Aturan keluar Azure Load Balancer

Aturan keluar memungkinkan Anda untuk, secara eksplisit, mendefinisikan SNAT(terjemahan alamat jaringan sumber) sebagai penyeimbang muatan standar publik. Konfigurasi ini memungkinkan Anda menggunakan IP publik penyeimbang muatan Anda untuk menyediakan konektivitas internet keluar untuk instans backend Anda.

Konfigurasi ini mengaktifkan:

• Penyamaran IP
• Menyederhanakan daftar izin Anda.
• Pengurangan jumlah sumber daya IP publik untuk penyebaran.

Dengan aturan keluar, Anda memiliki kontrol deklaratif penuh atas konektivitas internet keluar. Aturan keluar memungkinkan Anda untuk menskalakan dan menyelaraskan kemampuan ini dengan kebutuhan spesifik Anda.

Aturan keluar hanya akan diikuti jika backend komputer virtual tidak memiliki alamat IP publik tingkat instans (ILPIP).

Dengan aturan keluar, Anda dapat, secara eksplisit, mendefinisikan perilaku SNAT keluar.

Aturan keluar memungkinkan Anda mengontrol:

• Komputer virtual mana yang diterjemahkan ke alamat IP publik.
  • Dua aturan saat kumpulan backend 1 menggunakan kedua alamat IP biru, dan kumpulan backend 2 menggunakan awalan IP kuning.
• Bagaimana mengalokasikan port SNAT keluar.
  • Jika kumpulan backend 2 adalah satu-satunya kumpulan yang membuat koneksi keluar, berikan semua port SNAT ke kumpulan backend 2 dan tidak ada untuk kumpulan backend 1.
• Protokol mana yang akan menyediakan terjemahan keluar.
  • Jika kumpulan backend 2 membutuhkan port UDP keluar, dan kumpulan backend 1 membutuhkan TCP, berikan port TCP ke 1 dan port UDP ke 2.
• Durasi mana yang digunakan untuk waktu diam habis koneksi keluar (4-120 menit).
  • Jika ada koneksi yang berjalan lama namun tetap aktif, cadangkan port diam untuk koneksi yang berjalan lama hingga 120 menit. Asumsikan koneksi usang ditinggalkan dan rilis port dalam 4 menit untuk koneksi baru
• Apakah akan mengirimkan Pengaturan ulang TCP saat waktu diam habis.
  • Ketika waktu koneksi diam habis, haruskah kita mengirim RST TCP ke klien dan server sehingga mereka tahu alur yang ditinggalkan?

Penting

Saat kumpulan backend dikonfigurasi oleh alamat IP, kumpulan tersebut akan berperilaku sebagai Basic Load Balancer dengan keluar default diaktifkan. Untuk konfigurasi dan aplikasi yang aman secara default dengan kebutuhan keluar yang menuntut, konfigurasikan kumpulan backend oleh NIC.

Definisi aturan keluar

Aturan keluar mengikuti sintaks yang sama seperti penyeimbangan muatan dan aturan NAT masuk: kumpulan + backend + parameter frontend.

Aturan keluar mengonfigurasi NAT keluar untuk semua komputer virtual yang diidentifikasi oleh kumpulan backend untuk diterjemahkan ke frontend.

Parameter memberikan kontrol tambahan yang lebih baik atas algoritme NAT keluar.

Skalakan NAT keluar dengan beberapa alamat IP

Setiap alamat IP tambahan yang disediakan oleh frontend menyediakan 64.000 port ephemeral lainnya untuk penyeimbang beban untuk digunakan sebagai port SNAT.

Gunakan beberapa alamat IP untuk merencanakan skenario skala besar. Gunakan aturan keluar untuk mengurangi kelelahan SNAT.

Anda juga dapat menggunakan awalan IP publik secara langsung dengan aturan keluar.

Awalan IP publik meningkatkan penskalaan penyebaran Anda. Prefiks dapat ditambahkan ke daftar izin alur yang berasal dari sumber daya Azure Anda. Anda dapat mengonfigurasi konfigurasi IP frontend dalam penyeimbang muatan untuk mereferensikan awalan alamat IP publik.

Penyeimbang muatan memiliki kontrol atas awalan IP publik. Secara otomatis, aturan keluar akan menggunakan semua alamat IP publik yang terdapat di dalam awalan IP publik untuk koneksi keluar.

Masing-masing alamat IP dalam awalan IP publik menyediakan 64.000 port ephemeral tambahan per alamat IP untuk penyeimbang beban untuk digunakan sebagai port SNAT.

Waktu diam habis alur keluar dan atur ulang TCP

Aturan keluar menyediakan parameter konfigurasi untuk mengontrol batas waktu diam habis alur keluar dan menyesuaikannya dengan kebutuhan aplikasi Anda. Default waktu diam habis keluar hingga 4 menit. Untuk informasi selengkapnya, lihat mengonfigurasi waktu diam habis.

Perilaku default penyeimbang muatan adalah menghilangkan alur secara diam-diam saat waktu diam habis keluar telah tercapai. Parameter enableTCPReset tersebut memungkinkan perilaku dan kontrol aplikasi yang dapat diprediksi. Parameter menentukan apakah akan mengirim Reset TCP dua arah (TCP RST) pada saat waktu diam habis keluar.

Ulas Penyetelan Ulang TCP pada waktu diam habis untuk detail termasuk ketersediaan wilayah.

Mengamankan dan mengontrol konektivitas keluar secara eksplisit

Aturan penyeimbangan muatan menyediakan pemrograman NAT keluar secara otomatis. Beberapa skenario menguntungkan atau mengharuskan Anda menonaktifkan pemrograman otomatis NAT keluar dengan aturan penyeimbang muatan. Menonaktifkan melalui aturan memungkinkan Anda untuk mengontrol atau memperbaiki perilaku.

Anda dapat menggunakan parameter ini dengan dua cara:

1. Pencegahan alamat IP masuk untuk SNAT keluar. Menonaktifkan SNAT keluar dalam aturan penyeimbangan muatan.

2. Menyetel parameter SNAT keluar dari alamat IP yang digunakan untuk masuk dan keluar secara bersamaan. NAT keluar otomatis harus dinonaktifkan untuk memungkinkan aturan keluar guna mengambil kendali. Untuk mengubah alokasi port SNAT alamat yang juga digunakan untuk masuk, disableOutboundSnat parameter harus disetel ke true.

Operasi untuk mengonfigurasi aturan keluar gagal jika Anda mencoba menentukan ulang alamat IP yang digunakan untuk masuk. Menonaktifkan NAT keluar aturan penyeimbang muatan terlebih dahulu.

Penting

Komputer virtual Anda tidak akan memiliki konektivitas keluar jika Anda mengatur parameter ini ke true dan tidak memiliki aturan keluar untuk menentukan konektivitas keluar. Beberapa operasi komputer virtual atau aplikasi Anda mungkin bergantung pada konektivitas keluar yang tersedia. Pastikan memahami dependensi skenario Anda dan telah mempertimbangkan dampak pembuatan perubahan ini.

Terkadang, komputer virtual tidak disarankan untuk membuat aliran keluar. Mungkin terdapat persyaratan untuk mengelola tujuan mana yang menerima alur keluar, atau tujuan mana yang memulai aliran masuk. Gunakan kelompok keamanan jaringan untuk mengelola tujuan yang dapat dijangkau komputer virtual. Gunakan NSG untuk mengelola tujuan publik mana yang memulai alur masuk.

Saat Anda menerapkan NSG ke komputer virtual yang seimbang beban, perhatikan tag layanandan aturan keamanan default.

Pastikan komputer virtual dapat menerima permintaan pemeriksaan kesehatan dari Azure Load Balancer.

Jika NSG memblokir permintaan pemeriksaan kesehatan dari tag AZURE_LOADBALANCER default, pemeriksaan kesehatan komputer virtual Anda gagal dan komputer virtual ditandai tidak tersedia. Penyeimbang muatan berhenti mengirim alur baru ke VM tersebut.

Skenario aturan keluar

• Konfigurasikan koneksi keluar ke sekumpulan IP atau awalan publik tertentu.
• Ubah alokasi port SNAT.
• Aktifkan keluar saja.
• NAT keluar untuk VM saja (tidak ada masuk).
• NAT keluar untuk load balancer standar internal.
• Aktifkan protokol TCP & UDP untuk NAT keluar dengan load balancer standar publik.

Skenario 1: Mengonfigurasi koneksi keluar ke set IP publik atau prefiks tertentu

Detail

Gunakan skenario ini untuk menyesuaikan koneksi keluar ke asalnya dari set alamat IP publik. Tambahkan IP publik atau prefiks ke daftar izin atau blokir berdasarkan aslinya.

IP publik atau awalan ini mungkin sama dengan yang digunakan oleh aturan penyeimbang muatan.

Untuk menggunakan IP publik atau awalan yang berbeda dari yang digunakan oleh aturan penyeimbang muatan:

1. Buat awalan IP publik atau alamat IP publik.
2. Buat penyeimbang muatan standar publik
3. Buat frontend yang merujuk awalan IP publik atau alamat IP publik yang ingin Anda gunakan.
4. Gunakan kembali kumpulan backend atau buat kumpulan backend dan tempatkan VM ke dalam kumpulan backend penyeimbang muatan publik
5. Konfigurasikan aturan keluar pada penyeimbang muatan publik untuk mengaktifkan NAT keluar untuk VM menggunakan frontend. Tidak disarankan untuk menggunakan aturan penyeimbang muatan untuk keluar, nonaktifkan SNAT keluar pada aturan penyeimbangan muatan.

Skenario 2: Memodifikasi alokasi port SNAT

Detail

Anda dapat menggunakan aturan keluar untuk menyetel alokasi port SNAT otomatis berdasarkan ukuran kumpulan backend.

Jika mengalami kelelahan SNAT, tingkatkan jumlah port SNAT yang diberikan dari default 1024.

Setiap alamat IP publik berkontribusi hingga 64.000 port sementara. Jumlah komputer virtual di kumpulan backend menentukan jumlah port yang didistribusikan ke setiap komputer virtual. Satu komputer virtual di kumpulan backend memiliki akses ke maksimum 64.000 port. Untuk dua komputer virtual, maksimum 32.000 port SNAT dapat diberikan dengan aturan keluar (2x 32.000 = 64.000).

Anda dapat menggunakan aturan keluar untuk menyetel port SNAT yang diberikan secara default. Anda memberikan lebih atau kurang dari alokasi port SNAT default yang disediakan. Setiap alamat IP publik dari frontend aturan keluar berkontribusi hingga 64.000 port sementara untuk digunakan sebagai port SNAT.

Penyeimbang muatan memberikan port SNAT dalam kelipatan 8. Jika Anda memberikan nilai yang tidak dapat dibagi dengan 8, operasi konfigurasi ditolak. Setiap aturan penyeimbangan beban dan aturan NAT masuk menggunakan rentang delapan port. Jika aturan NAT penyeimbangan beban atau masuk berbagi rentang 8 yang sama dengan yang lain, tidak ada port tambahan yang digunakan.

Jika Anda mencoba memberikan lebih banyak port SNAT daripada yang tersedia (berdasarkan jumlah alamat IP publik), operasi konfigurasi ditolak. Misalnya, jika Anda memberikan 10.000 port per komputer virtual dan tujuh komputer virtual dalam kumpulan backend berbagi satu IP publik, konfigurasi akan ditolak. Tujuh dikalikan 10.000 melebihi batas pelabuhan 64.000. Tambahkan lebih banyak alamat IP publik ke frontend aturan keluar untuk mengaktifkan skenario.

Kembalikan ke alokasi porta default dengan menentukan 0 sebagai jumlah port. Untuk informasi selengkapnya tentang alokasi port SNAT default, lihat tabel alokasi port SNAT.

Skenario 3: Mengaktifkan keluar saja

Detail

Gunakan penyeimbang muatan standar publik untuk menyediakan NAT keluar untuk sekelompok komputer virtual. Dalam skenario ini, gunakan aturan keluar dengan sendirinya, tanpa mengonfigurasi aturan tambahan.

Catatan

Azure NAT Gateway dapat menyediakan konektivitas keluar untuk komputer virtual tanpa perlu load balancer. Lihat Apa itu Azure NAT Gateway? untuk informasi selengkapnya.

Skenario 4: NAT keluar hanya untuk mesin virtual (tanpa masuk)

Catatan

Azure NAT Gateway dapat menyediakan konektivitas keluar untuk komputer virtual tanpa perlu load balancer. Lihat Apa itu Azure NAT Gateway? untuk informasi selengkapnya.

Detail

Aturan keluar Azure Load Balancer dan NAT Microsoft Azure Virtual Network adalah opsi yang tersedia untuk keluar dari jaringan virtual.

1. Membuat IP publik atau awalan.
2. Membuat penyeimbang muatan standar publik.
3. Buat frontend yang terkait dengan IP publik atau awalan yang didedikasikan untuk outbound.
4. Membuat kumpulan backend untuk VM.
5. Menempatkan VM ke kumpulan backend.
6. Mengonfigurasi aturan keluar untuk mengaktifkan NAT keluar.

Menggunakan awalan atau IP publik untuk menskalakan port SNAT. Menambahkan sumber sambungan keluar ke daftar izin atau blokir.

Skenario 5: NAT keluar untuk penyeimbang muatan standar internal

Catatan

Azure NAT Gateway dapat menyediakan konektivitas keluar untuk komputer virtual yang menggunakan load balancer standar internal. Lihat Apa itu Azure NAT Gateway? untuk informasi selengkapnya.

Detail

Konektivitas keluar tidak tersedia untuk penyeimbang muatan standar internal hingga secara eksplisit dideklarasikan melalui IP publik tingkat instans atau NAT Microsoft Azure Virtual Network atau dengan mengaitkan anggota kumpulan backend dengan konfigurasi penyeimbang muatan hanya keluar.

Untuk informasi selengkapnya, lihat Konfigurasi penyeimbang muatan hanya keluar.

Skenario 6: Aktifkan kedua protokol UDP & TCP untuk NAT keluar dengan penyeimbang muatan standar publik

Detail

Dengan penyeimbang muatan standar publik, NAT keluar otomatis yang disediakan cocok dengan protokol transport dari aturan penyeimbangan muatan.

1. Menonaktifkan SNAT keluar dalam aturan penyeimbangan muatan.
2. Mengonfigurasi aturan keluar pada penyeimbang muatan publik.
3. Menggunakan kembali kumpulan backend yang sudah digunakan oleh VM Anda.
4. Menentukan "protokol": "Semua" sebagai bagian dari aturan keluar.

Ketika hanya aturan NAT masuk yang digunakan, tidak ada NAT keluar yang disediakan.

1. Menempatkan VM di kumpulan backend.
2. Menentukan satu atau beberapa konfigurasi IP frontend dengan alamat IP publik atau awalan IP publik
3. Mengonfigurasi aturan keluar pada penyeimbang muatan publik.
4. Menentukan "protokol": "Semua" sebagai bagian dari aturan keluar

Batasan

• Jumlah maksimum port sementara yang dapat digunakan per alamat IP frontend adalah 64.000.
• Kisaran waktu diam habis keluar yang dapat dikonfigurasi adalah 4 hingga 120 menit (240 hingga 7200 detik).
• Load balancer tidak mendukung ICMP untuk NAT keluar, satu-satunya protokol yang didukung adalah TCP dan UDP.
• Aturan keluar hanya dapat diterapkan ke konfigurasi IPv4 utama NIC. Anda tidak dapat membuat aturan keluar untuk konfigurasi IPv4 sekunder VM atau NVA . Beberapa NIC didukung.
• Aturan keluar untuk konfigurasi IP sekunder hanya didukung untuk IPv6.
• Semua koputer virtual dalam set ketersediaan harus ditambahkan ke kumpulan backend untuk konektivitas keluar.
• Semua komputer virtual dalam set skala komputer virtual harus ditambahkan ke kumpulan backend untuk konektivitas keluar.

Langkah berikutnya

• Pelajari selengkapnya tentang Azure Load Balancer Standar
• Lihat pertanyaan umum kami tentang Azure Load Balancer