Skalierung der SNAT-Ports mit Azure NAT Gateway

Azure Firewall bietet 2.496 SNAT-Ports pro öffentlicher IP-Adresse, die pro VM-Skalierungsgruppeninstanz des Back-Ends konfiguriert sind (mindestens zwei Instanzen), und Sie können bis zu 250 öffentliche IP-Adressen zuordnen. Je nach Architektur und Datenverkehrsmustern benötigen Sie möglicherweise mehr als 1.248.000 verfügbare SNAT-Ports mit dieser Konfiguration. Wenn Sie z. B. damit große Azure Virtual Desktop-Bereitstellungen schützen, die in Microsoft 365-Apps integriert sind.

Eine der Herausforderungen bei der Nutzung einer großen Anzahl von öffentlichen IP-Adressen ist, wenn es nachgelagerte Anforderungen an die IP-Adressfilterung gibt. Azure Firewall wählt zufällig die öffentliche Quell-IP-Adresse aus, die Sie für eine Verbindung verwenden möchten, daher müssen Sie alle damit verbundenen öffentlichen IP-Adressen zulassen. Sogar wenn Sie Präfixe für öffentliche IP-Adressen verwenden und Sie 250 öffentliche IP-Adressen zuordnen müssen, um die Anforderungen an den ausgehenden SNAT-Port zu erfüllen, müssen Sie dennoch 16 Präfixe für öffentliche IP-Adressen erstellen und zulassen.

Die bessere Option zur Skalierung und dynamischen Zuweisung ausgehender SNAT-Ports ist die Verwendung eines Azure NAT Gateways. Es bietet 64.512 SNAT-Ports pro öffentlicher IP-Adresse und unterstützt bis zu 16 öffentliche IP-Adressen. Dadurch werden effektiv bis zu 1.032.192 ausgehende SNAT-Ports zur Verfügung gestellt. Azure NAT Gateway weist auch dynamisch SNAT-Ports auf Subnetzebene zu, sodass alle von den zugeordneten IP-Adressen bereitgestellten SNAT-Ports bei Bedarf verfügbar sind, um ausgehende Konnektivität bereitzustellen.

Sobald eine NAT-Gateway-Ressource mit einem Azure Firewall-Subnetz verbunden ist, wird für den gesamten ausgehenden Internetverkehr automatisch die öffentliche IP-Adresse des NAT-Gateways verwendet. Die Konfiguration von benutzerdefinierten Routen ist nicht erforderlich. Der Antwortdatenverkehr auf einen ausgehenden Datenstrom durchläuft ebenfalls das NAT-Gateway. Wenn mehrere IP-Adressen mit dem NAT-Gateway verbunden sind, wird die IP-Adresse zufällig ausgewählt. Es ist nicht möglich, anzugeben, welche Adresse verwendet werden soll.

Es gibt keine doppelte NAT mit dieser Architektur. Azure Firewall Instanzen senden den Datenverkehr mithilfe ihrer privaten IP-Adresse an das NAT-Gateway, anstatt die öffentliche IP-Adresse Azure Firewall.

Hinweis

Die Bereitstellung des NAT-Gateways mit einer zonenredundanten Firewall wird nicht als Bereitstellungsoption empfohlen, da das NAT-Gateway derzeit keine zonenbasierte redundante Bereitstellung unterstützt. Für die Verwendung des NAT-Gateways mit Azure Firewall ist eine zonenbasierte Firewallbereitstellung erforderlich.

Darüber hinaus wird die Azure NAT Gateway-Integration derzeit in Netzwerkarchitekturen für geschützte virtuelle Hubs (vWAN) nicht unterstützt. Sie müssen die Bereitstellung mithilfe einer Architektur für virtuelle Hubnetzwerke durchführen. Eine ausführliche Anleitung zur Integration von NAT-Gateway mit Azure Firewall in eine Hub-and-Spoke-Netzwerkarchitektur finden Sie im Tutorial zur Integration von NAT-Gateway und Azure Firewall. Weitere Informationen zu Azure Firewall-Architekturoptionen finden Sie unter Welche Optionen bietet die Azure Firewall Manager-Architektur?.

Zuordnen eines NAT-Gateways zu einem Azure Firewall-Subnetz: Azure PowerShell

Das nachfolgende Beispiel erstellt und verknüpft ein NAT-Gateway mit einem Azure Firewall-Subnetz mithilfe von Azure PowerShell.

# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'

# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard

# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork

Zuordnen eines NAT-Gateways zu einem Azure Firewall-Subnetz: Azure CLI

Das nachfolgende Beispiel erstellt und verknüpft ein NAT-Gateway mit einem Azure Firewall-Subnetz mithilfe von Azure CLI.

# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard

# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2

# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat

Nächste Schritte

• Weitere Informationen finden Sie unter Skalieren von Azure Firewall-SNAT-Ports mit NAT Gateway für große Workloads.
• Entwerfen virtueller Netzwerke mit NAT Gateway
• Integrieren eines NAT-Gateways mit Azure Firewall in ein Hub-and-Spoke-Netzwerk