قواعد الصادر في موازن التحميل من Azure

تسمح لك قواعد الصادر بتعريف SNAT (ترجمة عناوين الشبكة المصدر) لموازن التحميل القياسي العام صراحة. يسمح لك هذا التكوين باستخدام عنوان (عناوين) IP العام لموازن التحميل لتوفير اتصال صادر بالإنترنت لمثيلات الواجهة الخلفية.

يمكِّن هذا التكوين ما يلي:

• تنكّر عنوان IP
• تبسيط قوائم السماح.
• تقليل عدد موارد IP العامة للتوزيع.

بفضل قواعد الاتصالات الصادرة، يتوفر لديك التحكم الإلزامي الكامل في الاتصال الصادرة بالإنترنت. تسمح لك قواعد الاتصالات الصادرة بتحجيم هذه القدرة وضبطها وفقاً لاحتياجاتك المحددة.

لن تُتبَع قواعد الصادر إلا في حالة عدم حصول الجهاز الظاهري في الواجهة الخلفية على عنوان IP عام على مستوى المثيل (ILPIP) فقط.

بفضل قواعد الصادر، يمكنك تحديد طريقة عمل SNAT الصادر بشكل صريح.

تسمح لك قواعد الصادر بالتحكم فيما يلي:

• الأجهزة الظاهرية التي تُترجم إلى عناوين IP العامة.
  • كانت القاعدتان أن يستخدم تجمع الواجهة الخلفية 1 كلاً من عناوين IP الزرقاء، ويستخدم تجمع الواجهة الخلفية 2 بادئة IP الصفراء.
• كيفية تخصيص منافذ SNAT الصادر.
  • إذا كان تجمع الواجهة الخلفية 2 هو تجمع لإجراء اتصالات صادرة فقط، فامنح جميع منافذ SNAT إلى تجمع الواجهة الخلفية 2 ولا تخصص أي شيء إلى تجمع الواجهة الخلفية 1.
• البروتوكولات المطلوب توفير ترجمة الصادر لها.
  • إذا احتاج تجمع الواجهة الخلفية 2 منافذ UDP للصادر، واحتاج تجمع الواجهة الخلفية 1 TCP، فخصص منافذ TCP إلى 1 ومنافذ UDP إلى 2.
• المدة المخصصة لمهلة خمول الاتصال الصادر (من 4 إلى 120 دقيقة).
  • في حالة وجود اتصالات تعمل لمدة طويلة مع ميزة keepalives، اضبط منافذ خمول الاتصالات التي تعمل لمدة طويلة على مدة تصل إلى 120 دقيقة. افترض أن الاتصالات المنتهية الصلاحية غير موجودة وحرر المنافذ في غضون 4 دقائق للاتصالات الجديدة
• سواء تم إرسال طلب إعادة تعيين TCP في مهلة الخمول أم لا.
  • عند انتهاء مهلة الاتصالات الخاملة، هل نرسل طلب TCP RST إلى العميل والخادم حتى يعرفوا أن التدفق قد انتهى؟

هام

عند تكوين مجموعة الواجهات الخلفية باستخدام عنوان IP، فستتصرّف كموازن تحميل أساسي مع تمكين الاتصالات الصادرة الافتراضية. للحصول على تكوين وتطبيقات آمنة بشكل افتراضي وتكون لها احتياجات مُلحّة ومتكررة للاتصالات الصادرة، عليك تكوين مجموعة الواجهات الخلفية باستخدام NIC.

تعريف قاعدة الصادر

تتبع قواعد الصادر الصيغة المألوفة نفسها المستخدمة في موازنة التحميل وقواعد NAT الصادر: الواجهة الأمامية + المعلمات + تجمع الواجهة الخلفية.

تكوِّن قاعدة الصادر NAT الصادر لجميع الأجهزة الظاهرية التي يحددها تجمع الواجهة الخلفية لترجمتها إلى الواجهة الأمامية.

توفر المعلمات تحكماً دقيقاً في خوارزمية NAT الصادر.

توسيع نطاق NAT الصادر باستخدام عناوين IP متعددة

يوفر كل عنوان IP إضافي توفره واجهة أمامية 64.000 منفذ آخر مؤقت لموازن التحميل لاستخدامها كمنافذ SNAT.

استخدم عناوين IP متعددة للتخطيط لسيناريوهات واسعة النطاق. استخدم قواعد الصادر للتخفيف من استنفاد SNAT.

يمكنك أيضاً استخدام بادئة IP عامة مع قاعدة صادر مباشرة.

تزيد بادئة IP العامة من تحجيم التوزيع. يمكن إضافة البادئة إلى قائمة السماح للتدفقات التي تنشأ من موارد Azure. يمكنك ضبط تكوين IP للواجهة الأمامية داخل موازن التحميل للإشارة إلى بادئة عنوان IP عام.

يتحكم موازن التحميل في بادئة IP العام. ستستخدم قاعدة الصادر جميع عناوين IP العامة المضمنة في بادئة IP العام للاتصالات الصادرة تلقائياً.

يوفر كل عنوان من عناوين IP داخل بادئة IP العام 64.000 منفذ إضافي مؤقت لكل عنوان IP لموازن التحميل لاستخدامها كمنافذ SNAT.

مهلة الخمول للتدفق الصادر وإعادة تعيين TCP

توفر قواعد الصادر معلمة تكوين للتحكم في مهلة خمول التدفق الصادر ومطابقتها مع احتياجات تطبيقك. الإعداد الافتراضي لمهلة خمول التدفق الصادر 4 دقائق. لمزيد من المعلومات، راجع تكوين مهلات خمول .

طريقة العمل الافتراضية لموازن التحميل هي خفض التدفق بهدوء عند الوصول إلى مهلة خمول التدفق الصادر. تمكِّن المعلمة enableTCPReset طريقة عمل وسبل تحكم يمكن التنبؤ بها للتطبيق. تحدد المعلمة ما إذا كان سيُرسَل طلب إعادة تعيين TCP ثنائي الاتجاه (TCP RST) في مهلة خمول التدفق الصادر أم لا.

راجع إعادة تعيين TCP في مهلة الخمول للحصول على تفاصيل تتضمن قابلية الوصول للمنطقة.

تأمين الاتصال الصادر والتحكم فيه صراحة

توفر قواعد موازنة التحميل البرمجة التلقائية لـ NAT الصادر. تفيد بعض السيناريوهات بضرورة تعطيل البرمجة التلقائية لـ NAT الصادر باستخدام قاعدة موازنة التحميل أو تطلب منك ذلك. يسمح لك التعطيل عبر القاعدة بالتحكم في طريقة العمل أو تحسينها.

يمكنك استخدام هذه المعلمة بطريقتين:

1. منع عنوان IP الصادر لـ SNAT الصادر. تعطيل SNAT الصادر في قاعدة موازنة التحميل.

2. اضبط معلمات SNAT الصادر لعنوان IP المستخدمة في التدفق الداخل والصادر في الوقت نفسه. يجب تعطيل NAT الصادر التلقائية للسماح لقاعدة الصادر بالتحكم. لتغيير تخصيص منفذ SNAT لعنوان مستخدم أيضاً في التدفق الوارد، يجب تعيين المعلمة disableOutboundSnat على صحيح.

تفشل عملية تكوين قاعدة صادرة إذا حاولت إعادة تعريف عنوان IP المستخدم للوارد. عطِّل NAT الصادر من قاعدة موازنة التحميل أولاً.

هام

لن يتمكن الجهاز الظاهري من إجراء اتصال صادر في حالة تعيين هذه المعلمة على صحيح ولا يكون لديك قاعدة صادر لتعريف الاتصال الصادر. قد تعتمد بعض عمليات الجهاز الظاهري أو تطبيقك على توفر اتصال صادر. تأكد من فهم تبعيات السيناريو وفكِّر في تأثير إجراء هذا التغيير.

أحياناً يكون إنشاء الجهاز الظاهري تدفق صادر أمراً غير مرغوب. قد يوضع شرط لإدارة الوجهات التي تتلقى تدفقات صادرة، أو الوجهات التي تُرسِل تدفقات واردة. استخدم مجموعات أمان الشبكة لإدارة الوجهات التي يصل إليها الجهاز الظاهري. استخدم NSG لإدارة الوجهات العامة التي تبدأ التدفقات الواردة.

عند استخدام NSG في جهاز ظاهري متوازن التحميل، يُرجى الالتزام بعلامات الخدمة وقواعد الأمان الافتراضية.

تأكد من إمكانية تلقي الجهاز الظاهري طلبات فحوصات السلامة من موازن التحميل من Azure.

إذا حظرت NSG طلبات فحوصات السلامة من العلامة الافتراضية AZURE_LOADBALANCER، تفشل فحوصات السلامة للجهاز الظاهري وتوضع علامة غير متوفر على الجهاز الظاهري. يتوقف موازن التحميل عن إرسال تدفقات جديدة إلى الجهاز الظاهري هذا.

سيناريوهات قواعد الصادر

• تكوين الاتصالات الصادرة إلى مجموعة معينة من عناوين IP العامة أو البادئة.
• تعديل تخصيص منفذ SNAT.
• تمكين الصادر فقط.
• ترجمة عناوين الشبكة الصادرة للأجهزة الظاهرية فقط (بدون الواردة).
• NAT الصادرة لموازن التحميل القياسي الداخلي.
• تمكين بروتوكولات TCP وUDP ل NAT الصادرة باستخدام موازن تحميل قياسي عام.

السيناريو 1: تكوين الاتصالات الصادرة إلى مجموعة معينة من عناوين IP العامة أو البادئة

التفاصيل

استخدم هذا السيناريو لتخصيص الاتصالات الصادرة لإكمال التكوين من مجموعة من عناوين IP العامة. أضف عناوين IP عامة أو بادئات إلى قائمة السماح أو الحظر حسب الأصل.

يمكن أن يكون عنوان IP العام أو البادئة هو نفسه المستخدم في قاعدة موازنة التحميل.

لاستخدام عنوان IP أو بادئة عامة مختلفة عما تستخدمه قاعدة موازنة التحميل:

1. أنشئ بادئة IP عامة أو عنوان IP عاماً.
2. إنشاء موازن تحميل قياسي عام
3. أنشئ واجهة أمامية تشير إلى بادئة IP العامة أو عنوان IP العام الذي ترغب في استخدامه.
4. أعد استخدام تجمع الواجهة الخلفية أو أنشئ تجمع واجهة خلفية وضع الأجهزة الظاهرية في تجمع الواجهة الخلفية لموازن التحميل العام
5. تكوين قاعدة صادر على موازن التحميل العام لتمكين NAT الصادر للأجهزة الظاهرية باستخدام الواجهة الأمامية. لا يُنصح باستخدام قاعدة موازنة التحميل للتدفق الصادر، وتعطيل SNAT الصادر على قاعدة موازنة التحميل.

السيناريو 2: تعديل تخصيص منفذ SNAT

التفاصيل

يمكنك استخدام قواعد الصادر لضبط تخصيص منفذ SNAT التلقائي حسب حجم تجمع الواجهة الخلفية.

إذا واجهت مشكلة استنفاد SNAT، فزِد عدد منافذ SNAT من الإعداد الافتراضي 1024.

يساهم كل عنوان IP عام بما يصل إلى 64,000 منفذ مؤقت. يحدد عدد الأجهزة الظاهرية في تجمع الواجهة الخلفية عدد المنافذ الموزعة على كل جهاز ظاهري. جهاز ظاهري واحد في تجمع الواجهة الخلفية لديه حق الوصول إلى الحد الأقصى من المنافذ بنحو 64,000. أمّا بالنسبة لجهازين ظاهريين، يمكن أن يحصل كل منهما كل منهما على 32,000 منفذ SNAT كحد أقصى مع قاعدة صادر (جهازان سعة كل منهما 32,000 = 64,000).

يمكنك استخدام قواعد الصادر لضبط منافذ SNAT المحددة افتراضياً. يمكنك تقديم عدد أكثر من العدد الذي يوفره تخصيص منفذ SNAT الافتراضي أو عدد أقل منه. يساهم كل عنوان IP عام من الواجهة الأمامية لقاعدة صادر بما يصل إلى 64000 منفذ مؤقت للاستخدام كمنافذ SNAT.

يوفر موازن التحميل منافذ SNAT بمضاعفات الرقم 8. في حالة توفير قيمة غير قابلة للقسمة على 8، يتم رفض عملية التكوين. تستهلك كل قاعدة موازنة تحميل وقاعدة NAT واردة نطاقا من ثمانية منافذ. إذا كانت موازنة التحميل أو قاعدة NAT الواردة تشترك في نفس النطاق من 8 كآخر، فلن يتم استهلاك أي منافذ إضافية.

إذا حاولت إعطاء عدد أكبر من منافذ SNAT المتاحة (بناءً على عدد عناوين IP العامة)، فسيتم رفض عملية التكوين. على سبيل المثال، في حالة تقديم 10,000 منفذ لكل جهاز ظاهري وتشترك سبعة أجهزة ظاهرية في تجمع الواجهة الخلفية في IP عام واحد، يُرفَض التكوين. يتجاوز حاصل ضرب السبعة أجهزة في 10،000 منفذ الحد الأقصى المسموح به لعدد المنافذ وهو 64،000. أضف مزيداً من عناوين IP العامة إلى الواجهة الأمامية لقاعدة الصادر لتمكين السيناريو.

ارجع إلى تخصيص المنفذ الافتراضي عن طريق تحديد 0 في عدد المنافذ. لمزيد من المعلومات حول تخصيص منفذ SNAT الافتراضي، راجع جدول تخصيص منافذ SNAT.

السيناريو 3: تمكين التدفق الصادر فقط

التفاصيل

استخدم موازن تحميل قياسي عام لتوفير NAT الصادر لمجموعة الأجهزة الظاهرية. في هذا السيناريو، استخدم قاعدة صادرة من تلقاء نفسها، دون تكوين قواعد إضافية.

إشعار

يمكن أن توفر بوابة Azure NAT اتصالا صادرا للأجهزة الظاهرية دون الحاجة إلى موازن تحميل. راجع ما هي بوابة Azure NAT؟ لمزيد من المعلومات.

السيناريو 4: NAT الصادر للأجهزة الظاهرية فقط (ليست الوارد)

إشعار

يمكن أن توفر بوابة Azure NAT اتصالا صادرا للأجهزة الظاهرية دون الحاجة إلى موازن تحميل. راجع ما هي بوابة Azure NAT؟ لمزيد من المعلومات.

التفاصيل

في هذا السيناريو: تكون قواعد الصادر لموازن التحميل من Azure وNAT للشبكة الظاهرية الخيارات المتوفرة للخروج من شبكة ظاهرية.

1. أنشئ بادئة أو عنوان IP عاماً.
2. أنشئ موازن تحميل قياسياً عاماً.
3. أنشئ واجهة أمامية مقترنة ببادئة أو عنوان IP العام المخصصة للتدفق الصادر.
4. أنشئ تجمع الواجهة الخلفية للأجهزة الظاهرية.
5. ضع الأجهزة الظاهرية في تجمع الواجهة الخلفية.
6. كوِّن قاعدة صادر لتمكين NAT الصادر.

استخدم بادئة أو عنوان IP عاماً لزيادة منافذ SNAT. أضف مصدر الاتصالات الصادرة إلى قائمة السماح أو الحظر.

السيناريو 5: NAT الصادر لموازن التحميل القياسي الداخلي

إشعار

يمكن أن توفر بوابة Azure NAT اتصالا صادرا للأجهزة الظاهرية باستخدام موازن تحميل قياسي داخلي. راجع ما هي بوابة Azure NAT؟ لمزيد من المعلومات.

التفاصيل

لا يتوفر الاتصال الصادر لموازن تحميل قياسي داخلي إلى أن يُصرَح عنه صراحة من خلال عناوين IP العامة على مستوى المثيل أوNAT للشبكة الظاهرية، أو عن طريق ربط أعضاء تجمع الواجهة الخلفية بتكوين موازن تحميل صادر فقط.

لمزيد من المعلومات، راجع تكوين موازن تحميل صادر فقط.

السيناريو 6: تمكين كلٍّ من بروتوكول TCP وUDP لـ NAT الصادر باستخدام موازن تحميل قياسي عام

التفاصيل

مع موازن تحميل قياسي عام، تطابق NAT الصادر التلقائية المتوفرة بروتوكول النقل لقاعدة موازنة التحميل.

1. عطِّل SNAT الصادر في قاعدة موازنة التحميل.
2. كوِّن قاعدة صادر على موازن التحميل نفسه.
3. أعد استخدام تجمع الواجهة الخلفية المستخدم مسبقاً في الأجهزة الظاهرية.
4. حدد "البروتوكول": "الكل" كجزء من قاعدة الصادر.

عند استخدام قواعد NAT الوارد فقط، لا تتوفر NAT الصادر.

1. ضع الأجهزة الظاهرية في تجمع الواجهة الخلفية.
2. تعريف تكوين IP واحد أو أكثر للواجهة الأمامية باستخدام عنوان (عناوين) IP عام أو بادئة IP عامة
3. كوِّن قاعدة صادر على موازن التحميل نفسه.
4. تحديد "البروتوكول": "الكل" كجزء من قاعدة الصادر

القيود

• الحد الأقصى لعدد المنافذ المؤقتة القابلة للاستخدام لكل عنوان IP للواجهة الأمامية 64,000.
• نطاق مهلة خمول التدفق الصادر القابلة للتكوين تتراوح ما بين 4 إلى 120 دقيقة (240 إلى 7200 ثانية).
• لا يدعم موازن التحميل ICMP ل NAT الصادرة، والبروتوكولات المدعومة الوحيدة هي TCP وUDP.
• يمكن تطبيق القواعد الصادرة فقط على تكوين IPv4 الأساسي ل NIC. لا يمكنك إنشاء قاعدة صادرة لتكوينات IPv4 الثانوية لجهاز ظاهري أو NVA . NIC المتعددة مدعومة.
• القواعد الصادرة لتكوين IP الثانوي مدعومة فقط ل IPv6.
• يجب إضافة جميع الأجهزة الظاهرية ضمن مجموعة قابلية الوصول إلى تجمع الواجهة الخلفية للاتصال الصادرة.
• يجب إضافة جميع الأجهزة الظاهرية ضمن مجموعة مقاييس الأجهزة الظاهرية إلى تجمع الواجهة الخلفية للاتصال الصادرة.

الخطوات التالية

• معرفة المزيد عن موازن التحميل القياسي من Azure
• راجع الأسئلة المتداولة عن موازن التحميل من Azure