Интеграция Брандмауэра Azure с Azure Load Balancer (цен. категория "Стандартный")
Вы можете интегрировать Брандмауэр Azure в виртуальную сеть с помощью Azure Load Balancer (цен. категория "Стандартный") (общедоступного или встроенного).
Предпочтительный вариант — интегрировать внутреннюю подсистему балансировки нагрузки с брандмауэром Azure, так как это более простой дизайн. Вы можете использовать общедоступную подсистему балансировки нагрузки, если она уже развернута и вы хотите, чтобы она оставалась на месте. Однако необходимо учитывать проблему асимметричной маршрутизации, которая может нарушить работу функции в случае применения общедоступной подсистемы балансировки нагрузки.
Дополнительные сведения об Azure Load Balancer см. в этой статье.
общедоступная подсистема балансировки нагрузки;
Общедоступная подсистема балансировки нагрузки развертывается с использованием общедоступного интерфейсного IP-адреса.
Асимметричная маршрутизация
Асимметричная маршрутизация — это маршрутизация, при которой пакет передается в назначение одним путем, а возвращается к источнику другим. Эта проблема возникает, когда в подсети настроен маршрут по умолчанию, ведущий к закрытому IP-адресу брандмауэра, а вы используете общедоступную подсистему балансировки нагрузки. В этом случае входящий трафик подсистемы балансировки нагрузки поступает через общедоступный IP-адрес, а обратный путь проходит через частный IP-адрес брандмауэра. Так как брандмауэр отслеживает состояние и не обладает информацией об активных сеансах, он удаляет возвращаемый пакет.
Устранение проблемы с маршрутизацией
При развертывании Брандмауэра Azure в подсеть можно создать маршрут по умолчанию для подсети, направляющий пакеты через частный IP-адрес брандмауэра, расположенного в AzureFirewallSubnet. Дополнительные сведения см. в учебнике Руководство по развертыванию и настройке брандмауэра Azure с помощью портала Azure.
При введении брандмауэра в сценарий подсистемы балансировки нагрузки требуется, чтобы интернет-трафик проходил через общедоступный IP-адрес брандмауэра. После этого брандмауэр применяет правила брандмауэра и преобразование сетевых адресов (NAT) пакетов в общедоступный IP-адрес подсистемы балансировки нагрузки. Именно здесь возникает проблема. Пакеты поступают на общедоступный IP-адрес брандмауэра, но возвращаются в брандмауэр по частному IP-адресу (используя маршрут по умолчанию). Чтобы избежать этой проблемы, создайте другой маршрут узла для общедоступного IP-адреса брандмауэра. Пакеты, направляемые на общедоступный IP-адрес брандмауэра, маршрутизируются через Интернет. Это позволяет избежать использования маршрута по умолчанию к частному IP-адресу брандмауэра.
Пример таблицы маршрутов
Например, следующие маршруты предназначены для брандмауэра с общедоступным IP-адресом 203.0.113.136 и частным IP-адресом 10.0.1.4.
Пример правила NAT
В следующем примере правило NAT преобразует трафик RDP в брандмауэр с 203.0.113.136 на подсистему балансировки нагрузки в 203.0.113.220:
Зонды работоспособности
Помните, что на узлах в пуле подсистемы балансировки нагрузки должна быть запущена веб-служба, если используются проверки работоспособности TCP для порта 80 или проверки HTTP/HTTPS.
Внутренняя подсистема балансировки нагрузки
Внутренняя подсистема балансировки нагрузки развертывается с использованием частного интерфейсного IP-адреса.
В этом сценарии нет проблем с асимметричной маршрутизацией. Входящие пакеты поступают на общедоступный IP-адрес брандмауэра, переводятся на частный IP-адрес подсистемы балансировки нагрузки, а затем возвращается на частный IP-адрес брандмауэра по тому же пути возвращения.
Таким образом, этот сценарий аналогичен сценарию с общедоступной подсистемой балансировки нагрузки, но без необходимости использования узлового пути общедоступного IP-адреса брандмауэра.
Виртуальные машины во внутреннем пуле могут иметь исходящее подключение к Интернету через брандмауэр Azure. Настройте определяемый пользователем маршрут в подсети виртуальной машины с помощью брандмауэра в качестве следующего прыжка.
Дополнительная безопасность
Для дальнейшего повышения безопасности в сценарии балансировки нагрузки можно использовать группы безопасности сети (NSG).
Например, вы можете создать группу безопасности сети в серверной подсети, где расположены виртуальные машины с балансировкой нагрузки. Разрешите входящий трафик, исходящий с IP-адреса или порта брандмауэра.
Дополнительные сведения о группах безопасности сети см. в этой статье.
Следующие шаги
- См. дополнительные сведения о развертывании и настройке Брандмауэра Azure.