Mikor érdemes használni az Azure NAT Gatewayt?
Az Azure NAT Gateway szolgáltatás üzembe helyezésének mérlegelésekor először elemeznie kell a forgatókönyvet. A szolgáltatás alapértelmezés szerint nincs üzembe helyezve az Azure Virtual Networkben, és nem minden forgatókönyv felel meg ennek a szolgáltatásnak. Ez azonban jó megoldás az Azure-beli virtuális gépekkel kapcsolatos csatlakozási problémák megoldására az online kiskereskedelmi vállalatnál.
Az Azure NAT Gateway szolgáltatás használatának forgatókönyvei
Az Azure NAT Gateway nat-átjáró-erőforrásokat biztosít az igény szerinti kimenő kapcsolatokhoz összetett előtervek nélkül, így szükség esetén viszonylag könnyen üzembe helyezhető. A beállítás után az összes virtuálisgép-példány kimenő kapcsolattal rendelkezik, és a megadott statikus IP-címeket használja, ami leegyszerűsíti az engedélyezési listák létrehozását.
Ha olyan nyilvános IP-címeket szeretne szentelni, amelyeket a virtuális gépek használnak az internetes erőforrások elérésekor, az Azure NAT Gateway segíthet. Tegyük fel, hogy van egy partnerszervezete, amely csak rögzített IP-címekről engedélyezi a kapcsolatokat. Nyilvános IP-előtagot társíthat az Azure NAT Gatewayhez, így biztosítható, hogy a kimenő kapcsolatokhoz egyidejű IP-címek legyenek használva. Ezután konfigurálhatja a tűzfalat a célhelyen ezen kiszámítható IP-lista alapján. Ez a megoldás például egy olyan forgatókönyvre is megoldást jelenthet, amelyben a partner egy internetes API-t üzemeltet, amelyhez csatlakoznia kell.
Ha olyan erőforrásokkal rendelkezik az Azure-beli virtuális hálózaton, amelyek számos kimenő kapcsolatot létesítenek, és intenzíven használnak különböző portokat a kimenő kommunikációhoz, érdemes megfontolnia az Azure NAT Gateway szolgáltatás üzembe helyezését. A szolgáltatás segít a rendelkezésre álló portszámok összevonásában és maximalizálásában, valamint a portkimerülés elkerülésében.
Előfordulhat például, hogy rendelkezik néhány alhálózattal rendelkező virtuális hálózattal. Ez az alhálózat üzemelteti az Azure-beli virtuális gépeket, míg egy másik alhálózat egy appszolgáltatást üzemeltet egy webhelytel vagy más szolgáltatással. Az Azure NAT Gateway használata nélkül a virtuális gépek és más szolgáltatások korlátozott számú porttal rendelkeznek a kimenő kapcsolatokhoz. Ez a szám általában kisebb, mint az elméletileg elérhető 65 535 port. A kapcsolat túllépi az időkorlátot, ha az egyik virtuális gép vagy szolgáltatás kimeríti a rendelkezésre álló portkészletet. Más virtuális gépekről nem oszthat meg portkészletet, mert a portok virtuális gépenként vannak hozzárendelve, és ezek az erőforrások eltérő IP-címmel rendelkezhetnek a nyilvános kommunikációhoz. A nyilvános IP-címmel rendelkező Azure-beli virtuális gépek ezzel a címmel férhetnek hozzá az internetes erőforrásokhoz. Míg a nyilvános IP-címmel nem rendelkező virtuális gépek az Azure-szolgáltatás címkészletében jelenleg elérhető címet használják. Az Azure NAT Gateway mindkét probléma megoldásában segít azáltal, hogy az alhálózatban lévő virtuális gépek portjainak teljes hatókörét, valamint egy egyedi nyilvános IP-címet (vagy IP-hatókört) biztosít a kimenő kapcsolatokhoz.
Az Azure NAT Gateway szolgáltatás használatához nem megfelelő forgatókönyvek
Bár az Azure NAT Gateway hasznos és könnyen üzembe helyezhető szolgáltatás, lehet, hogy nem minden esetben megfelelő. Íme néhány példa:
- Ha az Azure-beli virtuális gépek elrendezése egyszerű, és csak néhány olyan virtuális géppel rendelkezik, amelyek ritkán létesítenek sok internetkapcsolatot az internetkapcsolattal, valószínűleg nincs szüksége az Azure NAT Gatewayre. Ehelyett használhatja az Azure natív címfordítását, vagy hozzárendelhet egy nyilvános IP-címet egy vagy több virtuális géphez.
- Ha az internetről érkező Azure-beli virtuális gépek bejövő kapcsolatait kell kezelnie, az Azure NAT Gateway nem hasznos. Az Azure NAT Gateway csak akkor kezeli a bejövő kapcsolatokat, ha azok a NAT mögötti Azure-beli virtuális gépről (vagy más szolgáltatásból) indulnak. Egy Azure-beli virtuális gépre telepített Azure-beli virtuális gép vagy szoftver kapcsolatot kezdeményez az interneten található erőforrással. Az Azure NAT Gateway regisztrálja ezt a kapcsolatot. Ha az interneten található erőforrásnak adatokat kell visszaadnia az Azure-beli virtuális gépnek, vagy bejövő kapcsolatot kell kezdeményeznie, az engedélyezett. Az internetről indított kapcsolatok azonban le vannak tiltva, amelyek nem válaszolnak a kimenő forgalomra.
- Ha más Azure-alapú szolgáltatásokkal, például az Azure SQL Database-sel vagy az Azure Storage-tal szeretne kapcsolatot létesíteni, ne használja az Azure NAT Gatewayt. Nem kell üzembe helyeznie az Azure NAT Gatewayt az Azure-erőforrásokhoz való csatlakozáshoz. Az Azure-szolgáltatásokhoz való csatlakozáskor az Azure Private Link használatával összekapcsolhatja az Azure-erőforrásokat a virtuális hálózattal, és szabályozhatja az Azure-szolgáltatás erőforrásaihoz való hozzáférést. Ha például hozzáfér az Azure Storage-hoz, használjon privát végpontot a tároláshoz, hogy a kapcsolat teljes mértékben privát legyen.
- Az Azure NAT Gateway nem használható Azure Gateway-alhálózatokkal. Egyetlen Azure NAT Gateway-szolgáltatást sem használhat több virtuális hálózattal az Azure-ban. Egyetlen Azure NAT Gateway-szolgáltatással azonban több alhálózatot is lefedhet ugyanazon a virtuális hálózaton belül.