Azure Firewall Management NIC
Catatan
Fitur ini sebelumnya disebut Penerowongan Paksa. Awalnya, NIC Manajemen hanya diperlukan untuk Penerowongan Paksa. Namun, fitur Firewall tertentu yang akan datang juga akan memerlukan NIC Manajemen, sehingga telah dipisahkan dari Penerowongan Paksa. Semua dokumentasi yang relevan telah diperbarui untuk mencerminkan hal ini.
Azure Firewall Management NIC memisahkan lalu lintas manajemen firewall dari lalu lintas pelanggan. Fitur Firewall tertentu yang akan datang juga akan memerlukan Management NIC. Untuk mendukung salah satu kemampuan ini, Anda harus membuat Azure Firewall dengan Firewall Management NIC diaktifkan atau mengaktifkannya pada Azure Firewall yang ada untuk menghindari gangguan layanan.
Apa yang terjadi saat Anda mengaktifkan Management NIC
Jika Anda mengaktifkan Management NIC, firewall merutekan lalu lintas manajemennya melalui AzureFirewallManagementSubnet (ukuran subnet minimum /26) dengan alamat IP publik terkait. Anda menetapkan alamat IP publik ini untuk firewall guna mengelola lalu lintas. Semua lalu lintas yang diperlukan untuk tujuan operasional firewall dimasukkan ke dalam AzureFirewallManagementSubnet.
Secara default, layanan ini mengaitkan tabel rute yang disediakan sistem ke subnet Manajemen. Satu-satunya rute yang diperbolehkan pada subnet ini adalah rute default ke Internet, dan propagasi rute BGP harus dinonaktifkan. Hindari mengaitkan tabel rute pelanggan ke subnet Manajemen, karena hal ini dapat menyebabkan gangguan layanan jika dikonfigurasi dengan tidak benar. Jika Anda mengaitkan tabel rute, pastikan tabel tersebut memiliki rute default ke Internet untuk menghindari gangguan layanan.
Aktifkan Management NIC pada firewall yang ada
Untuk versi firewall Standar dan Premium, NIC Manajemen Firewall harus diaktifkan secara manual selama proses pembuatan seperti yang ditunjukkan sebelumnya, tetapi semua versi Firewall Dasar dan semua firewall Hub Aman selalu mengaktifkan NIC Manajemen.
Untuk firewall yang sudah ada sebelumnya, Anda harus menghentikan firewall lalu memulai ulang dengan Firewall Management NIC diaktifkan untuk mendukung Penerowongan paksa. Menghentikan/memulai firewall dapat digunakan untuk mengaktifkan NIC Manajemen Firewall tanpa perlu menghapus firewall yang ada dan menyebarkan ulang yang baru. Anda harus selalu memulai/menghentikan firewall selama jam pemeliharaan untuk menghindari gangguan, termasuk saat mencoba mengaktifkan NIC Manajemen Firewall.
Gunakan langkah-langkah berikut:
AzureFirewallManagementSubnet
Buat pada portal Azure dan gunakan rentang alamat IP yang sesuai untuk jaringan virtual.Buat alamat IP publik manajemen baru dengan properti yang sama dengan alamat IP publik firewall yang ada: SKU, Tingkat, dan Lokasi.
Hentikan firewall
Gunakan informasi di Tanya Jawab Umum Azure Firewall untuk menghentikan firewall:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $azfw.Deallocate() Set-AzFirewall -AzureFirewall $azfw
Mulai firewall dengan alamat IP publik manajemen dan subnet.
Mulai firewall dengan satu alamat IP publik dan alamat IP publik Manajemen:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet, $pip, $mgmtPip) $azfw | Set-AzFirewall
Mulai firewall dengan dua alamat IP publik dan alamat IP publik Manajemen:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip) $azfw | Set-AzFirewall
Catatan
Anda harus mengalokasikan kembali firewall dan IP publik ke grup sumber daya serta langganan asli. Ketika berhenti/mulai dilakukan, alamat IP privat firewall dapat berubah ke alamat IP yang berbeda dalam subnet. Ini dapat memengaruhi konektivitas tabel rute yang dikonfigurasi sebelumnya.
Sekarang saat Anda melihat firewall di portal Azure, Anda akan melihat alamat IP publik Manajemen yang ditetapkan:
Catatan
Jika Anda menghapus semua konfigurasi alamat IP lainnya di firewall Anda, konfigurasi alamat IP manajemen juga dihapus, dan firewall akan dibatalkan alokasinya. Alamat IP publik yang ditetapkan ke konfigurasi alamat IP manajemen tidak dapat dihapus, tetapi Anda dapat menetapkan alamat IP publik yang berbeda.
Menyebarkan Azure Firewall Baru dengan Management NIC untuk Penerowongan Paksa
Jika Anda lebih suka menyebarkan Azure Firewall baru alih-alih metode Stop/Start, pastikan untuk menyertakan Subnet Manajemen dan Manajemen NIC sebagai bagian dari konfigurasi Anda.
Catatan Penting
- Firewall Tunggal per Virtual Network (VNET): Karena dua firewall tidak dapat ada dalam jaringan virtual yang sama, disarankan untuk menghapus firewall lama sebelum memulai penyebaran baru jika Anda berencana untuk menggunakan kembali jaringan virtual yang sama.
- Subnet pra-buat: Pastikan AzureFirewallManagementSubnet dibuat terlebih dahulu untuk menghindari masalah penyebaran saat menggunakan jaringan virtual yang ada.
Prasyarat
-
Buat AzureFirewallManagementSubnet:
- Ukuran subnet minimum: /26
- Contoh: 10.0.1.0/26
Langkah-langkah Penyebaran
- Buka Membuat Sumber Daya di portal Azure.
- Cari Firewall dan pilih Buat.
- Pada halaman Buat Firewall, konfigurasikan pengaturan berikut:
- Langganan: Pilih langganan Anda.
- Grup Sumber Daya: Pilih atau buat grup sumber daya baru.
- Nama: Masukkan nama untuk firewall.
- Wilayah: Pilih wilayah Anda.
- Firewall SKU: Pilih Dasar, Standar, atau Premium.
-
Virtual Network: Buat jaringan virtual baru atau gunakan jaringan virtual yang sudah ada.
- Ruang alamat: misalnya, 10.0.0.0/16
- Subnet untuk AzureFirewallSubnet: misalnya, 10.0.0.0/26
-
Alamat IP Publik: Tambahkan IP Publik baru
- Nama: misalnya, FW-PIP
- NIC Manajemen Firewall
- Pilih Aktifkan NIC Manajemen Firewall
- Subnet untuk AzureFirewallManagementSubnet: misalnya, 10.0.1.0/24
- Membuat alamat IP publik Manajemen: misalnya, Mgmt-PIP
- Pilih Aktifkan NIC Manajemen Firewall
- Pilih Tinjau + Buat untuk memvalidasi dan menyebarkan firewall. Ini perlu beberapa menit untuk menyebarkan.