Az Azure NAT Gateway több-bérlős használata esetén megfontolandó szempontok
Az Azure NAT Gateway szabályozza az Azure-beli virtuális hálózaton belül üzemeltetett erőforrások kimenő hálózati kapcsolatait. Ebben a cikkben azt tekintjük át, hogyan enyhítheti a NAT Gateway a forráshálózati címfordítás (SNAT) portfogyását, ami hatással lehet a több-bérlős alkalmazásokra. Azt is áttekintjük, hogy a NAT Gateway hogyan rendel statikus IP-címeket a több-bérlős megoldás kimenő forgalmához.
Megjegyzés
A tűzfalak, például a Azure Firewall lehetővé teszik a kimenő forgalom szabályozását és naplózását. Azure Firewall hasonló SNAT-portméretezést és kimenő IP-címvezérlést biztosít a NAT Gatewayhez. A NAT Gateway kevésbé költséges, de kevesebb funkcióval is rendelkezik, és nem biztonsági termék.
A NAT Gateway több-bérlős funkciói
Nagy léptékű SNAT-portok
Az SNAT-portok akkor lesznek lefoglalva, ha az alkalmazás több egyidejű kimenő kapcsolatot hoz létre ugyanahhoz a nyilvános IP-címhez ugyanazon a porton. Az SNAT-portok véges erőforrások a terheléselosztókban. Ha az alkalmazás nagy számú különálló kapcsolatot nyit meg ugyanahhoz a gazdagéphez, az az összes rendelkezésre álló SNAT-portot felhasználhatja. Ezt a helyzetet SNAT-portfogyásnak nevezzük.
A legtöbb alkalmazásban az SNAT-portok elfogyása azt jelzi, hogy az alkalmazás helytelenül kezeli a HTTP-kapcsolatokat vagy a TCP-portokat. Egyes több-bérlős alkalmazások esetében azonban különösen fennáll annak a kockázata, hogy túllépik az SNAT-port korlátait, még akkor is, ha megfelelően használják újra a kapcsolatokat. Ez a helyzet például akkor fordulhat elő, ha az alkalmazás több bérlőspecifikus adatbázishoz csatlakozik ugyanazon adatbázis-átjáró mögött.
Tipp
Ha több-bérlős alkalmazásokban észlelI az SNAT-portok elfogyását, ellenőrizze, hogy az alkalmazás követi-e a bevált eljárásokat. Győződjön meg arról, hogy újra felhasználja a HTTP-kapcsolatokat, és nem hozza létre újra az új kapcsolatokat minden alkalommal, amikor külső szolgáltatáshoz csatlakozik. Előfordulhat, hogy üzembe helyezhet egy NAT Gatewayt, hogy megkerülje a problémát, de ha a kód nem követi az ajánlott eljárásokat, a jövőben újra találkozhat a problémával.
A problémát súlyosbítja, ha olyan Azure-szolgáltatásokkal dolgozik, amelyek több ügyfél között osztanak meg SNAT-portfoglalásokat, például Azure App Service és Azure Functions.
Ha azt állapítja meg, hogy SNAT-kimerülést tapasztal, és biztos abban, hogy az alkalmazáskód megfelelően kezeli a kimenő kapcsolatokat, fontolja meg a NAT Gateway üzembe helyezését. Ezt a megközelítést gyakran használják azok az ügyfelek, akik több-bérlős megoldásokat helyeznek üzembe, amelyek Azure App Service és Azure Functions épülnek.
A NAT Gatewayhez csatolt minden nyilvános IP-cím 64 512 SNAT-portot biztosít a kimenő internethez való csatlakozáshoz. A NAT Gateway skálázható akár 16 nyilvános IP-cím használatára is, amely több mint 1 millió SNAT-portot biztosít. Ha ennél a korlátnál nagyobb méretre van szüksége, érdemes lehet több NAT Gateway-példányt üzembe helyezni több alhálózaton vagy virtuális hálózaton. Az alhálózat minden virtuális gépe használhatja a rendelkezésre álló SNAT-portokat, ha szüksége van rájuk.
Kimenő IP-cím vezérlőelem
A kimenő IP-cím vezérlőelem több-bérlős alkalmazásokban hasznos lehet, ha az alábbi követelmények mindegyikével rendelkezik:
- Olyan Azure-szolgáltatásokat használ, amelyek nem biztosítanak automatikusan dedikált statikus IP-címeket a kimenő forgalomhoz. Ezek közé a szolgáltatások közé tartozik a Azure App Service, a Azure Functions, a API Management (a használatalapú szinten való futtatáskor) és a Azure Container Instances.
- Az interneten keresztül kell csatlakoznia a bérlői hálózatokhoz.
- A bérlőknek az egyes kérések IP-címe alapján kell szűrni a bejövő forgalmat.
Ha egy NAT Gateway-példányt alkalmaz egy alhálózatra, az alhálózatról érkező kimenő forgalom a NAT Gatewayhez társított nyilvános IP-címeket használja.
Megjegyzés
Ha több nyilvános IP-címet társít egyetlen NAT Gatewayhez, a kimenő forgalom bármelyik IP-címről származhat. Előfordulhat, hogy tűzfalszabályokat kell konfigurálnia a célhelyen. Engedélyezze az egyes IP-címeket, vagy használjon egy nyilvános IP-címelőtag-erőforrást , hogy ugyanabban a tartományban lévő nyilvános IP-címeket használjon.
Elkülönítési modellek
Ha minden bérlőhöz különböző kimenő nyilvános IP-címeket kell megadnia, egyéni NAT Gateway-erőforrásokat kell üzembe helyeznie. Minden alhálózat társítható egyetlen NAT Gateway-példányhoz. Több NAT Gateway üzembe helyezéséhez több alhálózatot vagy virtuális hálózatot kell üzembe helyeznie. Ez azt eredményezi, hogy valószínűleg több számítási erőforráskészletet kell üzembe helyeznie.
A több-bérlős hálózati topológia tervezésével kapcsolatos további információkért tekintse át a több-bérlős megoldások hálózatkezelési megközelítéseit ismertető cikket.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- John Downs | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
Egyéb közreműködők:
- Aimee Littleton | Program Manager 2, Azure NAT Gateway
- Arsen Vladimirskiy | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
- Joshua Waddell | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: