Kiedy należy używać usługi Azure NAT Gateway?
Rozważając wdrożenie usługi Azure NAT Gateway, należy najpierw przeanalizować swój scenariusz. Usługa nie jest domyślnie wdrażana w usłudze Azure Virtual Network, a nie każdy scenariusz pasuje do tej usługi. Jest to jednak dobre rozwiązanie do rozwiązywania problemów z łącznością z maszynami wirtualnymi platformy Azure w firmie zajmującej się sprzedażą detaliczną online.
Scenariusze korzystania z usługi Azure NAT Gateway
Usługa Azure NAT Gateway udostępnia zasoby bramy translatora adresów sieciowych na potrzeby łączności wychodzącej na żądanie bez złożonego wstępnegoplanowania, co ułatwia wdrażanie w razie potrzeby. Po skonfigurowaniu wszystkie wystąpienia maszyn wirtualnych mają łączność wychodzącą i używają określonych statycznych adresów IP, co z kolei upraszcza tworzenie list dozwolonych.
Jeśli chcesz przeznaczyć publiczne adresy IP używane przez maszyny wirtualne podczas uzyskiwania dostępu do zasobów internetowych, usługa Azure NAT Gateway może pomóc. Załóżmy, że masz organizację partnerów, która zezwala tylko na połączenia z stałego zestawu adresów IP. Możesz skojarzyć prefiks publicznego adresu IP z usługą Azure NAT Gateway, aby upewnić się, że ciągły zestaw adresów IP jest używany na potrzeby łączności wychodzącej. Następnie można skonfigurować zaporę w miejscu docelowym na podstawie tej przewidywalnej listy adresów IP. Na przykład to rozwiązanie może dotyczyć scenariusza, w którym partner hostuje internetowy interfejs API, z którym musisz nawiązać połączenie.
Jeśli masz zasoby w sieci wirtualnej platformy Azure, które sprawiają, że wiele połączeń wychodzących i intensywnie używasz różnych portów do komunikacji wychodzącej, rozważ wdrożenie usługi Azure NAT Gateway. Usługa pomaga skonsolidować i zmaksymalizować dostępne numery portów, a także uniknąć wyczerpania portów.
Na przykład może istnieć sieć wirtualna z utworzoną kilkoma podsieciami. Ta podsieć hostuje maszyny wirtualne platformy Azure, podczas gdy inna podsieć hostuje usługę aplikacji z witryną internetową lub inną usługą. Bez korzystania z usługi Azure NAT Gateway maszyny wirtualne i inne usługi mają ograniczoną liczbę portów dostępnych dla połączeń wychodzących. Zazwyczaj ta liczba jest mniejsza niż 65 535 portów, które są teoretycznie dostępne. Przekroczono limit czasu połączenia Jeśli jedna z maszyn wirtualnych lub usług wyczerpała dostępną pulę portów. Nie można współużytkować puli portów z innych maszyn wirtualnych, ponieważ porty są przypisywane dla poszczególnych maszyn wirtualnych, a wszystkie te zasoby mogą mieć inny adres IP używany do komunikacji publicznej. Maszyny wirtualne platformy Azure, które mają przypisany publiczny adres IP, używają tego adresu do uzyskiwania dostępu do zasobów internetowych. Podczas gdy maszyny wirtualne bez publicznego adresu IP używają adresu, który jest obecnie dostępny w puli usług platformy Azure. Usługa Azure NAT Gateway pomaga rozwiązać oba te problemy, zapewniając pełny zakres portów dla maszyn wirtualnych w podsieci, która obejmuje, oraz unikatowy publiczny adres IP (lub zakres ip) dla łączności wychodzącej.
Scenariusze, które nie są odpowiednie do korzystania z usługi Azure NAT Gateway
Chociaż usługa Azure NAT Gateway jest przydatną i łatwą w wdrożeniu usługą, może nie być odpowiednia dla każdego scenariusza. Oto kilka przykładów:
- Jeśli układ maszyny wirtualnej platformy Azure jest prosty, z zaledwie kilkoma maszynami wirtualnymi, które rzadko tworzą wiele połączeń z zasobami internetowymi, prawdopodobnie nie potrzebujesz bramy translatora adresów sieciowych platformy Azure. Zamiast tego możesz użyć tłumaczenia adresów natywnych platformy Azure lub przypisać publiczny adres IP do co najmniej jednej maszyny wirtualnej.
- Jeśli musisz zarządzać połączeniami przychodzącymi z maszynami wirtualnymi platformy Azure pochodzącymi z Internetu, usługa Azure NAT Gateway nie jest przydatna. Usługa Azure NAT Gateway zarządza połączeniami przychodzącymi tylko wtedy, gdy są inicjowane z maszyny wirtualnej platformy Azure (lub innej usługi) za translatorem adresów sieciowych. Maszyna wirtualna lub oprogramowanie platformy Azure zainstalowane na maszynie wirtualnej platformy Azure inicjuje połączenie z zasobem w Internecie. Usługa Azure NAT Gateway rejestruje to połączenie. Jeśli ten zasób w Internecie powinien zwrócić dane do maszyny wirtualnej platformy Azure lub zainicjować połączenie przychodzące, jest to dozwolone. Jednak połączenia inicjowane z Internetu, które nie są w odpowiedzi na ruch wychodzący kierowany są blokowane.
- Jeśli musisz podać połączenie z innymi usługami opartymi na platformie Azure, takimi jak Azure SQL Database lub Azure Storage, nie należy używać bramy translatora adresów sieciowych platformy Azure. Nie musisz wdrażać usługi Azure NAT Gateway w celu nawiązania połączenia z zasobami platformy Azure. Podczas nawiązywania połączenia z usługami platformy Azure możesz użyć usługi Azure Private Link, aby powiązać zasoby platformy Azure z siecią wirtualną i kontrolować dostęp do zasobów usługi platformy Azure. Na przykład w przypadku uzyskiwania dostępu do usługi Azure Storage użyj prywatnego punktu końcowego dla magazynu, aby upewnić się, że połączenie jest w pełni prywatne.
- Nie można używać usługi Azure NAT Gateway z podsieciami usługi Azure Gateway. Nie można również używać pojedynczej usługi Azure NAT Gateway z więcej niż jedną siecią wirtualną na platformie Azure. Można jednak użyć jednej usługi bramy translatora adresów sieciowych Platformy Azure, aby obsłużyć więcej niż jedną podsieć w tej samej sieci wirtualnej.