Grupy adresów IP w usłudze Azure Firewall
Grupy adresów IP umożliwiają grupowanie adresów IP dla reguł usługi Azure Firewall i zarządzanie nimi w następujący sposób:
- Jako adres źródłowy w regułach DNAT
- Jako adres źródłowy lub docelowy w regułach sieci
- Jako adres źródłowy w regułach aplikacji
Grupa adresów IP może mieć jeden adres IP, wiele adresów IP, jeden lub więcej zakresów adresów IP lub adresów i zakresów w kombinacji.
Grupy adresów IP można używać ponownie w regułach DNAT, sieci i aplikacji usługi Azure Firewall dla wielu zapór między regionami i subskrypcjami na platformie Azure. Nazwy grup muszą być unikatowe. Grupę adresów IP można skonfigurować w witrynie Azure Portal, interfejsie wiersza polecenia platformy Azure lub interfejsie API REST. Udostępniono przykładowy szablon, który pomoże Ci rozpocząć pracę.
Format próbki
Następujące przykłady formatów adresów IPv4 są prawidłowe do użycia w grupach adresów IP:
- Pojedynczy adres: 10.0.0.0
- Notacja CIDR: 10.1.0.0/32
- Zakres adresów: 10.2.0.0-10.2.0.31
Tworzenie grupy adresów IP
Grupę adresów IP można utworzyć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Aby uzyskać więcej informacji, zobacz Tworzenie grupy adresów IP.
Przeglądaj grupy adresów IP
Na pasku wyszukiwania w witrynie Azure Portal wpisz grupy adresów IP i wybierz je. Możesz wyświetlić listę grup adresów IP lub wybrać pozycję Dodaj , aby utworzyć nową grupę adresów IP.
Wybierz grupę adresów IP, aby otworzyć stronę przeglądu. Możesz edytować, dodawać lub usuwać adresy IP lub grupy adresów IP.
Zarządzanie grupą adresów IP
Wszystkie adresy IP można wyświetlić w grupie adresów IP oraz reguły lub zasoby, które są z nim skojarzone. Aby usunąć grupę adresów IP, należy najpierw usunąć skojarzenie grupy adresów IP z zasobu, który go używa.
- Aby wyświetlić lub edytować adresy IP, wybierz pozycję Adresy IP w obszarze Ustawienia w okienku po lewej stronie.
- Aby dodać jeden lub wiele adresów IP, wybierz pozycję Dodaj adresy IP. Spowoduje to otwarcie strony Przeciąganie lub przeglądanie w celu przekazania lub ręczne wprowadzenie adresu.
- Wybranie wielokropka (...) po prawej stronie, aby edytować lub usunąć adresy IP. Aby edytować lub usunąć wiele adresów IP, zaznacz pola i wybierz pozycję Edytuj lub Usuń u góry.
- Na koniec można wyeksportować plik w formacie pliku CSV.
Uwaga
Jeśli usuniesz wszystkie adresy IP w grupie adresów IP, gdy będzie ona nadal używana w regule, ta reguła zostanie pominięta.
Korzystanie z grupy adresów IP
Teraz możesz wybrać grupę adresów IP jako typ źródła lub typ docelowy dla adresów IP podczas tworzenia reguł DNAT, aplikacji lub sieci usługi Azure Firewall.
Aktualizacje równoległej grupy adresów IP (wersja zapoznawcza)
Teraz można jednocześnie zaktualizować wiele grup adresów IP. Jest to szczególnie przydatne dla administratorów, którzy chcą szybciej i na dużą skalę wprowadzać zmiany konfiguracji, zwłaszcza w przypadku wprowadzania tych zmian przy użyciu podejścia deweloperskiego (szablonów, usługi ARM, interfejsu wiersza polecenia i programu Azure PowerShell).
Dzięki tej obsłudze możesz teraz wykonywać następujące czynności:
- Aktualizowanie 50 grup adresów IP jednocześnie
- Aktualizowanie zasad zapory i zapory podczas aktualizacji grupy adresów IP
- Użyj tej samej grupy adresów IP w zasadach nadrzędnych i podrzędnych
- Aktualizowanie wielu grup adresów IP, do których odwołuje się zasady zapory lub zapora klasyczna jednocześnie
- Odbieranie nowych i ulepszonych komunikatów o błędach
Stany niepowodzenia i powodzenia
Jeśli na przykład wystąpi błąd z jedną aktualizacją grupy adresów IP z 20 aktualizacji równoległych, pozostałe aktualizacje będą kontynuowane, a błędna grupa adresów IP zakończy się niepowodzeniem. Ponadto jeśli aktualizacja grupy adresów IP zakończy się niepowodzeniem, a zapora jest nadal w dobrej kondycji, zapora pozostaje w stanie Powodzenie . Aby sprawdzić, czy aktualizacja grupy adresów IP nie powiodła się lub zakończyła się pomyślnie, możesz wyświetlić stan zasobu grupa adresów IP.
Aby aktywować obsługę równoległej grupy adresów IP, możesz zarejestrować tę funkcję przy użyciu programu Azure PowerShell lub witryny Azure Portal.
Azure PowerShell
Użyj następujących poleceń programu Azure PowerShell:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Może upłynąć kilka minut, aby to miało zastosowanie. Gdy funkcja zostanie całkowicie zarejestrowana, rozważ przeprowadzenie aktualizacji w usłudze Azure Firewall, aby zmiana została wpisana natychmiast.
Azure Portal
- Przejdź do pozycji Funkcje w wersji zapoznawczej w witrynie Azure Portal.
- Wyszukaj i zarejestruj element AzureFirewallParallelIPGroupUpdate.
- Upewnij się, że funkcja jest włączona.
Dostępność w regionach
Grupy adresów IP są dostępne we wszystkich regionach chmury publicznej.
Limity adresów IP
Aby uzyskać informacje o limitach grup adresów IP, zobacz Limity, limity przydziału i ograniczenia subskrypcji i usługi platformy Azure
Powiązane polecenia cmdlet programu Azure PowerShell
Następujące polecenia cmdlet programu Azure PowerShell mogą służyć do tworzenia grup adresów IP i zarządzania nimi:
- New-AzIpGroup
- Remove-AzIPGroup
- Get-AzIpGroup
- Set-AzIpGroup
- New-AzFirewallNetworkRule
- New-AzFirewallApplicationRule
- New-AzFirewallNatRule
Następne kroki
- Dowiedz się, jak wdrożyć i skonfigurować usługę Azure Firewall.