Apa itu Azure NAT Gateway?

  • 10 menit

Sebagai insinyur sistem utama dan administrator Azure yang bertugas menyelesaikan masalah konektivitas saat ini dengan Azure VM, langkah pertama Anda adalah memahami latar belakang teknologi dan kemampuan Azure NAT Gateway.

Azure NAT Gateway adalah layanan cloud terkelola penuh yang berjalan di Azure. Layanan ini sangat tangguh, terukur, dan mudah dikonfigurasi. Saat Anda menggunakan Azure NAT Gateway dengan jaringan virtual yang ada di Azure, VM individual atau sumber daya Azure lainnya dapat tetap sepenuhnya privat, kecuali jika mereka menghosting layanan yang menerima koneksi masuk dari internet. Semua konektivitas keluar yang dimulai dari jaringan virtual Anda menggunakan alamat IP publik statis gateway NAT.

Gambaran Umum tentang NAT

NAT bukanlah teknologi baru. Hal ini telah digunakan selama beberapa dekade untuk memetakan alamat IP lokal ke alamat publik. Salah satu tujuan utama NAT adalah menyimpan alamat IPv4 publik, yang sangat membantu bagi penyedia layanan internet (ISP). Perusahaan tersebut dapat menggunakan NAT untuk memetakan ruang lingkup banyak alamat IPv4 pribadi hanya untuk satu alamat IP publik, atau ke beberapa alamat IP publik.

NAT juga digunakan pada rumah-rumah dan jaringan lokal. Jika Anda memiliki router rumah yang menghubungkan Anda ke internet, kemungkinan nat telah diimplementasikan. Sehingga semua perangkat Anda dirutekan ke internet hanya dengan menggunakan satu alamat IP publik. NAT juga menyembunyikan ruang alamat internal Anda, sehingga semua lalu lintas keluar tampaknya berasal dari satu alamat IP publik. Alamat IP ditetapkan ke router atau perangkat gateway.

Saat menggunakan NAT, penting untuk memahami port Transmission Control Protocol (TCP) serta tujuannya. Terjemahan alamat port memungkinkan setiap host dalam jaringan pribadi dapat berkomunikasi di internet dengan menggunakan satu alamat IP publik, sehingga setiap jalur komunikasi didirikan melalui port TCP yang unik. Prosesnya adalah sebagai berikut:

  1. Perangkat di jaringan privat membuat koneksi ke sumber daya di internet. NAT menggantikan alamat IP perangkat internal di header paket dengan alamat IP eksternal perangkat NAT.

  2. Terjemahan alamat port kemudian akan memberikan koneksi nomor port dari kumpulan port yang tersedia.

  3. Nomor port tersebut dimasukkan ke dalam bidang port sumber di header paket, dan paket kemudian diteruskan ke internet.

  4. Perangkat NAT kemudian mencatat entri di dalam tabel terjemahan jaringan:

    • Untuk setiap koneksi yang ditetapkan, entri berisi alamat IP internal, port sumber asli, dan port sumber yang diterjemahkan.
    • Paket berikutnya dari alamat IP sumber internal yang sama dan nomor port selalu diterjemahkan menjadi alamat IP eksternal dan nomor port yang sama.

  5. Komputer yang menerima paket yang telah mengalami NAT kemudian menetapkan koneksi pada port dan alamat IP yang ditentukan dalam paket yang diubah, tidak menyadari fakta bahwa alamat yang disediakan sedang diterjemahkan.

Diagram berikut menampilkan proses NAT.

The process of network address translation between a host and server.

Catatan

NAT terutama digunakan untuk membangun koneksi keluar ke internet. Namun, NAT tidak dapat secara langsung mengelola koneksi masuk dari internet. Anda harus menggunakan teknologi yang berbeda untuk tujuan itu.

Layanan NAT di Azure

Saat Anda membuat jaringan virtual pada Azure, Anda menetapkannya sebagai ruang alamat pribadi, lalu membuat satu atau beberapa subnet ke jaringan tersebut. Saat Anda membuat VM di Azure lalu memasukkannya ke dalam jaringan virtual tersebut, VM akan mendapatkan alamat IP lokalnya dari jaringan tersebut. Jika Anda ingin menerima koneksi internet keluar pada VM itu, Anda juga bisa menetapkan objek alamat IP publik ke VM itu.

Catatan

Azure VM yang tidak Anda tetapkan alamat IP publiknya masih dapat mengakses internet dengan menggunakan terjemahan alamat jaringan Azure atau Terjemahan alamat port. Namun, dalam kasus demikian, Anda tidak dapat mengontrol alamat IP publik mana yang akan digunakan untuk koneksi keluar. Anda juga tidak dapat mengaktifkan koneksi masuk atau menggunakan Protokol Desktop Jauh (RDP) untuk menyambungkan ke VM ini dari luar; sebagai gantinya, Anda perlu menggunakan host Azure Bastion.

Untuk membantu memastikan konektivitas keluar yang aman, dapat dikontrol, dan dapat diskalakan untuk Azure VM dan sumber daya lainnya, Anda dapat membuat instans layanan Azure NAT Gateway. Anda kemudian menetapkan instans ke satu atau beberapa subnet dalam jaringan virtual yang sama di Azure.

Layanan Azure NAT Gateway kemudian membantu menerjemahkan alamat IP privat Anda dengan aman ke alamat IP publik seperti yang digambarkan diagram berikut:

Azure NAT Gateway is assigned to two subnets on a virtual network and translates private IP addresses to public IP.