Az Azure NAT Gateway szempontjai a több-bérlős használathoz
Az Azure NAT Gateway szabályozza az Azure-beli virtuális hálózaton belül üzemeltetett erőforrások kimenő hálózati kapcsolatait. Ebben a cikkben áttekintjük, hogyan csökkentheti a NAT Gateway a forráshálózati címfordítás (SNAT) portjának kimerülését, ami hatással lehet a több-bérlős alkalmazásokra. Azt is áttekintjük, hogy a NAT Gateway hogyan rendel statikus IP-címeket a több-bérlős megoldás kimenő forgalmához.
Feljegyzés
A tűzfalak, például az Azure Firewall lehetővé teszik a kimenő forgalom szabályozását és naplózását. Az Azure Firewall hasonló SNAT-portméretet és kimenő IP-címvezérlést is biztosít a NAT Gatewayhez. A NAT Gateway kevésbé költséges, de kevesebb funkcióval is rendelkezik, és nem biztonsági termék.
A TÖBB-bérlőt támogató NAT Gateway funkciói
Nagy méretű SNAT-portok
Az SNAT-portok akkor lesznek lefoglalva, ha az alkalmazás több egyidejű kimenő kapcsolatot létesít ugyanahhoz a nyilvános IP-címhez ugyanazon a porton. Az SNAT-portok véges erőforrások a terheléselosztókban. Ha az alkalmazás nagy számú különálló kapcsolatot nyit meg ugyanahhoz a gazdagéphez, az összes rendelkezésre álló SNAT-portot felhasználhatja. Ezt a helyzetet SNAT-portkimerülésnek nevezzük.
A legtöbb alkalmazásban az SNAT-portok kimerülése azt jelzi, hogy az alkalmazás helytelenül kezeli a HTTP-kapcsolatokat vagy a TCP-portokat. Egyes több-bérlős alkalmazások esetében azonban különösen fennáll annak a kockázata, hogy túllépik az SNAT-portkorlátokat, még akkor is, ha megfelelően használják újra a kapcsolatokat. Ez a helyzet például akkor fordulhat elő, ha az alkalmazás több bérlőspecifikus adatbázishoz csatlakozik ugyanazon adatbázis-átjáró mögött.
Tipp.
Ha több-bérlős alkalmazásban észlelI az SNAT-portok kimerülését, ellenőrizze, hogy az alkalmazás betartja-e a bevált eljárásokat. Győződjön meg arról, hogy újra használja a HTTP-kapcsolatokat, és ne hozza létre újra az új kapcsolatokat minden alkalommal, amikor külső szolgáltatáshoz csatlakozik. Előfordulhat, hogy egy NAT-átjárót is üzembe helyezhet a probléma megoldásához, de ha a kód nem követi az ajánlott eljárásokat, a jövőben újra találkozhat a problémával.
A problémát tovább súlyosbítja, ha olyan Azure-szolgáltatásokkal dolgozik, amelyek több ügyfél, például Azure-alkalmazás Szolgáltatás és Azure Functions közötti SNAT-portfoglalásokat osztanak meg.
Ha úgy ítéli meg, hogy SNAT-kimerültséget tapasztal, és biztos benne, hogy az alkalmazáskód megfelelően kezeli a kimenő kapcsolatokat, fontolja meg a NAT Gateway üzembe helyezését. Ezt a megközelítést gyakran használják azok az ügyfelek, akik Azure-alkalmazás Szolgáltatásra és Azure Functionsre épülő több-bérlős megoldásokat helyeznek üzembe.
Az egyes NAT-átjárókhoz több nyilvános IP-cím is csatolható, és minden nyilvános IP-cím SNAT-portok készletét biztosítja a kimenő internethez való csatlakozáshoz. Az egyetlen NAT-átjáró által támogatott SNAT-portok és IP-címek maximális számának megismeréséhez tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait. Ha ennél a korlátnál nagyobb skálázásra van szüksége, érdemes lehet több NAT Gateway-példányt üzembe helyezni több alhálózaton vagy virtuális hálózaton. Az alhálózat minden virtuális gépe használhatja a rendelkezésre álló SNAT-portokat, ha szüksége van rájuk.
Kimenő IP-cím vezérlőelem
A kimenő IP-cím vezérlőelem több-bérlős alkalmazásokban hasznos lehet, ha az alábbi követelmények mindegyikével rendelkezik:
- Olyan Azure-szolgáltatásokat használ, amelyek nem adnak automatikusan dedikált statikus IP-címeket a kimenő forgalomhoz. Ezek a szolgáltatások közé tartozik a Azure-alkalmazás Szolgáltatás, az Azure Functions, az API Management (ha a használati szinten fut) és az Azure Container Instances.
- Az interneten keresztül kell csatlakoznia a bérlői hálózatokhoz.
- A bérlőknek az egyes kérések IP-címe alapján kell szűrni a bejövő forgalmat.
Ha egy NAT Gateway-példányt alkalmaz egy alhálózatra, az alhálózatból érkező kimenő forgalom a NAT-átjáróhoz társított nyilvános IP-címeket használja.
Feljegyzés
Ha több nyilvános IP-címet társít egyetlen NAT-átjáróhoz, a kimenő forgalom bármelyik IP-címről származhat. Előfordulhat, hogy tűzfalszabályokat kell konfigurálnia a célhelyen. Engedélyezze az egyes IP-címeket, vagy használjon egy nyilvános IP-címelőtag-erőforrást , hogy azonos tartományban lévő nyilvános IP-címeket használjon.
Elkülönítési modellek
Ha minden bérlőhöz különböző kimenő nyilvános IP-címeket kell megadnia, akkor egyéni NAT Gateway-erőforrásokat kell üzembe helyeznie. Minden alhálózat társítható egyetlen NAT Gateway-példányhoz. Több NAT-átjáró üzembe helyezéséhez több alhálózatot vagy virtuális hálózatot kell üzembe helyeznie. Ez azt eredményezi, hogy valószínűleg több számítási erőforráskészletet kell üzembe helyeznie.
A több-bérlős hálózati topológia tervezésével kapcsolatos további információkért tekintse át a több-bérlős megoldások hálózatkezelési megközelítéseit.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- John Downs | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
Egyéb közreműködők:
- Aimee Littleton | Program Manager 2, Azure NAT Gateway
- Arsen Vladimirskiy | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
- Joshua Waddell | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.
Következő lépések
- További információ a NAT Gatewayről.
- Megtudhatja, hogyan használhatja a NAT Gatewayt a Azure-alkalmazás Szolgáltatással és az Azure Functions szolgáltatással.
- Tekintse át a több-bérlős megoldások hálózatkezelésének architekturális megközelítéseit.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: