Partager via

Migrer des règles NAT de trafic entrant version 1 vers la version 2

  • Article

Une règle NAT de trafic entrant est utilisée pour transférer le trafic d’un équilibreur de charge front-end vers une ou plusieurs instances du pool back-end. Ces règles fournissent un mappage 1:1 entre l’adresse IP frontale de l’équilibreur de charge et les instances de back-end. Il existe actuellement deux versions des règles NAT de trafic entrant, version 1 et version 2.

Important

Le 30 septembre 2027, les règles NAT de trafic entrant v1 seront supprimées. Si vous utilisez actuellement des règles NAT de trafic entrant v1, veillez à effectuer une mise à niveau vers des règles NAT de trafic entrant v2 avant la date de mise hors service.

Règle NAT version 1

Version 1 est l’approche héritée pour l’attribution d’un port front-end Azure Load Balancer à chaque instance principale. Les règles sont appliquées à la carte d’interface réseau (NIC) de l’instance principale. Pour les instances Azure Virtual Machine Scale Sets (VMSS), les règles NAT de trafic entrant sont automatiquement créées/supprimées, car de nouvelles instances sont mises à l’échelle up/down. Pour les instances VMSS, utilisez la propriété Inbound NAT Pool pour gérer les règles NAT de trafic entrant version 1.

Règle NAT version 2

Version 2 des règles NAT de trafic entrant fournissent le même jeu de fonctionnalités que la version 1, avec des avantages supplémentaires.

  • Expérience de déploiement simplifiée et mises à jour optimisées.
    • Les règles NAT de trafic entrant ciblent désormais le pool principal de l’équilibreur de charge et ne nécessitent plus de référence sur la carte réseau de la machine virtuelle. Auparavant, sur la version 1, l’équilibreur de charge et la carte réseau de la machine virtuelle devaient être mis à jour chaque fois que la règle NAT de trafic entrant a été modifiée. La version 2 nécessite uniquement un seul appel sur la configuration de l’équilibreur de charge, ce qui entraîne des mises à jour optimisées.
  • Récupérez facilement le mappage de port entre les règles NAT de trafic entrant et les instances principales.
    • Avec l’offre héritée, pour récupérer le mappage de port entre une règle NAT de trafic entrant et une instance de machine virtuelle, la règle doit être corrélée avec la carte réseau de la machine virtuelle. La version 2 injecte le mappage de port entre la règle et l’instance back-end directement dans la configuration de l’équilibreur de charge.

Comment savoir si j’utilise la version 1 des règles NAT de trafic entrant ?

Le moyen le plus simple d’identifier si vos déploiements utilisent la version 1 de la fonctionnalité consiste à inspecter la configuration de l’équilibreur de charge. Si la InboundNATPoolpropriété ou la propriété backendIPConfiguration dans la configuration InboundNATRule est remplie, le déploiement est la version 1 des règles NAT de trafic entrant.

Comment passer de la version 1 à la version 2 ?

Avant de migrer, il est important de passer en revue les informations suivantes :

  • La migration vers la version 2 des règles NAT de trafic entrant entraîne un temps d’arrêt vers le trafic actif qui transite par les règles NAT. Le trafic transitant par règles d’équilibreur de charge ou règles sortantes ne sont pas affectés pendant le processus de migration.
  • Planifiez le nombre maximal d’instances dans un pool principal. Étant donné que la version 2 cible le pool principal de l’équilibreur de charge, un nombre suffisant de ports doit être alloué pour le serveur frontal de la règle NAT.
  • Chaque instance principale est exposée sur le port configuré dans la nouvelle règle NAT.
  • Plusieurs règles NAT ne peuvent pas exister s’ils ont une plage de ports qui se chevauche ou ont le même port principal.
  • Les règles NAT et les règles d’équilibrage de charge ne peuvent pas partager le même port principal.

Migration manuelle

Les trois étapes suivantes doivent être effectuées pour migrer vers la version 2 des règles NAT de trafic entrant

  1. Supprimez la version 1 des règles NAT de trafic entrant sur la configuration de l’équilibreur de charge.
  2. Supprimez la référence à la règle NAT sur la machine virtuelle ou la configuration du groupe de machines virtuelles identiques.
    1. Toutes les instances des jeux d’échelle des machines virtuelles doivent être mises à jour.
  3. Déployez la version 2 des règles NAT de trafic entrant.

Machine virtuelle

Les étapes suivantes permettent de migrer de la version 1 vers la version 2 des règles NAT de trafic entrant pour une machine virtuelle.


az network lb inbound-nat-rule delete -g MyResourceGroup --lb-name MyLoadBalancer --name NATruleV1

az network nic ip-config inbound-nat-rule remove -g MyResourceGroup --nic-name MyNic -n MyIpConfig --inbound-nat-rule MyNatRule 

az network lb inbound-nat-rule create -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatRule --protocol Tcp --frontend-port-range-start 201 --frontend-port-range-end 500 --backend-port 22 --backend-address-pool MybackendPool

Groupe de machines virtuelles identiques

Les étapes suivantes permettent de migrer de la version 1 vers la version 2 des règles NAT de trafic entrant pour un groupe de machines virtuelles identiques. Il suppose que le mode de mise à niveau du groupe de machines virtuelles identiques est défini sur Manuel. Pour plus d’informations, consultez Modes d’orchestration pour les groupes de machines virtuelles identiques dans Azure


az network lb inbound-nat-pool delete  -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatPool  

az vmss update -g MyResourceGroup -n MyVMScaleSet --remove virtualMachineProfile.networkProfile.networkInterfaceConfigurations[0].ipConfigurations[0].loadBalancerInboundNatPools  

az vmss update-instances --instance-ids '*' --resource-group MyResourceGroup --name MyVMScaleSet 

az network lb inbound-nat-rule create -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatRule --protocol Tcp --frontend-port-range-start 201 --frontend-port-range-end 500 --backend-port 22 --backend-address-pool MybackendPool

Migration avec un script Automation pour un groupe de machines virtuelles identiques

Le processus de migration réutilisera les pools principaux existants avec l’appartenance correspondant aux pools NAT à migrer ; si aucun pool principal correspondant n’est trouvé, le script s’arrête (sans apporter de modifications). Vous pouvez également utiliser le paramètre -backendPoolReuseStrategy pour créer toujours de nouveaux pools back-end (NoReuse) ou créer un pool principal si un pool correspondant n’existe pas (OptionalFirstMatch). Les pools principaux et les associations de règles NAT peuvent être mis à jour après la migration pour correspondre à vos préférences.

Prérequis

Avant de commencer le processus de migration, vérifiez que les conditions préalables suivantes sont remplies :

Installez le module AzureLoadBalancerNATPoolMigration

Avec la commande suivante, installez le AzureLoadBalancerNATPoolMigrationmodule à partir de la PowerShell Gallery :

# Install the AzureLoadBalancerNATPoolMigration module

Install-Module -Name AzureLoadBalancerNATPoolMigration -Scope CurrentUser -Repository PSGallery -Force

Mettre à niveau les pools NAT vers des règles NAT

Une fois le module azureLoadBalancerNATPoolMigration installé, mettez à niveau vos pools NAT vers des règles NAT en procédant comme suit :

  1. Connectez-vous à Azure avec Connect-AzAccount.

  2. Collectez les noms de l’équilibreur de charge cible pour la mise à niveau des règles NAT et le nom de son groupe de ressources.

  3. Exécutez la commande de migration avec vos noms de ressources en remplaçant les espaces réservés de <loadBalancerResourceGroupName> et <loadBalancerName> :

    # Run the migration command 

Start-AzNATPoolMigration -ResourceGroupName <loadBalancerResourceGroupName> -LoadBalancerName <loadBalancerName>

Étapes suivantes