Wanneer moet u Azure NAT Gateway gebruiken?
Wanneer u de implementatie van de Azure NAT Gateway-service overweegt, moet u eerst uw scenario analyseren. De service wordt niet standaard geïmplementeerd met Azure Virtual Network en niet elk scenario past bij deze service. Het is echter een goede oplossing voor het oplossen van verbindingsproblemen met Azure-VM's in uw online retailbedrijf.
Scenario's voor het gebruik van de Azure NAT Gateway-service
Azure NAT Gateway biedt NAT-gatewaybronnen voor uitgaande on-demand connectiviteit zonder complexe planning, waardoor het relatief eenvoudig is om te implementeren wanneer dat nodig is. Nadat u deze hebt ingesteld, hebben al uw VM-exemplaren uitgaande connectiviteit en gebruiken u de opgegeven statische IP-adressen, waardoor het maken van acceptatielijsten wordt vereenvoudigd.
Als u openbare IP-adressen wilt toewijzen die uw VM's gebruiken bij het openen van internetbronnen, kan Azure NAT Gateway u hierbij helpen. Stel dat u een partnerorganisatie hebt die alleen verbindingen vanaf een vaste set IP-adressen toestaat. U kunt een openbaar IP-voorvoegsel koppelen aan Azure NAT Gateway om ervoor te zorgen dat een aaneengesloten set IP-adressen wordt gebruikt voor uitgaande connectiviteit. Vervolgens kunt u de firewall op de bestemming configureren op basis van deze voorspelbare IP-lijst. Deze oplossing kan bijvoorbeeld een scenario aanpakken waarbij uw partner als host fungeert voor een internetgerichte API waarmee u verbinding moet maken.
Als u resources in uw virtuele Azure-netwerk hebt die veel uitgaande verbindingen maken en intensief gebruikmaken van verschillende poorten voor uitgaande communicatie, kunt u overwegen om de Azure NAT Gateway-service te implementeren. De service helpt u bij het consolideren en maximaliseren van de beschikbare poortnummers en voorkomt ook poortuitputting.
U hebt bijvoorbeeld een virtueel netwerk met een paar subnetten gemaakt. Dit subnet fungeert als host voor uw Azure-VM's, terwijl een ander subnet als host fungeert voor een app-service met een website of een andere service. Zonder Azure NAT Gateway te gebruiken, hebben uw VM's en andere services een beperkt aantal poorten beschikbaar voor uitgaande verbindingen. Meestal is dit getal kleiner dan de 65.535 poorten die theoretisch beschikbaar zijn. Er treedt een time-out op voor de verbinding als een van uw VM's of services de beschikbare poortgroep gebruikt. U kunt een poortgroep niet delen vanaf andere VM's, omdat poorten per VM worden toegewezen en al deze resources mogelijk een ander IP-adres hebben dat wordt gebruikt voor openbare communicatie. Azure-VM's waaraan een openbaar IP-adres is toegewezen, gebruiken dit adres voor toegang tot internetbronnen. Terwijl vm's zonder een openbaar IP-adres het adres gebruiken dat momenteel beschikbaar is in de Azure-servicegroep met adressen. Azure NAT Gateway helpt deze problemen op te lossen door een volledig bereik van poorten te bieden voor VM's in het subnet dat wordt behandeld, en een uniek openbaar IP-adres (of IP-bereik) voor uitgaande connectiviteit.
Scenario's die niet geschikt zijn voor het gebruik van de Azure NAT Gateway-service
Hoewel Azure NAT Gateway een handige en eenvoudig te implementeren service is, is deze mogelijk niet geschikt voor elk scenario. Hieronder volgen een aantal voorbeelden:
- Als de indeling van uw Virtuele Azure-machine eenvoudig is, hebt u waarschijnlijk geen Azure NAT Gateway nodig, met slechts enkele VM's die zelden veel verbindingen met internetbronnen maken. U kunt in plaats daarvan systeemeigen Azure-adresomzetting gebruiken of een openbaar IP-adres toewijzen aan een of meer VM's.
- Als u binnenkomende verbindingen met uw Azure-VM's wilt beheren die afkomstig zijn van internet, is Azure NAT Gateway niet nuttig. Azure NAT Gateway beheert alleen binnenkomende verbindingen wanneer ze worden gestart vanaf de Azure-VM (of een andere service) die zich achter NAT bevindt. Een Azure-VM of -software die op een Azure-VM is geïnstalleerd, initieert een verbinding met een resource op internet. Azure NAT Gateway registreert die verbinding. Als die resource op internet bepaalde gegevens naar de Azure-VM moet retourneren of een binnenkomende verbinding moet initiëren, is dit toegestaan. Verbindingen die zijn gestart vanaf internet die niet reageren op uitgaand verkeer, worden echter geblokkeerd.
- Als u een verbinding moet opgeven met andere Azure-services, zoals Azure SQL Database of Azure Storage, moet u Azure NAT Gateway niet gebruiken. U hoeft Azure NAT Gateway niet te implementeren om verbinding te maken met Azure-resources. Wanneer u verbinding maakt met Azure-services, kunt u Azure Private Link gebruiken om Azure-resources te koppelen aan uw virtuele netwerk en de toegang tot uw Azure-servicebronnen te beheren. Wanneer u bijvoorbeeld toegang hebt tot Azure Storage, gebruikt u een privé-eindpunt voor opslag om ervoor te zorgen dat uw verbinding volledig privé is.
- U kunt Azure NAT Gateway niet gebruiken met Azure Gateway-subnetten. U kunt ook geen enkele Azure NAT Gateway-service gebruiken met meer dan één virtueel netwerk in Azure. U kunt echter één Azure NAT Gateway-service gebruiken om meer dan één subnet binnen hetzelfde virtuele netwerk te behandelen.