通过 IP 组,可以轻松地对Azure Firewall规则的 IP 地址进行分组和管理。 通过以下方式使用 IP 组:
- 作为 DNAT 规则中的源地址
- 作为网络规则中的源或目标地址
- 作为应用程序规则中的源地址
IP 组可以包括单个 IP 地址、多个 IP 地址、一个或多个 IP 地址范围或地址和范围的组合。
可以在Azure Firewall DNAT、网络和应用程序规则中使用 IP 组,以便在Azure中跨区域和订阅使用多个防火墙。 组名称必须是唯一的。 可以在Azure门户、Azure CLI或 REST API 中配置 IP 组。 提供了一个示例模板来帮助你入门。
示例格式
以下 IPv4 地址格式示例在 IP 组中有效:
- 单个地址:10.0.0.0
- CIDR 表示法:10.1.0.0/32
- 地址范围:10.2.0.0-10.2.0.31
创建 IP 组
使用 Azure 门户、Azure CLI或 REST API 创建 IP 组。 有关详细信息,请参阅 “创建 IP 组”。
浏览 IP 组
- 在Azure门户搜索栏中,键入
IP Groups并选择它。 可以查看 IP 组的列表,也可以选择“ 添加 ”以创建新的 IP 组。 - 选择 IP 组以打开概述页。 可以编辑、添加或删除 IP 地址或 IP 组。
管理 IP 组
可以看到 IP 组中的所有 IP 地址以及与之关联的规则或资源。 若要删除 IP 组,必须先将 IP 组与使用该 IP 组的资源取消关联。
- 若要查看或编辑 IP 地址,请在左窗格中的“设置”下选择“IP 地址”。
- 若要添加单个或多个 IP 地址,请选择 “添加 IP 地址”。 此操作将打开 上传的“拖动”或“浏览” 页,也可以手动输入地址。
- 选择右侧的省略号(...),编辑或删除 IP 地址。 若要编辑或删除多个 IP 地址,请选中复选框,然后选择顶部的“编辑或删除”。
- 最后,可以导出 CSV 文件格式的文件。
注释
如果删除 IP 组中的所有 IP 地址,但该 IP 组仍在规则中使用,则会跳过该规则。
使用 IP 组
选择 IP 组 作为 源类型 或 目标类型,以便在创建 Azure 防火墙 DNAT、应用程序或网络规则时为 IP 地址。
并行 IP 组更新
可以同时并行更新多个 IP 组。 此功能对于需要更快大规模更改的环境特别有用,尤其是在使用开发运营方法(模板、ARM、CLI 和Azure PowerShell)进行更改时。
通过使用此功能,可以:
一次更新 20 个 IP 组: 在一个操作中最多对 20 个 IP 组执行同步更新,由防火墙策略或经典防火墙引用。
同时更新 Azure 防火墙和 IP 组:将 IP 组与防火墙或防火墙策略同步更新。
提高效率: 并行 IP 组更新现在运行的速度是快两倍。
接收新的和改进的错误消息:
错误消息 Description 建议的措施 处于失败状态(跳过更新) Azure Firewall或防火墙策略处于失败状态。 在资源正常之前,更新无法继续。 查看以前的操作并更正任何错误配置,以确保资源健康。 后端服务器目前无法更新防火墙 后端服务器无法成功处理请求。 创建支持请求。 FW 更新期间出错 此错误与基础后端服务器相关。 如果问题仍然存在,请重试该作或创建支持请求。 内部服务器错误 出现意外的后端错误。 重试该操作或创建支持请求。
另请注意以下状态更新:
- 一个或多个 IP 组失败: 如果一个 IP 组更新(超过 20 个并行更新)失败,则预配状态将更改为“失败”,而其余 IP 组继续更新并成功。
- 状态更新: 如果 IP 组更新失败,并且防火墙保持正常运行,其状态仍显示为“成功”。若要验证,请检查 IP 组资源本身的状态。
区域可用性
IP 组在所有公有云区域中都可用。
IP 地址限制
有关 IP 组限制,请参阅Azure订阅和服务限制、配额和约束。
相关Azure PowerShell cmdlet
使用以下Azure PowerShell cmdlet 创建和管理 IP 组:
- New-AzIpGroup
- Remove-AzIPGroup
- Get-AzIpGroup
- Set-AzIpGroup
- New-AzFirewallNetworkRule
- New-AzFirewallApplicationRule
- New-AzFirewallNatRule
后续步骤
- 了解如何部署并配置 Azure Firewall。