Azure Firewall中多重公共IP的配置列表

微軟更新Azure Firewall,可支援100個IP的多重公共IP功能,脫離測試階段成為正式功能,同時也添加了SQL FQDN過濾以及FQDN標籤預覽版本功能。

用戶在Azure Firewall上可以關聯最多100個公共IP地址,這項功能在7月12日成為正式版本,並在所有區域提供。多重公共IP可以應用在過去難以實現的使用案例,微軟提到,現在可以支援DNAT(Destination Network Address Translation)以及SNAT(Source Network Address Translation)應用。

DNAT的應用讓用戶可以轉換多個標準連接埠實例到後端伺服器,當用戶同時擁有多個公共IP地址,就能轉換到同一個TCP連接埠。而SNAT使用案例現在也支援多重IP,連外SNAT連線可以使用額外的連接埠,減少潛在SNAT耗盡的可能。

微軟提到,由於目前Azure Firewall會隨機挑選用於連線的公共IP,因此用戶必須要在任何的下游過濾器,允許所有與防火牆相關連的IP。多重公共IP的功能,支援REST API、樣板、PowerShell以及Azure CLI工具,Azure Portal則會在近期提供。

Azure Firewall的防護功能,現在可以延伸跨越多個Availability Zones,這個新功能可增加可用性,將維持99.99%的正常運作時間。Availability Zones位在Azure區域中特殊的物理位置,提供高可用性服務,以保護使用者的應用程式以及資料,每個Availability Zone都使用獨立的電源、冷卻系統以及網路,每個Azure區域最少有三個獨立的Availability Zones。

Azure Firewall目前有兩個功能正在預覽,分別是SQL FQDN過濾以及Azure HDInsight FQDN標籤。FQDN(Fully Qualified Domain Name,完全限定域名)是網域名稱的一種,可以用來指定DNS樹狀圖中一個確實的位置。

現在用戶可以在Azure Firewall應用程式規則中配置SQL FQDN,這將可以限制從Azure虛擬網路到指定SQL伺服器實例的存取,賦予用戶有能力過濾從虛擬網路到Azure SQL資料庫、Azure SQL資料倉儲、Azure SQL託管實例或是在虛擬網路中託管SQL IaaS實例的流量。

由於目前仍在預覽階段,Azure Firewall只有在代理模式下,才能支援SQL FQDN過濾,用戶現在可使用REST API、樣板和Azure CLI工具進行設置,同樣的,未來還會在Azure Portal中推出。

另一個預覽功能則可用來防止資料外洩,用戶現在可在Azure HDInsight使用FQDN標籤。微軟讓虛擬網路中部署的Azure HDInsight服務,能夠獨立於連外基礎設施,用戶可以使用Azure Firewall限制HDInsight叢集連外存取。微軟提到,Azure Firewall的FQDN標籤,讓用戶可以預先配置其基礎設施的相依關係,HDInsight能夠使用Azure儲存帳戶FQDN,FQDN標籤賦予用戶更精細的控制能力,以限制HDInsight的連外流量。


Advertisement

更多 iThome相關內容