Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Překlad zdrojových síťových adres (SNAT) umožňuje, aby se provoz z privátní virtuální sítě připojil k internetu a zůstal plně privátní. SNAT přepíše zdrojovou IP adresu a port původního paketu na veřejnou IP adresu a kombinaci portů. Porty se používají jako jedinečné identifikátory k odlišení různých připojení od sebe. Internet používá pětici hash hodnot (protokol, zdrojovou IP adresu/port, cílovou IP adresu/port) k tomuto rozlišení.
SNAT také umožňuje více privátních instancí ve virtuální síti používat stejnou jednu veřejnou IP adresu nebo sadu IP adres (předponu) pro připojení k internetu.
NAT gateway umožňuje M:1 SNAT funkci. Mnoho privátních instancí v podsíti může použít SNAT k veřejné IP adrese spojené s bránou NAT, aby se mohly připojit k internetu. Když služba NAT Gateway vytvoří více připojení ke stejnému cílovému koncovému bodu, každé nové připojení používá jiný port SNAT, aby bylo možné vzájemně odlišit připojení.
Vyčerpání portů SNAT nastane, když zdrojový koncový bod vyčerpá dostupné porty SNAT, aby bylo možné rozlišovat mezi novými připojeními. Když dojde k vyčerpání portů SNAT, připojení selžou.
Škálování SNAT pro službu NAT Gateway
Škálování služby NAT Gateway je primárně funkcí správy sdíleného dostupného inventáře portů SNAT.
Inventář portů SNAT je tvořen veřejnými IP adresami, předponami veřejných IP adres nebo obojím, které jsou připojeny ke službě NAT Gateway. Inventář portů SNAT je zpřístupněn na vyžádání všem instancím v podsíti připojené ke službě NAT Gateway. Při škálování privátních instancí podsítě přiděluje služba NAT Gateway podle potřeby porty SNAT.
Pokud je ke stejnému prostředku brány NAT připojeno více podsítí v rámci virtuální sítě, sdílí se inventář portů SNAT poskytovaný službou NAT Gateway napříč všemi podsítěmi.
Jedna brána NAT může vertikálně navýšit kapacitu až na 16 IP adres. Každá veřejná IP adresa služby NAT Gateway poskytuje 64 512 portů SNAT pro odchozí připojení. NaT Gateway může vertikálně navýšit kapacitu až na 1 milion portů SNAT. Tcp a UDP jsou samostatné inventáře portů SNAT a nesouvisejí s bránou NAT Gateway.
NaT Gateway dynamicky přiděluje porty SNAT
NaT Gateway dynamicky přiděluje porty SNAT napříč privátními prostředky podsítě, jako jsou virtuální počítače. Všechny dostupné porty SNAT se používají na vyžádání všemi virtuálními počítači v podsítích nakonfigurovaných pomocí služby NAT Gateway.
Obrázek: Přidělení portů SNAT
Pro jiné metody SNAT se vyžaduje předběžné umístění portů SNAT do každého virtuálního počítače. Tato předalokace portů SNAT může způsobit vyčerpání portů SNAT na některých virtuálních počítačích, zatímco jiné stále mají dostupné porty SNAT pro připojení ven.
U služby NAT Gateway se nevyžaduje předběžné umístění portů SNAT, což znamená, že porty SNAT nejsou nepoužívané virtuálními počítači, které je aktivně nepotřebují.
Po vydání portu SNAT je k dispozici pro použití libovolným virtuálním počítačem v podsítích nakonfigurovaných pomocí služby NAT Gateway. Přidělení na vyžádání umožňuje dynamickým a různorodým úlohám v podsítích podle potřeby používat porty SNAT. Pokud jsou k dispozici porty SNAT, budou toky SNAT úspěšné.
Obrázek: Vyčerpání portů SNAT
Výběr portů SNAT brány NAT a opakované použití
NAT gateway náhodně zvolí SNAT port z dostupného inventáře portů pro vytvoření nových odchozích připojení. Pokud služba NAT Gateway nenajde žádné dostupné porty SNAT, znovu použije port SNAT. Stejný port SNAT se dá použít pro připojení k několika různým cílům najednou.
Port SNAT je možné znovu použít pro připojení ke stejnému cílovému koncovému bodu. Před opětovným použitím portu nastaví NAT gateway časovač pro opětovné použití portu SNAT, aby zajistila jeho ochlazení po uzavření připojení.
Časovač opakovaného použití portů SNAT pomáhá zabránit příliš rychlému výběru portů pro připojení ke stejnému cíli. Tento proces je užitečný, když mají cílové koncové body nakonfigurované brány firewall nebo jiné služby, které na zdrojové porty umístí časovač pro chlazení. Časovače opakovaného použití portů SNAT se liší podle toho, jak byl tok připojení uzavřen. Další informace najdete v tématu Časovače pro opětovné použití portů.
Obrázek: Opakované použití portů SNAT
Příklad toků SNAT pro službu NAT Gateway
Mnoho na jeden SNAT s NAT Gateway
Služba NAT Gateway poskytuje konfiguraci, kde více privátních instancí v nakonfigurované podsíti může použít stejnou veřejnou IP adresu pro odchozí připojení.
V následující tabulce vytvoří dva různé virtuální počítače (10.0.0.1 a 10.2.0.1) připojení k https://microsoft.com cílové IP adrese 23.53.254.142. Pokud je služba NAT Gateway nakonfigurovaná s veřejnou IP adresou 65.52.1.1, přeloží se zdrojové IP adresy každého virtuálního počítače na veřejnou IP adresu služby NAT Gateway a port SNAT:
| Proudění | Zdrojová n-tice | Zdrojová řazená kolekce členů po SNAT | Cílová n-tice |
|---|---|---|---|
| 1 | 10.0.0.1:4283 | 65.52.1.1:1234 | 23.53.254.142:80 |
| 2 | 10.0.0.1:4284 | 65.52.1.1:1235 | 23.53.254.142:80 |
| 3 | 10.2.0.1:5768 | 65.52.1.1:1236 | 23.53.254.142:80 |
Maskování IP adres nebo maskování portů je akt nahrazení privátní IP adresy a portu veřejnou IP adresou a portem před připojením k internetu. Za stejnou veřejnou IP adresou služby NAT Gateway je možné maskovat několik privátních prostředků.
NaT Gateway znovu použije port SNAT pro připojení k novému cíli.
Jak už jsme zmínili dříve, služba NAT Gateway může znovu použít stejný port SNAT, aby se připojila současně k novému cílovému koncovému bodu. V následující tabulce překládá služba NAT Gateway tok 4 na port SNAT, který se už používá pro jiné cíle (viz tok 1 z předchozí tabulky).
| Téct | Zdrojová n-tice | Zdrojová řazená kolekce členů po SNAT | Cílová řazená kolekce členů |
|---|---|---|---|
| 4 | 10.0.0.1:4285 | 65.52.1.1:1234 | 26.108.254.155:80 |
Port SNAT brány NAT se vychladí, aby se znovu používal stejný cíl.
Ve scénáři, kdy služba NAT Gateway znovu používá port SNAT k vytvoření nových připojení ke stejnému cílovému koncovému bodu, je port SNAT poprvé umístěný ve fázi opětovného použití portu SNAT pro účely chlazení. Období opakovaného použití portů SNAT pomáhá zajistit, aby se porty SNAT při připojování ke stejnému cíli nepoužívaly příliš rychle. Toto opakované použití portu SNAT pro chlazení brány NAT je výhodné ve scénářích, kdy má cílový koncový bod bránu firewall s vlastním časovačem zdrojového portu pro chlazení.
Abychom si ukázali, že tento port SNAT znovu používá chladivé chování, podívejme se podrobněji na tok 4 z předchozí tabulky. Flow 4 se připojoval k cílovému koncovému bodu chráněnému bránou firewall s 20sekundovým časovačem ochlazení zdrojového portu.
| Téct | Zdrojová řazená kolekce členů | Zdrojová řazená kolekce členů po SNAT | Cílová n-tice | Připojení typu paketu je uzavřeno pomocí | Časovač cílové brány firewall pro chlazení zdrojového portu |
|---|---|---|---|---|---|
| 4 | 10.0.0.1:4285 | 65.52.1.1:1234 | 26.108.254.155:80 | TCP FIN | 20 sekund |
Proud připojení 4 se uzavírá paketem TCP FIN. Vzhledem k tomu, že je připojení uzavřeno s paketem TCP FIN, služba NAT Gateway umístí port SNAT 1234 do studené úrovně po dobu 65 sekund, než bude možné znovu použít. Vzhledem k tomu, že port 1234 je neaktivní delší dobu, než je doba nečinnosti zdrojového portu brány firewall s časovačem chlazení nastaveným na 20 sekund, připojení číslo 5 bez problémů pokračuje v opakovaném použití portu SNAT 1234.
| Téct | Zdrojová n-tice | Zdrojová řazená kolekce členů po SNAT | Cílová n-tice |
|---|---|---|---|
| 5 | 10.2.0.1:5769 | 65.52.1.1:1234 | 26.108.254.155:80 |
Mějte na paměti, že NAT gateway umisťuje porty SNAT pod různé časovače opakovaného použití portů SNAT podle toho, jak bylo ukončeno předchozí připojení. Další informace o časovači opětovného použití portů SNAT najdete v tématu Časovače opětovného použití portů.
V předchozích příkladech nezávisejte na konkrétním způsobu přiřazení zdrojových portů. Předchozí jsou ilustrace pouze základních konceptů.