Bagikan melalui


Pertimbangan Azure NAT Gateway untuk multisewa

Azure NAT Gateway menyediakan kontrol atas konektivitas jaringan keluar dari sumber daya Anda yang dihosting dalam jaringan virtual Azure. Dalam artikel ini, kami meninjau bagaimana NAT Gateway dapat mengurangi kelelahan port Source Network Address Translation (SNAT), yang dapat memengaruhi aplikasi multipenyewa. Kami juga meninjau bagaimana NAT Gateway menetapkan alamat IP statis ke lalu lintas keluar dari solusi multipenyewa Anda.

Catatan

Firewall, seperti Azure Firewall, memungkinkan Anda mengontrol dan mencatat lalu lintas keluar Anda. Azure Firewall juga menyediakan skala port SNAT serupa dan kontrol alamat IP keluar ke NAT Gateway. NAT Gateway lebih murah, tetapi juga memiliki lebih sedikit fitur dan bukan produk keamanan.

Fitur NAT Gateway yang mendukung multitenansi

Port SNAT skala tinggi

Port SNAT dialokasikan ketika aplikasi Anda membuat beberapa koneksi keluar bersamaan ke alamat IP publik yang sama, pada port yang sama. Port SNAT adalah sumber daya terbatas dalam load balancer. Jika aplikasi Anda membuka sejumlah besar koneksi terpisah ke host yang sama, aplikasi tersebut dapat menggunakan semua port SNAT yang tersedia. Situasi ini disebut kelelahan port SNAT.

Di sebagian besar aplikasi, kelelahan port SNAT menunjukkan bahwa aplikasi Anda salah menangani koneksi HTTP atau port TCP. Namun, beberapa aplikasi multipenyewa berisiko khusus melebihi batas port SNAT, bahkan jika mereka menggunakan kembali koneksi dengan tepat. Misalnya, situasi ini dapat terjadi ketika aplikasi Anda tersambung ke banyak database khusus penyewa di belakang gateway database yang sama.

Tip

Jika Anda mengamati kelelahan port SNAT dalam aplikasi multipenyewa, Anda harus memverifikasi apakah aplikasi Anda mengikuti praktik yang baik. Pastikan Anda menggunakan kembali koneksi HTTP dan tidak membuat ulang koneksi baru setiap kali Anda tersambung ke layanan eksternal. Anda mungkin dapat menyebarkan NAT Gateway untuk mengatasi masalah tersebut, tetapi jika kode Anda tidak mengikuti praktik terbaik, Anda dapat mengalami masalah lagi di masa mendatang.

Masalah ini diperburuk saat Anda bekerja dengan layanan Azure yang berbagi alokasi port SNAT antara beberapa pelanggan, seperti Azure App Service dan Azure Functions.

Jika Anda menentukan bahwa Anda mengalami kelelahan SNAT dan yakin kode aplikasi Anda menangani koneksi keluar dengan benar, pertimbangkan untuk menyebarkan NAT Gateway. Pendekatan ini umumnya digunakan oleh pelanggan yang menyebarkan solusi multipenyewa yang dibangun di Azure App Service dan Azure Functions.

Gateway NAT individual dapat memiliki beberapa alamat IP publik yang terlampir, dan setiap alamat IP publik menyediakan sekumpulan port SNAT untuk menyambungkan keluar ke internet. Untuk memahami jumlah maksimum port dan alamat IP SNAT yang dapat didukung oleh gateway NAT tunggal, lihat Batas, kuota, dan batasan langganan dan layanan Azure. Jika Anda perlu menskalakan melebihi batas ini, Anda dapat mempertimbangkan untuk menyebarkan beberapa instans NAT Gateway di beberapa subnet atau VNet. Setiap komputer virtual dalam subnet dapat menggunakan salah satu port SNAT yang tersedia, jika membutuhkannya.

Kontrol alamat IP keluar

Kontrol alamat IP keluar dapat berguna dalam aplikasi multipenyewa, ketika Anda memiliki semua persyaratan berikut:

  • Anda menggunakan layanan Azure yang tidak secara otomatis menyediakan alamat IP statis khusus untuk lalu lintas keluar. Layanan ini termasuk Azure App Service, Azure Functions, API Management (saat berjalan di tingkat konsumsi), dan Azure Container Instances.
  • Anda perlu terhubung ke jaringan penyewa Anda melalui internet.
  • Penyewa Anda perlu memfilter lalu lintas masuk berdasarkan alamat IP setiap permintaan.

Saat instans NAT Gateway diterapkan ke subnet, lalu lintas keluar apa pun dari subnet tersebut menggunakan alamat IP publik yang terkait dengan gateway NAT.

Catatan

Saat Anda mengaitkan beberapa alamat IP publik dengan satu NAT Gateway, lalu lintas keluar Anda dapat berasal dari salah satu alamat IP tersebut. Anda mungkin perlu mengonfigurasi aturan firewall di tujuan. Anda harus mengizinkan setiap alamat IP, atau menggunakan sumber daya awalan alamat IP publik untuk menggunakan sekumpulan alamat IP publik dalam rentang yang sama.

Model isolasi

Jika Anda perlu menyediakan alamat IP publik keluar yang berbeda untuk setiap penyewa, Anda harus menyebarkan sumber daya NAT Gateway individual. Setiap subnet dapat dikaitkan dengan satu instans NAT Gateway. Untuk menyebarkan lebih banyak gateway NAT, Anda perlu menyebarkan beberapa subnet atau jaringan virtual. Pada gilirannya, Anda mungkin perlu menyebarkan beberapa set sumber daya komputasi.

Tinjau Pendekatan arsitektur untuk jaringan dalam solusi multipenyewa untuk informasi selengkapnya tentang cara merancang topologi jaringan multipenyewa.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

  • John Downs | Teknisi Pelanggan Utama, FastTrack untuk Azure

Kontributor lain:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya