Skala SNAT-portar med Azure NAT Gateway

Azure Firewall tillhandahåller 2 496 SNAT-portar per offentlig IP-adress som konfigurerats per vm-skalningsuppsättningsinstans för serverdel (minst två instanser) och du kan associera upp till 250 offentliga IP-adresser. Beroende på arkitektur och trafikmönster kan du behöva mer än de 1 248 000 tillgängliga SNAT-portarna med den här konfigurationen. När du till exempel använder den för att skydda stora Azure Virtual Desktop-distributioner som integreras med Microsoft 365-applikationer.

En av utmaningarna med att använda ett stort antal offentliga IP-adresser är när det finns krav på nedströms filtrering av IP-adresser. Azure Firewall väljer slumpmässigt den offentliga käll-IP-adress som ska användas för en anslutning, så du måste tillåta alla offentliga IP-adresser som är associerade med den. Även om du använder offentliga IP-adressprefix och du behöver associera 250 offentliga IP-adresser för att uppfylla dina utgående SNAT-portkrav måste du fortfarande skapa och tillåta 16 offentliga IP-adressprefix.

Ett bättre alternativ för att skala och dynamiskt allokera utgående SNAT-portar är att använda en Azure NAT Gateway. Den tillhandahåller 64 512 SNAT-portar per offentlig IP-adress och har stöd för upp till 16 offentliga IP-adresser. Detta ger i praktiken upp till 1 032 192 utgående SNAT-portar. Azure NAT Gateway allokerar även SNAT-portar dynamiskt på undernätsnivå, så alla SNAT-portar som tillhandahålls av dess associerade IP-adresser är tillgängliga på begäran för att tillhandahålla utgående anslutning.

När en NAT-gatewayresurs är associerad med ett Azure Firewall-undernät använder all utgående Internettrafik automatiskt nat-gatewayens offentliga IP-adress. Du behöver inte konfigurera användardefinierade vägar. Svarstrafik till ett utgående flöde passerar också via NAT-gatewayen. Om det finns flera IP-adresser som är associerade med NAT-gatewayen väljs IP-adressen slumpmässigt. Det går inte att ange vilken adress som ska användas.

Det finns ingen dubbel NAT med den här arkitekturen. Azure Firewall-instanser skickar trafiken till NAT-gatewayen med sin privata IP-adress i stället för den offentliga IP-adressen för Azure Firewall.

Kommentar

Distribution av NAT-gateway med en zonredundant brandvägg rekommenderas inte distributionsalternativ, eftersom NAT-gatewayen inte stöder zonredundant distribution just nu. För att kunna använda NAT-gateway med Azure Firewall krävs en zonindelad brandväggsdistribution.

Dessutom stöds inte Azure NAT Gateway-integrering för närvarande i arkitekturer för skyddat virtuellt hubbnätverk (vWAN). Du måste distribuera med hjälp av en arkitektur för ett virtuellt navnätverk. Detaljerad vägledning om hur du integrerar NAT-gateway med Azure Firewall i en nav- och ekernätverksarkitektur finns i självstudien om INTEGRERING av NAT-gateway och Azure Firewall. Mer information om arkitekturalternativ för Azure Firewall finns i Vad är arkitekturalternativen för Azure Firewall Manager?.

Associera en NAT-gateway med ett Azure Firewall-undernät – Azure PowerShell

I följande exempel skapas och kopplas en NAT-gateway till ett Azure Firewall-undernät med hjälp av Azure PowerShell.

# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'

# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard

# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork

Associera en NAT-gateway med ett Azure Firewall-undernät – Azure CLI

I följande exempel skapas och kopplas en NAT-gateway till ett Azure Firewall-undernät med hjälp av Azure CLI.

# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard

# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2

# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat

Nästa steg

• Mer information finns i Skala Azure Firewall SNAT-portar med NAT Gateway för stora arbetsbelastningar.
• Utforma virtuella nätverk med en NAT-gateway
• Integrera NAT-gateway med Azure Firewall i ett nav- och ekernätverk