首先還是圍繞着我們的架構圖來說,這次要實現的是通過FW來做SNAT和DNAT,假設我們有web服務器在FW所在的VNET或者peering連接的VNET,我們希望能通過FW進行流量控制,這樣就需要做DNAT實現了,如果我們在VNET中的web服務器想通過FW來訪問internet,這就需要SNAT來實現,這些都可以通過配置來實現,下邊就來說說怎麼玩
VNET的創建就不講了,先來看怎麼建Firewall, firewall創建很簡單,可以直接在Portal手動創建,要注意的是,FW需要VNET中有一個名爲AzureFirewallSubnet的子網,所以需要先手工創建好subnet
創建子網
有了子網之後就可以正常創建FW了
之後FW就創建好了
FW創建好了以後,並不會直接生效,我們需要配置一些規則來讓網絡流量經過FW,首先來看入站的流量如何經過FW,想要入站流量經過FW,我們需要做DNAT實現,在FW裏可以直接配置NAT規則
同region的peering VNET有web服務器一臺,可以通過公網訪問
我們的目標是要讓訪問web服務器的流量先經過FW,再到web服務器,我們來看下這個DNAT怎麼實現,首先直接在規則裏添加NAT規則
這裏需要注意下配置的原則
Destination address: 防火牆的公網IP
Translated address: web服務器的內網IP
Translated port: web服務器的端口
配置完成後,可以直接訪問防火牆的地址,就能直接訪問到web服務器了