Azure Firewall üzembe helyezése több nyilvános IP-címmel az Azure PowerShell használatával
Ez a funkció a következő forgatókönyveket teszi lehetővé:
- DNAT – Több szabványos portpéldányt is lefordíthat a háttérkiszolgálókra. Ha például két nyilvános IP-címmel rendelkezik, akkor mindkét IP-címhez lefordíthatja a 3389-es (RDP) TCP-portot.
- SNAT – További portok érhetők el a kimenő SNAT-kapcsolatokhoz, ami csökkenti az SNAT-portok kimerülésének lehetőségét. Az Azure Firewall véletlenszerűen kiválasztja a kapcsolathoz használandó első nyilvános IP-címet, és kiválaszt egy másik nyilvános IP-címet, miután az első IP-cím portjai elfogytak. Ha a hálózaton bármilyen lefelé irányuló szűrés van érvényben, engedélyeznie kell a tűzfalhoz társított összes nyilvános IP-címet. A konfiguráció egyszerűsítése érdekében fontolja meg egy nyilvános IP-címelőtag használatát.
Az Azure Firewall több nyilvános IP-címmel való üzembe helyezése az Azure Portallal, az Azure PowerShell-lel, az Azure CLI-vel, a REST-tel és sablonokkal lehetséges.
Az Azure Firewall legfeljebb 250 nyilvános IP-címmel telepíthető, de a DNST-célszabályok is beleszámítanak a 250-höz.
Nyilvános IP-címek + DNST célszabály = legfeljebb 250.
Feljegyzés
A nagy forgalmú és átviteli sebességgel rendelkező helyzetekben ajánlott NAT-átjárót használni a kimenő kapcsolat biztosításához. Az SNAT-portok dinamikusan vannak lefoglalva a NAT Gatewayhez társított összes nyilvános IP-cím között. További információ: NAT Gateway integrálása az Azure Firewalllal.
Az alábbi Azure PowerShell-példák bemutatják, hogyan konfigurálhatja, adhat hozzá és távolíthat el nyilvános IP-címeket az Azure Firewallhoz.
Fontos
Az első ipConfiguration nem távolítható el az Azure Firewall nyilvános IP-címkonfigurációs oldaláról. Ha módosítani szeretné az IP-címet, használhatja az Azure PowerShellt.
Tűzfal létrehozása két vagy több nyilvános IP-címmel
Ez a példa létrehoz egy tűzfalat, amely két nyilvános IP-címmel csatlakozik a virtuális hálózathoz.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Nyilvános IP-cím hozzáadása meglévő tűzfalhoz
Ebben a példában az azFwPublicIp1 nyilvános IP-cím a tűzfalhoz van csatolva.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Nyilvános IP-cím eltávolítása meglévő tűzfalról
Ebben a példában az azFwPublicIp1 nyilvános IP-cím le van választva a tűzfalról.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall