Integracja bramy translatora adresów sieciowych platformy Azure

  • Artykuł

Usługa Azure NAT Gateway to w pełni zarządzana, wysoce odporna usługa, która może być skojarzona z co najmniej jedną podsiecią. Gwarantuje to, że cały wychodzący ruch internetowy jest kierowany przez bramę translatora adresów sieciowych (NAT). W przypadku usługi aplikacja systemu Azure istnieją dwa ważne scenariusze, w których można użyć bramy translatora adresów sieciowych.

Brama translatora adresów sieciowych zapewnia statyczny, przewidywalny publiczny adres IP dla wychodzącego ruchu internetowego. Znacznie zwiększa również dostępne porty translacji adresów sieciowych (SNAT) w scenariuszach, w których istnieje duża liczba współbieżnych połączeń z tym samym adresem publicznym/kombinacją portów.

Diagram that shows internet traffic flowing to a NAT gateway in an Azure virtual network.

Poniżej przedstawiono ważne zagadnienia dotyczące integracji usługi Azure NAT Gateway:

  • Korzystanie z bramy translatora adresów sieciowych z usługą App Service jest zależne od integracji sieci wirtualnej, dlatego wymaga obsługiwanej warstwy cenowej w planie usługi App Service.
  • Jeśli używasz bramy translatora adresów sieciowych razem z usługą App Service, cały ruch do usługi Azure Storage musi używać prywatnych punktów końcowych lub punktów końcowych usługi.
  • Bramy translatora adresów sieciowych nie można używać razem ze środowiskiem App Service Environment w wersji 1 lub 2.

Aby uzyskać więcej informacji i cennika, zobacz Omówienie usługi Azure NAT Gateway.

Konfigurowanie integracji bramy translatora adresów sieciowych

Aby skonfigurować integrację bramy translatora adresów sieciowych z usługą App Service, najpierw wykonaj następujące zadania:

  • Skonfiguruj regionalną integrację sieci wirtualnej z aplikacją zgodnie z opisem w temacie Integrowanie aplikacji z siecią wirtualną platformy Azure.
  • Upewnij się, że opcja Route All jest włączona na potrzeby integracji z siecią wirtualną, więc trasy w sieci wirtualnej wpływają na ruch związany z Internetem.
  • Aprowizuj bramę translatora adresów sieciowych przy użyciu publicznego adresu IP i skojarz ją z podsiecią na potrzeby integracji sieci wirtualnej.

Następnie skonfiguruj usługę Azure NAT Gateway za pośrednictwem witryny Azure Portal:

  1. W witrynie Azure Portal przejdź do pozycji Sieć usługi App Service>. W sekcji Ruch wychodzący wybierz pozycję Integracja z siecią wirtualną. Upewnij się, że aplikacja jest zintegrowana z podsiecią i że opcja Route All jest włączona.

    Screenshot of the Route All option enabled for virtual network integration.

  2. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób. Zostanie wyświetlone okno Nowe.

  3. Wyszukaj bramę translatora adresów sieciowych i wybierz ją z listy wyników.

  4. Wypełnij informacje Podstawowe i wybierz region, w którym znajduje się aplikacja.

    Screenshot of the Basics tab on the page for creating a NAT gateway.

  5. Na karcie Wychodzący adres IP utwórz publiczny adres IP lub wybierz istniejący.

    Screenshot of the Outbound IP tab on the page for creating a NAT gateway.

  6. Na karcie Podsieć wybierz podsieć używaną do integracji sieci wirtualnej.

    Screenshot of the Subnet tab on the page for creating a NAT gateway.

  7. W razie potrzeby wypełnij tagi, a następnie wybierz pozycję Utwórz. Po aprowizacji bramy translatora adresów sieciowych wybierz pozycję Przejdź do grupy zasobów, a następnie wybierz nową bramę translatora adresów sieciowych. W okienku Wychodzący adres IP jest wyświetlany publiczny adres IP , którego aplikacja będzie używać dla ruchu wychodzącego z Internetu.

    Screenshot of the Outbound IP pane for a NAT gateway in the Azure portal.

Jeśli wolisz używać interfejsu wiersza polecenia platformy Azure do konfigurowania środowiska, są to ważne polecenia. W ramach wymagań wstępnych utwórz aplikację ze skonfigurowaną integracją sieci wirtualnej.

  1. Upewnij się, że opcja Route All jest skonfigurowana na potrzeby integracji z siecią wirtualną:

    az webapp config set --resource-group [myResourceGroup] --name [myWebApp] --vnet-route-all-enabled

  2. Utwórz publiczny adres IP i bramę translatora adresów sieciowych:

    az network public-ip create --resource-group [myResourceGroup] --name myPublicIP --sku standard --allocation static

az network nat gateway create --resource-group [myResourceGroup] --name myNATgateway --public-ip-addresses myPublicIP --idle-timeout 10

  3. Skojarz bramę translatora adresów sieciowych z podsiecią na potrzeby integracji sieci wirtualnej:

    az network vnet subnet update --resource-group [myResourceGroup] --vnet-name [myVnet] --name [myIntegrationSubnet] --nat-gateway myNATgateway

Skalowanie bramy translatora adresów sieciowych

Możesz użyć tej samej bramy translatora adresów sieciowych w wielu podsieciach w tej samej sieci wirtualnej. Takie podejście umożliwia użycie bramy translatora adresów sieciowych w wielu aplikacjach i planach usługi App Service.

Usługa Azure NAT Gateway obsługuje zarówno publiczne adresy IP, jak i prefiksy publicznych adresów IP. Brama translatora adresów sieciowych może obsługiwać maksymalnie 16 adresów IP w poszczególnych adresach IP i prefiksach. Każdy adres IP przydziela 64 512 portów (portów SNAT), co pozwala na maksymalnie 1 milion dostępnych portów. Dowiedz się więcej w zasobie usługi Azure NAT Gateway.

Następne kroki

Aby uzyskać więcej informacji na temat usługi Azure NAT Gateway, zobacz dokumentację usługi Azure NAT Gateway.

Aby uzyskać więcej informacji na temat integracji sieci wirtualnej, zobacz dokumentację dotyczącą integracji sieci wirtualnej.