Kapan Anda harus menggunakan Azure NAT Gateway?
Saat mempertimbangkan penyebaran layanan Azure NAT Gateway, Anda harus terlebih dahulu menganalisis skenario Anda. Layanan ini tidak digunakan dengan Azure Virtual Network secara default, dan tidak setiap skenario sesuai dengan layanan ini. Namun, layanan ini adalah solusi yang baik untuk menyelesaikan masalah konektivitas dengan Azure VM di perusahaan ritel online Anda.
Skenario untuk menggunakan layanan Azure NAT Gateway
Azure NAT Gateway menyediakan sumber daya gateway NAT untuk konektivitas keluar sesuai permintaan tanpa preplanning yang kompleks, yang membuatnya relatif mudah disebarkan saat diperlukan. Setelah Anda mengaturnya, semua instans VM Anda memiliki konektivitas keluar dan menggunakan alamat IP statis yang ditentukan, yang pada gilirannya menyederhanakan pembuatan allowlists.
Jika Anda ingin mendedikasikan alamat IP publik yang digunakan VM Anda saat mengakses sumber daya internet, Azure NAT Gateway dapat membantu. Katakanlah Anda memiliki organisasi mitra yang hanya mengizinkan koneksi dari sekumpulan alamat IP tetap. Anda dapat mengaitkan awalan IP publik ke Azure NAT Gateway untuk memastikan bahwa sekumpulan IP yang berdampingan digunakan untuk konektivitas keluar. Kemudian Anda kemudian dapat mengonfigurasi firewall di tujuan berdasarkan daftar IP yang dapat diprediksi ini. Misalnya, solusi ini mungkin mengatasi skenario di mana mitra Anda menghosting API yang terhubung ke internet yang perlu Anda sambungkan.
Jika Anda memiliki sumber daya di jaringan virtual Azure yang membuat banyak koneksi keluar dan secara intensif menggunakan berbagai port untuk komunikasi keluar, maka Anda harus mempertimbangkan untuk menyebarkan layanan Azure NAT Gateway. Layanan ini membantu Anda mengonsolidasikan dan memaksimalkan nomor port yang tersedia, dan juga menghindari kelelahan port.
Misalnya, Anda mungkin mempunyai jaringan virtual dengan beberapa subnet yang dibuat. Subnet ini menghosting VM Azure Anda, sementara subnet lain akan menghosting layanan aplikasi dengan situs web atau layanan lainnya. Tanpa menggunakan Azure NAT Gateway, VM dan layanan lain Anda memiliki sejumlah port terbatas yang tersedia untuk koneksi keluar. Biasanya, jumlah ini lebih kecil dari 65.535 port yang tersedia secara teoritis. Waktu koneksi habis Jika salah satu VM atau layanan Anda menghabiskan kumpulan port yang tersedia. Anda tidak dapat berbagi kumpulan port dari VM lain, karena port ditetapkan per VM, dan semua sumber daya ini mungkin memiliki alamat IP yang berbeda yang digunakan untuk komunikasi publik. Azure VM yang memiliki IP publik yang ditetapkan, gunakan alamat ini untuk mengakses sumber daya internet. Sedangkan VM tanpa IP publik, gunakan alamat yang saat ini tersedia di kumpulan alamat layanan Azure. Azure NAT Gateway membantu menyelesaikan kedua masalah ini dengan menyediakan cakupan lengkap port untuk VM di subnet yang dicakupnya, dan IP publik unik (atau cakupan IP) untuk konektivitas keluar.
Skenario yang tidak sesuai untuk menggunakan layanan Azure NAT Gateway
Meskipun Azure NAT Gateway adalah layanan yang berguna dan mudah disebarkan, mungkin tidak sesuai untuk setiap skenario. Berikut adalah beberapa contoh:
- Jika tata letak Azure VM Anda sederhana, dengan hanya beberapa VM yang jarang membuat banyak koneksi ke sumber daya internet, Anda mungkin tidak memerlukan Azure NAT Gateway. Anda bisa menggunakan terjemahan alamat asli Azure atau menetapkan IP publik ke satu atau beberapa VM.
- Jika Anda perlu mengelola koneksi masuk ke Azure VM yang berasal dari internet, Azure NAT Gateway tidak berguna. Azure NAT Gateway hanya mengelola koneksi masuk saat dimulai dari Azure VM (atau layanan lain) yang berada di belakang NAT. Azure VM atau perangkat lunak yang diinstal pada Azure VM memulai koneksi ke sumber daya di internet. Azure NAT Gateway mendaftarkan koneksi tersebut. Jika sumber daya tersebut di internet harus mengembalikan beberapa data ke Azure VM atau memulai koneksi masuk, itu diizinkan. Namun, koneksi yang dimulai dari internet yang tidak sebagai respons terhadap lalu lintas yang diarahkan keluar diblokir.
- Jika Anda perlu menyediakan koneksi ke layanan berbasis Azure lainnya, seperti Azure SQL Database atau Azure Storage, Anda tidak boleh menggunakan Azure NAT Gateway. Anda tidak perlu menyebarkan Azure NAT Gateway untuk menyambungkan ke sumber daya Azure. Saat terhubung pada layanan Azure, Anda dapat menggunakan Azure Private Link untuk mengikat sumber daya Azure ke jaringan virtual Anda dan mengontrol akses ke sumber daya layanan Azure Anda. Misalnya, ketika Anda mengakses Azure Storage, gunakan titik akhir privat untuk penyimpanan untuk membantu memastikan bahwa koneksi Anda sepenuhnya pribadi.
- Anda tidak dapat menggunakan Azure NAT Gateway dengan subnet Azure Gateway. Anda juga tidak dapat menggunakan satu layanan Azure NAT Gateway dengan lebih dari satu jaringan virtual di Azure. Namun, Anda dapat menggunakan satu layanan Azure NAT Gateway untuk mencakup lebih dari satu subnet dalam jaringan virtual yang sama.