Развертывание Брандмауэра Azure с использованием нескольких общедоступных IP-адресов с помощью Azure PowerShell
Эта функция поддерживает следующие сценарии:
- DNAT. Позволяет преобразовать несколько стандартных экземпляров порта для внутренних серверов. Например, если существует два общедоступных IP-адреса, то для обоих IP-адреса можно преобразовать TCP-порт 3389 (RDP).
- SNAT. Дополнительные порты доступны для исходящих SNAT подключений, что снижает вероятность нехватки SNAT портов. Брандмауэр Azure случайным образом выбирает первый общедоступный IP-адрес источника для подключения и выбирает другой общедоступный IP-адрес после исчерпания портов из первого IP-адреса. Если в сети установлена любая фильтрация, необходимо разрешить все публичные IP-адреса, которые связанные с брандмауэром. Чтобы упростить эту настройку, можно использовать префикс общедоступного IP-адреса.
Портал Azure, Azure PowerShell, Azure CLI, REST и шаблоны позволяют использовать брандмауэр Azure с несколькими общедоступными IP-адресами.
Вы можете развернуть Брандмауэр Azure до 250 общедоступных IP-адресов, однако правила назначения DNAT также будут учитываться до 250 максимальных значений.
Общедоступные IP-адреса + правило назначения DNAT = 250 макс.
Примечание.
В сценариях с большим объемом трафика и пропускной способностью рекомендуется использовать шлюз NAT для обеспечения исходящего подключения. Порты SNAT динамически выделяются во всех общедоступных IP-адресах, связанных с шлюзом NAT. Дополнительные сведения см. в статье об интеграции шлюза NAT с Брандмауэр Azure.
В следующих примерах Azure PowerShell показано, как можно настроить, добавить и удалить общедоступные IP-адреса для брандмауэра Azure.
Внимание
Вы не можете удалить первую конфигурацию ipConfiguration со страницы конфигурации общедоступного IP-адреса брандмауэра Azure. Если вы хотите изменить IP-адрес, можно использовать Azure PowerShell.
Создание брандмауэра с несколькими общедоступными IP-адресами
В этом примере создается брандмауэр, подключенный к виртуальной сети с двумя общедоступными IP-адресами.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Добавление общедоступного IP-адреса в существующий брандмауэр
В этом примере общедоступный IP-адрес azFwPublicIp1 подключен к брандмауэру.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Удаление общедоступного IP-адреса из существующего брандмауэра
В этом примере общедоступный IP-адрес azFwPublicIp1 окончательно удален из брандмауэра.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall