Jak działa usługa Azure NAT Gateway?

  • 10 min

Przed rozpoczęciem rozwiązywania problemów z wyczerpaniem portów w firmie za pomocą usługi Azure NAT Gateway należy zrozumieć, jak to działa. To zrozumienie zapewnia lepsze pojęcie o krokach, które należy wykonać, aby prawidłowo wdrożyć, skonfigurować i użyć tej usługi, aby rozwiązać problemy z łącznością.

Podczas tworzenia usługi bramy usługi Azure NAT Gateway należy przypisać mu publiczny adres IP lub prefiks publicznego adresu IP. Zasób bramy usługi Azure NAT Gateway może używać maksymalnie 16 publicznych adresów IP. Brama translatora adresów sieciowych może używać dowolnej kombinacji publicznych adresów IP i prefiksów publicznych adresów IP, łącznie z 16 adresami.

Maksymalny rozmiar prefiksu bramy translatora adresów sieciowych to /28 (16 adresów). Po skojarzeniu prefiksu publicznego adresu IP z usługą Azure NAT Gateway jest ona automatycznie skalowana do liczby potrzebnych wychodzących adresów IP. Usługa Azure NAT Gateway obsługuje tylko protokoły TCP i UDP i nie można skojarzyć go z publicznym adresem IP IPv6 ani prefiksem publicznego adresu IP IPv6.

Po połączeniu usługi Azure NAT Gateway z podsiecią lub podsieciami w sieci wirtualnej automatycznie przesłania sposób kierowania ruchu do Internetu. Nawet jeśli masz maszyny wirtualne platformy Azure z publicznymi adresami IP w tej podsieci, te adresy nie są już używane do łączności wychodzącej.

Na poniższym diagramie przedstawiono scenariusz sieci wirtualnej z dwiema podsieciami. Maszyny wirtualne platformy Azure i inne usługi w tych podsieciach nie mają przypisanych publicznych adresów IP. Cały ruch wychodzący i przychodzący jest kierowany przez usługę Azure NAT Gateway, która używa publicznego adresu IP lub publicznego prefiksu ip dla połączeń wychodzących.

Sieć wirtualna z dwiema podsieciami, która ma cały ruch kierowany przez usługę Azure NAT Gateway, która używa publicznego adresu IP lub publicznego prefiksu ip dla połączeń wychodzących.

Na poniższym diagramie maszyna wirtualna platformy Azure w podsieci A ma przypisany publiczny adres IP na poziomie wystąpienia, natomiast maszyny wirtualne w podsieci B nie mają publicznych adresów IP. Podczas wdrażania usługi Azure NAT Gateway w tym scenariuszu ruch przychodzący kierowany do maszyn wirtualnych w podsieci A jest nadal kierowany do adresu IP na poziomie wystąpienia. Jednak cały ruch wychodzący z podsieci A i podsieci B jest kierowany przez bramę translatora adresów sieciowych platformy Azure.

Diagram przedstawiający przepływ ruchu przychodzącego i wychodzącego dla dwóch podsieci.

Poniższy zrzut ekranu zawiera maszynę wirtualną platformy Azure, która używa adresu 192.0.2.22 jako publicznego adresu IP używanego do nawiązywania przychodzącego połączenia RDP z maszyną wirtualną. Jednak jego adres IP dla połączeń wychodzących ma inny adres 203.0.113.22. Ten publiczny adres IP jest używany przez usługę Azure NAT Gateway.

Zrzut ekranu przedstawiający różnicę w publicznym adresie IP maszyny wirtualnej platformy Azure i jego adresie IP dla połączeń wychodzących.

Usługę Azure NAT Gateway można używać w scenariuszach, w których masz moduł równoważenia obciążenia sieciowego wdrożony dla sieci wirtualnej. Należy jednak pamiętać, że brama translatora adresów sieciowych zastępuje całą konfigurację ruchu wychodzącego z reguły równoważenia obciążenia lub reguł ruchu wychodzącego. Brama translatora adresów sieciowych platformy Azure nie ma wpływu na ruch przychodzący.

Jeśli używasz stref dostępności platformy Azure, sieć wirtualna może obejmować więcej niż jedną strefę dostępności i podsieci w tej sieci. Usługa Azure NAT Gateway jest obecnie usługą strefową, co oznacza, że można ją wyznaczyć tylko do pojedynczych stref. Jednak nadal może służyć do pracy z zasobami poza jej strefą.