Megosztás a következőn keresztül:

Az Azure Firewall integrálása az Azure Standard Load Balancerrel

  • Cikk

Az Azure Firewallt integrálhatja egy virtuális hálózatba egy Azure Standard Load Balancerrel (nyilvános vagy belső).

Az előnyben részesített kialakítás egy belső terheléselosztó integrálása az Azure-tűzfallal, mivel ez egy egyszerűbb kialakítás. Ha már van üzembe helyezett nyilvános terheléselosztója, és meg akarja tartani, használhatja azt is. Tisztában kell lennie azonban egy aszimmetrikus útválasztási problémával, amely megakadályozhatja a nyilvános terheléselosztót alkalmazó forgatókönyv működését.

További információ az Azure Load Balancerről: Mi az Az Azure Load Balancer?

Nyilvános terheléselosztó

Nyilvános terheléselosztó esetén a terheléselosztó nyilvános előtérbeli IP-címmel van üzembe helyezve.

Aszimmetrikus útválasztás

Az aszimmetrikus útválasztás az a hely, ahol egy csomag egy elérési utat vezet a célhoz, és egy másik útvonalat választ a forráshoz való visszatéréskor. Ez a probléma akkor fordul elő, ha egy alhálózat alapértelmezett útvonala a tűzfal privát IP-címére megy, és nyilvános terheléselosztót használ. Ebben az esetben a bejövő terheléselosztó-forgalom a nyilvános IP-címén keresztül érkezik, de a visszatérési útvonal a tűzfal magánhálózati IP-címén halad át. Mivel a tűzfal állapotalapú, elveti a visszaküldött csomagot, mert a tűzfal nem tud egy ilyen létrehozott munkamenetről.

Az útválasztási probléma megoldása

Ha azure-tűzfalat helyez üzembe egy alhálózaton, az egyik lépés egy alapértelmezett útvonal létrehozása az alhálózat számára, amely a csomagokat az AzureFirewallSubneten található tűzfal privát IP-címén keresztül irányítja. További információ : Oktatóanyag: Az Azure Firewall üzembe helyezése és konfigurálása az Azure Portal használatával.

Amikor bevezeti a tűzfalat a terheléselosztó forgatókönyvébe, azt szeretné, hogy az internetes forgalom a tűzfal nyilvános IP-címén keresztül jöjjön be. Innen a tűzfal alkalmazza a tűzfalszabályokat, és a csomagokat a terheléselosztó nyilvános IP-címére irányítja. Itt jelentkezik a probléma. A csomagok a tűzfal nyilvános IP-címére érkeznek, de a privát IP-címen (az alapértelmezett útvonal használatával) visszatérnek a tűzfalhoz. A probléma elkerülése érdekében hozzon létre egy másik állomásútvonalat a tűzfal nyilvános IP-címéhez. A tűzfal nyilvános IP-címére érkező csomagok az interneten keresztül vannak irányítva. Így elkerülhető, hogy az alapértelmezett útvonal a tűzfal magánhálózati IP-címére kerüljön.

Az aszimmetrikus útválasztás diagramja.

Példa útválasztási táblázatra

Az alábbi útvonalak például a 203.0.113.136-os nyilvános IP-címen lévő tűzfalhoz, a 10.0.1.4-es magánhálózati IP-címhez tartoznak.

Képernyőkép az útvonaltábláról.

PÉLDA NAT-szabályra

A következő példában egy NAT-szabály lefordítja az RDP-forgalmat a tűzfalra a 203.0.113.136-os időpontban a terheléselosztónak a 203.0.113.220 időpontban:

Képernyőkép a NAT-szabályról.

Állapotminták

Ne feledje, hogy a terheléselosztó-készlet gazdagépeien futó webszolgáltatásnak kell futnia, ha TCP-állapotmintákat használ a 80-ás porthoz, vagy HTTP/HTTPS-mintavételeket.

Belső terheléselosztó

Belső terheléselosztó esetén a terheléselosztó privát előtérbeli IP-címmel van üzembe helyezve.

Ebben a forgatókönyvben nincs aszimmetrikus útválasztási probléma. A bejövő csomagok a tűzfal nyilvános IP-címére érkeznek, le lesznek fordítva a terheléselosztó privát IP-címére, majd ugyanazzal a visszatérési útvonallal térnek vissza a tűzfal privát IP-címére.

Így ezt a forgatókönyvet a nyilvános terheléselosztó forgatókönyvéhez hasonlóan helyezheti üzembe, de a tűzfal nyilvános IP-cím gazdagépútvonalának szükségessége nélkül.

A háttérkészlet virtuális gépei kimenő internetkapcsolattal rendelkezhetnek az Azure Firewallon keresztül. Konfiguráljon egy felhasználó által megadott útvonalat a virtuális gép alhálózatán a következő ugrásként a tűzfallal.

Extra biztonság

A terheléselosztási forgatókönyv biztonságának további javítása érdekében használhat hálózati biztonsági csoportokat (NSG-ket).

Létrehozhat például egy NSG-t a háttérbeli alhálózaton, ahol a terheléselosztásos virtuális gépek találhatók. Engedélyezze a tűzfal IP-címéről/portjáról érkező bejövő forgalmat.

A hálózati biztonsági csoport képernyőképe.

Az NSG-kkel kapcsolatos további információkért tekintse meg a biztonsági csoportokat.

Következő lépések