IP-Adressgruppen in Azure Firewall
IP-Adressgruppen ermöglichen Ihnen das Gruppieren und Verwalten von IP-Adressen für Azure Firewall-Regeln auf folgende Weise:
- Als Quelladresse in DNAT-Regeln
- Als Quell- oder Zieladresse in Netzwerkregeln
- Als Quelladresse in Anwendungsregeln
Eine IP-Gruppe kann eine einzelne IP-Adresse, mehrere IP-Adressen, einen oder mehrere IP-Adressbereiche oder Adressen und Bereiche in Kombination haben.
IP-Adressgruppen können in Azure Firewall-DNAT-, -Netzwerk- und -Anwendungsregeln für mehrere Firewalls regions- und abonnementübergreifend in Azure wiederverwendet werden. Gruppennamen müssen eindeutig sein. Sie können eine IP-Adressgruppe im Azure-Portal, in der Azure CLI oder der Rest-API konfigurieren. Eine Beispielvorlage wird bereitgestellt, um Ihnen den Einstieg zu erleichtern.
Beispielformat
Die folgenden Beispiele für das IPv4-Adressformat sind für die Verwendung in IP-Adressgruppen gültig:
- Einzelne Adresse: 10.0.0.0
- CIDR-Notation: 10.1.0.0/32
- Adressbereich: 10.2.0.0-10.2.0.31
Erstellen einer IP-Adressgruppe
Eine IP-Adressgruppe kann über das Azure-Portal, die Azure CLI oder die Rest-API erstellt werden. Weitere Informationen finden Sie unter Erstellen einer IP-Adressgruppe.
Durchsuchen von IP-Adressgruppen
Geben Sie in der Suchleiste des Azure-Portals IP-Adressgruppen ein, und wählen Sie sie aus. Sie können die Liste der IP-Adressgruppen anzeigen oder Hinzufügen auswählen, um eine neue IP-Adressgruppe zu erstellen.
Wählen Sie die gewünschte IP-Adressgruppe aus, um die Übersichtsseite zu öffnen. Sie können IP-Adressen oder IP-Adressgruppen bearbeiten, hinzufügen oder löschen.
Verwalten einer IP-Adressgruppe
Sie können in der IP-Adressgruppe alle IP-Adressen sowie die ihr zugeordneten Regeln oder Ressourcen anzeigen. Wenn Sie eine IP-Adressgruppe löschen möchten, müssen Sie sie zuerst von der Ressource trennen, von der sie gerade verwendet wird.
- Zum Anzeigen oder Bearbeiten der IP-Adressen wählen Sie im linken Bereich unter Einstellungen die Option IP-Adressen aus.
- Zum Hinzufügen von einer oder mehreren IP-Adresse(n) wählen Sie IP-Adressen hinzufügen aus. Daraufhin wird die Seite Drag or Browse (Ziehen oder durchsuchen) für einen Upload angezeigt, oder Sie können die Adresse manuell eingeben.
- Wählen Sie die Auslassungspunkte ( ... ) rechts aus, um IP-Adressen zu bearbeiten oder zu löschen. Wenn Sie mehrere IP-Adressen bearbeiten oder löschen möchten, wählen Sie die Kontrollkästchen und dann oben Bearbeiten oder Löschen aus.
- Schließlich können Sie die Datei im CSV-Dateiformat exportieren.
Hinweis
Wenn Sie in einer IP-Adressgruppe alle IP-Adressen löschen, während die Gruppe in einer Regel noch verwendet wird, wird diese Regel übersprungen.
Verwenden einer IP-Adressgruppe
Sie können jetzt beim Erstellen von Azure Firewall-DNAT-, -Anwendungs- oder -Netzwerkregeln IP-Adressgruppe als Quelltyp oder Zieltyp für die IP-Adresse(n) auswählen.
Parallele IP-Gruppenupdates (Vorschau)
Sie können jetzt mehrere IP-Gruppen gleichzeitig aktualisieren. Dies ist besonders nützlich für Administratoren, die Konfigurationsänderungen schneller und skalierter vornehmen möchten, insbesondere, wenn sie diese Änderungen mit einem Dev Ops-Ansatz (Vorlagen, ARM, CLI und Azure PowerShell) vornehmen möchten.
Mit diesem Support können Sie jetzt:
- Aktualisieren von 20 IP-Gruppen gleichzeitig
- Aktualisieren der Firewall- und Firewallrichtlinie während IP-Gruppenupdates
- Verwenden der gleichen IP-Gruppe in der übergeordneten und untergeordneten Richtlinie
- Aktualisieren mehrerer IP-Gruppen, auf die durch Firewallrichtlinie oder klassische Firewall verwiesen wird
- Empfangen neuer und verbesserter Fehlermeldungen
Fehler- und Erfolgreich-Status
Wenn z. B. bei einer IP-Gruppenaktualisierung aus 20 parallelen Updates ein Fehler auftritt, werden die anderen Updates fortgesetzt, und die fehlerhafte IP-Gruppe schlägt fehl. Wenn die IP-Gruppenaktualisierung fehlschlägt und die Firewall weiterhin fehlerfrei ist, verbleibt die Firewall im Status Erfolgreich. Um zu überprüfen, ob die IP-Gruppenaktualisierung fehlgeschlagen ist oder erfolgreich war, können Sie den Status der IP-Gruppenressource anzeigen.
Um parallele IP-Gruppenunterstützung zu aktivieren, können Sie das Feature entweder mit Azure PowerShell oder dem Azure-Portal registrieren.
Azure PowerShell
Verwenden Sie die folgenden Azure PowerShell-Befehle:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Es kann etwas dauern, bis dies wirksam wird. Nach abgeschlossener Registrierung des Features sollten Sie eine Aktualisierung von Azure Firewall in Betracht ziehen, damit die Änderung sofort wirksam wird.
Azure-Portal
- Navigieren Sie in der Azure-Portal zu "Vorschaufeatures".
- Suchen und registrieren Sie AzureFirewallParallelIPGroupUpdate.
- Stellen Sie sicher, dass das Feature aktiviert ist.
Regionale Verfügbarkeit
IP-Gruppen sind in allen öffentlichen Cloudregionen verfügbar.
Grenzwerte für IP-Adressen
Details zu IP-Gruppengrenzwerten finden Sie unter Grenzwerte, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste.
Zugehörige Azure PowerShell-Cmdlets
Die folgenden Azure PowerShell-Cmdlets können zum Erstellen und Verwalten von IP-Adressgruppen verwendet werden:
- New-AzIpGroup
- Remove-AzIPGroup
- Get-AzIpGroup
- Set-AzIpGroup
- New-AzFirewallNetworkRule
- New-AzFirewallApplicationRule
- New-AzFirewallNatRule
Nächste Schritte
- Erfahren Sie, wie Sie eine Azure Firewall bereitstellen und konfigurieren.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für