Integrace Azure Firewallu s využitím služby Azure Standard Load Balancer

  • Článek

Azure Firewall můžete integrovat do virtuální sítě pomocí Standard Load Balancer Azure (veřejné nebo interní).

Při návrhu se dává přednost integraci interního nástroje pro vyrovnávání zatížení se službou Azure Firewall, protože tento návrh je mnohem jednodušší. Pokud už máte nasazený veřejný nástroj pro vyrovnávání zatížení, který chcete zachovat, můžete použít i ten. Musíte však vědět o problému s asymetrickým směrováním, který může narušit fungování ve scénáři s veřejným nástrojem pro vyrovnávání zatížení.

Další informace o Azure Load Balancer najdete v tématu Co je Azure Load Balancer?

Veřejný nástroj pro vyrovnávání zatížení

V případě veřejného nástroje pro vyrovnávání zatížení se nástroj pro vyrovnávání zatížení nasadí s veřejnou IP adresou front-endu.

Asymetrické směrování

Asymetrické směrování je místo, kde paket vede jednu cestu k cíli a při návratu ke zdroji používá jinou cestu. K tomuto problému dochází, když má podsíť výchozí trasu vedoucí na privátní IP adresu brány firewall a používáte veřejný nástroj pro vyrovnávání zatížení. V tomto případě se příchozí provoz nástroje pro vyrovnávání zatížení přijímá přes jeho veřejnou IP adresu, ale návratová cesta prochází přes privátní IP adresu brány firewall. Vzhledem k tomu, že je brána firewall stavová, zahodí vrácený paket, protože brána firewall o takto zavedené relaci neví.

Oprava problému se směrováním

Když do podsítě nasadíte Azure Firewall, jedním z kroků je vytvoření výchozí trasy pro podsíť, která směruje pakety přes privátní IP adresu brány firewall umístěnou v podsíti AzureFirewallSubnet. Další informace najdete v tématu Kurz: Nasazení a konfigurace Azure Firewall pomocí Azure Portal.

Když do scénáře nástroje pro vyrovnávání zatížení zavedete bránu firewall, chcete, aby váš internetový provoz procházel přes veřejnou IP adresu brány firewall. Brána firewall pak použije svá pravidla brány firewall a natuje pakety na veřejnou IP adresu vašeho nástroje pro vyrovnávání zatížení. Tady k problému dochází. Pakety přicházejí na veřejnou IP adresu brány firewall, ale vrací se do brány firewall přes privátní IP adresu (pomocí výchozí trasy). Pokud se chcete tomuto problému vyhnout, vytvořte další trasu hostitele pro veřejnou IP adresu brány firewall. Pakety směrované na veřejnou IP adresu brány firewall se směrují přes internet. Tím se vyhnete výchozí trase na privátní IP adresu brány firewall.

Diagram asymetrického směrování

Příklad směrovací tabulky

Například následující trasy jsou určené pro bránu firewall na veřejné IP adrese 20.185.97.136 a privátní IP adresu 10.0.1.4.

Snímek obrazovky se směrovací tabulkou

Příklad pravidla překladu adres (NAT)

V následujícím příkladu pravidlo překladu adres převede provoz protokolu RDP do brány firewall na adrese 20.185.97.136 na nástroj pro vyrovnávání zatížení v adrese 20.42.98.220:

Snímek obrazovky s pravidlem překladu adres (NAT)

Sondy stavu

Nezapomeňte, že pokud používáte sondy stavu protokolu TCP na portu 80 nebo sondy HTTP/HTTPS, musíte mít na hostitelích ve fondu nástroje pro vyrovnávání zatížení spuštěnou webovou službu.

Interní nástroj pro vyrovnávání zatížení

V případě interního nástroje pro vyrovnávání zatížení se nástroj pro vyrovnávání zatížení nasadí s privátní IP adresou front-endu.

V tomto scénáři nedochází k žádnému problému s asymetrickým směrováním. Příchozí pakety přijdou na veřejnou IP adresu brány firewall, přeloží se na privátní IP adresu nástroje pro vyrovnávání zatížení a pak se vrátí na privátní IP adresu brány firewall pomocí stejné návratové cesty.

Tento scénář tedy můžete nasadit podobně jako veřejný nástroj pro vyrovnávání zatížení, ale bez nutnosti směrování hostitele veřejné IP adresy brány firewall.

Virtuální počítače v back-endovém fondu můžou mít odchozí internetové připojení přes Azure Firewall. Nakonfigurujte trasu definovanou uživatelem v podsíti virtuálního počítače s bránou firewall jako dalším segmentem směrování.

Další zabezpečení

K dalšímu vylepšení zabezpečení scénáře s vyrovnáváním zatížení můžete použít skupiny zabezpečení sítě (NSG).

Můžete například vytvořit skupinu zabezpečení sítě v back-endové podsíti, ve které se nacházejí virtuální počítače s vyrovnáváním zatížení. Povolí příchozí provoz pocházející z IP adresy nebo portu brány firewall.

Snímek obrazovky se skupinou zabezpečení sítě

Další informace o skupinách zabezpečení sítě najdete v tématu Skupiny zabezpečení.

Další kroky