Интеграция Брандмауэра Azure с Azure Load Balancer (цен. категория "Стандартный")

  • Статья

Вы можете интегрировать Брандмауэр Azure в виртуальную сеть с помощью Azure Load Balancer (цен. категория "Стандартный") (общедоступного или встроенного).

Предпочтительным подходом является интеграция внутренней подсистемы балансировки нагрузки с брандмауэром Azure, так как этот вариант гораздо проще. Вы можете использовать общедоступную подсистему балансировки нагрузки, если она уже развернута и вы хотите, чтобы она оставалась на месте. Однако необходимо учитывать проблему асимметричной маршрутизации, которая может нарушить работу функции в случае применения общедоступной подсистемы балансировки нагрузки.

Дополнительные сведения об Azure Load Balancer см. в этой статье.

Общедоступная подсистема балансировки нагрузки

Общедоступная подсистема балансировки нагрузки развертывается с использованием общедоступного интерфейсного IP-адреса.

Асимметричная маршрутизация

Асимметричная маршрутизация — это маршрутизация, при которой пакет передается в назначение одним путем, а возвращается к источнику другим. Эта проблема возникает, когда в подсети настроен маршрут по умолчанию, ведущий к закрытому IP-адресу брандмауэра, а вы используете общедоступную подсистему балансировки нагрузки. В этом случае входящий трафик подсистемы балансировки нагрузки поступает через общедоступный IP-адрес, а обратный путь проходит через частный IP-адрес брандмауэра. Так как брандмауэр отслеживает состояние и не обладает информацией об активных сеансах, он удаляет возвращаемый пакет.

Устранение проблемы с маршрутизацией

При развертывании Брандмауэра Azure в подсеть можно создать маршрут по умолчанию для подсети, направляющий пакеты через частный IP-адрес брандмауэра, расположенного в AzureFirewallSubnet. Дополнительные сведения см. в учебнике Руководство по развертыванию и настройке брандмауэра Azure с помощью портала Azure.

При введении брандмауэра в сценарий подсистемы балансировки нагрузки требуется, чтобы интернет-трафик проходил через общедоступный IP-адрес брандмауэра. После этого брандмауэр применяет правила брандмауэра и преобразование сетевых адресов (NAT) пакетов в общедоступный IP-адрес подсистемы балансировки нагрузки. Именно здесь возникает проблема. Пакеты поступают на общедоступный IP-адрес брандмауэра, но возвращаются в брандмауэр по частному IP-адресу (используя маршрут по умолчанию). Чтобы избежать этой проблемы, создайте дополнительный узловой маршрут для общедоступного IP-адреса брандмауэра. Пакеты, направляемые на общедоступный IP-адрес брандмауэра, маршрутизируются через Интернет. Это позволяет избежать использования маршрута по умолчанию к частному IP-адресу брандмауэра.

Схема асимметричной маршрутизации.

Пример таблицы маршрутов

Например, следующие маршруты предназначены для брандмауэра с общедоступным IP-адресом 20.185.97.136 и частным IP-адресом 10.0.1.4.

Снимок экрана: таблица маршрутов.

Пример правила NAT

В следующем примере правило NAT преобразует трафик RDP и передает его через брандмауэр с адресом 20.185.97.136 подсистеме балансировки нагрузки с адресом 20.42.98.220:

Снимок экрана: правило NAT.

Пробы работоспособности

Помните, что на узлах в пуле подсистемы балансировки нагрузки должна быть запущена веб-служба, если используются проверки работоспособности TCP для порта 80 или проверки HTTP/HTTPS.

Внутренняя подсистема балансировки нагрузки

Внутренняя подсистема балансировки нагрузки развертывается с использованием частного интерфейсного IP-адреса.

В этом сценарии нет проблем с асимметричной маршрутизацией. Входящие пакеты поступают на общедоступный IP-адрес брандмауэра, переводятся на частный IP-адрес подсистемы балансировки нагрузки, а затем возвращается на частный IP-адрес брандмауэра по тому же пути возвращения.

Таким образом, этот сценарий аналогичен сценарию с общедоступной подсистемой балансировки нагрузки, но без необходимости использования узлового пути общедоступного IP-адреса брандмауэра.

Виртуальные машины во внутреннем пуле могут иметь исходящее подключение к Интернету через брандмауэр Azure. Настройте определяемый пользователем маршрут в подсети виртуальной машины с помощью брандмауэра в качестве следующего прыжка.

Дополнительная безопасность

Для дальнейшего повышения безопасности в сценарии балансировки нагрузки можно использовать группы безопасности сети (NSG).

Например, вы можете создать группу безопасности сети в серверной подсети, где расположены виртуальные машины с балансировкой нагрузки. Разрешите входящий трафик, исходящий с IP-адреса или порта брандмауэра.

Снимок экрана: группа безопасности сети.

Дополнительные сведения о группах безопасности сети см. в этой статье.

Дальнейшие действия