SNAT-poorten schalen met Azure NAT Gateway
Azure Firewall biedt 2496 SNAT-poorten per openbaar IP-adres dat is geconfigureerd per instantie van de virtuele-machineschaalset van de back-end (minimaal twee exemplaren) en u kunt maximaal 250 openbare IP-adressen koppelen. Afhankelijk van uw architectuur en verkeerspatronen hebt u mogelijk meer nodig dan de 1.248.000 beschikbare SNAT-poorten met deze configuratie. Wanneer u deze bijvoorbeeld gebruikt om grote Azure Virtual Desktop-implementaties te beveiligen die zijn geïntegreerd met Microsoft 365-apps.
Een van de uitdagingen bij het gebruik van een groot aantal openbare IP-adressen is wanneer er vereisten zijn voor het filteren van downstream-IP-adressen. Wanneer Azure Firewall is gekoppeld aan meerdere openbare IP-adressen, moet u de filtervereisten toepassen op alle openbare IP-adressen die eraan zijn gekoppeld. Zelfs als u voorvoegsels voor openbare IP-adressen gebruikt en u 250 openbare IP-adressen moet koppelen om te voldoen aan uw uitgaande SNAT-poortvereisten, moet u nog steeds 16 openbare IP-adresvoorvoegsels maken en toestaan.
Een betere optie voor het schalen en dynamisch toewijzen van uitgaande SNAT-poorten is het gebruik van een Azure NAT-gateway. Het biedt 64.512 SNAT-poorten per openbaar IP-adres en ondersteunt maximaal 16 openbare IP-adressen. Dit biedt in feite maximaal 1.032.192 uitgaande SNAT-poorten. Azure NAT Gateway wijst ook dynamisch SNAT-poorten toe op subnetniveau, zodat alle SNAT-poorten die door de bijbehorende IP-adressen worden geleverd, op aanvraag beschikbaar zijn om uitgaande connectiviteit te bieden.
Wanneer een NAT-gatewayresource is gekoppeld aan een Azure Firewall-subnet, gebruikt al het uitgaande internetverkeer automatisch het openbare IP-adres van de NAT-gateway. U hoeft door de gebruiker gedefinieerde routes niet te configureren. Reactieverkeer naar een uitgaande stroom passeert ook via NAT-gateway. Als er meerdere IP-adressen zijn gekoppeld aan de NAT-gateway, wordt het IP-adres willekeurig geselecteerd. Het is niet mogelijk om op te geven welk adres moet worden gebruikt.
Er is geen dubbele NAT met deze architectuur. Azure Firewall-exemplaren verzenden het verkeer naar de NAT-gateway met behulp van hun privé-IP-adres in plaats van het openbare IP-adres van Azure Firewall.
Notitie
Het implementeren van een NAT-gateway met een zoneredundante firewall wordt niet aanbevolen, omdat één exemplaar van de NAT-gateway op dit moment geen ondersteuning biedt voor zone-redundante implementatie.
Daarnaast wordt integratie van Azure NAT Gateway momenteel niet ondersteund in beveiligde vWAN-architecturen (Virtual Hub Network). U moet implementeren met behulp van een virtuele hubnetwerkarchitectuur. Raadpleeg de zelfstudie over nat-gateway- en Azure Firewall-integratie voor gedetailleerde richtlijnen voor het integreren van NAT-gateways met Azure Firewall in een hub- en spoke-netwerkarchitectuur. Zie Wat zijn de architectuuropties voor Azure Firewall Manager voor meer informatie over opties voor Azure Firewall-architectuur.
Een NAT-gateway koppelen aan een Azure Firewall-subnet - Azure PowerShell
In het volgende voorbeeld wordt een NAT-gateway gemaakt en gekoppeld aan een Azure Firewall-subnet met behulp van Azure PowerShell.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
Een NAT-gateway koppelen aan een Azure Firewall-subnet - Azure CLI
In het volgende voorbeeld wordt een NAT-gateway gemaakt en gekoppeld aan een Azure Firewall-subnet met behulp van Azure CLI.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat