Wdrażanie usługi Azure Firewall z wieloma publicznymi adresami IP przy użyciu programu Azure PowerShell
Ta funkcja umożliwia wykonanie następujących scenariuszy:
- DNAT — można przetłumaczyć wiele standardowych wystąpień portów na serwery zaplecza. Jeśli na przykład masz dwa publiczne adresy IP, możesz wykonać translację portu TCP 3389 (RDP) dla obu adresów IP.
- SNAT — dodatkowe porty są dostępne dla wychodzących połączeń SNAT, co zmniejsza potencjał wyczerpania portów SNAT. Usługa Azure Firewall losowo wybiera pierwszy źródłowy publiczny adres IP do użycia na potrzeby połączenia i wybiera inny publiczny adres IP po wyczerpaniu portów z pierwszego adresu IP. Jeśli w sieci występuje jakiekolwiek filtrowanie w kierunku do klienta, musisz zezwolić na wszystkie publiczne adresy IP skojarzone z zaporą. Rozważ użycie prefiksu publicznego adresu IP, aby uprościć tę konfigurację.
Usługa Azure Firewall z wieloma publicznymi adresami IP jest dostępna za pośrednictwem witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu REST i szablonów.
Usługę Azure Firewall można wdrożyć z maksymalnie 250 publicznymi adresami IP, jednak reguły docelowe DNAT będą również liczone do 250.
Publiczne adresy IP i reguła docelowa DNAT = 250 maksimum.
Uwaga
W scenariuszach o dużym natężeniu ruchu i przepływności zaleca się użycie bramy translatora adresów sieciowych w celu zapewnienia łączności wychodzącej. Porty SNAT są dynamicznie przydzielane we wszystkich publicznych adresach IP skojarzonych z bramą translatora adresów sieciowych. Aby dowiedzieć się więcej, zobacz Integrowanie bramy translatora adresów sieciowych z usługą Azure Firewall.
W poniższych przykładach programu Azure PowerShell pokazano, jak skonfigurować, dodać i usunąć publiczne adresy IP dla usługi Azure Firewall.
Ważne
Nie można usunąć pierwszego adresu IPConfiguration ze strony konfiguracji publicznego adresu IP usługi Azure Firewall. Jeśli chcesz zmodyfikować adres IP, możesz użyć programu Azure PowerShell.
Tworzenie zapory z co najmniej dwoma publicznymi adresami IP
W tym przykładzie zostanie utworzona zapora dołączona do sieci wirtualnej z dwoma publicznymi adresami IP.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Dodawanie publicznego adresu IP do istniejącej zapory
W tym przykładzie publiczny adres IP azFwPublicIp1 jest dołączony do zapory.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Usuwanie publicznego adresu IP z istniejącej zapory
W tym przykładzie publiczny adres IP azFwPublicIp1 jest odłączony od zapory.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla