Escalar portas SNAT com o Gateway da NAT do Azure
O Firewall do Azure fornece 2.496 portas SNAT por endereço IP público configurado por instância do conjunto de dimensionamento de máquinas virtuais de back-end (no mínimo duas instâncias) e você poderá associar até 250 endereços IP públicos. Dependendo da arquitetura e dos padrões de tráfego, talvez seja necessário mais do que as 1.248.000 portas SNAT disponíveis com essa configuração. Por exemplo, ao usá-lo para proteger grandes implantações da Área de Trabalho Virtual do Azure que se integram a aplicativos do Microsoft 365.
Um dos desafios de usar um grande número de endereços IP públicos é quando há requisitos de filtragem de endereços IP posteriores. O Firewall do Azure seleciona aleatoriamente o endereço IP público de origem a ser usado para conexão. Portanto, é necessário conceder permissão a todos os endereços IP públicos associados a ele. Mesmo se você usa prefixos de endereço IP público e precisa associar 250 endereços IP públicos para atender aos requisitos de porta de SNAT de saída, ainda é necessário criar 16 prefixos de endereço IP público e conceder permissão a eles.
Uma opção melhor para escalar e alocar dinamicamente portas SNAT de saída é usar um Gateway da NAT do Azure. Ele fornece 64.512 portas SNAT por endereço IP público e suporta até 16 endereços IP públicos. Isso efetivamente fornece até 1.032.192 portas SNAT de saída. O Gateway da NAT do Azure também aloca dinamicamente as portas SNAT em um nível de sub-rede, de forma que todas as portas SNAT fornecidas por seus endereços IP associados estejam disponíveis sob demanda para fornecer conectividade de saída.
Quando um recurso de gateway NAT é associado a uma sub-rede do Firewall do Azure, todo o tráfego de saída da Internet usa automaticamente o endereço IP público do gateway NAT. Não é necessário configurar Rotas definidas pelo usuário. O tráfego de resposta a um fluxo de saída também passa pelo gateway NAT. Se houver vários endereços IP associados ao Gateway da NAT, o endereço IP será selecionado aleatoriamente. Não é possível especificar o endereço a ser usado.
Não há uma NAT dupla com essa arquitetura. As instâncias do Firewall do Azure enviam o tráfego para o gateway NAT usando o endereço IP privado em vez do endereço IP público do Firewall do Azure.
Observação
A implantação do gateway da NAT com um firewall com redundância de zona não é uma opção de implantação recomendada, pois o gateway da NAT não dá suporte à implantação com redundância zonal no momento. Para usar o gateway NAT com o Azure Firewall, é necessária uma implantação de um Firewall zonal.
Além disso, a integração do Gateway da NAT do Azure não é suportada atualmente em arquiteturas de rede de hub virtual (vWAN) seguras. Você precisa fazer a implantação usando uma arquitetura de rede virtual de hub. Para obter diretrizes detalhadas sobre como integrar o gateway da NAT com Firewall do Azure em uma arquitetura de rede hub e spoke, consulte o gateway da NAT e o tutorial de integração de Firewall do Azure. Para obter mais informações sobre as opções da arquitetura do Firewall do Azure, confira Quais são as opções de arquitetura do Gerenciador de Firewall do Azure?.
Associar um Gateway da NAT a uma sub-rede do Firewall do Azure – Azure PowerShell
O exemplo a seguir cria um gateway NAT e o anexa a uma sub-rede do Firewall do Azure usando o Azure PowerShell.
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
Associar um Gateway da NAT a uma sub-rede do Firewall do Azure – CLI do Azure
O exemplo a seguir cria um gateway NAT e o anexa a uma sub-rede do Firewall do Azure usando a CLI do Azure.
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat