Sumber daya Azure NAT Gateway
Artikel ini menjelaskan komponen utama sumber daya gateway NAT yang memungkinkannya menyediakan konektivitas keluar yang sangat aman, dapat diskalakan, dan tangguh. Beberapa komponen ini dapat dikonfigurasi dalam langganan Anda melalui portal Azure, Azure CLI, Azure PowerShell, templat Resource Manager, atau alternatif yang sesuai.
Arsitektur NAT Gateway
NAT Gateway menggunakan jaringan yang ditentukan perangkat lunak untuk beroperasi sebagai layanan terdistribusi dan dikelola sepenuhnya. Karena NAT Gateway memiliki beberapa domain kesalahan, NAT Gateway dapat menahan beberapa kegagalan tanpa berpengaruh pada layanan.
NAT Gateway menyediakan terjemahan alamat jaringan sumber (SNAT) untuk instans privat dalam subnet jaringan virtual Azure Anda. Saat dikonfigurasi pada subnet, IP privat dalam SNAT subnet Anda ke alamat IP publik statis gateway NAT untuk menyambungkan keluar ke internet. NAT Gateway juga menyediakan terjemahan alamat jaringan tujuan (DNAT) untuk paket respons ke koneksi asal keluar saja.
Gambar: Gateway NAT untuk keluar ke internet
Saat gateway NAT dilampirkan ke subnet dalam jaringan virtual, gateway NAT mengasumsikan jenis hop berikutnya default subnet untuk semua lalu lintas keluar yang diarahkan ke internet. Tidak diperlukan konfigurasi perutean tambahan. NAT Gateway tidak menyediakan koneksi masuk yang tidak diminta dari internet. DNAT hanya dilakukan untuk paket yang tiba sebagai respons terhadap paket keluar.
Subnet
Gateway NAT dapat dilampirkan ke beberapa subnet dalam jaringan virtual untuk menyediakan konektivitas keluar ke internet. Saat gateway NAT dilampirkan ke subnet, gateway tersebut mengasumsikan rute default ke internet. Gateway NAT kemudian akan menjadi jenis hop berikutnya untuk semua lalu lintas keluar yang ditujukan ke internet.
Konfigurasi subnet berikut tidak dapat digunakan dengan gateway NAT:
Ketika gateway NAT dilampirkan ke subnet, gateway tersebut mengasumsikan rute default ke internet. Hanya satu gateway NAT yang dapat berfungsi sebagai rute default ke internet untuk subnet.
Gateway NAT tidak dapat dilampirkan ke subnet dari jaringan virtual yang berbeda.
Gateway NAT tidak dapat digunakan dengan subnet gateway. Subnet gateway adalah subnet yang ditunjuk untuk gateway VPN untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal. Untuk informasi selengkapnya tentang subnet gateway, lihat Subnet gateway.
Alamat IP publik statik
Gateway NAT dapat dikaitkan dengan alamat IP publik statis atau awalan IP publik untuk menyediakan konektivitas keluar. NAT Gateway mendukung alamat IPv4. Gateway NAT dapat menggunakan alamat IP publik atau awalan dalam kombinasi apa pun hingga total 16 alamat IP. Jika Anda menetapkan prefiks IP publik, seluruh prefiks IP publik akan digunakan. Anda dapat menggunakan prefiks IP publik secara langsung atau mendistribusikan alamat IP publik prefiks di beberapa sumber daya gateway NAT. Gateway NAT memandu semua lalu lintas ke rentang alamat IP awalan.
Gateway NAT tidak dapat digunakan dengan alamat IP publik IPv6 atau awalan.
Gateway NAT tidak dapat digunakan dengan alamat IP publik SKU dasar.
Port SNAT
Inventaris port SNAT disediakan oleh alamat IP publik, awalan IP publik, atau keduanya dilampirkan ke gateway NAT. Inventori port SNAT tersedia sesuai permintaan untuk semua instans dalam subnet yang dilampirkan ke gateway NAT. Tidak diperlukan pra-alokasi port SNAT per instans.
Untuk informasi selengkapnya tentang port SNAT dan Azure NAT Gateway, lihat Source Network Address Translation (SNAT) dengan Azure NAT Gateway.
Saat beberapa subnet dalam jaringan virtual dilampirkan ke sumber daya gateway NAT yang sama, inventarisasi port SNAT yang disediakan oleh NAT Gateway dibagikan di semua subnet.
Port SNAT berfungsi sebagai pengidentifikasi unik untuk membedakan alur koneksi yang berbeda satu sama lain. Port SNAT yang sama dapat digunakan untuk menyambungkan ke titik akhir tujuan yang berbeda secara bersamaan.
Port SNAT yang berbeda digunakan untuk membuat koneksi ke titik akhir tujuan yang sama untuk membedakan alur koneksi yang berbeda satu sama lain. Port SNAT yang digunakan kembali untuk menyambungkan ke tujuan yang sama ditempatkan pada timer pendinginan penggunaan kembali sebelum dapat digunakan kembali.
Satu gateway NAT dapat menskalakan hingga 16 alamat IP. Setiap alamat IP publik gateway NAT menyediakan 64.512 port SNAT untuk membuat koneksi keluar. Gateway NAT dapat menskalakan hingga lebih dari 1 juta port SNAT. TCP dan UDP adalah inventarit port SNAT terpisah dan tidak terkait dengan NAT Gateway.
Zona ketersediaan
Gateway NAT dapat dibuat di zona ketersediaan tertentu atau ditempatkan di tanpa zona. Saat gateway NAT ditempatkan di tanpa zona, Azure memilih zona untuk gateway NAT untuk berada.
Alamat IP publik zona redundan dapat digunakan dengan sumber daya gateway NAT zonal atau tanpa zona.
Rekomendasinya adalah mengonfigurasi gateway NAT ke zona ketersediaan individual. Selain itu, harus dilampirkan ke subnet dengan instans privat dari zona yang sama. Untuk informasi selengkapnya tentang zona ketersediaan dan Azure NAT Gateway, lihat Pertimbangan desain zona ketersediaan.
Setelah gateway NAT disebarkan, pilihan zona tidak dapat diubah.
Protokol
NAT Gateway berinteraksi dengan header transportasi IP dan IP alur UDP dan TCP. NAT Gateway bersifat agnostik untuk payload lapisan aplikasi. Protokol IP lainnya tidak didukung.
Reset TCP
Paket reset TCP dikirim saat gateway NAT mendeteksi lalu lintas pada alur koneksi yang tidak ada. Paket reset TCP menunjukkan ke titik akhir penerimaan bahwa rilis alur koneksi telah terjadi dan komunikasi di masa mendatang pada koneksi TCP yang sama ini akan gagal. Reset TCP bersifat uni-directional untuk gateway NAT.
Alur koneksi mungkin tidak ada jika:
Batas waktu diam tercapai setelah periode tidak aktif pada alur koneksi dan koneksi diam-diam terputus.
Pengirim, baik dari sisi jaringan Azure atau dari sisi internet publik, mengirim lalu lintas setelah koneksi terputus.
Paket reset TCP dikirim hanya setelah mendeteksi lalu lintas pada alur koneksi yang dihilangkan. Operasi ini berarti paket reset TCP mungkin tidak segera dikirim setelah alur koneksi turun.
Sistem mengirimkan paket reset TCP sebagai respons terhadap mendeteksi lalu lintas pada alur koneksi yang tidak ada, terlepas dari apakah lalu lintas berasal dari sisi jaringan Azure atau sisi internet publik.
Batas waktu tidak aktif TCP
Gateway NAT menyediakan rentang batas waktu diam yang dapat dikonfigurasi selama 4 menit hingga 120 menit untuk protokol TCP. Protokol UDP memiliki batas waktu diam yang tidak dapat dikonfigurasi selama 4 menit.
Saat koneksi diam, gateway NAT menahan port SNAT hingga waktu diam koneksi habis. Karena timeout timer diam yang lama tidak perlu meningkatkan kemungkinan kelelahan port SNAT, tidak disarankan untuk meningkatkan durasi batas waktu diam TCP menjadi lebih lama dari waktu default 4 menit. Timer diam tidak memengaruhi alur yang tidak pernah menganggur.
Keepalives TCP bisa digunakan untuk menyediakan pola refresh koneksi diam yang panjang dan deteksi liveness titik akhir. Untuk informasi selengkapnya, lihat contoh .NET berikut. Keepalives TCP muncul sebagai ACK duplikat ke titik akhir, overhead rendah, dan tidak terlihat oleh lapisan aplikasi.
Timer batas waktu diam UDP tidak dapat dikonfigurasi, keepalives UDP harus digunakan untuk memastikan bahwa nilai batas waktu diam tidak tercapai, dan bahwa koneksi dipertahankan. Tidak seperti sambungan TCP, UDP keepalive yang diaktifkan di satu sisi sambungan hanya berlaku untuk arus lalu lintas dalam satu arah. Keepalives UDP harus diaktifkan di kedua sisi arus lalu lintas untuk menjaga arus lalu lintas tetap hidup.
Timer
Port Reuse Timer
Timer penggunaan kembali port menentukan jumlah waktu setelah koneksi menutup bahwa port sumber ditangguhkan sebelum dapat digunakan kembali untuk masuk ke titik akhir tujuan yang sama oleh gateway NAT.
Tabel berikut ini menyediakan informasi tentang kapan port TCP tersedia untuk digunakan kembali ke titik akhir tujuan yang sama oleh gateway NAT.
| Pengatur Waktu | Deskripsi | Nilai |
|---|---|---|
| TCP FIN | Setelah koneksi ditutup oleh paket TCP FIN, timer 65 detik diaktifkan yang menahan port SNAT. Port SNAT tersedia untuk digunakan kembali setelah timer berakhir. | 65 detik |
| TCP RST | Setelah koneksi ditutup oleh paket RST TCP (reset), timer 16 detik diaktifkan yang menahan port SNAT. Ketika timer berakhir, port tersedia untuk digunakan kembali. | 16 detik |
| TCP setengah terbuka | Selama pembentukan koneksi di mana satu titik akhir koneksi sedang menunggu pengakuan dari titik akhir lainnya, timer 30 detik diaktifkan. Jika tidak ada lalu lintas yang terdeteksi, koneksi akan ditutup. Setelah koneksi ditutup, port sumber tersedia untuk digunakan kembali ke titik akhir tujuan yang sama. | 30 detik |
Untuk lalu lintas UDP, setelah koneksi ditutup, port ditahan selama 65 detik sebelum tersedia untuk digunakan kembali.
Timer Batas Waktu Jeda
| Pengatur Waktu | Deskripsi | Nilai |
|---|---|---|
| Batas waktu tidak aktif TCP | Koneksi TCP dapat tidak aktif ketika tidak ada data yang ditransmisikan antara titik akhir untuk periode waktu tertentu. Timer dapat dikonfigurasi dari 4 menit (default) hingga 120 menit (2 jam) untuk memberikan waktu habis pada koneksi yang tidak aktif. Lalu lintas pada alur mengatur ulang timer batas waktu diam. | Dapat dikonfigurasi; 4 menit (default) - 120 menit |
| Batas waktu idle UDP | Sambungan UDP dapat terjeda saat tidak ada data yang dikirimkan antara kedua titik akhir untuk jangka waktu yang lama. Timer batas waktu jeda UDP adalah 4 menit dan tidak dapat dikonfigurasi. Lalu lintas pada alur mengatur ulang timer batas waktu diam. | Tidak dapat dikonfigurasi; 4 menit |
Catatan
Setelan timer ini bisa berubah. Nilai disediakan untuk membantu memecahkan masalah dan Anda tidak boleh mengambil dependensi pada timer tertentu saat ini.
Bandwidth
Setiap gateway NAT dapat menyediakan hingga total 50 Gbps throughput. Pembatasan laju throughput data dibagi antara data keluar dan masuk (respons). Throughput data dibatasi tarifnya sebesar 25 Gbps untuk keluar dan 25 Gbps untuk data masuk (respons) per sumber daya gateway NAT. Anda dapat membagi penyebaran menjadi beberapa subnet dan menetapkan setiap subnet atau grup subnet ke gateway NAT untuk memperluas skala.
Performa
Gateway NAT dapat mendukung hingga 50.000 koneksi bersamaan per alamat IP publik ke titik akhir tujuan yang sama melalui internet untuk TCP dan UDP. Gateway NAT dapat memproses paket 1M per detik dan meningkatkan skala hingga 5M paket per detik.
Jumlah total koneksi yang dapat didukung gateway NAT pada waktu tertentu adalah hingga 2 juta. Jika gateway NAT melebihi 2 juta koneksi, Anda akan melihat penurunan ketersediaan jalur data Anda dan koneksi baru akan gagal.
Batasan
Load balancer dasar dan alamat IP publik dasar tidak kompatibel dengan gateway NAT. Gunakan penyeimbang beban SKU standar dan IP publik sebagai gantinya.
Untuk meningkatkan load balancer dari dasar ke standar, lihat Meningkatkan Azure Public Load Balancer
Untuk meningkatkan alamat IP publik dari dasar ke standar, lihat Meningkatkan alamat IP publik
Gateway NAT tidak mendukung ICMP
Fragmentasi IP tidak tersedia untuk NAT Gateway.
NAT Gateway tidak mendukung alamat IP Publik dengan jenis konfigurasi perutean internet. Untuk melihat daftar layanan Azure yang mendukung internet konfigurasi perutean di IP publik, lihat layanan yang didukung untuk perutean melalui internet publik.
IP publik dengan perlindungan DDoS yang diaktifkan tidak didukung dengan gateway NAT. Untuk informasi selengkapnya, lihat Batasan DDoS.
Langkah berikutnya
Tinjau Azure NAT Gateway.
Pelajari tentang metrik dan pemberitahuan untuk sumber daya gateway NAT.
Pelajari cara memecahkan masalah gateway NAT.