Поделиться через


Развертывание Брандмауэра Azure с использованием нескольких общедоступных IP-адресов с помощью Azure PowerShell

Эта функция поддерживает следующие сценарии:

  • DNAT. Позволяет преобразовать несколько стандартных экземпляров порта для внутренних серверов. Например, если существует два общедоступных IP-адреса, то для обоих IP-адреса можно преобразовать TCP-порт 3389 (RDP).
  • SNAT. Дополнительные порты доступны для исходящих SNAT подключений, что снижает вероятность нехватки SNAT портов. Брандмауэр Azure случайным образом выбирает первый общедоступный IP-адрес источника для подключения и выбирает другой общедоступный IP-адрес после исчерпания портов из первого IP-адреса. Если в сети установлена любая фильтрация, необходимо разрешить все публичные IP-адреса, которые связанные с брандмауэром. Чтобы упростить эту настройку, можно использовать префикс общедоступного IP-адреса.

Портал Azure, Azure PowerShell, Azure CLI, REST и шаблоны позволяют использовать брандмауэр Azure с несколькими общедоступными IP-адресами.
Вы можете развернуть Брандмауэр Azure до 250 общедоступных IP-адресов, однако правила назначения DNAT также будут учитываться до 250 максимальных значений. Общедоступные IP-адреса + правило назначения DNAT = 250 макс.

Примечание.

В сценариях с большим объемом трафика и пропускной способностью рекомендуется использовать шлюз NAT для обеспечения исходящего подключения. Порты SNAT динамически выделяются во всех общедоступных IP-адресах, связанных с шлюзом NAT. Дополнительные сведения см. в статье об интеграции шлюза NAT с Брандмауэр Azure.

В следующих примерах Azure PowerShell показано, как можно настроить, добавить и удалить общедоступные IP-адреса для брандмауэра Azure.

Внимание

Вы не можете удалить первую конфигурацию ipConfiguration со страницы конфигурации общедоступного IP-адреса брандмауэра Azure. Если вы хотите изменить IP-адрес, можно использовать Azure PowerShell.

Создание брандмауэра с несколькими общедоступными IP-адресами

В этом примере создается брандмауэр, подключенный к виртуальной сети с двумя общедоступными IP-адресами.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Добавление общедоступного IP-адреса в существующий брандмауэр

В этом примере общедоступный IP-адрес azFwPublicIp1 подключен к брандмауэру.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Удаление общедоступного IP-адреса из существующего брандмауэра

В этом примере общедоступный IP-адрес azFwPublicIp1 окончательно удален из брандмауэра.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Следующие шаги