IP-группы в Брандмауэре Azure

IP-адреса можно собирать в таких группах и управлять ими в правилах Брандмауэра Azure следующим образом:

• Как адресом источника в правилах DNAT.
• Как адресом источника или назначения в правилах сети.
• Как адресом источника в правилах приложения

Группа IP-адресов может состоять из одного IP-адреса, нескольких IP-адресов или из одного или нескольких диапазонов IP-адресов или сочетания адресов и диапазонов.

Группы IP-адресов можно повторно использовать в правилах брандмауэра Azure DNAT, а также в правилах сети и приложений для нескольких брандмауэров в разных регионах и подписках Azure. Имена групп должны быть уникальными. Вы можете настроить группу IP-адресов в портале Azure, Azure CLI или REST API. Пример шаблона поможет вам приступить к работе.

Формат образца

В группах IP-адресов допускаются адреса IPv4 следующего формата:

• Один адрес: 10.0.0.0
• Нотация CIDR: 10.1.0.0/32
• Диапазон адресов: 10.2.0.0–10.2.0.31

Создание группы IP-адресов

Группы IP-адресов можно создать в портале Azure и с помощью Azure CLI или REST API. Подробнее: Создание группы IP-адресов.

Просмотр групп IP-адресов

1. На панели поиска портал Azure введите Группы IP-адресов и выберите их. Вы можете просмотреть список групп IP-адресов или нажать кнопку Добавить, чтобы создать группу IP-адресов.

2. Выберите группу IP-адресов, чтобы открыть страницу обзора. Вы можете изменять, добавлять и удалять IP-адреса и группы IP-адресов.

   

Управление группой IP-адресов

Вы можете просмотреть все IP-адреса в группе, а также связанные с ними правила или ресурсы. Чтобы удалить группу IP-адресов, необходимо сначала отменить связь между группой и ресурсом, который ее использует.

1. Чтобы просмотреть или изменить IP-адреса, выберите IP-адреса в разделе Параметры.
2. Чтобы добавить один или несколько IP-адресов, выберите Добавить IP-адреса. Откроется страница Перетаскивание или обзор для загрузки или ручного ввода IP-адресов.
3. Чтобы изменить или удалить IP-адреса, нажмите кнопку с многоточием (...) справа. Чтобы изменить или удалить несколько IP-адресов, установите флажки и в верхней части экрана нажмите кнопку Изменить или Удалить.
4. Также можно экспортировать файл в формате CSV.

Примечание.

Если удалить все IP-адреса в группе, которая используется в правиле, то это правило будет пропущено.

Использование группы IP-адресов

Теперь можно выбрать группу IP-адресов в качестве типа источника или назначения для IP-адресов при создании правил Брандмауэра Azure DNAT, приложения или сети.

Обновления параллельной IP-группы (предварительная версия)

Теперь можно одновременно обновлять несколько групп IP-адресов. Это особенно полезно для администраторов, которые хотят быстро вносить изменения конфигурации и масштабироваться, особенно при внесении этих изменений с помощью подхода о работе разработки (шаблоны, ARM, CLI и Azure PowerShell).

С помощью этой поддержки теперь можно:

• Обновление 50 ГРУПП IP-адресов за раз
• Обновление политики брандмауэра и брандмауэра во время обновлений группы IP-адресов
• Использование одной и той же группы IP-адресов в родительской и дочерней политике
• Обновление нескольких IP-групп, на которые ссылается политика брандмауэра или классический брандмауэр одновременно
• Получение новых и улучшенных сообщений об ошибках

  • Сбой и успешное состояние

    Например, если произошла ошибка с одним обновлением группы IP из 20 параллельных обновлений, другие обновления продолжаются, а ошибка группы IP-адресов завершается ошибкой. Кроме того, если обновление группы IP-адресов завершается сбоем, и брандмауэр по-прежнему работоспособен, брандмауэр остается в состоянии "Успешно". Чтобы проверить, не удалось ли обновление группы IP-адресов или выполнено успешно, можно просмотреть состояние ресурса группы IP.

Чтобы активировать поддержку параллельной IP-группы, можно зарегистрировать функцию с помощью Azure PowerShell или портал Azure.

Azure PowerShell

Используйте следующие команды Azure PowerShell:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Это может занять несколько минут. После полной регистрации функции рассмотрите возможность немедленного выполнения обновления Брандмауэр Azure для того, чтобы изменения вступят в силу немедленно.

Портал Azure

1. Перейдите к функциям предварительной версии в портал Azure.
2. Поиск и регистрация AzureFirewallParallelIPGroupUpdate.
3. Убедитесь, что эта функция включена.

Доступность по регионам

IP-группы доступны во всех регионах общедоступного облака.

Ограничения для IP-адресов

Ограничения группы IP см. в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.

Сопутствующие командлеты Azure PowerShell

Для управления группами IP-адресов применяются следующие командлеты Azure PowerShell:

• New-AzIpGroup
• Remove-AzIPGroup
• Get-AzIpGroup
• Set-AzIpGroup
• New-AzFirewallNetworkRule
• New-AzFirewallApplicationRule
• New-AzFirewallNatRule

Следующие шаги

• См. дополнительные сведения о развертывании и настройке Брандмауэра Azure.