Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Firewall fornisce 2.496 porte SNAT per ogni indirizzo IP pubblico configurato per ogni istanza del set di scalabilità di macchine virtuali back-end (almeno due istanze) ed è possibile associare fino a 250 indirizzi IP pubblici. A seconda dell'architettura e dei modelli di traffico, potrebbero essere necessari più di 1.248.000 porte SNAT disponibili con questa configurazione. Ad esempio, quando viene usato per proteggere distribuzioni di grandi dimensioni Azure Virtual Desktop che si integrano con Microsoft 365 Apps.
Uno dei problemi relativi all'uso di un numero elevato di indirizzi IP pubblici è quando esistono requisiti di filtro degli indirizzi IP downstream. Quando Azure Firewall è associato a più indirizzi IP pubblici, è necessario applicare i requisiti di filtro in tutti gli indirizzi IP pubblici associati. Anche se si usano prefissi di indirizzi IP pubblici ed è necessario associare 250 indirizzi IP pubblici per soddisfare i requisiti di porta SNAT in uscita, è comunque necessario creare e consentire 16 prefissi di indirizzi IP pubblici.
Un'opzione migliore per ridimensionare e allocare dinamicamente le porte SNAT in uscita consiste nell'usare un Azure NAT Gateway. Fornisce 64.512 porte SNAT per indirizzo IP pubblico e supporta fino a 16 indirizzi IP pubblici IPv4. In questo modo è possibile ottenere fino a 1.032.192 porte SNAT in uscita. Azure NAT Gateway anche alloca dinamicamente le porte SNAT a livello di subnet, quindi tutte le porte SNAT fornite dagli indirizzi IP associati sono disponibili su richiesta per fornire connettività in uscita.
Quando una risorsa gateway NAT è associata a una subnet Azure Firewall, tutto il traffico Internet in uscita usa automaticamente l'indirizzo IP pubblico del gateway NAT. Non è necessario configurare route definite dall'utente. Il traffico di risposta a un flusso in uscita passa anche attraverso il gateway NAT. Se al gateway NAT sono associati più indirizzi IP, l'indirizzo IP viene selezionato in modo casuale. Non è possibile specificare l'indirizzo da usare.
Questa architettura non include il doppio NAT. Le istanze di Azure Firewall inviano il traffico al gateway NAT usando il loro indirizzo IP privato anziché l'indirizzo IP pubblico di Azure Firewall.
Nota
La distribuzione del gateway NAT con un firewall con ridondanza della zona non è un'opzione di distribuzione consigliata, perché il gateway NAT Standard non supporta le distribuzioni con ridondanza della zona. Il gateway NAT StandardV2 supporta le distribuzioni ridondanti a livello di zona. Per altre informazioni, vedere SKU del gateway NAT.
Azure NAT Gateway non è supportato nell'architettura dell'hub virtuale protetto (vWAN). Per l'utilizzo in un'architettura vWAN, il gateway NAT deve essere configurato direttamente sulle reti virtuali spoke associate all'hub virtuale protetto (vWAN). Per indicazioni dettagliate sull'integrazione del gateway NAT con Azure Firewall in un'architettura di rete hub-spoke, fare riferimento all'esercitazione di integrazione tra Gateway NAT e Azure Firewall
Associare un gateway NAT a una subnet di Azure Firewall - Azure PowerShell
Nell'esempio seguente viene creato e collegato un gateway NAT a una subnet Azure Firewall usando Azure PowerShell.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
Associare un gateway NAT a una subnet del Firewall di Azure - Azure CLI
Nell'esempio seguente viene creato e collegato un gateway NAT a una subnet Azure Firewall usando Azure CLI.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2 --sku standard
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat