Compartilhar via


Considerações de Gateway da NAT do Azure para multilocação

O Gateway da NAT do Azure fornece controle sobre a conectividade de rede de saída de seus recursos hospedados em uma rede virtual do Azure. Neste artigo, examinamos como o Gateway da NAT pode atenuar o esgotamento da porta SNAT (Conversão de Endereço de Rede de Origem), o que pode afetar aplicativos multilocatário. Também examinamos como o Gateway da NAT atribui endereços IP estáticos ao tráfego de saída de sua solução multilocatário.

Observação

Os firewalls, como o Firewall do Azure, permitem controlar e registrar em log seu tráfego de saída. O Firewall do Azure também fornece dimensionamento de porta SNAT semelhante e controle de endereço IP de saída para o Gateway da NAT. O Gateway da NAT é menos caro, mas também tem menos recursos e não é um produto de segurança.

Recursos do Gateway da NAT que dão suporte à multilocação

Portas SNAT de alta escala

As portas SNAT são alocadas quando o aplicativo faz várias conexões de saída simultâneas com o mesmo endereço IP público, na mesma porta. As portas SNAT são um recurso finito dentro de balanceadores de carga. Se o aplicativo abrir um grande número de conexões separadas com o mesmo host, ele poderá consumir todas as portas SNAT disponíveis. Essa situação é chamada de esgotamento da porta SNAT.

Na maioria dos aplicativos, o esgotamento da porta SNAT indica que seu aplicativo está manipulando incorretamente conexões HTTP ou portas TCP. No entanto, alguns aplicativos multilocatário correm o risco particular de exceder os limites de porta SNAT, mesmo que reutilizem as conexões adequadamente. Por exemplo, essa situação pode ocorrer quando seu aplicativo se conecta a muitos bancos de dados específicos do locatário por trás do mesmo gateway de banco de dados.

Dica

Se você observar o esgotamento da porta SNAT em um aplicativo multilocatário, verifique se seu aplicativo segue boas práticas. Reutilize conexões HTTP e não recrie novas conexões sempre que se conectar a um serviço externo. Você pode ser capaz de implantar um Gateway da NAT para contornar o problema, mas se o código não seguir as práticas recomendadas, você poderá encontrar o problema novamente no futuro.

O problema é exacerbado quando você trabalha com serviços do Azure que compartilham alocações de porta SNAT entre vários clientes, como Serviço de Aplicativo do Azure e Azure Functions.

Se você determinar que está tendo esgotamento do SNAT e tiver certeza de que o código do aplicativo lida corretamente com suas conexões de saída, considere implantar o Gateway da NAT. Essa abordagem é comumente usada por clientes que implantam soluções multilocatário criadas no Serviço de Aplicativo do Azure e Azure Functions.

Um gateway da NAT individual pode ter vários endereços IP ligados, e cada endereço IP fornece um conjunto de portas SNAT para conexão de saída à Internet. Para entender o número máximo de portas SNAT e endereços IP que um único gateway NAT pode suportar, consulte Assinatura do Azure e limite de serviços, cotas e restrições. Se você precisar escalar além desse limite, poderá considerar a implantação de várias instâncias do Gateway da NAT em várias sub-redes ou VNets. Cada máquina virtual em uma sub-rede pode usar qualquer uma das portas SNAT disponíveis, se precisar delas.

Controle do endereço IP de saída

O controle de endereço IP de saída pode ser útil em aplicativos multilocatário quando você tiver todos os seguintes requisitos:

  • Você usa serviços do Azure que não fornecem automaticamente endereços IP estáticos dedicados para tráfego de saída. Esses serviços incluem Serviço de Aplicativo do Azure, Azure Functions, Gerenciamento de API (ao executar na camada de consumo) e Instâncias de Contêiner do Azure.
  • Você precisa se conectar às redes de seus locatários pela Internet.
  • Seus locatários precisam filtrar o tráfego de entrada com base no endereço IP de cada solicitação.

Quando uma instância do Gateway da NAT é aplicada a uma sub-rede, qualquer tráfego de saída dessa sub-rede usa os endereços IP públicos associados ao gateway da NAT.

Observação

Quando você associa vários endereços IP públicos a um único Gateway da NAT, o tráfego de saída pode vir de qualquer um desses endereços IP. Talvez seja necessário configurar regras de firewall no destino. Você deve permitir cada endereço IP ou usar um recurso de prefixo de endereço IP público para usar um conjunto de endereços IP públicos no mesmo intervalo.

Modelos de isolamento

Se você precisar fornecer diferentes endereços IP públicos de saída para cada locatário, deverá implantar recursos individuais do Gateway da NAT. Cada sub-rede pode ser associada a uma única instância do Gateway da NAT. Para implantar mais gateways da NAT, você precisa implantar várias sub-redes ou redes virtuais. Por sua vez, é provável que você precise implantar vários conjuntos de recursos de computação.

Examine Abordagens de arquitetura para rede em soluções multilocatário para obter mais informações sobre como criar uma topologia de rede multilocatário.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

  • John Downs | Engenheiro principal de atendimento ao cliente, FastTrack for Azure

Outros colaboradores:

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas