Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwaltete Service Fabric-Cluster verfügen über externe IP-Adressen, mit denen externe Clients auf die Ressourcen des Clusters zugreifen können. In einigen Szenarien kann es jedoch vorzuziehen sein, diesen Ressourcen Internetzugriff zu gewähren, ohne sie direkt dem Internet zur Verfügung zu stellen. NAT-Gateways ermöglichen diese Funktion.
Wenn Ihr Cluster über Ressourcen verfügt, die eingehenden Datenverkehr aus dem Internet empfangen müssen, aber auch private Ressourcen verwendet, die geschützt werden müssen, kann ein NAT-Gateway helfen. Wenn Sie über Anwendungen verfügen, die Verbindungen außerhalb des Clusters herstellen müssen, um auf Geheimnisse, Speicher und andere private Ressourcen zuzugreifen, kann ein NAT-Gateway hilfreich sein.
Dies sind einige der Vorteile der Verwendung eines NAT-Gateways für Ihren verwalteten Cluster:
- Verbesserte Sicherheit: Azure NAT Gateway basiert auf dem Zero-Trust-Netzwerksicherheitsmodell und ist standardmäßig sicher. Mit einem NAT-Gateway benötigen private Instanzen innerhalb eines Subnetzes keine öffentlichen IP-Adressen, um das Internet zu erreichen. Private Ressourcen können externe Quellen außerhalb des virtuellen Netzwerks durch SNAT (Source Network Address Translating) an die statischen öffentlichen IP-Adressen oder Präfixe des NAT-Gateways erreichen. Sie können einen zusammenhängenden Satz von IP-Adressen für ausgehende Konnektivität bereitstellen, indem Sie ein öffentliches IP-Präfix verwenden, und Sie können Zielfirewallregeln basierend auf dieser vorhersagbaren IP-Liste konfigurieren.
- Resilienz: Azure NAT Gateway ist ein vollständig verwalteter und verteilter Dienst. Er hängt nicht von einzelnen Compute-Instanzen ab, also z. B. von VMs oder einem einzelnen physischen Gateway-Gerät. Ein NAT-Gateway verfügt immer über mehrere Fehlerdomänen und kann mehrere Fehler ohne Dienstausfall überstehen. Softwaredefinierte Netzwerke machen ein NAT-Gateway äußerst resilient.
- Vereinfachte Netzwerkarchitektur: NAT-Gateways ermöglichen es Ihnen, Ihre Netzwerkarchitektur zu vereinfachen, indem Sie keine Bastionhost- oder VPN-Verbindung mehr benötigen, um auf Instanzen in privaten Subnetzen zuzugreifen.
- Leistung: Azure NAT Gateway ist leistungsfähig und stabil.
Die folgende Abbildung zeigt einen Cluster mit einem primären und sekundären Knotentyp, bei dem jeder Knotentyp über ein eigenes Subnetz verfügt. Der sekundäre Knotentyp wird hinter einem NAT-Gateway platziert, und der gesamte ausgehende Datenverkehr wird über das Gateway weitergeleitet. Wenn Datenverkehr vom sekundären Knotentyp stammt, ist die öffentliche IP-Adresse die Adresse des NAT-Gateways. Da alle ausgehenden Anforderungen über das NAT-Gateway weitergeleitet werden, können Sie zusätzliche NSG-Regeln implementieren, die die Sicherheit verbessern und verhindern, dass externe Dienste interne Dienste ermitteln können.
Die folgenden Szenarien werden für NAT-Gateways in verwalteten Service Fabric-Clustern unterstützt:
- Kunden erfahren im Artikel „Konfigurieren der Netzwerkeinstellungen für verwaltete Cluster“ im Abschnitt „Eigenes virtuelles Netzwerk verwenden“, wie ein NAT-Gateway an einen beliebigen Knotentyp und eine beliebige Subnetzkonfiguration angefügt wird.
- Kunden können ein NAT-Gateway an sekundäre Knotentypen anfügen, indem sie ein dediziertes Subnetz verwenden, wie im Abschnitt „Eigenen Azure Load Balancer verwenden“ im Artikel „Konfigurieren der Netzwerkeinstellungen für verwaltete Cluster“ beschrieben wird. Wenn Sie einen eigenen Lastenausgleich und ein NAT-Gateway hinzufügen, erhalten Sie bessere Kontrolle über Ihren Netzwerkdatenverkehr.
Voraussetzungen
Stellen Sie sicher, dass Sie für Ihr Szenario die Schritte zur ordnungsgemäßen Konfiguration des Netzwerks Ihres verwalteten Clusters befolgen.
Verwenden Ihres eigenen virtuellen Netzwerks mit einem NAT-Gateway
In den folgenden Schritten wird beschrieben, wie Sie ein NAT-Gateway an Ihre VNet-Subnetze anfügen.
Führen Sie die Schritte im Azure NAT Gateway-Schnellstart aus, um ein NAT-Gateway zu erstellen.
Erteilen Sie dem Service Fabric-Ressourcenanbieter die Berechtigung, die Einstellungen des NAT-Gateways mithilfe von Rollenzuweisung zu ändern. Führen Sie die ersten beiden Schritte im Abschnitt „Verwenden eines eigenen virtuellen Netzwerks“ im Artikel „Konfigurieren der Netzwerkeinstellungen für verwaltete Cluster“ aus, um die Informationen Ihres NAT-Gateways in Subnetzparameter einzufügen.
Jetzt können Sie das NAT-Gateway an das Subnetz Ihres virtuellen Netzwerks anfügen. Sie können eine ARM-Vorlage, die Azure CLI, Azure PowerShell oder das Azure-Portal verwenden.
ARM-Vorlage
Ändern Sie die folgende ARM-Vorlage, um das NAT-Gateway in die Eigenschaften Ihres Subnetzes einzufügen, und stellen Sie sie bereit:
{
"apiVersion": "[variables('networkApiVersion')]",
"type": "Microsoft.Network/virtualNetworks",
"name": "[parameters('vnetName')]",
"location": "[resourcegroup().location]",
"dependsOn": [
"[parameters('natGatewayId'))]"
],
"properties": {
"subnets": [
{
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "[parameters('subnetAddressPrefix')]",
"natGateway": {
"id": "[parameters('natGatewayId'))]"
}
}
}
]
}
}
Azure CLI
Ändern Sie den folgenden Azure CLI-Befehl mithilfe Ihrer Informationen, und führen Sie ihn aus:
az network vnet subnet update --resource-group myResourceGroup --vnet-name mvVNet --name mySubnet --nat-gateway myNATGateway
Azure PowerShell
Speichern des virtuellen Netzwerks in einer Variablen
$net = @{ Name = `myVNet` ResourceGroupName = 'myResourceGroup' } $vnet = Get-AzVirtualNetwork @netSpeichern des NAT-Gateways in einer Variablen
$nat = @{ Name = 'myNATgateway' ResourceGroupName = 'myResourceGroup' } $natGateway = Get-AzNatGateway @natFestlegen der Subnetzkonfiguration
$subnet = @{ Name = 'mySubnet' VirtualNetwork = $vnet NatGateway = $natGateway AddressPrefix = '10.0.2.0/24' } Set-AzVirtualNetworkSubnetConfig @subnetSpeichern der Konfiguration für das virtuelle Netzwerk
$vnet | Set-AzVirtualNetwork
Azure-Portal
Navigieren Sie im Azure-Portal zu Ihrer virtuellen Netzwerkressource.
Wählen Sie unter Einstellungen die Option Subnetze aus.
Wählen Sie das Subnetz aus, das Sie Ihrem NAT-Gateway zuordnen möchten.
Öffnen Sie die Dropdownliste NAT-Gateway, und wählen Sie Ihr NAT-Gateway aus.
Klicken Sie auf Speichern.
Verwenden eines eigenen Lastenausgleichs mit Azure NAT Gateway
In den folgenden Schritten wird beschrieben, wie Sie ein NAT-Gateway an Ihre VNet-Subnetze anfügen.
Hinweis
Dieses Szenario wird nur über die ARM-Vorlage unterstützt.
Führen Sie die Schritte im Azure NAT Gateway-Schnellstart aus, um ein NAT-Gateway zu erstellen.
Erteilen Sie dem Service Fabric-Ressourcenanbieter die Berechtigung, die Einstellungen des NAT-Gateways mithilfe von Rollenzuweisung zu ändern. Führen Sie die ersten beiden Schritte im Abschnitt „Verwenden eines eigenen virtuellen Netzwerks“ im Artikel „Konfigurieren der Netzwerkeinstellungen für verwaltete Cluster“ aus, um die Informationen Ihres NAT-Gateways in Subnetzparameter einzufügen.
Fügen Sie Ihrer Bereitstellung die folgende Eigenschaft hinzu, um das NAT-Gateway an Ihr dediziertes Subnetz anzufügen:
{
"apiVersion": "2023-03-01-preview",
"type": "Microsoft.ServiceFabric/managedclusters/nodetypes",
"name": "[concat(parameters('clusterName'), '/', parameters('nodeTypeName'))]",
"location": "[parameters('clusterLocation')]",
"properties": {
...
"isPrimary": false,
"natGatewayId": "[variables('natID')]",
"frontendConfigurations": [...],
...
}
Nächste Schritte
- Sehen Sie sich die in diesem Artikel beschriebenen Netzwerkszenarien für verwaltete Cluster von Service Fabric an.
- Sehen Sie sich die Konfigurationsoptionen für verwaltete Service Fabric-Cluster an.