Azure Firewallは、バックエンド仮想マシン スケール セット インスタンスごとに構成されたパブリック IP アドレスあたり 2,496 個の SNAT ポートを提供し (2 つ以上のインスタンス)、最大で 250 パブリック IP アドレスを関連付けることができます。 アーキテクチャとトラフィック パターンによっては、この構成で 1,248,000 を超える SNAT ポートが必要になる場合があります。 たとえば、Microsoft 365 Appsと統合される大規模な Azure Virtual Desktop デプロイを保護するために使用する場合です。
多数のパブリック IP アドレスを使用する場合の課題の 1 つは、ダウンストリームの IP アドレス フィルター要件がある場合です。 Azure Firewallが複数のパブリック IP アドレスに関連付けられている場合は、それに関連付けられているすべてのパブリック IP アドレスにフィルター要件を適用する必要があります。 送信 SNAT ポートの要件を満たすために、パブリック IP アドレス プレフィックスを使用し、250 個のパブリック IP アドレスを関連付ける必要がある場合でも、16 個のパブリック IP アドレス プレフィックスを作成して許可する必要があります。
送信 SNAT ポートをスケーリングして動的に割り当てるより優れたオプションは、Azure NAT Gatewayを使用することです。 パブリック IP アドレスあたり 64,512 個の SNAT ポートを提供し、最大 16 個の IPv4 パブリック IP アドレスをサポートします。 これにより、最大 1,032,192 個の送信 SNAT ポートが効果的に提供されます。 Azure NAT Gatewayサブネット レベルで SNAT ポートを動的に割り当てます。そのため、関連付けられている IP アドレスによって提供されるすべての SNAT ポートをオンデマンドで使用して送信接続を提供できます。
NAT ゲートウェイ リソースが Azure Firewall サブネットに関連付けられている場合、すべての送信インターネット トラフィックで NAT ゲートウェイのパブリック IP アドレスが自動的に使用されます。 ユーザー定義のルートを構成する必要はありません。 送信フローへの応答トラフィックも、NAT ゲートウェイを通過します。 NAT ゲートウェイに複数の IP アドレスが関連付けられている場合は、IP アドレスがランダムに選択されます。 使用するアドレスを指定することはできません。
このアーキテクチャでは、二重 NAT はありません。 Azure Firewallインスタンスは、パブリック IP アドレスではなくプライベート IP アドレスを使用して NAT ゲートウェイにトラフィックAzure Firewall送信します。
注意
Standard NAT ゲートウェイはゾーン冗長デプロイをサポートしていないため、ゾーン冗長ファイアウォールを使用して NAT ゲートウェイをデプロイすることは推奨されるデプロイ オプションではありません。 StandardV2 NAT ゲートウェイでは、ゾーン冗長デプロイがサポートされます。 詳細については、「 NAT ゲートウェイ SKU」を参照してください。
Azure NAT Gatewayは、セキュリティで保護された仮想ハブ (vWAN) アーキテクチャではサポートされていません。 vWAN アーキテクチャで使用するには、セキュリティで保護された仮想ハブ (vWAN) に関連付けられているスポーク仮想ネットワークに対して NAT ゲートウェイを直接構成する必要があります。 NAT ゲートウェイとハブ アンド スポーク ネットワーク アーキテクチャのAzure Firewallの統合に関する詳細なガイダンスについては、NAT ゲートウェイとAzure Firewall統合のチュートリアルを参照してください。 Azure Firewall アーキテクチャ オプションの詳細については、「
NAT ゲートウェイを Azure Firewall サブネットに関連付ける - Azure PowerShell
次の例では、Azure PowerShellを使用して、Azure Firewall サブネットを持つ NAT ゲートウェイを作成してアタッチします。
# Create public IP addresses
New-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
New-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg -Sku Standard -AllocationMethod Static -Location 'South Central US'
# Create NAT gateway
$PublicIPAddress1 = Get-AzPublicIpAddress -Name public-ip-1 -ResourceGroupName nat-rg
$PublicIPAddress2 = Get-AzPublicIpAddress -Name public-ip-2 -ResourceGroupName nat-rg
New-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg -PublicIpAddress $PublicIPAddress1,$PublicIPAddress2 -Location 'South Central US' -Sku Standard
# Associate NAT gateway to subnet
$virtualNetwork = Get-AzVirtualNetwork -Name nat-vnet -ResourceGroupName nat-rg
$natGateway = Get-AzNatGateway -Name firewall-nat -ResourceGroupName nat-rg
$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway
$virtualNetwork | Set-AzVirtualNetwork
NAT ゲートウェイを Azure Firewall サブネットに関連付ける - Azure CLI
次の例では、Azure CLIを使用して、Azure Firewall サブネットを持つ NAT ゲートウェイを作成してアタッチします。
# Create public IP addresses
az network public-ip create --name public-ip-1 --resource-group nat-rg --sku standard
az network public-ip create --name public-ip-2 --resource-group nat-rg --sku standard
# Create NAT gateway
az network nat gateway create --name firewall-nat --resource-group nat-rg --public-ip-addresses public-ip-1 public-ip-2 --sku standard
# Associate NAT gateway to subnet
az network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet --resource-group nat-rg --nat-gateway firewall-nat