Uso de una puerta de enlace NAT en un clúster administrado de Service Fabric

2024-10-15

Los clústeres administrados de Service Fabric tienen direcciones IP externas que permiten a los clientes externos acceder a los recursos del clúster. Sin embargo, en algunos escenarios, puede ser preferible proporcionar acceso a Internet a estos recursos sin exponerlos directamente a Internet. Las puertas de enlace NAT permiten esta función.

Si el clúster tiene recursos que necesitan recibir tráfico entrante de Internet, pero también tiene recursos privados que deben protegerse, una puerta de enlace NAT puede ayudar. Además, si tiene aplicaciones que necesitan establecer conexiones fuera del clúster para acceder a secretos, almacenamiento y otros recursos privados, una puerta de enlace NAT puede ayudar.

Estas son algunas de las ventajas de usar una puerta de enlace NAT para el clúster administrado:

Seguridad mejorada: Azure NAT Gateway se basa en el modelo de seguridad de red de confianza cero y es seguro de forma predeterminada. Con la puerta de enlace NAT, las instancias privadas de una subred no necesitan direcciones IP públicas para acceder a Internet. Los recursos privados pueden conectarse a orígenes externos fuera de la red virtual mediante la traducción de direcciones de red de origen (SNAT) a las direcciones IP públicas estáticas o prefijos de la puerta de enlace NAT. Puede proporcionar un conjunto contiguo de direcciones IP para la conectividad saliente mediante un prefijo de IP pública y puede configurar reglas de firewall de destino basadas en esta lista de direcciones IP predecibles.
Resistencia: Azure NAT Gateway es un servicio totalmente administrado y distribuido. No depende de instancias de proceso individuales, como máquinas virtuales o un solo dispositivo de puerta de enlace físico. Una puerta de enlace NAT siempre tiene varios dominios de error y puede soportar varios errores sin que se interrumpa el servicio. Las redes definidas por software hacen que una puerta de enlace NAT sea altamente resistente.
Arquitectura de red simplificada: las puertas de enlace NAT permiten simplificar la arquitectura de red eliminando la necesidad de un host bastión o una conexión VPN para acceder a instancias de subredes privadas.
Rendimiento: Azure NAT Gateway tiene un rendimiento eficaz y es estable.

En el diagrama siguiente, se muestra un clúster con un tipo de nodo principal y otro secundario en el que cada tipo de nodo tiene su propia subred. El tipo de nodo secundario se ubica detrás de una puerta de enlace NAT y todo su tráfico saliente se enruta a través de la puerta de enlace. Cuando el tráfico se origina desde el tipo de nodo secundario, la dirección IP pública es la de la puerta de enlace NAT. Dado que todas las solicitudes salientes se enrutan a través de la puerta de enlace NAT, puede implementar reglas de NSG adicionales, que mejoran la seguridad e impiden que los servicios externos descubran servicios internos.

Diagrama en el que se muestra un clúster que usa una puerta de enlace NAT para controlar el tráfico saliente.

Los siguientes escenarios son casos de uso admitidos para las puertas de enlace NAT en clústeres administrados de Service Fabric:

Los clientes pueden adjuntar una puerta de enlace NAT a cualquier tipo de nodo y configuración de subred en la sección Traer su propia red virtual del artículo Configuración de los valores de red de un clúster administrado.
Los clientes pueden adjuntar una puerta de enlace NAT a tipos de nodo secundarios mediante una subred dedicada, tal y como se describe en la sección Traer su propia instancia de Azure Load Balancer del artículo Configuración de los valores de red de un clúster administrado. Al agregar su propio equilibrador de carga y puerta de enlace NAT, obtendrá un mayor control sobre el tráfico de red.

Requisitos previos

Para el escenario, asegúrese de seguir los pasos necesarios para configurar correctamente la red del clúster administrado.

Traer su propia red virtual con la puerta de enlace NAT

En los pasos siguientes, se describe cómo adjuntar una puerta de enlace NAT a las subredes de red virtual.

Siga los pasos del inicio rápido de Azure NAT Gateway para crear una puerta de enlace NAT.
Proporcione el permiso del proveedor de recursos de Service Fabric para modificar la configuración de la puerta de enlace NAT mediante la asignación de roles. Siga los dos primeros pasos de la sección Traer su propia red virtual del artículo Configuración de los valores de red de un clúster administrado, insertando la información de la puerta de enlace NAT en los parámetros de subred.
Ahora, ya está listo para adjuntar la puerta de enlace NAT a la subred de la red virtual. Puede usar una plantilla de ARM, la CLI de Azure, Azure PowerShell o Azure Portal.

Plantilla ARM

Modifique e implemente la siguiente plantilla de ARM para introducir la puerta de enlace NAT en las propiedades de la subred:

{ 
    "apiVersion": "[variables('networkApiVersion')]", 
    "type": "Microsoft.Network/virtualNetworks", 
    "name": "[parameters('vnetName')]", 
    "location": "[resourcegroup().location]", 
    "dependsOn": [ 
      "[parameters('natGatewayId'))]" 
    ], 
    "properties": { 
        "subnets": [ 
          { 
            "name": "[parameters('subnetName')]", 
            "properties": { 
              "addressPrefix": "[parameters('subnetAddressPrefix')]", 
              "natGateway": { 
                "id": "[parameters('natGatewayId'))]" 
              } 
            } 
          } 
        ] 
    } 
}

Azure CLI

Modifique y ejecute el siguiente comando de la CLI de Azure con su información:

az network vnet subnet update --resource-group myResourceGroup --vnet-name mvVNet --name mySubnet --nat-gateway myNATGateway

Azure PowerShell

Coloque la red virtual en una variable.

$net = @{
  Name = `myVNet`
  ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

Coloque la puerta de enlace NAT en una variable.

$nat = @{
  Name = 'myNATgateway'  
  ResourceGroupName = 'myResourceGroup'
} 
$natGateway = Get-AzNatGateway @nat

Establezca la configuración de subred.

$subnet = @{  
  Name = 'mySubnet' 
  VirtualNetwork = $vnet 
  NatGateway = $natGateway 
  AddressPrefix = '10.0.2.0/24'  
} 
Set-AzVirtualNetworkSubnetConfig @subnet

Guarde la configuración en la red virtual.
```
$vnet | Set-AzVirtualNetwork
```

Azure portal

En Azure Portal, vaya al recurso de red virtual.
En Configuración, seleccione Subredes.
Seleccione la subred que desea adjuntar a la puerta de enlace NAT.
Abra la lista desplegable Puerta de enlace NAT y seleccione la puerta de enlace NAT.
Haga clic en Save(Guardar).

Traer su propio equilibrador de carga con Azure NAT Gateway

En los pasos siguientes, se describe cómo adjuntar una puerta de enlace NAT a las subredes de red virtual.

Nota:

Este escenario solo se admite con una plantilla de ARM.

Siga los pasos del inicio rápido de Azure NAT Gateway para crear una puerta de enlace NAT.
Proporcione el permiso del proveedor de recursos de Service Fabric para modificar la configuración de la puerta de enlace NAT mediante la asignación de roles. Siga los dos primeros pasos de la sección Traer su propia red virtual del artículo Configuración de los valores de red de un clúster administrado, insertando la información de la puerta de enlace NAT en los parámetros de subred.
Agregue la siguiente propiedad a la implementación para adjuntar la puerta de enlace NAT a la subred dedicada:

{ 
    "apiVersion": "2023-03-01-preview", 
    "type": "Microsoft.ServiceFabric/managedclusters/nodetypes", 
    "name": "[concat(parameters('clusterName'), '/', parameters('nodeTypeName'))]", 
    "location": "[parameters('clusterLocation')]", 
    "properties": { 
   ... 
        "isPrimary": false, 
        "natGatewayId": "[variables('natID')]", 
        "frontendConfigurations": [...], 
   ... 
}

Pasos siguientes

Revise los escenarios de red del clúster administrado de Service Fabric que se describen en este artículo.
Revise Opciones de configuración del clúster administrado de Service Fabric.