Škálování portů SNAT pomocí služby Azure NAT Gateway

Azure Firewall poskytuje 2 496 portů SNAT na veřejnou IP adresu nakonfigurovanou pro instanci škálovací sady back-endových virtuálních počítačů (minimálně dvě instance) a můžete přidružit až 250 veřejných IP adres. V závislosti na architektuře a způsobu provozu možná budete potřebovat více než 1 248 000 dostupných portů SNAT s touto konfigurací. Když ho například použijete k ochraně velkých nasazení služby Azure Virtual Desktop, která se integrují s Microsoft 365 Apps.

Jedním z problémů při používání velkého počtu veřejných IP adres je, když existují požadavky na filtrování IP adres podřízené. Azure Firewall náhodně vybere zdrojovou veřejnou IP adresu, která se má použít pro připojení, takže je potřeba povolit všechny veřejné IP adresy, které jsou k němu přidružené. I když používáte předpony veřejných IP adres a potřebujete přidružit 250 veřejných IP adres, abyste splnili požadavky na odchozí port SNAT, musíte vytvořit a povolit 16 předpon veřejných IP adres.

Lepší možností škálování a dynamického přidělování odchozích portů SNAT je použití služby Azure NAT Gateway. Poskytuje 64 512 portů SNAT na veřejnou IP adresu a podporuje až 16 veřejných IP adres. To efektivně poskytuje až 1 032 192 odchozích portů SNAT. Azure NAT Gateway také dynamicky přiděluje porty SNAT na úrovni podsítě, takže všechny porty SNAT poskytované přidruženými IP adresami jsou k dispozici na vyžádání za účelem zajištění odchozího připojení.

Pokud je prostředek brány NAT přidružený k podsíti služby Azure Firewall, veškerý odchozí internetový provoz automaticky používá veřejnou IP adresu služby NAT Gateway. Není potřeba konfigurovat trasy definované uživatelem. Provoz odezvy na odchozí tok prochází také přes bránu NAT Gateway. Pokud je k bráně NAT přidruženo více IP adres, je IP adresa náhodně vybraná. Není možné určit, jakou adresu použít.

V této architektuře není žádný dvojitý překlad adres (NAT). Instance služby Azure Firewall odesílají provoz do služby NAT Gateway pomocí své privátní IP adresy místo veřejné IP adresy služby Azure Firewall.

Poznámka:

Nasazení služby NAT Gateway s zónově redundantní bránou firewall se nedoporučuje, protože brána NAT v tuto chvíli nepodporuje zónově redundantní nasazení. Aby bylo možné používat službu NAT Gateway se službou Azure Firewall, je potřeba nasadit zónovou bránu firewall.

Integrace služby Azure NAT Gateway se navíc v současné době nepodporuje v architekturách zabezpečených virtuálních rozbočovačů (vWAN). Musíte nasadit pomocí architektury virtuální sítě rozbočovače. Podrobné pokyny k integraci služby NAT Gateway se službou Azure Firewall v hvězdicové síťové architektuře najdete v kurzu integrace služby NAT Gateway a služby Azure Firewall. Další informace o možnostech architektury služby Azure Firewall najdete v tématu Jaké jsou možnosti architektury Azure Firewall Manageru?

Přidružení brány NAT k podsíti služby Azure Firewall – Azure PowerShell

Následující příklad vytvoří a připojí bránu NAT s podsítí brány Azure Firewall pomocí Azure PowerShellu.

# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'

# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard

# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork

Přidružení brány NAT k podsíti služby Azure Firewall – Azure CLI

Následující příklad vytvoří a připojí bránu NAT s podsítí brány Azure Firewall pomocí Azure CLI.

# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard

# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2

# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat

Další kroky

• Další informace najdete v tématu Škálování portů SNAT služby Azure Firewall pomocí služby NAT Gateway pro velké úlohy.
• Návrh virtuálních sítí se službou NAT Gateway
• Integrace služby NAT Gateway se službou Azure Firewall v hvězdicové síti