Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure NAT Gateway egy teljes körűen felügyelt hálózati címfordítási (NAT) szolgáltatás, amely kimenő internetkapcsolatot biztosít a privát virtuális hálózathoz csatlakoztatott erőforrásokhoz. A szolgáltatás biztosítja a forráshálózati címfordítást (SNAT) a kimenő kapcsolatokhoz és a célhálózati címfordítást (DNAT) az ilyen kimenő kapcsolatokra érkező válaszcsomagokhoz. Mivel az Azure NAT Gateway kezeli a kritikus virtuális hálózati erőforrások forgalmát, nagy rugalmasságot biztosít.
Az Azure használatakor a megbízhatóság közös felelősség. A Microsoft számos lehetőséget kínál a rugalmasság és a helyreállítás támogatására. Ön a felelős azért, hogy megértse, hogyan működnek ezek a képességek az összes használt szolgáltatáson belül, és válassza ki azokat a képességeket, amelyekre szüksége van az üzleti célok és az üzemidő céljainak eléréséhez.
Ez a cikk azt ismerteti, hogyan teheti rugalmassá az Azure NAT Gatewayt számos lehetséges kimaradás és probléma esetén, beleértve az átmeneti hibákat és a rendelkezésre állási zónák kimaradását. Emellett az Azure NAT Gateway szolgáltatásszintű szerződésével (SLA) kapcsolatos legfontosabb információkat is kiemeli.
Fontos
Ha figyelembe veszi egy NAT-átjáró megbízhatóságát, vegye figyelembe a virtuális gépek( virtuális gépek), a lemezek, az egyéb hálózati infrastruktúra és a virtuális gépeken futó alkalmazások megbízhatóságát is. A NAT-átjáró rugalmasságának javítása korlátozott hatással lehet, ha a többi összetevő nem egyformán rugalmas. A rugalmassági követelményektől függően több összetevő konfigurációs módosításait is elvégezheti.
A termelési üzembe helyezési javaslatok a megbízhatóság érdekében
Éles munkaterhelések esetén a következő eljárásokat javasoljuk:
A StandardV2 termékváltozat használatával automatikus zónaredundanciát kaphat a támogatott régiókban.
Megjegyzés:
Az üzembe helyezés előtt tekintse át a StandardV2 Azure NAT Gateway fő korlátait , hogy biztosan támogatja-e a konfigurációt.
Elég nyilvános IP-címet osszon ki a csúcs kapcsolati igényekhez. Az elégtelen IP-címek SNAT-portkimerülést és rendelkezésre állási problémákat okozhatnak.
StandardV2 SKU nyilvános IP-címeket használhat a StandardV2 Azure NAT Gateway használatával. A StandardV2 Azure NAT Gateway nem támogatja a standard termékváltozat nyilvános IP-címeit.
A megbízhatósági architektúra áttekintése
Ez a szakasz a szolgáltatás megbízhatóság szempontjából leginkább releváns működésének néhány fontos aspektusát ismerteti. A szakasz bemutatja a logikai architektúrát, amely tartalmazza a telepített és használt erőforrásokat és funkciókat. Emellett a fizikai architektúrát is ismerteti, amely részletesen bemutatja, hogyan működik a szolgáltatás a borítók alatt.
Logikai architektúra
A NAT-átjáró egy üzembe helyezhető erőforrás. Ha a NAT-átjárót szeretné használni a kimenő internetes forgalom alapértelmezett útvonalaként, csatolja azt a virtuális hálózat egy vagy több alhálózatához. Nem kell egyéni útvonalakat vagy más útválasztást konfigurálnia.
Fizikai architektúra
A NAT-átjáró belsőleg egy vagy több példányból áll, amelyek a szolgáltatás működtetéséhez szükséges mögöttes infrastruktúrát képviselik.
Az Azure NAT Gateway szoftveralapú hálózatkezeléssel (SDN) implementál egy elosztott architektúrát, amely magas megbízhatóságot és méretezhetőséget biztosít. A szolgáltatás több hiba tartományon keresztül működik, hogy szolgáltatási hatás nélkül ellenálljon több infrastruktúra-összetevő meghibásodásának. Az Azure kezeli az alapul szolgáló szolgáltatásműveleteket, beleértve a tartalék tartományok közötti elosztást és az infrastruktúra redundanciát.
További információ az Azure NAT Gateway architektúrájáról és redundanciáról: Azure NAT Gateway-erőforrások.
Rugalmasság átmeneti hibákhoz
Az átmeneti hibák rövid, időszakos meghibásodások a komponensekben. Gyakran előfordulnak elosztott környezetben, például a felhőben, és ezek a műveletek szokásos részei. Az átmeneti hibák rövid idő elteltével kijavítják magukat. Fontos, hogy az alkalmazások kezelni tudják az átmeneti hibákat, általában az érintett kérések újrapróbálásával.
Minden felhőalapú alkalmazásnak követnie kell az Azure átmeneti hibakezelési útmutatóját, amikor a felhőben üzemeltetett API-kkal, adatbázisokkal és egyéb összetevőkkel kommunikálnak. További információ: Átmeneti hibák kezelésére vonatkozó javaslatok.
Az SNAT-portok kimerülése akkor fordul elő, ha az alkalmazások több független kapcsolatot létesítenek ugyanahhoz az IP-címhez és porthoz, ami kimeríti a kimenő IP-címhez elérhető SNAT-portokat. Az SNAT-portok kimerülése átmeneti hibaként jelenhet meg az alkalmazásban. A NAT-hoz kapcsolódó átmeneti hibák valószínűségének csökkentése érdekében végezze el a következő feladatokat:
Minimalizálja az SNAT-portok kimerülésének valószínűségét. Konfigurálja az alkalmazásokat az SNAT elegáns kezelésére a kapcsolatkészletezés és a megfelelő kapcsolati életciklus-kezelés implementálásával.
Helyezzen üzembe elegendő nyilvános IP-címet. Egyetlen NAT-átjáró több nyilvános IP-címet támogat, és minden nyilvános IP-cím külön SNAT-portokat biztosít.
A NAT-átjáró datapath rendelkezésre állási metrikájának figyelése. Az Azure Monitor használata a lehetséges csatlakozási problémák korai észleléséhez. A csatlakozási hibákra és az SNAT-portok kimerültségére vonatkozó riasztások beállítása az átmeneti hibaállapotok proaktív azonosításához és kezeléséhez, mielőtt azok hatással lennének az alkalmazások kimenő kapcsolatára. További információ: Azure NAT Gateway-metrikák és riasztások.
Kerülje a magas tétlenségi időtúllépési értékek beállítását. Ha a NAT-átjárókapcsolatok alapértelmezett 4 percénél jelentősen magasabb tétlenségi időtúllépési értékeket állít be, az SNAT-portok kimerülése nagy kapcsolati kötetek esetén is előfordulhat.
Az Azure NAT Gateway kapcsolatkezelési és hibaelhárítási problémáival kapcsolatos további információkért tekintse meg az Azure NAT Gateway-kapcsolatok hibaelhárítását ismertető témakört.
Rugalmasság a rendelkezésre állási zóna hibáival szemben
A rendelkezésre állási zónák fizikailag különálló adatközpont-csoportok egy Azure-régión belül. Ha egy zóna meghibásodik, a szolgáltatások a fennmaradó zónák egyikére is át tudnak adni feladatokat.
Az Azure NAT Gateway zónaredundáns és zónaszintű konfigurációkban is támogatja a rendelkezésre állási zónákat:
Zónaredundáns: Az Azure NAT Gateway StandardV2 termékváltozata automatikus zónaredundanciát biztosít. A zónaredundancia szétteríti a NAT átjárópéldányokat a régió összes rendelkezésre állási zónájában. A zónaredundáns konfiguráció javítja az éles számítási feladatok rugalmasságát és megbízhatóságát.
A diagram tetején az internet látható. Az internet alatt található egy NAT Gateway-erőforrás, amely egy virtuális hálózaton található, és három rendelkezésre állási zónára terjed ki. A virtuális hálózat alhálózata három virtuális gépet tartalmaz. Minden virtuális gép egy másik rendelkezésre állási zónában van elhelyezve. Az első virtuális gép az 1. rendelkezésre állási zónában, a második virtuális gép a 2. rendelkezésre állási zónában, a harmadik pedig a 3. rendelkezésre állási zónában található. Az egyes rendelkezésre állási zónákban három külön nyíl jelzi a NAT Gatewayről az internetre irányuló kimenő forgalom áramlását.
Zonal: A Standard (v1) termékváltozat használata esetén igény szerint létrehozhat egy zónakonfigurációt. Egy zonális NAT-átjárót helyez üzembe egy kiválasztott rendelkezésre állási zónában. Ha nat-átjárót helyez üzembe egy adott zónában, az kifejezetten az adott zónából biztosít kimenő kapcsolatot az internethez. Egy másik rendelkezésre állási zónából származó zonal nyilvános IP-címek nem engedélyezettek. A csatlakoztatott alhálózatokról érkező összes forgalom a NAT-átjárón keresztül halad, még akkor is, ha az alhálózati erőforrások egy másik rendelkezésre állási zónában találhatók.
A diagram tetején az internet látható. Az internet alatt csak az 1. rendelkezésre állási zónában üzembe helyezett NAT Gateway-erőforrás található. A NAT-átjáró egyetlen virtuális gépet tartalmazó alhálózathoz csatlakozik. A virtuális hálózat az 1. rendelkezésre állási zónában található alhálózatot tartalmazza. A 2. rendelkezésre állási zóna és a 3. rendelkezésre állási zóna üres. A nyíl a NAT-átjáróból az internetre irányuló kimenő forgalom áramlását jelzi.
Ha egy rendelkezésre állási zónán belüli NAT-átjáró leállást tapasztal, a csatlakoztatott alhálózatok összes virtuális gépe nem tud csatlakozni az internethez, még akkor is, ha ezek a virtuális gépek kifogástalan rendelkezésre állási zónákban találhatók.
Fontos
A rögzítés egyetlen rendelkezésre állási zónához csak akkor ajánlott, ha a zónák közötti késleltetés az igényeihez képest túl magas, és meggyőződött arról, hogy a késleltetés nem felel meg a követelményeinek. A zónaerőforrás önmagában nem biztosít rugalmasságot a rendelkezésre állási zónák kimaradása esetén. Az zonális erőforrások rugalmasságának javítása érdekében külön erőforrásokat kell külön üzembe helyeznie több rendelkezésre állási zónában, és konfigurálnia kell a forgalomirányítást és a feladatátvételt. További információ: Zónák erőforrásai és zónaellenállóképesség.
Ha több rendelkezésre állási zónában helyez üzembe virtuális gépeket, és zóna szintű NAT-átjárókat kell használnia, minden rendelkezésre állási zónában létrehozhat zóna szintű halmokat. A zonális veremek létrehozásához telepítse a következő erőforrásokat:
Több alhálózat: Hozzon létre egy külön alhálózatot az egyes rendelkezésre állási zónákhoz ahelyett, hogy egy zónákra kiterjedő alhálózatot használna.
Zonal NAT-átjárók: Egy NAT-átjáró üzembe helyezése ugyanabban a rendelkezésre állási zónában, mint a csatolt alhálózat.
Manuális virtuálisgép-hozzárendelés: Helyezze az egyes virtuális gépeket a megfelelő rendelkezésre állási zónába és a rendelkezésre állási zóna megfelelő alhálózatára.
Az ábrán az internet látható felül, három rendelkezésre állási zóna pedig az internet alatt. Minden rendelkezésre állási zóna saját dedikált nat Gateway-példányt, alhálózatot és virtuális gépet tartalmaz. Ezek az erőforrások egy megosztott virtuális hálózaton találhatók. A nyilak az egyes rendelkezésreállási zónák NAT Gateway-példányából az internetre irányuló kimenő forgalmat jelenítik meg.
Ha standard (v1) NAT-átjárót helyez üzembe, és nem ad meg rendelkezésre állási zónát, a NAT-átjáró nem zónaalapú, ami azt jelenti, hogy az Azure kiválasztja a rendelkezésre állási zónát. Ha a régió bármelyik rendelkezésre állási zónája kimaradásban van, az hatással lehet a NAT-átjáróra. Nem javasolt nem zónakonfiguráció, mert nem nyújt védelmet a rendelkezésre állási zónák kimaradásai ellen.
Requirements
Régiótámogatás: Zónaredundáns és zónaszintű NAT-átjárókat bármely olyan régióban üzembe helyezhet, amely támogatja a rendelkezésre állási zónákat.
SKU: Zónaredundáns NAT-átjáró üzembe helyezéséhez használja a StandardV2 termékváltozatot. Zonális NAT-átjáró üzembe helyezéséhez használja a Standard termékváltozatot. A StandardV2 termékváltozatot javasoljuk.
Nyilvános IP-címek: A NAT-átjáróhoz csatolt nyilvános IP-címek követelményei a termékváltozattól és az üzembe helyezés konfigurációjától függenek.
Azure NAT Gateway termékváltozat Rendelkezésre állási zóna támogatási típusa Nyilvános IP-címekre vonatkozó követelmények StandardV2 Zónaredundáns StandardV2 nyilvános IP-cím Standard Zónás rendszer Standard nyilvános IP-cím, amely zónaredundáns vagy a NAT-átjáróval azonos zónában van Standard Nem zónás Zónaredundáns vagy bármely zónában lévő szabványos nyilvános IP-cím
Költség
Az Azure NAT Gateway rendelkezésre állási zónájának támogatása nem jár többletköltséggel. További információkért tekintse meg az Azure NAT Gateway díjszabását.
A rendelkezésre állási zóna támogatásának konfigurálása
Új erőforrások: Az üzembe helyezés lépései a rendelkezésre állási zóna konfigurációjától függenek:
Zónaredundáns: Ha új zónaredundáns NAT-átjárót szeretne üzembe helyezni a StandardV2 termékváltozat használatával, olvassa el a StandardV2 Azure NAT Gateway létrehozása című témakört.
Zonal: Ha új zonális NAT-átjárót szeretne üzembe helyezni a Standard termékváltozat használatával, olvassa el a NAT-átjáró létrehozása című témakört. A NAT-átjáró létrehozásakor a Nincs zóna helyett válassza ki annak rendelkezésre állási zónáját.
A rendelkezésre állási zóna támogatásának bekapcsolása: Az Üzembe helyezés után nem módosíthatja az Azure NAT Gateway rendelkezésre állási zónájának konfigurációját. A rendelkezésre állási zóna konfigurációjának módosításához telepítenie kell egy új NAT-átjárót a kívánt zónabeállításokkal.
StandardV2 NAT-átjáróra való frissítéshez létre kell hoznia egy új nyilvános IP-címet, amely a StandardV2 termékváltozatot használja.
Viselkedés, ha minden zóna kifogástalan
Ez a szakasz azt ismerteti, hogy mire számíthat, ha a NAT-átjárók a rendelkezésre állási zónák támogatásához vannak konfigurálva, és az összes rendelkezésre állási zóna működőképes.
Forgalomirányítás zónák között: A virtuális gépről a NAT-átjárón áthaladó forgalom a NAT-átjáró által használt rendelkezésre állási zóna konfigurációjától függ.
Zónaredundáns: A forgalom bármely rendelkezésre állási zónán belül áthaladhat egy NAT-átjárópéldányon.
Zónális: Minden NAT-átjárópéldány a maga hozzárendelt rendelkezésre állási zónáján belül egymástól függetlenül működik. Az alhálózati erőforrások kimenő forgalma a NAT-átjáró zónáján halad át, még akkor is, ha a virtuális gép egy másik zónában található.
Adatreplikálás zónák között: Az Azure NAT Gateway nem replikálja az adatokat a zónák között, mert állapot nélküli szolgáltatás a kimenő kapcsolatokhoz. Minden NAT-átjárópéldány függetlenül működik a rendelkezésre állási zónán belül, és nem igényel szinkronizálást más zónák példányaival.
Viselkedés zónahiba esetén
Ez a szakasz azt ismerteti, hogy mire számíthat, ha egy NAT-átjáró a rendelkezésre állási zónák támogatásához van konfigurálva, és a rendelkezésre állási zóna kimarad.
Észlelés és válasz: Az észlelésért és a válaszadásért a NAT-átjáró által használt rendelkezésre állási zóna konfigurációja felel.
Zónaredundáns: Az Azure NAT Gateway észleli és válaszol a rendelkezésre állási zónák hibáira. Nem kell semmit tennie a rendelkezésre állási zóna átkapcsolásának kezdeményezéséhez.
Zonal: Ön a felelős az alkalmazásszintű feladatátvétel implementálásáért más zónák alternatív csatlakozási módszereire vagy NAT-átjáróira.
Értesítés: A Microsoft nem értesíti automatikusan, ha egy zóna le van omlva. Az Azure Resource Health használatával azonban figyelheti az egyes erőforrások állapotát, és beállíthat Resource Health-riasztásokat a problémákról való értesítéshez. Az Azure Service Health használatával is megismerheti a szolgáltatás általános állapotát, beleértve a zónahibákat is, és beállíthat Service Health-riasztásokat a problémákról való értesítéshez.
A NAT-átjáró datapath rendelkezésre állási metrikájával is monitorozhatja a NAT-átjáró állapotát. Konfigurálja a datapath rendelkezésre állási metrikájára vonatkozó riasztásokat a csatlakozási problémák észleléséhez.
Aktív kérések: Az aktív kérések viselkedése a NAT-átjáró által használt rendelkezésre állási zóna konfigurációjától függ.
Zónaredundáns: A hibás zónában lévő példányoknál megszakadnak az aktív kimenő kapcsolatok. Az ügyfeleknek újra meg kell kísérelniük a kapcsolatkéréseket, és az azt követő kísérleteknek egy másik rendelkezésre állási zónában lévő NAT-átjárópéldányon kell áthaladniuk.
Zonal: A sikertelen zonális NAT-átjáró megszakítja az aktív kimenő kapcsolatokat. El kell döntenie, hogy alternatív csatlakozási útvonalakon keresztül szeretné-e újra létesíteni a kapcsolatot, és hogyan. Az alkalmazásoknak újrapróbálkozási logikát kell implementálniuk a kapcsolati hibák kezeléséhez.
Ha átirányítja a forgalmat, a kimenő nyilvános IP-cím megváltozik, ezért előfordulhat, hogy a Transmission Control Protocol (TCP) munkameneteket újra létre kell hozni.
Várható adatvesztés: Nem történik adatvesztés, mert az Azure NAT Gateway állapot nélküli szolgáltatás a kimenő kapcsolatokhoz. A kapcsolat állapota újra létrejön, amikor a kapcsolatok újra létrejönnek.
Várható állásidő: A várható állásidő a NAT-átjáró által használt rendelkezésre állási zóna konfigurációjától függ.
Zónaredundáns: Meghibásodott zónából származó meglévő kapcsolatok megszakadhatnak. Az ügyfelek azonnal újrapróbálhatják a kapcsolatokat, és a kérések egy másik zónában lévő példányra kerülnek átirányításra. Az kifogástalan állapotú zónákból származó összes fennmaradó kapcsolat megmarad.
Zonal: A kimenő kapcsolat addig nem érhető el, amíg a zóna helyre nem áll, vagy amíg más zónákban alternatív csatlakozási módszerekkel vagy NAT-átjárókkal nem átirányítja a forgalmat.
Forgalom átirányítása: A forgalom átirányítási viselkedése a NAT-átjáró által használt rendelkezésre állási zóna konfigurációjától függ.
Zónaredundáns: Az új kapcsolatkérések egy NAT-átjárópéldányon haladnak keresztül egy kifogástalan rendelkezésre állási zónában.
Zónahiba esetén a zónában lévő virtuális gépek is általában leállnak. Ha azonban egy részleges zónahiba csak a NAT-átjárót érinti, miközben a virtuális gépek továbbra is futnak, a virtuális gépek kimenő kapcsolatai egy másik zónában lévő NAT-átjárópéldányon keresztül haladnak át.
Zonal: Alkalmazásszintű feladatátvételt kell implementálnia, például alternatív csatlakozási módszereket kell használnia, vagy át kell irányítania a forgalmat más zónák NAT-átjáróira.
Zóna helyreállítása
Az Azure NAT Gateway állapot nélküli szolgáltatás, ezért a feladat-visszavételi műveletek nem igényelnek manuális beavatkozást.
Amikor egy rendelkezésre állási zóna helyreáll, a zónában lévő NAT-átjárópéldányok automatikusan elérhetővé válnak az új kimenő kapcsolatokhoz. A kimaradás során más zónákban lévő NAT-átjárópéldányokon keresztül létrehozott kapcsolatok mindaddig a meglévő kapcsolati útvonalakat használják, amíg ezek a kapcsolatok be nem zárnak.
Zónahibák tesztelése
A zónahibák tesztelésének lehetőségei a példány által használt rendelkezésre állási zóna konfigurációjától függenek.
Zónaredundáns: Az Azure NAT Gateway platform kezeli a zónaredundáns NAT-átjárók forgalomirányítását, a feladatátvételt és a feladat-visszavételt. Ezek a felügyelt funkciók nem követelik meg, hogy manuális műveleteket indítson, vagy ellenőrizze a rendelkezésre állási zóna meghibásodási folyamatait.
Zonal: Ön felelős a feladatátvételi tervek előkészítéséért és teszteléséért egy lehetséges zónahiba kezeléséhez.
Rugalmasság régiószintű hibákhoz
Az Azure NAT Gateway egy egyrégiós szolgáltatás, amely egy adott Azure-régió határain belül működik. A szolgáltatás nem biztosít natív többrégiós képességeket vagy automatikus feladatátvételt a régiók között. Ha egy régió elérhetetlenné válik, az abban a régióban lévő NAT-átjárók is elérhetetlenek.
Ha több régióra kiterjedő hálózati megközelítést tervez, minden régióban helyezzen üzembe független NAT-átjárókat.
Szolgáltatásiszint-szerződés
Az Azure-szolgáltatások szolgáltatásiszint-szerződése (SLA) leírja az egyes szolgáltatások várható elérhetőségét, valamint azokat a feltételeket, amelyeket a megoldásnak teljesítenie kell a rendelkezésre állási elvárás eléréséhez. További információ: SLA-k az online szolgáltatásokhoz.
Az Azure VNet NAT SLA az Azure NAT Gatewayt fedi le. A rendelkezésre állási SLA csak akkor érvényes, ha két vagy több kifogástalan állapotú virtuális géppel rendelkezik. Emellett kizárja az SNAT-portok kimerülését az állásidő-számításokból.