superior del portal, escriba Red virtual. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione vnet-hub.
En Configuración, seleccione Emparejamientos.
Seleccione +Agregar.

En Agregar emparejamiento, escriba o seleccione la información siguiente:

Configuración	Value
Resumen de red virtual remota
Nombre del vínculo de emparejamiento	Escriba vnet-spoke-to-vnet-hub.
Modelo de implementación de red virtual	Deje el valor predeterminado, Administrador de recursos.
Suscripción	Seleccione su suscripción.
Red de área virtual	Seleccione vnet-spoke (test-rg).
Configuración de emparejamiento de red virtual remota
Permitir que "vnet-spoke" acceda a "vnet-hub"	Deje el valor predeterminado de Seleccionado.
Permitir que "vnet-spoke" reciba el tráfico reenviado desde "vnet-hub"	Active la casilla.
Permitir que la puerta de enlace o el servidor de rutas en 'vnet-spoke' reenvíen el tráfico a 'vnet-hub'	Deje el valor predeterminado Deseleccionada .
Habilitar 'vnet-spoke' para usar la puerta de enlace remota o el servidor de rutas de 'vnet-hub'	Deje el valor predeterminado Deseleccionada .
Resumen de red virtual local
Nombre del vínculo de emparejamiento	Escriba vnet-hub-to-vnet-spoke.
Configuración de emparejamiento de red virtual local
Permitir que "vnet-hub" acceda a "vnet-spoke"	Deje el valor predeterminado de Seleccionado.
Permitir que "vnet-hub" reciba el tráfico reenviado desde "vnet-spoke"	Active la casilla.
Permitir que la puerta de enlace o el servidor de rutas en 'vnet-hub' reenvíen el tráfico a 'vnet-spoke'	Deje el valor predeterminado Deseleccionada .
Habilitar 'vnet-hub' para usar la puerta de enlace remota de 'vnet-spoke' o el servidor de rutas	Deje el valor predeterminado Deseleccionada .

Seleccione Agregar.
Seleccione Actualizar y compruebe que el Estado del emparejamiento es Conectado.

Use Add-AzVirtualNetworkPeering para crear un emparejamiento desde el hub al spoke.

# Create peering from hub to spoke
$peeringParams = @{
    Name = 'vnet-hub-to-vnet-spoke'
    VirtualNetwork = $hubVnet
    RemoteVirtualNetworkId = $spokeVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Use Add-AzVirtualNetworkPeering para crear un emparejamiento desde el spoke al hub.

# Create peering from spoke to hub
$peeringParams = @{
    Name = 'vnet-spoke-to-vnet-hub'
    VirtualNetwork = $spokeVnet
    RemoteVirtualNetworkId = $hubVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Creación de una tabla de rutas de la red de radio

Una tabla de rutas fuerza todo el tráfico saliente de la red virtual de radio a la red virtual de centro. La tabla de rutas se configura con la dirección IP privada de Azure Firewall como aplicación virtual.

Obtención de la dirección IP privada del firewall

Necesita la dirección IP privada del firewall para la tabla de rutas que creará más adelante en este artículo. Use el ejemplo siguiente para obtener la dirección IP privada del firewall.

Portal
PowerShell

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Firewall. En los resultados de la búsqueda, seleccione Firewalls.
Seleccione firewall.
En la información general del firewall, anote la dirección IP en el campo Dirección IP privada del firewall. La dirección IP de este ejemplo es 10.0.1.68.

Use Get-AzFirewall para obtener la dirección IP privada del firewall.

# Get the private IP address of the firewall
$firewallParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'firewall'
}
$firewall = Get-AzFirewall @firewallParams
$firewall.IpConfigurations[0].PrivateIpAddress

Creación de una tabla de rutas

Cree una tabla de rutas para forzar todo el tráfico de salida entre radios y de Internet a través del firewall de la red virtual de centro.

Portal
PowerShell

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Tabla de rutas. Seleccione Tablas de rutas en los resultados de la búsqueda.
Seleccione + Create (+ Crear).

En Crear tabla de rutas, escriba o seleccione la siguiente información:

Configuración	Value
Detalles del proyecto
Suscripción	Seleccione su suscripción.
Grupo de recursos	Seleccione test-rg.
Detalles de instancia
Región	Seleccione Oeste de EE. UU.
Nombre	Escriba route-table-spoke.
Propagar las rutas de la puerta de enlace	así que seleccione No.

Seleccione Revisar + crear.
Seleccione Crear.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Tabla de rutas. Seleccione Tablas de rutas en los resultados de la búsqueda.
Seleccione route-table-spoke.
En Configuración, seleccione Rutas.
Seleccione + Agregar en Rutas.

En Agregar ruta, escriba o seleccione la información siguiente:

Configuración	Value
Nombre de ruta	Escriba route-to-hub.
Tipo de destino	Seleccione Direcciones IP.
Direcciones IP de destino/intervalos CIDR	Escriba 0.0.0.0/0.
Tipo de próximo salto	Seleccione Aplicación virtual.
Siguiente dirección de salto	Escriba 10.0.1.68.

Seleccione Agregar.
Seleccione Subredes en Configuración.
Seleccione + Asociar.
En Asociar subred, escriba o seleccione la información siguiente:

Configuración Value

Red de área virtual Seleccione vnet-spoke (test-rg).

Subred Seleccione subnet-private.
Seleccione Aceptar.

Configuración	Value
Red de área virtual	Seleccione vnet-spoke (test-rg).
Subred	Seleccione subnet-private.

Use New-AzRouteTable para crear la tabla de rutas.

# Create route table
$routeTableParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'route-table-spoke'
}
$routeTable = New-AzRouteTable @routeTableParams

Use Add-AzRouteConfig para crear una ruta en la tabla de rutas.

# Create route
$routeConfigParams = @{
    Name = 'route-to-hub'
    AddressPrefix = '0.0.0.0/0'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = $firewall.IpConfigurations[0].PrivateIpAddress
    RouteTable = $routeTable
}
Add-AzRouteConfig @routeConfigParams

Use Set-AzRouteTable para actualizar la tabla de rutas.

# Update the route table
$routeTable | Set-AzRouteTable

Use Set-AzVirtualNetworkSubnetConfig para asociar la tabla de rutas a la subred de spoke.

# Associate route table with subnet
$subnetConfigParams = @{
    VirtualNetwork = $spokeVnet
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    RouteTable = $routeTable
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

Use Set-AzVirtualNetwork para actualizar la red virtual de spoke.

# Update the virtual network
$spokeVnet | Set-AzVirtualNetwork

Configuración del firewall

El tráfico desde las redes virtuales de radio a través de la red virtual de centro debe permitirse por medio de un directiva de firewall y una regla de red. Use el ejemplo siguiente para crear la directiva de firewall y la regla de red.

Configuración de una regla de red

Portal
PowerShell

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Firewall. Seleccione Directivas de firewall en los resultados de la búsqueda.
Seleccione firewall-policy.
Expanda Configuración y, a continuación, seleccione Reglas de red.
Seleccione + Agregar una colección de reglas.

En Agregar una colección de reglas, escriba o seleccione la siguiente información:

Configuración	Value
Nombre	Escriba spoke-to-internet.
Tipo de colección de reglas	Seleccione Network (Red).
Prioridad	Escriba 100.
Acción de colección de reglas	seleccione Permitir.
Grupo de colección de reglas	Seleccione DefaultNetworkRuleCollectionGroup.
Reglas
Nombre	Escriba allow-web.
Tipo de origen	Dirección IP.
Fuente	Escriba 10.1.0.0/24.
Protocolo	seleccione TCP.
Puertos de destino	Escriba 80,443.
Tipo de destino	Seleccione Dirección IP.
Destino	Escriba *

Seleccione Agregar.

Use Get-AzFirewallPolicy para obtener la directiva de firewall existente.

# Get the existing firewall policy
$firewallPolicyParams = @{
    Name = 'firewall-policy'
    ResourceGroupName = 'test-rg'
}
$firewallPolicy = Get-AzFirewallPolicy @firewallPolicyParams

Use New-AzFirewallPolicyNetworkRule para crear una regla de red.

# Create a network rule for web traffic
$networkRuleParams = @{
    Name = 'allow-internet'
    SourceAddress = '10.1.0.0/24'
    Protocol = 'TCP'
    DestinationAddress = '*'
    DestinationPort = '*'
}
$networkRule = New-AzFirewallPolicyNetworkRule @networkRuleParams

Use New-AzFirewallPolicyFilterRuleCollection para crear una colección de reglas para la regla de red.

# Create a rule collection for the network rule
$ruleCollectionParams = @{
    Name = 'spoke-to-internet'
    Priority = 100
    Rule = $networkRule
    ActionType = 'Allow'
}
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection @ruleCollectionParams

Use New-AzFirewallPolicyRuleCollectionGroup para crear un grupo de recopilación de reglas.

$newRuleCollectionGroupParams = @{
        Name = 'DefaultNetworkRuleCollectionGroup'
        Priority = 200
        FirewallPolicyObject = $firewallPolicy
        RuleCollection = $ruleCollection
    }
New-AzFirewallPolicyRuleCollectionGroup @newRuleCollectionGroupParams

Creación de una máquina virtual de prueba

Una máquina virtual Ubuntu se usa para probar el tráfico saliente de Internet a través de la puerta de enlace NAT. Use el ejemplo siguiente para crear una máquina virtual Ubuntu.

Portal
PowerShell

En el portal, busque y seleccione Máquinas virtuales.
En Máquinas virtuales, seleccione + Crear y, después, Máquina virtual de Azure.

En la pestaña Datos básicos de Crear una máquina virtual, escriba o seleccione la siguiente información:

Configuración	Value
Detalles del proyecto
Suscripción	Seleccione su suscripción.
Grupo de recursos	Seleccione test-rg.
Detalles de instancia
Nombre de la máquina virtual	Escriba vm-spoke.
Región	Seleccione Oeste de EE. UU.
Opciones de disponibilidad	Seleccione No se requiere redundancia de la infraestructura.
Tipo de seguridad	Deje el valor predeterminado Estándar.
Imagen	Seleccione Ubuntu Server 24.04 LTS: x64 Gen2.
Arquitectura de VM	Deje el valor predeterminado, x64.
Tamaño	Seleccione un tamaño.
Cuenta de administrador
Tipo de autenticación	Seleccione Clave pública SSH.
Nombre de usuario	escriba usuarioazure.
Origen de la clave pública SSH	Seleccione Generar un par de claves nuevo.
Nombre del par de claves	Escriba vm-spoke-key.
Reglas de puerto de entrada
Puertos de entrada públicos	Seleccione Ninguno.

Seleccione la pestaña Redes en la parte superior de la página o seleccione Siguiente: Discos, después Siguiente: Redes.

En la pestaña Redes, escriba o seleccione la siguiente información:

Configuración	Value
Interfaz de red
Red de área virtual	Seleccione vnet-spoke.
Subred	Seleccione subnet-private (10.1.0.0/24).
Dirección IP pública	Seleccione Ninguno.
Grupo de seguridad de red de NIC	Seleccione Advanced (Avanzadas).
Configuración del grupo de seguridad de red	Seleccione Crear nuevo. Escriba nsg-1 como nombre. Deje el resto de los valores predeterminados y seleccione Aceptar.

Deje el resto de las opciones en sus valores predeterminados y luego seleccione Revisar + crear.
Revise la configuración y seleccione Crear.
Aparece el cuadro de diálogo Generar nuevo par de claves . Seleccione Descargar la clave privada y Crear recurso.

La clave privada se descarga en el equipo local. La clave privada es necesaria en pasos posteriores para conectarse a la máquina virtual con Azure Bastion. El nombre del archivo de clave privada es el nombre que especificó en el campo Nombre del par de claves. En este ejemplo, el archivo de clave privada se denomina ssh-key.

Espere a que la máquina virtual finalice la implementación antes de continuar con los pasos siguientes.

Nota:

Las máquinas virtuales de una red virtual con un host bastión no necesitarán direcciones IP públicas. Bastion proporciona la dirección IP pública y las máquinas virtuales usan direcciones IP privadas para comunicarse dentro de la red. Es posible quitar las direcciones IP públicas de cualquier máquina virtual en redes virtuales hospedadas por Bastion. Para obtener más información, consulte Desasociación de una dirección IP pública de una máquina virtual de Azure.

Use New-AzNetworkSecurityGroup para crear el grupo de seguridad de red.

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Name = "nsg-1"
    Location = "westus"
}
New-AzNetworkSecurityGroup @nsgParams

Use New-AzNetworkInterface para crear la interfaz de red.

$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    SubnetId = (Get-AzVirtualNetwork -ResourceGroupName "test-rg" -Name "vnet-spoke").Subnets[0].Id
    NetworkSecurityGroupId = (Get-AzNetworkSecurityGroup -ResourceGroupName "test-rg" -Name "nsg-1").Id
    Location = "westus"
}
New-AzNetworkInterface @nicParams

Use Get-Credential para establecer un nombre de usuario y una contraseña para la máquina virtual y almacenarlos en la variable $cred.

$cred = Get-Credential

Nota:

Se requiere un nombre de usuario para la máquina virtual. La contraseña es opcional y no se usará si se establece. Se recomienda la configuración de claves SSH para máquinas virtuales Linux.

Use New-AzVMConfig para definir una máquina virtual.

$vmConfigParams = @{
    VMName = "vm-spoke"
    VMSize = "Standard_DS4_v2"
    }
$vmConfig = New-AzVMConfig @vmConfigParams

Use Set-AzVMOperatingSystem y Set-AzVMSourceImage para crear el resto de la configuración de máquina virtual. En el ejemplo siguiente se crea una máquina virtual Ubuntu Server:

$osParams = @{
    VM = $vmConfig
    ComputerName = "vm-spoke"
    Credential = $cred
    }
$vmConfig = Set-AzVMOperatingSystem @osParams -Linux -DisablePasswordAuthentication

$imageParams = @{
    VM = $vmConfig
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
    }
$vmConfig = Set-AzVMSourceImage @imageParams

Use Add-AzVMNetworkInterface para asociar la NIC que creó anteriormente a la máquina virtual.

# Get the network interface object
$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    }
$nic = Get-AzNetworkInterface @nicParams

$vmConfigParams = @{
    VM = $vmConfig
    Id = $nic.Id
    }
$vmConfig = Add-AzVMNetworkInterface @vmConfigParams

Use New-AzVM para crear la máquina virtual. El comando genera claves SSH para la máquina virtual para el inicio de sesión. Anote la ubicación de la clave privada. La clave privada es necesaria en pasos posteriores para conectarse a la máquina virtual con Azure Bastion.

$vmParams = @{
    VM = $vmConfig
    ResourceGroupName = "test-rg"
    Location = "westus"
    SshKeyName = "vm-spoke-key"
    }
New-AzVM @vmParams -GenerateSshKey

Prueba de la puerta de enlace NAT

Se conecta a las máquinas virtuales Ubuntu que creó en los pasos anteriores para comprobar que el tráfico saliente de Internet sale de la puerta de enlace NAT.

Obtención de la IP pública de NAT Gateway

Obtenga la dirección IP pública de NAT Gateway para comprobar los pasos que se indican más adelante en el artículo.

Portal
PowerShell

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba IP pública. Seleccione Direcciones IP públicas en los resultados de la búsqueda.
Seleccionar public-ip-nat.
Anote el valor de la Dirección IP. El ejemplo usado en este artículo es 203.0.113.0.25.

Use Get-AzPublicIpAddress para obtener la dirección IP pública de la puerta de enlace NAT.

# Get the public IP address of the NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'public-ip-nat'
}
$publicIpNat = Get-AzPublicIpAddress @publicIpNatParams
$publicIpNat.IpAddress

Prueba de la instancia de NAT Gateway desde la red de radio

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. En los resultados de la búsqueda, seleccione Máquinas virtuales.
Seleccione vm-spoke.
En la página Información general, seleccione Conectar y, después, Conectar a través de Bastion.
Seleccione SSH como tipo de conexión. Cargue el archivo de clave privada SSH. Seleccione Conectar.
En el indicador de bash, introduce el siguiente comando:
```
curl ifconfig.me
```
Comprueba que la dirección IP que devolvió el comando coincida con la dirección IP pública de la puerta de enlace NAT.
```
azureuser@vm-1:~$ curl ifconfig.me
203.0.113.0.25
```
Cierre la conexión de Bastion a vm-spoke.

Portal
PowerShell

Cuando termine de usar los recursos que creó, puede eliminar el grupo de recursos y todos sus recursos.

En Azure Portal, busque y seleccione Grupos de recursos.
En la página Grupos de recursos, seleccione el grupo de recursos test-rg.
En la página test-rg, elija Eliminar grupo de recursos.
Escriba test-rg en Introducir nombre del grupo de recursos para confirmar la eliminación y, luego, seleccione Eliminar.

Use Remove-AzResourceGroup para quitar el grupo de recursos.

# Remove resource group
$rgParams = @{
    Name = 'test-rg'
}
Remove-AzResourceGroup @rgParams

Pasos siguientes

Avance al siguiente artículo para obtener información sobre cómo integrar una puerta de enlace NAT con una instancia de Azure Load Balancer:

Integración de NAT Gateway con un equilibrador de carga interno

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-11-19

Compartir a través de

Integración de NAT Gateway con Azure Firewall en una red de grupo radial tipo hub-and-spoke para la conectividad saliente

Requisitos previos

Creación de un grupo de recursos

Creación de una red virtual de centro

Creación de un host de Azure Bastion

Creación de Azure Firewall

Creación de la puerta de enlace de NAT

Creación de una red virtual de radio

Emparejamiento entre la red virtual de centro y la de radio

Creación de una tabla de rutas de la red de radio

Obtención de la dirección IP privada del firewall

Creación de una tabla de rutas

Configuración del firewall

Configuración de una regla de red

Creación de una máquina virtual de prueba

Prueba de la puerta de enlace NAT

Obtención de la IP pública de NAT Gateway

Prueba de la instancia de NAT Gateway desde la red de radio

Pasos siguientes

Comentarios

Recursos adicionales