아웃바운드 트래픽은 Azure의 VM 시리즈 방화벽에 의해 삭제됩니다.

9807

Created On 11/21/22 14:49 PM - Last Modified 01/07/25 18:55 PM

Symptom

Azure에서는 공용 인터넷에 연결된 내부 존(zone) 에서 외부 존(zone) 으로 향하는 아웃바운드 트래픽 VM 시리즈 방화벽 에 의해 삭제됩니다.
외부 존(zone) 에 있는 클라이언트가 Azure 내부 존(zone) 에 있는 서버와 TCP 연결을 설정하려고 하면 방화벽 초기 SYN 패킷을 성공적으로 수신하지만 내부 존(zone) 에서 온 서버 대응 SYN-ACK 패킷은 삭제됩니다.

PAN-OS의 대부분 클라우드 네트워크 인터페이스 설정은 DHCP 로 구성되어 있으므로 Azure 포털 에서 정적 IP 할당이 수행됩니다.
네트워크 인터페이스 에서 DHCP 활성화된 경우 " 서버가 제공한 디폴트 게이트웨이를 가리키는 디폴트 라우팅하다 자동으로 생성 " 옵션이 선택되어 활성화됩니다.
결과적으로 VM 시리즈 방화벽 Azure의 디폴트 라우팅하다 168.63.129.16 으로 가져오는데, 이는 Azure 플랫폼 리소스와 통신하는 데 사용되는 Azure의 가상 공용 IP 주소 입니다.
이 옵션이 두 개 이상의 인터페이스 에서 활성화된 경우, 각 해당 인터페이스 다음 홉으로 가리키는 디폴트 경로는 10의 동일한 디폴트 메트릭을 사용하여 라우팅 테이블에 설치됩니다.
하지만 먼저 설치된 라우팅하다 만 " 활성 "으로 표시됩니다( 아래 스크린샷 참조 ).
따라서 위의 디폴트 라우팅하다 가져오기 규칙으로 네트워크 인터페이스를 구성한 후 디폴트 정적 경로(static route) Virtual Router (VR) 에 추가되면 " 활성 " 디폴트 라우팅하다 Azure의 168.63.129.16을 가리키고 디폴트 라우팅하다 (0.0.0.0/0)를 사용하는 트래픽을 블랙홀 처리합니다.
이는 DHCP 클라이언트 역할을 하는 인터페이스를 사용할 때의 기본 경로 동작 문서에서 설명됩니다.

Microsoft Azure 설명서: IP 주소 168.63.129.16은 무엇입니까?