Outbound rules موازن تحميل Azure

تسمح لك قواعد الصادر بتعريف SNAT (ترجمة عناوين الشبكة المصدر) لموازن التحميل القياسي العام صراحة. يتيح لك هذا التكوين استخدام عناوين IP العامة لموازن التحميل لتوفير اتصال إنترنت صادر لمثيلات الخلفية الخاصة بك.

يمكِّن هذا التكوين ما يلي:

• تنكّر عنوان IP
• تبسيط قوائم التصاريح الخاصة بك.
• تقليل عدد موارد IP العامة للتوزيع.

بفضل قواعد الاتصالات الصادرة، يتوفر لديك التحكم الإلزامي الكامل في الاتصال الصادرة بالإنترنت. تسمح لك قواعد الاتصالات الصادرة بتحجيم هذه القدرة وضبطها وفقاً لاحتياجاتك المحددة.

لن تُتبَع قواعد الصادر إلا في حالة عدم حصول الجهاز الظاهري في الواجهة الخلفية على عنوان IP عام على مستوى المثيل (ILPIP) فقط.

بفضل قواعد الصادر، يمكنك تحديد طريقة عمل SNAT الصادر بشكل صريح.

تسمح لك قواعد الصادر بالتحكم فيما يلي:

• الأجهزة الظاهرية التي تُترجم إلى عناوين IP العامة.
  • كانت القاعدتان أن يستخدم تجمع الواجهة الخلفية 1 كلاً من عناوين IP الزرقاء، ويستخدم تجمع الواجهة الخلفية 2 بادئة IP الصفراء.
• كيفية تخصيص منافذ SNAT الصادر.
  • إذا كان تجمع الواجهة الخلفية 2 هو تجمع لإجراء اتصالات صادرة فقط، فامنح جميع منافذ SNAT إلى تجمع الواجهة الخلفية 2 ولا تخصص أي شيء إلى تجمع الواجهة الخلفية 1.
• البروتوكولات المطلوب توفير ترجمة الصادر لها.
  • إذا احتاج تجمع الواجهة الخلفية 2 منافذ UDP للصادر، واحتاج تجمع الواجهة الخلفية 1 TCP، فخصص منافذ TCP إلى 1 ومنافذ UDP إلى 2.
• المدة المخصصة لمهلة خمول الاتصال الصادر (من 4 إلى 120 دقيقة).
  • في حالة وجود اتصالات تعمل لمدة طويلة مع ميزة keepalives، اضبط منافذ خمول الاتصالات التي تعمل لمدة طويلة على مدة تصل إلى 120 دقيقة. افترض أن الاتصالات المنتهية الصلاحية غير موجودة وحرر المنافذ في غضون 4 دقائق للاتصالات الجديدة
• سواء تم إرسال طلب إعادة تعيين TCP في مهلة الخمول أم لا.
  • عند انتهاء مهلة الاتصالات الخاملة، هل نرسل طلب TCP RST إلى العميل والخادم حتى يعرفوا أن التدفق قد انتهى؟

هام

عندما يتم تكوين تجمع الواجهة الخلفية حسب عنوان IP، سيعمل كأنه Load Balancer أساسي مع تفعيل الخروج الافتراضي. للحصول على تكوين وتطبيقات آمنة بشكل افتراضي وتكون لها احتياجات مُلحّة ومتكررة للاتصالات الصادرة، عليك تكوين مجموعة الواجهات الخلفية باستخدام NIC.

تعريف قاعدة الصادر

تتبع قواعد الصادر الصيغة المألوفة نفسها المستخدمة في موازنة التحميل وقواعد NAT الصادر: الواجهة الأمامية + المعلمات + تجمع الواجهة الخلفية.

تكوِّن قاعدة الصادر NAT الصادر لجميع الأجهزة الظاهرية التي يحددها تجمع الواجهة الخلفية لترجمتها إلى الواجهة الأمامية.

توفر المعلمات تحكماً دقيقاً في خوارزمية NAT الصادر.

توسيع نطاق NAT الصادر باستخدام عناوين IP متعددة

يوفر كل عنوان IP إضافي توفره واجهة أمامية 64.000 منفذ آخر مؤقت لموازن التحميل لاستخدامها كمنافذ SNAT. يستخدم موازن التحميل عناوين IP حسب الحاجة بناء على المنافذ المتاحة. سيستخدم موازن التحميل عنوان IP التالي بمجرد عدم إمكانية إجراء الاتصالات باستخدام IP الحالي قيد الاستخدام.

استخدم عناوين IP متعددة للتخطيط لسيناريوهات واسعة النطاق. استخدم القواعد الصادرة للحد من استنزاف SNAT كما هو موضح في الدعم واستكشاف الأخطاء في موازن تحميل Azure.

يمكنك أيضاً استخدام بادئة IP عامة مع قاعدة صادر مباشرة.

تزيد بادئة IP العامة من تحجيم التوزيع. يمكن إضافة البادئة إلى قائمة السماح للتدفقات التي تنشأ من موارد Azure الخاصة بك. يمكنك ضبط تكوين IP للواجهة الأمامية داخل موازن التحميل للإشارة إلى بادئة عنوان IP عام.

يتحكم موازن التحميل في بادئة IP العام. ستستخدم القاعدة الصادرة تلقائيا عناوين IP العامة الأخرى المضمنة في بادئة IP العامة بعد عدم إمكانية إجراء المزيد من الاتصالات الصادرة باستخدام IP الحالي المستخدم من البادئة.

يوفر كل عنوان من عناوين IP داخل بادئة IP العام 64.000 منفذ إضافي مؤقت لكل عنوان IP لموازن التحميل لاستخدامها كمنافذ SNAT.

مهلة الخمول للتدفق الصادر وإعادة تعيين TCP

توفر قواعد الصادر معلمة تكوين للتحكم في مهلة خمول التدفق الصادر ومطابقتها مع احتياجات تطبيقك. الإعداد الافتراضي لمهلة خمول التدفق الصادر 4 دقائق. لمزيد من المعلومات، راجع تكوين مهلات خمول .

طريقة العمل الافتراضية لموازن التحميل هي خفض التدفق بهدوء عند الوصول إلى مهلة خمول التدفق الصادر. تمكِّن المعلمة enableTCPReset طريقة عمل وسبل تحكم يمكن التنبؤ بها للتطبيق. تحدد المعلمة ما إذا كان سيُرسَل طلب إعادة تعيين TCP ثنائي الاتجاه (TCP RST) في مهلة خمول التدفق الصادر أم لا.

راجع إعادة تعيين TCP في مهلة الخمول للحصول على تفاصيل تتضمن قابلية الوصول للمنطقة.

تأمين الاتصال الصادر والتحكم فيه صراحة

توفر قواعد موازنة التحميل البرمجة التلقائية لـ NAT الصادر. تفيد بعض السيناريوهات بضرورة تعطيل البرمجة التلقائية لـ NAT الصادر باستخدام قاعدة موازنة التحميل أو تطلب منك ذلك. يسمح لك التعطيل عبر القاعدة بالتحكم في طريقة العمل أو تحسينها.

يمكنك استخدام هذه المعلمة بطريقتين:

1. منع عنوان IP الصادر لـ SNAT الصادر. تعطيل SNAT الصادر في قاعدة موازنة التحميل.

2. اضبط معلمات SNAT الصادر لعنوان IP المستخدمة في التدفق الداخل والصادر في الوقت نفسه. يجب تعطيل NAT الصادر التلقائية للسماح لقاعدة الصادر بالتحكم. لتغيير تخصيص منفذ SNAT لعنوان مستخدم أيضاً في التدفق الوارد، يجب تعيين المعلمة disableOutboundSnat على صحيح.

تفشل عملية تكوين قاعدة صادرة إذا حاولت إعادة تعريف عنوان IP المستخدم للواردة. قم أولا بإلغاء NAT الصادر من قاعدة توازن الأحمال.

هام

جهازك الافتراضي لن يكون لديه اتصال صادر إذا ضبطت هذا المعامل على true ولم يكن لديك قاعدة صادرة لتعريف الاتصال الصادر. بعض عمليات جهازك الافتراضي أو تطبيقك يمكن أن تعتمد على توفر الاتصال الخارجي. تأكد من فهم تبعيات السيناريو وفكِّر في تأثير إجراء هذا التغيير.

أحياناً يكون إنشاء الجهاز الظاهري تدفق صادر أمراً غير مرغوب. قد يوضع شرط لإدارة الوجهات التي تتلقى تدفقات صادرة، أو الوجهات التي تُرسِل تدفقات واردة. استخدم مجموعات أمان الشبكة لإدارة الوجهات التي يصل إليها الجهاز الظاهري. استخدم NSG لإدارة الوجهات العامة التي تبدأ التدفقات الواردة.

عند استخدام NSG في جهاز ظاهري متوازن التحميل، يُرجى الالتزام بعلامات الخدمة وقواعد الأمان الافتراضية.

تأكد من أن الجهاز الافتراضي يمكنه استقبال طلبات فحص الصحة من موازن تحميل Azure.

إذا حظرت NSG طلبات فحوصات السلامة من العلامة الافتراضية AZURE_LOADBALANCER، تفشل فحوصات السلامة للجهاز الظاهري وتوضع علامة غير متوفر على الجهاز الظاهري. يتوقف موازن التحميل عن إرسال تدفقات جديدة إلى الجهاز الظاهري هذا.

سيناريوهات قواعد الصادر

• تكوين الاتصالات الصادرة إلى مجموعة معينة من عناوين IP العامة أو البادئة.
• تعديل تخصيص منفذ SNAT.
• تمكين الصادر فقط.
• ترجمة عناوين الشبكة الصادرة للأجهزة الظاهرية فقط (بدون الواردة).
• NAT الصادرة لموازن التحميل القياسي الداخلي.
• تمكين بروتوكولات TCP وUDP ل NAT الصادرة باستخدام موازن تحميل قياسي عام.

السيناريو 1: تكوين الاتصالات الصادرة إلى مجموعة معينة من عناوين IP العامة أو البادئة

التفاصيل

استخدم هذا السيناريو لتخصيص الاتصالات الصادرة لإكمال التكوين من مجموعة من عناوين IP العامة. أضف عناوين IP أو بادئات عامة إلى قائمة السماح أو الحظر بناء على الأصل.

يمكن أن يكون عنوان IP العام أو البادئة هو نفسه المستخدم في قاعدة موازنة التحميل.

لاستخدام عنوان IP أو بادئة عامة مختلفة عما تستخدمه قاعدة موازنة التحميل:

1. أنشئ بادئة IP عامة أو عنوان IP عاماً.
2. إنشاء موازن تحميل قياسي عام
3. أنشئ واجهة أمامية تشير إلى بادئة IP العامة أو عنوان IP العام الذي ترغب في استخدامه.
4. أعد استخدام تجمع الواجهة الخلفية أو أنشئ تجمع واجهة خلفية وضع الأجهزة الظاهرية في تجمع الواجهة الخلفية لموازن التحميل العام
5. تكوين قاعدة صادر على موازن التحميل العام لتمكين NAT الصادر للأجهزة الظاهرية باستخدام الواجهة الأمامية. لا ينصح باستخدام قاعدة توازن الأحمال للرحلات الخارجية. قم بتعطيل نظام SNAT الصادر من قاعدة توازن الأحمال.

السيناريو 2: تعديل تخصيص منفذ SNAT

التفاصيل

يمكنك استخدام قواعد الصادر لضبط تخصيص منفذ SNAT التلقائي حسب حجم تجمع الواجهة الخلفية.

إذا واجهت مشكلة استنفاد SNAT، فزِد عدد منافذ SNAT من الإعداد الافتراضي 1024.

يساهم كل عنوان IP عام بما يصل إلى 64,000 منفذ مؤقت. يحدد عدد الأجهزة الظاهرية في تجمع الواجهة الخلفية عدد المنافذ الموزعة على كل جهاز ظاهري. جهاز ظاهري واحد في تجمع الواجهة الخلفية لديه حق الوصول إلى الحد الأقصى من المنافذ بنحو 64,000. أمّا بالنسبة لجهازين ظاهريين، يمكن أن يحصل كل منهما كل منهما على 32,000 منفذ SNAT كحد أقصى مع قاعدة صادر (جهازان سعة كل منهما 32,000 = 64,000).

يمكنك استخدام قواعد الصادر لضبط منافذ SNAT المحددة افتراضياً. يمكنك تقديم عدد أكثر من العدد الذي يوفره تخصيص منفذ SNAT الافتراضي أو عدد أقل منه. يساهم كل عنوان IP عام من الواجهة الأمامية لقاعدة صادر بما يصل إلى 64000 منفذ مؤقت للاستخدام كمنافذ SNAT.

يوفر موازن التحميل منافذ SNAT بمضاعفات الرقم 8. في حالة توفير قيمة غير قابلة للقسمة على 8، يتم رفض عملية التكوين. تستهلك كل قاعدة موازنة تحميل وقاعدة NAT واردة نطاقا من ثمانية منافذ. إذا كانت موازنة التحميل أو قاعدة NAT الواردة تشترك في نفس النطاق من 8 كآخر، فلن يتم استهلاك أي منافذ إضافية.

إذا حاولت إعطاء عدد أكبر من منافذ SNAT المتاحة (بناءً على عدد عناوين IP العامة)، فسيتم رفض عملية التكوين. على سبيل المثال، في حالة تقديم 10,000 منفذ لكل جهاز ظاهري وتشترك سبعة أجهزة ظاهرية في تجمع الواجهة الخلفية في IP عام واحد، يُرفَض التكوين. يتجاوز حاصل ضرب السبعة أجهزة في 10،000 منفذ الحد الأقصى المسموح به لعدد المنافذ وهو 64،000. أضف مزيداً من عناوين IP العامة إلى الواجهة الأمامية لقاعدة الصادر لتمكين السيناريو.

ارجع إلى تخصيص المنفذ الافتراضي عن طريق تحديد 0 في عدد المنافذ. لمزيد من المعلومات حول تخصيص منفذ SNAT الافتراضي، راجع جدول تخصيص منافذ SNAT.

السيناريو 3: تمكين التدفق الصادر فقط

التفاصيل

استخدم موازن تحميل قياسي عام لتوفير NAT الصادر لمجموعة الأجهزة الظاهرية. في هذا السيناريو، استخدم قاعدة صادرة من تلقاء نفسها، دون تكوين قواعد إضافية.

إشعار

يمكن ل بوابة Azure NAT توفير اتصال صادر للآلات الافتراضية دون الحاجة إلى موازن حمل. راجع ما هو بوابة Azure NAT؟ لمزيد من المعلومات.

السيناريو 4: NAT الصادر للأجهزة الظاهرية فقط (ليست الوارد)

إشعار

يمكن ل بوابة Azure NAT توفير اتصال صادر للآلات الافتراضية دون الحاجة إلى موازن حمل. راجع ما هو بوابة Azure NAT؟ لمزيد من المعلومات.

التفاصيل

في هذا السيناريو: قواعد موازن تحميل Azure الصادرة ونظام Virtual Network NAT هي خيارات متاحة للخروج من virtual network.

1. أنشئ بادئة أو عنوان IP عاماً.
2. أنشئ موازن تحميل قياسياً عاماً.
3. أنشئ واجهة أمامية مقترنة ببادئة أو عنوان IP العام المخصصة للتدفق الصادر.
4. أنشئ تجمع الواجهة الخلفية للأجهزة الظاهرية.
5. ضع الأجهزة الظاهرية في تجمع الواجهة الخلفية.
6. كوِّن قاعدة صادر لتمكين NAT الصادر.

استخدم بادئة أو عنوان IP عاماً لزيادة منافذ SNAT. أضف مصدر الاتصالات الصادرة إلى قائمة السماح أو الحظر.

السيناريو 5: NAT الصادر لموازن التحميل القياسي الداخلي

إشعار

يمكن ل بوابة Azure NAT توفير اتصال خارجي للآلات الافتراضية باستخدام موازن تحميل قياسي داخلي. راجع ما هو بوابة Azure NAT؟ لمزيد من المعلومات.

التفاصيل

الاتصال الصادر غير متاح لموازن التحميل القياسي الداخلي حتى يتم الإعلان عنه صراحة من خلال عناوين IP العامة على مستوى المثيل أو Virtual Network NAT، أو من خلال ربط أعضاء مجموعة الخلفية بتكوين موازن تحميل صادر فقط.

لمزيد من المعلومات، راجع تكوين موازن تحميل صادر فقط.

السيناريو 6: تمكين كلٍّ من بروتوكول TCP وUDP لـ NAT الصادر باستخدام موازن تحميل قياسي عام

التفاصيل

مع موازن تحميل قياسي عام، تطابق NAT الصادر التلقائية المتوفرة بروتوكول النقل لقاعدة موازنة التحميل.

1. عطِّل SNAT الصادر في قاعدة موازنة التحميل.
2. كوِّن قاعدة صادر على موازن التحميل نفسه.
3. أعد استخدام تجمع الواجهة الخلفية المستخدم مسبقاً في الأجهزة الظاهرية.
4. حدد "البروتوكول": "الكل" كجزء من قاعدة الصادر.

عند استخدام قواعد NAT الوارد فقط، لا تتوفر NAT الصادر.

1. ضع الأجهزة الظاهرية في تجمع الواجهة الخلفية.
2. تعريف تكوينات أو أكثر من عناوين IP أمامية مع عناوين IP عامة أو بادئة IP عامة
3. كوِّن قاعدة صادر على موازن التحميل نفسه.
4. تحديد "البروتوكول": "الكل" كجزء من قاعدة الصادر

القيود

• الحد الأقصى لعدد المنافذ المؤقتة القابلة للاستخدام لكل عنوان IP للواجهة الأمامية 64,000.
• نطاق مهلة خمول التدفق الصادر القابلة للتكوين تتراوح ما بين 4 إلى 120 دقيقة (240 إلى 7200 ثانية).
• لا يدعم موازن التحميل ICMP ل NAT الصادرة، والبروتوكولات المدعومة الوحيدة هي TCP وUDP.
• يمكن تطبيق القواعد الصادرة فقط على تكوين IPv4 الأساسي ل NIC. لا يمكنك إنشاء قاعدة صادرة لتكوينات IPv4 الثانوية في جهاز افتراضي أو NVA. NIC المتعددة مدعومة.
• القواعد الصادرة لتكوين IP الثانوي مدعومة فقط ل IPv6.
• يجب إضافة جميع الأجهزة الظاهرية ضمن مجموعة قابلية الوصول إلى تجمع الواجهة الخلفية للاتصال الصادرة.
• يجب إضافة جميع الأجهزة الظاهرية ضمن مجموعة مقاييس الأجهزة الظاهرية إلى تجمع الواجهة الخلفية للاتصال الصادرة.

الخطوات التالية

• تعرف أكثر على Azure Standard Load Balancer
• اطلع على أسئلتنا المتكررة حول موازن تحميل Azure