Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Firewall di Azure fornisce 2.496 porte SNAT per ogni indirizzo IP pubblico configurato per ogni istanza del set di scalabilità di macchine virtuali back-end (almeno due istanze) ed è possibile associare fino a 250 indirizzi IP pubblici. A seconda dell'architettura e dei modelli di traffico, potrebbero essere necessari più di 1.248.000 porte SNAT disponibili con questa configurazione. Ad esempio, quando viene usato per proteggere distribuzioni di grandi dimensioni Desktop virtuale Azure che si integrano con Microsoft 365 Apps.
Uno dei problemi relativi all'uso di un numero elevato di indirizzi IP pubblici è quando esistono requisiti di filtro degli indirizzi IP downstream. Quando Firewall di Azure è associato a più indirizzi IP pubblici, è necessario applicare i requisiti di filtro in tutti gli indirizzi IP pubblici associati. Anche se si usano prefissi di indirizzi IP pubblici ed è necessario associare 250 indirizzi IP pubblici per soddisfare i requisiti di porta SNAT in uscita, è comunque necessario creare e consentire 16 prefissi di indirizzi IP pubblici.
Un'opzione migliore per ridimensionare e allocare dinamicamente le porte SNAT in uscita consiste nell'usare un Gateway NAT di Azure. Fornisce 64.512 porte SNAT per indirizzo IP pubblico e supporta fino a 16 indirizzi IP pubblici IPv4. In questo modo è possibile ottenere fino a 1.032.192 porte SNAT in uscita. Gateway NAT di Azure anche alloca dinamicamente le porte SNAT a livello di subnet, quindi tutte le porte SNAT fornite dagli indirizzi IP associati sono disponibili su richiesta per fornire connettività in uscita.
Quando una risorsa gateway NAT è associata a una subnet Firewall di Azure, tutto il traffico Internet in uscita usa automaticamente l'indirizzo IP pubblico del gateway NAT. Non è necessario configurare route definite dall'utente. Il traffico di risposta a un flusso in uscita passa anche attraverso il gateway NAT. Se al gateway NAT sono associati più indirizzi IP, l'indirizzo IP viene selezionato in modo casuale. Non è possibile specificare l'indirizzo da usare.
Questa architettura non include il doppio NAT. Le istanze di Firewall di Azure inviano il traffico al gateway NAT usando il loro indirizzo IP privato anziché l'indirizzo IP pubblico di Firewall di Azure.
Scegliere tra più indirizzi IP pubblici e gateway NAT
Quando il firewall sta esaurendo le porte SNAT, è possibile aggiungere più indirizzi IP pubblici o utilizzare un gateway NAT:
- Aggiungere più indirizzi IP pubblici quando si è sensibili ai costi e le esigenze di scalabilità sono moderate. Ogni indirizzo IP pubblico aggiunge 2.496 porte SNAT ed è possibile associare fino a 250. Per la procedura, vedere Distribuire un Firewall di Azure con più indirizzi IP pubblici.
- Usare un gateway NAT (descritto in questo articolo) quando è necessaria una soluzione più scalabile e affidabile. Fornisce fino a 64.512 porte SNAT per ogni indirizzo IP pubblico e le alloca dinamicamente nella subnet.
Per un confronto completo dei vantaggi e degli svantaggi, vedi Procedure consigliate per le prestazioni di Firewall di Azure.
Nota
La distribuzione del gateway NAT con un firewall con ridondanza della zona non è un'opzione di distribuzione consigliata, perché il gateway NAT Standard non supporta le distribuzioni con ridondanza della zona. Il gateway NAT StandardV2 supporta le distribuzioni ridondanti a livello di zona. Per una guida passo-passo, consulta Integrare Firewall di Azure con il gateway NAT V2. Per altre informazioni sulle differenze di SKU, vedere SKU del gateway NAT.
Gateway NAT di Azure non è supportato nell'architettura dell'hub virtuale protetto (vWAN). Per l'utilizzo in un'architettura vWAN, il gateway NAT deve essere configurato direttamente sulle reti virtuali spoke associate all'hub virtuale protetto (vWAN). Per indicazioni dettagliate sull'integrazione del gateway NAT con Firewall di Azure in un'architettura di rete hub-spoke, fare riferimento all'esercitazione di integrazione tra Gateway NAT e Firewall di Azure
Associare un gateway NAT a una subnet di Firewall di Azure - Azure PowerShell
Nell'esempio seguente viene creato e collegato un gateway NAT a una subnet Firewall di Azure usando Azure PowerShell.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
Associare un gateway NAT a una subnet del Firewall di Azure - interfaccia della riga di comando di Azure
Nell'esempio seguente viene creato e collegato un gateway NAT a una subnet Firewall di Azure usando interfaccia della riga di comando di Azure.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2 --sku standard
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat