Reguły ruchu wychodzącego w usłudze Azure Load Balancer

  • Artykuł

Reguły ruchu wychodzącego umożliwiają jawne zdefiniowanie translatora adresów sieciowych (źródłowego tłumaczenia adresów sieciowych) dla publicznego standardowego modułu równoważenia obciążenia. Ta konfiguracja umożliwia korzystanie z publicznych adresów IP modułu równoważenia obciążenia w celu zapewnienia wychodzącej łączności internetowej dla wystąpień zaplecza.

Ta konfiguracja umożliwia:

  • Maskowanie adresów IP
  • Upraszczanie list dozwolonych.
  • Zmniejsza liczbę zasobów publicznych adresów IP na potrzeby wdrożenia.

W przypadku reguł ruchu wychodzącego masz pełną deklaratywną kontrolę nad wychodzącą łącznością internetową. Reguły ruchu wychodzącego umożliwiają skalowanie i dostrajanie tej możliwości do określonych potrzeb.

Reguły ruchu wychodzącego będą przestrzegane tylko wtedy, gdy maszyna wirtualna zaplecza nie ma publicznego adresu IP na poziomie wystąpienia (ILPIP).

Na tym diagramie przedstawiono konfigurację portów SNAT na maszynach wirtualnych z regułami modułu równoważenia obciążenia wychodzącego.

Za pomocą reguł ruchu wychodzącego można jawnie zdefiniować zachowanie ruchu wychodzącego SNAT .

Reguły ruchu wychodzącego umożliwiają kontrolowanie:

  • Które maszyny wirtualne są tłumaczone na publiczne adresy IP.
    • Dwie reguły, w których pula zaplecza 1 używa obu niebieskich adresów IP, a pula zaplecza 2 używa żółtego prefiksu IP.
  • Sposób przydzielania wychodzących portów SNAT.
    • Jeśli pula zaplecza 2 jest jedyną pulą wykonującą połączenia wychodzące, przypisz wszystkie porty SNAT do puli zaplecza 2 i brak do puli zaplecza 1.
  • Dla których protokołów należy zapewnić tłumaczenie wychodzące.
    • Jeśli pula zaplecza 2 wymaga portów UDP dla ruchu wychodzącego, a pula zaplecza 1 wymaga protokołu TCP, przypisz porty TCP portom 1 i UDP do 2.
  • Czas trwania dla limitu czasu bezczynności połączenia wychodzącego (4–120 minut).
    • Jeśli istnieją długotrwałe połączenia z portami keepalives, zarezerwuj bezczynne porty dla długotrwałych połączeń przez maksymalnie 120 minut. Załóżmy, że nieaktywne połączenia są porzucone, a porty wydania w ciągu 4 minut dla nowych połączeń
  • Czy wysłać resetowanie PROTOKOŁU TCP przy przekroczeniu limitu czasu bezczynności.
    • Czy w przypadku przekroczenia limitu czasu bezczynnych połączeń wysyłamy RST TCP do klienta i serwera, aby wiedzieli, że przepływ został porzucony?

Ważne

Po skonfigurowaniu puli zaplecza według adresu IP będzie ona zachowywać się jako podstawowy moduł równoważenia obciążenia z włączonym domyślnym wychodzącym. Aby domyślnie zabezpieczyć konfigurację i aplikacje z wymagającymi potrzebami ruchu wychodzącego, skonfiguruj pulę zaplecza według karty sieciowej.

Definicja reguły ruchu wychodzącego

Reguły ruchu wychodzącego są zgodne z tą samą znaną składnią co równoważenie obciążenia i reguły NAT dla ruchu przychodzącego: pula zaplecza parametrów + frontonu. +

Reguła ruchu wychodzącego konfiguruje translator adresów sieciowych dla wszystkich maszyn wirtualnych zidentyfikowanych przez pulęzaplecza do tłumaczenia na fronton.

Parametry zapewniają szczegółową kontrolę nad algorytmem NAT ruchu wychodzącego.

Skalowanie translatora adresów sieciowych wychodzących przy użyciu wielu adresów IP

Każdy dodatkowy adres IP dostarczony przez fronton udostępnia kolejne 64 000 portów efemerycznych do użycia jako portów SNAT.

Użyj wielu adresów IP, aby zaplanować scenariusze na dużą skalę. Użyj reguł ruchu wychodzącego, aby wyeliminować wyczerpanie SNAT.

Możesz również użyć prefiksu publicznego adresu IP bezpośrednio z regułą ruchu wychodzącego.

Prefiks publicznego adresu IP zwiększa skalowanie wdrożenia. Prefiks można dodać do listy dozwolonych przepływów pochodzących z zasobów platformy Azure. Konfigurację adresu IP frontonu można skonfigurować w module równoważenia obciążenia, aby odwoływać się do prefiksu publicznego adresu IP.

Moduł równoważenia obciążenia ma kontrolę nad prefiksem publicznego adresu IP. Reguła ruchu wychodzącego będzie automatycznie używać wszystkich publicznych adresów IP zawartych w prefiksie publicznego adresu IP dla połączeń wychodzących.

Każdy z adresów IP w ramach prefiksu publicznego adresu IP zapewnia dodatkowe 64 000 portów efemerycznych na adres IP do użycia jako porty SNAT.

Limit czasu bezczynności przepływu wychodzącego i resetowanie protokołu TCP

Reguły ruchu wychodzącego udostępniają parametr konfiguracji do kontrolowania limitu czasu bezczynności przepływu wychodzącego i dopasowania go do potrzeb aplikacji. Limity czasu bezczynności ruchu wychodzącego są domyślne do 4 minut. Aby uzyskać więcej informacji, zobacz konfigurowanie limitów czasu bezczynności.

Domyślnym zachowaniem modułu równoważenia obciążenia jest dyskretne usunięcie przepływu po osiągnięciu limitu czasu bezczynności ruchu wychodzącego. Parametr enableTCPReset umożliwia przewidywalne zachowanie i kontrolę aplikacji. Parametr określa, czy wysyłać dwukierunkowe resetowanie TCP (TCP RST) w czasie przekroczenia limitu czasu bezczynności ruchu wychodzącego.

Zobacz Resetowanie protokołu TCP w przypadku limitu czasu bezczynności, aby uzyskać szczegółowe informacje, w tym dostępność regionu.

Jawne zabezpieczanie i kontrolowanie łączności wychodzącej

Reguły równoważenia obciążenia zapewniają automatyczne programowanie wychodzącego translatora adresów sieciowych. Niektóre scenariusze korzystają lub wymagają wyłączenia automatycznego programowania nat ruchu wychodzącego przez regułę równoważenia obciążenia. Wyłączenie za pomocą reguły umożliwia kontrolowanie lub uściślinie zachowania.

Tego parametru można użyć na dwa sposoby:

  1. Zapobieganie adresowi IP ruchu przychodzącego dla ruchu wychodzącego SNAT. Wyłącz wychodzący protokół SNAT w regule równoważenia obciążenia.

  2. Dostrajanie parametrów wychodzących SNAT adresu IP używanego dla ruchu przychodzącego i wychodzącego jednocześnie. Automatyczna translator adresów sieciowych wychodzących musi być wyłączona, aby zezwolić na przejęcie kontroli przez regułę ruchu wychodzącego. Aby zmienić alokację portów SNAT adresu używanego również dla ruchu przychodzącego, disableOutboundSnat parametr musi być ustawiony na wartość true.

Operacja konfigurowania reguły ruchu wychodzącego kończy się niepowodzeniem, jeśli spróbujesz ponownie zdefiniować adres IP używany do ruchu przychodzącego. Najpierw wyłącz wychodzący translator adresów sieciowych reguły równoważenia obciążenia.

Ważne

Maszyna wirtualna nie będzie miała łączności wychodzącej, jeśli ten parametr ma wartość true i nie ma reguły ruchu wychodzącego w celu zdefiniowania łączności wychodzącej. Niektóre operacje maszyny wirtualnej lub aplikacji mogą zależeć od dostępnej łączności wychodzącej. Upewnij się, że rozumiesz zależności scenariusza i rozważasz wpływ na wprowadzenie tej zmiany.

Czasami nie jest to niepożądane dla maszyny wirtualnej w celu utworzenia przepływu wychodzącego. Może istnieć wymóg zarządzania miejscami docelowymi odbierających przepływy wychodzące lub miejscami docelowymi rozpoczynającymi przepływy przychodzące. Użyj sieciowych grup zabezpieczeń, aby zarządzać miejscami docelowymi osiąganą przez maszynę wirtualną. Użyj sieciowych grup zabezpieczeń, aby zarządzać miejscami docelowymi publicznymi rozpoczynającymi przepływy przychodzące.

Po zastosowaniu sieciowej grupy zabezpieczeń do maszyny wirtualnej o zrównoważonym obciążeniu zwróć uwagę na tagi usługi i domyślne reguły zabezpieczeń.

Upewnij się, że maszyna wirtualna może odbierać żądania sondy kondycji z usługi Azure Load Balancer.

Jeśli sieciowa grupa zabezpieczeń blokuje żądania sondy kondycji z tagu domyślnego AZURE_LOADBALANCER, sonda kondycji maszyny wirtualnej kończy się niepowodzeniem i maszyna wirtualna jest oznaczona jako niedostępna. Moduł równoważenia obciążenia przestaje wysyłać nowe przepływy do tej maszyny wirtualnej.

Scenariusze reguł ruchu wychodzącego

Scenariusz 1. Konfigurowanie połączeń wychodzących do określonego zestawu publicznych adresów IP lub prefiksu

Szczegóły

Użyj tego scenariusza, aby dostosować połączenia wychodzące do pochodzących z zestawu publicznych adresów IP. Dodaj publiczne adresy IP lub prefiksy do listy dozwolonych lub zablokowanych na podstawie pochodzenia.

Ten publiczny adres IP lub prefiks może być taki sam jak używany przez regułę równoważenia obciążenia.

Aby użyć innego publicznego adresu IP lub prefiksu niż używany przez regułę równoważenia obciążenia:

  1. Utwórz prefiks publicznego adresu IP lub publiczny adres IP.
  2. Tworzenie publicznego modułu równoważenia obciążenia w warstwie Standardowa
  3. Utwórz fronton odwołujący się do prefiksu publicznego adresu IP lub publicznego adresu IP, którego chcesz użyć.
  4. Ponowne używanie puli zaplecza lub tworzenie puli zaplecza i umieszczanie maszyn wirtualnych w puli zaplecza publicznego modułu równoważenia obciążenia
  5. Skonfiguruj regułę ruchu wychodzącego w publicznym module równoważenia obciążenia, aby włączyć translator adresów sieciowych dla ruchu wychodzącego dla maszyn wirtualnych przy użyciu frontonu. Nie zaleca się używania reguły równoważenia obciążenia dla ruchu wychodzącego, wyłączania ruchu wychodzącego SNAT w regule równoważenia obciążenia.

Scenariusz 2. Modyfikowanie alokacji portów SNAT

Szczegóły

Reguły ruchu wychodzącego umożliwiają dostrojenie automatycznej alokacji portów SNAT na podstawie rozmiaru puli zaplecza.

Jeśli wystąpi wyczerpanie SNAT, zwiększ liczbę portów SNAT podanych domyślnie 1024.

Każdy publiczny adres IP współtworzy maksymalnie 64 000 portów efemerycznych. Liczba maszyn wirtualnych w puli zaplecza określa liczbę portów dystrybuowanych do każdej maszyny wirtualnej. Jedna maszyna wirtualna w puli zaplecza ma dostęp do maksymalnie 64 000 portów. W przypadku dwóch maszyn wirtualnych można nadać maksymalnie 32 000 portów SNAT przy użyciu reguły ruchu wychodzącego (2x 32 000 = 64 000).

Reguły ruchu wychodzącego umożliwiają domyślnie dostrojenie portów SNAT. Możesz nadać więcej lub mniej niż domyślna alokacja portów SNAT . Każdy publiczny adres IP z frontonu reguły ruchu wychodzącego współtworzy maksymalnie 64 000 portów efemerycznych do użycia jako portów SNAT .

Moduł równoważenia obciążenia udostępnia porty SNAT w wielokrotnościach 8. Jeśli podasz wartość nienadzorowaną przez 8, operacja konfiguracji zostanie odrzucona. Każda reguła równoważenia obciążenia i reguła NAT dla ruchu przychodzącego używają zakresu ośmiu portów. Jeśli równoważenie obciążenia lub reguła NAT dla ruchu przychodzącego współużytkuje ten sam zakres 8 co inny, nie są używane żadne dodatkowe porty.

Jeśli spróbujesz przekazać więcej portów SNAT niż są dostępne (na podstawie liczby publicznych adresów IP), operacja konfiguracji zostanie odrzucona. Na przykład jeśli na maszynie wirtualnej zostanie nadanych 10 000 portów i siedem maszyn wirtualnych w puli zaplecza współużytkuje jeden publiczny adres IP, konfiguracja zostanie odrzucona. Siedem pomnożonych przez 10 000 przekracza limit portu 64 000. Dodaj więcej publicznych adresów IP do frontonu reguły ruchu wychodzącego, aby włączyć ten scenariusz.

Przywróć domyślną alokację portów, określając 0 dla liczby portów. Aby uzyskać więcej informacji na temat domyślnej alokacji portów SNAT, zobacz tabela alokacji portów SNAT.

Scenariusz 3. Włączanie tylko ruchu wychodzącego

Szczegóły

Użyj publicznego modułu równoważenia obciążenia w warstwie Standardowa, aby zapewnić wychodzący translator adresów sieciowych dla grupy maszyn wirtualnych. W tym scenariuszu należy użyć reguły ruchu wychodzącego bez konfigurowania dodatkowych reguł.

Uwaga

Usługa Azure NAT Gateway może zapewnić łączność wychodzącą dla maszyn wirtualnych bez konieczności używania modułu równoważenia obciążenia. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure NAT Gateway?

Scenariusz 4. Translator adresów sieciowych wychodzących tylko dla maszyn wirtualnych (bez ruchu przychodzącego)

Uwaga

Usługa Azure NAT Gateway może zapewnić łączność wychodzącą dla maszyn wirtualnych bez konieczności używania modułu równoważenia obciążenia. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure NAT Gateway?

Szczegóły

W tym scenariuszu: Reguły ruchu wychodzącego usługi Azure Load Balancer i translator adresów sieci wirtualnych są dostępne dla ruchu wychodzącego z sieci wirtualnej.

  1. Utwórz publiczny adres IP lub prefiks.
  2. Utwórz publiczny moduł równoważenia obciążenia w warstwie Standardowa.
  3. Utwórz fronton skojarzony z publicznym adresem IP lub prefiksem dedykowanym dla ruchu wychodzącego.
  4. Utwórz pulę zaplecza dla maszyn wirtualnych.
  5. Umieść maszyny wirtualne w puli zaplecza.
  6. Skonfiguruj regułę ruchu wychodzącego, aby włączyć translator adresów sieciowych dla ruchu wychodzącego.

Użyj prefiksu lub publicznego adresu IP do skalowania portów SNAT . Dodaj źródło połączeń wychodzących do listy dozwolonych lub zablokowanych.

Scenariusz 5. Translator adresów sieciowych ruchu wychodzącego dla wewnętrznego standardowego modułu równoważenia obciążenia

Uwaga

Usługa Azure NAT Gateway może zapewnić łączność wychodzącą dla maszyn wirtualnych korzystających z wewnętrznego standardowego modułu równoważenia obciążenia. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure NAT Gateway?

Szczegóły

Łączność wychodząca nie jest dostępna dla wewnętrznego standardowego modułu równoważenia obciążenia, dopóki nie zostanie jawnie zadeklarowana za pośrednictwem publicznych adresów IP lub translatora adresów sieci wirtualnych na poziomie wystąpienia lub przez skojarzenie członków puli zaplecza z konfiguracją modułu równoważenia obciążenia tylko dla ruchu wychodzącego.

Aby uzyskać więcej informacji, zobacz Konfiguracja modułu równoważenia obciążenia tylko dla ruchu wychodzącego.

Scenariusz 6. Włączanie protokołów TCP i UDP dla wychodzącego translatora adresów sieciowych przy użyciu publicznego standardowego modułu równoważenia obciążenia

Szczegóły

W przypadku publicznego standardowego modułu równoważenia obciążenia funkcja automatycznego translatora adresów sieciowych ruchu wychodzącego jest zgodna z protokołem transportu reguły równoważenia obciążenia.

  1. Wyłącz wychodzący protokół SNAT dla reguły równoważenia obciążenia.
  2. Skonfiguruj regułę ruchu wychodzącego dla tego samego modułu równoważenia obciążenia.
  3. Ponownie użyj puli zaplecza używanej już przez maszyny wirtualne.
  4. Określ "protocol": "All" w ramach reguły ruchu wychodzącego.

Jeśli są używane tylko reguły NAT dla ruchu przychodzącego, nie jest zapewniany translator adresów sieciowych dla ruchu wychodzącego.

  1. Umieść maszyny wirtualne w puli zaplecza.
  2. Definiowanie co najmniej jednej konfiguracji adresu IP frontonu z prefiksem publicznego adresu IP lub publicznego adresu IP
  3. Skonfiguruj regułę ruchu wychodzącego dla tego samego modułu równoważenia obciążenia.
  4. Określ "protocol": "All" w ramach reguły ruchu wychodzącego

Ograniczenia

  • Maksymalna liczba portów efemerycznych na adres IP frontonu wynosi 64 000.
  • Zakres konfigurowalnego limitu czasu bezczynności ruchu wychodzącego wynosi od 4 do 120 minut (od 240 do 7200 sekund).
  • Moduł równoważenia obciążenia nie obsługuje protokołu ICMP dla translatora adresów sieciowych dla ruchu wychodzącego. Jedynymi obsługiwanymi protokołami są TCP i UDP.
  • Reguły ruchu wychodzącego można stosować tylko do podstawowej konfiguracji IPv4 karty sieciowej. Nie można utworzyć reguły ruchu wychodzącego dla pomocniczych konfiguracji protokołu IPv4 maszyny wirtualnej lub urządzenia WUS. Obsługiwane są wiele kart sieciowych.
  • Reguły ruchu wychodzącego dla pomocniczej konfiguracji adresu IP są obsługiwane tylko w przypadku protokołu IPv6.
  • Wszystkie maszyny wirtualne w zestawie dostępności muszą zostać dodane do puli zaplecza na potrzeby łączności wychodzącej.
  • Wszystkie maszyny wirtualne w zestawie skalowania maszyn wirtualnych muszą zostać dodane do puli zaplecza na potrzeby łączności wychodzącej.

Następne kroki