Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan komponen utama sumber daya gateway NAT yang memungkinkannya menyediakan konektivitas keluar yang sangat aman, dapat diskalakan, dan tangguh. NAT Gateway dapat dikonfigurasi dalam langganan Anda melalui klien yang didukung. Klien ini termasuk portal Microsoft Azure, Azure CLI, Azure PowerShell, templat Resource Manager, atau alternatif yang sesuai.
Arsitektur NAT Gateway
NAT Gateway menggunakan jaringan yang ditentukan perangkat lunak untuk beroperasi sebagai layanan terdistribusi dan dikelola sepenuhnya. Karena NAT Gateway memiliki beberapa domain kesalahan, NAT Gateway dapat menahan beberapa kegagalan tanpa berpengaruh pada layanan.
NAT Gateway menyediakan terjemahan alamat jaringan sumber (SNAT) untuk instans privat dalam subnet jaringan virtual Azure Anda. Saat dikonfigurasi pada subnet, IP privat dalam subnet Anda melakukan SNAT ke alamat IP publik statis dari gerbang NAT untuk menyambungkan ke luar ke internet. NAT Gateway juga menyediakan terjemahan alamat jaringan tujuan (DNAT) untuk paket respons ke koneksi asal keluar saja.
Gambar: Gateway NAT untuk keluar ke internet
Saat dikonfigurasi ke subnet dalam jaringan virtual, NAT Gateway menjadi jenis hop berikutnya default subnet untuk semua lalu lintas keluar yang diarahkan ke internet. Tidak diperlukan konfigurasi perutean tambahan. NAT Gateway tidak menyediakan koneksi masuk yang tidak diminta dari internet. DNAT hanya dilakukan untuk paket yang tiba sebagai respons terhadap paket keluar.
Subnet
NAT Gateway dapat dilampirkan ke beberapa subnet dalam jaringan virtual untuk menyediakan konektivitas keluar ke internet. Ketika NAT Gateway dilampirkan ke subnet, nat Gateway mengasumsikan rute default ke internet. NAT Gateway akan menjadi tipe hop berikutnya untuk semua traffic keluar yang menuju ke internet.
Konfigurasi subnet berikut tidak dapat digunakan dengan NAT Gateway:
Ketika NAT Gateway dilampirkan ke subnet, nat Gateway mengasumsikan rute default ke internet. Hanya satu NAT Gateway yang dapat berfungsi sebagai rute default ke internet untuk subnet.
NAT Gateway tidak dapat dilampirkan ke subnet dari jaringan virtual yang berbeda.
NAT Gateway tidak dapat digunakan dengan subnet gateway. Subnet gateway adalah subnet yang ditentukan untuk gateway VPN dalam mengirimkan lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal. Untuk informasi selengkapnya tentang subnet gateway, lihat Subnet gateway.
Alamat IP publik statik
NAT Gateway dapat dikaitkan dengan alamat IP publik statis atau awalan IP publik untuk menyediakan konektivitas keluar. NAT Gateway mendukung alamat IPv4. Gateway NAT dapat menggunakan alamat IP publik atau awalan dalam kombinasi apa pun hingga total 16 alamat IP. Jika Anda menetapkan prefiks IP publik, seluruh prefiks IP publik akan digunakan. Anda dapat menggunakan prefiks IP publik secara langsung atau mendistribusikan alamat IP publik prefiks di beberapa sumber daya gateway NAT. Gateway NAT mengatur semua lalu lintas ke rentang alamat IP prefiks.
NAT Gateway tidak dapat digunakan dengan alamat IP publik IPv6 atau awalan.
NAT Gateway tidak dapat digunakan dengan alamat IP publik SKU dasar.
Port SNAT
Inventaris port SNAT disediakan oleh alamat IP publik, awalan IP publik, atau keduanya dilampirkan ke gateway NAT. Inventori port SNAT tersedia sesuai permintaan untuk semua instans dalam subnet yang dilampirkan ke gateway NAT. Tidak diperlukan pra-alokasi port SNAT per instans.
Untuk informasi selengkapnya tentang port SNAT dan Azure NAT Gateway, lihat Source Network Address Translation (SNAT) dengan Azure NAT Gateway.
Saat beberapa subnet dalam jaringan virtual dilampirkan ke sumber daya gateway NAT yang sama, inventarisasi port SNAT yang disediakan oleh NAT Gateway dibagikan di semua subnet.
Port SNAT berfungsi sebagai pengidentifikasi unik untuk membedakan alur koneksi yang berbeda satu sama lain. Port SNAT yang sama dapat digunakan untuk menyambungkan ke titik akhir tujuan yang berbeda secara bersamaan.
Port SNAT yang berbeda digunakan untuk membuat koneksi ke titik akhir tujuan yang sama untuk membedakan alur koneksi yang berbeda satu sama lain. Port SNAT yang digunakan kembali untuk menyambung ke tujuan yang sama diatur pada penghitung waktu pendinginan penggunaan kembali sebelum dapat digunakan lagi.
Gambar: Alokasi port SNAT
Satu gateway NAT dapat menskalakan hingga 16 alamat IP. Setiap alamat IP publik gateway NAT menyediakan 64.512 port SNAT untuk membuat koneksi keluar. Gateway NAT dapat menskalakan hingga lebih dari 1 juta port SNAT. TCP dan UDP adalah inventarit port SNAT terpisah dan tidak terkait dengan NAT Gateway.
Zona ketersediaan
Gateway NAT dapat dibuat di zona ketersediaan tertentu atau ditempatkan di tanpa zona. Saat gateway NAT ditempatkan tanpa zona, Azure akan memilih zona untuk gateway NAT tersebut.
Alamat IP publik zona redundan dapat digunakan dengan sumber daya gateway NAT zonal atau tanpa zona.
Rekomendasinya adalah mengonfigurasi gateway NAT ke zona ketersediaan individual. Selain itu, harus dilampirkan ke subnet dengan instance privat dari wilayah yang sama. Untuk informasi selengkapnya tentang zona ketersediaan dan Azure NAT Gateway, lihat Pertimbangan desain zona ketersediaan.
Setelah gateway NAT disebarkan, pilihan zona tidak dapat diubah.
Protokol
NAT Gateway berinteraksi dengan header transport IP dan arus UDP serta TCP. NAT Gateway bersifat agnostik untuk payload lapisan aplikasi. Protokol IP lainnya tidak didukung.
Reset TCP
Paket reset TCP dikirim saat gateway NAT mendeteksi lalu lintas pada alur koneksi yang tidak ada. Paket reset TCP menunjukkan ke titik akhir penerimaan bahwa alur koneksi telah dirilis dan komunikasi di masa mendatang pada koneksi TCP yang sama ini akan gagal. Reset TCP bersifat satu arah untuk gateway NAT.
Alur koneksi mungkin tidak ada jika:
Batas waktu tidak aktif tercapai setelah periode tidak aktif pada alur koneksi dan koneksi terputus tanpa pemberitahuan.
Pengirim, baik dari sisi jaringan Azure atau dari sisi internet publik, mengirim lalu lintas setelah koneksi terputus.
Paket reset TCP dikirim hanya setelah mendeteksi lalu lintas pada aliran koneksi yang terputus. Operasi ini berarti paket reset TCP mungkin tidak segera dikirim setelah alur koneksi turun.
Sistem mengirimkan paket reset TCP sebagai respons terhadap mendeteksi lalu lintas pada alur koneksi yang tidak ada, terlepas dari apakah lalu lintas berasal dari sisi jaringan Azure atau sisi internet publik.
Batas waktu tidak aktif TCP
Gateway NAT menyediakan rentang batas waktu diam yang dapat dikonfigurasi selama 4 menit hingga 120 menit untuk protokol TCP. Protokol UDP memiliki batas waktu diam yang tidak dapat dikonfigurasi selama 4 menit.
Saat koneksi menganggur, gateway NAT menahan port SNAT hingga waktu menganggur koneksi habis. Karena pengatur waktu timeout yang lama dapat meningkatkan kemungkinan kekurangan port SNAT, tidak disarankan untuk memperpanjang durasi batas waktu menganggur TCP hingga melebihi waktu default 4 menit. Timer tidak aktif tidak memengaruhi alur yang tidak pernah menjadi tidak aktif.
Keepalive TCP dapat digunakan untuk memberikan pola penyegaran pada koneksi yang tidak aktif dalam waktu lama dan pendeteksian keaktifan titik akhir. Untuk informasi selengkapnya, lihat contoh .NET berikut. Keepalives TCP muncul sebagai ACK duplikat untuk endpoint, memiliki overhead rendah, dan tidak terlihat oleh lapisan aplikasi.
Timer waktu siaga UDP tidak dapat dikonfigurasi, keepalives UDP harus digunakan untuk memastikan bahwa nilai batas waktu siaga tidak tercapai, dan bahwa koneksi tetap terjaga. Tidak seperti sambungan TCP, UDP keepalive yang diaktifkan di satu sisi sambungan hanya berlaku untuk arus lalu lintas dalam satu arah. Paket keepalive UDP harus diaktifkan di kedua sisi aliran lalu lintas untuk memastikan aliran tetap hidup.
Timer
Pengatur Waktu Penggunaan Kembali Port
Timer penggunaan kembali port menentukan jumlah waktu setelah sebuah koneksi ditutup, di mana port sumber dalam keadaan tertahan sebelum dapat digunakan kembali untuk koneksi baru ke titik akhir tujuan yang sama oleh gateway NAT.
Tabel berikut ini menyediakan informasi tentang kapan port TCP tersedia untuk digunakan kembali ke titik akhir tujuan yang sama oleh gateway NAT.
Pengatur Waktu | Deskripsi | Nilai |
---|---|---|
TCP FIN | Setelah koneksi ditutup oleh paket TCP FIN, timer 65 detik diaktifkan yang menahan port SNAT. Port SNAT tersedia untuk digunakan kembali setelah timer berakhir. | 65 detik |
TCP RST | Setelah koneksi ditutup oleh paket RST TCP (reset), timer 16 detik diaktifkan yang menahan port SNAT. Ketika timer berakhir, port tersedia untuk digunakan kembali. | 16 detik |
TCP setengah terbuka | Selama pembentukan koneksi di mana satu titik akhir koneksi sedang menunggu pengakuan dari titik akhir lainnya, timer 30 detik diaktifkan. Jika tidak ada lalu lintas yang terdeteksi, koneksi akan ditutup. Setelah koneksi ditutup, port sumber tersedia untuk digunakan kembali ke titik akhir tujuan yang sama. | 30 detik |
Untuk lalu lintas UDP, setelah koneksi ditutup, port ditahan selama 65 detik sebelum tersedia untuk digunakan kembali.
Timer Batas Waktu Jeda
Pengatur Waktu | Deskripsi | Nilai |
---|---|---|
Batas waktu diam TCP | Koneksi TCP dapat tidak aktif ketika tidak ada data yang ditransmisikan antara titik akhir untuk periode waktu tertentu. Timer dapat dikonfigurasi dari 4 menit (default) hingga 120 menit (2 jam) untuk waktu habis koneksi diam. Lalu lintas pada alur mengatur ulang timer batas waktu diam. | Dapat dikonfigurasi; 4 menit (default) - 120 menit |
Batas waktu idle UDP | Sambungan UDP dapat menganggur saat tidak ada data yang dikirimkan antar titik akhir mana pun untuk waktu lama. Timer batas waktu jeda UDP adalah 4 menit dan tidak dapat dikonfigurasi. Lalu lintas pada alur mengatur ulang timer batas waktu diam. | Tidak dapat dikonfigurasi; 4 menit |
Catatan
Setelan timer ini bisa berubah. Nilai disediakan untuk membantu pemecahan masalah dan Anda tidak boleh mengandalkan timer tertentu saat ini.
Bandwidth
Setiap gateway NAT dapat menyediakan hingga total 50 Gbps throughput. Pembatasan laju kapasitas aliran data dibagi antara data keluar dan data respon masuk. Throughput data dibatasi pada tingkat 25 Gbps untuk data keluar dan 25 Gbps untuk data masuk (respons) per masing-masing sumber daya gateway NAT. Anda dapat membagi penyebaran menjadi beberapa subnet dan menetapkan setiap subnet atau grup subnet ke gateway NAT untuk memperluas skala.
Kinerja
Gateway NAT dapat mendukung hingga 50.000 koneksi bersamaan per alamat IP publik ke titik akhir tujuan yang sama melalui internet untuk lalu lintas TCP dan UDP. Gateway NAT dapat memproses paket 1M per detik dan meningkatkan skala hingga 5M paket per detik.
Gateway NAT dapat mendukung hingga 2 juta koneksi aktif secara bersamaan. Jumlah koneksi di NAT Gateway dihitung berdasarkan 5 tuple (alamat IP sumber, port sumber, alamat IP tujuan, port tujuan, dan protokol). Jika gateway NAT melebihi 2 juta koneksi, ketersediaan jalur data akan menurun dan koneksi baru gagal.
Batasan
Load balancer dasar dan alamat IP publik dasar tidak kompatibel dengan gateway NAT. Gunakan penyeimbang beban SKU standar dan IP publik sebagai gantinya.
Untuk meningkatkan load balancer dari dasar ke standar, lihat Meningkatkan Azure Public Load Balancer
Untuk meningkatkan alamat IP publik dari dasar ke standar, lihat Meningkatkan alamat IP publik
Gateway NAT tidak mendukung ICMP
Fragmentasi IP tidak tersedia untuk NAT Gateway.
NAT Gateway tidak mendukung alamat IP Publik dengan konfigurasi perutean tipe internet. Untuk melihat daftar layanan Azure yang mendukung konfigurasi perutean internet pada IP publik, lihat layanan yang didukung untuk perutean melalui internet publik.
IP publik dengan perlindungan DDoS yang diaktifkan tidak didukung dengan gateway NAT. Untuk informasi selengkapnya, lihat Batasan DDoS.
Azure NAT Gateway tidak didukung dalam arsitektur jaringan hub virtual aman (vWAN).
Langkah berikutnya
Tinjau Azure NAT Gateway.
Pelajari tentang metrik dan pemberitahuan untuk sumber daya gateway NAT.
Pelajari cara memecahkan masalah gateway NAT.