Escalado de puertos SNAT con Azure NAT Gateway

Azure Firewall proporciona 2496 puertos SNAT por IP pública configurada por instancia de conjunto de escalado de máquinas virtuales de back-end (mínimo de dos instancias) y puede asociar hasta 250 IP públicas. Según la arquitectura y los patrones de tráfico, es posible que necesite más de los 1 248 000 puertos SNAT disponibles con esta configuración. Por ejemplo, cuando se usa para proteger implementaciones de Azure Virtual Desktop de gran tamaño que se integran con Aplicaciones de Microsoft 365.

Una de las dificultades con el uso de un gran número de direcciones IP públicas es cuando hay requisitos de filtrado de direcciones IP de nivel inferior. Azure Firewall selecciona aleatoriamente la dirección IP pública de origen que se va a usar para una conexión, por lo que debe permitir todas las direcciones IP públicas asociadas a ella. Incluso si usa prefijos de dirección IP pública y necesita asociar 250 direcciones IP públicas para cumplir los requisitos de puerto SNAT salientes, debe crear y permitir 16 prefijos de dirección IP pública.

Una mejor opción para escalar y asignar dinámicamente los puertos SNAT salientes es usar Azure NAT Gateway. Proporciona 64 512 puertos SNAT por dirección IP pública y admite hasta 16 direcciones IP públicas. Esto proporciona de forma eficaz hasta 1 032 192 puertos SNAT de salida. Azure NAT Gateway también asigna dinámicamente puertos SNAT en un nivel de subred, por lo que todos los puertos SNAT proporcionados por sus direcciones IP asociadas están disponibles a petición para proporcionar conectividad saliente.

Cuando un recurso de puerta de enlace NAT está asociado a una subred de Azure Firewall, todo el tráfico saliente de Internet usa automáticamente la dirección IP pública de la puerta de enlace NAT. No es necesario configurar rutas definidas por el usuario. El tráfico de respuesta hacia un flujo de salida también pasa a través de la puerta de enlace de NAT. Si hay varias direcciones IP asociadas a la puerta de enlace NAT, la dirección IP se selecciona aleatoriamente. No es posible especificar qué dirección se va a usar.

No hay ninguna NAT doble con esta arquitectura. Las instancias de Azure Firewall envían el tráfico a la puerta de enlace NAT mediante su dirección IP privada en lugar de la dirección IP pública de Azure Firewall.

Nota:

La implementación de una puerta de enlace NAT con un firewall con redundancia de zona no es una opción de implementación recomendada, ya que la puerta de enlace NAT no admite la implementación con redundancia zonal en este momento. Para usar la puerta de enlace NAT con Azure Firewall, se requiere una implementación de Firewall zonal.

Además, la integración de Azure NAT Gateway no se admite actualmente en arquitecturas de red de centro virtual protegido (vWAN). La implementación se debe realizar mediante una arquitectura de red virtual de centro. Para obtener instrucciones detalladas sobre la integración de NAT Gateway con Azure Firewall en una arquitectura de red en estrella tipo hub-and-spoke, consulte el tutorial de integración de Azure Firewall y NAT Gateway. Para más información sobre las opciones de la arquitectura de Azure Firewall, consulte Opciones de arquitectura de Azure Firewall Manager.

Asociación de la puerta de enlace NAT con una subred de Azure Firewall: Azure PowerShell

En el ejemplo siguiente se crea una puerta de enlace NAT y se asocia con una subred de Azure Firewall mediante Azure PowerShell.

# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'

# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard

# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork

Asociación de la puerta de enlace NAT con una subred de Azure Firewall: CLI de Azure

En el ejemplo siguiente se crea una puerta de enlace NAT y se asocia con una subred de Azure Firewall mediante la CLI de Azure.

# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard

# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2

# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat

Pasos siguientes

• Para obtener más información, consulte Escalado de puertos SNAT de Azure Firewall con NAT Gateway para cargas de trabajo de gran tamaño.
• Diseño de redes virtuales con una puerta de enlace NAT
• Integración de NAT Gateway con Azure Firewall en una red en estrella tipo hub-and-spoke