Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Firewall tillhandahåller 2 496 SNAT-portar per offentlig IP-adress som konfigurerats per vm-skalningsuppsättningsinstans för serverdel (minst två instanser) och du kan associera upp till 250 offentliga IP-adresser. Beroende på arkitektur och trafikmönster kan du behöva mer än de 1 248 000 tillgängliga SNAT-portarna med den här konfigurationen. När du till exempel använder den för att skydda stora Azure Virtual Desktop-distributioner som integreras med Microsoft 365-applikationer.
En av utmaningarna med att använda ett stort antal offentliga IP-adresser är när det finns krav på nedströms filtrering av IP-adresser. När Azure Firewall är associerat med flera offentliga IP-adresser måste du tillämpa filtreringskraven på alla offentliga IP-adresser som är associerade med den. Även om du använder offentliga IP-adressprefix och du behöver associera 250 offentliga IP-adresser för att uppfylla dina utgående SNAT-portkrav måste du fortfarande skapa och tillåta 16 offentliga IP-adressprefix.
Ett bättre alternativ för att skala och dynamiskt allokera utgående SNAT-portar är att använda en Azure NAT Gateway. Den tillhandahåller 64 512 SNAT-portar per offentlig IP-adress och har stöd för upp till 16 offentliga IP-adresser. Detta ger i praktiken upp till 1 032 192 utgående SNAT-portar. Azure NAT Gateway allokerar även SNAT-portar dynamiskt på undernätsnivå, så alla SNAT-portar som tillhandahålls av dess associerade IP-adresser är tillgängliga på begäran för att tillhandahålla utgående anslutning.
När en NAT-gatewayresurs är associerad med ett Azure Firewall-undernät använder all utgående Internettrafik automatiskt nat-gatewayens offentliga IP-adress. Du behöver inte konfigurera användardefinierade vägar. Svarstrafik till ett utgående flöde passerar också via NAT-gatewayen. Om det finns flera IP-adresser som är associerade med NAT-gatewayen väljs IP-adressen slumpmässigt. Det går inte att ange vilken adress som ska användas.
Det finns ingen dubbel NAT med den här arkitekturen. Azure Firewall-instanser skickar trafiken till NAT-gatewayen med sin privata IP-adress i stället för den offentliga IP-adressen för Azure Firewall.
Kommentar
Att distribuera NAT-gateway med en zonredundant brandvägg är inte rekommenderat distributionsalternativ eftersom en enda instans av NAT-gatewayen inte stöder zonredundant distribution just nu.
Dessutom stöds inte Azure NAT Gateway-integrering för närvarande i arkitekturer för skyddat virtuellt hubbnätverk (vWAN). Du måste distribuera med hjälp av en arkitektur för ett virtuellt navnätverk. Detaljerad vägledning om hur du integrerar NAT-gateway med Azure Firewall i en nav- och ekernätverksarkitektur finns i självstudien om INTEGRERING av NAT-gateway och Azure Firewall. Mer information om arkitekturalternativ för Azure Firewall finns i Vad är arkitekturalternativen för Azure Firewall Manager?.
Associera en NAT-gateway med ett Azure Firewall-undernät – Azure PowerShell
I följande exempel skapas och kopplas en NAT-gateway till ett Azure Firewall-undernät med hjälp av Azure PowerShell.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
Associera en NAT-gateway med ett Azure Firewall-undernät – Azure CLI
I följande exempel skapas och kopplas en NAT-gateway till ett Azure Firewall-undernät med hjälp av Azure CLI.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat