Azure Load Balancer kimenő szabályok

A kimenő szabályok lehetővé teszik, hogy explicit módon definiálja az SNAT-t (forráshálózati címfordítást) egy nyilvános standard terheléselosztóhoz. Ez a konfiguráció lehetővé teszi a terheléselosztó nyilvános IP-címeinek használatát, hogy kimenő internetkapcsolatot biztosítson a háttérpéldányokhoz.

Ez a konfiguráció a következőket teszi lehetővé:

  • IP-cím maszkolása
  • Egyszerűsítheti az engedélyezési listákat.
  • Csökkenti az üzembe helyezéshez szükséges nyilvános IP-erőforrások számát.

Kimenő szabályokkal teljes mértékben deklaratívan vezérelheti a kimenő internetkapcsolatot. A kimenő szabályok lehetővé teszik, hogy ezt a képességet az ön igényeinek megfelelően méretezhesse és hangolja.

A kimenő szabályok csak akkor lesznek követve, ha a háttérbeli virtuális gép nem rendelkezik példányszintű nyilvános IP-címmel (ILPIP).

Képernyőkép az SNAT-portok konfigurációjáról a virtuális gépeken kimenő terheléselosztó-szabályokkal.

Kimenő szabályokkal explicit módon definiálhatja a kimenő SNAT-viselkedést .

A kimenő szabályok lehetővé teszik a vezérlést:

  • Mely virtuális gépeket fordítja le a rendszer a nyilvános IP-címekre.
    • Két szabály, ahol az 1. háttérkészlet mindkét kék IP-címet, a 2. háttérkészlet pedig a sárga IP-előtagot használja.
  • A kimenő SNAT-portok lefoglalásának módját.
    • Ha a 2. háttérkészlet az egyetlen kimenő kapcsolatot létesítő készlet, adja meg az összes SNAT-portot a 2. háttérkészletnek, és egyiket sem az 1. háttérkészletnek.
  • Mely protokollok biztosítják a kimenő fordítást.
    • Ha a 2. háttérkészletnek UDP-portokra van szüksége a kimenő forgalomhoz, és az 1. háttérkészletnek TCP-ra van szüksége, adja meg a TCP-portokat 1-nek, az UDP-portokat pedig 2-nek.
  • Milyen időtartamot használjunk a kimenő kapcsolatok tétlen időtúllépéséhez (4–120 perc).
    • Ha vannak hosszú ideig futó kapcsolatok keepalive-val, foglaljon számukra üresjárati portokat legfeljebb 120 perc időtartamra. Tegyük fel, hogy az elavult kapcsolatok megszakadnak, és 4 perc alatt felszabadítják a portokat a friss kapcsolatokhoz
  • Legyen-e TCP Reset küldve használaton kívüli időtúllépéskor.
    • A tétlen kapcsolatok időzítésekor tcp RST-t küldünk az ügyfélnek és a kiszolgálónak, hogy tudják, a folyamat megszakadt?

Fontos

Ha egy háttérkészlet IP-cím alapján van konfigurálva, akkor alapszintű terheléselosztóként fog működni, alapértelmezett kimenő forgalmat engedélyezve. Az alapértelmezett konfiguráció és az igényes kimenő igényekkel rendelkező alkalmazások biztonságossá tételéhez konfigurálja a háttérkészletet a hálózati adapterrel.

Kimenő szabály definíciója

A kimenő szabályok ugyanazt a jól ismert szintaxist követik, mint a terheléselosztás és a bejövő NAT-szabályok: előtér + paraméterek + háttérkészlet.

A kimenő szabály konfigurálja a kimenő NAT-t a háttérkészlet által azonosított összes virtuális géphez, hogy az előtérre legyen lefordítva.

A paraméterek részletes vezérlést biztosítanak a kimenő NAT-algoritmus felett.

Kimenő NAT méretezése több IP-címmel

Az előtér által biztosított további IP-címek további 64 000 rövid ideig futó portot biztosítanak a terheléselosztó számára, hogy SNAT-portokként használják. A Terheléselosztó szükség szerint ip-címeket használ a rendelkezésre álló portok alapján. A Terheléselosztó a következő IP-címet fogja használni, ha a kapcsolatok már nem hozhatók létre az aktuális IP-címmel.

Több IP-címmel tervezhet nagy léptékű forgatókönyveket. Kimenő szabályokkal mérsékelheti az SNAT kimerülését, ahogy azt az Azure Load Balancer támogatásában és hibaelhárításában leírták.

Nyilvános IP-előtagot is használhat közvetlenül kimenő szabvánnyal.

A nyilvános IP-előtagok növelik az üzembe helyezés skálázását. Az előtag hozzáadható a Azure-erőforrásokból származó folyamatok engedélyezési listájához. A terheléselosztón belül konfigurálhat előtér IP-konfigurációt egy nyilvános IP-címelőtagra való hivatkozáshoz.

A terheléselosztó szabályozza a nyilvános IP-előtagot. A kimenő szabály automatikusan a nyilvános IP-előtagban található egyéb nyilvános IP-címeket fogja használni, miután az előtagból nem hozható létre több kimenő kapcsolat az aktuális IP-címmel.

A nyilvános IP-előtagban lévő IP-címek mindegyike további 64 000 rövid élettartamú portot biztosít IP-címenként, hogy a terheléselosztó SNAT-portként használhassa.

Kimenő forgalom tétlenségi időtúllépése és TCP-visszaállítása

A kimenő szabályok konfigurációs paramétert biztosítanak a kimenő forgalom tétlen időtúllépésének szabályozásához, és megfelelnek az alkalmazás igényeinek. A kimenő üresjárati időkorlátok alapértelmezés szerint 4 perc. További információ: tétlen időtúllépések konfigurálása.

A terheléselosztó alapértelmezett viselkedése az, hogy az adatfolyamot észlelés nélkül elveti, amikor az átmeneti kimenő üresjárati idő túllépése bekövetkezik. A enableTCPReset paraméter lehetővé teszi az alkalmazások kiszámítható viselkedését és vezérlését. A paraméter azt határozza meg, hogy küldjön-e kétirányú TCP visszaállítást (TCP RST) a kimenő kapcsolat üresjárati időkorlátjának lejártakor.

Tekintse át a TCP visszaállítást inaktivitási időkorlát esetén a régió elérhetőségéről szóló részletekért.

A kimenő kapcsolatok védelme és szabályozása explicit módon

A terheléselosztási szabályok a kimenő NAT automatikus programozását biztosítják. Egyes forgatókönyvek előnyére válik, vagy megköveteli, hogy a terheléselosztási szabály tiltsa le a kimenő NAT automatikus programozását. A szabályon keresztüli letiltás lehetővé teszi a viselkedés szabályozását vagy finomítását.

Ezt a paramétert kétféleképpen használhatja:

  1. A kimenő SNAT esetén a bejövő IP-cím blokkolása. Tiltsa le a kimenő SNAT-t a terheléselosztási szabályban.

  2. Hangolja az egyidejűleg bejövő és kimenő ip-címek kimenő SNAT-paramétereit . Az automatikus kimenő NAT-t le kell tiltani, hogy egy kimenő szabály átvehesse az irányítást. Azoknak a címeknek az SNAT-portfoglalásának módosításához, amelyeket bejövő forgalomhoz is használnak, a disableOutboundSnat paramétert igaz értékre kell állítani.

A kimenő szabály konfigurálására szolgáló művelet meghiúsul, ha megkísérli újradefinielni a bejövő IP-címet. Először tiltsa le a terheléselosztási szabály kimenő NAT-fájlját.

Fontos

A virtuális gép nem fog kimenő kapcsolatot létesíteni, ha igazra állítja ezt a paramétert, és nem rendelkezik kimenő szabálysal a kimenő kapcsolatok definiálásához. A virtuális gép vagy az alkalmazás bizonyos műveletei attól függhetnek, hogy elérhető-e kimenő kapcsolat. Győződjön meg arról, hogy ismeri a forgatókönyv függőségeit, és figyelembe vette a módosítás hatását.

Néha nem kívánatos, hogy egy virtuális gép kimenő kapcsolatot indítson. Előfordulhat, hogy a kimenő folyamatokat fogadó célhelyek vagy a bejövő folyamatok kezdő célhelyeinek kezelése kötelező. A virtuális gép által elért célhelyeket hálózati biztonsági csoportok használatával kezelheti. Az NSG-k (Hálózati Biztonsági Csoportok) segítségével irányíthatja, hogy mely nyilvános célhelyek számára indulhat be a bejövő forgalom.

Ha NSG-t alkalmaz egy elosztott terhelésű virtuális gépre, figyeljen a szolgáltatáscímkékre és az alapértelmezett biztonsági szabályokra.

Győződjön meg arról, hogy a virtuális gép képes állapotadat-mintavételi kéréseket fogadni Azure Load Balancer.

Ha egy NSG letiltja a AZURE_LOADBALANCER alapértelmezett címkéről érkező állapotadat-mintavételi kérelmeket, a virtuális gép állapotadat-mintavétele meghiúsul, és a virtuális gép nem érhető el. A terheléselosztó nem küld új folyamatokat a virtuális gépnek.

Kimenő szabályok forgatókönyvei

1. forgatókönyv: Kimenő kapcsolatok konfigurálása egy adott nyilvános IP-címhez vagy előtaghoz

Részletek

Ezzel a forgatókönyvvel úgy szabhatja testre a kimenő kapcsolatokat, hogy nyilvános IP-címek készletéből származjanak. Adjon hozzá nyilvános IP-címeket vagy előtagokat egy engedélyezési vagy blokklistához a forrás alapján.

Ez a nyilvános IP-cím vagy előtag ugyanaz lehet, mint amelyet egy terheléselosztási szabály használ.

A terheléselosztási szabály által használttól eltérő nyilvános IP-cím vagy előtag használata:

  1. Nyilvános IP-előtag vagy nyilvános IP-cím létrehozása.
  2. Nyilvános standard terheléselosztó létrehozása
  3. Hozzon létre egy előtér-hivatkozást a használni kívánt nyilvános IP-előtagra vagy nyilvános IP-címre.
  4. Háttérkészlet újrafelhasználása vagy háttérkészlet létrehozása, és a virtuális gépek elhelyezése a nyilvános terheléselosztó háttérkészletébe
  5. Konfiguráljon egy kimenő szabályt a nyilvános terheléselosztón a kimenő NAT engedélyezéséhez a virtuális gépek számára az előtér használatával. A kimenő forgalomhoz nem ajánlott terheléselosztási szabályt használni. Tiltsa le a kimenő SNAT-ot a terheléselosztási szabályban.

2. forgatókönyv: SNAT-portfoglalás módosítása

Részletek

Kimenő szabályokkal hangolhatja az automatikus SNAT-portfoglalást a háttérkészlet mérete alapján.

Ha SNAT-kimerültséget tapasztal, növelje az alapértelmezett 1024-es SNAT-portok számát.

Minden nyilvános IP-cím legfeljebb 64 000 rövid élettartamú portot ad hozzá. A háttérkészletben lévő virtuális gépek száma határozza meg az egyes virtuális gépek számára elosztott portok számát. A háttérkészletben egy virtuális gép legfeljebb 64 000 porthoz maximum fér hozzá. Két virtuális gép esetén legfeljebb 32 000 SNAT-port adható meg kimenő szabálysal (2x 32 000 = 64 000).

Az alapértelmezett SNAT-portokat kimenő szabályokkal hangolhatja. Az alapértelmezett SNAT-portkiosztás által biztosítottnál többet vagy kevesebbet ad meg. A frontend kimenő szabályából származó minden nyilvános IP-cím legfeljebb 64 000 rövid élettartamú portot biztosít SNAT-portként való használatra.

A Terheléselosztó SNAT-portokat biztosít a 8 többszörösében. Ha 8-tal nem osztható értéket ad meg, a rendszer elutasítja a konfigurációs műveletet. Minden terheléselosztási szabály és bejövő NAT-szabály nyolc portból álló tartományt használ. Ha egy terheléselosztási vagy bejövő NAT-szabály ugyanazt a 8 tartományt használja, mint egy másik, akkor a rendszer nem használ fel további portokat.

Ha a rendelkezésre állónál több SNAT-portot próbál kiadni (a nyilvános IP-címek száma alapján), a rendszer elutasítja a konfigurációs műveletet. Ha például virtuális gépenként 10 000 portot ad meg, és egy háttérkészlet hét virtuális gépe egyetlen nyilvános IP-címen osztozik, a konfigurációt a rendszer elutasítja. Hét szorozva 10 000-gyel meghaladja a 64 000-es portkorlátot. Adjon hozzá további nyilvános IP-címeket a kimenő szabály előteréhez a forgatókönyv engedélyezéséhez.

Térjen vissza az alapértelmezett portfoglaláshoz a portok számának 0 megadásával. Az alapértelmezett SNAT-portfoglalásról további információt az SNAT-portok foglalási táblájában talál.

3. forgatókönyv: Csak kimenő forgalom engedélyezése

Részletek

Nyilvános standard terheléselosztóval kimenő NAT-t biztosíthat a virtuális gépek egy csoportjának. Ebben a forgatókönyvben használjon önmagában egy kimenő szabályt anélkül, hogy további szabályokat konfigurál.

Megjegyzés

Azure NAT Gateway terheléselosztó nélkül is képes kimenő kapcsolatot biztosítani a virtuális gépekhez. További információért lásd: Mi Azure NAT Gateway?.

4. forgatókönyv: Kimenő NAT csak virtuális gépekhez (nincs bejövő)

Megjegyzés

Azure NAT Gateway terheléselosztó nélkül is képes kimenő kapcsolatot biztosítani a virtuális gépekhez. További információért lásd: Mi Azure NAT Gateway?.

Részletek

Ebben a forgatókönyvben: Azure Load Balancer kimenő szabályok és Virtual Network NAT-beállítások érhetők el a virtual network kimenő forgalomhoz.

  1. Hozzon létre egy nyilvános IP-címet vagy előtagot.
  2. Hozzon létre egy nyilvános standard terheléselosztót.
  3. Hozzon létre egy felhasználói felületet vagy kiszolgálót a kimenő forgalomhoz kapcsolódó dedikált nyilvános IP-címhez vagy előtaghoz.
  4. Hozzon létre egy háttérkészletet a virtuális gépekhez.
  5. Helyezze a virtuális gépeket a háttértárba.
  6. Kimenő szabály konfigurálása a kimenő NAT engedélyezéséhez.

Az SNAT-portok méretezéséhez használjon előtagot vagy nyilvános IP-címet. Adja hozzá a kimenő kapcsolatok forrását egy engedélyezési vagy blokklistához.

5. forgatókönyv: Kimenő NAT a belső standard terheléselosztóhoz

Megjegyzés

Azure NAT Gateway képes kimenő kapcsolatot biztosítani a belső standard terheléselosztót használó virtuális gépek számára. További információért lásd: Mi Azure NAT Gateway?.

Részletek

A kimenő kapcsolat nem érhető el a belső standard terheléselosztóra, amíg példányszintű nyilvános IP-címeken vagy a Virtual Network NAT-on keresztül ki nem jelentik kifejezetten, vagy a háttérkészlet tagjait egy kizárólag kimenő terheléselosztó konfigurációhoz nem társítják.

További információ: Csak kimenő terheléselosztó konfigurációja.

6. forgatókönyv: Mindkét TCP&UDP-protokoll engedélyezése a kimenő NAT-hoz egy nyilvános standard terheléselosztóval

Részletek

Nyilvános standard terheléselosztóval a megadott automatikus kimenő NAT megfelel a terheléselosztási szabály átviteli protokolljának.

  1. Tiltsa le a kimenő SNAT-t a terheléselosztási szabályon.
  2. Konfiguráljon egy kimenő szabályt ugyanazon a terheléselosztón.
  3. Használja újra a virtuális gépek által már használt háttérkészletet.
  4. Adja meg a "protokoll" értékét "Összes"-re a kimenő szabály részeként.

Ha csak bejövő NAT-szabályokat használ, a rendszer nem biztosít kimenő NAT-et.

  1. Helyezze a virtuális gépeket egy háttérkészletbe.
  2. Egy vagy több előtérbeli IP-konfiguráció definiálása nyilvános IP-címekkel vagy nyilvános IP-előtaggal
  3. Konfiguráljon egy kimenő szabályt ugyanazon a terheléselosztón.
  4. Adja meg a "protokollt": "Minden" a kimenő szabály részeként

Korlátozások

  • A használható rövid élettartamú portok maximális száma előtérbeli IP-címenként 64 000.
  • A konfigurálható kimenő tétlen időtúllépés tartománya 4–120 perc (240–7200 másodperc).
  • A Terheléselosztó nem támogatja az ICMP-t a kimenő NAT esetében, az egyetlen támogatott protokoll a TCP és az UDP.
  • A kimenő szabályok csak a hálózati adapter elsődleges IPv4-konfigurációjára alkalmazhatók. A virtuális gép vagy az NVA másodlagos IPv4-konfigurációihoz nem hozhat létre kimenő szabályt. Több hálózati adapter is támogatott.
  • A másodlagos IP-konfiguráció kimenő szabályai csak az IPv6 esetében támogatottak.
  • A kimenő kapcsolat érdekében a rendelkezésre állási csoportban lévő összes virtuális gépet hozzá kell adni a háttérkészlethez.
  • A kimenő kapcsolatokhoz a virtuálisgép-méretezési csoport összes virtuális gépét hozzá kell adni a háttérkészlethez.

Következő lépések

  • Last updated on