IP 组允许通过以下方式对 Azure 防火墙规则的 IP 地址进行分组和管理:
- 作为 DNAT 规则中的源地址
- 作为网络规则中的源或目标地址
- 作为应用程序规则中的源地址
IP 组可以有一个 IP 地址、多个 IP 地址、一个或多个 IP 地址范围或地址和范围的组合。
可以在 Azure 防火墙 DNAT、网络和应用程序规则中重复使用 IP 组,以便跨 Azure 中的区域和订阅使用多个防火墙。 组名称必须是唯一的。 可以在 Azure 门户、Azure CLI 或 REST API 中配置 IP 组。 提供了一个示例模板来帮助你入门。
示例格式
以下 IPv4 地址格式示例在 IP 组中有效:
- 单个地址:10.0.0.0
- CIDR 表示法:10.1.0.0/32
- 地址范围:10.2.0.0-10.2.0.31
创建 IP 组
可以使用 Azure 门户、Azure CLI 或 REST API 创建 IP 组。 有关详细信息,请参阅 “创建 IP 组”。
浏览 IP 组
- 在 Azure 门户搜索栏中,键入 IP 组 并选择它。 可以查看 IP 组的列表,也可以选择“ 添加 ”以创建新的 IP 组。
- 选择 IP 组以打开概述页。 可以编辑、添加或删除 IP 地址或 IP 组。
管理 IP 组
可以看到 IP 组中的所有 IP 地址以及与之关联的规则或资源。 若要删除 IP 组,必须先将 IP 组与使用该 IP 组的资源取消关联。
- 若要查看或编辑 IP 地址,请在左窗格的“设置”下选择“IP 地址”。
- 若要添加单个或多个 IP 地址(es),请选择 “添加 IP 地址”。 这会打开用于上传的拖动或浏览页面,您也可以手动输入地址。
- 选择右侧的省略号(...),以编辑或删除 IP 地址。 若要编辑或删除多个 IP 地址,请选中复选框,然后选择顶部的“编辑”或“删除”。
- 最后,可以导出 CSV 文件格式的文件。
注释
如果在规则中仍在使用该 IP 组时删除 IP 组中的所有 IP 地址,则会跳过该规则。
使用 IP 组
创建 Azure 防火墙 DNAT、应用程序或网络规则时,现在可以选择 IP 组 作为 IP 地址的 源类型 或 目标类型 。
并行 IP 组更新
现在可以同时并行更新多个 IP 组。 这对于需要大规模更改的环境特别有用,尤其是在使用开发运营方法(模板、ARM、CLI 和 Azure PowerShell)进行更改时。
通过此支持,可以执行以下操作:
一次更新 20 个 IP 组: 在一次操作中最多执行 20 个 IP 组的同时更新,参考防火墙策略或经典防火墙。
将 Azure 防火墙和 IP 组更新为一起: 可以使用防火墙或防火墙策略同时更新 IP 组。
提高效率: 并行 IP 组更新现在运行的速度是快两倍。
接收新的和改进的错误消息:
错误消息 Description 建议的措施 处于失败状态(跳过更新) Azure 防火墙或防火墙策略处于失败状态。 在资源正常之前,更新无法继续。 查看以前的操作并更正任何错误配置,以确保资源健康。 后端服务器目前无法更新防火墙 后端服务器无法成功处理请求。 创建支持请求。 FW 更新期间出错 此错误与基础后端服务器相关。 如果问题仍然存在,请重试该作或创建支持请求。 内部服务器错误 发生了意外的后端错误。 重试该操作或创建支持请求。
此外,请注意以下状态更新:
- 一个或多个 IP 组失败: 如果一个 IP 组更新(超过 20 个并行更新)失败,则预配状态将更改为“失败”,而其余 IP 组将继续更新并成功。
- 状态更新: 如果 IP 组更新失败,并且防火墙保持正常运行,其状态仍将显示为“成功”。若要验证,请检查 IP 组资源本身的状态。
区域可用性
IP 组在所有公有云区域中都可用。
IP 地址限制
有关 IP 组限制,请参阅 Azure 订阅和服务限制、配额和约束
相关 Azure PowerShell 命令脚本
以下 Azure PowerShell cmdlet 可用于创建和管理 IP 组:
- New-AzIpGroup
- Remove-AzIPGroup
- Get-AzIpGroup
- Set-AzIpGroup
- New-AzFirewallNetworkRule
- New-AzFirewallApplicationRule
- New-AzFirewallNatRule
后续步骤
- 了解如何部署和配置 Azure 防火墙。