Azure NAT Gateway ile SNAT bağlantı noktalarını ölçeklendirme
Azure Güvenlik Duvarı arka uç sanal makine ölçek kümesi örneği başına yapılandırılan genel IP adresi başına 2.496 SNAT bağlantı noktası sağlar (En az iki örnek) ve en fazla 250 genel IP adresi ilişkilendirebilirsiniz. Mimarinize ve trafik desenlerinize bağlı olarak, bu yapılandırmaya sahip 1.248.000'den fazla kullanılabilir SNAT bağlantı noktası gerekebilir. Örneğin, bunu Microsoft 365 Uygulamaları ile tümleşen büyük Azure Sanal Masaüstü dağıtımlarını korumak için kullandığınızda.
Çok sayıda genel IP adresi kullanmanın zorluklarından biri, aşağı akış IP adresi filtreleme gereksinimlerinin olmasıdır. Azure Güvenlik Duvarı birden çok genel IP adresiyle ilişkilendirildiğinde, filtreleme gereksinimlerini onunla ilişkili tüm genel IP adreslerine uygulamanız gerekir. Genel IP adresi ön eklerini kullanıyor olsanız ve giden SNAT bağlantı noktası gereksinimlerinizi karşılamak için 250 genel IP adresini ilişkilendirmeniz gerekse bile, yine de 16 genel IP adresi ön eki oluşturmanız ve izin vermeniz gerekir.
Giden SNAT bağlantı noktalarını ölçeklendirmek ve dinamik olarak ayırmak için daha iyi bir seçenek, Azure NAT Ağ Geçidi kullanmaktır. Genel IP adresi başına 64.512 SNAT bağlantı noktası sağlar ve en fazla 16 genel IP adresini destekler. Bu, 1.032.192'ye kadar giden SNAT bağlantı noktası sağlar. Azure NAT Gateway ayrıca SNAT bağlantı noktalarını bir alt ağ düzeyinde dinamik olarak ayırdığından, ilişkili IP adresleri tarafından sağlanan tüm SNAT bağlantı noktaları isteğe bağlı olarak giden bağlantı sağlamak için kullanılabilir.
Bir NAT ağ geçidi kaynağı bir Azure Güvenlik Duvarı alt ağıyla ilişkilendirildiğinde, tüm giden İnternet trafiği otomatik olarak NAT ağ geçidinin genel IP adresini kullanır. Kullanıcı Tanımlı Yolları yapılandırmaya gerek yoktur. Giden akışa gelen yanıt trafiği de NAT ağ geçidinden geçer. NAT ağ geçidiyle ilişkili birden çok IP adresi varsa, IP adresi rastgele seçilir. Hangi adresin kullanılacağını belirtmek mümkün değildir.
Bu mimaride çift NAT yoktur. Azure Güvenlik Duvarı örnekleri trafiği genel IP adresi Azure Güvenlik Duvarı yerine özel IP adreslerini kullanarak NAT ağ geçidine gönderir.
Not
NAT ağ geçidinin tek bir örneği şu anda bölgesel olarak yedekli dağıtımı desteklemediğinden, nat ağ geçidinin alanlar arası yedekli bir güvenlik duvarıyla dağıtılması önerilmez.
Ayrıca Azure NAT Ağ Geçidi tümleştirmesi şu anda güvenli sanal merkez ağı (vWAN) mimarilerinde desteklenmemektedir. Bir merkez sanal ağ mimarisi kullanarak dağıtmanız gerekir. NAT ağ geçidini merkez-uç ağ mimarisindeki Azure Güvenlik Duvarı tümleştirme hakkında ayrıntılı yönergeler için NAT ağ geçidi ve Azure Güvenlik Duvarı tümleştirme öğreticisine bakın. Azure Güvenlik Duvarı mimari seçenekleri hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı Manager mimari seçenekleri nelerdir?.
NAT ağ geçidini bir Azure Güvenlik Duvarı alt ağıyla ilişkilendirme - Azure PowerShell
Aşağıdaki örnek, Azure PowerShell kullanarak Azure Güvenlik Duvarı bir alt ağa sahip bir NAT ağ geçidi oluşturur ve ekler.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
NAT ağ geçidini Azure Güvenlik Duvarı bir alt ağ ile ilişkilendirme - Azure CLI
Aşağıdaki örnek, Azure CLI kullanarak Azure Güvenlik Duvarı bir alt ağa sahip bir NAT ağ geçidi oluşturur ve ekler.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat
Sonraki adımlar
- Daha fazla bilgi için bkz. Büyük iş yükleri için NAT Gateway ile SNAT bağlantı noktalarını ölçeklendirme Azure Güvenlik Duvarı.
- NAT ağ geçidi ile sanal ağlar tasarlama
- NAT ağ geçidini merkez-uç ağındaki Azure Güvenlik Duvarı tümleştirme