共用方式為

如何在 Azure 虛擬 WAN 中樞內搭配使用目的地 NAT (DNAT) 與網路虛擬設備

  • 發行項

下列文章說明如何為使用虛擬 WAN 中樞部署的啟用新一代防火牆的網路虛擬設備設定目的地 NAT。

重要

適用於虛擬 WAN 整合式網路虛擬設備的目的地 NAT (DNAT) 目前處於公開預覽階段,且未提供服務等級協定。 不應針對實際執行環境的工作負載使用路由對應。 特定功能可能不受支援、功能可能受限,或者可能無法在所有 Azure 位置提供使用。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

背景

具有與虛擬 WAN 整合的新一代防火牆功能的網路虛擬設備 (NVA) 可讓客戶保護並檢查連線至虛擬 WAN 的私人網路之間的流量。

虛擬 WAN 中樞的網路虛擬設備目的地 NAT,可讓您將應用程式發佈至網際網路中的使用者,而且不必直接公開應用程式或伺服器的公用 IP。 取用者透過指派給防火牆網路虛擬設備的公用 IP 位址存取應用程式。 NVA 已設定為會篩選和轉譯流量,並可控制後端應用程式的存取。

虛擬 WAN 中 DNAT 使用案例的基礎結構管理和程式設計是自動的。 使用 NVA 協調流程軟體或 NVA 命令列對 NVA 進行 DNAT 規則的程式設計,會自動對 Azure 基礎結構進行程式設計,以接受並路由傳送支援的 NVA 合作夥伴的 DNAT 流量。 如需支援的 NVA 合作夥伴清單,請參閱限制一節。

概念

若要啟用 DNAT 使用案例,請將一或多個 Azure 公用 IP 位址資源與網路虛擬設備資源產生關聯。 這些 IP 稱為「網際網路輸入 (inbound)」或「網際網路輸入 (ingress)」 IP 位址,而且是使用者起始連線要求的目標 IP 位址,以便存取 NVA 後的應用程式。 在網路虛擬設備協調器和管理軟體上設定 DNAT 規則之後 (請參閱合作夥伴指南),NVA 管理軟體會自動:

  • 針對在虛擬 WAN 中執行的 NVA 裝置軟體進行程式設計,以檢查和轉譯對應的流量 (在 NVA 裝置上設定 NAT 規則和防火牆規則)。 在 NVA 上程式設計的規則稱為「NVA DNAT 規則」
  • 與 Azure API 互動,以建立和更新「輸入安全性規則」。 虛擬 WAN 控制平面會處理輸入安全性規則,並針對虛擬 WAN 和 Azure 受控 NVA 基礎結構元件進行程式設計,以支援目的地 NAT 使用案例。

範例

在下列範例中,使用者存取裝載在 Azure 虛擬網絡 (應用程式 IP 10.60.0.4) 的應用程式,會聯機到指派給埠 443 上的 NVA 的 DNAT 公用 IP (198.51.100.4)。

系統會執行下列設定:

  • 指派給 NVA 的因特網輸入 IP 位址為 198.51.100.4 和 192.0.2.4。
  • NVA DNAT 規則 會進行程序設計,以將目的地為 198.51.100.4:443 的流量轉譯為 10.60.0.4:443。
  • NVA 協調器會與 Azure API 連結,以建立「輸入安全性規則」,而虛擬 WAN 控制平面會針對基礎結構進行適當程式設計,以支援流量。

輸入流量

顯示輸入流量的螢幕擷取畫面。

下列清單對應至上圖,並描述輸入連線的封包流程:

  1. 使用者起始與用於與 NVA 關聯的 DNAT 的公共 IP 之一的連線。
  2. Azure 會將連線要求負載平衡至其中一個防火牆 NVA 執行個體。 流量會傳送至 NVA 的外部/不受信任介面。
  3. NVA 會檢查流量,並根據規則設定轉譯封包。 在此案例中,NVA 會設定為 NAT,並將輸入流量轉送至 10.60.0.4:443。 封包的來源也會轉譯為所選防火牆執行個體的私人 IP (受信任/內部介面的 IP),以確保流量對稱。 NVA 會將封包轉送,而虛擬 WAN 會將封包路由傳送至最終目的地。

輸出流量

顯示輸入流量的螢幕擷取畫面。

下列清單對應至上圖,並描述輸出回應的封包流程:

  1. 伺服器會透過防火牆私人 IP 回應並傳送回覆封包至 NVA 防火牆執行個體。
  2. NAT 轉譯會反轉,且會將回應傳送至不受信任的介面。 Azure 接著會直接將封包傳回給使用者。

已知問題、限制和考慮

下一節說明與因特網輸入功能相關聯的已知問題、限制和考慮。

已知問題

下表說明與因特網輸入/DNAT 功能相關的已知問題。

問題 描述 風險降低
建立其他IP位址的關聯之後,DNAT流量不會轉送至 NVA。 將其他IP位址關聯至已經有使用中輸入安全性規則的 NVA 之後,DNAT 流量不會因為程式代碼缺陷而正確轉送至 NVA。 使用合作夥伴協調流程/管理軟體來修改(建立或刪除現有)設定的輸入安全性規則,以還原連線。
輸入安全性規則設定延展性 設定大量(約 100 個)規則時,輸入安全性規則設定可能會失敗。 沒有風險降低,請連絡 Azure 支援以取得修正時程表。

限制

  • 目的地 NAT 僅支援下列 NVA:checkpointfortinet-sdwan-and-ngfwfortinet-ngfw
  • 用於目的地 NAT 的公用 IP 必須符合下列需求:
    • 目的地 NAT 公用 IP 必須來自與 NVA 資源相同的區域。 例如,如果 NVA 部署在美國東部區域,公用 IP 也必須來自美國東部區域。
    • 目的地 NAT 公用 IP 無法由另一個 Azure 資源使用。 例如,您無法使用虛擬機網路介面 IP 設定或 Standard Load Balancer 前端設定所使用的 IP 位址。
    • 公用 IP 必須來自 IPv4 位址空間。 虛擬 WAN 不支援 IPv6 位址。
    • 公用 IP 必須使用標準 SKU 進行部署。 不支援基本 SKU 公用 IP。
  • 只有使用至少一個目的地 NAT 公用 IP 所建立的新 NVA 部署才支援目的地 NAT。 在 NVA 建立時間沒有相關聯目的地 NAT 公用 IP 的現有 NVA 部署或 NVA 部署不符合使用目的地 NAT 的資格。
  • 建立 DNAT 規則時,NVA 協調流程軟體會自動對支援 DNAT 案例的 Azure 基礎結構元件進行程式設計。 因此,您無法透過 Azure 入口網站對 NVA 規則進行程式設計。 不過,您可以檢視與每個網際網路輸入公用 IP 相關聯的輸入安全性規則。
  • 虛擬 WAN 中的 DNAT 流量只能路由傳送至與 NVA 相同的中樞連線。 不支援具有 DNAT 的中樞間流量模式。

考量

  • 輸入流量會在網路虛擬設備的所有狀況良好的執行個體之間自動進行負載平衡。
  • 在大部分情況下,NVA 除了目的地 NAT 之外,還必須對防火牆私人 IP 執行 source-NAT,以確保流量對稱。 某些 NVA 類型可能不需要 source-NAT。 請連絡 NVA 提供者,以取得 source-NAT 的最佳做法。
  • 閒置流程的逾時會自動設定為 4 分鐘。
  • 您可以將從 IP 位址前置詞產生的個別 IP 位址資源指派給 NVA 作為網際網路輸入 IP。 從前置詞個別指派每個 IP 位址。

管理 DNAT/網際網路輸入設定

下一節說明如何管理與網際網路輸入和 DNAT 相關的 NVA 設定。

  1. 瀏覽至您的虛擬 WAN 中樞。 選取 [協力廠商提供者] 底下的 [網路虛擬設備]。 按兩下 NVA 旁的 [管理組態 ]。

  2. 在 [設定] 底下,選取 [因特網輸入] 以開啟 [因特網輸入] 頁面。

將 IP 位址與網際網路輸入的 NVA 產生關聯

  1. 如果 NVA 符合網際網路輸入的資格,且目前沒有與該 NVA 關聯的網際網路輸入 IP 位址,請選取 [透過將公用 IP 與此網路虛擬設備關聯來啟用網際網路輸入 (目的地 NAT)]。 如果 IP 已經與此 NVA 相關聯,請選取 [新增]

  2. 從下拉式清單中選取要用於網際網路輸入的資源群組和 IP 位址資源。

  3. 按一下 [儲存]

使用網際網路輸入公用 IP 檢視使用中的輸入安全性規則

  1. 尋找您要檢視的公用 IP,然後按一下 [檢視規則]
  2. 檢視與公用 IP 相關聯的規則。

從現有的 NVA 移除網際網路輸入公用 IP

注意

只有當沒有與該 IP 關聯的規則為 0 時,才能移除 IP 位址。 從 NVA 管理軟體中移除指派給該 IP 的 DNAT 規則,以移除與 IP 相關聯的所有規則。

選取您要從方格移除的 IP,然後按一下 [刪除]顯示如何從 NVA 刪除 IP 的螢幕擷取畫面。

對 DNAT 規則進行程式設計

下一節包含在虛擬 WAN 中使用 NVA 設定 DNAT 規則的 NVA 提供者特定指示

合作夥伴 指示
checkpoint Check Point 文件
fortinet-sdwan-and-ngfw Fortinet SD-WAN 和 NGFW 文件
fortinet-ngfw Fortinet NGFW 文件

疑難排解

下節說明一些最常見的疑難排解案例。

公用 IP 關聯/解除關聯

  • 無法透過 Azure 入口網站將 IP 關聯到 NVA 資源的選項:只有在部署時使用 DNAT/網際網路輸入 IP 建立的 NVA 才有資格使用 DNAT 功能。 刪除並重新建立 NVA,並在部署時間指派網際網路輸入 IP。
  • IP 位址未顯示在下拉式功能表中的 Azure 入口網站中:如果 IP 位址為 IPv4、與 NVA 位於相同區域且未在使用/指派給其他 Azure 資源,則公用 IP 僅會顯示在下拉式功能表。 請確定您嘗試使用的 IP 位址符合上述需求,或建立新的 IP 位址。
  • 無法從 NVA 刪除/解除公用 IP 的關聯:只能刪除沒有與其相關聯的規則的 IP 位址。 使用 NVA 協調流程軟體,移除與該 IP 位址相關聯的任何 DNAT 規則。
  • NVA 布建狀態未成功:如果 NVA 上有進行中的作業,或 NVA 的布建狀態未成功,IP 位址關聯就會失敗。 等待任何現有作業終止。

負載平衡器健全狀態探查

具有網際網路輸入/DNAT 功能的 NVA 依賴 NVA 回應三個不同的 Azure Load Balancer 健全狀態探查,以確保 NVA 按預期運作並路由傳送流量。 健全狀態探查要求一律會從非公用可路由傳送的 Azure IP 位址 168.63.129.16 進行。 您應該會在 NVA 記錄中看到以 168.63.129.16 執行的三向 TCP 交握。

如需 Azure Load Balancer 健全狀態探查的詳細資訊,請參閱健全狀態探查文件

虛擬 WAN 所需的健全狀態探查如下:

  • 網際網路輸入或 DNAT 健全狀態探查:用來將網際網路輸入流量轉送至 NVA 不受信任/外部介面。 此健全狀態探查只會檢查 NVA「不受信任/外部」介面的健康情況。

    NVA 提供者 連接埠
    fortinet 8008
    checkpoint 8117

  • 資料路徑健全狀態探查:用來將私人 (VNET/內部部署) 流量轉送至 NVA「受信任/內部」介面。 私人路由原則的必要項目。 此健全狀態探查只會檢查 NVA「受信任/外部」介面的健康情況。

    NVA 提供者 連接埠
    fortinet 8008
    checkpoint 8117

  • NVA 健全狀態探查:用來判斷執行 NVA 軟體之虛擬機器擴展集的健康情況。 此健全狀態探查會檢查 NVA 所有介面的健康情況 (「不受信任/外部」 和「受信任/內部」)。

    NVA 提供者 連接埠
    fortinet 8008
    checkpoint 8117

確定 NVA 已設定為正確回應 3 個健全狀態探查。 常見問題包括:

  • 健全狀態探查回應設定為不正確的連接埠。
  • 僅在內部/可信任介面上錯誤地設定健全狀態探查回應。
  • 防止健全狀態探查回應的防火牆規則。

DNAT 規則建立

  • DNAT 規則建立失敗:確定 NVA 的佈建狀態為 [成功],且所有 NVA 執行個體都狀況良好。 如需有關疑難排解或連絡廠商以取得進一步支援的詳細資訊,請參閱 NVA 提供者文件。

    此外,請確定 NVA 可回應所有介面上的 [NVA 健全狀態探查]。 如需詳細資訊,請參閱健全狀態探查一節。

Datapath

  • 使用者起始與公共 IP 的連線後,NVA 看不到封包:確定 NVA 僅回應「外部/不受信任」介面上的「DNAT 健全狀態探查」。 如需詳細資訊,請參閱健全狀態探查一節。

  • 在 NVA 轉譯後目的地伺服器看不到封包:如果封包未轉送至最終目的地伺服器,請考慮下列疑難排解機制。

    • Azure 路由問題:使用 Azure 虛擬 WAN 入口網站來檢查 defaultRouteTable 的有效路由或網路虛擬設備的有效路由。 您應該會在有效路由中看到目的地應用程式的子網路。
    • NVA 作業系統路由問題:檢查 NVA 作業系統的內部路由表。 您應該會看到與從 NVA 動態獲知的目標子網路相對應的路由。 請確定不存在捨棄相關前置詞的路徑篩選/對應。
    • 無法連線到中樞間目的地:不支援 DNAT 使用案例的中樞間路由。 請確定您嘗試存取的資源已連線到與已設定 DNAT 規則的 NVA 相同的中樞。
    • NVA 介面上的封包擷取:在 NVA 不受信任且受信任的介面上執行封包擷取。 在未受信任的介面上,您應會看到來源 IP 的原始封包是使用者的公用 IP,而目的地 IP 則是指派至 NVA 的網際網路輸入 IP 位址。 在受信任的介面上,您應會看到後續 NAT 轉譯的封包 (同時套用來源 NAT 和目的地 NAT)。 比較套用防火牆規則前後的封包擷取,以確保正確的防火牆規則設定。
    • SNAT 連接埠消耗:針對每個 NVA 執行個體,單一後端應用程式的輸入連線必須使用唯一連接埠來將 NAT 流量傳送至 NVA 執行個體的私人 IP。 因此,每個 NVA 執行個體可以處理相同目的地的大約 65,000 個並行連線。 針對大規模的使用案例,請確定 NVA 已設定為轉送至多個應用程式 IP 位址,以促進連接埠的重複使用。

  • 傳回未返回 NVA的流量

    • 裝載於 Azure 的應用程式:使用 Azure 入口網站檢查應用程式伺服器的有效路由。 您應會在應用程式伺服器的有效路由中,看到中樞位址空間。
    • 裝載在內部部署的應用程式:請確定內部部署端沒有路由篩選,會篩選出對應至中樞位址空間的路由。 由於 NVA 來源-NAT 的流量會流向防火牆私人 IP,因此內部部署必須接受中樞位址空間。
    • 應用程式中樞間:不支援 DNAT 使用案例的中樞間路由。 請確定您嘗試存取的資源已連線到與已設定 DNAT 規則的 NVA 相同的中樞。
    • NVA 介面上的封包擷取:在 NVA 受信任的介面上執行封包擷取。 您應該會看到應用程式伺服器將傳回流量直接傳送至 NVA 執行個體。 確定比較套用防火牆規則前後的封包擷取,以確保封包正確的防火牆規則設定。

下一步

如需虛擬 WAN 的詳細資訊,請參閱 虛擬 WAN 常見問題