Integrare Firewall di Azure con Azure Load Balancer Standard

È possibile integrare un firewall di Azure in una rete virtuale con un servizio di bilanciamento del carico standard di Azure (pubblico o interno).

La progettazione preferita consiste nell'integrare un servizio di bilanciamento del carico interno con il firewall di Azure, in quanto si tratta di una progettazione più semplice. È possibile usare un servizio di bilanciamento del carico pubblico se ne è già stato distribuito uno e si desidera mantenerlo. È tuttavia necessario tenere presente un problema di routing asimmetrico che può interrompere la funzionalità con lo scenario di bilanciamento del carico pubblico.

Per altre informazioni su Azure Load Balancer, vedere Informazioni su Azure Load Balancer.

Servizio di bilanciamento del carico pubblico

Un servizio di bilanciamento del carico pubblico viene distribuito con un indirizzo IP front-end pubblico.

Routing asimmetrico

Nel routing asimmetrico un pacchetto segue un percorso fino alla destinazione e un altro per tornare all'origine. Questo problema si verifica quando una subnet ha una route predefinita all'indirizzo IP privato del firewall e si usa un servizio di bilanciamento del carico pubblico. In questo caso, il traffico del servizio di bilanciamento del carico in ingresso viene ricevuto tramite l'indirizzo IP pubblico, ma il percorso di ritorno passa attraverso l'indirizzo IP privato del firewall. Poiché il firewall è con stato, elimina il pacchetto restituito perché il firewall non è a conoscenza di una sessione stabilita.

Risolvere il problema di routing

Quando si distribuisce un firewall di Azure in una subnet, un passaggio consiste nel creare una route predefinita per la subnet che indirizza i pacchetti tramite l'indirizzo IP privato del firewall che si trova in AzureFirewallSubnet. Per altre informazioni, vedere Esercitazione: Distribuire e configurare Firewall di Azure usando il portale di Azure.

Quando si introduce il firewall nello scenario di bilanciamento del carico, si vuole che il traffico Internet in ingresso passi attraverso l'indirizzo IP pubblico del firewall, da cui il firewall applica le proprie regole e invia tramite NAT i pacchetti all'indirizzo IP pubblico del servizio di bilanciamento del carico. L'origine del problema è questa. I pacchetti giungono all'indirizzo IP pubblico del firewall, ma tornano al firewall tramite l'indirizzo IP privato (usando la route predefinita). Per evitare questo problema, creare un'altra route host per l'indirizzo IP pubblico del firewall. I pacchetti trasmessi all'indirizzo IP pubblico del firewall vengono instradati tramite Internet. Questo evita di usare la route predefinita per indirizzo IP privato del firewall.

Diagramma del routing asimmetrico.

Esempio di tabella di route

Ad esempio, le route seguenti sono per un firewall in indirizzo IP pubblico 203.0.113.136 e indirizzo IP privato 10.0.1.4.

Screenshot della tabella di route.

Esempio di regola NAT

Nell'esempio seguente una regola NAT converte il traffico RDP nel firewall alla versione 203.0.113.136 nel servizio di bilanciamento del carico alla versione 203.0.113.220:

Screenshot della regola NAT.

Probe di integrità

Tenere presente che è necessario disporre di un servizio Web in esecuzione negli host nel pool di bilanciamento del carico se si usano probe di integrità TCP per la porta 80 o probe HTTP/HTTPS.

Servizio di bilanciamento del carico interno

Un servizio di bilanciamento del carico interno viene distribuito con un indirizzo IP front-end privato.

Questo scenario non presenta problemi di routing asimmetrico. I pacchetti in ingresso arrivano all'indirizzo IP pubblico del firewall, vengono convertiti nell'indirizzo IP privato del servizio di bilanciamento del carico e quindi tornano all'indirizzo IP privato del firewall usando lo stesso percorso di ritorno.

È quindi possibile distribuire questo scenario in modo simile allo scenario di bilanciamento del carico pubblico, ma senza la necessità della route host per l'indirizzo IP pubblico del firewall.

Le macchine virtuali nel pool back-end possono avere connettività Internet in uscita tramite il Firewall di Azure. Configurare una route definita dall'utente nella subnet della macchina virtuale con il firewall come hop successivo.

Sicurezza aggiuntiva

Per migliorare ulteriormente la sicurezza dello scenario con bilanciamento del carico, è possibile usare i gruppi di sicurezza di rete (NSG).

È ad esempio possibile creare un gruppo di sicurezza di rete nella subnet back-end in cui si trovano le macchine virtuali con bilanciamento del carico. Consentire il traffico in ingresso proveniente dall'indirizzo IP o dalla porta del firewall.

Screenshot del gruppo di sicurezza di rete.

Per altre informazioni sui gruppi di sicurezza di rete, vedere Gruppi di sicurezza.

Passaggi successivi