Déployer un pare-feu Azure avec plusieurs adresses IP publiques à l’aide d’Azure PowerShell
Cette fonctionnalité donne accès aux scénarios suivants :
- DNAT -Vous pouvez traduire plusieurs instances de ports standard vers vos serveurs principaux. Par exemple, si vous avez deux adresses IP publiques, vous pouvez traduire le port TCP 3389 (RDP) pour ces deux adresses IP.
- SNAT - Des ports supplémentaires sont disponibles pour les connexions SNAT sortantes, réduisant ainsi le risque de pénurie de ports SNAT. Le Pare-feu Azure sélectionne de manière aléatoire la première adresse IP publique source à utiliser pour une connexion et sélectionne une autre adresse IP publique une fois que les ports de la première adresse IP ont été épuisés. Si votre réseau est doté d’un filtrage en aval, vous devez autoriser toutes les adresses IP publiques associées à votre pare-feu. Envisagez d’utiliser un préfixe d’adresse IP publique pour simplifier cette configuration.
Le Pare-feu Azure avec plusieurs adresses IP publiques est disponible par le biais du portail Azure, d’Azure PowerShell, d’Azure CLI, de REST et des modèles.
Vous pouvez déployer un pare-feu Azure avec un maximum de 250 adresses IP publiques, mais les règles de destination DNAT sont également incluses dans les 250.
IP publiques + règle de destination DNAT = 250 max.
Remarque
Dans les scénarios où le volume de trafic et le débit sont élevés, nous vous recommandons d’utiliser une Passerelle NAT pour fournir une connectivité sortante. Les ports SNAT sont alloués dynamiquement sur toutes les adresses IP publiques associées à la passerelle NAT. Pour en savoir plus, consultez Intégrer la passerelle NAT avec le Pare-feu Azure.
Les exemples de Azure PowerShell suivants montrent comment vous pouvez configurer, ajouter et supprimer des adresses IP publiques pour le Pare-feu Azure.
Important
Vous ne pouvez pas supprimer la configuration IP de la page de configuration de l’adresse IP publique du Pare-feu Azure. Si vous souhaitez modifier l’adresse IP, vous pouvez utiliser Azure PowerShell.
Créer un pare-feu avec deux ou plusieurs adresses IP publiques
Cet exemple crée un pare-feu associé au réseau virtuel vnet avec deux adresses IP publiques.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Ajouter une adresse IP publique à un pare-feu existant
Dans cet exemple, l’adresse IP publique azFwPublicIp1 est associée au pare-feu.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Supprimer une adresse IP publique d’un pare-feu existant
Dans cet exemple, l’adresse IP publique azFwPublicIp1 est dissociée du pare-feu.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall