Azure PowerShell'i kullanarak birden çok IP adresiyle Azure Firewall dağıtma

Bu özellik aşağıdaki senaryoları etkinleştirir:

• DNAT - Birden çok standart bağlantı noktası örneğini arka uç sunucularınıza çevirebilirsiniz. Örneğin iki genel IP adresini varsa 3389 (RDP) numaralı TCP bağlantı noktasını iki IP adresi için çevirebilirsiniz.
• SNAT - Giden SNAT bağlantıları için ek bağlantı noktaları sağlanır ve bu da SNAT bağlantı noktası tükenmesi olasılığını azaltır. Azure Güvenlik Duvarı, bir bağlantı için kullanılacak ilk kaynak genel IP adresini rastgele seçer ve ilk IP'den bağlantı noktaları tükendikten sonra başka bir genel IP seçer. Ağınızda aşağı akış filtresi varsa güvenlik duvarınızla ilişkilendirilmiş olan tüm genel IP adreslerine izin vermeniz gerekir. Bu yapılandırmayı basitleştirmek için genel IP adresi ön eki kullanmayı göz önünde bulundurun.

Birden çok genel IP adresi olan Azure Güvenlik Duvarı Azure portalı, Azure PowerShell, Azure CLI, REST ve şablonlar aracılığıyla kullanılabilir.
En fazla 250 genel IP adresi olan bir Azure Güvenlik Duvarı dağıtabilirsiniz, ancak DNAT hedef kuralları da en fazla 250'ye kadar sayılır. Genel IP'ler + DNAT hedef kuralı = en fazla 250.

Not

Yüksek trafik hacmi ve aktarım hızına sahip senaryolarda, giden bağlantı sağlamak için NAT Ağ Geçidi kullanılması önerilir. SNAT bağlantı noktaları, NAT Gateway ile ilişkili tüm genel IP'ler arasında dinamik olarak ayrılır. Daha fazla bilgi edinmek için bkz. NAT Gateway'i Azure Güvenlik Duvarı ile tümleştirme.

Aşağıdaki Azure PowerShell örnekleri, Azure Güvenlik Duvarı için genel IP adreslerini nasıl yapılandırabileceğinizi, ekleyebileceğinizi ve kaldırabileceğinizi gösterir.

Önemli

İlk ipConfiguration'ı Azure Güvenlik Duvarı genel IP adresi yapılandırma sayfasından kaldıramazsınız. IP adresini değiştirmek istiyorsanız Azure PowerShell'i kullanabilirsiniz.

İki veya daha fazla genel IP adresiyle güvenlik duvarı oluşturma

Bu örnek, iki genel IP adresiyle sanal ağ sanal ağına bağlı bir güvenlik duvarı oluşturur.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Mevcut güvenlik duvarına genel IP adresi ekleme

Bu örnekte, azFwPublicIp1 genel IP adresi güvenlik duvarına eklenmiştir.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Mevcut bir güvenlik duvarından genel IP adresini kaldırma

Bu örnekte azFwPublicIp1 genel IP adresi güvenlik duvarından ayrılmıştır.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Sonraki adımlar

• Hızlı Başlangıç: Birden çok genel IP adresiyle Azure Güvenlik Duvarı oluşturma - Resource Manager şablonu