Puerta de enlace NAT y zonas de disponibilidad
La puerta de enlace NAT es un recurso zonal, lo que significa que se puede implementar y operar fuera de zonas de disponibilidad individuales. Con escenarios de aislamiento de zona, puede alinear los recursos de la puerta de enlace NAT zonal con recursos basados en IP designados de manera zonal, como máquinas virtuales, para proporcionar resistencia de zona frente a interrupciones. Revise este documento para conocer los conceptos clave y la guía de diseño básica.
Figura 1: implementación zonal de la puerta de enlace NAT.
La puerta de enlace NAT se puede configurar en una zona específica dentro de una región o se puede colocar en "ninguna zona". La propiedad de zona que seleccione para el recurso de puerta de enlace NAT informará también a la propiedad de zona de la dirección IP pública que se puede usar para la conectividad de salida.
La puerta de enlace NAT tiene resistencia integrada
Las redes virtuales y sus subredes son regionales. Las subredes no están restringidas a una zona. Aunque la puerta de enlace NAT es un recurso zonal, es un método altamente resistente y confiable que proporciona conectividad de salida a Internet desde subredes de red virtual. La puerta de enlace NAT usa redes definidas por software para funcionar como un servicio totalmente administrado y distribuido. La infraestructura de La puerta de enlace NAT tiene redundancia integrada. Puede sobrevivir a varios errores en los componentes de infraestructura. Las zonas de disponibilidad se basan en esta resistencia con escenarios de aislamiento de zona para la puerta de enlace NAT.
Zonal
Puede colocar el recurso de puerta de enlace NAT en una zona específica para una región. Cuando la puerta de enlace NAT se implementa en una zona específica, proporcionará conectividad de salida a Internet explícitamente desde esa zona. La dirección IP pública o el prefijo configurados en la puerta de enlace NAT deben coincidir con la misma zona. No se admiten recursos de la puerta de enlace de NAT con direcciones IP públicas de otra zona, con redundancia de zona o que no tengan ninguna zona.
La puerta de enlace NAT puede proporcionar conectividad de salida para máquinas virtuales de otras zonas de disponibilidad diferentes. La subred de la máquina virtual debe configurarse en el recurso de puerta de enlace NAT para proporcionar conectividad de salida. Además, se pueden configurar varias subredes en el mismo recurso de la puerta de enlace NAT.
Aunque todas las máquinas virtuales de subredes con distintas zonas de disponibilidad se pueden configurar en un recurso de puerta de enlace NAT zonal único, esta configuración no proporciona el método más eficaz para garantizar la resistencia de zona frente a las interrupciones zonales. Para obtener más información sobre cómo protegerse contra interrupciones zonales, consulte Consideraciones de diseño más adelante en este artículo.
No zonal
Si se selecciona Ninguna zona en el momento en que se implementa el recurso de puerta de enlace NAT, se coloca en "ninguna zona" de forma predeterminada. Cuando la puerta de enlace NAT se coloca en ninguna zona, Azure coloca el recurso en una zona automáticamente. No tendrá visibilidad sobre qué zona elige Azure para la puerta de enlace NAT. Cuando se implementa la puerta de enlace NAT, no se pueden cambiar las configuraciones zonales. Los recurso de puerta de enlace NAT en ninguna zona, aunque siguen siendo zonales, se pueden asociar a direcciones IP públicas desde una zona, ninguna zona o con redundancia de zona.
Consideraciones de diseño
Ahora que comprende las propiedades de la puerta de enlace NAT relacionadas con la zona, consulte las siguientes consideraciones para ayudarle a diseñar la conectividad de salida altamente resistente desde las redes virtuales de Azure.
Recurso de puerta de enlace NAT zonal único para recursos de expansión de zona
Un recurso de puerta de enlace NAT zonal único se puede configurar en una subred que contiene máquinas virtuales que abarcan varias zonas de disponibilidad o en varias subredes con diferentes máquinas virtuales zonales. Cuando se configura este tipo de implementación, la puerta de enlace NAT proporcionará conectividad de salida a Internet para todos los recursos de subred de la zona específica en la que se encuentra. Si la zona en la que se implementa la puerta de enlace NAT deja de funcionar, la conectividad de salida en todas las instancias de máquina virtual asociadas a la puerta de enlace NAT también dejará de funcionar. Esta configuración no proporciona el mejor método de resistencia de zona.
Figura 2: el recurso de puerta de enlace NAT de zona única para los recursos de expansión de varias zonas no proporciona un método eficaz de resistencia de zona contra las interrupciones.
Recurso de puerta de enlace NAT zonal para cada zona de una región con el fin de crear resistencia de zona
Existe un compromiso de aislamiento de zona cuando una instancia de máquina virtual que usa un recurso de puerta de enlace NAT está en la misma zona que este último y sus direcciones IP públicas. El patrón que quiere usar para el aislamiento de zona crea una "pila de zona" por zona de disponibilidad. Esta "pila zonal" consta de instancias de máquina virtual, un recurso de puerta de enlace NAT con direcciones IP públicas o un prefijo en una subred, todo en la misma zona.
Figura 3: el aislamiento zonal mediante la creación de pilas zonales con la misma puerta de enlace NAT de zona, IP públicas y máquinas virtuales proporciona el mejor método para garantizar la resistencia de la zona contra las interrupciones.
El error de conectividad de salida provocado por una interrupción de zona se aísla según la zona específica afectada. La interrupción no afectará a las demás pilas zonales donde se implementan otras puertas de enlace NAT con sus propias subredes y direcciones IP públicas zonales.
La creación de pilas zonales para cada zona de disponibilidad dentro de una región es el método más eficaz para crear resistencia de zona frente a interrupciones de la puerta de enlace NAT.
Integración de entrada con un equilibrador de carga estándar
Si su escenario requiere puntos de conexión de entrada, tiene dos opciones:
| Opción | Patrón | Ejemplo | Pros | Contras |
|---|---|---|---|---|
| (1) | Alinee los puntos de conexión de entrada con las pilas de zona correspondientes que está creando para salida. | Cree un equilibrador de carga estándar con el front-end zonal. | El mismo modelo de error para la entrada y la salida. Más sencillo de operar. | Es posible que sea necesario enmascarar las direcciones IP individuales por zona con un nombre DNS común. |
| (2) | Superponga las pilas de zona con un punto de conexión de entrada entre zonas. | Cree un equilibrador de carga estándar con redundancia de zona en el front-end. | Dirección IP única para el punto de conexión de entrada. | Modelos variables para la entrada y la salida. Más complejo de operar. |
Nota
Tenga en cuenta que la configuración zonal de un equilibrador de carga funciona de forma diferente a la de la puerta de enlace NAT. La selección de zona de disponibilidad del equilibrador de carga es sinónimo de la selección de zona de la configuración de la dirección IP de front-end. En el caso de los equilibradores de carga públicos, si la dirección IP pública del front-end del equilibrador de carga es redundante de zona, el equilibrador de carga también tiene redundancia de zona. Si la dirección IP pública del front-end del equilibrador de carga es zonal, el equilibrador de carga también se designará en la misma zona.
Limitaciones
- Las zonas no se pueden cambiar, actualizar ni crear para la puerta de enlace NAT después de su implementación.
Pasos siguientes
- Más información sobre Regiones y las zonas de disponibilidad de Azure
- Obtenga más información sobre Azure NAT Gateway
- Obtenga más información sobre Azure Load Balancer