Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure NAT Gateway je plně spravovaná služba překladu adres (NAT), která poskytuje odchozí připojení k internetu pro prostředky připojené k vaší privátní virtuální síti. Služba poskytuje překlad síťových adres (SNAT) pro odchozí připojení a překlad cílových adres (DNAT) pro pakety odpovědí, které pocházejí pouze z odchozích připojení. Vzhledem k tomu, že Azure NAT Gateway zpracovává provoz pro důležité prostředky virtuální sítě, je navržený tak, aby poskytoval vysokou odolnost.
Při používání Azure je spolehlivost sdílenou odpovědností. Microsoft nabízí celou řadu možností, které podporují odolnost a obnovení. Zodpovídáte za pochopení toho, jak tyto možnosti fungují ve všech službách, které používáte, a výběrem možností, které potřebujete ke splnění vašich obchodních cílů a cílů dostupnosti.
Tento článek popisuje, jak zajistit odolnost služby Azure NAT Gateway vůči nejrůznějším potenciálním výpadkům a problémům, včetně přechodných chyb a výpadků zón dostupnosti. Také zvýrazňuje klíčové informace o smlouvě o úrovni služeb (SLA) služby Azure NAT Gateway.
Důležité
Při zvažování spolehlivosti služby NAT Gateway zvažte také spolehlivost virtuálních počítačů, disků, jiné síťové infrastruktury a aplikací, které běží na virtuálních počítačích. Zvýšení odolnosti brány NAT může mít omezený dopad, pokud ostatní komponenty nejsou stejně odolné. V závislosti na požadavcích na odolnost můžete provádět změny konfigurace napříč několika komponentami.
Doporučení pro produkční nasazení pro spolehlivost
Pro produkční úlohy doporučujeme následující postupy:
SKU StandardV2 použijte k získání automatické redundance zón v podporovaných oblastech.
Poznámka:
Před nasazením si projděte klíčová omezení služby StandardV2 Azure NAT Gateway a ujistěte se, že podporuje vaši konfiguraci.
Přidělte dostatek veřejných IP adres pro vaše požadavky na připojení ve špičce. Nedostatečné IP adresy můžou způsobit vyčerpání portů SNAT a problémy s dostupností.
Použijte veřejné IP adresy SKU StandardV2 společně se službou Azure NAT Gateway StandardV2. Azure NAT Gateway StandardV2 nepodporuje veřejné IP adresy SKU Standard.
Přehled architektury spolehlivosti
Tato část popisuje některé důležité aspekty fungování služby, které jsou z hlediska spolehlivosti nejrelevantní. Tato část představuje logickou architekturu, která obsahuje některé prostředky a funkce, které nasazujete a používáte. Popisuje také fyzickou architekturu, která poskytuje podrobnosti o tom, jak služba funguje v zákulisí.
Logická architektura
NaT Gateway je prostředek, který nasadíte. Pokud chcete jako výchozí trasu pro odchozí internetový provoz použít službu NAT Gateway, připojte ji k jedné nebo více podsítím ve vaší virtuální síti. Nemusíte konfigurovat žádné vlastní trasy ani jiné směrování.
Fyzická architektura
Brána NAT se interně skládá z jedné nebo několika instancí, které představují základní infrastrukturu potřebnou k provozování služby.
Azure NAT Gateway implementuje distribuovanou architekturu s využitím softwarově definovaných sítí (SDN) k zajištění vysoké spolehlivosti a škálovatelnosti. Služba funguje napříč několika doménami selhání, aby bez dopadu na službu vydržela více selhání komponent infrastruktury. Azure spravuje základní operace služeb, včetně distribuce napříč chybovými doménami a záložní infrastruktuře.
Další informace o architektuře a redundanci služby Azure NAT Gateway najdete v tématu Prostředky služby Azure NAT Gateway.
Odolnost proti přechodným chybám
Přechodné chyby jsou krátká, přerušovaná selhání ve složkách. V distribuovaném prostředí, jako je cloud, se vyskytují často a jsou normální součástí provozu. Přechodné chyby se opravují po krátké době. Je důležité, aby vaše aplikace mohly zpracovávat přechodné chyby, obvykle opakováním ovlivněných požadavků.
Všechny aplikace hostované v cloudu by měly při komunikaci se všemi cloudovými rozhraními API, databázemi a dalšími komponentami postupovat podle pokynů pro zpracování přechodných chyb Azure. Další informace najdete v tématu Doporučení pro zpracování přechodných chyb.
Vyčerpání portů SNAT nastane, když aplikace vytvoří více nezávislých připojení ke stejné IP adrese a portu, což vyčerpá porty SNAT dostupné pro odchozí IP adresu. Vyčerpání portů SNAT se může ve vaší aplikaci zobrazit jako přechodná chyba. Pokud chcete snížit pravděpodobnost přechodných chyb souvisejících s překladem adres (NAT), proveďte následující úlohy:
Minimalizujte pravděpodobnost vyčerpání portů SNAT. Nakonfigurujte aplikace tak, aby správně zpracovávaly SNAT implementací sdružování připojení a správné správy životního cyklu připojení.
Nasaďte dostatečné veřejné IP adresy. Jedna brána NAT podporuje více veřejných IP adres a každá veřejná IP adresa poskytuje samostatnou sadu portů SNAT.
Monitorujte metriku dostupnosti cesty k datům služby NAT Gateway. Pomocí služby Azure Monitor můžete včas detekovat potenciální problémy s připojením. Nastavte upozornění na selhání připojení a vyčerpání portů SNAT, abyste proaktivně identifikovali a vyřešili přechodné chybové stavy předtím, než ovlivní odchozí připojení vašich aplikací. Další informace najdete v tématu Metriky a upozornění služby Azure NAT Gateway.
Vyhněte se nastavení vysokých hodnot časového limitu nečinnosti. Pokud nastavíte hodnoty časového limitu nečinnosti výrazně vyšší než výchozí 4 minuty pro připojení služby NAT Gateway, může dojít k vyčerpání portů SNAT během velkých svazků připojení.
Další informace o správě připojení a řešení potíží ve službě Azure NAT Gateway najdete v tématu Řešení potíží s připojením ke službě Azure NAT Gateway.
Odolnost proti chybám zóny dostupnosti
Zóny dostupnosti jsou fyzicky oddělené skupiny datacenter v rámci oblasti Azure. Když jedna zóna selže, mohou služby přejít na jednu ze zbývajících zón.
Azure NAT Gateway podporuje zóny dostupnosti v zónově redundantních i zónových konfiguracích:
Zónově redundantní: SKU StandardV2 pro Azure NAT Gateway poskytuje automatickou redundanci zón. Redundance zón rozloží instance služby NAT Gateway napříč všemi zónami dostupnosti v oblasti. Zónově redundantní konfigurace zlepšuje odolnost a spolehlivost produkčních úloh.
Diagram znázorňuje internet v horní části. Pod internetem je prostředek NAT Gateway, který se nachází ve virtuální síti a zahrnuje tři zóny dostupnosti. Podsíť ve virtuální síti obsahuje tři virtuální počítače. Každý virtuální počítač je umístěný v jiné zóně dostupnosti. První virtuální počítač je v zóně dostupnosti 1, druhý virtuální počítač je v zóně dostupnosti 2 a třetí virtuální počítač je v zóně dostupnosti 3. Tři samostatné šipky v každé zóně dostupnosti označují tok odchozího provozu ze služby NAT Gateway do internetu.
Zonální: Při použití skladové položky Standard (v1) můžete volitelně vytvořit zónovou konfiguraci. Nasadíte zónovou bránu NAT gateway v zóně dostupnosti, kterou vyberete. Když nasadíte službu NAT Gateway do konkrétní zóny, poskytuje odchozí připojení k internetu explicitně z této zóny. Zónové veřejné IP adresy z jiné zóny dostupnosti nejsou povolené. Veškerý provoz z připojených podsítí směruje přes bránu NAT Gateway, i když se prostředky podsítě nacházejí v jiné zóně dostupnosti.
Diagram znázorňuje internet v horní části. Pod službou internetu je prostředek NAT Gateway nasazený pouze v zóně dostupnosti 1. NAT Gateway se připojí k podsíti, která obsahuje jeden virtuální počítač. Virtuální síť obsahuje podsíť umístěnou v zóně dostupnosti 1. Zóna dostupnosti 2 a zóna dostupnosti 3 jsou prázdné. Šipka označuje tok odchozího provozu ze služby NAT Gateway do internetu.
Pokud u brány NAT v rámci zóny dostupnosti dojde k výpadku, všechny virtuální počítače v připojených podsítích se nepodaří připojit k internetu, i když se tyto virtuální počítače nacházejí v zónách dostupnosti, které jsou v pořádku.
Důležité
Připnutí do jedné zóny dostupnosti se doporučuje jenom v případě, že je latence napříč zónami pro vaše potřeby příliš vysoká a po ověření, že latence nesplňuje vaše požadavky. Samotný zónový prostředek neposkytuje odolnost vůči výpadku zóny dostupnosti. Chcete-li zlepšit odolnost zónového prostředku, musíte explicitně nasadit samostatné prostředky do více zón dostupnosti a nakonfigurovat směrování provozu a zajištění převzetí služeb při selhání. Další informace najdete v tématu Zónové prostředky a odolnost zón.
Pokud nasadíte virtuální počítače v několika zónách dostupnosti a potřebujete používat zónové brány NAT, můžete v každé zóně dostupnosti vytvořit zónové zásobníky . Pokud chcete vytvořit zónové zásobníky, nasaďte následující prostředky:
Více podsítí: Vytvořte samostatnou podsíť pro každou zónu dostupnosti místo použití jedné podsítě, která zahrnuje zóny.
Zónové brány NAT: Nasaďte bránu NAT ve stejné zóně dostupnosti jako její připojenou podsíť.
Ruční přiřazení virtuálního počítače: Umístěte každý virtuální počítač do správné zóny dostupnosti a odpovídající podsítě zóny dostupnosti.
Diagram znázorňuje internet v horní části a tři zóny dostupnosti pod internetem. Každá zóna dostupnosti obsahuje vlastní vyhrazenou zónovou instanci služby NAT Gateway, podsíť a virtuální počítač. Všechny tyto prostředky se nacházejí ve sdílené virtuální síti. Šipky zobrazují odchozí tok provozu z instance NAT Gateway každé zóny dostupnosti do internetu.
Pokud nasadíte bránu NAT Úrovně Standard (v1) a neurčíte zónu dostupnosti, je brána NAT nezonální, což znamená, že Azure vybere zónu dostupnosti. Pokud nějaká zóna dostupnosti v této oblasti má výpadek, může to mít vliv na vaši bránu NAT. Nedoporučujeme nezonální konfiguraci, protože neposkytuje ochranu před výpadky zón dostupnosti.
Požadavky
Podpora oblastí: Zónově redundantní a zónové brány NAT můžete nasadit do libovolné oblasti, která podporuje zóny dostupnosti.
SKU: K nasazení zónově redundantní brány NAT použijte skladovou položku StandardV2. K nasazení zónové brány NAT použijte skladovou položku Standard. Doporučujeme skladovou položku StandardV2.
Veřejné IP adresy: Požadavky na veřejné IP adresy připojené ke službě NAT Gateway závisí na konfiguraci skladové položky a nasazení.
Skladová položka služby Azure NAT Gateway Typ podpory zóny dostupnosti Požadavky na veřejnou IP adresu StandardV2 Zónově redundantní Veřejná IP adresa StandardV2 Standard Zónový Standardní veřejná IP adresa, která je zónově redundantní nebo ve stejné zóně jako služba NAT Gateway Standard Nezonální Standardní veřejná IP adresa, která je zónově redundantní nebo v jakékoli zóně
Náklady
Podpora zón dostupnosti pro Azure NAT Gateway nemá žádné další náklady. Další informace najdete v tématu o cenách služby Azure NAT Gateway.
Konfigurujte podporu zón dostupnosti
Nové prostředky: Postup nasazení závisí na konfiguraci vaší zóny dostupnosti:
Zónově redundantní: Pokud chcete nasadit novou zónově redundantní bránu NAT gateway pomocí skladové položky StandardV2, přečtěte si téma Vytvoření služby Azure NAT Gateway úrovně StandardV2.
Zonální: Pokud chcete nasadit novou zónovou bránu NAT pomocí SKU Standard, přečtěte si téma Vytvoření brány NAT Když vytvoříte bránu NAT, vyberte její zónu dostupnosti namísto volby žádné zóny.
Zapněte podporu zóny dostupnosti: Po nasazení nemůžete změnit konfiguraci zóny dostupnosti pro Azure NAT Gateway. Pokud chcete upravit konfiguraci zóny dostupnosti, musíte nasadit novou bránu NAT s nastavením požadované zóny.
Pokud chcete upgradovat z brány NAT Standard na StandardV2, musíte vytvořit novou veřejnou IP adresu, která používá skladovou položku StandardV2.
Chování, když jsou všechny zóny v pořádku
Tato část popisuje, co očekávat, když jsou brány NAT nakonfigurované pro podporu zóny dostupnosti a všechny zóny dostupnosti jsou funkční.
Směrování provozu mezi zónami: Způsob, jakým provoz z vašich virtuálních počítačů prochází bránou NAT Gateway, závisí na konfiguraci zóny dostupnosti, kterou vaše brána NAT používá.
Zónově redundantní: Provoz může směrovat přes instanci služby NAT Gateway v libovolné zóně dostupnosti.
Zonální: Každá instance služby NAT Gateway funguje nezávisle v rámci přiřazené zóny dostupnosti. Odchozí provoz z prostředků podsítě směruje přes zónu služby NAT Gateway, i když se virtuální počítač nachází v jiné zóně.
Replikace dat mezi zónami: Azure NAT Gateway nereplikuje data mezi zónami, protože se jedná o bezstavovou službu pro odchozí připojení. Každá instance služby NAT Gateway funguje nezávisle v rámci své zóny dostupnosti a nevyžaduje synchronizaci s instancemi v jiných zónách.
Chování při selhání zóny
Tato část popisuje, co očekávat, když je služba NAT Gateway nakonfigurovaná pro podporu zóny dostupnosti a dojde k výpadku zóny dostupnosti.
Detekce a odpověď: Odpovědnost za detekci a odpověď závisí na konfiguraci zóny dostupnosti, kterou vaše brána NAT používá.
Zónově redundantní: Azure NAT Gateway detekuje selhání v zóně dostupnosti a reaguje na ně. K zahájení přepnutí zóny dostupnosti nemusíte nic dělat.
Zonální: Jste zodpovědní za implementaci přepnutí při selhání na úrovni aplikace na alternativní metody připojení nebo brány NAT v jiných zónách.
Oznámení: Microsoft vás při výpadku zóny automaticky neoznámí. Azure Resource Health ale můžete použít k monitorování stavu jednotlivých prostředků a můžete nastavit upozornění služby Resource Health , která vás upozorní na problémy. Pomocí služby Azure Service Health můžete také porozumět celkovému stavu služby, včetně jakýchkoli selhání zón, a můžete nastavit upozornění služby Service Health , která vás upozorní na problémy.
Ke sledování stavu služby NAT Gateway můžete také použít metriku dostupnosti cesty k datům služby NAT Gateway. Nakonfigurujte upozornění na metriku dostupnosti cesty k datům a detekujte problémy s připojením.
Aktivní požadavky: Chování aktivních požadavků závisí na konfiguraci zóny dostupnosti, kterou používá vaše brána NAT.
Zónově redundantní: Instance ve vadné zóně přeruší aktivní odchozí spojení. Klienti musí opakovat požadavky na připojení a následné pokusy se směrují přes instanci NAT brány v jiné zóně dostupnosti.
Zonální: Neúspěšná zónová brána NAT zahodí aktivní odchozí připojení. Musíte se rozhodnout, jestli a jak znovu navázat připojení prostřednictvím alternativních cest připojení. Aplikace by měly implementovat logiku opakování pro zpracování selhání připojení.
Pokud přesměrujete provoz, změní se odchozí veřejná IP adresa, takže všechny relace protokolu TCP (Transmission Control Protocol) budou možná potřeba znovu navázat.
Očekávaná ztráta dat: Nedojde ke ztrátě dat, protože Azure NAT Gateway je bezstavová služba pro odchozí připojení. Stav připojení se znovu vytvoří při opětovném navázání připojení.
Očekávaný výpadek: Očekávaný výpadek závisí na konfiguraci zóny dostupnosti, kterou vaše brána NAT používá.
Zónově redundantní: Existující připojení z zóny, která selhala, se můžou odpojit. Klienti můžou připojení opakovat okamžitě a požadavky jsou směrovány do instance v jiné zóně. Všechna zbývající připojení ze zdravých zón přetrvají.
Zonální: Odchozí připojení zůstává nedostupné, dokud se zóna neobnoví nebo dokud nepřesměrujete provoz prostřednictvím alternativních metod připojení nebo bran NAT v jiných zónách.
Přesměrování provozu: Chování přesměrování provozu závisí na konfiguraci zóny dostupnosti, kterou používá vaše brána NAT.
Zónově redundantní: Nové žádosti o připojení se směrují přes instanci služby NAT Gateway v zóně dostupnosti, která je v pořádku.
Během selhání zóny virtuální počítače v této zóně obvykle přestanou fungovat. Pokud ale částečné selhání zóny ovlivní jenom bránu NAT, zatímco virtuální počítače budou dál běžet, odchozí připojení z těchto virtuálních počítačů se směrují přes instanci služby NAT Gateway v jiné zóně.
Zonální: Musíte implementovat přepnutí při selhání na úrovni aplikace, například použitím alternativních metod připojení nebo přesměrováním provozu na brány NAT v jiných zónách.
Obnovení zóny
Azure NAT Gateway je bezstavová služba, takže operace obnovení nevyžadují ruční zásah.
Když se zóna dostupnosti obnoví, instance služby NAT Gateway v této zóně se automaticky zpřístupní pro nová odchozí připojení. Připojení vytvořená prostřednictvím instancí služby NAT Gateway v jiných zónách během výpadku nadále používají své stávající cesty připojení, dokud se tato připojení nezavře.
Testování poruch zón
Možnosti pro testování selhání zón závisí na konfiguraci zóny dostupnosti, kterou vaše instance používá.
Zónově redundantní: Platforma Azure NAT Gateway spravuje směrování provozu, převzetí služeb při selhání a navrácení služeb po obnovení pro zónově redundantní brány NAT. Tyto spravované funkce nevyžadují, abyste zahájili žádné ruční akce nebo ověřili procesy selhání zóny dostupnosti.
Zonální: Zodpovídáte za přípravu a testování plánů převzetí služeb k zvládnutí potenciálního selhání zóny.
Odolnost proti selháním v celé oblasti
Azure NAT Gateway je služba s jednou oblastí, která funguje v rámci hranic konkrétní oblasti Azure. Služba neposkytuje nativní schopnosti pro více regionů ani automatický přechod při selhání mezi regiony. Pokud se oblast stane nedostupnou, brány NAT v této oblasti jsou také nedostupné.
Pokud navrhujete síťový přístup, který zahrnuje více oblastí, nasaďte nezávislé brány NAT v každé oblasti.
Smlouva o úrovni služeb
Smlouva o úrovni služeb (SLA) pro služby Azure popisuje očekávanou dostupnost každé služby a podmínky, které musí vaše řešení splnit, aby bylo dosaženo očekávané dostupnosti. Další informace najdete v tématu Smlouvy SLA pro online služby.
Smlouva SLA pro Azure VNet NAT zahrnuje službu Azure NAT Gateway. Smlouva SLA o dostupnosti platí jenom v případech, kdy máte dva nebo více virtuálních počítačů, které jsou v pořádku. Vyloučí také vyčerpání portů SNAT z výpočtů výpadků.