Mettre à l’échelle les ports SNAT avec Azure NAT Gateway

Le Pare-feu Azure fournit 2 496 ports SNAT par adresse IP publique configurée par instance de groupe de machines virtuelles identiques back-end (au moins deux instances) et vous pouvez associer jusqu’à 250 adresses IP publiques. Selon votre architecture et vos modèles de trafic, vous pouvez avoir besoin de plus de 1 248 000 ports SNAT disponibles avec cette configuration. Par exemple, lorsque vous les utilisez pour protéger des déploiements d’Azure Virtual Desktop volumineux qui s’intègrent à Microsoft 365 Apps.

L’une des difficultés liés à l’utilisation d’un grand nombre d’IP publiques correspond au cas où il existe des exigences de filtrage des adresses IP en aval. Pare-feu Azure sélectionne de manière aléatoire l’IP publique source à utiliser pour une connexion. Vous devez donc autoriser toutes les IP publiques qui lui sont associées. Même si vous utilisez des préfixes d’IP publiques et que vous devez associer 250 IP publiques pour répondre à vos exigences en matière de ports SNAT sortants, vous devez toujours créer et autoriser 16 préfixes d’IP publiques.

Une meilleure option pour mettre à l’échelle et allouer de manière dynamique des ports SNAT sortants consiste à utiliser Azure NAT Gateway. Elle fournit 64 512 ports SNAT par adresse IP publique et prend en charge un maximum de 16 adresses IP publiques. Cela fournit effectivement jusqu’à 1 032 192 ports SNAT sortants. Azure NAT Gateway alloue également de manière dynamique des ports SNAT au niveau du sous-réseau. Tous les ports SNAT fournis par ses adresses IP associées sont ainsi disponibles à la demande pour fournir une connectivité sortante.

Lorsqu’une ressource de passerelle NAT est associée à un sous-réseau de Pare-feu Azure, tout le trafic Internet sortant utilise automatiquement l’IP publique de la passerelle NAT. Il n’est pas nécessaire de configurer des routes définies par l’utilisateur. Réponse du trafic à un flux sortant passant également à travers une passerelle NAT. Si plusieurs adresses IP sont associées à la passerelle NAT, l’adresse IP est sélectionnée de manière aléatoire. Il n’est pas possible de spécifier l’adresse à utiliser.

Il n’existe pas de double NAT avec cette architecture. Les instances de Pare-feu Azure envoient le trafic à la passerelle NAT à l’aide de leur adresse IP privée plutôt que de l’IP publique de Pare-feu Azure.

Remarque

Nous vous déconseillons l’option de déploiement d’une passerelle NAT avec un pare-feu redondant interzone, car la passerelle NAT ne prend pas en charge le déploiement zonal redondant pour le moment. Pour utiliser la passerelle NAT avec le Pare-feu Azure, un déploiement de pare-feu zonal est nécessaire.

De plus, l’intégration de Azure NAT Gateway n’est actuellement pas prise en charge dans les architectures réseau d’un hub virtuel sécurisé (vWAN). Vous devez procéder au déploiement en utilisant l’architecture d’un réseau virtuel hub. Pour obtenir des instructions détaillées sur l’intégration de la passerelle NAT avec Pare-feu Azure dans une architecture de réseau hub-and-spoke, consultez le tutoriel sur l’intégration de la passerelle NAT et du Pare-feu Azure. Pour plus d’informations sur les options d’architecture du Pare-feu Azure, consultez Quelles sont les options d’architecture d’Azure Firewall Manager ?

Associer une passerelle NAT à un sous-réseau de Pare-feu Azure - Azure PowerShell

L’exemple suivant crée et attache une passerelle NAT à un sous-réseau de Pare-feu Azure en utilisant Azure PowerShell.

# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'

# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard

# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork

Associer une passerelle NAT à un sous-réseau de Pare-feu Azure - Azure CLI

L’exemple suivant crée et attache une passerelle NAT à un sous-réseau de Pare-feu Azure en utilisant Azure CLI.

# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard

# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2

# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat

Étapes suivantes

• Pour plus d’informations, consultez Mettre à l’échelle Pare-feu Azure ports SNAT avec la passerelle NAT pour les charges de travail volumineuses.
• Concevoir des réseaux virtuels avec une passerelle NAT
• Intégrer la passerelle NAT à Pare-feu Azure dans un réseau hub-and-spoke