Gateway da NAT e zonas de disponibilidade

O gateway NAT é um recurso zonal, o que significa que ele pode ser implantado e operar fora de zonas de disponibilidade individuais. Com cenários de isolamento de zona, você pode alinhar seus recursos de gateway NAT zonal com recursos baseados em IP designados zonalmente, como máquinas virtuais, para fornecer resiliência de zona contra interrupções. Analise este documento para entender conceitos chaves e diretrizes fundamentais de projeto.

Diagrama da implantação zonal do gateway da NAT.

Figura 1: implantação zonal do gateway da NAT.

O gateway NAT pode ser configurado para uma zona específica dentro de uma região ou pode ser colocado em 'nenhuma zona'. A propriedade de zona que você seleciona para seu recurso de gateway NAT informará a propriedade de zona do endereço IP público que também pode ser usado para conectividade de saída.

O gateway NAT tem resiliência integrada

As redes virtuais e suas sub-redes são regionais. As sub-redes não são restritas a uma zona. Embora o gateway NAT seja um recurso zonal, ele é um método altamente resiliente e confiável pelo qual conectar-se à Internet de sub-redes de rede virtual. O gateway NAT usa a rede definida pelo software para operar como um serviço totalmente gerenciado e distribuído. A infraestrutura de gateway NAT foi criada em redundância. Ela pode sobreviver a várias falhas de componentes de infraestrutura. As zonas de disponibilidade se baseiam nessa resiliência com cenários de isolamento de zona para gateway NAT.

Zonal

Você pode colocar o recurso de gateway NAT em uma zona específica para uma região. Quando o gateway NAT for implantado em uma zona específica, ele fornecerá conectividade de saída à Internet explicitamente a partir dessa zona. O endereço IP público ou o prefixo configurado para o gateway NAT devem corresponder à mesma zona. Os recursos de Gateway NAT com endereços públicos de IP de uma zona diferente, redundância de zona ou que não estejam em uma zona não são permitidos.

O gateway NAT pode fornecer conectividade de saída para máquinas virtuais de outras zonas de disponibilidade diferentes de si mesmo. A sub-rede da máquina virtual precisa ser configurada para o recurso de gateway NAT para fornecer conectividade de saída. Além disso, várias sub-redes podem ser configuradas para o mesmo recurso de gateway NAT.

Embora as máquinas virtuais em sub-redes de diferentes zonas de disponibilidade possam ser configuradas para um único recurso de gateway NAT zonal, essa configuração não fornece o método mais eficaz para garantir a resiliência de zona contra interrupções zonais. Para obter mais informações sobre como proteger contra interrupções zonais, consulte considerações de design mais adiante neste artigo.

Sem zona

Se nenhuma zona for selecionada no momento em que o recurso de gateway NAT for implantado, ele será colocado em 'nenhuma zona' por padrão. Quando o gateway NAT é colocado emnenhuma zona, o Azure coloca o recurso em uma zona para você. Você não terá visibilidade de qual zona o Azure escolhe para seu gateway NAT. Depois que o gateway NAT é implantado, as configurações zonais não podem ser alteradas. Os recursos do gateway NAT nenhuma zona, embora ainda sejam zonais, os recursos podem ser associados a endereços IP públicos de uma zona, sem zona ou com redundância de zona.

Considerações sobre o design

Agora que você entende as propriedades relacionadas à zona para o gateway NAT, confira as seguintes considerações de design para ajudá-lo a projetar conectividade de saída altamente resiliente das redes virtuais do Azure.

Recurso de gateway NAT zonal único para recursos de abrangência de zona

Um único recurso de gateway NAT zonal pode ser configurado para uma sub-rede que contém máquinas virtuais que abrangem várias zonas de disponibilidade ou para várias sub-redes com diferentes máquinas virtuais zonais. Quando esse tipo de implantação for configurado, o gateway NAT fornecerá conectividade de saída à Internet para todos os recursos de sub-rede da zona específica em que está localizado. Se a zona na qual o gateway NAT é implantado for inativa, a conectividade de saída em todas as instâncias de máquina virtual associadas ao gateway NAT também diminuirá. Essa configuração não fornece o melhor método de resiliência de zona.

Diagrama do recurso de gateway de NAT zonal único.

Figura 2: o recurso de gateway de NAT zonal único para recursos de várias zonas não fornece um método eficaz de resiliência de zona contra interrupções.

Recurso de gateway NAT zonal para cada zona em uma região para criar resiliência de zona

Uma promessa zonal para cenários de isolamento de zonas existe quando uma instância de máquina virtual que usa um recurso de gateway NAT está na mesma zona do recurso de gateway NAT e dos endereços IP públicos. O padrão que você deseja usar para o isolamento de zona é criar uma "pilha zonal" por zona de disponibilidade. Essa "pilha zonal" consiste em instâncias de máquina virtual, um recurso de gateway NAT com endereços IP públicos ou prefixo em uma sub-rede, tudo na mesma zona.

Diagrama de isolamento zonal criando pilhas zonais.

Figura 3: o isolamento zonal criando pilhas zonais com o mesmo gateway NAT de zona, IPs públicos e máquinas virtuais fornece o melhor método para garantir a resiliência da zona contra interrupções.

A falha de conectividade de saída devido a uma interrupção de zona é isolada para a zona específica afetada. A interrupção não afetará as outras pilhas zonais em que outros gateways NAT são implantados com suas próprias sub-redes e IPs públicos zonais.

Criar pilhas zonais para cada zona de disponibilidade em uma região é o método mais eficaz para criar resiliência de zona em relação a interrupções para o gateway NAT.

Integração de entrada com um balanceador de carga padrão

Se o cenário exigir pontos de extremidade de entrada, você terá duas opções:

Opção Padrão Exemplo Vantagem Desvantagem
(1) Alinhar os pontos de extremidade de entrada com as respectivas pilhas zonais você está criando para a saída. Crie um balanceador de carga padrão com um front-end zonal. Mesmo modelo de falha para entrada e saída. Mais simples de ser operado. Os endereços IP individuais por zona podem precisar ser mascarados por um nome DNS comum.
(2) Sobrepor as pilhas zonais com um ponto de extremidade de entrada entre zonas. Criar um balanceador de carga padrão com um front-end com redundância de zona. Endereço IP individual para o ponto de extremidade de entrada. Modelos variados para entrada e saída. Mais complexo de ser operado.

Observação

Observe que a configuração zonal de um balanceador de carga funciona de maneira diferente do gateway da NAT. A seleção da zona de disponibilidade do balanceador de carga é sinônimo de seleção de zona da configuração de IP de front-end. Para balanceadores de carga públicos, se o IP público no front-end do balanceador de carga for redundante de zona, o balanceador de carga também será redundante de zona. Se o IP público no front-end do balanceador de carga for zonal, o balanceador de carga também será designado para a mesma zona.

Limitações

  • As zonas não podem ser alteradas, atualizadas nem criadas para o gateway NAT após a criação.

Próximas etapas