Dimensionar portas SNAT com o Azure NAT Gateway
O Firewall do Azure fornece 2.496 portas SNAT por endereço IP público configurado por instância de conjunto de escala de máquina virtual de back-end (mínimo de duas instâncias) e você pode associar até 250 endereços IP públicos. Dependendo da sua arquitetura e padrões de tráfego, você pode precisar de mais do que as 1.248.000 portas SNAT disponíveis com essa configuração. Por exemplo, quando você o usa para proteger grandes implantações de Área de Trabalho Virtual do Azure que se integram aos Aplicativos do Microsoft 365.
Um dos desafios com o uso de um grande número de endereços IP públicos é quando há requisitos de filtragem de endereços IP downstream. Quando o Firewall do Azure está associado a vários endereços IP públicos, você precisa aplicar os requisitos de filtragem em todos os endereços IP públicos associados a ele. Mesmo se você usar prefixos de endereço IP público e precisar associar 250 endereços IP públicos para atender aos requisitos de porta SNAT de saída, ainda precisará criar e permitir 16 prefixos de endereço IP público.
Uma opção melhor para dimensionar e alocar dinamicamente portas SNAT de saída é usar um Gateway NAT do Azure. Ele fornece 64.512 portas SNAT por endereço IP público e suporta até 16 endereços IP públicos. Isso efetivamente fornece até 1.032.192 portas SNAT de saída. O Gateway NAT do Azure também aloca dinamicamente portas SNAT em um nível de sub-rede, portanto, todas as portas SNAT fornecidas por seus endereços IP associados estão disponíveis sob demanda para fornecer conectividade de saída.
Quando um recurso de gateway NAT é associado a uma sub-rede do Firewall do Azure, todo o tráfego de saída da Internet usa automaticamente o endereço IP público do gateway NAT. Não há necessidade de configurar rotas definidas pelo usuário. O tráfego de resposta para um fluxo de saída também passa pelo gateway NAT. Se houver vários endereços IP associados ao gateway NAT, o endereço IP será selecionado aleatoriamente. Não é possível especificar qual endereço usar.
Não há NAT duplo com esta arquitetura. As instâncias do Firewall do Azure enviam o tráfego para o gateway NAT usando seu endereço IP privado em vez do endereço IP público do Firewall do Azure.
Nota
A implantação do gateway NAT com um firewall redundante de zona não é uma opção de implantação recomendada, pois uma única instância do gateway NAT não oferece suporte à implantação redundante zonal no momento.
Além disso, a integração do Gateway NAT do Azure não é suportada atualmente em arquiteturas de rede de hub virtual (vWAN) seguras. Você deve implantar usando uma arquitetura de rede virtual de hub. Para obter orientações detalhadas sobre a integração do gateway NAT com o Firewall do Azure em uma arquitetura de rede hub e spoke, consulte o tutorial de integração do gateway NAT e do Firewall do Azure. Para obter mais informações sobre as opções de arquitetura do Firewall do Azure, consulte Quais são as opções de arquitetura do Gerenciador de Firewall do Azure?.
Associar um gateway NAT a uma sub-rede do Firewall do Azure - Azure PowerShell
O exemplo a seguir cria e anexa um gateway NAT com uma sub-rede do Firewall do Azure usando o Azure PowerShell.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
Associar um gateway NAT a uma sub-rede do Firewall do Azure - CLI do Azure
O exemplo a seguir cria e anexa um gateway NAT com uma sub-rede do Firewall do Azure usando a CLI do Azure.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat