Skalowanie portów SNAT za pomocą usługi Azure NAT Gateway

Usługa Azure Firewall udostępnia 2496 portów SNAT na publiczny adres IP skonfigurowany na wystąpienie zestawu skalowania maszyn wirtualnych zaplecza (co najmniej dwa wystąpienia) i można skojarzyć maksymalnie 250 publicznych adresów IP. W zależności od architektury i wzorców ruchu może być potrzebnych więcej niż 1248 000 dostępnych portów SNAT z tą konfiguracją. Na przykład gdy używasz go do ochrony dużych wdrożeń usługi Azure Virtual Desktop, które integrują się z Aplikacje Microsoft 365.

Jednym z wyzwań związanych z używaniem dużej liczby publicznych adresów IP jest to, że istnieją wymagania dotyczące filtrowania adresów IP podrzędnych. Usługa Azure Firewall losowo wybiera źródłowy publiczny adres IP do użycia na potrzeby połączenia, dlatego musisz zezwolić na skojarzone z nim wszystkie publiczne adresy IP. Nawet jeśli używasz prefiksów publicznego adresu IP i musisz skojarzyć 250 publicznych adresów IP, aby spełnić wymagania dotyczące portów SNAT dla ruchu wychodzącego, nadal musisz utworzyć i zezwolić na 16 prefiksów publicznych adresów IP.

Lepszym rozwiązaniem do skalowania i dynamicznego przydzielania wychodzących portów SNAT jest użycie bramy translatora adresów sieciowych platformy Azure. Zapewnia 64 512 portów SNAT na publiczny adres IP i obsługuje maksymalnie 16 publicznych adresów IP. Zapewnia to maksymalnie 1032 192 wychodzących portów SNAT. Usługa Azure NAT Gateway dynamicznie przydziela również porty SNAT na poziomie podsieci, więc wszystkie porty SNAT udostępniane przez skojarzone z nim adresy IP są dostępne na żądanie w celu zapewnienia łączności wychodzącej.

Gdy zasób bramy translatora adresów sieciowych jest skojarzony z podsiecią usługi Azure Firewall, cały wychodzący ruch internetowy automatycznie używa publicznego adresu IP bramy translatora adresów sieciowych. Nie ma potrzeby konfigurowania tras zdefiniowanych przez użytkownika. Ruch odpowiedzi do przepływu wychodzącego również przechodzi przez bramę TRANSLATOR adresów sieciowych. Jeśli istnieje wiele adresów IP skojarzonych z bramą translatora adresów sieciowych, adres IP jest wybierany losowo. Nie można określić adresu, który ma być używany.

Nie ma podwójnego translatora adresów sieciowych z tą architekturą. Wystąpienia usługi Azure Firewall wysyłają ruch do bramy translatora adresów sieciowych przy użyciu prywatnego adresu IP, a nie publicznego adresu IP usługi Azure Firewall.

Uwaga

Wdrażanie bramy translatora adresów sieciowych przy użyciu strefowo nadmiarowej zapory nie jest zalecane, ponieważ brama translatora adresów sieciowych nie obsługuje w tej chwili strefowo nadmiarowego wdrożenia. Aby można było używać bramy translatora adresów sieciowych w usłudze Azure Firewall, wymagane jest wdrożenie zapory strefowej.

Ponadto integracja usługi Azure NAT Gateway nie jest obecnie obsługiwana w architekturach zabezpieczonej sieci koncentratora wirtualnego (vWAN). Należy wdrożyć przy użyciu architektury sieci wirtualnej koncentratora. Aby uzyskać szczegółowe wskazówki dotyczące integrowania bramy translatora adresów sieciowych z usługą Azure Firewall w architekturze sieci piasty i szprych, zapoznaj się z samouczkiem dotyczącym bramy translatora adresów sieciowych i integracji z usługą Azure Firewall. Aby uzyskać więcej informacji na temat opcji architektury usługi Azure Firewall, zobacz Co to są opcje architektury usługi Azure Firewall Manager?.

Kojarzenie bramy translatora adresów sieciowych z podsiecią usługi Azure Firewall — Azure PowerShell

Poniższy przykład tworzy i dołącza bramę translatora adresów sieciowych z podsiecią usługi Azure Firewall przy użyciu programu Azure PowerShell.

# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'

# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard

# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork

Kojarzenie bramy translatora adresów sieciowych z podsiecią usługi Azure Firewall — interfejs wiersza polecenia platformy Azure

Poniższy przykład tworzy i dołącza bramę translatora adresów sieciowych z podsiecią usługi Azure Firewall przy użyciu interfejsu wiersza polecenia platformy Azure.

# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard

# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2

# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat

Następne kroki

• Aby uzyskać więcej informacji, zobacz Skalowanie portów SNAT usługi Azure Firewall za pomocą bramy translatora adresów sieciowych dla dużych obciążeń.
• Projektowanie sieci wirtualnych z bramą translatora adresów sieciowych
• Integrowanie bramy translatora adresów sieciowych z usługą Azure Firewall w sieci piasty i szprych