Share via

Gruppi IP nel Firewall di Azure

  • Articolo

I gruppi IP consentono di raggruppare e gestire gli indirizzi IP per le regole di Firewall di Azure nei modi seguenti:

  • Come indirizzo di origine nelle regole DNAT
  • Come indirizzo di origine o di destinazione nelle regole di rete
  • Come indirizzo di origine nelle regole dell'applicazione

Un gruppo IP può avere un singolo indirizzo IP, più indirizzi IP, uno o più intervalli di indirizzi IP o intervalli in combinazione.

I gruppi IP possono essere riutilizzati in Firewall di Azure DNAT, rete e regole dell'applicazione per più firewall tra aree e sottoscrizioni in Azure. I nomi dei gruppi devono essere univoci. È possibile configurare un gruppo IP nella portale di Azure, nell'interfaccia della riga di comando di Azure o nell'API REST. Viene fornito un modello di esempio per iniziare.

Formato del campione

Gli esempi di formato di indirizzo IPv4 seguenti sono validi per l'uso nei gruppi IP:

  • Indirizzo singolo: 10.0.0.0
  • Notazione CIDR: 10.1.0.0/32
  • Intervallo di indirizzi: 10.2.0.0-10.2.0.31

Creare un gruppo IP

È possibile creare un gruppo IP usando l'API REST portale di Azure, l'interfaccia della riga di comando di Azure o l'API REST. Per altre informazioni, vedere Creare un gruppo IP.

Esplorare i gruppi IP

  1. Nella barra di ricerca portale di Azure digitare Gruppi IP e selezionarlo. È possibile visualizzare l'elenco dei gruppi IP oppure selezionare Aggiungi per creare un nuovo gruppo IP.

  2. Selezionare un gruppo IP per aprire la pagina di panoramica. È possibile modificare, aggiungere o eliminare indirizzi IP o gruppi IP.

    IP Groups overview

Gestire un gruppo IP

È possibile visualizzare tutti gli indirizzi IP nel gruppo IP e le regole o le risorse associate. Per eliminare un gruppo IP, è prima necessario annullare l'dissociazione del gruppo IP dalla risorsa che lo usa.

  1. Per visualizzare o modificare gli indirizzi IP, selezionare Indirizzi IP in Impostazioni nel riquadro sinistro.
  2. Per aggiungere uno o più indirizzi IP, selezionare Aggiungi indirizzi IP. Verrà aperta la pagina Trascina o sfoglia per un caricamento oppure è possibile immettere l'indirizzo manualmente.
  3. Selezionare i puntini di sospensione (...) a destra per modificare o eliminare gli indirizzi IP. Per modificare o eliminare più indirizzi IP, selezionare le caselle e selezionare Modifica o Elimina nella parte superiore.
  4. Infine, può esportare il file nel formato di file CSV.

Nota

Se si eliminano tutti gli indirizzi IP in un gruppo IP mentre è ancora in uso in una regola, tale regola viene ignorata.

Usare un gruppo IP

È ora possibile selezionare Gruppo IP come tipo di origine o Tipo di destinazione per gli indirizzi IP quando si creano Firewall di Azure DNAT, applicazione o regole di rete.

IP Groups in Firewall

Aggiornamenti del gruppo IP parallelo (anteprima)

È ora possibile aggiornare più gruppi IP in parallelo contemporaneamente. Ciò è particolarmente utile per gli amministratori che vogliono apportare modifiche alla configurazione più rapidamente e su larga scala, soprattutto quando si apportano tali modifiche usando un approccio basato su operazioni di sviluppo (modelli, ARM, interfaccia della riga di comando e Azure PowerShell).

Con questo supporto, è ora possibile:

  • Aggiornare 20 gruppi IP alla volta
  • Aggiornare il firewall e i criteri del firewall durante gli aggiornamenti del gruppo IP
  • Usare lo stesso gruppo IP nei criteri padre e figlio
  • Aggiornare più gruppi IP a cui fanno riferimento i criteri firewall o il firewall classico contemporaneamente
  • Ricevere messaggi di errore nuovi e migliorati

    • Errori e stati di esito positivo

      Ad esempio, se si verifica un errore con un aggiornamento del gruppo IP su 20 aggiornamenti paralleli, gli altri aggiornamenti procedono e il gruppo IP con errore ha esito negativo. Inoltre, se l'aggiornamento del gruppo IP ha esito negativo e il firewall è ancora integro, il firewall rimane in uno stato Succeeded . Per verificare se l'aggiornamento del gruppo IP non è riuscito o ha avuto esito positivo, è possibile visualizzare lo stato nella risorsa gruppo IP.

Per attivare il supporto del gruppo IP parallelo, è possibile registrare la funzionalità usando Azure PowerShell o il portale di Azure.

Azure PowerShell

Usare i comandi di Azure PowerShell seguenti:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

L'applicazione di questa operazione può richiedere alcuni minuti. Dopo aver registrato completamente la funzionalità, prendere in considerazione l'esecuzione di un aggiornamento in Firewall di Azure affinché la modifica venga applicata immediatamente.

Azure portal

  1. Passare a Funzionalità di anteprima nel portale di Azure.
  2. Cercare e registrare AzureFirewallParallelIPGroupUpdate.
  3. Verificare che la funzionalità sia abilitata.

Screenshot showing the parallel IP groups feature.

Disponibilità a livello di area

I gruppi IP sono disponibili in tutte le aree del cloud pubblico.

Limiti di indirizzo IP

Per i limiti del gruppo IP, vedere Sottoscrizione di Azure e limiti del servizio, quote e vincoli

I cmdlet di Azure PowerShell seguenti possono essere usati per creare e gestire gruppi IP:

Passaggi successivi