你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过 IP 组,可以轻松对 Azure 防火墙规则的 IP 地址进行分组和管理。 通过以下方式使用 IP 组:
- 作为 DNAT 规则中的源地址
- 作为网络规则中的源或目标地址
- 作为应用程序规则中的源地址
IP 组可以包括单个 IP 地址、多个 IP 地址、一个或多个 IP 地址范围或地址和范围的组合。
可以在 Azure 防火墙的 DNAT、网络和应用程序规则中使用 IP 组,以便在 Azure 中的不同区域和订阅中管理多个防火墙。 组名称必须是唯一的。 可以在 Azure 门户、Azure CLI 或 REST API 中配置 IP 组。 提供有帮助你入门的一个示例模板。
示例格式
可以在 IP 组中使用以下有效的示例 IPv4 地址格式:
- 单个地址:10.0.0.0
- CIDR 表示法:10.1.0.0/32
- 地址范围:10.2.0.0-10.2.0.31
创建 IP 组
使用 Azure 门户、Azure CLI 或 REST API 创建 IP 组。 有关详细信息,请参阅创建 IP 组。
浏览 IP 组
- 在 Azure 门户搜索栏中,键入
IP Groups并选择它。 可以查看 IP 组的列表,也可以选择“ 添加 ”以创建新的 IP 组。 - 选择一个 IP 组以打开概述页面。 可以编辑、添加或删除 IP 地址或 IP 组。
管理 IP 组
你可以查看 IP 组中的所有 IP 地址以及与其关联的规则或资源。 若要删除 IP 组,必须先将 IP 组与使用该 IP 组的资源取消关联。
- 若要查看或编辑 IP 地址,请在左窗格中的“设置”下选择“IP 地址”。
- 若要添加单个或多个 IP 地址,请选择 “添加 IP 地址”。 此操作将打开 上传的“拖动”或“浏览” 页,也可以手动输入地址。
- 选择右侧的省略号(...),编辑或删除 IP 地址。 若要编辑或删除多个 IP 地址,请选中复选框,然后选择顶部的“编辑或删除”。
- 最后,可以导出 CSV 文件格式的文件。
注意
如果删除 IP 组中的所有 IP 地址,但该 IP 组仍在规则中使用,则会跳过该规则。
使用 IP 组
创建 Azure 防火墙 DNAT、应用程序或网络规则时,选择 IP 组 作为 IP 地址的 源类型 或 目标类型 。
并行 IP 组更新
可以同时并行更新多个 IP 组。 此功能对于需要更快大规模更改的环境特别有用,尤其是在使用开发运营方法(模板、ARM、CLI 和 Azure PowerShell)进行更改时。
通过使用此功能,可以:
一次更新 20 个 IP 组: 在一个操作中最多对 20 个 IP 组执行同步更新,由防火墙策略或经典防火墙引用。
将 Azure 防火墙和 IP 组更新为一起: 使用防火墙或防火墙策略同时更新 IP 组。
提高效率: 并行 IP 组更新现在运行的速度是快两倍。
接收新的和改进的错误消息:
错误消息 说明 建议的操作 处于失败状态(跳过更新) Azure 防火墙或防火墙策略处于失败状态。 在资源正常之前,更新无法继续。 查看以前的操作并更正任何错误配置,以确保资源健康。 后端服务器目前无法更新防火墙 后端服务器无法成功处理请求。 创建支持请求。 FW 更新期间出错 此错误与基础后端服务器相关。 如果问题仍然存在,请重试该作或创建支持请求。 内部服务器错误 出现意外的后端错误。 重试该操作或创建支持请求。
另请注意以下状态更新:
- 一个或多个 IP 组失败: 如果一个 IP 组更新(超过 20 个并行更新)失败,则预配状态将更改为“失败”,而其余 IP 组继续更新并成功。
- 状态更新: 如果 IP 组更新失败,并且防火墙保持正常运行,其状态仍显示为“成功”。若要验证,请检查 IP 组资源本身的状态。
区域可用性
所有公有云区域均提供 IP 组。
IP 地址限制
有关 IP 组限制,请参阅 Azure 订阅和服务限制、配额和约束。
相关的 Azure PowerShell cmdlet
使用以下 Azure PowerShell cmdlet 创建和管理 IP 组:
- New-AzIpGroup
- Remove-AzIPGroup
- Get-AzIpGroup
- Set-AzIpGroup
- New-AzFirewallNetworkRule
- New-AzFirewallApplicationRule
- New-AzFirewallNatRule
后续步骤
- 了解如何部署和配置 Azure 防火墙。