Compartilhar via


Tutorial: Integrar um gateway da NAT a um balanceador de carga público usando o portal do Azure

Neste tutorial, você aprende a integrar um gateway da NAT a um balanceador de carga público.

Por padrão, um Standard Azure Load Balancer é seguro. A conectividade de saída é definida explicitamente pela habilitação do SNAT (conversão de endereços de rede de origem) de saída. O SNAT é habilitado em uma regra de balanceamento de carga ou em regras de saída.

A integração do gateway da NAT substitui a necessidade de regras de saída para o SNAT de saída do pool de back-end.

Diagrama dos recursos do Azure criados no tutorial.

Neste tutorial, você aprenderá a:

  • Criar um gateway da NAT
  • Criar um Azure Load Balancer
  • Criar duas máquinas virtuais para o pool de back-end do Azure Load Balancer
  • Validar a conectividade de saída das máquinas virtuais no pool de back-end do balanceador de carga

Pré-requisitos

Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

Entrar no Azure

Entre no portal do Azure com sua conta do Azure.

Criar um gateway da NAT

Antes de implantar o recurso de Gateway da NAT e os outros recursos, um grupo de recursos é necessário para conter os recursos implantados. Nas etapas a seguir, você cria um grupo de recursos, um recurso de Gateway da NAT e um endereço IP público. Você pode usar um ou mais recursos de endereço IP público, prefixos IP público ou ambos.

Para obter informações sobre prefixos de IP públicos e um Gateway da NAT, consulte Gerenciar Gateway da NAT.

  1. Na caixa de pesquisa na parte superior do portal, insira Gateway da NAT. Selecione Gateways da NAT nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Em Criar gateway da NAT (conversão de endereços de rede) , insira ou selecione as seguintes informações na guia Básico:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura do Azure.
    Grupo de recursos Selecione Criar novo.
    Insira test-rg.
    Selecione OK.
    Detalhes da instância
    Nome do gateway da NAT Insira nat-gateway
    Região Selecione Leste dos EUA 2
    Zona de disponibilidade Selecione Sem Zona.
    Tempo limite ocioso do TCP (minutos) Mantenha o padrão de 4.

    Para obter mais informações sobre zonas de disponibilidade e Gateway da NAT, confira Gateway da NAT e zonas de disponibilidade.

  4. Selecione a guia IP de saída ou clique no botão Avançar: IP de saída na parte inferior da página.

  5. Na guia IP de saída, insira ou selecione as seguintes informações:

    Configuração Valor
    Endereços IP públicos Clique em Criar um endereço IP público.
    Em Nome, insira public-ip-nat.
    Selecione OK.
  6. Selecione a guia Examinar + criar ou clique no botão azul Examinar + criar na parte inferior da página.

  7. Selecione Criar.

Criar uma rede virtual e um bastion host

O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Azure Bastion.

  1. No portal do Azure, pesquise e selecione Redes virtuais.

  2. Na página Redes virtuais, selecione + Criar.

  3. Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome Insira vnet-1.
    Região Selecione (EUA) Leste dos EUA 2.

    Captura de tela da guia Básico de Criar rede virtual no portal do Azure.

  4. Selecione Avançar para prosseguir para a guia Segurança.

  5. Selecione Habilitar Azure Bastion na seção Azure Bastion da guia Segurança.

    O Azure Bastion usa seu navegador para se conectar a VMs em sua rede virtual por meio do secure shell (SSH) ou protocolo da área de trabalho remota (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações sobre o Azure Bastion, consulte Azure Bastion

    Observação

    Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.

  6. Insira ou selecione as informações a seguir em Azure Bastion.

    Configuração Valor
    Nome do host do Azure Bastion Insira bastion.
    Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
    Insira public-ip-bastion em Nome.
    Selecione
    .

    Captura de tela da habilitação do bastion host em Criar rede virtual no portal do Azure.

  7. Selecione Avançar para prosseguir para a guia Endereços IP.

  8. Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão.

  9. Em Editar sub-rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Finalidade da sub-rede Deixe o padrãoPadrão.
    Nome Insira sub-rede-1.
    IPv4
    Intervalo de endereços IPv4 Mantenha o padrão de 10.0.0.0/16.
    Endereço inicial Deixe o padrão de 10.0.0.0.
    Tamanho Deixe o padrão /24(256 endereços).
    Segurança
    Gateway da NAT Selecione nat-gateway.

    Captura de tela da renomeação e configuração da sub-rede padrão.

  10. Selecione Salvar.

  11. Selecione Examinar + criar na parte inferior da tela e, quando a validação for aprovada, selecione Criar.

Criar um balanceador de carga

Nesta seção, você cria um balanceador de carga com redundância de zona que faz o balanceamento da carga de máquinas virtuais. Com redundância de zona, uma ou mais zonas de disponibilidade podem falhar e o caminho de dados sobrevive, desde que uma zona da região permaneça íntegra.

Durante a criação do balanceador de carga, você configurará:

  • Endereço IP de front-end
  • Pool de back-end
  • Regras do balanceamento de carga de entrada
  1. Na caixa de pesquisa na parte superior do portal, insira Balanceador de carga. Selecione Balanceadores de carga nos resultados da pesquisa.

  2. Na página Balanceador de carga, clique em Criar.

  3. Na guia Informações Básicas da página Criar balanceador de carga, insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome Insira load-balancer
    Região Selecione (EUA) Leste dos EUA 2.
    SKU Deixe o padrão Standard.
    Type Selecione Público.
    Camada Deixe o padrão Regional.
  4. Selecione Avançar: Configuração de IP de front-end na parte inferior da página.

  5. Em Configuração de IP de front-end, selecione + Adicionar uma configuração de IP de front-end.

  6. Insira frontend em Nome.

  7. Selecione IPv4 ou IPv6 em Versão de IP.

    Observação

    Atualmente, não há suporte para IPv6 com Preferência de Roteamento ou Balanceamento de carga entre regiões (Camada Global).

  8. Selecione Endereço IP para o Tipo de IP.

    Observação

    Para obter mais informações sobre prefixos de IP, confira Prefixo de endereço IP público do Azure.

  9. Selecione Criar em Endereço IP público.

  10. Em Adicionar um endereço IP público, insira public-ip-load-balancer para Nome.

  11. Selecione Com redundância de zona em Zona de disponibilidade.

    Observação

    Em regiões com Zonas de Disponibilidade, você tem a opção de selecionar sem zona (opção padrão), uma zona específica ou com redundância de zona. A escolha dependerá de seus requisitos específicos de falha de domínio. Em regiões sem Zonas de Disponibilidade, esse campo não será exibido.
    Para obter informações sobre zonas de disponibilidade, consulte
    .

  12. Mantenha o valor padrão de Rede da Microsoft em Preferência de roteamento.

  13. Selecione OK.

  14. Selecione Adicionar.

  15. Escolha Avançar: Pools de back-end na parte inferior da página.

  16. Na guia Pools de back-end, selecione + Adicionar um pool de back-end.

  17. Insira backend-pool para Nome em Adicionar pool de back-end.

  18. Selecione vnet-1 (test-rg) em Rede virtual.

  19. Selecione NIC ou Endereço IP para Configuração do Pool de Back-end.

  20. Selecione Salvar.

  21. Selecione o botão Próximo: regras de entrada na parte inferior da página.

  22. Em Regra de balanceamento de carga, na guia Regras de entrada, selecione + Adicionar regra de balanceamento de carga.

  23. Em Adicionar regra de balanceamento de carga, insira ou selecione as seguintes informações:

    Configuração Valor
    Nome Insira http-rule
    Versão IP Selecione IPv4 ou IPv6, dependendo de seus requisitos.
    Endereço IP de front-end Selecione front-end.
    Pool de back-end Selecione backend-pool.
    Protocolo selecione TCP.
    Porta Insira 80.
    Porta de back-end Insira 80.
    Investigação de integridade Selecione Criar novo.
    Em Nome, insira health-probe.
    Selecione TCP em Protocolo.
    Mantenha o restante dos valores padrão e selecione
    .
    Persistência de sessão Selecione Nenhum.
    Tempo limite de ociosidade (minutos) Insira ou selecione 15.
    Redefinição de TCP Selecione Habilitado.
    IP flutuante Selecione Desabilitado.
    SNAT (conversão de endereços de rede de origem) de saída Mantenha o padrão de (Recomendado) Usar regras de saída para fornecer acesso à Internet aos membros do pool de back-end.
  24. Selecione Salvar.

  25. Selecione o botão azul Examinar + criar na parte inferior da página.

  26. Selecione Criar.

Criar máquinas virtuais

Nesta seção, você cria duas VMs (vm-1 e vm-2) em duas zonas diferentes (Zona 1 e Zona 2).

Essas VMs são adicionadas ao pool de back-end do balanceador de carga criado anteriormente.

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione + Criar e depois a máquina virtual do Azure.

  3. Em Criar uma máquina virtual, digite ou selecione os valores na guia Informações Básicas:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome da máquina virtual Insira vm-1.
    Região Selecione Leste dos EUA 2.
    Opções de disponibilidade Selecione Zona 1.
    Tipo de segurança Selecione Padrão.
    Imagem Selecione Ubuntu Server 22.04 LTS - x64 Gen2.
    Arquitetura de VMs; Mantenha o padrão x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Tipo de autenticação Selecione Senha.
    Nome de Usuário insira azureuser.
    Senha Digite uma senha.
    Confirmar senha Digitar novamente a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.
  4. Selecione a guia Rede ou selecione Avançar: Discos, em seguida, Avançar: Rede.

  5. Na guia Rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione a sub-rede-1(10.0.0.0/24)
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Avançado
    Configurar um grupo de segurança de rede Selecione Criar novo.
    Em Criar grupo de segurança de rede, insira nsg-1 no Nome.
    Em
    , selecione + Adicionar regra do balanceamento de carga.
    Em Serviço, selecione HTTP.
    Selecionar Adicionar
    Selecionar OK
    Balanceamento de carga
    Proteger esta máquina virtual com uma solução de balanceamento de carga existente? Marque a caixa de seleção.
    Configurações de balanceamento de carga
    Opções de balanceamento de carga Selecione Azure Load Balancer
    Selecionar um balanceador de carga Selecione load-balancer
    Selecionar um pool de back-end Selecione backend-pool
  6. Selecione Examinar + criar.

  7. Examine as configurações e selecione Criar.

  8. Siga as etapas anteriores para criar uma VM com os seguintes valores e todas as outras configurações iguais à da vm-1:

    Configuração VM 2
    Nome vm-2
    Zona de disponibilidade 2
    Grupo de segurança de rede Selecione o nsg-1 existente
    Opções de balanceamento de carga Selecione Azure Load Balancer
    Selecionar um balanceador de carga Selecione load-balancer
    Selecionar um pool de back-end Selecione backend-pool

Testar um gateway da NAT

Nesta seção, você testa um gateway da NAT. Primeiro, você descobre o IP público do gateway da NAT. Depois, você se conecta à máquina virtual de teste e verifica a conexão de saída por meio do gateway da NAT.

  1. Na caixa de pesquisa na parte superior do portal, insira IP público. Selecione Endereços IP públicos nos resultados da pesquisa.

  2. Selecione public-ip-nat.

  3. Anote o endereço IP público:

    Captura de tela do endereço IP público do gateway da NAT.

  4. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  5. Selecione vm-1.

  6. Na página Visão geral, selecione Conectar e selecione a guia Bastion.

  7. Selecione Usar Bastion.

  8. Insira o nome de usuário e a senha fornecidos durante a criação da VM. Selecione Conectar.

  9. No prompt de bash, digite o seguinte comando:

    curl ifconfig.me
    
  10. Verifique se o endereço IP retornado pelo comando corresponde ao endereço IP público do gateway da NAT.

    azureuser@vm-1:~$ curl ifconfig.me
    20.7.200.36
    
  11. Feche a conexão do Bastion com a vm-1.

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os recursos dele.

  1. No portal do Azure, procure por Grupos de recursos e selecione essa opção.

  2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

  3. Na página test-rg, selecione Excluir grupo de recursos .

  4. Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.

Próximas etapas

Para obter mais informações sobre o Gateway da NAT do Azure, consulte: