Udostępnij za pośrednictwem

Integracja usługi Azure Firewall z usługą Azure Load Balancer w warstwie Standardowa

  • Artykuł

Usługę Azure Firewall można zintegrować z siecią wirtualną z usługą Azure usługa Load Balancer w warstwie Standardowa (publiczną lub wewnętrzną).

Preferowanym projektem jest zintegrowanie wewnętrznego modułu równoważenia obciążenia z zaporą platformy Azure, ponieważ jest to prostszy projekt. Możesz użyć publicznego modułu równoważenia obciążenia, jeśli masz już jeden wdrożony i chcesz zachować go na miejscu. Należy jednak pamiętać o problemie związanym z routingiem asymetrycznym, który może wpłynąć na funkcjonowanie w scenariuszu z publicznym modułem równoważenia obciążenia.

Aby uzyskać więcej informacji na temat usługi Azure Load Balancer, zobacz Co to jest usługa Azure Load Balancer?

Publiczny moduł równoważenia obciążenia

W przypadku publicznego modułu równoważenia obciążenia moduł równoważenia obciążenia jest wdrażany przy użyciu publicznego adresu IP frontonu.

Routing asymetryczny

Routing asymetryczny polega na tym, że pakiet pobiera jedną ścieżkę do miejsca docelowego i przyjmuje inną ścieżkę podczas powrotu do źródła. Ten problem występuje, gdy podsieć ma domyślną trasę przechodzącą do prywatnego adresu IP zapory i używasz publicznego modułu równoważenia obciążenia. W takim przypadku przychodzący ruch modułu równoważenia obciążenia jest odbierany za pośrednictwem publicznego adresu IP, ale ścieżka powrotna przechodzi przez prywatny adres IP zapory. Ponieważ zapora jest stanowa, odrzuca zwracany pakiet, ponieważ zapora nie zna takiej ustalonej sesji.

Rozwiązywanie problemu z routingiem

Podczas wdrażania usługi Azure Firewall w podsieci jeden krok polega na utworzeniu trasy domyślnej dla podsieci kierującej pakiety za pośrednictwem prywatnego adresu IP zapory znajdującego się w podsieci AzureFirewallSubnet. Aby uzyskać więcej informacji, zobacz Samouczek: wdrażanie i konfigurowanie usługi Azure Firewall przy użyciu witryny Azure Portal.

Po wprowadzeniu zapory do scenariusza modułu równoważenia obciążenia ruch internetowy ma przechodzić przez publiczny adres IP zapory. Z tego miejsca zapora stosuje reguły zapory i nats pakiety do publicznego adresu IP modułu równoważenia obciążenia. W tym miejscu występuje problem. Pakiety docierają do publicznego adresu IP zapory, ale wracają do zapory za pośrednictwem prywatnego adresu IP (przy użyciu trasy domyślnej). Aby uniknąć tego problemu, utwórz kolejną trasę hosta dla publicznego adresu IP zapory. Pakiety przechodzące do publicznego adresu IP zapory są kierowane przez Internet. Pozwala to uniknąć domyślnej trasy do prywatnego adresu IP zapory.

Diagram routingu asymetrycznego.

Przykład tabeli tras

Na przykład następujące trasy dotyczą zapory pod publicznym adresem IP 203.0.113.136 i prywatnym adresem IP 10.0.1.4.

Zrzut ekranu przedstawiający tabelę tras.

Przykład reguły translatora adresów sieciowych

W poniższym przykładzie reguła translatora adresów sieciowych tłumaczy ruch RDP na zaporę pod adresem 203.0.113.136 na moduł równoważenia obciążenia pod adresem 203.0.113.220:

Zrzut ekranu przedstawiający regułę translatora adresów sieciowych.

Sondy kondycji

Pamiętaj, że musisz mieć usługę internetową uruchomioną na hostach w puli modułu równoważenia obciążenia, jeśli używasz sond kondycji TCP do portu 80 lub sond HTTP/HTTPS.

Wewnętrzny moduł równoważenia obciążenia

W przypadku wewnętrznego modułu równoważenia obciążenia moduł równoważenia obciążenia jest wdrażany przy użyciu prywatnego adresu IP frontonu.

W tym scenariuszu nie ma problemu z routingiem asymetrycznym. Pakiety przychodzące docierają do publicznego adresu IP zapory, są tłumaczone na prywatny adres IP modułu równoważenia obciążenia, a następnie wracają do prywatnego adresu IP zapory przy użyciu tej samej ścieżki powrotnej.

W związku z tym można wdrożyć ten scenariusz podobny do publicznego scenariusza modułu równoważenia obciążenia, ale bez konieczności kierowania publicznego adresu IP zapory.

Maszyny wirtualne w puli zaplecza mogą mieć wychodzącą łączność internetową za pośrednictwem usługi Azure Firewall. Skonfiguruj trasę zdefiniowaną przez użytkownika w podsieci maszyny wirtualnej z zaporą jako następny przeskok.

Dodatkowe zabezpieczenia

Aby dodatkowo zwiększyć bezpieczeństwo scenariusza ze zrównoważonym obciążeniem, możesz użyć sieciowych grup zabezpieczeń.

Można na przykład utworzyć sieciową grupę zabezpieczeń w podsieci zaplecza, w której znajdują się maszyny wirtualne o zrównoważonym obciążeniu. Zezwalaj na ruch przychodzący pochodzący z adresu IP/portu zapory.

Zrzut ekranu przedstawiający sieciowa grupa zabezpieczeń.

Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Grupy zabezpieczeń.

Następne kroki