Zasób usługi Azure NAT Gateway
W tym artykule opisano kluczowe składniki zasobu bramy translatora adresów sieciowych, które umożliwiają mu zapewnienie wysoce bezpiecznej, skalowalnej i odpornej łączności wychodzącej. Niektóre z tych składników można skonfigurować w ramach subskrypcji za pośrednictwem witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell, szablonów usługi Resource Manager lub odpowiednich alternatyw.
Architektura bramy translatora adresów sieciowych
Brama translatora adresów sieciowych używa sieci zdefiniowanej programowo do działania jako usługa rozproszona i w pełni zarządzana. Ponieważ brama translatora adresów sieciowych ma wiele domen błędów, jest w stanie wytrzymać wiele awarii bez żadnego wpływu na usługę.
Brama translatora adresów sieciowych udostępnia translacja adresów sieciowych (SNAT) dla wystąpień prywatnych w podsieciach sieci wirtualnej platformy Azure. Po skonfigurowaniu w podsieci prywatne adresy IP w podsieciach SNAT do statycznych publicznych adresów IP bramy translatora adresów sieciowych w celu połączenia wychodzącego z Internetem. Brama translatora adresów sieciowych udostępnia również docelowe translowanie adresów sieciowych (DNAT) dla pakietów odpowiedzi tylko do połączenia wychodzącego pochodzącego.
Rysunek: Brama translatora adresów sieciowych dla ruchu wychodzącego do Internetu
Gdy brama translatora adresów sieciowych jest dołączona do podsieci w sieci wirtualnej, brama translatora adresów sieciowych przyjmuje domyślny typ następnego przeskoku podsieci dla całego ruchu wychodzącego kierowanego do Internetu. Nie są wymagane żadne dodatkowe konfiguracje routingu. Brama translatora adresów sieciowych nie zapewnia niechcianych połączeń przychodzących z Internetu. DNAT jest wykonywane tylko w przypadku pakietów, które docierają jako odpowiedź na pakiet wychodzący.
Podsieci
Brama translatora adresów sieciowych może być dołączona do wielu podsieci w sieci wirtualnej w celu zapewnienia łączności wychodzącej z Internetem. Gdy brama translatora adresów sieciowych jest dołączona do podsieci, przyjmuje domyślną trasę do Internetu. Brama translatora adresów sieciowych będzie następnie typem następnego przeskoku dla całego ruchu wychodzącego kierowanego do Internetu.
Następujące konfiguracje podsieci nie mogą być używane z bramą translatora adresów sieciowych:
Gdy brama translatora adresów sieciowych jest dołączona do podsieci, przyjmuje domyślną trasę do Internetu. Tylko jedna brama translatora adresów sieciowych może służyć jako domyślna trasa do Internetu dla podsieci.
Bramy translatora adresów sieciowych nie można dołączyć do podsieci z różnych sieci wirtualnych.
Bramy translatora adresów sieciowych nie można używać z podsiecią bramy. Podsieć bramy to wyznaczona podsieć dla bramy sieci VPN do wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure i lokalizacją lokalną. Aby uzyskać więcej informacji na temat podsieci bramy, zobacz Podsieć bramy.
Statyczne publiczne adresy IP
Brama translatora adresów sieciowych może być skojarzona ze statycznymi publicznymi adresami IP lub prefiksami publicznych adresów IP w celu zapewnienia łączności wychodzącej. Brama translatora adresów sieciowych obsługuje adresy IPv4. Brama translatora adresów sieciowych może używać publicznych adresów IP lub prefiksów w dowolnej kombinacji do łącznej liczby 16 adresów IP. W przypadku przypisania prefiksu publicznego adresu IP zostanie użyty cały prefiks publicznego adresu IP. Prefiksu publicznego adresu IP można użyć bezpośrednio lub można rozpowszechnić publiczne adresy IP prefiksu między wieloma zasobami bramy sieci NAT. Brama translatora adresów sieciowych obejmuje cały ruch do zakresu adresów IP prefiksu.
Bramy translatora adresów sieciowych nie można używać z publicznymi adresami IP ani prefiksami IPv6.
Bramy translatora adresów sieciowych nie można używać z podstawowymi publicznymi adresami IP jednostki SKU.
Porty SNAT
Spis portów SNAT jest dostarczany przez publiczne adresy IP, prefiksy publicznych adresów IP lub oba dołączone do bramy translatora adresów sieciowych. Spis portów SNAT jest udostępniany na żądanie wszystkim wystąpieniom w podsieci dołączonej do bramy translatora adresów sieciowych. Nie jest wymagana wstępna alokacja portów SNAT na wystąpienie.
Aby uzyskać więcej informacji o portach SNAT i usłudze Azure NAT Gateway, zobacz Source Network Address Translation (SNAT) with Azure NAT Gateway (Source Network Address Translation) (Translacja adresów sieciowych źródła (SNAT) za pomocą usługi Azure NAT Gateway.
Gdy wiele podsieci w sieci wirtualnej jest dołączonych do tego samego zasobu bramy translatora adresów sieciowych, spis portów SNAT udostępniany przez bramę translatora adresów sieciowych jest współużytkowany we wszystkich podsieciach.
Porty SNAT służą jako unikatowe identyfikatory, aby odróżnić różne przepływy połączeń od siebie. Ten sam port SNAT może służyć do łączenia się z różnymi docelowymi punktami końcowymi w tym samym czasie.
Różne porty SNAT służą do nawiązywania połączeń z tym samym docelowym punktem końcowym w celu odróżnienia różnych przepływów połączeń od siebie. Ponowne użycie portów SNAT w celu nawiązania połączenia z tym samym miejscem docelowym jest umieszczane w ponownie używanym czasomierzu schładzania, zanim będzie można użyć ich ponownie.
Pojedyncza brama translatora adresów sieciowych może skalować do 16 adresów IP. Każdy publiczny adres IP bramy translatora adresów sieciowych zapewnia 64 512 portów SNAT w celu nawiązywania połączeń wychodzących. Brama translatora adresów sieciowych może skalować do ponad 1 milionów portów SNAT. Protokoły TCP i UDP są oddzielnymi spisami portów SNAT i nie są powiązane z bramą translatora adresów sieciowych.
Strefy dostępności
Bramę translatora adresów sieciowych można utworzyć w określonej strefie dostępności lub umieścić w żadnej strefie. Gdy brama translatora adresów sieciowych nie znajduje się w żadnej strefie, platforma Azure wybiera strefę, w którym ma znajdować się brama translatora adresów sieciowych.
Strefowo nadmiarowe publiczne adresy IP mogą być używane z strefowymi lub bez zasobów bramy translatora adresów sieciowych strefy.
Zaleca się skonfigurowanie bramy translatora adresów sieciowych do poszczególnych stref dostępności. Ponadto należy dołączyć ją do podsieci z wystąpieniami prywatnymi z tej samej strefy. Aby uzyskać więcej informacji na temat stref dostępności i usługi Azure NAT Gateway, zobacz Zagadnienia dotyczące projektowania stref dostępności.
Po wdrożeniu bramy translatora adresów sieciowych nie można zmienić wyboru strefy.
Protokoły
Brama translatora adresów sieciowych współdziała z nagłówkami transportu adresów IP i ip przepływów UDP i TCP. Brama translatora adresów sieciowych jest niezależna od ładunków warstwy aplikacji. Inne protokoły IP nie są obsługiwane.
Resetowanie protokołu TCP
Pakiet resetowania TCP jest wysyłany, gdy brama translatora adresów sieciowych wykrywa ruch w przepływie połączenia, który nie istnieje. Pakiet resetowania TCP wskazuje punkt końcowy odbierający, że nastąpiło zwolnienie przepływu połączenia, a każda przyszła komunikacja w tym samym połączeniu TCP zakończy się niepowodzeniem. Resetowanie protokołu TCP jest jednokierunkowe dla bramy translatora adresów sieciowych.
Przepływ połączenia może nie istnieć, jeśli:
Przekroczono limit czasu bezczynności po upływie okresu braku aktywności w przepływie połączenia, a połączenie zostało przerwane w trybie dyskretnym.
Nadawca po stronie sieci platformy Azure lub po stronie publicznej Internetu wysłał ruch po usunięciu połączenia.
Pakiet resetowania TCP jest wysyłany tylko po wykryciu ruchu w przepływie porzuconego połączenia. Ta operacja oznacza, że pakiet resetowania TCP może nie być wysyłany od razu po spadku przepływu połączenia.
System wysyła pakiet resetowania TCP w odpowiedzi na wykrywanie ruchu w nieistniejącym przepływie połączenia, niezależnie od tego, czy ruch pochodzi z strony sieci platformy Azure, czy publicznej strony internetowej.
Limit czasu bezczynności protokołu TCP
Brama translatora adresów sieciowych zapewnia konfigurowalny zakres limitu czasu bezczynności od 4 minut do 120 minut dla protokołów TCP. Protokoły UDP mają niekonfigurowalny limit czasu bezczynności przez 4 minuty.
Gdy połączenie przejdzie w stan bezczynności, brama translatora adresów sieciowych będzie przechowywać na porcie SNAT do momentu, gdy upłynął limit czasu bezczynności połączenia. Ze względu na to, że długie czasy limitu czasu bezczynności mogą niepotrzebnie zwiększyć prawdopodobieństwo wyczerpania portów SNAT, nie zaleca się zwiększenia czasu bezczynności protokołu TCP do dłuższego niż domyślny czas 4 minut. Czasomierz bezczynności nie ma wpływu na przepływ, który nigdy nie przechodzi bezczynności.
Stosy utrzymania protokołu TCP mogą służyć do zapewnienia wzorca odświeżania długich bezczynnych połączeń i wykrywania aktywności punktu końcowego. Aby uzyskać więcej informacji, zobacz te przykłady platformy .NET. Elementy utrzymania tcp są wyświetlane jako zduplikowane zestawy ACL do punktów końcowych, są niskie i niewidoczne dla warstwy aplikacji.
Czasomierze limitu czasu bezczynności protokołu UDP nie są konfigurowalne, a elementy utrzymania protokołu UDP powinny służyć do zapewnienia, że wartość limitu czasu bezczynności nie zostanie osiągnięta i że połączenie jest utrzymywane. W przeciwieństwie do połączeń TCP, uDP keepalive włączone po jednej stronie połączenia dotyczy tylko przepływu ruchu w jednym kierunku. Elementy utrzymania protokołu UDP muszą być włączone po obu stronach przepływu ruchu, aby ruch był aktywny.
Czasomierze
Ponowne użycie portów czasomierzy
Czasomierze ponownego użycia portów określają czas po zamknięciu połączenia, że port źródłowy jest w stanie wstrzymania, zanim będzie można go użyć ponownie, aby przejść do tego samego docelowego punktu końcowego przez bramę translatora adresów sieciowych.
Poniższa tabela zawiera informacje o tym, kiedy port TCP staje się dostępny do ponownego użycia do tego samego docelowego punktu końcowego przez bramę translatora adresów sieciowych.
| Czasomierz | Opis | Wartość |
|---|---|---|
| TCP FIN | Po zamknięciu połączenia przez pakiet TCP FIN jest aktywowany 65-sekundowy czasomierz, który przechowuje port SNAT. Port SNAT jest dostępny do ponownego użycia po zakończeniu czasomierza. | 65 sekund |
| TCP RST | Po zamknięciu połączenia przez pakiet RST TCP (resetuj) aktywowany jest 16-sekundowy czasomierz, który przechowuje port SNAT. Po zakończeniu czasomierza port jest dostępny do ponownego użycia. | 16 sekund |
| Tcp half open | Podczas ustanawiania połączenia, w którym jeden punkt końcowy połączenia oczekuje na potwierdzenie z drugiego punktu końcowego, aktywowany jest 30-sekundowy czasomierz. Jeśli ruch nie zostanie wykryty, połączenie zostanie zamknięte. Po zamknięciu połączenia port źródłowy jest dostępny do ponownego użycia w tym samym docelowym punkcie końcowym. | 30 sekund |
W przypadku ruchu UDP po zamknięciu połączenia port jest wstrzymany przez 65 sekund, zanim będzie dostępny do ponownego użycia.
Czasomierze limitu czasu bezczynności
| Czasomierz | Opis | Wartość |
|---|---|---|
| Limit czasu bezczynności protokołu TCP | Połączenia TCP mogą przechodzić bezczynnie, gdy żadne dane nie są przesyłane między żadnym punktem końcowym przez dłuższy czas. Czasomierz można skonfigurować od 4 minut (domyślnie) do 120 minut (2 godziny) w celu przekroczenia limitu czasu połączenia, które uległo bezczynności. Ruch w przepływie resetuje czasomierz limitu czasu bezczynności. | Konfigurowalne; 4 minuty (wartość domyślna) — 120 minut |
| Limit czasu bezczynności protokołu UDP | Połączenia UDP mogą przechodzić bezczynnie, gdy żadne dane nie są przesyłane między żadnym punktem końcowym przez dłuższy czas. Czasomierze limitu czasu bezczynności protokołu UDP to 4 minuty i nie można ich konfigurować. Ruch w przepływie resetuje czasomierz limitu czasu bezczynności. | Nie można skonfigurować; 4 minuty |
Uwaga
Te ustawienia czasomierza mogą ulec zmianie. Wartości są udostępniane w celu ułatwienia rozwiązywania problemów i nie należy w tej chwili podejmować zależności od określonych czasomierzy.
Przepustowość
Każda brama translatora adresów sieciowych może zapewnić maksymalnie 50 Gb/s przepływności. Ograniczanie szybkości przepływności danych jest podzielone między dane ruchu wychodzącego i przychodzącego (odpowiedzi). Przepływność danych jest ograniczona o szybkości 25 Gb/s dla wychodzących i 25 Gb/s dla danych przychodzących (odpowiedzi) na zasób bramy translatora adresów sieciowych. Wdrożenia można podzielić na wiele podsieci i przypisać każdą podsieć lub grupę podsieci do bramy translatora adresów sieciowych w celu skalowania w poziomie.
Wydajność
Brama translatora adresów sieciowych może obsługiwać maksymalnie 50 000 współbieżnych połączeń na publiczny adres IP do tego samego punktu końcowego docelowego przez Internet dla połączeń TCP i UDP. Brama translatora adresów sieciowych może przetwarzać pakiety 1M na sekundę i skalować w górę do 5 mln pakietów na sekundę.
Całkowita liczba połączeń, które brama translatora adresów sieciowych może obsługiwać w danym momencie, wynosi do 2 milionów. Jeśli brama translatora adresów sieciowych przekroczy 2 miliony połączeń, zobaczysz spadek dostępności ścieżki danych, a nowe połączenia nie powiedzą się.
Ograniczenia
Podstawowe moduły równoważenia obciążenia i podstawowe publiczne adresy IP nie są zgodne z bramą translatora adresów sieciowych. Zamiast tego użyj modułów równoważenia obciążenia jednostki SKU w warstwie Standardowa i publicznych adresów IP.
Aby uaktualnić moduł równoważenia obciążenia z warstwy Podstawowa do Standardowa, zobacz Uaktualnianie publicznego modułu równoważenia obciążenia platformy Azure
Aby uaktualnić publiczny adres IP z podstawowego do standardowego, zobacz Uaktualnianie publicznego adresu IP
Brama translatora adresów sieciowych nie obsługuje protokołu ICMP
Fragmentacja adresów IP nie jest dostępna dla bramy translatora adresów sieciowych.
Brama translatora adresów sieciowych nie obsługuje publicznych adresów IP z internetem typu konfiguracji routingu. Aby wyświetlić listę usług platformy Azure obsługujących konfigurację routingu Internet na publicznych adresach IP, zobacz obsługiwane usługi routingu za pośrednictwem publicznego Internetu.
Publiczne adresy IP z włączoną ochroną przed atakami DDoS nie są obsługiwane w przypadku bramy translatora adresów sieciowych. Aby uzyskać więcej informacji, zobacz Ograniczenia DDoS.
Następne kroki
Przejrzyj usługę Azure NAT Gateway.
Dowiedz się więcej o metrykach i alertach dla bramy translatora adresów sieciowych.
Dowiedz się, jak rozwiązywać problemy z bramą translatora adresów sieciowych.