Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La passerelle NAT Azure permet de contrôler la connectivité réseau sortante à partir de vos ressources hébergées dans un réseau virtuel Azure. Dans cet article, nous allons examiner comment la passerelle NAT peut atténuer l’épuisement des ports SNAT (Source Network Address Translation), ce qui peut affecter les applications mutualisées. Nous examinons également la façon dont la passerelle NAT affecte des adresses IP statiques au trafic sortant à partir de votre solution mutualisée.
Remarque
Les pare-feu, comme le Pare-feu Azure, vous permettent de contrôler et de journaliser votre trafic sortant. Le Pare-feu Azure offre également une mise à l’échelle des ports SNAT et un contrôle des adresses IP sortantes similaire à celui de la passerelle NAT. La passerelle NAT est moins coûteuse, mais elle a également moins de fonctionnalités et n’est pas un produit de sécurité.
Fonctionnalités de la passerelle NAT qui prennent en charge la multitenance
Ports SNAT à grande échelle
Les ports SNAT sont alloués lorsque votre application effectue plusieurs connexions sortantes simultanées vers la même adresse IP publique, sur le même port. Les ports SNAT sont une ressource finie dans les équilibreurs de charge. Si votre application ouvre un grand nombre de connexions distinctes au même hôte, elle peut consommer tous les ports SNAT disponibles. Cette situation est appelée épuisement des ports SNAT.
Dans la plupart des applications, l’épuisement des ports SNAT indique que votre application gère incorrectement les connexions HTTP ou les ports TCP. Toutefois, certaines applications mutualisées présentent un risque particulier de dépassement des limites de port SNAT, même si elles réutilisent les connexions de manière appropriée. Par exemple, cette situation peut se produire lorsque votre application se connecte à de nombreuses bases de données spécifiques au locataire derrière la même passerelle de base de données.
Conseil / Astuce
Si vous observez l’épuisement des ports SNAT dans une application mutualisée, vous devez d’abord vérifier si votre application suit les bonnes pratiques. Veillez à réutiliser les connexions HTTP et à ne pas recréer de nouvelles connexions chaque fois que vous vous connectez à un service externe. Vous pouvez peut-être déployer une passerelle NAT pour contourner le problème, mais si votre code ne suit pas les meilleures pratiques, vous pourriez rencontrer le problème à nouveau à l’avenir.
Le problème est aggravé lorsque vous travaillez avec des services Azure qui partagent des allocations de ports SNAT entre plusieurs clients, tels qu’Azure App Service et Azure Functions.
Si vous déterminez que vous rencontrez un épuisement SNAT et que votre code d’application gère correctement vos connexions sortantes, envisagez de déployer un NAT Gateway. Cette approche est couramment utilisée par les clients qui déploient des solutions mutualisées basées sur Azure App Service et Azure Functions.
Une passerelle NAT individuelle peut avoir plusieurs adresses IP publiques attachées, et chaque adresse IP publique fournit un ensemble de ports SNAT pour la connexion sortante à Internet. Pour comprendre le nombre maximal de ports et d’adresses IP SNAT qu’une passerelle NAT unique peut prendre en charge, consultez les limites, quotas et contraintes d’abonnement Azure. Si vous devez effectuer une mise à l’échelle au-delà de cette limite, vous pouvez envisager de déployer plusieurs instances de passerelle NAT sur plusieurs sous-réseaux ou réseaux virtuels. Chaque machine virtuelle d’un sous-réseau peut utiliser l’un des ports SNAT disponibles, s’il en a besoin.
Contrôle d’adresse IP sortante
Le contrôle d’adresse IP sortante peut être utile dans les applications mutualisées, lorsque vous avez toutes les exigences suivantes :
- Vous utilisez des services Azure qui ne fournissent pas automatiquement des adresses IP statiques dédiées pour le trafic sortant. Ces services incluent Azure App Service, Azure Functions, Gestion des API (lors de l’exécution dans le niveau consommation) et Azure Container Instances.
- Vous devez vous connecter aux réseaux de vos locataires via Internet.
- Vos locataires doivent filtrer le trafic entrant en fonction de l’adresse IP de chaque requête.
Lorsqu’une instance de passerelle NAT est appliquée à un sous-réseau, tout trafic sortant de ce sous-réseau utilise les adresses IP publiques associées à la passerelle NAT.
Remarque
Lorsque vous associez plusieurs adresses IP publiques à une seule passerelle NAT, votre trafic sortant peut provenir de l’une de ces adresses IP. Vous devrez peut-être configurer des règles de pare-feu à la destination. Vous devez autoriser chaque adresse IP ou utiliser une ressource de préfixe d’adresse IP publique pour utiliser un ensemble d’adresses IP publiques dans la même plage.
Modèles d’isolation
Si vous devez fournir différentes adresses IP publiques sortantes pour chaque locataire, vous devez déployer des ressources de passerelle NAT individuelles. Chaque sous-réseau peut être associé à une seule instance de passerelle NAT. Pour déployer davantage de passerelles NAT, vous devez déployer plusieurs sous-réseaux ou réseaux virtuels. À son tour, vous devez probablement déployer plusieurs ensembles de ressources de calcul.
Passez en revue les approches architecturales pour la mise en réseau dans les solutions mutualisées pour plus d’informations sur la conception d’une topologie de réseau mutualisée.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- John Downs | Ingénieur logiciel principal
Autres contributeurs :
- Aimee Littleton | Responsable Senior de Programme, Passerelle NAT Azure
- Arsen Vladimirskiy | Ingénieur client principal
- Joshua Waddell | Ingénieur client principal
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.