共用方式為

Azure 防火牆中的 IP 群組

  • 發行項

IP 群組允許您能用下列方式,來分組和管理 Azure 防火牆原則的 IP 位址:

  • 作為 DNAT 規則中的來源位址
  • 作為網路規則中的來源或目的地位址
  • 作為應用程式規則中的來源位址

IP 群組可以有單一 IP 位址、多個 IP 位址、一或多個 IP 位址範圍或位址與範圍組合。

IP 群組可以針對 Azure 中跨區域和訂閱多個防火牆的 Azure 防火牆 DNAT、網路及應用程式規則來重複使用。 群組名稱不得重複。 您可以在 Azure 入口網站、Azure CLI 或 REST API 中設定 IP 群組。 已提供範例範本來協助您開始使用。

樣本格式

下列 IPv4 位址格式範例適用於 IP 群組:

  • 單一位址:10.0.0.0
  • CIDR 標記法:10.1.0.0/32
  • 位址範圍:10.2.0.0-10.2.0.31

建立 IP 群組

IP 群組可以使用 Azure 入口網站、Azure CLI 或 REST API 來建立。 如需詳細資訊,請參閱 建立 IP 群組

瀏覽 IP 群組

  1. 在 Azure 入口網站搜尋列中,輸入 IP 群組 並加以選取。 您可以看到 IP 群組清單,或者也可以選取 [新增] 來建立新的 IP 群組。

  2. 選取 IP 群組以開啟概觀頁面。 您可以編輯、新增或刪除 IP 位址或 IP 群組。

    IP Groups overview

管理 IP 群組

您可以看到 IP 群組中的所有 IP 位址,以及與其相關聯的規則或資源。 如果要刪除 IP 群組,您必須先將 IP 群組與使用該群組的資源中斷關聯。

  1. 如果要檢視或編輯 IP 位址,請選取左窗格上 [設定] 下方的 [IP 位址]
  2. 如果要新增單一或多個 IP 位址,請選取 [新增 IP 位址]。 此將開啟 [拖曳或瀏覽] 頁面以進行上傳,或者您也可以手動輸入位址。
  3. 選取右側的省略符號 (...) 以編輯或刪除 IP 位址。 如果要編輯或刪除多個 IP 位址,請選取對應方塊,然後選取頂端的 [編輯][刪除]
  4. 最後,可以使用 CSV 檔案格式以匯出檔案。

注意

如果您在 IP 群組仍於規則中使用時刪除其中的所有 IP 位址,則會略過該規則。

使用 IP 群組

您現在可以在建立具有Azure 防火牆 DNAT、應用程式或網路規則的原則時,針對 IP 位址選取 [IP 群組] 作為 [來源類型][目的地類型]

IP Groups in Firewall

平行 IP 群組更新 (預覽)

您現在可以同時平行更新多個 IP 群組。 這很適合想要更快速且大規模地進行設定變更的系統管理員,特別是在使用開發作業方法 (範本、ARM、CLI 和 Azure PowerShell) 進行這些變更時。

透過此支援,您現在可以:

  • 一次更新 20 個 IP 群組
  • 在 IP 群組更新期間更新防火牆和防火牆原則
  • 在父代和子系原則中使用相同的 IP 群組
  • 同時更新防火牆原則或傳統防火牆所參考的多個 IP 群組
  • 接收新的和改善的錯誤訊息

    • 失敗和成功狀態

      例如,如果 20 個平行更新中有一個 IP 群組更新發生錯誤,則其他更新會繼續,且發生錯誤的 IP 群組會失敗。 此外,如果 IP 群組更新失敗,且防火牆仍然狀況良好,防火牆會維持在成功狀態。 若要檢查 IP 群組更新是否失敗或成功,您可以在 IP 群組資源上檢視狀態。

若要啟用平行 IP 群組支援,您可以使用 Azure PowerShell 或 Azure 入口網站來註冊該功能。

Azure PowerShell

使用下列 Azure PowerShell 命令:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

可能需要幾分鐘的時間,此設定才會生效。 在功能完全註冊之後,請考慮在 Azure 防火牆上執行更新,讓變更立即生效。

Azure 入口網站

  1. 瀏覽至 Azure 入口網站中的 [預覽功能]
  2. 搜尋並註冊 AzureFirewallParallelIPGroupUpdate
  3. 確保已啟用該功能。

Screenshot showing the parallel IP groups feature.

區域可用性

IP 群組適用於所有公用雲端區域。

IP 位址限制

如需 IP 群組限制的詳細資訊,請參閱 Azure 訂用帳戶和服務限制、配額與限制

下列 Azure PowerShell Cmdlet 可用來建立和管理 IP 群組:

下一步