通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 防火墙中的 IP 组

  • 项目

通过 IP 组,你可以利用以下方式对 Azure 防火墙规则的 IP 地址进行分组和管理:

  • 作为 DNAT 规则中的源地址
  • 作为网络规则中的源或目标地址
  • 作为应用程序规则中的源地址

一个 IP 组可以包含单个 IP 地址、多个 IP 地址,或者一个或多个 IP 地址范围,也可以包含地址和范围的组合。

可以跨 Azure 中的区域和订阅在 Azure 防火墙 DNAT、网络和多个防火墙的应用程序规则中重复使用 IP 组。 组名称必须是唯一的。 可以在 Azure 门户、Azure CLI 或 REST API 中配置 IP 组。 提供有帮助你入门的一个示例模板。

示例格式

可以在 IP 组中使用以下有效的示例 IPv4 地址格式:

  • 单个地址:10.0.0.0
  • CIDR 表示法:10.1.0.0/32
  • 地址范围:10.2.0.0-10.2.0.31

创建 IP 组

可以使用 Azure 门户、Azure CLI 或 REST API 创建 IP 组。 有关详细信息,请参阅创建 IP 组

浏览 IP 组

  1. 在 Azure 门户搜索栏中,键入“IP 组”并选择它。 你可以看到 IP 组的列表,或者可以选择“添加”来创建新的 IP 组。

  2. 选择一个 IP 组以打开概述页面。 可以编辑、添加或删除 IP 地址或 IP 组。

    IP Groups overview

管理 IP 组

你可以查看 IP 组中的所有 IP 地址以及与其关联的规则或资源。 若要删除 IP 组,首先必须取消 IP 组与使用它的资源之间的关联。

  1. 若要查看或编辑 IP 地址,请选择左窗格中“设置”下的“IP 地址” 。
  2. 若要添加单个或多个 IP 地址,请选择“添加 IP 地址”。 这将打开“拖动或浏览”页面以进行上传,或者可以手动输入地址。
  3. 选择右侧的省略号 (…) 以编辑或删除 IP 地址。 若要编辑或删除多个 IP 地址,请选择相应的框,然后选择顶部的“编辑”或“删除” 。
  4. 最后,可以采用 CSV 文件格式导出文件。

注意

如果在删除某一 IP 组中的所有 IP 地址时此组正用于某一规则,则会跳过此规则。

使用 IP 组

现在,在创建 Azure 防火墙 DNAT、应用程序或网络规则时,可以选择“IP 组”作为 IP 地址的“源类型”或“目标类型” 。

IP Groups in Firewall

并行 IP 组更新(预览)

现在可以同时并行更新多个 IP 组。 这对于想要更快、更大规模地进行配置更改的管理员特别有用,尤其是在使用开发运营方法(模板、ARM、CLI 和 Azure PowerShell)进行更改时。

借助此支持,现在可以:

  • 一次更新 20 个 IP 组
  • 在 IP 组更新期间更新防火墙和防火墙策略
  • 在父策略和子策略中使用同一 IP 组
  • 同时更新防火墙策略或经典防火墙引用的多个 IP 组
  • 接收新的和改进的错误消息

    • 失败和成功状态

      例如,如果 20 个并行更新中的一个 IP 组更新出现错误,其他更新会继续,并且出错的 IP 组会失败。 此外,如果 IP 组更新失败,并且防火墙仍然正常,防火墙会保持成功状态。 要检查 IP 组更新是失败还是成功,可以查看 IP 组资源的状态。

若要激活并行 IP 组支持,可以使用 Azure PowerShell 或Azure 门户注册该功能。

Azure PowerShell

使用以下 Azure PowerShell 命令:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

可能需要几分钟才能生效。 完全注册该功能后,请考虑对 Azure 防火墙执行更新,从而使更改立即生效。

Azure 门户

  1. 导航到Azure 门户中的预览功能
  2. 搜索并注册 AzureFirewallParallelIPGroupUpdate
  3. 确保启用该功能。

Screenshot showing the parallel IP groups feature.

上市区域

所有公有云区域均提供 IP 组。

IP 地址限制

有关 IP 组限制,请参阅 Azure 订阅和服务的限制、配额和约束

下面的 Azure PowerShell cmdlet 可用于创建和管理 IP 组:

后续步骤