Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Passez en revue cet article pour vous familiariser avec les aspects liés à la conception de réseaux virtuels avec NAT Gateway.
Se connecter à Internet avec une passerelle NAT
NAT Gateway est recommandé pour toutes les charges de travail de production où vous devez vous connecter à un point de terminaison public via Internet. La connectivité sortante s’effectue immédiatement pendant le déploiement d’une passerelle NAT avec un sous-réseau et au moins une adresse IP publique. Aucune configuration de routage n’est nécessaire pour établir une connexion sortante à la passerelle NAT. La passerelle NAT devient la route par défaut du sous-réseau vers Internet.
En présence d’autres configurations sortantes au sein d’un réseau virtuel, par exemple un équilibreur de charge ou des IP publiques au niveau de l’instance, la passerelle NAT est prioritaire pour la connectivité sortante. Le nouveau trafic sortant et le trafic de retour utilisent la passerelle NAT. Il n’existe aucun temps d’arrêt pour la connectivité sortante après l’ajout d’une passerelle NAT à un sous-réseau avec des configurations sortantes existantes.
Mettre à l’échelle une passerelle NAT pour répondre à la demande d’une charge de travail dynamique
La mise à l’échelle de NAT Gateway est principalement une fonction de gestion de l’inventaire des ports SNAT partagés et disponibles.
Lorsque vous mettez votre charge de travail à l’échelle, vous devez partir du principe que chaque flux nécessite un nouveau port SNAT et mettre à l’échelle le nombre total d’adresses IP disponibles pour le trafic sortant. Réfléchissez soigneusement à la mise à l’échelle durant votre travail de conception, puis allouez les adresses IP de manière appropriée. NAT Gateway a besoin d’un inventaire de ports SNAT suffisant pour gérer les pics de flux sortants attendus de tous les sous-réseaux attachés à une passerelle NAT.
Au fur et à mesure que les ports SNAT s’épuisent, les flux de connexion peuvent échouer.
Mise à l'échelle - Éléments à prendre en compte
Chaque adresse IP publique de passerelle NAT fournit 64 512 ports SNAT pour réaliser des connexions sortantes. Une passerelle NAT peut monter en puissance jusqu’à plus de 1 million de ports SNAT.
SNAT mappe les adresses privées de votre sous-réseau à une ou plusieurs adresses IP publiques attachées à une passerelle NAT, en réécrivant l’adresse source et le port source au cours du processus. Quand plusieurs connexions sont établies au même point de terminaison de destination, un nouveau port SNAT est utilisé. Un nouveau port SNAT doit être utilisé pour distinguer les différents flux de connexions ayant la même destination.
Les flux de connexion ayant des points de terminaison de destination distincts peuvent réutiliser le même port SNAT en même temps. Les connexions de port SNAT ayant des destinations distinctes sont réutilisées dans la mesure du possible. Lorsque l’épuisement des ports SNAT approche, les flux peuvent échouer.
Pour obtenir un exemple de SNAT, consultez Exemples de flux SNAT pour NAT Gateway.
Se connecter à des services Azure avec Private Link
La connexion à partir de votre réseau virtuel Azure aux services PaaS Azure peut être effectuée directement sur le réseau principal Azure et contourner Internet. Lorsque vous contournez Internet pour vous connecter à d’autres services PaaS Azure, vous libèrez les ports SNAT et réduisez le risque d’épuisement de ces derniers. Private Link doit être utilisé si possible pour se connecter aux services PaaS Azure afin de libérer le stock de ports SNAT.
Private Link utilise les adresses IP privées de vos machines virtuelles ou d’autres ressources de calcul de votre réseau Azure pour établir une connexion privée directe et sécurisée aux services PaaS Azure sur le réseau principal Azure. Consultez la liste des services Azure disponibles pris en charge par Private Link.
Remarque
Microsoft recommande l’utilisation d’Azure Private Link pour un accès sécurisé et privé aux services hébergés dans Azure. Les points de terminaison de service peuvent également être utilisés pour se connecter directement aux services PaaS Azure via le réseau principal d’Azure.
Fournir une connectivité sortante et entrante pour votre réseau virtuel Azure
Une passerelle NAT, un équilibreur de charge et des IP publiques au niveau de l’instance prennent en compte la direction du flux, et peuvent coexister dans le même réseau virtuel pour fournir une connectivité sortante et entrante de manière transparente. Le trafic entrant via un équilibreur de charge ou des IP publiques au niveau de l’instance est traduit séparément du trafic sortant via la passerelle NAT.
Les instances privées utilisent la passerelle NAT pour le trafic sortant, et tout trafic de réponse au flux sortant. Les instances privées utilisent des IP publiques au niveau de l’instance ou un équilibreur de charge pour le trafic entrant, et tout trafic de réponse au flux entrant.
Les exemples suivants illustrent la coexistence d’un équilibreur de charge ou d’IP publiques au niveau de l’instance avec une passerelle NAT. Le trafic entrant traverse l’équilibreur de charge ou l’adresse IP publique. Le trafic sortant traverse la passerelle NAT.
Passerelle NAT et machine virtuelle avec une IP publique au niveau de l’instance
Figure : Passerelle NAT et machine virtuelle avec une IP publique au niveau de l’instance
| Ressource | Direction du flux de trafic | Méthode de connectivité utilisée |
|---|---|---|
| Machine virtuelle (sous-réseau 1) | Entrant sortant |
IP publique au niveau de l’instance Passerelle NAT |
| Groupe de machines virtuelles identiques (sous-réseau 1) | Entrant sortant |
NA Passerelle NAT |
| Machines virtuelles (sous-réseau 2) | Entrant sortant |
NA Passerelle NAT |
La machine virtuelle utilise la passerelle NAT pour le trafic sortant et le trafic de retour. Le trafic entrant transite par l’adresse IP publique au niveau de l’instance directement associée à la machine virtuelle dans le sous-réseau 1. Le groupe de machines virtuelles identiques du sous-réseau 1 et les machines virtuelles du sous-réseau 2 ne peuvent envoyer le trafic sortant et recevoir le trafic de réponse que via la passerelle NAT. Aucun trafic entrant ne peut être reçu.
Passerelle NAT et machine virtuelle avec un équilibreur de charge public standard
Figure : Passerelle NAT et machine virtuelle avec un équilibreur de charge public standard
| Ressource | Direction du flux de trafic | Méthode de connectivité utilisée |
|---|---|---|
| Machine virtuelle et groupe de machines virtuelles identiques (sous-réseau 1) | Entrant sortant |
Équilibreur de charge Passerelle NAT |
| Machines virtuelles (sous-réseau 2) | Entrant sortant |
NA Passerelle NAT |
NAT Gateway remplace toute configuration sortante provenant d’une règle d’équilibrage de charge, ou de règles de trafic sortant sur l’équilibreur de charge. Les instances de machine virtuelle du pool de back-ends utilisent la passerelle NAT pour envoyer le trafic sortant et recevoir le trafic de retour. Le trafic entrant transite par l’équilibreur de charge pour toutes les instances de machine virtuelle (sous-réseau 1) du pool de back-ends de l’équilibreur de charge. Les machines virtuelles du sous-réseau 2 ne peuvent recevoir le trafic de réponse que via la passerelle NAT. Aucun trafic entrant ne peut être reçu.
Passerelle NAT et machine virtuelle avec une IP publique au niveau de l’instance et un équilibreur de charge public standard
Figure : Service NAT Gateway et machine virtuelle avec une IP publique au niveau de l’instance et un équilibreur de charge public standard
| Ressource | Direction du flux de trafic | Méthode de connectivité utilisée |
|---|---|---|
| Machine virtuelle (sous-réseau 1) | Entrant sortant |
IP publique au niveau de l’instance Passerelle NAT |
| Groupe de machines virtuelles identiques (sous-réseau 1) | Entrant sortant |
Équilibreur de charge Passerelle NAT |
| Machines virtuelles (sous-réseau 2) | Entrant sortant |
NA Passerelle NAT |
La passerelle NAT prend le pas sur toute configuration sortante provenant d’une règle d’équilibrage de charge, ou de règles de trafic sortant sur un équilibreur de charge ainsi que sur les IP publiques au niveau de l’instance sur une machine virtuelle. Toutes les machines virtuelles des sous-réseaux 1 et 2 utilisent la passerelle NAT exclusivement pour le trafic sortant et le trafic de retour. Les IP publiques au niveau de l’instance sont prioritaires sur l’équilibreur de charge. La machine virtuelle du sous-réseau 1 utilise l’IP publique au niveau de l’instance pour le trafic entrant. Les VMSS n’ont pas d’adresses IP publiques au niveau de l’instance.
Comment utiliser des adresses IP publiques étiquetées par le service avec la passerelle NAT
Les étiquettes de service représentent un groupe d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité de la gestion des règles de sécurité réseau.
Les adresses IP publiques étiquetées par le service peuvent être utilisées avec la passerelle NAT pour fournir une connectivité sortante à Internet. Pour ajouter une adresse IP publique étiquetée par le service à une passerelle NAT, vous pouvez l’attacher à l’aide de n’importe quel client disponible dans Azure, comme le portail, l’interface CLI ou Powershell. Consultez Comment ajouter et supprimer des adresses IP publiques pour la passerelle NAT pour obtenir des instructions détaillées.
Remarque
Les adresses IP publiques avec une préférence de routage « Internet » ne sont pas prises en charge par la passerelle NAT. Seules les adresses IP publiques qui passent par le réseau global Microsoft sont prises en charge par la passerelle NAT.
Monitorer le trafic réseau sortant avec les journaux de flux de réseau virtuel
Les journaux de flux de réseau virtuel (VNet) sont une fonctionnalité d’Azure Network Watcher qui journalisent des informations sur le trafic IP circulant dans un réseau virtuel. Pour monitorer le trafic sortant provenant de la machine virtuelle derrière votre passerelle NAT, activez les journaux de flux de réseau virtuel.
Pour découvrir des guides sur la façon d’activer des journaux de flux de réseau virtuel, consultez Gérer des journaux de flux de réseau virtuel.
Nous vous recommandons d’accéder aux données du journal sur des espaces de travail Log Analytics où vous pouvez également interroger et filtrer les données pour le trafic sortant. Pour découvrir plus d’informations sur l’utilisation de Log Analytics, consultez le Tutoriel de Log Analytics.
Pour découvrir plus d’informations sur le schéma du journal de flux de réseau virtuel, consultez Schéma et agrégation de données de Traffic Analytics.
Remarque
Les journaux de flux de réseau virtuel affichent uniquement les IP privées de vos instances de machine virtuelle qui effectuent une connexion sortante vers Internet. Les journaux de flux de réseau virtuel ne vous montrent pas l’IP publique de passerelle NAT à laquelle l’IP privée de la machine virtuelle a appliqué un SNAT (traduction d’adresse réseau source) avant la connexion sortante.
Limites
- NAT Gateway n’est pas pris en charge dans une configuration de hub vWAN.