SNAT-portok méretezése az Azure NAT Gateway használatával

Az Azure Firewall 2496 SNAT portot biztosít a háttérbeli virtuálisgép-méretezési csoportpéldányonként konfigurált nyilvános IP-címenként (legalább két példány), és legfeljebb 250 nyilvános IP-címet társíthat. Az architektúrától és a forgalmi mintáktól függően előfordulhat, hogy az 1 248 000 elérhető SNAT-portnál többre van szüksége ezzel a konfigurációval. Ha például a Microsoft 365-alkalmazások integrálható nagyméretű Azure Virtual Desktop-környezetek védelmére használja.

A nagy számú nyilvános IP-cím használatának egyik kihívása az, ha vannak alsóbb rétegbeli IP-címek szűrési követelményei. Az Azure Firewall véletlenszerűen választja ki a kapcsolathoz használandó nyilvános forrás IP-címet, ezért engedélyeznie kell a hozzá társított összes nyilvános IP-címet. Még ha nyilvános IP-címelőtagokat is használ, és 250 nyilvános IP-címet kell társítania a kimenő SNAT-portkövetelmények teljesítéséhez, továbbra is létre kell hoznia és engedélyeznie kell 16 nyilvános IP-címelőtagot.

A kimenő SNAT-portok skálázására és dinamikus lefoglalására jobb megoldás az Azure NAT Gateway használata. Nyilvános IP-címenként 64 512 SNAT-portot biztosít, és legfeljebb 16 nyilvános IP-címet támogat. Ez gyakorlatilag 1 032 192 kimenő SNAT-portot biztosít. Az Azure NAT Gateway emellett alhálózati szinten is dinamikusan lefoglalja az SNAT-portokat , így a társított IP-címek által biztosított összes SNAT-port igény szerint elérhető a kimenő kapcsolat biztosításához.

Ha egy NAT-átjáró-erőforrás egy Azure Firewall-alhálózathoz van társítva, az összes kimenő internetes forgalom automatikusan a NAT-átjáró nyilvános IP-címét használja. Nincs szükség felhasználó által definiált útvonalak konfigurálására. A kimenő forgalom válaszforgalma a NAT-átjárón is áthalad. Ha több IP-cím is van társítva a NAT-átjáróhoz, a rendszer véletlenszerűen választja ki az IP-címet. Nem lehet megadni a használni kívánt címet.

Ezzel az architektúrával nincs dupla NAT. Az Azure Firewall-példányok az Azure Firewall nyilvános IP-címe helyett a privát IP-címükkel küldik el a forgalmat a NAT-átjáróba.

Megjegyzés:

A NAT-átjáró zónaredundáns tűzfallal való üzembe helyezése nem ajánlott, mivel a NAT-átjáró jelenleg nem támogatja a zónaredundáns üzembe helyezést. Ahhoz, hogy NAT-átjárót használhasson az Azure Firewalllal, egy zónaszintű tűzfal üzembe helyezésére van szükség.

Emellett az Azure NAT Gateway integrációja jelenleg nem támogatott a biztonságos virtuális központ hálózati (vWAN) architektúrákban. Központi virtuális hálózati architektúrával kell üzembe helyeznie. A NAT-átjáró és az Azure Firewall központi és küllős hálózati architektúrában való integrálásával kapcsolatos részletes útmutatásért tekintse meg a NAT-átjáró és az Azure Firewall integrációs oktatóanyagát. További információ az Azure Firewall architektúrabeállításairól: Mik az Azure Firewall Manager architektúrabeállításai?

NAT-átjáró társítása Azure Firewall-alhálózattal – Azure PowerShell

Az alábbi példa létrehoz és csatol egy NAT-átjárót egy Azure Firewall-alhálózattal az Azure PowerShell használatával.

# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'

# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard

# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork

NAT-átjáró társítása Azure Firewall-alhálózattal – Azure CLI

Az alábbi példa létrehoz és csatol egy NAT-átjárót egy Azure Firewall-alhálózattal az Azure CLI használatával.

# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard

# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2

# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat

Következő lépések

• További információ: Azure Firewall SNAT-portok méretezése NAT Gateway használatával a nagy számítási feladatokhoz.
• Design virtual networks with NAT gateway
• NAT-átjáró integrálása az Azure Firewalllal egy küllős hálózaton