Puerta de enlace NAT y zonas de disponibilidad
La puerta de enlace NAT es un recurso zonal, lo que significa que se puede implementar y operar fuera de zonas de disponibilidad individuales. Con escenarios de aislamiento de zona, puede alinear los recursos de la puerta de enlace NAT zonal con recursos basados en IP designados de manera zonal, como máquinas virtuales, para proporcionar resistencia de zona frente a interrupciones. Revise este documento para conocer los conceptos clave y la guía de diseño básica.
Figura 1: implementación zonal de la puerta de enlace NAT.
La puerta de enlace NAT se puede configurar en una zona específica dentro de una región o se puede colocar en ninguna zona. La propiedad de zona que seleccione para el recurso de puerta de enlace NAT informa también a la propiedad de zona de la dirección IP pública que se puede usar para la conectividad de salida.
La puerta de enlace NAT incluye resistencia integrada
Las redes virtuales y sus subredes son regionales. Las subredes no están restringidas a una zona. Aunque la puerta de enlace NAT es un recurso zonal, es un método altamente resistente y confiable que proporciona conectividad de salida a Internet desde subredes de red virtual. La puerta de enlace NAT usa redes definidas por software para funcionar como un servicio totalmente administrado y distribuido. La infraestructura de puerta de enlace NAT incluye redundancia integrada. Puede sobrevivir a varios errores en los componentes de infraestructura. Las zonas de disponibilidad se basan en esta resistencia con escenarios de aislamiento de zona para la puerta de enlace NAT.
Zonal
Puede colocar el recurso de puerta de enlace NAT en una zona específica para una región. Cuando la puerta de enlace NAT se implementa en una zona específica, proporciona conectividad de salida a Internet explícitamente desde esa zona. Los recursos de puerta de enlace NAT asignados a una zona de disponibilidad se pueden asociar a direcciones IP públicas de la misma zona o que sean redundantes de zona. No se permiten direcciones IP públicas de una zona de disponibilidad diferente o de ninguna zona.
La puerta de enlace NAT puede proporcionar conectividad de salida para máquinas virtuales de otras zonas de disponibilidad diferentes. La subred de la máquina virtual debe configurarse en el recurso de puerta de enlace NAT para proporcionar conectividad de salida. Además, se pueden configurar varias subredes en el mismo recurso de la puerta de enlace NAT.
Aunque todas las máquinas virtuales de subredes con distintas zonas de disponibilidad se pueden configurar en un recurso de puerta de enlace NAT zonal único, esta configuración no proporciona el método más eficaz para garantizar la resistencia de zona frente a las interrupciones zonales. Para obtener más información sobre cómo protegerse contra interrupciones zonales, consulte Consideraciones de diseño más adelante en este artículo.
No zonal
Si se selecciona Ninguna zona en el momento en que se implementa el recurso de puerta de enlace NAT, la puerta de enlace NAT se coloca en ninguna zona de forma predeterminada. Cuando la puerta de enlace NAT se coloca en ninguna zona, Azure coloca el recurso en una zona automáticamente. No hay visibilidad sobre qué zona elige Azure para la puerta de enlace NAT. Cuando se implementa la puerta de enlace NAT, no se pueden cambiar las configuraciones zonales. Los recurso de puerta de enlace NAT en ninguna zona, aunque siguen siendo zonales, se pueden asociar a direcciones IP públicas desde una zona, ninguna zona o con redundancia de zona.
Consideraciones de diseño
Ahora que comprende las propiedades de la puerta de enlace NAT relacionadas con la zona, consulte las siguientes consideraciones para ayudarle a diseñar la conectividad de salida altamente resistente desde las redes virtuales de Azure.
Recurso de puerta de enlace NAT zonal único para recursos de expansión de zona
Un recurso de puerta de enlace NAT zonal único se puede configurar en una subred que contiene máquinas virtuales que abarcan varias zonas de disponibilidad o en varias subredes con diferentes máquinas virtuales zonales. Cuando se configura este tipo de implementación, la puerta de enlace NAT proporciona conectividad de salida a Internet para todos los recursos de subred de la zona específica donde se encuentra la puerta de enlace NAT. Si la zona en la que se implementa la puerta de enlace NAT deja de funcionar, la conectividad de salida en todas las instancias de máquina virtual asociadas a la puerta de enlace NAT también deja de funcionar. Esta configuración no proporciona el mejor método de resistencia de zona.
Figura 2: el recurso de puerta de enlace NAT de zona única para los recursos de expansión de varias zonas no proporciona un método eficaz de resistencia de zona contra las interrupciones.
Recurso de puerta de enlace NAT zonal para cada zona de una región con el fin de crear resistencia de zona
Existe un compromiso de aislamiento de zona cuando una instancia de máquina virtual que usa un recurso de puerta de enlace NAT está en la misma zona que este último y sus direcciones IP públicas. El patrón que quiere usar para el aislamiento de zona crea una "pila de zona" por zona de disponibilidad. Esta "pila zonal" consta de instancias de máquina virtual, un recurso de puerta de enlace NAT con direcciones IP públicas o un prefijo en una subred, todo en la misma zona.
Figura 3: el aislamiento zonal mediante la creación de pilas zonales con la misma puerta de enlace NAT de zona, IP públicas y máquinas virtuales proporciona el mejor método para garantizar la resistencia de la zona contra las interrupciones.
Nota:
La creación de pilas zonales para cada zona de disponibilidad dentro de una región es el método más eficaz para crear resistencia de zona frente a interrupciones de la puerta de enlace NAT. Sin embargo, la configuración solo protege las zonas de disponibilidad restantes en las que no se produjo la interrupción. Con esta configuración, el error de conectividad de salida desde una interrupción de zona se aísla según la zona específica afectada. La interrupción no afectará a las demás pilas zonales donde se implementan otras puertas de enlace NAT con sus propias subredes y direcciones IP públicas zonales.
Integración de entrada con un equilibrador de carga estándar
Si su escenario requiere puntos de conexión de entrada, tiene dos opciones:
| Opción | Patrón | Ejemplo | Pros | Contras |
|---|---|---|---|---|
| (1) | Alinee los puntos de conexión de entrada con las pilas de zona correspondientes que está creando para salida. | Cree un equilibrador de carga estándar con el front-end zonal. | El mismo modelo de error para la entrada y la salida. Más sencillo de operar. | Un nombre común del sistema de nombres de dominio (DNS) debe enmascarar direcciones IP individuales por zona. |
| (2) | Superponga las pilas de zona con un punto de conexión de entrada entre zonas. | Cree un equilibrador de carga estándar con redundancia de zona en el front-end. | Dirección IP única para el punto de conexión de entrada. | Modelos variables para la entrada y la salida. Más complejo de operar. |
Nota
Tenga en cuenta que la configuración zonal de un equilibrador de carga funciona de forma diferente a la de la puerta de enlace NAT. La selección de zona de disponibilidad del equilibrador de carga es sinónimo de la selección de zona de la configuración de la dirección IP de front-end. En el caso de los equilibradores de carga públicos, si la dirección IP pública del front-end del equilibrador de carga es redundante de zona, el equilibrador de carga también tiene redundancia de zona. Si la dirección IP pública del front-end del equilibrador de carga es zonal, el equilibrador de carga también se designará en la misma zona.
Limitaciones
- Las zonas no se pueden cambiar, actualizar ni crear para la puerta de enlace NAT después de su implementación.
Pasos siguientes
- Más información sobre Regiones y las zonas de disponibilidad de Azure
- Obtenga más información sobre Azure NAT Gateway
- Obtenga más información sobre Azure Load Balancer