Integración de Azure Firewall con Azure Standard Load BalancerIntegrate Azure Firewall with Azure Standard Load Balancer

Puede integrar una instancia de Azure Firewall en una red virtual con una instancia de Azure Standard Load Balancer (pública o interna).You can integrate an Azure Firewall into a virtual network with an Azure Standard Load Balancer (either public or internal).

El diseño preferido consiste integrar un equilibrador de carga interno con el firewall de Azure, ya que este es un diseño mucho más sencillo.The preferred design is to integrate an internal load balancer with your Azure firewall, as this is a much simpler design. Puede usar un equilibrador de carga público si ya tiene uno implementado y desea mantenerlo en su lugar.You can use a public load balancer if you already have one deployed and you want to keep it in place. Sin embargo, debe tener en cuenta un problema de ruta asimétrica que puede interrumpir la funcionalidad con el escenario del equilibrador de carga público.However, you need to be aware of an asymmetric routing issue that can break functionality with the public load balancer scenario.

Para más información sobre Azure Load Balancer, consulte ¿Qué e Azure Load Balancer?For more information about Azure Load Balancer, see What is Azure Load Balancer?

Equilibrador de carga públicoPublic load balancer

Con un equilibrador de carga público, el equilibrador de carga se implementa con una dirección IP de front-end público.With a public load balancer, the load balancer is deployed with a public frontend IP address.

Ruta asimétricaAsymmetric routing

La ruta asimétrica se produce cuando un paquete toma una ruta al destino y toma otra ruta cuando vuelve al origen.Asymmetric routing is where a packet takes one path to the destination and takes another path when returning to the source. Este problema se produce cuando una subred tiene una ruta predeterminada que va a la dirección IP privada del firewall, y usted usa un equilibrador de carga público.This issue occurs when a subnet has a default route going to the firewall's private IP address and you're using a public load balancer. En este caso, el tráfico entrante del equilibrador de carga se recibe a través de su dirección IP pública, pero la ruta de vuelta pasa a través de la dirección IP privada del firewall.In this case, the incoming load balancer traffic is received via its public IP address, but the return path goes through the firewall's private IP address. Dado que el firewall es con estado, quita el paquete de vuelta porque el firewall no tiene conocimiento de este tipo de sesión establecida.Since the firewall is stateful, it drops the returning packet because the firewall isn't aware of such an established session.

Corrección del problema de enrutamientoFix the routing issue

Al implementar una instancia de Azure Firewall en una subred, un paso es crear una ruta predeterminada para la subred que dirige los paquetes a través de la dirección IP privada del firewall ubicado en AzureFirewallSubnet.When you deploy an Azure Firewall into a subnet, one step is to create a default route for the subnet directing packets through the firewall's private IP address located on the AzureFirewallSubnet. Para más información, consulte el Tutorial: Implementación y configuración de Azure Firewall mediante Azure Portal.For more information, see Tutorial: Deploy and configure Azure Firewall using the Azure portal.

Al introducir el firewall en el escenario del equilibrador de carga, quiere que su tráfico de Internet llegue a través de la dirección IP pública del firewall.When you introduce the firewall into your load balancer scenario, you want your Internet traffic to come in through your firewall's public IP address. Desde allí, el firewall aplica sus reglas de firewall y traduce las direcciones de red de los paquetes a la dirección IP pública del equilibrador de carga.From there, the firewall applies its firewall rules and NATs the packets to your load balancer's public IP address. Allí es donde se produce el problema.This is where the problem occurs. Los paquetes llegan a la dirección IP pública del firewall, pero vuelven al firewall a través de la dirección IP privada (mediante la ruta predeterminada).Packets arrive on the firewall's public IP address, but return to the firewall via the private IP address (using the default route). Para evitar este problema, cree una ruta de host adicional para la dirección IP pública del firewall.To avoid this problem, create an additional host route for the firewall's public IP address. Los paquetes que van a la dirección IP pública del firewall se enrutan a través de Internet.Packets going to the firewall's public IP address are routed via the Internet. Esto evita que tomen la ruta predeterminada a la dirección IP privada del firewall.This avoids taking the default route to the firewall's private IP address.

Ruta asimétrica

Ejemplo de tabla de rutasRoute table example

Por ejemplo, las rutas siguientes son para un firewall en la dirección IP pública 20.185.97.136 y la dirección IP privada 10.0.1.4.For example, the following routes are for a firewall at public IP address 20.185.97.136, and private IP address 10.0.1.4.

Tabla de rutasRoute table

Ejemplo de regla NATNAT rule example

En el ejemplo siguiente, una regla NAT traduce el tráfico RDP al firewall en 20.185.97.136 a través del equilibrador de carga en 20.42.98.220:In the following example, a NAT rule translates RDP traffic to the firewall at 20.185.97.136 over to the load balancer at 20.42.98.220:

Regla de NATNAT rule

Sondeos de estadoHealth probes

Recuerde que debe tener un servicio web que se ejecute en los hosts del grupo de equilibradores de carga si usa sondeos de estado TCP para el puerto 80 o sondeos HTTP/HTTPS.Remember, you need to have a web service running on the hosts in the load balancer pool if you use TCP health probes to port 80, or HTTP/HTTPS probes.

Equilibrador de carga internoInternal load balancer

Con un equilibrador de carga interno, el equilibrador de carga se implementa con una dirección IP de front-end privado.With an internal load balancer, the load balancer is deployed with a private frontend IP address.

No hay ningún problema de rutas asimétricas con este escenario.There's no asymmetric routing issue with this scenario. Los paquetes entrantes llegan a la dirección IP pública del firewall, se traducen a la dirección IP privada del equilibrador de carga y, luego, devuelven a la dirección IP privada del firewall con la misma ruta de vuelta.The incoming packets arrive at the firewall's public IP address, get translated to the load balancer's private IP address, and then returns to the firewall's private IP address using the same return path.

Por lo tanto, puede implementar este escenario similar para el escenario del equilibrador de carga público, pero sin necesidad de la ruta de host de direcciones IP públicas del firewall.So, you can deploy this scenario similar to the public load balancer scenario, but without the need for the firewall public IP address host route.

Nota

Las máquinas virtuales del grupo de back-end no tendrán conectividad de salida a Internet con esta configuración.The virtual machines in the backend pool will not have outbound internet connectivity with this configuration.
Para más información acerca de cómo proporcionar conectividad de salida, consulte:For more information on providing outbound connectivity see:
Conexiones salientes en AzureOutbound connections in Azure
Opciones para proporcionar conectividad:Options for providing connectivity:
Configuración del equilibrador de carga solo de salidaOutbound-only load balancer configuration
¿Qué es NAT de Virtual Network?What is Virtual Network NAT?

Seguridad adicionalAdditional security

Para mejorar la seguridad de su escenario de equilibrio de carga, puede usar grupos de seguridad de red (NSG).To further enhance the security of your load-balanced scenario, you can use network security groups (NSGs).

Por ejemplo, puede crear un NSG en la subred de back-end donde se encuentran las máquinas virtuales de carga equilibrada.For example, you can create an NSG on the backend subnet where the load-balanced virtual machines are located. Permita el tráfico entrante procedente de la dirección IP/puerto del firewall.Allow incoming traffic originating from the firewall IP address/port.

Grupo de seguridad de red

Para más información sobre NSG, consulte Grupos de seguridad.For more information about NSGs, see Security groups.

Pasos siguientesNext steps