Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan komponen utama sumber daya gateway network address translation (NAT) yang memungkinkannya menyediakan konektivitas keluar yang sangat aman, dapat diskalakan, dan tangguh. Sumber daya gateway NAT adalah bagian dari layanan Azure NAT Gateway.
Anda dapat mengonfigurasi gateway NAT di langganan Anda melalui klien yang didukung. Klien ini termasuk portal Azure, Azure CLI, Azure PowerShell, templat Azure Resource Manager, atau alternatif yang sesuai.
SKU untuk Azure NAT Gateway
Azure NAT Gateway tersedia dalam dua SKU: StandardV2 dan Standard.
SKU StandardV2 adalah zona redundan secara default. Ini secara otomatis mencakup beberapa zona ketersediaan di suatu wilayah untuk menyediakan konektivitas keluar yang berkelanjutan meskipun satu zona menjadi tidak tersedia.
SKU Standar adalah sumber daya zonal. Ini diterapkan ke zona ketersediaan tertentu dan dapat diandalkan serta tangguh dalam zona tersebut.
Gateway NAT StandardV2 mendukung IP publik IPv4 dan IPv6, sedangkan gateway NAT Standar hanya mendukung IP publik IPv4.
arsitektur Azure NAT Gateway
Azure NAT Gateway menggunakan jaringan yang ditentukan perangkat lunak untuk beroperasi sebagai layanan terdistribusi yang dikelola sepenuhnya. Secara desain, gateway NAT mencakup beberapa domain kesalahan, memungkinkannya untuk menahan beberapa kegagalan tanpa pengaruh apa pun pada layanan.
Azure NAT Gateway menyediakan terjemahan alamat jaringan sumber (SNAT) untuk instans privat dalam subnet terkait dari jaringan virtual Azure Anda. IP privat mesin virtual menggunakan SNAT untuk alamat IP publik statis dari gateway NAT untuk terhubung keluar ke internet. Azure NAT Gateway juga menyediakan terjemahan alamat jaringan tujuan (DNAT) untuk paket respons ke koneksi asal keluar saja.
Saat gateway NAT dikonfigurasikan pada suatu subnet dalam jaringan virtual, gateway tersebut menjadi tipe hop berikutnya default untuk subnet itu untuk semua lalu lintas keluar yang diarahkan ke internet. Tidak diperlukan konfigurasi perutean tambahan. Gateway NAT tidak menyediakan koneksi masuk yang tidak diminta dari internet. DNAT dilakukan hanya untuk paket yang tiba sebagai respons terhadap paket keluar.
Subnets
Anda dapat melampirkan gateway STANDARDV2 atau NAT Standar ke beberapa subnet dalam jaringan virtual untuk menyediakan konektivitas keluar ke internet. Saat gateway NAT dilampirkan ke subnet, gateway tersebut mengasumsikan rute default ke internet. Gateway NAT berfungsi sebagai langkah berikutnya untuk semua lalu lintas keluar menuju internet.
Gateway NAT memiliki batasan ini untuk konfigurasi subnet:
Setiap subnet tidak dapat melampirkan lebih dari satu gateway NAT.
Anda tidak dapat melampirkan gateway NAT ke subnet dari jaringan virtual yang berbeda.
Anda tidak dapat menggunakan NAT gateway dengan gateway subnet. Subnet gateway adalah subnet yang ditunjuk untuk gateway VPN untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal.
Alamat IP publik statik
Gateway NAT dapat dikaitkan dengan alamat IP publik statis atau awalan IP publik. Jika Anda menetapkan prefiks IP publik, seluruh prefiks IP publik akan digunakan. Anda dapat menggunakan awalan IP publik secara langsung atau mendistribusikan alamat IP publik prefiks di beberapa sumber daya gateway NAT. Gateway NAT mengirimkan semua lalu lintas ke rentang alamat IP dari prefix.
Ketentuan ini berlaku:
Gateway NAT StandardV2 mendukung hingga 16 alamat IP publik IPv4 dan 16 IPv6.
Anda tidak dapat menggunakan gateway NAT Standar dengan alamat IP publik IPv6 atau awalan. Gateway NAT Standar mendukung hingga 16 alamat IP publik IPv4.
Anda tidak dapat menggunakan gateway NAT dengan alamat IP publik untuk SKU Dasar.
| SKU Azure NAT Gateway | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Ya, mendukung alamat IP publik dan prefiks IPv4. | Ya, mendukung alamat IP publik dan prefiks IPv6. |
| Standar | Ya, mendukung alamat IP publik dan prefiks IPv4. | Tidak, tidak mendukung alamat IP publik dan awalan IPv6. |
Port SNAT
Inventaris port SNAT disediakan oleh alamat IP publik, awalan IP publik, atau keduanya dilampirkan ke gateway NAT. Inventori port SNAT tersedia sesuai permintaan untuk semua instans dalam subnet yang dilampirkan ke gateway NAT. Tidak perlu alokasi awal port SNAT tiap instans.
Untuk informasi selengkapnya tentang port SNAT dan Azure NAT Gateway, lihat Source Network Address Translation (SNAT) dengan Azure NAT Gateway.
Ketika beberapa subnet dalam jaringan virtual dilampirkan ke sumber daya gateway NAT yang sama, inventarisasi port SNAT yang disediakan gateway NAT dibagikan di semua subnet.
Port SNAT berfungsi sebagai pengidentifikasi unik untuk membedakan alur koneksi satu sama lain. Port SNAT yang sama dapat digunakan untuk menyambungkan ke titik akhir tujuan yang berbeda secara bersamaan.
Port SNAT yang berbeda digunakan untuk membuat koneksi ke titik akhir tujuan yang sama untuk membedakan alur koneksi satu sama lain. Port SNAT yang digunakan kembali untuk menyambungkan ke tujuan yang sama ditempatkan pada sebuah penghitung waktu pendingin ulang sebelum dapat digunakan kembali.
Gateway NAT tunggal dapat diskalakan dengan jumlah alamat IP publik yang terkait dengannya. Setiap alamat IP publik untuk gateway NAT menyediakan 64.512 port SNAT untuk membuat koneksi keluar. Gateway NAT dapat menskalakan hingga lebih dari 1 juta port SNAT. TCP dan UDP adalah inventori port SNAT terpisah dan tidak terkait dengan gateway NAT.
Zona ketersediaan
Azure NAT Gateway memiliki dua SKU: Standar dan StandardV2. Untuk memastikan bahwa arsitektur Anda tahan terhadap kegagalan zonal, sebarkan gateway NAT StandardV2, karena ini adalah sumber daya zona redundan. Ketika zona ketersediaan di suatu wilayah tidak berfungsi, koneksi baru mengalir dari zona sehat yang tersisa.
Gateway NAT Standar adalah sumber daya zona, yang berarti Anda dapat menyebarkan dan mengoperasikannya dari zona ketersediaan individual. Jika zona yang terkait dengan gateway NAT Standar tidak berfungsi, pemadaman memengaruhi konektivitas keluar untuk subnet yang terkait dengan gateway NAT.
Untuk informasi selengkapnya tentang zona ketersediaan dan Azure NAT Gateway, lihat Keandalan dalam Azure NAT Gateway.
Setelah menyebarkan gateway NAT, Anda tidak dapat mengubah pilihan zona.
Protokol
Gateway NAT berinteraksi dengan header transportasi IP dan IP alur UDP dan TCP. Gateway NAT bersifat agnostik untuk payload lapisan aplikasi. Protokol IP lainnya, seperti ICMP, tidak didukung.
Reset TCP
Paket reset TCP dikirim saat gateway NAT mendeteksi lalu lintas pada alur koneksi yang tidak ada. Paket reset TCP menunjukkan ke titik akhir penerimaan bahwa alur koneksi dirilis dan komunikasi di masa mendatang pada koneksi TCP yang sama ini akan gagal. Reset TCP bersifat searah untuk gateway NAT.
Alur koneksi mungkin tidak ada jika:
Koneksi mencapai batas waktu tidak aktif setelah periode tidak aktif pada alur koneksi, dan koneksi terputus tanpa pemberitahuan.
Pengirim, baik dari sisi jaringan Azure atau dari sisi internet publik, mengirim lalu lintas setelah koneksi terputus.
Sistem mengirimkan paket reset TCP hanya ketika mendeteksi lalu lintas pada alur koneksi yang terputus. Operasi ini berarti paket reset TCP mungkin tidak segera dikirim setelah alur koneksi turun.
Sistem mengirimkan paket reset TCP sebagai respons terhadap mendeteksi lalu lintas pada arus koneksi yang tidak ada, terlepas dari apakah lalu lintas berasal dari sisi jaringan Azure atau sisi internet publik.
Batas waktu diam TCP
Gateway NAT menyediakan rentang batas waktu diam yang dapat dikonfigurasi selama 4 menit hingga 120 menit untuk protokol TCP. Protokol UDP memiliki batas waktu diam yang tidak dapat dikonfigurasi selama 4 menit.
Saat koneksi tidak aktif, gateway NAT menahan port SNAT hingga waktu tidak aktif koneksi habis. Karena durasi waktu habis diam yang panjang dapat meningkatkan kemungkinan kelelahan port SNAT, kami tidak menyarankan Anda meningkatkan durasi waktu habis diam TCP menjadi lebih lama dari durasi waktu default 4 menit. Timer idle tidak memengaruhi alur proses yang tidak pernah berhenti.
Anda dapat menggunakan keepalives TCP untuk menyediakan pola penyegaran koneksi diam panjang dan deteksi keaktifan titik akhir. Untuk informasi selengkapnya, lihat contoh .NET. Keepalives TCP tampak sebagai pengakuan duplikat (ACK) pada titik akhir, dengan overhead yang rendah, dan tidak terlihat oleh lapisan aplikasi.
Timer batas waktu diam UDP tidak dapat dikonfigurasi. Anda harus menggunakan keepalives UDP untuk memastikan koneksi tidak mencapai batas waktu idle, serta untuk mempertahankan koneksi. Tidak seperti koneksi TCP, keepalive UDP yang diaktifkan di satu sisi koneksi hanya berlaku untuk arus lalu lintas dalam satu arah. Anda harus mengaktifkan keepalives UDP di kedua sisi aliran lalu lintas untuk memastikan aliran tetap aktif.
Timers
Pengatur waktu penggunaan ulang port
Timer reuse port menentukan jumlah waktu setelah koneksi menutup selama port sumber ditahan sebelum dapat digunakan kembali oleh gateway NAT untuk koneksi baru ke titik akhir tujuan yang sama.
Tabel berikut ini menyediakan informasi tentang kapan port TCP tersedia untuk digunakan kembali ke titik akhir tujuan yang sama oleh gateway NAT.
| Pengatur Waktu | Deskripsi | Value |
|---|---|---|
| TCP FIN | Setelah paket TCP FIN menutup koneksi, timer 65 detik menahan port SNAT. Port SNAT tersedia untuk digunakan kembali setelah timer berakhir. | 65 detik |
| TCP RST | Setelah paket RST TCP (reset) menutup sebuah koneksi, penghitung waktu selama 16 detik menahan port SNAT. Ketika timer berakhir, port tersedia untuk digunakan kembali. | 16 detik |
| TCP setengah terbuka | Selama pembuatan koneksi ketika satu titik akhir menunggu konfirmasi dari titik akhir lainnya, timer 30 detik dimulai. Jika tidak ada lalu lintas yang terdeteksi, koneksi akan ditutup. Setelah koneksi ditutup, port sumber tersedia untuk digunakan kembali ke titik akhir tujuan yang sama. | 30 detik |
Untuk lalu lintas UDP, setelah koneksi ditutup, port berada dalam penangguhan selama 65 detik sebelum dapat digunakan kembali.
Timer batas waktu tidak aktif
| Pengatur Waktu | Deskripsi | Value |
|---|---|---|
| Batas waktu diam TCP | Koneksi TCP dapat diam ketika tidak ada titik akhir yang mengirimkan data apa pun untuk jangka waktu yang lama. Anda dapat mengonfigurasi timer dari 4 menit (default) hingga 120 menit (2 jam) untuk waktu habis koneksi diam. Lalu lintas pada alur mengatur ulang timer batas waktu diam. | Dikonfigurasi; 4 menit (default) hingga 120 menit |
| Batas waktu diam UDP | Koneksi UDP dapat diam saat titik akhir tidak mengirimkan data untuk jangka waktu yang lama. Timer batas waktu jeda UDP adalah 4 menit dan tidak dapat dikonfigurasi. Lalu lintas pada alur mengatur ulang timer batas waktu diam. | Tidak dapat dikonfigurasi; 4 menit |
Catatan
Setelan timer ini bisa berubah. Nilai yang disediakan dapat membantu pemecahan masalah. Anda tidak boleh bergantung pada timer tertentu saat ini.
Bandwidth
Setiap SKU Azure NAT Gateway memiliki batas bandwidth:
Gateway NAT StandardV2 mendukung throughput data hingga 100 Gbps untuk setiap resource gateway NAT.
Gateway NAT Standard menyediakan throughput 50 Gbps, yang dibagi antara data keluar dan respons masuk. Laju data dibatasi kecepatan pada 25 Gbps untuk data keluar dan 25 Gbps untuk respons (data masuk) per sumber daya gateway NAT Standar.
Performance
Gateway NAT Standar dan StandardV2 masing-masing mendukung hingga 50.000 koneksi bersamaan per alamat IP publik ke titik akhir tujuan yang sama melalui internet untuk lalu lintas TCP dan UDP.
Masing-masing dapat mendukung hingga 2 juta koneksi aktif secara bersamaan. Jumlah koneksi pada gateway NAT dihitung berdasarkan 5 tuple (alamat IP sumber, port sumber, alamat IP tujuan, port tujuan, dan protokol). Jika gateway NAT melebihi 2 juta koneksi, ketersediaan jalur data akan menurun dan koneksi baru gagal.
Gateway NAT StandardV2 dapat memproses hingga 10 juta paket per detik. Gateway NAT Standar dapat memproses hingga 5 juta paket per detik.
Batasan
IP publik Standar dan Dasar tidak kompatibel dengan gateway NAT StandardV2. Gunakan IP publik StandardV2 sebagai gantinya.
Untuk membuat IP publik StandardV2, lihat Buat IP publik Azure.
Load balancer dasar tidak kompatibel dengan gateway NAT. Gunakan load balancer Standar untuk gateway NAT Standar dan StandardV2.
Untuk meningkatkan load balancer dari Dasar ke Standar, lihat Mutakhirkan load balancer publik Azure.
IP publik dasar tidak kompatibel dengan gateway NAT Standar. Gunakan IP publik Standar sebagai gantinya.
Untuk meningkatkan alamat IP publik dari Dasar ke Standar, lihat Meningkatkan alamat IP publik Dasar ke Standar.
Azure NAT Gateway tidak mendukung ICMP.
Fragmentasi IP tidak tersedia untuk Azure NAT Gateway.
Azure NAT Gateway tidak mendukung alamat IP publik dengan jenis konfigurasi perutean Internet. Untuk melihat daftar layanan Azure yang mendukung konfigurasi Internet untuk perutean pada IP publik, lihat layanan yang mendukung perutean melalui internet publik.
Azure NAT Gateway tidak mendukung IP publik dengan perlindungan DDoS diaktifkan. Untuk informasi selengkapnya, lihat Batasan DDoS.
Azure NAT Gateway tidak didukung dalam arsitektur jaringan hub virtual aman (vWAN).
Anda tidak dapat meningkatkan gateway NAT Standar ke gateway NAT StandardV2. Untuk mencapai ketahanan zona untuk arsitektur yang menggunakan gateway NAT zona, Anda harus menyebarkan gateway NAT StandardV2 untuk mengganti gateway NAT SKU Standar.
Anda tidak dapat menggunakan IP publik Standar dengan gateway NAT StandardV2. Anda harus mengganti IP ke IP publik StandardV2 yang baru untuk menggunakan gateway NAT StandardV2.
Untuk batasan gateway NAT StandardV2 yang lebih dikenal, lihat SKU Azure NAT Gateway.
Konten terkait
- Tinjau ringkasan Azure NAT Gateway.
- Pelajari tentang metrik dan pemberitahuan untuk Azure NAT Gateway.
- Pelajari cara memecahkan masalah Azure NAT Gateway.