Skupiny IP adres ve službě Azure Firewall

  • Článek

Skupiny IP adres umožňují seskupovat a spravovat IP adresy pro pravidla služby Azure Firewall následujícími způsoby:

  • Jako zdrojová adresa v pravidlech DNAT
  • Jako zdrojová nebo cílová adresa v pravidlech sítě
  • Jako zdrojová adresa v pravidlech aplikace

Skupina IP adres může mít jednu IP adresu, více IP adres, jeden nebo více rozsahů IP adres nebo rozsahů v kombinaci.

Skupiny IP adres je možné opakovaně používat v pravidlech DNAT, sítě a aplikací služby Azure Firewall pro více bran firewall napříč oblastmi a předplatnými v Azure. Názvy skupin musí být jedinečné. Skupinu IP adres můžete nakonfigurovat na webu Azure Portal, Azure CLI nebo rozhraní REST API. K dispozici je ukázková šablona, která vám pomůže začít.

Formát ukázky

Následující příklady formátu IPv4 adres jsou platné pro použití ve skupinách IP adres:

  • Jedna adresa: 10.0.0.0
  • Zápis CIDR: 10.1.0.0/32
  • Rozsah adres: 10.2.0.0-10.2.0.31

Vytvoření skupiny IP adres

Skupinu IP adres je možné vytvořit pomocí webu Azure Portal, Azure CLI nebo rozhraní REST API. Další informace najdete v tématu Vytvoření skupiny IP adres.

Procházet skupiny IP adres

  1. Na panelu hledání na webu Azure Portal zadejte skupiny IP adres a vyberte ho. Zobrazí se seznam skupin IP adres nebo můžete vybrat Přidat a vytvořit novou skupinu IP adres.

  2. Výběrem skupiny IP adres otevřete stránku přehledu. Můžete upravit, přidat nebo odstranit IP adresy nebo skupiny IP adres.

    IP Groups overview

Správa skupiny IP adres

Můžete zobrazit všechny IP adresy ve skupině IP adres a pravidla nebo prostředky, které jsou k ní přidružené. Pokud chcete odstranit skupinu IP adres, musíte nejprve zrušit přidružení skupiny IP adres k prostředku, který ji používá.

  1. Pokud chcete zobrazit nebo upravit IP adresy, vyberte IP adresy v části Nastavení v levém podokně.
  2. Pokud chcete přidat jednu nebo více IP adres, vyberte Přidat IP adresy. Tím se otevře stránka Pro nahrání přetažením nebo procházením nebo můžete adresu zadat ručně.
  3. Výběrem tří teček (...) napravo můžete upravit nebo odstranit IP adresy. Pokud chcete upravit nebo odstranit více IP adres, vyberte pole a v horní části vyberte Upravit nebo Odstranit .
  4. Nakonec můžete soubor exportovat ve formátu CSV.

Poznámka:

Pokud odstraníte všechny IP adresy ve skupině IP adres, zatímco se stále používá v pravidle, toto pravidlo se přeskočí.

Použití skupiny IP adres

Skupinu IP adres teď můžete vybrat jako typ zdroje nebo cílového typu pro IP adresy při vytváření pravidel DNAT, aplikace nebo sítě služby Azure Firewall.

IP Groups in Firewall

Aktualizace paralelních skupin IP adres (Preview)

Teď můžete současně aktualizovat více skupin IP adres. To je užitečné zejména pro správce, kteří chtějí provádět změny konfigurace rychleji a ve velkém měřítku, zejména při provádění těchto změn pomocí přístupu k vývojovým operacím (šablony, ARM, rozhraní příkazového řádku a Azure PowerShell).

S touto podporou teď můžete:

  • Aktualizace 20 skupin IP adres najednou
  • Aktualizace zásad brány firewall a brány firewall během aktualizací skupiny IP adres
  • Použití stejné skupiny IP adres v nadřazených a podřízených zásadách
  • Aktualizace více skupin IP adres odkazovaných zásadami brány firewall nebo klasickou bránou firewall současně
  • Příjem nových a vylepšených chybových zpráv

    • Selhání a úspěšné stavy

      Pokud například dojde k chybě s jednou aktualizací skupiny IP adres z 20 paralelních aktualizací, ostatní aktualizace budou pokračovat a chybná skupina IP adres selže. Kromě toho platí, že pokud se aktualizace skupiny IP adres nezdaří a brána firewall je stále v pořádku, brána firewall zůstane ve stavu Úspěch . Pokud chcete zkontrolovat, jestli aktualizace skupiny IP adres selhala nebo byla úspěšná, můžete zobrazit stav prostředku skupiny IP adres.

Pokud chcete aktivovat podporu paralelní skupiny IP adres, můžete tuto funkci zaregistrovat pomocí Azure PowerShellu nebo webu Azure Portal.

Azure PowerShell

Použijte následující příkazy Azure PowerShellu:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Může to trvat několik minut, než se to projeví. Po dokončení registrace funkce zvažte provedení aktualizace ve službě Azure Firewall, aby se změna projevila okamžitě.

portál Azure

  1. Na webu Azure Portal přejděte k funkcím ve verzi Preview.
  2. Vyhledejte a zaregistrujte AzureFirewallParallelIPGroupUpdate.
  3. Ujistěte se, že je tato funkce povolená.

Screenshot showing the parallel IP groups feature.

Regionální dostupnost

Skupiny IP adres jsou dostupné ve všech oblastech veřejného cloudu.

Omezení IP adres

Informace o omezeních skupin IP adres najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

K vytváření a správě skupin IP adres je možné použít následující rutiny Azure PowerShellu:

Další kroky