توسيع منافذ ترجمة عناوين شبكة المصدر (SNAT) مع بوابة ترجمة عنوان شبكة Azure

يوفر جدار حماية Azure 2496 منفذ SNAT لكل عنوان IP عام تم تكوينه لكل مثيل مجموعة مقياس جهاز ظاهري للواجهة الخلفية (الحد الأدنى من مثيلين)، ويمكنك إقران ما يصل إلى 250 عنوان IP عام. اعتمادًا على البنية وأنماط نسبة استخدام الشبكة لديك، قد تحتاج إلى أكثر من 1,248,000 منفذ SNAT متاح مع هذا التكوين. على سبيل المثال، عند استخدامه لحماية عمليات توزيع Azure Virtual Desktop الكبيرة التي تتكامل مع تطبيقات Microsoft 365.

أحد التحديات مع استخدام عدد كبير من عناوين IP العامة هو عندما تكون هناك متطلبات تصفية عنوان IP المتلقين للمعلومات. يقوم جدار حماية Azure بتحديد عنوان IP العمومي للمصدر لاستخدامه للاتصال، لذا يجب السماح لجميع عناوين IP العامة المقترنة به. حتى إذا كنت تستخدم بادئات عناوين IP العامة، وكنت بحاجة إلى إقران 250 عنوان IP عاماً لتلبية متطلبات منفذ SNAT الصادرة، فإنك لا تزال بحاجة إلى إنشاء 16 بادئة عنوان IP عام والسماح بها.

الخيار الأفضل لتوسيع نطاق منافذ SNAT الصادرة وتخصيصها ديناميكيا هو استخدام بوابة Azure NAT. يوفر 64512 منفذ SNAT لكل عنوان IP عام ويدعم ما يصل إلى 16 عنوان IP عام. يوفر هذا بشكل فعال ما يصل إلى 1,032,192 منفذ SNAT الصادر. تخصص بوابة Azure NAT أيضا منافذ SNAT ديناميكيا على مستوى الشبكة الفرعية، لذلك تتوفر جميع منافذ SNAT التي توفرها عناوين IP المقترنة بها عند الطلب لتوفير اتصال صادر.

عند اقتران مورد بوابة NAT مع شبكة فرعية لجدار حماية Azure، تقوم كل حركة مرور إنترنت صادرة تلقائياً باستخدام عنوان IP العام لبوابة NAT. ليست هناك حاجة لتكوين مسارات محددة بواسطة المستخدم. تمر نسبة استخدام الشبكة للاستجابة إلى تدفق صادر أيضا عبر بوابة NAT. إذا كانت توجد عدة عناوين IP مرتبطة ببوابة NAT، فسيتم تحديد عنوان IP بشكل عشوائي. لا يمكن تحديد العنوان الذي يجب استخدامه.

لا يوجد NAT مزدوج مع هذه البنية. تُرسل مثيلات جدار حماية Azure حركة المرور إلى بوابة NAT باستخدام عنوان IP الخاص بها بدلاً من عنوان IP العام لجدار حماية Azure.

إشعار

لا يوصى بنشر بوابة NAT باستخدام جدار حماية متكرر للمنطقة، حيث لا تدعم بوابة NAT النشر المتكرر في المنطقة في هذا الوقت. لاستخدام بوابة NAT مع Azure Firewall، يلزم توزيع جدار الحماية النطاقي.

بالإضافة إلى ذلك، تكامل بوابة Azure NAT غير مدعوم حاليا في بنيات شبكة المركز الظاهري الآمن (vWAN). يجب أن تقوم بالتوزيع باستخدام بنية شبكة ظاهرية للمحور. للحصول على إرشادات مفصلة حول دمج بوابة NAT مع Azure Firewall في بنية شبكة محورية ومركزية، راجع بوابة NAT والبرنامج التعليمي لتكامل Azure Firewall. لمزيد من المعلومات بشأن خيارات بنية Azure Firewall، راجع ما خيارات بنية Azure Firewall Manager؟.

إقران بوابة NAT بشبكة فرعية لجدار حماية Azure Firewall - Azure PowerShell

ينشئ المثال التالي ويربط بوابة NAT مع شبكة فرعية لجدار حماية Azure باستخدام Azure PowerShell.

# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'

# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard

# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork

إقران بوابة NAT بشبكة فرعية لجدار حماية Azure Firewall - Azure CLI

ينشئ المثال التالي ويربط بوابة NAT مع شبكة فرعية لجدار حماية Azure باستخدام Azure CLI.

# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard

# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2

# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat

الخطوات التالية

• لمزيد من المعلومات، راجع تغيير حجم منافذ SNAT لجدار حماية Azure باستخدام بوابة NAT لأحمال العمل الكبيرة.
• تصميم الشبكات الظاهرية باستخدام بوابة NAT
• دمج بوابة NAT مع جدار حماية Azure في شبكة مركزية وشبكة محورية