Zintegruj bramę NAT z usługą Azure Firewall w sieci typu piasta i szprychy dla łączności wychodzącej

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

Azure Cloud Shell

Na platformie Azure hostowane jest interaktywne środowisko wiersza poleceń Azure Cloud Shell, z którego można korzystać przez przeglądarkę. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.

Aby uruchomić środowisko Azure Cloud Shell:

Opcja	Przykład/łącze
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell.
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce.
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal.

Aby użyć usługi Azure Cloud Shell:

1. Uruchom usługę Cloud Shell.

2. Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.

3. Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając pozycję Ctrl+Shift+V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift+V w systemie macOS.

4. Wybierz Enter, aby uruchomić kod lub polecenie.

Jeśli zdecydujesz się zainstalować program PowerShell i korzystać z niego lokalnie, ten artykuł wymaga modułu Azure PowerShell w wersji 1.0.0 lub nowszej. Uruchom Get-Module -ListAvailable Az, aby znaleźć zainstalowaną wersję. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount, aby utworzyć połączenie z platformą Azure.

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź Grupa zasobów. Wybierz pozycję Grupy zasobów w wynikach wyszukiwania.

3. Wybierz + Utwórz.

4. Na karcie Podstawy tworzenia grupy zasobów wprowadź lub wybierz następujące informacje.

   Ustawienie	Wartość
   Subskrypcja	Wybierz swoją subskrypcję
   Grupa zasobów	test-rg
   Region (Region)	Zachodnie stany USA

5. Wybierz pozycję Przejrzyj i utwórz.

6. Wybierz pozycję Utwórz.

Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup. Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

Poniższy przykład tworzy grupę zasobów o nazwie test-rg w lokalizacji westus :

$rsg = @{
    Name = 'test-rg'
    Location = 'westus'
}
New-AzResourceGroup @rsg

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części witryny Azure Portal wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję Utwórz.

4. Wprowadź lub wybierz następujące informacje na karcie Podstawy tworzenia sieci wirtualnej.

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz test-rg lub grupę zasobów.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź wartość vnet-hub.
   Region (Region)	Wybierz swój region. W tym przykładzie użyto zachodnich stanów USA.

5. Wybierz kartę Adresy IP lub wybierz pozycję Dalej: Zabezpieczenia, a następnie Dalej: Adresy IP.

6. W obszarze Podsieci wybierz domyślną podsieć.

7. Wprowadź lub wybierz następujące informacje w obszarze Edytuj podsieć.

   Ustawienie	Wartość
   Cel podsieci	Pozostaw wartość domyślną.
   Nazwisko	Wprowadź subnet-1.

8. Pozostaw pozostałe ustawienia jako domyślne, a następnie wybierz pozycję Zapisz.

9. Wybierz pozycję + Dodaj podsieć.

10. W obszarze Dodawanie podsieci wprowadź lub wybierz następujące informacje.

    Ustawienie	Wartość
    Cel podsieci	Wybierz Azure Bastion.

11. Pozostaw pozostałe ustawienia jako domyślne, a następnie wybierz pozycję Dodaj.

12. Wybierz pozycję + Dodaj podsieć.

13. W obszarze Dodawanie podsieci wprowadź lub wybierz następujące informacje.

    Ustawienie	Wartość
    Cel podsieci	Wybierz pozycję Azure Firewall.

14. Pozostaw pozostałe ustawienia jako domyślne, a następnie wybierz pozycję Dodaj.

15. Wybierz Przegląd + utwórz, a następnie wybierz Utwórz.

Użyj New-AzVirtualNetwork, aby utworzyć wirtualną sieć koncentratora.

# Create hub virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-hub'
    AddressPrefix = '10.0.0.0/16'
}
$hubVnet = New-AzVirtualNetwork @vnetParams

Użyj polecenia Add-AzVirtualNetworkSubnetConfig , aby utworzyć podsieć dla usługi Azure Firewall i usługi Azure Bastion.

# Create default subnet
$subnetParams = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Firewall
$subnetParams = @{
    Name = 'AzureFirewallSubnet'
    AddressPrefix  = '10.0.1.64/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Bastion
$subnetParams = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix  = '10.0.1.0/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Użyj Set-AzVirtualNetwork, aby zaktualizować sieć wirtualną.

# Create the virtual network
$hubVnet | Set-AzVirtualNetwork

1. W polu wyszukiwania w górnej części witryny Azure Portal wprowadź wartość Bastion. Wybierz pozycję Bastions w wynikach wyszukiwania.

2. Wybierz pozycję Utwórz.

3. Wprowadź lub wybierz następujące informacje na karcie Podstawy tworzenia usługi Bastion.

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz test-rg lub grupę zasobów.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź bastion.
   Region (Region)	Wybierz swój region. W tym przykładzie użyto zachodnich stanów USA.
   Warstwa	Wybierz pozycję Deweloper.
   Sieć wirtualna	Wybierz pozycję vnet-1.
   Podsieć	Wybierz pozycję AzureBastionSubnet.

4. Wybierz Przegląd + utwórz, a następnie wybierz Utwórz.

Użyj polecenia New-AzPublicIpAddress , aby utworzyć publiczny adres IP dla usługi Azure Bastion.

# Create public IP for Azure Bastion
$publicIpBastionParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-bastion'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIpBastion = New-AzPublicIpAddress @publicIpBastionParams

Użyj New-AzBastion , aby utworzyć Azure Bastion.

# Create Azure Bastion
$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-hub"
    PublicIpAddressName = "public-ip-bastion"
    PublicIPAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams

1. W polu wyszukiwania w górnej części portalu wprowadź wartość Zapora. Wybierz pozycję Zapory w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. Na stronie Tworzenie zapory użyj poniższej tabeli, aby skonfigurować zaporę:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź zaporę.
   Region (Region)	Wybierz pozycję Zachodnie USA.
   Strefa dostępności	Zaakceptuj wartość domyślną Brak.
   SKU zapory ogniowej	Wybierz opcję Standardowa.
   Zarządzanie zaporą	Wybierz pozycję Użyj zasad zapory, aby zarządzać tą zaporą.
   Zasady zapory	Wybierz Dodaj nową. Nazwa: wprowadź firewall-policy. Region: wybierz West US. Warstwa zasad: Standard. Wybierz OK.
   Wybieranie sieci wirtualnej
   Sieć wirtualna	Wybierz Użyj istniejącej.
   Sieć wirtualna	Wybierz pozycję vnet-hub.
   Publiczny adres IP
   Publiczny adres IP	Wybierz pozycję Dodaj nową. Nazwa: wprowadź public-ip-firewall. SKU: Standard. Przypisanie: Statyczne. Strefa dostępności: strefowo nadmiarowa. Wybierz przycisk OK.

4. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

5. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

   Wdrożenie zapory trwa kilka minut.

6. Po zakończeniu wdrażania przejdź do grupy zasobów test-rg i wybierz zasób zapory sieciowej zapora sieciowa.

7. Zanotuj prywatne i publiczne adresy IP zapory. Użyjesz tych adresów później.

Użyj polecenia New-AzPublicIpAddress , aby utworzyć publiczny adres IP dla usługi Azure Firewall.

# Create public IP for Azure Firewall
$publicIpFirewallParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-firewall'
    AllocationMethod  = 'Static'
    Sku = 'Standard'
    Zone = 1, 2, 3
}
$publicIpFirewall = New-AzPublicIpAddress @publicIpFirewallParams

Użyj New-AzFirewallPolicy aby utworzyć zasady zapory.

# Create firewall policy
$firewallPolicyParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'firewall-policy'
}
$firewallPolicy = New-AzFirewallPolicy @firewallPolicyParams

Użyj polecenia New-AzFirewall, aby utworzyć Azure Firewall.

# Create Azure Firewall
    $firewallParams = @{
        ResourceGroupName = 'test-rg'
        Location = 'westus'
        Name = 'firewall'
        VirtualNetworkName = 'vnet-hub'
        PublicIpName = 'public-ip-firewall'
        FirewallPolicyId = $firewallPolicy.Id
    }
    $firewall = New-AzFirewall @firewallParams

1. W polu wyszukiwania w górnej części portalu wprowadź publiczny adres IP. Wybierz pozycję Publiczne adresy IP w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. Wprowadź następujące informacje w sekcji Tworzenie publicznego adresu IP.

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Region (Region)	Wybierz pozycję Zachodnie USA.
   Nazwisko	Wprowadź public-ip-nat.
   Wersja protokołu IP	Wybierz pozycję IPv4.
   SKU	Wybierz opcję Standardowa.
   Strefa dostępności	Wybierz opcję Strefowo nadmiarowa.
   Warstwa	Wybierz pozycję Regionalny.

4. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

5. W polu wyszukiwania w górnej części portalu wprowadź bramę translatora adresów sieciowych. Wybierz pozycję Bramy translatora adresów sieciowych w wynikach wyszukiwania.

6. Wybierz + Utwórz.

7. Wprowadź lub wybierz następujące informacje na karcie Podstawy bramy tworzenia translatora adresów sieciowych (NAT).

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa bramy translatora adresów sieciowych	Wprowadź ciąg nat-gateway.
   Region (Region)	Wybierz pozycję Zachodnie USA.
   SKU	Wybierz opcję Standardowa.
   Limit czasu bezczynności protokołu TCP (w minutach)	Pozostaw wartość domyślną 4.

8. Wybierz Dalej.

9. Na karcie Wychodzący adres IP wybierz pozycję + Dodaj publiczne adresy IP lub prefiksy.

10. W obszarze Dodawanie publicznych adresów IP lub prefiksów wybierz pozycję Publiczne adresy IP. Wybierz utworzony wcześniej publiczny adres IP public-ip-nat.

11. Wybierz Dalej.

12. Na karcie Sieć w obszarze Sieć wirtualna wybierz pozycję vnet-hub.

13. Pozostaw pole wyboru Domyślne dla wszystkich podsieci niezaznaczone.

14. W Wybierz określone podsieci wybierz pozycję AzureFirewallSubnet.

15. Wybierz Przegląd + utwórz, a następnie wybierz Utwórz.

Użyj New-AzPublicIpAddress, aby utworzyć strefowo nadmiarowy publiczny adres IP IPv4 dla bramy NAT.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

Użyj New-AzNatGateway, aby utworzyć zasób NAT gateway.

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'Standard'
    Location = 'westus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1
}
$natGateway = New-AzNatGateway @nat

Użyj Set-AzVirtualNetworkSubnetConfig, aby skojarzyć bramę translatora adresów sieciowych z podsiecią AzureFirewallSubnet.

# Get the hub virtual network
$vnetHub = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-hub'

# Associate NAT gateway with AzureFirewallSubnet
$subnetParams = @{
    VirtualNetwork = $vnetHub
    Name = 'AzureFirewallSubnet'
    AddressPrefix = '10.0.1.64/26'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnetParams

# Update the virtual network
$vnetHub | Set-AzVirtualNetwork

1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź vnet-spoke.
   Region (Region)	Wybierz pozycję Zachodnie USA.

4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .

5. Wybierz przycisk Dalej , aby przejść do karty Adresy IP.

6. Na karcie Adresy IP w przestrzeni adresowej IPv4 wybierz pozycję Usuń przestrzeń adresową , aby usunąć przestrzeń adresową, która jest wypełniana automatycznie.

7. Wybierz pozycję + Dodaj przestrzeń adresową IPv4.

8. W przestrzeni adresowej IPv4 wprowadź wartość 10.1.0.0. Pozostaw wartość domyślną /16 (65 536 adresów) w zaznaczeniu maski.

9. Wybierz pozycję + Dodaj podsieć.

10. W obszarze Dodaj podsieć wprowadź lub wybierz następujące informacje:

    Ustawienie	Wartość
    Cel podsieci	Pozostaw wartość domyślną Domyślna.
    Nazwisko	Wprowadź wartość subnet-private.
    Protokół IPv4
    Zakres adresów IPv4	Pozostaw wartość domyślną 10.1.0.0/16.
    Adres początkowy	Pozostaw wartość domyślną 10.1.0.0.
    Rozmiar	Pozostaw wartość domyślną /24(256 adresów).

11. Wybierz Dodaj.

12. Wybierz pozycję Przejrzyj i utwórz.

13. Wybierz pozycję Utwórz.

Użyj polecenia New-AzVirtualNetwork aby utworzyć sieć wirtualną typu 'spoke'.

# Create spoke virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-spoke'
    AddressPrefix = '10.1.0.0/16'
}
$spokeVnet = New-AzVirtualNetwork @vnetParams

Użyj polecenia Add-AzVirtualNetworkSubnetConfig , aby utworzyć podsieć dla sieci wirtualnej będącej szprychą.

# Create subnet in spoke virtual network
$subnetParams = @{
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    VirtualNetwork = $spokeVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Użyj Set-AzVirtualNetwork, aby zaktualizować sieć wirtualną odgałęzienia.

# Create the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

2. Wybierz pozycję vnet-hub.

3. Wybierz pozycję Komunikacja równorzędna w obszarze Ustawienia.

4. Wybierz + Dodaj.

5. Wprowadź lub wybierz następujące informacje w obszarze Dodawanie komunikacji równorzędnej:

   Ustawienie	Wartość
   Podsumowanie zdalnej sieci wirtualnej
   Nazwa łącza komunikacji równorzędnej	Wprowadź vnet-spoke-to-vnet-hub.
   Model wdrażania sieci wirtualnej	Pozostaw wartość domyślną usługi Resource Manager.
   Subskrypcja	Wybierz subskrypcję.
   Sieć wirtualna	Wybierz pozycję vnet-spoke (test-rg).
   Ustawienia zdalnej komunikacji równorzędnej sieci wirtualnej
   Zezwalaj "vnet-spoke" na dostęp do sieci wirtualnej koncentratora	Pozostaw wartość domyślną Wybrane.
   Zezwalaj "vnet-spoke" na odbieranie przekazywanego ruchu z "vnet-hub"	Zaznacz pole wyboru.
   Zezwalaj bramie lub serwerowi tras na "vnet-spoke" na przekazywanie ruchu do "vnet-hub"	Pozostaw wartość domyślną Niezaznaczone.
   Włącz opcję "vnet-spoke", aby użyć bramy zdalnej lub serwera tras "vnet-hub"	Pozostaw wartość domyślną Niezaznaczone.
   Podsumowanie lokalnej sieci wirtualnej
   Nazwa łącza komunikacji równorzędnej	Wprowadź vnet-hub-to-vnet-spoke.
   Ustawienia lokalnej komunikacji równorzędnej sieci wirtualnych
   Zezwalaj "vnet-hub" na dostęp do "vnet-spoke"	Pozostaw wartość domyślną Wybrane.
   Zezwalaj "vnet-hub" na odbieranie przekazywanego ruchu z "vnet-spoke"	Zaznacz pole wyboru.
   Zezwalaj bramie lub serwerowi tras w sieci wirtualnej na przekazywanie ruchu do "vnet-spoke"	Pozostaw wartość domyślną Niezaznaczone.
   Włącz opcję "vnet-hub", aby użyć zdalnej bramy lub serwera tras "vnet-spoke"	Pozostaw wartość domyślną Niezaznaczone.

6. Wybierz Dodaj.

7. Wybierz pozycję Odśwież i sprawdź, czy stan komunikacji równorzędnej to Połączono.

Użyj polecenia Add-AzVirtualNetworkPeering aby utworzyć peering sieciowy z hubu do spoke.

# Create peering from hub to spoke
$peeringParams = @{
    Name = 'vnet-hub-to-vnet-spoke'
    VirtualNetwork = $hubVnet
    RemoteVirtualNetworkId = $spokeVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Użyj polecenia Add-AzVirtualNetworkPeering, aby utworzyć peering z sieci spoke do hub.

# Create peering from spoke to hub
$peeringParams = @{
    Name = 'vnet-spoke-to-vnet-hub'
    VirtualNetwork = $spokeVnet
    RemoteVirtualNetworkId = $hubVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

1. W polu wyszukiwania w górnej części portalu wprowadź wartość Zapora. Wybierz pozycję Zapory w wynikach wyszukiwania.

2. Wybierz pozycję Zapora.

3. W obszarze Przeglądzapory zanotuj adres IP w polu Prywatny adres IP zapory. Adres IP w tym przykładzie to 10.0.1.68.

Użyj Get-AzFirewall, aby uzyskać prywatny adres IP zapory.

# Get the private IP address of the firewall
$firewallParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'firewall'
}
$firewall = Get-AzFirewall @firewallParams
$firewall.IpConfigurations[0].PrivateIpAddress

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.

2. Wybierz + Utwórz.

3. W obszarze Tworzenie tabeli tras wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Region (Region)	Wybierz pozycję Zachodnie USA.
   Nazwisko	Wprowadź ciąg route-table-spoke.
   Propagacja tras bramy	Wybierz opcję Nie.

4. Wybierz pozycję Przejrzyj i utwórz.

5. Wybierz pozycję Utwórz.

6. W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabela tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.

7. Wybierz pozycję route-table-spoke.

8. W obszarze Ustawienia wybierz pozycję Trasy.

9. Wybierz pozycję + Dodaj w trasach.

10. Wprowadź lub wybierz następujące informacje w obszarze Dodawanie trasy:

    Ustawienie	Wartość
    Nazwa trasy	Wprowadź ciąg route-to-hub.
    Typ docelowy	Wybierz pozycję Adresy IP.
    Docelowe adresy IP/zakresy CIDR	Wprowadź wartość 0.0.0.0/0.
    Typ następnego przeskoku	Wybierz pozycję Urządzenie wirtualne.
    Adres następnego przeskoku	Wprowadź wartość 10.0.1.68.

11. Wybierz Dodaj.

12. Wybierz pozycję Podsieci w obszarze Ustawienia.

13. Wybierz pozycję + Skojarz.

14. Wprowadź lub wybierz następujące informacje w obszarze Kojarzenie podsieci:

    Ustawienie	Wartość
    Sieć wirtualna	Wybierz pozycję vnet-spoke (test-rg).
    Podsieć	Wybierz pozycję Podsieć-private.

15. Wybierz przycisk OK.

Użyj polecenia cmdlet New-AzRouteTable, aby utworzyć tabelę tras.

# Create route table
$routeTableParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'route-table-spoke'
}
$routeTable = New-AzRouteTable @routeTableParams

Użyj polecenia Add-AzRouteConfig , aby utworzyć trasę w tabeli tras.

# Create route
$routeConfigParams = @{
    Name = 'route-to-hub'
    AddressPrefix = '0.0.0.0/0'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = $firewall.IpConfigurations[0].PrivateIpAddress
    RouteTable = $routeTable
}
Add-AzRouteConfig @routeConfigParams

Użyj Set-AzRouteTable, aby zaktualizować tabelę tras.

# Update the route table
$routeTable | Set-AzRouteTable

Użyj Set-AzVirtualNetworkSubnetConfig, aby skojarzyć tabelę tras z podsiecią sieci podporządkowanej.

# Associate route table with subnet
$subnetConfigParams = @{
    VirtualNetwork = $spokeVnet
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    RouteTable = $routeTable
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

Użyj Set-AzVirtualNetwork, aby zaktualizować sieć wirtualną odgałęzienia.

# Update the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. W polu wyszukiwania w górnej części portalu wprowadź wartość Zapora. Wybierz pozycję Zasady zapory w wynikach wyszukiwania.

2. Wybierz pozycję Firewall-policy (Zasady zapory).

3. Rozwiń węzeł Ustawienia , a następnie wybierz pozycję Reguły sieci.

4. Wybierz pozycję + Dodaj kolekcję reguł.

5. W obszarze Dodawanie kolekcji reguł wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Nazwisko	Wprowadź szprychę do Internetu.
   Typ kolekcji reguł	Wybierz pozycję Sieć.
   Priorytet	Wprowadź wartość 100.
   Akcja zbierania reguł	Zaznacz Zezwól.
   Grupa kolekcji reguł	Wybierz pozycję DefaultNetworkRuleCollectionGroup.
   Reguły
   Nazwisko	Wprowadź wartość allow-web.
   Typ źródła	Adres IP.
   Źródło	Wprowadź 10.1.0.0/24.
   Protokół	Wybierz pozycję TCP.
   Porty docelowe	Wprowadź wartość 80 443.
   Typ miejsca docelowego	Wybierz pozycję Adres IP.
   Element docelowy	Wejść*

6. Wybierz Dodaj.

Użyj polecenia Get-AzFirewallPolicy, aby uzyskać istniejącą politykę zapory.

# Get the existing firewall policy
$firewallPolicyParams = @{
    Name = 'firewall-policy'
    ResourceGroupName = 'test-rg'
}
$firewallPolicy = Get-AzFirewallPolicy @firewallPolicyParams

Użyj New-AzFirewallPolicyNetworkRule, aby utworzyć regułę sieci.

# Create a network rule for web traffic
$networkRuleParams = @{
    Name = 'allow-internet'
    SourceAddress = '10.1.0.0/24'
    Protocol = 'TCP'
    DestinationAddress = '*'
    DestinationPort = '*'
}
$networkRule = New-AzFirewallPolicyNetworkRule @networkRuleParams

Użyj New-AzFirewallPolicyFilterRuleCollection, aby utworzyć kolekcję reguł dla reguły sieciowej.

# Create a rule collection for the network rule
$ruleCollectionParams = @{
    Name = 'spoke-to-internet'
    Priority = 100
    Rule = $networkRule
    ActionType = 'Allow'
}
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection @ruleCollectionParams

Użyj polecenia New-AzFirewallPolicyRuleCollectionGroup, aby utworzyć grupę kolekcji reguł.

$newRuleCollectionGroupParams = @{
        Name = 'DefaultNetworkRuleCollectionGroup'
        Priority = 200
        FirewallPolicyObject = $firewallPolicy
        RuleCollection = $ruleCollection
    }
New-AzFirewallPolicyRuleCollectionGroup @newRuleCollectionGroupParams

1. W portalu wyszukaj i wybierz pozycję Maszyny wirtualne.

2. W obszarze Maszyny wirtualne wybierz pozycję + Utwórz, a następnie maszynę wirtualną platformy Azure.

3. Na karcie Podstawy tworzenia maszyny wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję test-rg.
   Szczegóły wystąpienia
   Nazwa maszyny wirtualnej	Wprowadź wartość vm-spoke.
   Region (Region)	Wybierz pozycję Zachodnie USA.
   Opcje dostępności	Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury.
   Typ zabezpieczeń	Pozostaw wartość domyślną standardu.
   obraz	Wybierz pozycję Ubuntu Server 24.04 LTS — x64 Gen2.
   Architektura maszyny wirtualnej	Pozostaw wartość domyślną x64.
   Rozmiar	Wybierz rozmiar.
   Konto administratora
   Typ uwierzytelniania	Wybierz opcję Klucz publiczny SSH.
   Nazwa użytkownika	Wprowadź azureuser.
   Źródło klucza publicznego SSH	Wybierz pozycję Generuj nową parę kluczy.
   Nazwa pary kluczy	Wprowadź vm-spoke-key.
   Reguły portów przychodzących
   Publiczne porty ruchu przychodzącego	Wybierz pozycję Brak.

4. Wybierz kartę Sieć w górnej części strony lub wybierz pozycję Dalej:Dyski, a następnie Pozycję Dalej:Sieć.

5. Wprowadź lub wybierz następujące informacje na karcie Sieć :

   Ustawienie	Wartość
   Interfejs sieciowy
   Sieć wirtualna	Wybierz pozycję vnet-spoke.
   Podsieć	Wybierz pozycję subnet-private (10.1.0.0/24).
   Publiczny adres IP	Wybierz pozycję Brak.
   Sieciowa grupa zabezpieczeń karty sieciowej	Wybierz opcję Zaawansowane.
   Konfigurowanie sieciowej grupy zabezpieczeń	Wybierz pozycjęUtwórz nowy. Wprowadź nazwę nsg-1 . Pozostaw wartości domyślne pozostałych i wybierz przycisk OK.

6. Pozostaw pozostałe ustawienia domyślne i wybierz pozycję Przejrzyj i utwórz.

7. Przejrzyj ustawienia i wybierz pozycję Utwórz.

8. Zostanie wyświetlone okno dialogowe Generuj nową parę kluczy . Wybierz przycisk Pobierz klucz prywatny i utwórz zasób.

Klucz prywatny jest pobierany na komputer lokalny. Klucz prywatny jest potrzebny w kolejnych krokach na potrzeby nawiązywania połączenia z maszyną wirtualną za pomocą usługi Azure Bastion. Nazwa pliku klucza prywatnego to nazwa wprowadzona w polu Nazwa pary kluczy . W tym przykładzie plik klucza prywatnego nosi nazwę ssh-key.

Przed przejściem do następnych kroków poczekaj na zakończenie wdrażania maszyny wirtualnej.

Użyj polecenia New-AzNetworkSecurityGroup, aby utworzyć grupę zabezpieczeń sieci.

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Name = "nsg-1"
    Location = "westus"
}
New-AzNetworkSecurityGroup @nsgParams

Użyj New-AzNetworkInterface, aby utworzyć interfejs sieciowy.

$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    SubnetId = (Get-AzVirtualNetwork -ResourceGroupName "test-rg" -Name "vnet-spoke").Subnets[0].Id
    NetworkSecurityGroupId = (Get-AzNetworkSecurityGroup -ResourceGroupName "test-rg" -Name "nsg-1").Id
    Location = "westus"
}
New-AzNetworkInterface @nicParams

Użyj Get-Credential, aby ustawić nazwę użytkownika i hasło dla maszyny wirtualnej i zapisać je w zmiennej $cred.

$cred = Get-Credential

Użyj New-AzVMConfig, aby zdefiniować maszynę wirtualną.

$vmConfigParams = @{
    VMName = "vm-spoke"
    VMSize = "Standard_DS4_v2"
    }
$vmConfig = New-AzVMConfig @vmConfigParams

Użyj polecenia Set-AzVMOperatingSystem i polecenia Set-AzVMSourceImage, aby utworzyć pozostałą część konfiguracji maszyny wirtualnej. Poniższy przykład tworzy maszynę wirtualną z systemem Ubuntu Server:

$osParams = @{
    VM = $vmConfig
    ComputerName = "vm-spoke"
    Credential = $cred
    }
$vmConfig = Set-AzVMOperatingSystem @osParams -Linux -DisablePasswordAuthentication

$imageParams = @{
    VM = $vmConfig
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
    }
$vmConfig = Set-AzVMSourceImage @imageParams

Użyj polecenia Add-AzVMNetworkInterface , aby dołączyć wcześniej utworzoną kartę sieciową do maszyny wirtualnej.

# Get the network interface object
$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    }
$nic = Get-AzNetworkInterface @nicParams

$vmConfigParams = @{
    VM = $vmConfig
    Id = $nic.Id
    }
$vmConfig = Add-AzVMNetworkInterface @vmConfigParams

Użyj New-AzVM, aby utworzyć maszynę wirtualną. Polecenie generuje klucze SSH dla maszyny wirtualnej na potrzeby logowania. Zanotuj lokalizację klucza prywatnego. Klucz prywatny jest potrzebny w kolejnych krokach na potrzeby nawiązywania połączenia z maszyną wirtualną za pomocą usługi Azure Bastion.

$vmParams = @{
    VM = $vmConfig
    ResourceGroupName = "test-rg"
    Location = "westus"
    SshKeyName = "vm-spoke-key"
    }
New-AzVM @vmParams -GenerateSshKey

1. W polu wyszukiwania w górnej części portalu wprowadź publiczny adres IP. Wybierz pozycję Publiczne adresy IP w wynikach wyszukiwania.

2. Wybierz pozycję public-ip-nat.

3. Zanotuj wartość w adresie IP. Przykład używany w tym artykule to 203.0.113.0.25.

Użyj polecenia Get-AzPublicIpAddress aby uzyskać publiczny adres IP bramy NAT.

# Get the public IP address of the NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'public-ip-nat'
}
$publicIpNat = Get-AzPublicIpAddress @publicIpNatParams
$publicIpNat.IpAddress

Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.

2. Na stronie Grupy zasobów wybierz grupę zasobów test-rg.

3. Na stronie test-rg wybierz pozycję Usuń grupę zasobów.

4. Wprowadź ciąg test-rg w polu Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.

Użyj polecenia Remove-AzResourceGroup , aby usunąć grupę zasobów.

# Remove resource group
$rgParams = @{
    Name = 'test-rg'
}
Remove-AzResourceGroup @rgParams