Menskalakan port SNAT dengan Azure NAT Gateway
Azure Firewall menyediakan 2.496 port SNAT per alamat IP publik yang dikonfigurasi per instans set skala komputer virtual backend (Minimal dua instans), dan Anda dapat mengaitkan hingga 250 alamat IP publik. Anda mungkin memerlukan lebih dari 1.248.000 port SNAT yang tersedia dengan konfigurasi ini, tergantung arsitektur dan pola lalu lintas Anda. Misalnya, saat Anda menggunakannya untuk melindungi penerapan Azure Virtual Desktop berskala besar yang terintegrasi dengan Aplikasi Microsoft 365.
Salah satu tantangan dengan menggunakan sejumlah besar alamat IP publik adalah ketika ada persyaratan pemfilteran alamat IP hilir. Azure Firewall secara acak memilih alamat IP publik sumber untuk digunakan untuk koneksi, sehingga Anda perlu mengizinkan semua alamat IP publik yang terkait dengannya. Bahkan jika Anda menggunakan prefiks alamat IP Publik dan Anda perlu mengaitkan 250 alamat IP publik untuk memenuhi persyaratan port SNAT keluar Anda, Anda masih perlu membuat dan mengizinkan 16 awalan alamat IP publik.
Opsi yang lebih baik untuk menskalakan dan mengalokasikan port SNAT keluar secara dinamis adalah menggunakan Azure NAT Gateway. Ini menyediakan 64.512 port SNAT per alamat IP publik dan mendukung hingga 16 alamat IP publik. Ini secara efektif menyediakan hingga 1.032.192 port SNAT keluar. Azure NAT Gateway juga secara dinamis mengalokasikan port SNAT pada tingkat subnet, sehingga semua port SNAT yang disediakan oleh alamat IP terkait tersedia sesuai permintaan untuk menyediakan konektivitas keluar.
Saat sumber daya gateway NAT dikaitkan dengan subnet Azure Firewall, semua lalu lintas Internet keluar secara otomatis menggunakan alamat IP publik gateway NAT. Tidak perlu mengonfigurasi Rute yang Ditentukan Pengguna. Lalu lintas respons ke alur keluar juga melewati gateway NAT. Jika ada beberapa alamat IP yang terkait dengan gateway NAT, alamat IP dipilih secara acak. Tidak dimungkinkan untuk menentukan alamat apa yang akan digunakan.
Tidak ada NAT ganda dengan arsitektur ini. Instans Azure Firewall mengirim lalu lintas ke gateway NAT menggunakan alamat IP pribadi mereka daripada alamat IP publik Azure Firewall.
Catatan
Menyebarkan gateway NAT dengan firewall zona redundan tidak disarankan opsi penyebaran, karena gateway NAT tidak mendukung penyebaran redundan zona saat ini. Untuk menggunakan gateway NAT dengan Azure Firewall, penyebaran Firewall zona diperlukan.
Selain itu, integrasi Azure NAT Gateway saat ini tidak didukung dalam arsitektur jaringan hub virtual aman (vWAN). Anda harus menyebarkan menggunakan arsitektur jaringan virtual hub. Untuk panduan terperinci tentang mengintegrasikan gateway NAT dengan Azure Firewall dalam arsitektur jaringan hub dan spoke, lihat gateway NAT dan tutorial integrasi Azure Firewall. Untuk informasi selengkapnya tentang opsi arsitektur Azure Firewall, lihat Apa saja opsi arsitektur Azure Firewall Manager?.
Mengaitkan gateway NAT dengan subnet Azure Firewall - Azure PowerShell
Contoh berikut membuat dan melampirkan gateway NAT dengan subnet Azure Firewall menggunakan Azure PowerShell.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
Mengaitkan gateway NAT dengan subnet Azure Firewall - Azure CLI
Contoh berikut membuat dan melampirkan gateway NAT dengan subnet Azure Firewall menggunakan Azure PowerShell.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat
Langkah berikutnya
- Untuk informasi selengkapnya, lihat Menskalakan port Azure Firewall SNAT dengan NAT Gateway untuk beban kerja besar.
- Mendesain jaringan virtual dengan gateway NAT
- Mengintegrasikan gateway NAT dengan Azure Firewall di jaringan hub dan spoke