Azure Firewall での IP グループ

  • [アーティクル]

IP グループを使用すると、次の方法で Azure Firewall 規則の IP アドレスをグループ化して管理できます。

  • DNAT 規則での送信元アドレスとして
  • ネットワーク規則での送信元アドレスまたは送信先アドレスとして
  • アプリケーション規則での送信元アドレスとして

IP グループには、1 つの IP アドレス、複数の IP アドレス、1 つ以上の IP アドレス範囲、またはアドレスと範囲の組み合わせを含めることができます。

IP グループは、Azure のリージョンとサブスクリプションにまたがる複数のファイアウォールに対する Azure Firewall DNAT 規則、ネットワーク規則、アプリケーション規則で再利用できます。 グループ名は一意である必要があります。 IP グループの構成は、Azure portal、Azure CLI、または REST API で行うことができます。 使い始めるときに役に立つサンプル テンプレートが用意されています。

サンプル形式

IP グループでは、次の例のような IPv4 アドレス形式を使用できます。

  • 単一のアドレス: 10.0.0.0
  • CIDR 表記: 10.1.0.0/32
  • アドレス範囲: 10.2.0.0-10.2.0.31

IP グループを作成する

IP グループは、Azure portal、Azure CLI、または REST API を使用して作成できます。 詳細については、「IP グループを作成する」を参照してください。

IP グループを参照する

  1. Azure portal の検索バーに「IP グループ」と入力して選択します。 IP グループの一覧を確認できます。または、 [追加] を選択して新しい IP グループを作成できます。

  2. IP グループを選択して概要ページを開きます。 IP アドレスまたは IP グループを編集、追加、削除できます。

    IP Groups overview

IP グループを管理する

IP グループ内のすべての IP アドレスと、それに関連付けられている規則またはリソースを確認できます。 IP グループを削除するには、最初に、IP グループを使用しているリソースから IP グループの関連付けを解除する必要があります。

  1. IP アドレスを表示または編集するには、左側のペインの [設定][IP アドレス] を選択します。
  2. 1 つまたは複数の IP アドレスを追加するには、 [IP アドレスの追加] を追加します。 これにより、アップロードのための [Drag or Browse](ドラッグまたは参照) ページが開きます。または、アドレスを手動で入力することもできます。
  3. IP アドレスを編集または削除するには、右側にある省略記号 [...] を選択します。 複数の IP アドレスを編集または削除するには、ボックスを選択し、上部にある [編集] または [削除] を選択します。
  4. 最後に、CSV ファイル形式でファイルをエクスポートできます。

注意

規則でまだ使用されている間に IP グループ内のすべての IP アドレスを削除すると、その規則はスキップされます。

IP グループを使用する

Azure Firewall の DNAT 規則、アプリケーション規則、またはネットワーク規則を作成するときに、IP アドレスの [Source type](接続元の種類) または [Destination type](接続先の種類) として [IP グループ] を選択できます。

IP Groups in Firewall

並列 IP グループの更新 (プレビュー)

複数の IP グループを同時に並行して更新できるようになりました。 これは、特に DevOps アプローチ (テンプレート、ARM、CLI、Azure PowerShell) を使用して変更を加えるときに、構成の変更をより迅速かつ大規模に行う管理者に役立ちます。

このサポートにより、次のことができるようになりました。

  • 一度に 20 個の IP グループを更新
  • IP グループの更新中にファイアウォールとファイアウォール ポリシーを更新
  • 親と子のポリシーに同じ IP グループを使用
  • ファイアウォール ポリシーまたは従来のファイアウォールから参照される複数の IP グループを同時に更新
  • 新規または改善されたエラー メッセージを受信

    • 失敗と成功の状態

      たとえば、20 回の並列更新のうち 1 つの IP グループの更新でエラーが発生した場合、他の更新は続行され、エラーが発生した IP グループは失敗します。 さらに、IP グループの更新に失敗したが、ファイアウォールはまだ正常な場合、ファイアウォールは [成功] 状態のままになります。 IP グループの更新が失敗したか、成功したかを確認するために、IP グループ リソースの状態を表示できます。

並列 IP グループのサポートをアクティブ化するには、Azure PowerShell または Azure portal を使用して機能を登録します。

Azure PowerShell

次の Azure PowerShell コマンドを使用します。

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

これが有効になるまでに数分かかる場合があります。 この機能の登録が完了したら、変更をすぐに有効にするために、Azure Firewall に対して更新を実行することを検討してください。

Azure portal

  1. Azure portal でプレビュー機能に移動します。
  2. AzureFirewallParallelIPGroupUpdate を検索して登録します。
  3. 機能が有効になっていることを確認します。

Screenshot showing the parallel IP groups feature.

利用可能なリージョン

IP グループは、すべてのパブリック クラウド リージョンで利用できます。

IP アドレスの制限

IP グループの制限については、「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。

次の Azure PowerShell コマンドレットを使用して、IP グループを作成および管理できます。

次のステップ