Поделиться через


IP-группы в Брандмауэре Azure

IP-адреса можно собирать в таких группах и управлять ими в правилах Брандмауэра Azure следующим образом:

  • Как адресом источника в правилах DNAT.
  • Как адресом источника или назначения в правилах сети.
  • Как адресом источника в правилах приложения

Группа IP-адресов может состоять из одного IP-адреса, нескольких IP-адресов или из одного или нескольких диапазонов IP-адресов или сочетания адресов и диапазонов.

Группы IP-адресов можно повторно использовать в правилах брандмауэра Azure DNAT, а также в правилах сети и приложений для нескольких брандмауэров в разных регионах и подписках Azure. Имена групп должны быть уникальными. Вы можете настроить группу IP-адресов в портале Azure, Azure CLI или REST API. Пример шаблона поможет вам приступить к работе.

Формат образца

В группах IP-адресов допускаются адреса IPv4 следующего формата:

  • Один адрес: 10.0.0.0
  • Нотация CIDR: 10.1.0.0/32
  • Диапазон адресов: 10.2.0.0–10.2.0.31

Создание группы IP-адресов

Группы IP-адресов можно создать в портале Azure и с помощью Azure CLI или REST API. Подробнее: Создание группы IP-адресов.

Просмотр групп IP-адресов

  1. На панели поиска портал Azure введите Группы IP-адресов и выберите их. Вы можете просмотреть список групп IP-адресов или нажать кнопку Добавить, чтобы создать группу IP-адресов.

  2. Выберите группу IP-адресов, чтобы открыть страницу обзора. Вы можете изменять, добавлять и удалять IP-адреса и группы IP-адресов.

    Общие сведения о группах IP-адресов

Управление группой IP-адресов

Вы можете просмотреть все IP-адреса в группе, а также связанные с ними правила или ресурсы. Чтобы удалить группу IP-адресов, необходимо сначала отменить связь между группой и ресурсом, который ее использует.

  1. Чтобы просмотреть или изменить IP-адреса, выберите IP-адреса в разделе Параметры.
  2. Чтобы добавить один или несколько IP-адресов, выберите Добавить IP-адреса. Откроется страница Перетаскивание или обзор для загрузки или ручного ввода IP-адресов.
  3. Чтобы изменить или удалить IP-адреса, нажмите кнопку с многоточием (...) справа. Чтобы изменить или удалить несколько IP-адресов, установите флажки и в верхней части экрана нажмите кнопку Изменить или Удалить.
  4. Также можно экспортировать файл в формате CSV.

Примечание.

Если удалить все IP-адреса в группе, которая используется в правиле, то это правило будет пропущено.

Использование группы IP-адресов

Теперь можно выбрать группу IP-адресов в качестве типа источника или назначения для IP-адресов при создании правил Брандмауэра Azure DNAT, приложения или сети.

Группы IP-адресов в брандмауэре

Обновления параллельной IP-группы (предварительная версия)

Теперь можно одновременно обновлять несколько групп IP-адресов. Это особенно полезно для администраторов, которые хотят быстро вносить изменения конфигурации и масштабироваться, особенно при внесении этих изменений с помощью подхода о работе разработки (шаблоны, ARM, CLI и Azure PowerShell).

С помощью этой поддержки теперь можно:

  • Обновление 50 ГРУПП IP-адресов за раз
  • Обновление политики брандмауэра и брандмауэра во время обновлений группы IP-адресов
  • Использование одной и той же группы IP-адресов в родительской и дочерней политике
  • Обновление нескольких IP-групп, на которые ссылается политика брандмауэра или классический брандмауэр одновременно
  • Получение новых и улучшенных сообщений об ошибках
    • Сбой и успешное состояние

      Например, если произошла ошибка с одним обновлением группы IP из 20 параллельных обновлений, другие обновления продолжаются, а ошибка группы IP-адресов завершается ошибкой. Кроме того, если обновление группы IP-адресов завершается сбоем, и брандмауэр по-прежнему работоспособен, брандмауэр остается в состоянии "Успешно". Чтобы проверить, не удалось ли обновление группы IP-адресов или выполнено успешно, можно просмотреть состояние ресурса группы IP.

Чтобы активировать поддержку параллельной IP-группы, можно зарегистрировать функцию с помощью Azure PowerShell или портал Azure.

Azure PowerShell

Используйте следующие команды Azure PowerShell:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Это может занять несколько минут. После полной регистрации функции рассмотрите возможность немедленного выполнения обновления Брандмауэр Azure для того, чтобы изменения вступят в силу немедленно.

Портал Azure

  1. Перейдите к функциям предварительной версии в портал Azure.
  2. Поиск и регистрация AzureFirewallParallelIPGroupUpdate.
  3. Убедитесь, что эта функция включена.

Снимок экрана: функция параллельных групп IP-адресов.

Доступность по регионам

IP-группы доступны во всех регионах общедоступного облака.

Ограничения для IP-адресов

Ограничения группы IP см. в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.

Для управления группами IP-адресов применяются следующие командлеты Azure PowerShell:

Следующие шаги