Intégration d’Azure NAT Gateway

  • Article

La passerelle NAT d’Azure est un service complètement managé et hautement résilient, qui peut être associé à un ou plusieurs sous-réseaux et garantit que l’ensemble du trafic Internet sortant transite par la passerelle. Avec App Service, il existe deux scénarios importants dans lesquels vous pouvez utiliser la passerelle NAT.

La passerelle NAT vous donne une adresse IP publique prévisible statique pour le trafic Internet sortant. Cela augmente également considérablement les ports SNAT disponibles dans les scénarios où vous disposez d’un grand nombre de connexions simultanées à la même combinaison port/adresse publique.

Pour plus d’informations et connaître les prix, Accédez à la présentation d’Azure NAT Gateway.

Diagramme montrant le trafic Internet circulant vers une passerelle NAT dans un réseau virtuel Azure

Notes

  • L’utilisation d’une passerelle NAT avec App Service dépend de l’intégration au réseau virtuel. Par conséquent, une référence SKU prise en charge du plan App Service est nécessaire.
  • Quand vous utilisez une passerelle NAT avec App Service, l’ensemble du trafic à destination de Stockage Azure doit utiliser un point de terminaison privé ou un point de terminaison de service.
  • Une passerelle NAT ne peut pas être utilisée avec App Service Environment v1 ou v2.

Configuration de l’intégration de la passerelle NAT

Pour configurer l’intégration de la passerelle NAT avec App Service, vous devez effectuer les étapes suivantes :

  • Configurez l’intégration au réseau virtuel régional avec votre application, comme décrit dans Intégrer votre application à un réseau virtuel Azure.
  • Assurez-vous que l’option Tout acheminer est activée pour votre intégration au réseau virtuel afin que le trafic lié à Internet soit concerné par les itinéraires de votre réseau virtuel.
  • Approvisionnez une passerelle NAT avec une IP publique et associez-la au sous-réseau d’intégration au réseau virtuel.

Configurez Azure NAT Gateway via le portail :

  1. Accédez à l’interface utilisateur Mise en réseau dans le portail App Service et sélectionnez l’intégration au réseau virtuel dans la section Trafic sortant. Assurez-vous que votre application est intégrée à un sous-réseau et que l’option Tout acheminer a été activée. Capture d’écran de l’option Tout acheminer activée pour l’intégration du réseau virtuel.
  2. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource. La fenêtre Nouvelle apparaît.
  3. Recherchez « Passerelle NAT » et sélectionnez-la dans la liste des résultats.
  4. Renseignez les informations de base et sélectionnez la région où se trouve votre application. Capture d’écran de l’onglet De base dans Créer une passerelle NAT
  5. Sous l’onglet Adresse IP sortante, créez ou sélectionnez une adresse IP publique. Capture d’écran de l’onglet Adresse IP sortante dans Créer une passerelle NAT
  6. Sous l’onglet Sous-réseau, sélectionnez le sous-réseau utilisé pour l’intégration au réseau virtuel. Capture d’écran de l’onglet Sous-réseau dans Créer une passerelle NAT
  7. Renseignez les étiquettes si nécessaire et créez la passerelle NAT. Une fois la passerelle NAT provisionnée, cliquez sur Accéder au groupe de ressources et sélectionnez la nouvelle passerelle NAT. Vous pouvez voir l’adresse IP publique que votre application utilisera pour le trafic Internet sortant dans le panneau Adresse IP sortante. Capture d’écran du panneau Adresse IP sortante dans le portail de la passerelle NAT

Si vous préférez utiliser l’interface CLI pour configurer votre environnement, il s’agit des commandes importantes. Comme condition préalable, vous devez créer une application avec l’intégration au réseau virtuel configurée.

Assurez-vous que l’option Tout acheminer est configurée pour votre intégration au réseau virtuel :

az webapp config set --resource-group [myResourceGroup] --name [myWebApp] --vnet-route-all-enabled

Créez une IP publique et une passerelle NAT :

az network public-ip create --resource-group [myResourceGroup] --name myPublicIP --sku standard --allocation static

az network nat gateway create --resource-group [myResourceGroup] --name myNATgateway --public-ip-addresses myPublicIP --idle-timeout 10

Associez la passerelle NAT au sous-réseau de l’intégration au réseau virtuel :

az network vnet subnet update --resource-group [myResourceGroup] --vnet-name [myVnet] --name [myIntegrationSubnet] --nat-gateway myNATgateway

Mise à l’échelle d’une passerelle NAT

Une même passerelle NAT peut être utilisée sur plusieurs sous-réseaux d’un même réseau virtuel, ce qui permet d’utiliser une passerelle NAT sur plusieurs applications et plans App Service.

Azure NAT Gateway prend en charge les adresses IP publiques et les préfixes d’IP publique. Une passerelle NAT peut prendre en charge jusqu’à 16 adresses IP sur des adresses IP et des préfixes individuels. Chaque adresse IP alloue 64 512 ports (ports SNAT), ce qui permet d’avoir jusqu’à 1 million de ports disponibles. Apprenez-en davantage dans la section sur la mise à l’échelle d’Azure NAT Gateway.

Étapes suivantes

Pour plus d’informations sur Azure NAT Gateway, consultez la documentation Azure NAT Gateway.

Pour plus d’informations sur l’intégration au réseau virtuel, consultez la documentation relative à l’intégration au réseau virtuel.