Nasazení služby Azure Firewall s několika veřejnými IP adresami pomocí Azure PowerShellu
Tato funkce umožňuje následující scénáře:
- DNAT – Na back-endové servery můžete přeložit několik standardních instancí portů. Například pokud máte dvě veřejné IP adresy, můžete pro obě IP adresy překládat port TCP 3389 (RDP).
- SNAT – Pro odchozí připojení SNAT jsou k dispozici další porty, což snižuje potenciál vyčerpání portů SNAT. Azure Firewall náhodně vybere první zdrojovou veřejnou IP adresu, kterou se má použít pro připojení, a po vyčerpání portů z první IP adresy vybere jinou veřejnou IP adresu. Pokud ve své síti využíváte následné filtrování, musíte povolit všechny veřejné IP adresy přidružené k vaší bráně firewall. Pokud chcete tuto konfiguraci zjednodušit, zvažte použití předpony veřejné IP adresy.
Služba Azure Firewall s více veřejnými IP adresami je k dispozici prostřednictvím webu Azure Portal, prostředí Azure PowerShell, rozhraní Azure CLI, REST a šablon.
Službu Azure Firewall s až 250 veřejnými IP adresami můžete nasadit, ale cílová pravidla DNAT se také započítávají do maximálního počtu 250.
Veřejné IP adresy + cílové pravidlo DNAT = maximálně 250.
Poznámka:
Ve scénářích s velkým objemem provozu a propustností se doporučuje použít službu NAT Gateway k zajištění odchozího připojení. Porty SNAT se dynamicky přidělují napříč všemi veřejnými IP adresami přidruženými ke službě NAT Gateway. Další informace najdete v tématu Integrace služby NAT Gateway se službou Azure Firewall.
Následující příklady Azure PowerShellu ukazují, jak můžete nakonfigurovat, přidat a odebrat veřejné IP adresy pro Azure Firewall.
Důležité
První konfiguraci ipConfiguration nemůžete odebrat ze stránky konfigurace veřejné IP adresy služby Azure Firewall. Pokud chcete upravit IP adresu, můžete použít Azure PowerShell.
Vytvoření brány firewall se dvěma nebo více veřejnými IP adresami
Tento příklad vytvoří bránu firewall připojenou k virtuální síti virtuální sítě se dvěma veřejnými IP adresami.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Přidání veřejné IP adresy do existující brány firewall
V tomto příkladu je veřejná IP adresa azFwPublicIp1 připojená k bráně firewall.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Odebrání veřejné IP adresy z existující brány firewall
V tomto příkladu je veřejná IP adresa azFwPublicIp1 odpojena od brány firewall.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall