Sdílet prostřednictvím


Důležité informace o službě Azure NAT Gateway pro víceklientské prostředí

Azure NAT Gateway poskytuje kontrolu nad odchozím síťovým připojením z vašich prostředků hostovaných ve virtuální síti Azure. V tomto článku si projdeme, jak může služba NAT Gateway zmírnit vyčerpání portů překladu zdrojových adres (SNAT), což může mít vliv na víceklientské aplikace. Také se podíváme, jak služba NAT Gateway přiřazuje statické IP adresy odchozímu provozu z vašeho víceklientských řešení.

Poznámka:

Brány firewall, jako je Azure Firewall, umožňují řídit a protokolovat odchozí provoz. Azure Firewall také poskytuje podobné škálování portů SNAT a řízení odchozích IP adres pro službu NAT Gateway. NAT Gateway je méně nákladná, ale má také méně funkcí a nejedná se o bezpečnostní produkt.

Funkce služby NAT Gateway, které podporují víceklientské prostředí

Porty SNAT ve velkém měřítku

Porty SNAT se přidělují, když vaše aplikace provede více souběžných odchozích připojení ke stejné veřejné IP adrese na stejném portu. Porty SNAT jsou konečný prostředek v rámci nástrojů pro vyrovnávání zatížení. Pokud vaše aplikace otevře velký počet samostatných připojení ke stejnému hostiteli, může využívat všechny dostupné porty SNAT. Tato situace se nazývá vyčerpání portů SNAT.

Ve většině aplikací vyčerpání portů SNAT značí, že aplikace nesprávně zpracovává připojení HTTP nebo porty TCP. Některé víceklientské aplikace jsou však zvláště ohroženy překročením limitů portů SNAT, i když správně používají připojení. K této situaci může dojít například v případě, že se vaše aplikace připojí k mnoha databázím specifických pro tenanta za stejnou bránou databáze.

Tip

Pokud zjistíte vyčerpání portů SNAT ve víceklientské aplikaci, měli byste ověřit, jestli vaše aplikace dodržuje osvědčené postupy. Ujistěte se, že znovu použijete připojení HTTP a nebudete znovu vytvářet nová připojení při každém připojení k externí službě. Možná budete moct nasadit službu NAT Gateway, která bude problém obejít, ale pokud váš kód nedodržuje osvědčené postupy, můžete na tento problém narazit znovu v budoucnu.

Problém je horší, když pracujete se službami Azure, které sdílejí přidělení portů SNAT mezi více zákazníky, jako je Aplikace Azure Service a Azure Functions.

Pokud zjistíte, že dochází k vyčerpání SNAT, a ujistěte se, že váš kód aplikace správně zpracovává odchozí připojení, zvažte nasazení služby NAT Gateway. Tento přístup běžně používají zákazníci, kteří nasazují víceklientová řešení založená na Aplikace Azure Service a Azure Functions.

Jednotlivá brána NAT může mít připojené několik veřejných IP adres a každá veřejná IP adresa poskytuje sadu portů SNAT pro připojení odchozích přenosů k internetu. Pokud chcete porozumět maximálnímu počtu portů ANAT a IP adres, které může jedna brána NAT podporovat, podívejte se na limity, kvóty a omezení předplatného a služeb Azure. Pokud potřebujete škálovat nad rámec tohoto limitu, můžete zvážit nasazení několika instancí služby NAT Gateway napříč několika podsítěmi nebo virtuálními sítěmi. Každý virtuální počítač v podsíti může používat libovolný z dostupných portů SNAT, pokud je potřebuje.

Řízení odchozíCH IP adres

Řízení odchozích IP adres může být užitečné ve víceklientských aplikacích, pokud máte všechny následující požadavky:

  • Používáte služby Azure, které automaticky neposkytují vyhrazené statické IP adresy pro odchozí provoz. Mezi tyto služby patří služba Aplikace Azure, Azure Functions, API Management (při spuštění v úrovni consumption) a Azure Container Instances.
  • Musíte se připojit k sítím tenantů přes internet.
  • Vaši tenanti musí filtrovat příchozí provoz na základě IP adresy každého požadavku.

Když se na podsíť použije instance SLUŽBY NAT Gateway, veškerý odchozí provoz z této podsítě používá veřejné IP adresy přidružené k bráně NAT Gateway.

Poznámka:

Když přidružíte několik veřejných IP adres k jedné službě NAT Gateway, může odchozí provoz pocházet z některé z těchto IP adres. Možná budete muset nakonfigurovat pravidla brány firewall v cíli. Měli byste buď povolit každou IP adresu, nebo použít prostředek předpony veřejné IP adresy k použití sady veřejných IP adres ve stejném rozsahu.

Modely izolace

Pokud potřebujete pro každého tenanta zadat různé odchozí veřejné IP adresy, musíte nasadit jednotlivé prostředky služby NAT Gateway. Každá podsíť může být přidružená k jedné instanci služby NAT Gateway. Pokud chcete nasadit více bran NAT, musíte nasadit více podsítí nebo virtuálních sítí. Naopak pravděpodobně budete muset nasadit několik sad výpočetních prostředků.

Další informace o návrhu topologie víceklientské sítě najdete v přístupech k architektuře pro sítě ve víceklientských řešeních .

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

  • John Downs | Hlavní zákaznický inženýr, FastTrack pro Azure

Další přispěvatelé:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky