Integrar o gateway da NAT com o Firewall do Azure em uma rede hub e spoke para ter conectividade de saída

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

Azure Cloud Shell

O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que você pode usar por meio do navegador. Você pode usar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção	Exemplo/Link
Selecione Experimente no canto superior direito de um código ou bloco de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell.
Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador.
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure.

Para usar o Azure Cloud Shell:

1. Inicie o Cloud Shell.

2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.

3. Cole o código ou o comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

4. Pressione Enter para executar o código ou o comando.

Se você optar por instalar e usar o PowerShell localmente, este artigo exigirá o módulo do Azure PowerShell versão 1.0.0 ou posterior. Execute Get-Module -ListAvailable Az para localizar a versão instalada. Se você precisa atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Connect-AzAccount para criar uma conexão com o Azure.

1. Entre no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, insira o grupo de recursos. Selecione Grupos de recursos nos resultados da pesquisa.

3. Selecione + Criar.

4. Na guia Noções básicas de Criar um grupo de recursos, insira ou selecione as informações a seguir.

   Configuração	Valor
   Subscrição	Selecione sua assinatura
   Grupo de recursos	test-rg
   Região	Oeste dos EUA

5. Selecione Examinar + criar.

6. Selecione Criar.

Crie um grupo de recursos com New-AzResourceGroup. Um grupo de recursos do Azure é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.

O exemplo a seguir cria um grupo de recursos chamado test-rg na localização westus:

$rsg = @{
    Name = 'test-rg'
    Location = 'westus'
}
New-AzResourceGroup @rsg

1. Entre no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

3. Selecione Criar.

4. Insira ou selecione as seguintes informações na guia Informações básicas em Criar rede virtual.

   Configuração	Valor
   Detalhes do projeto
   Subscrição	Selecione sua assinatura.
   Grupo de recursos	Selecione test-rg ou seu grupo de recursos.
   Detalhes da instância
   Nome	Insira vnet-hub.
   Região	Selecione sua região. Este exemplo usa Oeste dos EUA.

5. Selecione a guia Endereços IP ou selecione Avançar: Segurança e, em seguida , Avançar: Endereços IP.

6. Em Sub-redes , selecione a sub-rede padrão .

7. Insira ou selecione as seguintes informações em Editar sub-rede.

   Configuração	Valor
   Finalidade da sub-rede	Deixar o padrão.
   Nome	Digite subnet-1.

8. Deixe o restante das configurações como padrão e selecione Salvar.

9. Selecione + Adicionar uma sub-rede.

10. Em Adicionar uma sub-rede , insira ou selecione as informações a seguir.

    Configuração	Valor
    Finalidade da sub-rede	Selecione Azure Bastion.

11. Deixe o restante das configurações como padrão e selecione Adicionar.

12. Selecione + Adicionar uma sub-rede.

13. Em Adicionar uma sub-rede , insira ou selecione as informações a seguir.

    Configuração	Valor
    Finalidade da sub-rede	Selecione o Firewall do Azure.

14. Deixe o restante das configurações como padrão e selecione Adicionar.

15. Selecione Examinar + criar e, em seguida, selecione Criar.

Use New-AzVirtualNetwork para criar a rede virtual do hub.

# Create hub virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-hub'
    AddressPrefix = '10.0.0.0/16'
}
$hubVnet = New-AzVirtualNetwork @vnetParams

Use Add-AzVirtualNetworkSubnetConfig para criar uma sub-rede para o Firewall do Azure e o Azure Bastion.

# Create default subnet
$subnetParams = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Firewall
$subnetParams = @{
    Name = 'AzureFirewallSubnet'
    AddressPrefix  = '10.0.1.64/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Bastion
$subnetParams = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix  = '10.0.1.0/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Use Set-AzVirtualNetwork para atualizar a rede virtual.

# Create the virtual network
$hubVnet | Set-AzVirtualNetwork

1. Na caixa de pesquisa na parte superior do portal do Azure, insira Bastion. Selecione Bastions nos resultados da pesquisa.

2. Selecione Criar.

3. Insira ou selecione as informações a seguir na guia Noções básicas de Criar um Bastion.

   Configuração	Valor
   Detalhes do projeto
   Subscrição	Selecione sua assinatura.
   Grupo de recursos	Selecione test-rg ou seu grupo de recursos.
   Detalhes da instância
   Nome	Insira bastion.
   Região	Selecione sua região. Este exemplo usa Oeste dos EUA.
   Camada	Selecione Desenvolvedor.
   Rede virtual	Selecione vnet-1.
   Sub-rede	Selecione AzureBastionSubnet.

4. Selecione Examinar + criar e, em seguida, selecione Criar.

Use New-AzPublicIpAddress para criar um IP público para o Azure Bastion.

# Create public IP for Azure Bastion
$publicIpBastionParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-bastion'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIpBastion = New-AzPublicIpAddress @publicIpBastionParams

Utilize New-AzBastion para criar o Azure Bastion.

# Create Azure Bastion
$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-hub"
    PublicIpAddressName = "public-ip-bastion"
    PublicIPAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams

1. Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Firewalls nos resultados da pesquisa.

2. Selecione + Criar.

3. Na página Criar um Firewall , use a tabela a seguir para configurar o firewall:

   Configuração	Valor
   Detalhes do projeto
   Subscrição	Selecione sua assinatura.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome	Insira firewall.
   Região	Selecione Oeste dos EUA.
   Zona de disponibilidade	Aceite o padrão None.
   SKU do Firewall	Selecione Padrão.
   Gerenciamento do firewall	Selecione Usar uma política de firewall para gerenciar este firewall.
   Política de firewall	Selecione Adicionar novo. Nome: insira a política de firewall. Região: Selecione Oeste dos EUA. Camada de política: Standard. Selecione OK.
   Escolha uma rede virtual
   Rede virtual	Selecione Usar existente.
   Rede virtual	Selecione vnet-hub.
   Endereço IP público
   Endereço IP público	Selecione Adicionar novo. Nome: insira public-ip-firewall. SKU: Standard. Atribuição: estático. Zona de disponibilidade: com redundância de zona. Selecione OK.

4. Aceite os outros valores padrão e selecione Examinar + criar.

5. Examine o resumo e selecione Criar para criar o firewall.

   O firewall demora alguns minutos para implantar.

6. Após a conclusão da implantação, vá para o grupo de recursos test-rg e selecione o recurso de firewall .

7. Anote os endereços IP públicos e privados do firewall. Você usará esses endereços mais tarde.

Use New-AzPublicIpAddress para criar um IP público para o Firewall do Azure.

# Create public IP for Azure Firewall
$publicIpFirewallParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-firewall'
    AllocationMethod  = 'Static'
    Sku = 'Standard'
    Zone = 1, 2, 3
}
$publicIpFirewall = New-AzPublicIpAddress @publicIpFirewallParams

Use New-AzFirewallPolicy para criar uma política de firewall.

# Create firewall policy
$firewallPolicyParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'firewall-policy'
}
$firewallPolicy = New-AzFirewallPolicy @firewallPolicyParams

Use o New-AzFirewall para criar o Firewall do Azure.

# Create Azure Firewall
    $firewallParams = @{
        ResourceGroupName = 'test-rg'
        Location = 'westus'
        Name = 'firewall'
        VirtualNetworkName = 'vnet-hub'
        PublicIpName = 'public-ip-firewall'
        FirewallPolicyId = $firewallPolicy.Id
    }
    $firewall = New-AzFirewall @firewallParams

1. Na caixa de pesquisa na parte superior do portal, insira Endereço IP Público. Selecione Endereços IP públicos nos resultados da pesquisa.

2. Selecione + Criar.

3. Insira ou selecione as informações a seguir em Criar endereço IP público.

   Configuração	Valor
   Subscrição	Selecione sua assinatura.
   Grupo de recursos	Selecione test-rg.
   Região	Selecione Oeste dos EUA.
   Nome	Insira public-ip-nat.
   Versão IP	Selecione IPv4.
   SKU	Selecione Padrão.
   Zona de disponibilidade	Selecione Com redundância de zona.
   Camada	Selecione Regional.

4. Selecione Examinar + criar e Criar.

5. Na caixa de pesquisa na parte superior do portal, insira Gateway da NAT. Selecione Gateways da NAT nos resultados da pesquisa.

6. Selecione + Criar.

7. Insira ou selecione as informações a seguir na guia Noções básicas do Criar gateway da NAT (conversão de endereços de rede).

   Configuração	Valor
   Detalhes do projeto
   Subscrição	Selecione sua assinatura.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome do gateway da NAT	Insira nat-gateway.
   Região	Selecione Oeste dos EUA.
   SKU	Selecione Padrão.
   Tempo limite ocioso do TCP (minutos)	Mantenha o padrão de 4.

8. Selecione Próximo.

9. Na guia IP de saída , selecione + Adicionar endereços IP públicos ou prefixos.

10. Em Adicionar endereços IP públicos ou prefixos, selecione endereços IP públicos. Selecione o endereço IP público que você criou anteriormente, public-ip-nat.

11. Selecione Próximo.

12. Na guia Rede , na rede virtual, selecione vnet-hub.

13. Deixe a caixa de seleção Definir como padrão para todas as sub-redes desmarcada.

14. Em Selecionar sub-redes específicas, selecione AzureFirewallSubnet.

15. Selecione Examinar + criar e, em seguida, selecione Criar.

Use New-AzPublicIpAddress para criar um endereço IP público IPv4 com redundância de zona para o gateway NAT.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

Use New-AzNatGateway para criar o recurso de gateway NAT.

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'Standard'
    Location = 'westus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1
}
$natGateway = New-AzNatGateway @nat

Use Set-AzVirtualNetworkSubnetConfig para fazer a associação do gateway NAT com o AzureFirewallSubnet.

# Get the hub virtual network
$vnetHub = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-hub'

# Associate NAT gateway with AzureFirewallSubnet
$subnetParams = @{
    VirtualNetwork = $vnetHub
    Name = 'AzureFirewallSubnet'
    AddressPrefix = '10.0.1.64/26'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnetParams

# Update the virtual network
$vnetHub | Set-AzVirtualNetwork

1. Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

2. Selecione + Criar.

3. Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:

   Configuração	Valor
   Detalhes do projeto
   Subscrição	Selecione sua assinatura.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome	Insira vnet-spoke.
   Região	Selecione Oeste dos EUA.

4. Selecione Avançar para prosseguir para a guia Segurança.

5. Selecione Avançar para prosseguir para a guia Endereços IP.

6. Na guia Endereços IP em Espaço de endereços IPv4, selecione Excluir espaço de endereços para excluir o espaço de endereços que é preenchido automaticamente.

7. Selecione + Adicionar espaço de endereços IPv4.

8. Em Espaço de endereço IPv4, insira 10.1.0.0. Mantenha o padrão de /16 (65.536 endereços) na seleção de máscara.

9. Selecione + Adicionar uma sub-rede.

10. Em Adicionar uma sub-rede, insira ou selecione as seguintes informações:

    Configuração	Valor
    Finalidade da sub-rede	Mantenha o padrão Padrão.
    Nome	Insira subnet-private.
    IPv4
    Intervalo de endereços IPv4	Mantenha o padrão de 10.1.0.0/16.
    Endereço inicial	Mantenha o padrão de 10.1.0.0.
    Tamanho	Mantenha o padrão de /24(256 endereços).

11. Selecione Adicionar.

12. Selecione Examinar + criar.

13. Selecione Criar.

Use New-AzVirtualNetwork para criar a rede virtual spoke.

# Create spoke virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-spoke'
    AddressPrefix = '10.1.0.0/16'
}
$spokeVnet = New-AzVirtualNetwork @vnetParams

Use Add-AzVirtualNetworkSubnetConfig para criar uma sub-rede para a rede virtual spoke.

# Create subnet in spoke virtual network
$subnetParams = @{
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    VirtualNetwork = $spokeVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Use Set-AzVirtualNetwork para atualizar a rede virtual spoke.

# Create the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

2. Selecione vnet-hub.

3. Selecione Emparelhamentos em Configurações.

4. Selecione + Adicionar.

5. Insira ou selecione as seguintes informações em Adicionar emparelhamento:

   Configuração	Valor
   Resumo da rede virtual remota
   Nome do link de emparelhamento	Insira vnet-spoke-to-vnet-hub.
   Modelo de implantação de rede virtual	Mantenha o padrão Gerenciador de recursos.
   Subscrição	Selecione sua assinatura.
   Rede virtual	Selecione vnet-spoke (test-rg).
   Configurações do emparelhamento da rede virtual remota
   Permitir que o "vnet-spoke" acesse o "vnet-hub"	Deixe o padrão Selecionado.
   Permitir que o "vnet-spoke" receba o tráfego encaminhado do "vnet-hub"	Marque a caixa de seleção.
   Permitir que o gateway ou o servidor de rota em "vnet-spoke" encaminhe o tráfego para "vnet-hub"	Mantenha o padrão de Não Selecionado.
   Permitir que "vnet-spoke" use o gateway remoto ou o servidor de rota de "vnet-hub"	Mantenha o padrão de Não Selecionado.
   Resumo da rede virtual local
   Nome do link de emparelhamento	Insira vnet-hub-to-vnet-spoke.
   Configurações de emparelhamento da rede virtual local
   Permitir que o 'vnet-hub' acesse 'vnet-spoke'	Deixe o padrão Selecionado.
   Permitir que o "vnet-hub" receba o tráfego encaminhado do "vnet-spoke"	Marque a caixa de seleção.
   Permitir que o gateway ou o servidor de rota em "vnet-hub" encaminhe o tráfego para "vnet-spoke"	Mantenha o padrão de Não Selecionado.
   Permitir que "vnet-hub" use o gateway remoto ou o servidor de rota de "vnet-spoke"	Mantenha o padrão de Não Selecionado.

6. Selecione Adicionar.

7. Selecione Atualizar e verifique se o Status do emparelhamento é Conectado.

Use Add-AzVirtualNetworkPeering para criar um emparelhamento do hub para o spoke.

# Create peering from hub to spoke
$peeringParams = @{
    Name = 'vnet-hub-to-vnet-spoke'
    VirtualNetwork = $hubVnet
    RemoteVirtualNetworkId = $spokeVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Use Add-AzVirtualNetworkPeering para criar um emparelhamento do spoke para o hub.

# Create peering from spoke to hub
$peeringParams = @{
    Name = 'vnet-spoke-to-vnet-hub'
    VirtualNetwork = $spokeVnet
    RemoteVirtualNetworkId = $hubVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

1. Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Firewalls nos resultados da pesquisa.

2. Selecione firewall.

3. Na Visão geral do firewall, anote o endereço IP no campo IP privado do firewall. O endereço IP neste exemplo é 10.0.1.68.

Use Get-AzFirewall para obter o endereço IP privado do firewall.

# Get the private IP address of the firewall
$firewallParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'firewall'
}
$firewall = Get-AzFirewall @firewallParams
$firewall.IpConfigurations[0].PrivateIpAddress

1. Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.

2. Selecione + Criar.

3. Em Criar Tabela de rotas, insira ou selecione as seguintes informações:

   Configuração	Valor
   Detalhes do projeto
   Subscrição	Selecione sua assinatura.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Região	Selecione Oeste dos EUA.
   Nome	Insira route-table-spoke.
   Propagar rotas de gateway	Selecione Não.

4. Selecione Examinar + criar.

5. Selecione Criar.

6. Na caixa de pesquisa na parte superior do portal, insira Tabela de rotas. Selecione Tabela de rotas nos resultados da pesquisa.

7. Selecione route-table-spoke.

8. Em Configurações, selecione Rotas.

9. Selecione + Adicionar em Rotas.

10. Insira ou selecione as seguintes informações em Adicionar rota:

    Configuração	Valor
    Nome da rota	Insira route-to-hub.
    Tipo de destino	Selecione Endereços IP.
    Intervalos de CIDR /endereço IP de destino	Insira 0.0.0.0/0.
    Tipo do próximo salto	Selecione Solução de virtualização.
    Endereço do próximo salto	Insira 10.0.1.68.

11. Selecione Adicionar.

12. Selecione Sub-redes em Configurações.

13. Selecione + Associar.

14. Insira ou selecione as seguintes informações em Associar sub-rede:

    Configuração	Valor
    Rede virtual	Selecione vnet-spoke (test-rg).
    Sub-rede	Selecione subnet-private.

15. Selecione OK.

Use New-AzRouteTable para criar a tabela de rotas.

# Create route table
$routeTableParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'route-table-spoke'
}
$routeTable = New-AzRouteTable @routeTableParams

Use Add-AzRouteConfig para criar uma rota na tabela de rotas.

# Create route
$routeConfigParams = @{
    Name = 'route-to-hub'
    AddressPrefix = '0.0.0.0/0'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = $firewall.IpConfigurations[0].PrivateIpAddress
    RouteTable = $routeTable
}
Add-AzRouteConfig @routeConfigParams

Use Set-AzRouteTable para atualizar a tabela de rotas.

# Update the route table
$routeTable | Set-AzRouteTable

Use Set-AzVirtualNetworkSubnetConfig para associar a tabela de rotas à sub-rede spoke.

# Associate route table with subnet
$subnetConfigParams = @{
    VirtualNetwork = $spokeVnet
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    RouteTable = $routeTable
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

Use Set-AzVirtualNetwork para atualizar a rede virtual spoke.

# Update the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Políticas de Firewall nos resultados da pesquisa.

2. Selecione firewall-policy.

3. Expanda Configurações e selecione Regras de rede.

4. Selecione + Adicionar uma coleção de regras.

5. Em Adicionar coleção de regras, insira ou selecione as seguintes informações:

   Configuração	Valor
   Nome	Insira spoke-to-internet.
   Tipo de coleção de regras	Selecionar Rede.
   Prioridade	Insira 100.
   Ação de coleção de regras	selecione Permitir.
   Grupo de coleções de regras	Selecione DefaultNetworkRuleCollectionGroup.
   Regras
   Nome	Insira allow-web.
   Tipo de fonte	Endereço IP.
   Fonte	Insira 10.1.0.0/24.
   Protocolo	selecione TCP.
   Portas de destino	Insira 80,443.
   Tipo de Destino	Selecione Endereço IP.
   Destino	Insira *

6. Selecione Adicionar.

Use Get-AzFirewallPolicy para obter a política de firewall existente.

# Get the existing firewall policy
$firewallPolicyParams = @{
    Name = 'firewall-policy'
    ResourceGroupName = 'test-rg'
}
$firewallPolicy = Get-AzFirewallPolicy @firewallPolicyParams

Use New-AzFirewallPolicyNetworkRule para criar uma regra de rede.

# Create a network rule for web traffic
$networkRuleParams = @{
    Name = 'allow-internet'
    SourceAddress = '10.1.0.0/24'
    Protocol = 'TCP'
    DestinationAddress = '*'
    DestinationPort = '*'
}
$networkRule = New-AzFirewallPolicyNetworkRule @networkRuleParams

Use New-AzFirewallPolicyFilterRuleCollection para criar uma coleção de regras para a regra de rede.

# Create a rule collection for the network rule
$ruleCollectionParams = @{
    Name = 'spoke-to-internet'
    Priority = 100
    Rule = $networkRule
    ActionType = 'Allow'
}
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection @ruleCollectionParams

Use New-AzFirewallPolicyRuleCollectionGroup para criar um grupo de coleção de regras.

$newRuleCollectionGroupParams = @{
        Name = 'DefaultNetworkRuleCollectionGroup'
        Priority = 200
        FirewallPolicyObject = $firewallPolicy
        RuleCollection = $ruleCollection
    }
New-AzFirewallPolicyRuleCollectionGroup @newRuleCollectionGroupParams

1. No portal, pesquise e selecione Máquinas virtuais.

2. Em Máquinas virtuais, selecione + Criar e, em seguida, Máquina virtual do Azure.

3. Na guia Noções básicas de Criar uma máquina virtual, insira ou selecione as seguintes informações:

   Configuração	Valor
   Detalhes do projeto
   Subscrição	Selecione sua assinatura.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome da máquina virtual	Insira vm-spoke.
   Região	Selecione Oeste dos EUA.
   Opções de disponibilidade	Selecione Nenhuma redundância de infraestrutura necessária.
   Tipo de segurança	Deixe o padrão de Standard.
   Imagem	Selecione Ubuntu Server 24.04 LTS - x64 Gen2.
   Arquitetura de VM	Mantenha o padrão x64.
   Tamanho	Selecione um tamanho.
   Conta de administrador
   Tipo de autenticação	Selecione Chave pública SSH.
   Nome de Usuário	Digite azureuser.
   Origem de chave pública SSH	Selecione Gerar novo par de chaves.
   Nome do par de chaves	Insira vm-spoke-key.
   Regras de porta de entrada
   Porta de entrada públicas	Selecione Nenhum.

4. Selecione a guia Rede na parte superior da página ou selecione Avançar: Discos e Avançar: Rede.

5. Insira ou selecione as seguintes informações na guia Rede:

   Configuração	Valor
   Interface de rede
   Rede virtual	Selecione vnet-spoke.
   Sub-rede	Selecione subnet-private (10.1.0.0/24).
   IP público	Selecione Nenhum.
   Grupo de segurança de rede da NIC	Selecione Avançado.
   Configurar um grupo de segurança de rede	Selecione Criar novo. Insira nsg-1 no nome. Deixe os demais valores como padrão e selecione OK.

6. Deixe o restante das configurações nos padrões e selecione Revisar + criar.

7. Examine as configurações e selecione Criar.

8. A caixa de diálogo Gerar novo par de chaves é exibida. Selecione Baixar chave privada e criar recurso.

A chave privada é baixada no computador local. A chave privada será necessária em etapas posteriores para conectar-se à máquina virtual com o Azure Bastion. O nome do arquivo de chave privada é o nome que você inseriu no campo nome do par chave . Neste exemplo, o arquivo de chave privada é nomeado ssh-key.

Aguarde até que a máquina virtual conclua a implantação antes de continuar com as próximas etapas.

Use New-AzNetworkSecurityGroup para criar o grupo de segurança de rede.

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Name = "nsg-1"
    Location = "westus"
}
New-AzNetworkSecurityGroup @nsgParams

Use New-AzNetworkInterface para criar a interface de rede.

$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    SubnetId = (Get-AzVirtualNetwork -ResourceGroupName "test-rg" -Name "vnet-spoke").Subnets[0].Id
    NetworkSecurityGroupId = (Get-AzNetworkSecurityGroup -ResourceGroupName "test-rg" -Name "nsg-1").Id
    Location = "westus"
}
New-AzNetworkInterface @nicParams

Use Get-Credential para definir um nome de usuário e uma senha para a VM e armazená-los na variável $cred.

$cred = Get-Credential

Use New-AzVMConfig para definir uma VM.

$vmConfigParams = @{
    VMName = "vm-spoke"
    VMSize = "Standard_DS4_v2"
    }
$vmConfig = New-AzVMConfig @vmConfigParams

Use Set-AzVMOperatingSystem e Set-AzVMSourceImage para criar o restante da configuração da VM. O exemplo a seguir cria uma máquina virtual do Servidor Ubuntu:

$osParams = @{
    VM = $vmConfig
    ComputerName = "vm-spoke"
    Credential = $cred
    }
$vmConfig = Set-AzVMOperatingSystem @osParams -Linux -DisablePasswordAuthentication

$imageParams = @{
    VM = $vmConfig
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
    }
$vmConfig = Set-AzVMSourceImage @imageParams

Use Add-AzVMNetworkInterface para anexar a NIC que você criou anteriormente à VM.

# Get the network interface object
$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    }
$nic = Get-AzNetworkInterface @nicParams

$vmConfigParams = @{
    VM = $vmConfig
    Id = $nic.Id
    }
$vmConfig = Add-AzVMNetworkInterface @vmConfigParams

Use New-AzVM para criar a VM. O comando gera chaves SSH para a máquina virtual para entrada. Anote a localização da chave privada. A chave privada será necessária em etapas posteriores para conectar-se à máquina virtual com o Azure Bastion.

$vmParams = @{
    VM = $vmConfig
    ResourceGroupName = "test-rg"
    Location = "westus"
    SshKeyName = "vm-spoke-key"
    }
New-AzVM @vmParams -GenerateSshKey

1. Na caixa de pesquisa na parte superior do portal, insira IP público. Selecione Endereços IP públicos nos resultados da pesquisa.

2. Selecione public-ip-nat.

3. Anote o valor no endereço IP. O exemplo usado neste artigo é 203.0.113.0.25.

Use Get-AzPublicIpAddress para obter o endereço IP público do gateway da NAT.

# Get the public IP address of the NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'public-ip-nat'
}
$publicIpNat = Get-AzPublicIpAddress @publicIpNatParams
$publicIpNat.IpAddress

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

1. No portal do Azure, procure por Grupos de recursos e selecione essa opção.

2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

3. Na página test-rg, selecione Excluir grupo de recursos .

4. Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.

Use Remove-AzResourceGroup para remover o grupo de recursos.

# Remove resource group
$rgParams = @{
    Name = 'test-rg'
}
Remove-AzResourceGroup @rgParams