Překlad zdrojových síťových adres (SNAT) se službou Azure NAT Gateway
Překlad zdrojových síťových adres (SNAT) umožňuje, aby se provoz z privátní virtuální sítě připojil k internetu a zůstal plně privátní. SNAT přepíše zdrojovou IP adresu a port původního paketu na veřejnou IP adresu a kombinaci portů. Porty se používají jako jedinečné identifikátory k odlišení různých připojení od sebe. Internet používá k tomuto rozlišení hodnotu hash s pěti řazenou kolekcí členů (protokol, zdrojovou IP adresu/port, cílovou IP adresu/port).
SNAT také umožňuje více privátních instancí ve virtuální síti používat stejnou jednu veřejnou IP adresu nebo sadu IP adres (předponu) pro připojení k internetu.
NaT Gateway umožňuje funkci SNAT M:1. Mnoho privátních instancí v podsíti může SNAT připojit k veřejné IP adrese připojené ke službě NAT Gateway, aby se mohla připojit k internetu. Když služba NAT Gateway vytvoří více připojení ke stejnému cílovému koncovému bodu, každé nové připojení používá jiný port SNAT, aby bylo možné vzájemně odlišit připojení.
Vyčerpání portů SNAT nastane, když zdrojový koncový bod vyčerpá dostupné porty SNAT, aby bylo možné rozlišovat mezi novými připojeními. Když dojde k vyčerpání portů SNAT, připojení selžou.
Škálování SNAT pro službu NAT Gateway
Škálování služby NAT Gateway je primárně funkcí správy sdíleného dostupného inventáře portů SNAT.
Inventář portů SNAT poskytuje veřejné IP adresy, předpony veřejných IP adres nebo obě připojené ke službě NAT Gateway. Inventář portů SNAT je zpřístupněn na vyžádání všem instancím v podsíti připojené ke službě NAT Gateway. Při škálování privátních instancí podsítě přiděluje služba NAT Gateway podle potřeby porty SNAT.
Pokud je ke stejnému prostředku brány NAT připojeno více podsítí v rámci virtuální sítě, sdílí se inventář portů SNAT poskytovaný službou NAT Gateway napříč všemi podsítěmi.
Jedna brána NAT může vertikálně navýšit kapacitu až na 16 IP adres. Každá veřejná IP adresa služby NAT Gateway poskytuje 64 512 portů SNAT pro odchozí připojení. NaT Gateway může vertikálně navýšit kapacitu až na 1 milion portů SNAT. Tcp a UDP jsou samostatné inventáře portů SNAT a nesouvisejí s bránou NAT Gateway.
Dynamické přidělování portů SNAT službou NAT Gateway
NaT Gateway dynamicky přiděluje porty SNAT napříč privátními prostředky podsítě, jako jsou virtuální počítače. Všechny dostupné porty SNAT se používají na vyžádání všemi virtuálními počítači v podsítích nakonfigurovaných pomocí služby NAT Gateway.
Obrázek: Přidělení portů SNAT
Pro jiné metody SNAT se vyžaduje předběžné umístění portů SNAT do každého virtuálního počítače. Tato předběžná poloha portů SNAT může způsobit vyčerpání portů SNAT na některých virtuálních počítačích, zatímco jiné stále mají dostupné porty SNAT pro připojení odchozích přenosů.
U služby NAT Gateway se nevyžaduje předběžné umístění portů SNAT, což znamená, že porty SNAT nejsou nepoužívané virtuálními počítači, které je aktivně nepotřebují.
Po vydání portu SNAT je k dispozici pro použití libovolným virtuálním počítačem v podsítích nakonfigurovaných pomocí služby NAT Gateway. Přidělení na vyžádání umožňuje dynamickým a různorodým úlohám v podsítích podle potřeby používat porty SNAT. Pokud jsou k dispozici porty SNAT, budou toky SNAT úspěšné.
Obrázek: Vyčerpání portů SNAT
Výběr portů SNAT brány NAT a opakované použití
NaT Gateway náhodně vybere port SNAT z dostupného inventáře portů, aby se nová odchozí připojení generují. Pokud služba NAT Gateway nenajde žádné dostupné porty SNAT, znovu použije port SNAT. Stejný port SNAT se dá použít pro připojení k několika různým cílům najednou.
Port SNAT je možné znovu použít pro připojení ke stejnému cílovému koncovému bodu. Než se port znovu použije, služba NAT Gateway umístí časovač opětovného použití portu SNAT, aby se na port po zavření připojení ochladila.
Časovač opakovaného použití portů SNAT pomáhá zabránit příliš rychlému výběru portů pro připojení ke stejnému cíli. Tento proces je užitečný, když mají cílové koncové body nakonfigurované brány firewall nebo jiné služby, které na zdrojové porty umístí časovač pro chlazení. Časovače opakovaného použití portů SNAT se liší podle toho, jak byl tok připojení uzavřen. Další informace najdete v tématu Časovače opětovného použití portů.
Obrázek: Opakované použití portů SNAT
Příklad toků SNAT pro službu NAT Gateway
N:1 SNAT se službou NAT Gateway
Služba NAT Gateway poskytuje mnoho až jednu konfiguraci, ve které může několik privátních instancí v rámci nakonfigurované podsítě služby NAT Gateway použít stejnou veřejnou IP adresu pro připojení odchozích přenosů.
V následující tabulce vytvoří dva různé virtuální počítače (10.0.0.1 a 10.2.0.1) připojení k https://microsoft.com cílové IP adrese 23.53.254.142. Pokud je služba NAT Gateway nakonfigurovaná s veřejnou IP adresou 65.52.1.1, přeloží se zdrojové IP adresy každého virtuálního počítače na veřejnou IP adresu služby NAT Gateway a port SNAT:
| Tok | Zdrojová řazená kolekce členů | Zdrojová řazená kolekce členů po SNAT | Cílová řazená kolekce členů |
|---|---|---|---|
| 0 | 10.0.0.1:4283 | 65.52.1.1:1234 | 23.53.254.142:80 |
| 2 | 10.0.0.1:4284 | 65.52.1.1:1235 | 23.53.254.142:80 |
| 3 | 10.2.0.1:5768 | 65.52.1.1:1236 | 23.53.254.142:80 |
Maskování IP adres nebo maskování portů je akt nahrazení privátní IP adresy a portu veřejnou IP adresou a portem před připojením k internetu. Za stejnou veřejnou IP adresou služby NAT Gateway je možné maskovat několik privátních prostředků.
NaT Gateway znovu použije port SNAT pro připojení k novému cíli.
Jak už jsme zmínili dříve, služba NAT Gateway může znovu použít stejný port SNAT, aby se připojila současně k novému cílovému koncovému bodu. V následující tabulce překládá služba NAT Gateway tok 4 na port SNAT, který se už používá pro jiné cíle (viz tok 1 z předchozí tabulky).
| Tok | Zdrojová řazená kolekce členů | Zdrojová řazená kolekce členů po SNAT | Cílová řazená kolekce členů |
|---|---|---|---|
| 4 | 10.0.0.1:4285 | 65.52.1.1:1234 | 26.108.254.155:80 |
Port SNAT brány NAT se vychladí, aby se znovu používal stejný cíl.
Ve scénáři, kdy služba NAT Gateway znovu používá port SNAT k vytvoření nových připojení ke stejnému cílovému koncovému bodu, je port SNAT poprvé umístěný ve fázi opětovného použití portu SNAT pro účely chlazení. Období opakovaného použití portů SNAT pomáhá zajistit, aby se porty SNAT při připojování ke stejnému cíli příliš rychle nepoužádá. Toto opakované použití portu SNAT pro chlazení brány NAT je výhodné ve scénářích, kdy má cílový koncový bod bránu firewall s vlastním časovačem zdrojového portu pro chlazení.
Abychom si ukázali, že tento port SNAT znovu používá chladivé chování, podívejme se podrobněji na tok 4 z předchozí tabulky. Flow 4 se připojoval k cílovému koncovému bodu před bránou firewall s 20sekundovým časovačem studeného výpadku zdrojového portu.
| Tok | Zdrojová řazená kolekce členů | Zdrojová řazená kolekce členů po SNAT | Cílová řazená kolekce členů | Připojení typu paketu je uzavřeno pomocí | Časovač cílové brány firewall pro chlazení zdrojového portu |
|---|---|---|---|---|---|
| 4 | 10.0.0.1:4285 | 65.52.1.1:1234 | 26.108.254.155:80 | TCP FIN | 20 sekund |
Připojení tok 4 se zavře s paketem TCP FIN. Vzhledem k tomu, že je připojení uzavřeno s paketem TCP FIN, služba NAT Gateway umístí port SNAT 1234 do studené úrovně po dobu 65 sekund, než bude možné znovu použít. Vzhledem k tomu, že port 1234 je v chladu delší než doba nečinnosti zdrojového portu brány firewall po dobu 20 sekund, pokračuje tok připojení 5 s opakovaným použitím portu SNAT 1234 bez problému.
| Tok | Zdrojová řazená kolekce členů | Zdrojová řazená kolekce členů po SNAT | Cílová řazená kolekce členů |
|---|---|---|---|
| 5 | 10.2.0.1:5769 | 65.52.1.1:1234 | 26.108.254.155:80 |
Mějte na paměti, že služba NAT Gateway umístí porty SNAT do různých portů SNAT, které opakovaně používají v závislosti na tom, jak se předchozí připojení ukončilo. Další informace o časovači opětovného použití portů SNAT najdete v tématu Časovače opětovného použití portů.
V předchozích příkladech nezávisejte na konkrétním způsobu přiřazení zdrojových portů. Předchozí jsou ilustrace pouze základních konceptů.