scheda di interfaccia di rete di gestione Firewall di Azure
Nota
Questa funzionalità era precedentemente denominata Tunneling forzato. Originariamente, era necessaria una scheda di interfaccia di rete di gestione solo per il tunneling forzato. Tuttavia, le funzionalità del firewall future richiederanno anche una scheda di interfaccia di rete di gestione, quindi è stata disaccoppiata dal tunneling forzato. Tutta la documentazione pertinente è stata aggiornata per riflettere questo problema.
Una scheda di interfaccia di rete di gestione Firewall di Azure separa il traffico di gestione del firewall dal traffico dei clienti. Le funzionalità del firewall future richiederanno anche una scheda di interfaccia di rete di gestione. Per supportare una di queste funzionalità, è necessario creare un Firewall di Azure con la scheda di interfaccia di rete di gestione firewall abilitata o abilitarla in un Firewall di Azure esistente. Si tratta di un requisito obbligatorio per evitare interruzioni del servizio.
Cosa accade quando si abilita la scheda di interfaccia di rete di gestione
Se si abilita una scheda di interfaccia di rete di gestione, il firewall instrada il traffico di gestione tramite AzureFirewallManagementSubnet (dimensione minima subnet /26) con l'indirizzo IP pubblico associato. Assegnare questo indirizzo IP pubblico per il firewall per gestire il traffico. Viene usato esclusivamente dalla piattaforma di Azure e non è possibile destinarlo ad altri scopi. Tutto il traffico necessario per scopi operativi del firewall viene incorporato in AzureFirewallManagementSubnet.
Per impostazione predefinita, il servizio associa una tabella di route fornita dal sistema alla subnet di gestione. L'unica route consentita in questa subnet è una route predefinita per Internet e l'opzione Propaga route del gateway deve essere disabilitata. Evitare di associare le tabelle di route dei clienti alla subnet di gestione, perché ciò può causare interruzioni del servizio se configurate in modo non corretto. Se si associa una tabella di route, assicurarsi che abbia una route predefinita a Internet per evitare interruzioni del servizio.
Abilitare la scheda di interfaccia di rete di gestione nei firewall esistenti
Per le versioni del firewall Standard e Premium, la scheda di interfaccia di rete di gestione firewall deve essere abilitata manualmente durante il processo di creazione, come illustrato in precedenza, ma tutte le versioni del firewall di base e tutti i firewall dell'hub protetto hanno sempre una scheda di interfaccia di rete di gestione abilitata.
Per un firewall preesistente, è necessario arrestare il firewall e quindi riavviarlo con la scheda di interfaccia di rete di gestione firewall abilitata per supportare il tunneling forzato. L'arresto o l'avvio del firewall può essere usato per abilitare la scheda di interfaccia di rete di gestione firewall senza la necessità di eliminare un firewall esistente e ridistribuirne uno nuovo. È consigliabile avviare/arrestare sempre il firewall durante le ore di manutenzione per evitare interruzioni, incluso quando si tenta di abilitare la scheda di interfaccia di rete di gestione del firewall.
Eseguire la procedura descritta di seguito:
Creare nella
AzureFirewallManagementSubnetportale di Azure e usare l'intervallo di indirizzi IP appropriato per la rete virtuale.
Creare il nuovo indirizzo IP pubblico di gestione con le stesse proprietà dell'indirizzo IP pubblico del firewall esistente: SKU, livello e posizione.
Arrestare il firewall
Usare le informazioni in Firewall di Azure domande frequenti per arrestare il firewall:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $azfw.Deallocate() Set-AzFirewall -AzureFirewall $azfwAvviare il firewall con l'indirizzo IP pubblico e la subnet di gestione.
Avviare un firewall con un indirizzo IP pubblico e un indirizzo IP pubblico di gestione:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet, $pip, $mgmtPip) $azfw | Set-AzFirewallAvviare un firewall con due indirizzi IP pubblici e un indirizzo IP pubblico di gestione:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip) $azfw | Set-AzFirewallNota
È necessario riassegnare un firewall e un indirizzo IP pubblico al gruppo di risorse e alla sottoscrizione originali. Quando viene eseguito l'arresto/avvio, è possibile che l'indirizzo IP privato del firewall venga sostituito da un indirizzo IP diverso all'interno della subnet. Questo può influire sulla connettività delle tabelle di route configurate in precedenza.
Quando si visualizza il firewall nella portale di Azure, viene visualizzato l'indirizzo IP pubblico di gestione assegnato:
Nota
Se si rimuovono tutte le altre configurazioni degli indirizzi IP nel firewall, la configurazione dell'indirizzo IP di gestione viene rimossa e il firewall viene deallocato. L'indirizzo IP pubblico assegnato alla configurazione dell'indirizzo IP di gestione non può essere rimosso, ma è possibile assegnare un indirizzo IP pubblico diverso.