IP-grupper i Azure Firewall

Med IP-grupper kan du gruppera och hantera IP-adresser för Azure Firewall-regler på följande sätt:

• Som källadress i DNAT-regler
• Som källa eller måladress i nätverksregler
• Som källadress i programregler

En IP-grupp kan ha en enda IP-adress, flera IP-adresser, ett eller flera IP-adressintervall eller ip-adresser och intervall i kombination.

IP-grupper kan återanvändas i Azure Firewall DNAT, nätverk och programregler för flera brandväggar mellan regioner och prenumerationer i Azure. Gruppnamn måste vara unika. Du kan konfigurera en IP-grupp i Azure-portalen, Azure CLI eller REST API. Det finns en exempelmall som hjälper dig att komma igång.

Samplingsformat

Följande IPv4-adressformatexempel är giltiga för användning i IP-grupper:

• Enskild adress: 10.0.0.0
• CIDR-notation: 10.1.0.0/32
• Adressintervall: 10.2.0.0-10.2.0.31

Skapa en IP-grupp

En IP-grupp kan skapas med hjälp av Azure-portalen, Azure CLI eller REST API. Mer information finns i Skapa en IP-grupp.

Bläddra bland IP-grupper

1. I sökfältet i Azure-portalen skriver du IP-grupper och väljer det. Du kan se listan över IP-grupper, eller så kan du välja Lägg till för att skapa en ny IP-grupp.

2. Välj en IP-grupp för att öppna översiktssidan. Du kan redigera, lägga till eller ta bort IP-adresser eller IP-grupper.

   

Hantera en IP-grupp

Du kan se alla IP-adresser i IP-gruppen och de regler eller resurser som är associerade med den. Om du vill ta bort en IP-grupp måste du först koppla bort IP-gruppen från resursen som använder den.

1. Om du vill visa eller redigera IP-adresserna väljer du IP-adresser under Inställningar i det vänstra fönstret.
2. Om du vill lägga till en eller flera IP-adresser väljer du Lägg till IP-adresser. Då öppnas sidan Dra eller Bläddra för en uppladdning, eller så kan du ange adressen manuellt.
3. Välja ellipserna (...) till höger för att redigera eller ta bort IP-adresser. Om du vill redigera eller ta bort flera IP-adresser markerar du rutorna och väljer Redigera eller Ta bort överst.
4. Slutligen kan du exportera filen i CSV-filformatet.

Kommentar

Om du tar bort alla IP-adresser i en IP-grupp medan den fortfarande används i en regel hoppas den regeln över.

Använda en IP-grupp

Nu kan du välja IP-grupp som källtyp eller måltyp för IP-adresserna när du skapar Azure Firewall DNAT, program eller nätverksregler.

Parallella IP-gruppuppdateringar (förhandsversion)

Du kan nu uppdatera flera IP-grupper parallellt samtidigt. Detta är särskilt användbart för administratörer som vill göra konfigurationsändringar snabbare och i stor skala, särskilt när de gör dessa ändringar med hjälp av en dev ops-metod (mallar, ARM, CLI och Azure PowerShell).

Med det här stödet kan du nu:

• Uppdatera 20 IP-grupper i taget
• Uppdatera brandväggs- och brandväggsprincipen under IP-gruppuppdateringar
• Använd samma IP-grupp i över- och underordnad princip
• Uppdatera flera IP-grupper som refereras av brandväggsprincipen eller den klassiska brandväggen samtidigt
• Ta emot nya och förbättrade felmeddelanden

  • Fel- och framgångstillstånd

    Om det till exempel uppstår ett fel med en IP-gruppuppdatering av 20 parallella uppdateringar fortsätter de andra uppdateringarna och den felade IP-gruppen misslyckas. Om IP-gruppuppdateringen misslyckas och brandväggen fortfarande är felfri förblir brandväggen i tillståndet Lyckades . Om du vill kontrollera om IP-gruppuppdateringen misslyckades eller lyckades kan du visa status för IP-gruppresursen.

Om du vill aktivera stöd för parallell IP-grupp kan du registrera funktionen med antingen Azure PowerShell eller Azure-portalen.

Azure PowerShell

Använd följande Azure PowerShell-kommandon:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Det kan ta flera minuter innan detta börjar gälla. När funktionen är helt registrerad kan du överväga att utföra en uppdatering i Azure Firewall för att ändringen ska börja gälla omedelbart.

Azure Portal

1. Gå till Förhandsversionsfunktioner i Azure-portalen.
2. Sök efter och registrera AzureFirewallParallelIPGroupUpdate.
3. Kontrollera att funktionen är aktiverad.

Region tillgänglighet

IP-grupper är tillgängliga i alla offentliga molnregioner.

IP-adressgränser

Information om IP-gruppgränser finns i Azure-prenumerations- och tjänstgränser, kvoter och begränsningar

Relaterade Azure PowerShell-cmdletar

Följande Azure PowerShell-cmdletar kan användas för att skapa och hantera IP-grupper:

• New-AzIpGroup
• Remove-AzIPGroup
• Get-AzIpGroup
• Set-AzIpGroup
• New-AzFirewallNetworkRule
• New-AzFirewallApplicationRule
• New-AzFirewallNatRule

Nästa steg

• Lär dig hur du distribuerar och konfigurerar en Azure Firewall.