Sdílet prostřednictvím


Důležité informace o službě Azure NAT Gateway pro architekturu s více tenanty

Azure NAT Gateway poskytuje kontrolu nad odchozím síťovým připojením z vašich prostředků hostovaných ve virtuální síti Azure. V tomto článku si projdeme, jak může služba NAT Gateway zmírnit vyčerpání portů SNAT (Source Network Address Translation), což může mít vliv na víceklientské aplikace. Podíváme se také na to, jak služba NAT Gateway přiřazuje statické IP adresy odchozímu provozu z vašeho řešení s více tenanty.

Poznámka

Brány firewall, podobně jako Azure Firewall, umožňují řídit a protokolovat odchozí provoz. Azure Firewall také poskytuje podobné řízení škálování portů SNAT a odchozích IP adres jako služba NAT Gateway. Služba NAT Gateway je méně nákladná, ale má také méně funkcí a nejedná se o bezpečnostní produkt.

Funkce služby NAT Gateway, které podporují víceklientské architektury

Porty SNAT ve velkém měřítku

Porty SNAT se přidělují, když vaše aplikace provádí více souběžných odchozích připojení ke stejné veřejné IP adrese na stejném portu. Porty SNAT představují konečný prostředek v rámci nástrojů pro vyrovnávání zatížení. Pokud vaše aplikace otevře velký počet samostatných připojení ke stejnému hostiteli, může využívat všechny dostupné porty SNAT. Tato situace se nazývá vyčerpání portů SNAT.

Ve většině aplikací vyčerpání portů SNAT značí, že vaše aplikace nesprávně zpracovává připojení HTTP nebo porty TCP. U některých víceklientských aplikací však existuje zvláštní riziko překročení limitů portů SNAT, a to i v případě, že správně použijí připojení. Tato situace může například nastat, když se vaše aplikace připojí k mnoha databázím specifických pro tenanty za stejnou bránou databáze.

Tip

Pokud ve víceklientské aplikaci pozorujete vyčerpání portů SNAT, měli byste ověřit, jestli vaše aplikace dodržuje osvědčené postupy. Ujistěte se, že opakovaně používáte připojení HTTP a nevytvářet nová připojení pokaždé, když se připojíte k externí službě. Možná budete moct nasadit službu NAT Gateway, abyste tento problém vyřešili, ale pokud váš kód nedodržuje osvědčené postupy, můžete se s problémem v budoucnu setkat znovu.

Tento problém se zhoršuje při práci se službami Azure, které sdílejí přidělení portů SNAT mezi více zákazníky, jako jsou Azure App Service a Azure Functions.

Pokud zjistíte, že dochází k vyčerpání SNAT, a jste si jistí, že kód vaší aplikace správně zpracovává odchozí připojení, zvažte nasazení služby NAT Gateway. Tento přístup běžně používají zákazníci, kteří nasazují víceklientská řešení založená na Azure App Service a Azure Functions.

Každá veřejná IP adresa připojená ke službě NAT Gateway poskytuje 64 512 portů SNAT pro odchozí připojení k internetu. Služba NAT Gateway se může škálovat až na 16 veřejných IP adres, které poskytují více než 1 milion portů SNAT. Pokud potřebujete škálovat nad rámec tohoto limitu, můžete zvážit nasazení několika instancí služby NAT Gateway napříč několika podsítěmi nebo virtuálními sítěmi. Každý virtuální počítač v podsíti může použít libovolný z dostupných portů SNAT, pokud je potřebuje.

Řízení odchozích IP adres

Řízení odchozích IP adres může být užitečné ve víceklientských aplikacích, pokud máte všechny následující požadavky:

  • Používáte služby Azure, které automaticky neposkytují vyhrazené statické IP adresy pro odchozí provoz. Mezi tyto služby patří Azure App Service, Azure Functions, API Management (pokud běží na úrovni Consumption) a Azure Container Instances.
  • Potřebujete se připojit k sítím tenantů přes internet.
  • Vaši tenanti musí filtrovat příchozí provoz na základě IP adresy každého požadavku.

Když se instance služby NAT Gateway použije na podsíť, všechny odchozí přenosy z této podsítě budou používat veřejné IP adresy přidružené ke službě NAT Gateway.

Poznámka

Když k jedné službě NAT Gateway přidružíte více veřejných IP adres, odchozí provoz může pocházet z kterékoli z těchto IP adres. Možná budete muset nakonfigurovat pravidla brány firewall v cíli. Měli byste buď povolit každou IP adresu, nebo použít prostředek předpony veřejné IP adresy a použít sadu veřejných IP adres ve stejném rozsahu.

Modely izolace

Pokud potřebujete pro každého tenanta zadat různé odchozí veřejné IP adresy, musíte nasadit jednotlivé prostředky služby NAT Gateway. Každá podsíť může být přidružená k jedné instanci služby NAT Gateway. Pokud chcete nasadit více bran NAT Gateway, musíte nasadit několik podsítí nebo virtuálních sítí. Naopak pravděpodobně budete muset nasadit několik sad výpočetních prostředků.

Další informace o návrhu víceklientské síťové topologie najdete v tématu Přístupy k architektuře pro sítě ve víceklientských řešeních .

Přispěvatelé

Tento článek spravuje Microsoft. Původně ji napsali následující přispěvatelé.

Hlavní autor:

  • John Downs | Hlavní zákaznický inženýr FastTrack for Azure

Další přispěvatelé:

Pokud chcete zobrazit neveřejné profily Služby LinkedIn, přihlaste se k LinkedInu.

Další kroky