Tutoriel : intégrer une passerelle NAT au Pare-feu Azure dans un réseau hub-and-spoke pour la connectivité sortante

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.

Azure Cloud Shell

Azure héberge Azure Cloud Shell, un environnement d’interpréteur de commandes interactif que vous pouvez utiliser via votre navigateur. Vous pouvez utiliser Bash ou PowerShell avec Cloud Shell pour travailler avec les services Azure. Vous pouvez utiliser les commandes préinstallées Cloud Shell pour exécuter le code de cet article sans avoir à installer quoi que ce soit dans votre environnement local.

Pour démarrer Azure Cloud Shell :

Choix	Exemple/lien
Sélectionnez Essayer dans le coin supérieur droite d’un bloc de codes ou de commandes. La sélection de Essayer ne copie pas automatiquement le code ni la commande dans Cloud Shell.
Accédez à https://shell.azure.com ou sélectionnez le bouton Lancer Cloud Shell pour ouvrir Cloud Shell dans votre navigateur.
Sélectionnez le bouton Cloud Shell dans la barre de menus en haut à droite du portail Azure.

Pour utiliser Azure Cloud Shell :

1. Démarrez Cloud Shell.

2. Sélectionnez le bouton Copier sur un bloc de codes (ou un bloc de commandes) pour copier le code ou la commande.

3. Collez le code ou la commande dans la session Cloud Shell en sélectionnant Ctrl+Maj+V sur Windows et Linux, ou en sélectionnant Cmd+Maj+V sur macOS.

4. Sélectionnez Entrée pour exécuter le code ou la commande.

Si vous choisissez d’installer et d’utiliser PowerShell en local, vous devez exécuter le module Azure PowerShell version 1.0.0 ou ultérieure pour les besoins de cet article. Exécutez Get-Module -ListAvailable Az pour rechercher la version installée. Si vous devez effectuer une mise à niveau, consultez Installer le module Azure PowerShell. Si vous exécutez PowerShell en local, vous devez également exécuter Connect-AzAccount pour créer une connexion avec Azure.

1. Connectez-vous au portail Azure.

2. Dans la zone de recherche située en haut du portail, entrez le groupe de ressources. Sélectionnez Groupes de ressources dans les résultats de la recherche.

3. Sélectionnez + Créer.

4. Sous l’onglet Informations de base de Créer un groupe de ressources, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Abonnement	Sélectionnez votre abonnement
   groupe de ressources	test-rg
   Région	USA Ouest

5. Sélectionnez Revoir + créer.

6. Sélectionnez Create (Créer).

Créez un groupe de ressources avec New-AzResourceGroup. Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.

L’exemple suivant crée un groupe de ressources nommé test-rg à l’emplacement westus :

$rsg = @{
    Name = 'test-rg'
    Location = 'westus'
}
New-AzResourceGroup @rsg

1. Connectez-vous au portail Azure.

2. Dans la zone de recherche située en haut du portail Azure, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.

3. Sélectionnez Create (Créer).

4. Sous l’onglet Informations de base dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   groupe de ressources	Sélectionnez test-rg ou votre groupe de ressources.
   Détails de l’instance
   Nom	Entrez vnet-hub.
   Région	Sélectionnez votre région. Cet exemple utilise la région USA Ouest.

5. Sélectionnez l’onglet Adresses IP , ou sélectionnez Suivant : Sécurité, puis Suivant : Adresses IP.

6. Dans Les sous-réseaux, sélectionnez le sous-réseaupar défaut .

7. Dans Modifier le sous-réseau, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Objectif du sous-réseau	Conservez la valeur par défaut.
   Nom	Entrez subnet-1.

8. Conservez le reste des paramètres par défaut, puis sélectionnez Enregistrer.

9. Sélectionnez + Ajouter un sous-réseau.

10. Dans Ajouter un sous-réseau , entrez ou sélectionnez les informations suivantes.

    Paramètre	Valeur
    Objectif du sous-réseau	Sélectionnez Azure Bastion.

11. Conservez le reste des paramètres par défaut, puis sélectionnez Ajouter.

12. Sélectionnez + Ajouter un sous-réseau.

13. Dans Ajouter un sous-réseau , entrez ou sélectionnez les informations suivantes.

    Paramètre	Valeur
    Objectif du sous-réseau	Sélectionnez Pare-feu Azure.

14. Conservez le reste des paramètres par défaut, puis sélectionnez Ajouter.

15. Sélectionnez Vérifier + créer, puis sélectionnez Créer.

Utilisez New-AzVirtualNetwork pour créer le réseau virtuel hub.

# Create hub virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-hub'
    AddressPrefix = '10.0.0.0/16'
}
$hubVnet = New-AzVirtualNetwork @vnetParams

Utilisez Add-AzVirtualNetworkSubnetConfig pour créer un sous-réseau pour le Pare-feu Azure et Azure Bastion.

# Create default subnet
$subnetParams = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Firewall
$subnetParams = @{
    Name = 'AzureFirewallSubnet'
    AddressPrefix  = '10.0.1.64/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Bastion
$subnetParams = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix  = '10.0.1.0/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Utilisez Set-AzVirtualNetwork pour mettre à jour le réseau virtuel.

# Create the virtual network
$hubVnet | Set-AzVirtualNetwork

1. Dans la zone de recherche située en haut du portail Azure, entrez Bastion. Sélectionnez Bastions dans les résultats de la recherche.

2. Sélectionnez Create (Créer).

3. Entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base de Créer un bastion.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   groupe de ressources	Sélectionnez test-rg ou votre groupe de ressources.
   Détails de l’instance
   Nom	Entrez bastion.
   Région	Sélectionnez votre région. Cet exemple utilise la région USA Ouest.
   Niveau	Sélectionnez Développeur.
   Réseau virtuel	Sélectionnez vnet-1.
   Subnet	Sélectionnez AzureBastionSubnet.

4. Sélectionnez Vérifier + créer, puis sélectionnez Créer.

Utilisez New-AzPublicIpAddress pour créer une adresse IP publique pour Azure Bastion.

# Create public IP for Azure Bastion
$publicIpBastionParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-bastion'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIpBastion = New-AzPublicIpAddress @publicIpBastionParams

Utilisez New-AzBastion pour créer Azure Bastion.

# Create Azure Bastion
$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-hub"
    PublicIpAddressName = "public-ip-bastion"
    PublicIPAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams

1. Dans la zone de recherche située en haut du portail, entrez Pare-feu. Dans les résultats de la recherche, sélectionnez Pare-feux.

2. Sélectionnez + Créer.

3. Dans la page Créer un pare-feu , utilisez le tableau suivant pour configurer le pare-feu :

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   groupe de ressources	Sélectionnez test-rg.
   Détails de l’instance
   Nom	Entrez firewall.
   Région	Sélectionnez USA Ouest.
   Zone de disponibilité	Acceptez la valeur None par défaut.
   Référence SKU du pare-feu	Sélectionnez Standard.
   Gestion de pare-feu	Sélectionnez Utiliser une stratégie de pare-feu pour gérer ce pare-feu.
   Stratégie de pare-feu	Sélectionnez Ajouter nouveau. Nom : entrez la stratégie de pare-feu. Région : sélectionnez USA Ouest. Niveau de stratégie : Standard. Sélectionnez OK.
   Choisissez un réseau virtuel
   Réseau virtuel	Sélectionnez Utiliser l’existant.
   Réseau virtuel	Sélectionnez vnet-hub.
   Adresse IP publique
   Adresse IP publique	Sélectionnez Ajouter nouveau. Nom : entrez public-ip-firewall. Référence SKU : Standard. Affectation : statique. Zone de disponibilité : zone redondante. Sélectionnez OK.

4. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

5. Passez en revue le résumé, puis sélectionnez Créer pour créer le pare-feu.

   Le pare-feu prend quelques minutes à déployer.

6. Une fois le déploiement terminé, accédez au groupe de ressources test-rg , puis sélectionnez la ressource de pare-feu .

7. Notez les adresses IP privée et publique du pare-feu. Vous utiliserez ces adresses plus tard.

Utilisez New-AzPublicIpAddress pour créer une adresse IP publique pour le Pare-feu Azure.

# Create public IP for Azure Firewall
$publicIpFirewallParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-firewall'
    AllocationMethod  = 'Static'
    Sku = 'Standard'
    Zone = 1, 2, 3
}
$publicIpFirewall = New-AzPublicIpAddress @publicIpFirewallParams

Utilisez New-AzFirewallPolicy pour créer une stratégie de pare-feu.

# Create firewall policy
$firewallPolicyParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'firewall-policy'
}
$firewallPolicy = New-AzFirewallPolicy @firewallPolicyParams

Utilisez New-AzFirewall pour créer un pare-feu Azure.

# Create Azure Firewall
    $firewallParams = @{
        ResourceGroupName = 'test-rg'
        Location = 'westus'
        Name = 'firewall'
        VirtualNetworkName = 'vnet-hub'
        PublicIpName = 'public-ip-firewall'
        FirewallPolicyId = $firewallPolicy.Id
    }
    $firewall = New-AzFirewall @firewallParams

1. Dans la zone de recherche située en haut du portail, entrez Adresse IP publique. Sélectionnez Adresses IP publique dans les résultats de la recherche.

2. Sélectionnez + Créer.

3. Entrez les informations suivantes dans Créer une adresse IP publique.

   Paramètre	Valeur
   Abonnement	Sélectionnez votre abonnement.
   groupe de ressources	Sélectionnez test-rg.
   Région	Sélectionnez USA Ouest.
   Nom	Entrez public-ip-nat.
   Version de l’adresse IP	Sélectionnez IPv4.
   Référence (SKU)	Sélectionnez Standard.
   Zone de disponibilité	Sélectionnez Redondant dans une zone.
   Niveau	Sélectionnez Régional.

4. Sélectionnez Vérifier + créer, puis Créer.

5. Dans la zone de recherche située en haut du portail, entrez Passerelle NAT. Sélectionnez Passerelle NAT dans les résultats de la recherche.

6. Sélectionnez + Créer.

7. Entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base de Créer une passerelle NAT (traduction d’adresses réseau).

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   groupe de ressources	Sélectionnez test-rg.
   Détails de l’instance
   Nom de la passerelle NAT	Entrez nat-gateway.
   Région	Sélectionnez USA Ouest.
   Référence (SKU)	Sélectionnez Standard.
   Délai d’inactivité TCP (minutes)	Conservez la valeur par défaut 4.

8. Cliquez sur Suivant.

9. Dans l’onglet Adresse IP sortante , sélectionnez + Ajouter des adresses IP publiques ou des préfixes.

10. Dans Ajouter des adresses IP publiques ou des préfixes, sélectionnez Adresses IP publiques. Sélectionnez l’adresse IP publique que vous avez créée précédemment, public-ip-nat.

11. Cliquez sur Suivant.

12. Sous l’onglet Mise en réseau, dans réseau virtuel, sélectionnez vnet-hub.

13. Laissez la case à cocher Par défaut pour tous les sous-réseaux décochée.

14. Dans Sélectionner des sous-réseaux spécifiques, sélectionnez AzureFirewallSubnet.

15. Sélectionnez Vérifier + créer, puis sélectionnez Créer.

Utilisez New-AzPublicIpAddress pour créer une adresse IP publique IPv4 redondante interzone pour la passerelle NAT.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

Utilisez New-AzNatGateway pour créer la ressource de passerelle NAT.

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'Standard'
    Location = 'westus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1
}
$natGateway = New-AzNatGateway @nat

Utilisez Set-AzVirtualNetworkSubnetConfig pour associer la passerelle NAT à AzureFirewallSubnet.

# Get the hub virtual network
$vnetHub = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-hub'

# Associate NAT gateway with AzureFirewallSubnet
$subnetParams = @{
    VirtualNetwork = $vnetHub
    Name = 'AzureFirewallSubnet'
    AddressPrefix = '10.0.1.64/26'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnetParams

# Update the virtual network
$vnetHub | Set-AzVirtualNetwork

1. Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.

2. Sélectionnez + Créer.

3. Sous l’onglet Informations de base de Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   groupe de ressources	Sélectionnez test-rg.
   Détails de l’instance
   Nom	Entrez vnet-spoke.
   Région	Sélectionnez USA Ouest.

4. Sélectionnez Suivant pour passer à l’onglet Sécurité.

5. Sélectionnez Suivant pour passer à l’onglet Adresses IP.

6. Sous l’onglet Adresses IP dans Espace d’adressage IPv4, sélectionnez Supprimer l’espace d’adressage pour supprimer l’espace d’adressage rempli automatiquement.

7. Sélectionnez + Ajouter un espace d’adressage IPv4.

8. Dans Espace d’adressage IPv4, entrez 10.1.0.0. Conservez la valeur par défaut /16 (65 536 adresses) dans la sélection du masque.

9. Sélectionnez + Ajouter un sous-réseau.

10. Dans Ajouter un sous-réseau entrez ou sélectionnez les informations suivantes :

    Paramètre	Valeur
    Objectif du sous-réseau	Laissez la valeur par défaut Par défaut.
    Nom	Entrez subnet-private.
    IPv4
    Plage d’adresses IPv4	Conservez la valeur par défaut de 10.1.0.0/16.
    Adresse de démarrage	Conservez la valeur par défaut 10.1.0.0.
    Taille	Conservez la valeur par défaut /24 (256 adresses).

11. Sélectionnez Ajouter.

12. Sélectionnez Revoir + créer.

13. Sélectionnez Create (Créer).

Utilisez New-AzVirtualNetwork pour créer le réseau virtuel spoke.

# Create spoke virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-spoke'
    AddressPrefix = '10.1.0.0/16'
}
$spokeVnet = New-AzVirtualNetwork @vnetParams

Utilisez Add-AzVirtualNetworkSubnetConfig pour créer un sous-réseau pour le réseau virtuel spoke.

# Create subnet in spoke virtual network
$subnetParams = @{
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    VirtualNetwork = $spokeVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Utilisez Set-AzVirtualNetwork pour mettre à jour le réseau virtuel spoke.

# Create the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Sélectionnez Réseaux virtuels dans les résultats de la recherche.

2. Sélectionnez vnet-hub.

3. Sous Peerings, sélectionnez Paramètres.

4. Sélectionnez Ajouter.

5. Dans Ajouter peering, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Résumé du réseau virtuel distant
   Nom du lien de peering	Entrez vnet-spoke-to-vnet-hub.
   Modèle de déploiement de réseau virtuel	Conservez la valeur par défaut Gestionnaire des ressources.
   Abonnement	Sélectionnez votre abonnement.
   Réseau virtuel	Sélectionnez vnet-spoke (test-rg).
   Paramètres d’appairage de réseaux virtuels distants
   Autoriser « vnet-spoke » à accéder à « vnet-hub »	Conservez la valeur par défaut (case cochée).
   Autoriser « vnet-spoke » à recevoir le trafic transféré de « vnet-hub »	Cochez la case.
   Autoriser la passerelle ou le serveur de routes dans « vnet-spoke » à transférer le trafic vers « vnet-hub »	Conservez la valeur par défaut (case non cochée).
   Activer « vnet-spoke » pour utiliser la passerelle distante ou le serveur de routes de « vnet-hub »	Conservez la valeur par défaut (case non cochée).
   Résumé du réseau virtuel local
   Nom du lien de peering	Entrez vnet-hub-to-vnet-spoke.
   Paramètres d’appairage de réseaux virtuels locaux
   Autoriser « vnet-hub » à accéder à « vnet-spoke »	Conservez la valeur par défaut (case cochée).
   Autoriser « vnet-hub » à recevoir le trafic transféré de « vnet-spoke »	Cochez la case.
   Autoriser la passerelle ou le serveur de routes dans « vnet-hub » à transférer le trafic vers « vnet-spoke »	Conservez la valeur par défaut (case non cochée).
   Activer « vnet-hub » pour utiliser la passerelle distante ou le serveur de routes de « vnet-spoke »	Conservez la valeur par défaut (case non cochée).

6. Sélectionnez Ajouter.

7. Sélectionnez Actualiser et vérifiez que l’État du Peering indique Connecté.

Utiliser Add-AzVirtualNetworkPeering pour créer un peering du hub vers le spoke.

# Create peering from hub to spoke
$peeringParams = @{
    Name = 'vnet-hub-to-vnet-spoke'
    VirtualNetwork = $hubVnet
    RemoteVirtualNetworkId = $spokeVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Utiliser Add-AzVirtualNetworkPeering pour créer un peering du spoke vers le hub.

# Create peering from spoke to hub
$peeringParams = @{
    Name = 'vnet-spoke-to-vnet-hub'
    VirtualNetwork = $spokeVnet
    RemoteVirtualNetworkId = $hubVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

1. Dans la zone de recherche située en haut du portail, entrez Pare-feu. Dans les résultats de la recherche, sélectionnez Pare-feux.

2. Sélectionnez firewall.

3. Dans la Vue d’ensemble de firewall, notez l’adresse IP figurant dans le champ Adresse IP privée de pare-feu. L’adresse IP dans cet exemple est 10.0.1.68.

Utilisez Get-AzFirewall pour obtenir l’adresse IP privée du pare-feu.

# Get the private IP address of the firewall
$firewallParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'firewall'
}
$firewall = Get-AzFirewall @firewallParams
$firewall.IpConfigurations[0].PrivateIpAddress

1. Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.

2. Sélectionnez + Créer.

3. Dans Créer une table de routage, entrez ou sélectionnez ces informations :

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   groupe de ressources	Sélectionnez test-rg.
   Détails de l’instance
   Région	Sélectionnez USA Ouest.
   Nom	Entrez route-table-spoke.
   Propager des itinéraires de passerelle	Sélectionnez Non.

4. Sélectionnez Revoir + créer.

5. Sélectionnez Create (Créer).

6. Dans le champ de recherche situé en haut du portail, entrez Table de routage. Sélectionnez Tables de routage dans les résultats de la recherche.

7. Sélectionnez route-table-spoke.

8. Dans Paramètres, sélectionnez Routes.

9. Sélectionnez + Ajouter dans Routes.

10. Dans Ajouter une route, entrez ou sélectionnez les informations suivantes :

    Paramètre	Valeur
    Nom de l’itinéraire	Entrez route-to-hub.
    Type de destination	Sélectionnez Adresses IP.
    Plages d’adresses IP/CIDR de destination	Entrez 0.0.0.0/0.
    Type de tronçon suivant	Sélectionnez Appliance virtuelle.
    adresse de tronçon suivant	Entrez 10.0.1.68.

11. Sélectionnez Ajouter.

12. Sélectionnez Sous-réseaux dans Paramètres.

13. Sélectionnez + Associer.

14. Dans Associer un sous-réseau, entrez ou sélectionnez les informations suivantes :

    Paramètre	Valeur
    Réseau virtuel	Sélectionnez vnet-spoke (test-rg).
    Subnet	Sélectionnez subnet-private.

15. Sélectionnez OK.

Utilisez New-AzRouteTable pour créer la table de routage.

# Create route table
$routeTableParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'route-table-spoke'
}
$routeTable = New-AzRouteTable @routeTableParams

Utilisez Add-AzRouteConfig pour créer un itinéraire dans la table de routage.

# Create route
$routeConfigParams = @{
    Name = 'route-to-hub'
    AddressPrefix = '0.0.0.0/0'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = $firewall.IpConfigurations[0].PrivateIpAddress
    RouteTable = $routeTable
}
Add-AzRouteConfig @routeConfigParams

Utilisez Set-AzRouteTable pour mettre à jour la table de routage.

# Update the route table
$routeTable | Set-AzRouteTable

Utilisez Set-AzVirtualNetworkSubnetConfig pour associer la table de routage au sous-réseau spoke.

# Associate route table with subnet
$subnetConfigParams = @{
    VirtualNetwork = $spokeVnet
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    RouteTable = $routeTable
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

Utilisez Set-AzVirtualNetwork pour mettre à jour le réseau virtuel spoke.

# Update the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. Dans la zone de recherche située en haut du portail, entrez Pare-feu. Sélectionnez Stratégies de pare-feu dans les résultats de la recherche.

2. Sélectionnez firewall-policy.

3. Développez Paramètres, puis sélectionnez Règles de réseau.

4. Sélectionnez + Ajouter une collection de règles.

5. Dans Ajouter une collection de règles, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Nom	Entrez spoke-to-internet.
   Type de regroupement de règles	Sélectionnez Réseau.
   Priority	Entrez 100.
   Action de regroupement de règles	Sélectionnez Autoriser.
   Groupe de collections de règles	Sélectionnez DefaultNetworkRuleCollectionGroup.
   Règles
   Nom	Entrez allow-web.
   Type de source	Adresse IP.
   Origine	Entrez 10.1.0.0/24.
   Protocole	Sélectionnez TCP.
   Ports de destination	Entrez 80,443.
   Type de destination	Sélectionnez Adresse IP.
   Destination	Entrez *.

6. Sélectionnez Ajouter.

Utilisez Get-AzFirewallPolicy pour obtenir la stratégie de pare-feu existante.

# Get the existing firewall policy
$firewallPolicyParams = @{
    Name = 'firewall-policy'
    ResourceGroupName = 'test-rg'
}
$firewallPolicy = Get-AzFirewallPolicy @firewallPolicyParams

Utilisez New-AzFirewallPolicyNetworkRule pour créer une règle de réseau.

# Create a network rule for web traffic
$networkRuleParams = @{
    Name = 'allow-internet'
    SourceAddress = '10.1.0.0/24'
    Protocol = 'TCP'
    DestinationAddress = '*'
    DestinationPort = '*'
}
$networkRule = New-AzFirewallPolicyNetworkRule @networkRuleParams

Utilisez New-AzFirewallPolicyFilterRuleCollection pour créer une collection de règles pour la règle réseau.

# Create a rule collection for the network rule
$ruleCollectionParams = @{
    Name = 'spoke-to-internet'
    Priority = 100
    Rule = $networkRule
    ActionType = 'Allow'
}
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection @ruleCollectionParams

Utilisez New-AzFirewallPolicyRuleCollectionGroup pour créer un groupe de collections de règles.

$newRuleCollectionGroupParams = @{
        Name = 'DefaultNetworkRuleCollectionGroup'
        Priority = 200
        FirewallPolicyObject = $firewallPolicy
        RuleCollection = $ruleCollection
    }
New-AzFirewallPolicyRuleCollectionGroup @newRuleCollectionGroupParams

1. Dans le portail, recherchez et sélectionnez Machines virtuelles.

2. Dans Machines virtuelles, sélectionnez + Créer, puis Machine virtuelle Azure.

3. Dans l’onglet Informations de base de la page Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   groupe de ressources	Sélectionnez test-rg.
   Détails de l’instance
   Nom de la machine virtuelle	Entrez vm-spoke.
   Région	Sélectionnez USA Ouest.
   Options de disponibilité	Sélectionnez Aucune redondance d’infrastructure requise.
   Type de sécurité	Conservez la valeur par défaut Standard.
   Image	Sélectionnez Ubuntu Server 24.04 LTS – x64 Gen2.
   Architecture de machine virtuelle	Laissez la valeur par défaut x64.
   Taille	Sélectionnez une taille.
   Compte administrateur
   Type d'authentification	sélectionnez Clé publique SSH.
   Nom d’utilisateur	entrez azureuser.
   Source de la clé publique SSH	Sélectionnez Générer une nouvelle paire de clés.
   Nom de la paire de clés	Entrez vm-spoke-key.
   Règles des ports d’entrée
   Aucun port d’entrée public	Sélectionnez Aucun.

4. Sélectionnez l’onglet Mise en réseau en haut de la page ou sélectionnez Suivant : Disques, puis Suivant : Mise en réseau.

5. Entrez ou sélectionnez les informations suivantes sous l’onglet Réseau :

   Paramètre	Valeur
   Interface réseau
   Réseau virtuel	Sélectionnez vnet-spoke.
   Subnet	Sélectionnez subnet-private (10.1.0.0/24).
   Adresse IP publique	Sélectionnez Aucun.
   Groupe de sécurité réseau de la carte réseau	Sélectionnez Avancé.
   Configurer un groupe de sécurité réseau	Sélectionnez Créer nouveau. Entrez nsg-1 pour le nom. Pour le reste, laissez les valeurs par défaut et sélectionnez OK.

6. Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier + créer.

7. Passez en revue les paramètres, puis sélectionnez Créer.

8. La boîte de dialogue Générer une nouvelle paire de clés s’affiche. Sélectionnez Télécharger la clé privée et créer une ressource.

La clé privée est téléchargée sur votre ordinateur local. La clé privée est nécessaire dans les étapes ultérieures pour la connexion à la machine virtuelle avec Azure Bastion. Le nom du fichier de clé privée est le nom que vous avez entré dans le champ nom de la paire de clés . Dans cet exemple, le fichier de clé privée est nommé ssh-key.

Attendez la fin du déploiement de la machine virtuelle avant de passer aux étapes suivantes.

Utilisez New-AzNetworkSecurityGroup pour créer le groupe de sécurité réseau.

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Name = "nsg-1"
    Location = "westus"
}
New-AzNetworkSecurityGroup @nsgParams

Utilisez New-AzNetworkInterface pour créer l’interface réseau.

$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    SubnetId = (Get-AzVirtualNetwork -ResourceGroupName "test-rg" -Name "vnet-spoke").Subnets[0].Id
    NetworkSecurityGroupId = (Get-AzNetworkSecurityGroup -ResourceGroupName "test-rg" -Name "nsg-1").Id
    Location = "westus"
}
New-AzNetworkInterface @nicParams

Utilisez la commande Get-Credential pour définir un nom d’utilisateur et un mot de passe pour la machine virtuelle et les stocker dans la variable $cred.

$cred = Get-Credential

Utilisez New-AzVMConfig pour définir une machine virtuelle.

$vmConfigParams = @{
    VMName = "vm-spoke"
    VMSize = "Standard_DS4_v2"
    }
$vmConfig = New-AzVMConfig @vmConfigParams

Utilisez les commandes Set-AzVMOperatingSystem et Set-AzVMSourceImage pour créer le reste de la configuration de votre machine virtuelle. L’exemple suivant crée une machine virtuelle Ubuntu Server :

$osParams = @{
    VM = $vmConfig
    ComputerName = "vm-spoke"
    Credential = $cred
    }
$vmConfig = Set-AzVMOperatingSystem @osParams -Linux -DisablePasswordAuthentication

$imageParams = @{
    VM = $vmConfig
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
    }
$vmConfig = Set-AzVMSourceImage @imageParams

Utilisez la commande Add-AzVMNetworkInterface pour attacher à la machine virtuelle la carte réseau précédemment créée.

# Get the network interface object
$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    }
$nic = Get-AzNetworkInterface @nicParams

$vmConfigParams = @{
    VM = $vmConfig
    Id = $nic.Id
    }
$vmConfig = Add-AzVMNetworkInterface @vmConfigParams

Utilisez New-AzVM pour créer la machine virtuelle. La commande génère des clés SSH pour la machine virtuelle pour la connexion. Notez l’emplacement de la clé privée. La clé privée est nécessaire dans les étapes ultérieures pour la connexion à la machine virtuelle avec Azure Bastion.

$vmParams = @{
    VM = $vmConfig
    ResourceGroupName = "test-rg"
    Location = "westus"
    SshKeyName = "vm-spoke-key"
    }
New-AzVM @vmParams -GenerateSshKey

1. Dans la zone de recherche située en haut du portail, entrez IP publique. Sélectionnez Adresses IP publique dans les résultats de la recherche.

2. Sélectionnez public-ip-nat.

3. Notez la valeur de l’adresse IP. L’exemple utilisé dans cet article est 203.0.113.0.25.

Utilisez Get-AzPublicIpAddress pour obtenir l’adresse IP publique de la passerelle NAT.

# Get the public IP address of the NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'public-ip-nat'
}
$publicIpNat = Get-AzPublicIpAddress @publicIpNatParams
$publicIpNat.IpAddress

Lorsque vous avez terminé d’utiliser les ressources que vous avez créées, vous pouvez supprimer le groupe de ressources et toutes ses ressources.

1. Depuis le portail Azure, recherchez et sélectionnez Groupes de ressources.

2. Dans la page Groupes de ressources, sélectionnez le groupe de ressources test-rg.

3. Dans la page test-rg, sélectionnez Supprimer le groupe de ressources.

4. Dans Entrer le nom du groupe de ressources pour confirmer la suppression, entrez test-rg, puis sélectionnez Supprimer.

Utilisez Remove-AzResourceGroup pour supprimer le groupe de ressources.

# Remove resource group
$rgParams = @{
    Name = 'test-rg'
}
Remove-AzResourceGroup @rgParams