Ridimensionare le porte SNAT con il gateway NAT di Azure
Firewall di Azure fornisce 2.496 porte SNAT per ogni indirizzo IP pubblico configurato per ogni istanza del set di scalabilità di macchine virtuali back-end (almeno due istanze) ed è possibile associare fino a 250 indirizzi IP pubblici. A seconda dell'architettura e dei modelli di traffico, potrebbero essere necessari più di 1.248.000 porte SNAT disponibili con questa configurazione. Ad esempio, quando viene usato per proteggere distribuzioni di Desktop virtuale Azure di grandi dimensioni che si integrano con Microsoft 365 Apps.
Uno dei problemi relativi all'uso di un numero elevato di indirizzi IP pubblici è quando esistono requisiti di filtro degli indirizzi IP downstream. Firewall di Azure seleziona in modo casuale l'indirizzo IP pubblico di origine da usare per una connessione, quindi è necessario consentire a tutti gli indirizzi IP pubblici associati. Anche se si usano prefissi di indirizzi IP pubblici ed è necessario associare 250 indirizzi IP pubblici per soddisfare i requisiti di porta SNAT in uscita, è comunque necessario creare e consentire 16 prefissi di indirizzi IP pubblici.
Un'opzione migliore per ridimensionare e allocare dinamicamente le porte SNAT in uscita consiste nell'usare un gateway NAT di Azure. Fornisce 64.512 porte SNAT per ogni indirizzo IP pubblico e supporta fino a 16 indirizzi IP pubblici. In questo modo è possibile ottenere fino a 1.032.192 porte SNAT in uscita. Il gateway NAT di Azure alloca anche in modo dinamico le porte SNAT a livello di subnet, quindi tutte le porte SNAT fornite dagli indirizzi IP associati sono disponibili su richiesta per fornire connettività in uscita.
Quando una risorsa gateway NAT è associata a una subnet Firewall di Azure, tutto il traffico Internet in uscita usa automaticamente l'indirizzo IP pubblico del gateway NAT. Non è necessario configurare route definite dall'utente. Il traffico di risposta a un flusso in uscita passa anche attraverso il gateway NAT. Se al gateway NAT sono associati più indirizzi IP, l'indirizzo IP viene selezionato in modo casuale. Non è possibile specificare l'indirizzo da usare.
Questa architettura non include nat doppio. Firewall di Azure istanze inviano il traffico al gateway NAT usando l'indirizzo IP privato anziché Firewall di Azure indirizzo IP pubblico.
Nota
La distribuzione del gateway NAT con un firewall con ridondanza della zona non è consigliata perché il gateway NAT non supporta attualmente la distribuzione con ridondanza della zona. Per usare il gateway NAT con Firewall di Azure, è necessaria una distribuzione del firewall di zona.
Inoltre, l'integrazione del gateway NAT di Azure non è attualmente supportata nelle architetture vWAN (Virtual Hub Network) protette. È necessario eseguire la distribuzione usando un'architettura di rete virtuale hub. Per indicazioni dettagliate sull'integrazione del gateway NAT con Firewall di Azure in un'architettura di rete hub-spoke, vedere l'esercitazione sul gateway NAT e sull'integrazione Firewall di Azure. Per altre informazioni sulle opzioni di architettura Firewall di Azure, vedere Quali sono le opzioni di architettura di Firewall di Azure Manager?
Associare un gateway NAT a una subnet Firewall di Azure - Azure PowerShell
L'esempio seguente crea e collega un gateway NAT a una subnet Firewall di Azure usando Azure PowerShell.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
Associare un gateway NAT a una subnet Firewall di Azure - Interfaccia della riga di comando di Azure
L'esempio seguente crea e collega un gateway NAT a una subnet Firewall di Azure usando l'interfaccia della riga di comando di Azure.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat
Passaggi successivi
- Per altre informazioni, vedere Ridimensionare Firewall di Azure porte SNAT con gateway NAT per carichi di lavoro di grandi dimensioni.
- Progettare reti virtuali con risorse gateway NAT
- Integrare il gateway NAT con Firewall di Azure in una rete hub-spoke