Esta publicación fue coautora de Suren Jamiyanaa, Gerente de Producto II, Azure Networking.
A medida que las grandes organizaciones de todas las industrias expanden sus negocios y operaciones en la nube, un criterio central para su infraestructura en la nube es establecer conexiones a través de Web a escala. Sin embargo, un problema común de conectividad saliente que se encuentra cuando se maneja tráfico saliente a gran escala es agotamiento del puerto de traducción de direcciones de purple de origen (SNAT). Cada vez que se realiza una nueva conexión al mismo punto closing de destino a través de Web, se utiliza un nuevo puerto SNAT. El agotamiento de puertos SNAT ocurre cuando se agotan todos los puertos SNAT disponibles. Los entornos que a menudo requieren realizar muchas conexiones al mismo destino, como acceder a una base de datos alojada en el centro de datos de un proveedor de servicios, son susceptibles al agotamiento del puerto SNAT. Cuando se trata de conectarse a Web de salida, los clientes deben considerar no solo los riesgos potenciales, como el agotamiento del puerto SNAT, sino también cómo proporcionar seguridad para su tráfico saliente.
cortafuegos azul es un servicio de seguridad inteligente que protege las infraestructuras en la nube contra ataques nuevos y emergentes mediante el filtrado del tráfico de purple. Todo el tráfico de Web saliente que utiliza Azure Firewall se inspecciona, protege y se somete a SNAT para ocultar la dirección IP del cliente unique. Para reforzar la conectividad saliente, Azure Firewall se puede escalar asociando varias direcciones IP públicas a Azure Firewall. Algunos entornos a gran escala pueden requerir la asociación guide de hasta cientos de IP públicas a Firewall para satisfacer la demanda de cargas de trabajo a gran escala, lo que puede ser un desafío para administrar a largo plazo. Los destinos de los socios también suelen tener un límite en la cantidad de direcciones IP que se pueden incluir en la lista blanca en sus sitios de destino, lo que puede crear desafíos cuando la conectividad de salida del firewall debe ampliarse con muchas direcciones IP públicas. Sin escalar esta conectividad saliente, los clientes son más susceptibles a fallas en la conectividad saliente debido al agotamiento del puerto SNAT.
Aquí es donde entra en juego la puerta de enlace de traducción de direcciones de purple (NAT). La puerta de enlace NAT se puede implementar fácilmente en una subred de Azure Firewall para escalar automáticamente las conexiones y filtrar el tráfico a través del firewall antes de conectarse a Web. La puerta de enlace NAT no solo proporciona un inventario de puertos SNAT más grande con menos direcciones IP públicas, sino que las puertas de enlace NAT método único de asignación de puertos SNAT está diseñado específicamente para manejar cargas de trabajo dinámicas y de gran escala. La asignación dinámica de la puerta de enlace NAT y la selección aleatoria de puertos SNAT reducen significativamente el riesgo de agotamiento de puertos SNAT y, al mismo tiempo, mantienen al mínimo la administración basic de direcciones IP públicas.
En este weblog, exploraremos los beneficios de usar NAT Gateway con Azure Firewall y cómo integrar ambos en su arquitectura para garantizar que tenga la mejor configuración para satisfacer sus necesidades de seguridad y escalabilidad para la conectividad saliente.
Beneficios de usar NAT Gateway con Azure Firewall
Uno de los mayores beneficios de integrar la puerta de enlace NAT en su arquitectura de firewall es la escalabilidad que proporciona para la conectividad saliente. Los puertos SNAT son un componente clave para realizar nuevas conexiones a través de Web y distinguir diferentes conexiones entre sí que provienen del mismo punto closing de origen. La puerta de enlace NAT proporciona 64 512 puertos SNAT por IP pública y se puede ampliar para usar 16 direcciones IP públicas. Esto significa que, cuando se amplía completamente con 16 direcciones IP públicas, la puerta de enlace NAT proporciona más de 1 millón de puertos SNAT. Azure Firewall, por otro lado, admite 2496 puertos SNAT por IP pública por instancia de máquina digital dentro de un conjunto de escalado de máquinas virtuales (mínimo de 2 instancias). Esto significa que para lograr el mismo volumen de inventario de puertos SNAT que la puerta de enlace NAT cuando se escala completamente, Firewall puede requerir hasta 200 direcciones IP públicas. La puerta de enlace NAT no solo ofrece más puertos SNAT con menos direcciones IP públicas, sino que estos puertos SNAT se asignan bajo demanda a cualquier máquina digital en una subred. Asignación de puertos SNAT bajo demanda es clave para saber cómo la puerta de enlace NAT scale back significativamente el riesgo de problemas comunes de conectividad de salida, como el agotamiento del puerto SNAT.
La puerta de enlace NAT también proporciona 50 Gbps de rendimiento de datos para el tráfico saliente que se puede usar en línea con un SKU estándar Azure Firewall, que proporciona 30 Gbps de rendimiento de datos. Premium SKU Azure Firewall proporciona 100 Gbps de rendimiento de datos.
Con la puerta de enlace NAT, también se asegura de que su tráfico saliente sea completamente seguro, ya que ningún tráfico entrante puede pasar a través de la puerta de enlace NAT. Todo el tráfico entrante está sujeto a las reglas de seguridad habilitadas en Azure Firewall antes de que pueda llegar a cualquier recurso privado dentro de su infraestructura en la nube.
Para obtener más información sobre los otros beneficios que ofrece la puerta de enlace NAT en las arquitecturas de Azure Firewall, consulte Integración de puerta de enlace NAT con Azure Firewall.
Cómo aprovechar al máximo el uso de NAT Gateway con Azure Firewall
Echemos un vistazo a cómo configurar la puerta de enlace NAT con Azure Firewall y cómo funciona la conectividad hacia y desde Web al integrar ambos en su arquitectura de nube.
Conectividad saliente lista para producción con NAT Gateway y Azure Firewall
Para cargas de trabajo de producción, Azure recomienda separar Azure Firewall y las cargas de trabajo de producción en un Topología de concentrador y radios. Introducir la puerta de enlace NAT en esta configuración es easy y se puede hacer en solo un par de pasos cortos. En primer lugar, implemente Azure Firewall en una subred de Azure Firewall dentro de la purple digital (VNet) del concentrador. Adjunte la puerta de enlace NAT a la subred de Azure Firewall y agregue hasta 16 direcciones IP públicas y listo. Una vez configurada, la puerta de enlace NAT se convierte en la ruta predeterminada para todo el tráfico saliente de la subred de Azure Firewall. Esto significa que el tráfico dirigido a Web (tráfico con el prefijo 0.0.0.0/0) enrutado desde las redes virtuales radiales a la subred de Azure Firewall de Hub Vnet usará automáticamente la puerta de enlace NAT para conectarse de salida. Debido a que la puerta de enlace NAT está completamente administrada por Azure, la puerta de enlace NAT asigna puertos SNAT y se escala para satisfacer sus necesidades de conectividad saliente automáticamente. No se requieren configuraciones adicionales.
Figura: separe Azure Firewall de las cargas de trabajo de producción en una topología de concentrador y radio y conecte la puerta de enlace NAT a la subred de Azure Firewall en la purple digital del concentrador. Una vez configurado, todo el tráfico saliente de sus redes virtuales radiales se dirige a través de la puerta de enlace NAT y todo el tráfico de retorno se dirige de nuevo a la IP pública de Azure Firewall para mantener la simetría del flujo.
Cómo configurar NAT Gateway con Azure Firewall
Para asegurarse de que ha configurado sus cargas de trabajo para enrutarlas a la subred de Azure Firewall y usar la puerta de enlace NAT para la conexión saliente, siga estos pasos:
- Implemente su Firewall en una subred de Azure Firewall dentro de su propia purple digital. Esta será la purple digital del concentrador.
- Agregue la puerta de enlace NAT a la subred de Azure Firewall y adjunte al menos una dirección IP pública.
- Implemente sus cargas de trabajo en subredes en redes virtuales separadas. Estas redes virtuales serán los radios. Cree tantas redes virtuales radiales para su carga de trabajo como sea necesario.
- Configure el emparejamiento de redes virtuales entre el concentrador y las redes virtuales radiales.
- Inserte una ruta a las subredes radiales para enrutar el tráfico de Web 0.0.0.0/0 a Azure Firewall.
- Agregue una regla de purple a la política de Firewall para permitir el tráfico desde las redes virtuales radiales a Web.
Referirse a este tutorial para obtener instrucciones paso a paso sobre cómo implementar la puerta de enlace NAT y Azure Firewall en una topología de concentrador y radio.
Una vez que se implementa la puerta de enlace NAT en la subred de Azure Firewall, todo el tráfico saliente se dirige a través de la puerta de enlace NAT. Normalmente, la puerta de enlace NAT también recibe cualquier tráfico de retorno. Sin embargo, en presencia de Azure Firewall, la puerta de enlace NAT se usa solo para el tráfico saliente. Todo el tráfico entrante y de retorno se dirige a través de Azure Firewall para garantizar la simetría del flujo de tráfico.
Preguntas más frecuentes
- ¿Se puede usar la puerta de enlace NAT en una arquitectura de purple digital de centro seguro con Azure Firewall?
- No, la puerta de enlace NAT no es suitable con una arquitectura de concentrador seguro (vWAN). En su lugar, se debe usar una arquitectura de purple digital de concentrador como se describe anteriormente.
- ¿Cómo funciona la puerta de enlace NAT con un Azure Firewall con redundancia de zona?
- La puerta de enlace NAT es un recurso zonal que puede proporcionar conectividad saliente desde una sola zona para una purple digital, independientemente de si se usa con un Azure Firewall zonal o con redundancia de zona. Para obtener más información sobre cómo optimizar las implementaciones de su zona de disponibilidad con la puerta de enlace NAT, consulte nuestro último weblog.
Beneficios de NAT Gateway con Azure Firewall
Cuando se trata de proporcionar conectividad saliente a Web desde arquitecturas en la nube mediante Azure Firewall, no busque más allá de la puerta de enlace NAT. Los beneficios de usar la puerta de enlace NAT con Azure Firewall incluyen:
- Configuración sencilla. Conecte la puerta de enlace NAT a la subred de Azure Firewall en cuestión de minutos y comience a conectarse de inmediato. No se requieren configuraciones adicionales.
- Totalmente administrado por Azure. La puerta de enlace NAT está completamente administrada por Azure y se escala automáticamente para satisfacer la demanda de su carga de trabajo.
- Requiere menos direcciones IP públicas estáticas. La puerta de enlace NAT se puede asociar con hasta 16 direcciones IP públicas estáticas, lo que permite una fácil inclusión en la lista blanca en los puntos finales de destino y una gestión más sencilla de las reglas de filtrado de IP descendentes.
- Proporciona un mayor volumen de puertos SNAT para la conexión saliente. La puerta de enlace NAT puede escalar a más de 1 millón de puertos SNAT cuando se configura para 16 direcciones IP públicas.
- La asignación dinámica de puertos SNAT garantiza que el inventario completo de puertos SNAT esté disponible para cada máquina digital en su carga de trabajo. Esto a su vez ayuda a reducir significativamente el riesgo de agotamiento de puertos SNAT que es común con otros métodos SNAT.
- Conectividad saliente segura. Garantiza que ningún tráfico entrante de Web pueda llegar a recursos privados dentro de su purple de Azure. Todo el tráfico entrante y de respuesta está sujeto a las reglas de seguridad de Azure Firewall.
- Mayor rendimiento de datos. Una puerta de enlace SKU NAT estándar proporciona 50 Gbps de rendimiento de datos. Un SKU estándar Azure Firewall proporciona 30 Gbps de rendimiento de datos.
Aprende más
Para obtener más información sobre la puerta de enlace NAT, cortafuegos azuly cómo integrar ambos en su configuración arquitectónica, consulte:
