Pertimbangan Azure NAT Gateway untuk multisewa
Azure NAT Gateway menyediakan kontrol atas konektivitas jaringan keluar dari sumber daya Anda yang dihosting dalam jaringan virtual Azure. Dalam artikel ini, kami meninjau bagaimana NAT Gateway dapat mengurangi kelelahan port Source Network Address Translation (SNAT), yang dapat memengaruhi aplikasi multipenyewa. Kami juga meninjau bagaimana NAT Gateway menetapkan alamat IP statis ke lalu lintas keluar dari solusi multipenyewa Anda.
Catatan
Firewall, seperti Azure Firewall, memungkinkan Anda mengontrol dan mencatat lalu lintas keluar Anda. Azure Firewall juga menyediakan skala port SNAT serupa dan kontrol alamat IP keluar ke NAT Gateway. NAT Gateway lebih murah, tetapi juga memiliki lebih sedikit fitur dan bukan produk keamanan.
Fitur NAT Gateway yang mendukung multitenansi
Port SNAT skala tinggi
Port SNAT dialokasikan ketika aplikasi Anda membuat beberapa koneksi keluar bersamaan ke alamat IP publik yang sama, pada port yang sama. Port SNAT adalah sumber daya terbatas dalam load balancer. Jika aplikasi Anda membuka sejumlah besar koneksi terpisah ke host yang sama, aplikasi tersebut dapat menggunakan semua port SNAT yang tersedia. Situasi ini disebut kelelahan port SNAT.
Di sebagian besar aplikasi, kelelahan port SNAT menunjukkan bahwa aplikasi Anda salah menangani koneksi HTTP atau port TCP. Namun, beberapa aplikasi multipenyewa memiliki risiko khusus melebihi batas port SNAT, bahkan jika mereka menggunakan kembali koneksi dengan tepat. Misalnya, situasi ini dapat terjadi ketika aplikasi Anda tersambung ke banyak database khusus penyewa di belakang gateway database yang sama.
Tip
Jika Anda mengamati kelelahan port SNAT dalam aplikasi multipenyewa, Anda harus memverifikasi apakah aplikasi Anda mengikuti praktik yang baik. Pastikan Anda menggunakan kembali koneksi HTTP dan tidak membuat ulang koneksi baru setiap kali Anda tersambung ke layanan eksternal. Anda mungkin dapat menyebarkan NAT Gateway untuk mengatasi masalah tersebut, tetapi jika kode Anda tidak mengikuti praktik terbaik, Anda dapat mengalami masalah lagi di masa mendatang.
Masalah ini diperburuk saat Anda bekerja dengan layanan Azure yang berbagi alokasi port SNAT antara beberapa pelanggan, seperti Azure App Service dan Azure Functions.
Jika Anda menentukan bahwa Anda mengalami kelelahan SNAT dan yakin kode aplikasi Anda menangani koneksi keluar dengan benar, pertimbangkan untuk menyebarkan NAT Gateway. Pendekatan ini umumnya digunakan oleh pelanggan yang menyebarkan solusi multipenyewa yang dibangun di atas Azure App Service dan Azure Functions.
Setiap alamat IP publik yang dilampirkan ke gateway NAT menyediakan 64.512 port SNAT untuk menyambungkan keluar ke internet. Gateway NAT dapat menskalakan untuk menggunakan hingga 16 alamat IP publik yang menyediakan lebih dari 1 juta port SNAT. Jika Anda perlu menskalakan melebihi batas ini, Anda dapat mempertimbangkan untuk menyebarkan beberapa instans NAT Gateway di beberapa subnet atau VNet. Setiap komputer virtual dalam subnet dapat menggunakan salah satu port SNAT yang tersedia, jika membutuhkannya.
Kontrol alamat IP keluar
Kontrol alamat IP keluar dapat berguna dalam aplikasi multipenyewa, ketika Anda memiliki semua persyaratan berikut:
- Anda menggunakan layanan Azure yang tidak secara otomatis menyediakan alamat IP statis khusus untuk lalu lintas keluar. Layanan ini mencakup Azure App Service, Azure Functions, API Management (saat berjalan di tingkat konsumsi), dan Azure Container Instances.
- Anda perlu terhubung ke jaringan penyewa Anda melalui internet.
- Penyewa Anda perlu memfilter lalu lintas masuk berdasarkan alamat IP setiap permintaan.
Saat instans NAT Gateway diterapkan ke subnet, lalu lintas keluar apa pun dari subnet tersebut menggunakan alamat IP publik yang terkait dengan gateway NAT.
Catatan
Saat Anda mengaitkan beberapa alamat IP publik dengan satu NAT Gateway, lalu lintas keluar Anda dapat berasal dari salah satu alamat IP tersebut. Anda mungkin perlu mengonfigurasi aturan firewall di tujuan. Anda harus mengizinkan setiap alamat IP, atau menggunakan sumber daya awalan alamat IP publik untuk menggunakan sekumpulan alamat IP publik dalam rentang yang sama.
Model isolasi
Jika Anda perlu menyediakan alamat IP publik keluar yang berbeda untuk setiap penyewa, Anda harus menyebarkan sumber daya NAT Gateway individual. Setiap subnet dapat dikaitkan dengan satu instans NAT Gateway. Untuk menyebarkan lebih banyak gateway NAT, Anda perlu menyebarkan beberapa subnet atau jaringan virtual. Pada gilirannya, Anda mungkin perlu menyebarkan beberapa set sumber daya komputasi.
Tinjau Pendekatan arsitektur untuk jaringan dalam solusi multipenyewa untuk informasi selengkapnya tentang cara merancang topologi jaringan multipenyewa.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- John Downs | Teknisi Pelanggan Utama, FastTrack untuk Azure
Kontributor lainnya:
- Aimee Littleton | Manajer Program 2, Azure NAT Gateway
- Arsen Vladimirskiy | Teknisi Pelanggan Utama, FastTrack untuk Azure
- Joshua Waddell | Teknisi Pelanggan Senior, FastTrack untuk Azure
Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk