Mettre à l’échelle les ports SNAT avec Azure NAT Gateway
Article
Le Pare-feu Azure fournit 2 496 ports SNAT par adresse IP publique configurée par instance de groupe de machines virtuelles identiques back-end (au moins deux instances) et vous pouvez associer jusqu’à 250 adresses IP publiques. Selon votre architecture et vos modèles de trafic, vous pouvez avoir besoin de plus de 1 248 000 ports SNAT disponibles avec cette configuration. Par exemple, lorsque vous les utilisez pour protéger des déploiements d’Azure Virtual Desktop volumineux qui s’intègrent à Microsoft 365 Apps.
L’une des difficultés liés à l’utilisation d’un grand nombre d’IP publiques correspond au cas où il existe des exigences de filtrage des adresses IP en aval. Lorsque Pare-feu Azure est associé à plusieurs adresses IP publiques, vous devez appliquer les exigences de filtrage sur toutes les adresses IP publiques associées. Même si vous utilisez des préfixes d’IP publiques et que vous devez associer 250 IP publiques pour répondre à vos exigences en matière de ports SNAT sortants, vous devez toujours créer et autoriser 16 préfixes d’IP publiques.
Une meilleure option pour mettre à l’échelle et allouer de manière dynamique des ports SNAT sortants consiste à utiliser Azure NAT Gateway. Elle fournit 64 512 ports SNAT par adresse IP publique et prend en charge un maximum de 16 adresses IP publiques. Cela fournit effectivement jusqu’à 1 032 192 ports SNAT sortants. Azure NAT Gateway alloue également de manière dynamique des ports SNAT au niveau du sous-réseau. Tous les ports SNAT fournis par ses adresses IP associées sont ainsi disponibles à la demande pour fournir une connectivité sortante.
Lorsqu’une ressource de passerelle NAT est associée à un sous-réseau de Pare-feu Azure, tout le trafic Internet sortant utilise automatiquement l’IP publique de la passerelle NAT. Il n’est pas nécessaire de configurer des routes définies par l’utilisateur. Réponse du trafic à un flux sortant passant également à travers une passerelle NAT. Si plusieurs adresses IP sont associées à la passerelle NAT, l’adresse IP est sélectionnée de manière aléatoire. Il n’est pas possible de spécifier l’adresse à utiliser.
Il n’existe pas de double NAT avec cette architecture. Les instances de Pare-feu Azure envoient le trafic à la passerelle NAT à l’aide de leur adresse IP privée plutôt que de l’IP publique de Pare-feu Azure.
Note
Le déploiement d’une NAT Gateway avec un pare-feu redondant interzone n’est pas recommandé d’option de déploiement, car une seule instance de NAT Gateway ne prend pas en charge le déploiement redondant zonal pour le moment.
En outre, l’intégration de NAT Gateway Azure n’est actuellement pas prise en charge dans les architectures de réseau virtuel sécurisé (vWAN). Vous devez procéder au déploiement en utilisant l’architecture d’un réseau virtuel hub. Pour obtenir des instructions détaillées sur l’intégration de NAT Gateway avec Pare-feu Azure dans une architecture de réseau en étoile, consultez le tutoriel sur l’intégration de NAT Gateway et du Pare-feu Azure. Pour plus d’informations sur les options d’architecture du Pare-feu Azure, consultez Quelles sont les options d’architecture d’Azure Firewall Manager ?
Associer une passerelle NAT à un sous-réseau de Pare-feu Azure - Azure PowerShell
L’exemple suivant crée et attache une passerelle NAT à un sous-réseau de Pare-feu Azure en utilisant Azure PowerShell.
Azure PowerShell
# Create public IP addressesNew-AzPublicIpAddress -Namepublic-ip-1 -ResourceGroupNamenat-rg -Sku Standard -AllocationMethod Static -Location'South Central US'New-AzPublicIpAddress -Namepublic-ip-2 -ResourceGroupNamenat-rg -Sku Standard -AllocationMethod Static -Location'South Central US'# Create NAT gateway$PublicIPAddress1 = Get-AzPublicIpAddress -Namepublic-ip-1 -ResourceGroupNamenat-rg$PublicIPAddress2 = Get-AzPublicIpAddress -Namepublic-ip-2 -ResourceGroupNamenat-rgNew-AzNatGateway -Namefirewall-nat -ResourceGroupNamenat-rg -PublicIpAddress$PublicIPAddress1,$PublicIPAddress2 -Location'South Central US' -Sku Standard
# Associate NAT gateway to subnet$virtualNetwork = Get-AzVirtualNetwork -Namenat-vnet -ResourceGroupNamenat-rg$natGateway = Get-AzNatGateway -Namefirewall-nat -ResourceGroupNamenat-rg$firewallSubnet = $virtualNetwork.subnets | Where-Object -Property Name -eq AzureFirewallSubnet
$firewallSubnet.NatGateway = $natGateway$virtualNetwork | Set-AzVirtualNetwork
Associer une passerelle NAT à un sous-réseau de Pare-feu Azure - Azure CLI
L’exemple suivant crée et attache une passerelle NAT à un sous-réseau de Pare-feu Azure en utilisant Azure CLI.
Azure CLI
# Create public IP addressesaz network public-ip create --name public-ip-1--resource-group nat-rg--sku standard
az network public-ip create --name public-ip-2--resource-group nat-rg--sku standard
# Create NAT gatewayaz network nat gateway create --name firewall-nat--resource-group nat-rg--public-ip-addresses public-ip-1 public-ip-2# Associate NAT gateway to subnetaz network vnet subnet update --name AzureFirewallSubnet --vnet-name nat-vnet--resource-group nat-rg--nat-gateway firewall-nat
Déterminez si Microsoft Azure NAT Gateway est approprié pour résoudre des problèmes comme les dépassements de délai d’expiration des connexions et les retards de connexion à Internet.
Faites la démonstration de la conception, de l’implémentation et de la maintenance de l’infrastructure de mise en réseau, du trafic d’équilibrage de charge, du routage réseau Azure et bien plus encore.
Vue d’ensemble des fonctionnalités, des ressources, de l’architecture et de l’implémentation du service Azure NAT Gateway. Découvrez ce qu’est la passerelle NAT et comment l’utiliser.