Tutorial: Integrar um gateway NAT com um balanceador de carga interno usando o portal do Azure

Neste tutorial, você aprenderá a integrar um gateway NAT a um balanceador de carga interno.

Por padrão, um Balanceador de Carga Padrão do Azure é seguro. A conectividade de saída é explicitamente definida habilitando o SNAT (Source Network Address Translation) de saída.

O SNAT está habilitado para um pool de back-end interno por meio de outro balanceador de carga público, roteamento de rede ou um IP público definido em uma máquina virtual.

A integração do gateway NAT substitui a necessidade de implantação de um balanceador de carga público, roteamento de rede ou um IP público definido em uma máquina virtual no pool de back-end.

Diagrama de recursos do Azure criados no tutorial.

Neste tutorial, irá aprender a:

  • Criar um Balanceador de Carga do Azure
  • Criar duas máquinas virtuais para o pool de back-end do Azure Load Balancer
  • Criar um gateway NAT
  • Validar a conectividade de saída das máquinas virtuais no pool de back-end do balanceador de carga

Pré-requisitos

Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

Inicie sessão no portal do Azure com a sua conta do Azure.

Criar um gateway NAT

Antes de implantar o recurso de gateway NAT e os outros recursos, um grupo de recursos é necessário para conter os recursos implantados. Nas etapas a seguir, você cria um grupo de recursos, um recurso de gateway NAT e um endereço IP público. Você pode usar um ou mais recursos de endereço IP público, prefixos IP públicos ou ambos.

Para obter informações sobre prefixos IP públicos e um gateway NAT, consulte Gerenciar gateway NAT.

  1. Na caixa de pesquisa na parte superior do portal, digite gateway NAT. Selecione Gateways NAT nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Em Criar gateway NAT (conversão de endereços de rede), insira ou selecione essas informações na guia Noções básicas :

    Definição Valor
    Detalhes do Projeto
    Subscrição Selecione a subscrição do Azure.
    Grupo de Recursos Selecione Criar novo.
    Digite test-rg.
    Selecione OK.
    Detalhes da instância
    Nome do gateway NAT Entrar no nat-gateway
    País/Região Selecione Leste dos EUA 2
    Zona de Disponibilidade Selecione Sem zona.
    Tempo limite de inatividade TCP (minutos) Deixe o padrão de 4.

    Para obter informações sobre zonas de disponibilidade e gateway NAT, consulte Gateway NAT e zonas de disponibilidade.

  4. Selecione a guia IP de saída ou selecione o botão Next: Outbound IP na parte inferior da página.

  5. Na guia IP de saída, insira ou selecione as seguintes informações:

    Definição Valor
    Endereços IP públicos Selecione Criar um novo endereço IP público.
    Em Nome, insira public-ip-nat.
    Selecione OK.
  6. Selecione o separador Rever + criar ou selecione o botão azul Rever + criar na parte inferior da página.

  7. Selecione Criar.

Criar uma rede virtual e um host bastion

O procedimento a seguir cria uma rede virtual com uma sub-rede de recursos, uma sub-rede do Azure Bastion e um host do Azure Bastion.

  1. No portal, pesquise e selecione Redes virtuais.

  2. Na página Redes virtuais, selecione + Criar.

  3. Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Nome Digite vnet-1.
    País/Região Selecione (EUA) Leste dos EUA 2.

    Captura de ecrã do separador Noções básicas de Criar rede virtual no portal do Azure.

  4. Selecione Avançar para prosseguir para a guia Segurança .

  5. Selecione Habilitar Bastião do Azure na seção Bastião do Azure da guia Segurança .

    O Azure Bastion usa seu navegador para se conectar a VMs em sua rede virtual por shell seguro (SSH) ou protocolo de área de trabalho remota (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações sobre o Azure Bastion, consulte Azure Bastion

    Nota

    O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.

  6. Insira ou selecione as seguintes informações no Azure Bastion:

    Definição Value
    Nome do host do Azure Bastion Entre no bastião.
    Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
    Digite public-ip-bastion em Name.
    Selecione OK.

    Captura de ecrã de ativar o anfitrião bastião em Criar rede virtual no portal do Azure.

  7. Selecione Avançar para prosseguir para a guia Endereços IP .

  8. Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão .

  9. Em Editar sub-rede, insira ou selecione as seguintes informações:

    Definição Value
    Finalidade da sub-rede Deixe o padrão Default.
    Nome Digite subnet-1.
    IPv4
    Intervalo de endereços IPv4 Deixe o padrão de 10.0.0.0/16.
    Endereço inicial Deixe o padrão de 10.0.0.0.
    Tamanho Deixe o padrão de /24(256 endereços).
    Segurança
    NAT Gateway Selecione nat-gateway.

    Captura de tela da renomeação e configuração padrão da sub-rede.

  10. Selecione Guardar.

  11. Selecione Rever + criar na parte inferior do ecrã e, quando a validação for aprovada, selecione Criar.

Criar um balanceador de carga

Nesta seção, você cria um balanceador de carga interno que balanceia a carga de máquinas virtuais. Um balanceador de carga interno é usado para balancear a carga do tráfego dentro de uma rede virtual com um endereço IP privado.

Durante a criação do balanceador de carga, você configura:

  • Endereço IP de front-end
  • Conjunto de back-end
  • Regras de balanceamento de carga de entrada
  1. Na caixa de pesquisa na parte superior do portal, digite Balanceador de carga. Selecione Balanceadores de carga nos resultados da pesquisa.

  2. Na página Balanceador de carga, selecione Criar.

  3. Na guia Noções básicas da página Criar balanceador de carga, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Nome Insira o balanceador de carga
    País/Região Selecione (EUA) Leste dos EUA 2.
    SKU Deixe o padrão padrão.
    Type Selecione Interno.
    Escalão de serviço Deixe o padrão Regional.
  4. Selecione Next: Frontend IP configuration na parte inferior da página.

  5. Em Configuração de IP frontend, selecione + Adicionar uma configuração IP frontend.

  6. Digite frontend em Nome.

  7. Selecione sub-rede-1 (10.0.0.0/24) em Sub-rede.

  8. Deixe o restante das opções nos valores padrão.

  9. Selecione Adicionar.

  10. Selecione Next: Backend pools na parte inferior da página.

  11. Na guia Pools de back-end, selecione + Adicionar um pool de back-end.

  12. Insira backend-pool para Name em Add backend pool.

  13. Selecione NIC ou Endereço IP para Configuração do Pool de Back-end.

  14. Selecione Guardar.

  15. Selecione o botão Next: Inbound rules na parte inferior da página.

  16. Em Regra de balanceamento de carga, na guia Regras de entrada, selecione + Adicionar uma regra de balanceamento de carga.

  17. Em Adicionar regra de balanceamento de carga, insira ou selecione as seguintes informações:

    Definição Valor
    Nome Insira a regra http
    Versão do IP Selecione IPv4.
    Endereço IP de front-end Selecione front-end.
    Conjunto de back-end Selecione backend-pool.
    Protocolo Selecione TCP.
    Porta Digite 80.
    Porta back-end Digite 80.
    Sonda de estado de funcionamento Selecione Criar novo.
    Em Nome, insira health-probe.
    Selecione TCP em Protocolo.
    Deixe o restante dos padrões e selecione OK.
    Persistência da sessão Selecione Nenhuma.
    Tempo limite de inatividade (minutos) Digite ou selecione 15.
    Redefinição de TCP Selecione Ativado.
    IP Flutuante selecione Desativado.
  18. Selecione Guardar.

  19. Selecione o botão azul Rever + criar na parte inferior da página.

  20. Selecione Criar.

Criar máquinas virtuais

Nesta seção, você cria duas VMs (vm-1 e vm-2) em duas zonas diferentes (Zona 1 e Zona 2).

Essas VMs são adicionadas ao pool de back-end do balanceador de carga criado anteriormente.

  1. Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione + Criar e, em seguida, Máquina virtual do Azure.

  3. Em Criar uma máquina virtual, digite ou selecione os valores na guia Noções básicas :

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Virtual machine name Digite vm-1.
    País/Região Selecione E.U.A. Leste 2.
    Opções de disponibilidade Selecione Zona 1.
    Tipo de segurança selecione Standard.
    Image Selecione Ubuntu Server 22.04 LTS - x64 Gen2.
    Arquitetura VM Deixe o padrão de x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Authentication type Selecione Senha.
    Username Digite azureuser.
    Palavra-passe Introduza uma palavra-passe.
    Confirme a palavra-passe Reintroduza a palavra-passe.
    Regras de porta de entrada
    Portas de entrada públicas Selecione Nenhuma.
  4. Selecione a guia Rede ou selecione Avançar: Discos e, em seguida, Avançar: Rede.

  5. Na guia Rede, insira ou selecione as seguintes informações:

    Definição Value
    Interface de Rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecionar sub-rede-1 (10.0.0.0/24)
    IP público Selecione Nenhuma.
    Grupo de segurança de rede NIC Selecione Avançado
    Configurar grupo de segurança de rede Selecione Criar novo.
    No grupo Criar segurança de rede, digite nsg-1 em Nome.
    Em Regras de entrada, selecione +Adicionar uma regra de entrada.
    Em Serviço, selecione HTTP.
    Selecione Adicionar
    Selecione OK
    Balanceamento de carga
    Colocar essa máquina virtual atrás de uma solução de balanceamento de carga existente? Selecione a caixa de verificação.
    Configurações de balanceamento de carga
    Opções de balanceamento de carga Selecione o balanceador de carga do Azure
    Selecione um balanceador de carga Selecionar balanceador de carga
    Selecione um pool de back-end Selecionar back-end-pool
  6. Selecione Rever + criar.

  7. Reveja as definições e, em seguida, selecione Criar.

  8. Siga as etapas anteriores para criar uma VM com os seguintes valores e todas as outras configurações iguais a vm-1:

    Definição VM 2
    Nome VM-2
    Availability zone 2
    Grupo de segurança de rede Selecione o nsg-1 existente
    Opções de balanceamento de carga Selecione o balanceador de carga do Azure
    Selecione um balanceador de carga Selecionar balanceador de carga
    Selecione um pool de back-end Selecionar back-end-pool

Testar gateway NAT

Nesta seção, você testa o gateway NAT. Primeiro, você descobre o IP público do gateway NAT. Em seguida, você se conecta à máquina virtual de teste e verifica a conexão de saída por meio do gateway NAT.

  1. Na caixa de pesquisa na parte superior do portal, introduza IP Público. Selecione Endereços IP públicos nos resultados da pesquisa.

  2. Selecione public-ip-nat.

  3. Anote o endereço IP público.

    Captura de tela do endereço IP público do gateway NAT.

  4. Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  5. Selecione vm-1.

  6. Na página Visão geral, selecione Conectar e, em seguida, selecione a guia Bastion.

  7. Selecione Usar bastião.

  8. Digite o nome de usuário e a senha inseridos durante a criação da máquina virtual. Selecione Ligar.

  9. No prompt bash, digite o seguinte comando.

    curl ifconfig.me
    
  10. Verifique se o endereço IP retornado pelo comando corresponde ao endereço IP público do gateway NAT.

    azureuser@vm-1:~$ curl ifconfig.me
    203.0.113.0.25
    
  11. Feche a conexão bastion para vm-1.

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

  1. No portal do Azure, procure e selecione Grupos de recursos.

  2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

  3. Na página test-rg, selecione Excluir grupo de recursos.

  4. Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.

Próximos passos

Para obter mais informações sobre o Azure NAT Gateway, consulte: