この機能により、次のシナリオが可能になります。
- DNAT - 複数の標準ポート インスタンスをバックエンド サーバーに変換できます。 たとえば、2 つのパブリック IP アドレスがある場合、両方の IP アドレス用の TCP ポート 3389 (RDP) を変換できます。
- SNAT -送信 SNAT 接続に追加のポートを使用できるので、SNAT ポートが不足する可能性が低減されます。 Azure Firewall は、接続に使用する最初のソース パブリック IP アドレスをランダムに選択し、最初の IP のポートが使い果たされた後で別のパブリック IP を選択します。 ネットワークにダウンストリーム フィルターがある場合、ファイアウォールに関連付けられているすべてのパブリック IP アドレスを許可する必要があります。 この構成を簡略化するには、パブリック IP アドレス プレフィックスを使用することを検討してください。
Azure Portal、Azure PowerShell、Azure CLI、REST、およびテンプレートを使用して、複数のパブリック IP アドレスを使用して Azure Firewall にアクセスできます。 最大 250 個のパブリック IP アドレスを持つハブ仮想ネットワークに Azure Firewall をデプロイできます。 ただし、DNAT 宛先ルールも最大 250 にカウントされます。 Bring Your Own Public IP を使用した VHUB デプロイでの Azure Firewall の制限は 250 アドレスであり、クラシック VHUB デプロイの場合は 80 個のパブリック IP アドレスです。
注
トラフィック量とスループットが高いシナリオでは、 NAT ゲートウェイ を使用して送信接続を提供します。 NAT ゲートウェイは、関連付けられているすべてのパブリック IP に SNAT ポートを動的に割り当てます。 詳細については、 NAT ゲートウェイと Azure Firewall の統合に関するページを参照してください。
以下の Azure PowerShell の例は、Azure Firewall のパブリック IP アドレスを構成、追加、および削除する方法を示しています。
重要
Azure Firewall のパブリック IP アドレス構成ページから最初の IP 構成を削除することはできません。 IP アドレスを変更する場合は、Azure PowerShell を使用します。
2 つ以上のパブリック IP アドレスを使用するファイアウォールを作成する
この例では、2 つのパブリック IP アドレスを使用して、仮想ネットワーク myVirtualNetwork に接続されたファイアウォールを作成します。 Get-AzVirtualNetwork を使用して既存の仮想ネットワークを取得し、New-AzPublicIpAddress を使用して各パブリック IP アドレスを作成し、New-AzFirewall を使用して両方の IP でファイアウォールをデプロイします。
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "myVirtualNetwork" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName $rgName `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName $rgName `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
既存のファイアウォールにパブリック IP アドレスを追加する
この例では、パブリック IP アドレス azFwPublicIp1 がファイアウォールにアタッチされます。 New-AzPublicIpAddress を使用して新しい IP を作成し、Get-AzFirewall を使用して既存のファイアウォール オブジェクトを取得し、Set-AzFirewall を使用して更新された構成を保存します。
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
既存のファイアウォールからパブリック IP アドレスを削除する
この例では、パブリック IP アドレス azFwPublicIp1 がファイアウォールからデタッチされます。 Get-AzPublicIpAddress を使用して既存の IP を取得し、Get-AzFirewall を使用してファイアウォール オブジェクトを取得し、Set-AzFirewall を使用して更新された構成を保存します。
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall