O Gateway NAT e as zonas de disponibilidade
O gateway NAT é um recurso zonal, o que significa que ele pode ser implantado e operar fora de zonas de disponibilidade individuais. Com cenários de isolamento de zona, você pode alinhar seus recursos de gateway NAT zonal com recursos baseados em IP designados zonalmente, como máquinas virtuais, para fornecer resiliência de zona contra interrupções. Analise este documento para entender os principais conceitos e as diretrizes fundamentais de projeto.
Figura 1: Implantação zonal do gateway NAT.
O gateway NAT pode ser designado para uma zona específica dentro de uma região ou para nenhuma zona. A propriedade de zona selecionada para o recurso de gateway NAT informa a propriedade zone do endereço IP público que também pode ser usada para conectividade de saída.
O gateway NAT inclui resiliência integrada
As redes virtuais e suas sub-redes são regionais. As sub-redes não estão restritas a uma zona. Embora o gateway NAT seja um recurso zonal, é um método altamente resiliente e confiável pelo qual se conectar à Internet a partir de sub-redes de rede virtual. O gateway NAT usa rede definida por software para operar como um serviço totalmente gerenciado e distribuído. A infraestrutura de gateway NAT inclui redundância integrada. Ele pode sobreviver a várias falhas de componentes de infraestrutura. As zonas de disponibilidade se baseiam nessa resiliência com cenários de isolamento de zona para gateway NAT.
Zonal
Você pode colocar seu recurso de gateway NAT em uma zona específica para uma região. Quando o gateway NAT é implantado em uma zona específica, ele fornece conectividade de saída para a Internet explicitamente a partir dessa zona. Os recursos de gateway NAT atribuídos a uma zona de disponibilidade podem ser anexados a endereços IP públicos da mesma zona ou que sejam redundantes de zona. Endereços IP públicos de uma zona de disponibilidade diferente ou nenhuma zona não são permitidos.
O gateway NAT pode fornecer conectividade de saída para máquinas virtuais de outras zonas de disponibilidade diferentes de si mesmo. A sub-rede da máquina virtual precisa ser configurada para o recurso de gateway NAT para fornecer conectividade de saída. Além disso, várias sub-redes podem ser configuradas para o mesmo recurso de gateway NAT.
Embora as máquinas virtuais em sub-redes de diferentes zonas de disponibilidade possam ser configuradas para um único recurso de gateway NAT zonal, essa configuração não fornece o método mais eficaz para garantir a resiliência da zona contra interrupções zonais. Para obter mais informações sobre como se proteger contra interrupções zonais, consulte Considerações de design mais adiante neste artigo.
Zona não zonal
Se nenhuma zona for selecionada no momento em que o recurso de gateway NAT for implantado, o gateway NAT será colocado em nenhuma zona por padrão. Quando o gateway NAT é colocado em nenhuma zona, o Azure coloca o recurso em uma zona para você. Não há visibilidade sobre qual zona o Azure escolhe para seu gateway NAT. Depois que o gateway NAT é implantado, as configurações zonais não podem ser alteradas. Nenhum recurso de gateway NAT de zona , enquanto ainda recursos zonais podem ser associados a endereços IP públicos de uma zona, nenhuma zona ou que são redundantes de zona.
Considerações de design
Agora que você entende as propriedades relacionadas à zona para gateway NAT, consulte as seguintes considerações de design para ajudá-lo a projetar para conectividade de saída altamente resiliente de redes virtuais do Azure.
Recurso de gateway NAT zonal único para recursos de abrangência de zona
Um único recurso de gateway NAT zonal pode ser configurado para uma sub-rede que contém máquinas virtuais que abrangem várias zonas de disponibilidade ou para várias sub-redes com máquinas virtuais zonais diferentes. Quando esse tipo de implantação é configurado, o gateway NAT fornece conectividade de saída à Internet para todos os recursos de sub-rede da zona específica onde o gateway NAT está localizado. Se a zona em que o gateway NAT está implantado ficar inativa, a conectividade de saída em todas as instâncias de máquina virtual associadas ao gateway NAT ficará inativa. Esta configuração não fornece o melhor método de resiliência de zona.
Figura 2: O recurso de gateway NAT zonal único para recursos de abrangência de várias zonas não fornece um método eficaz de resiliência de zona contra interrupções.
Recurso de gateway NAT zonal para cada zona em uma região para criar resiliência de zona
Existe uma promessa zonal para cenários de isolamento de zona quando uma instância de máquina virtual usando um recurso de gateway NAT está na mesma zona que o recurso de gateway NAT e seus endereços IP públicos. O padrão que você deseja usar para isolamento de zona é criar uma "pilha zonal" por zona de disponibilidade. Essa "pilha zonal" consiste em instâncias de máquina virtual, um recurso de gateway NAT com endereços IP públicos ou prefixo em uma sub-rede, todos na mesma zona.
Figura 3: O isolamento zonal criando pilhas zonais com o mesmo gateway NAT de zona, IPs públicos e máquinas virtuais fornece o melhor método para garantir a resiliência da zona contra interrupções.
Nota
A criação de pilhas zonais para cada zona de disponibilidade dentro de uma região é o método mais eficaz para criar resiliência de zona contra interrupções para gateway NAT. No entanto, essa configuração protege apenas as zonas de disponibilidade restantes onde a interrupção não ocorreu. Com essa configuração, a falha de conectividade de saída de uma interrupção de zona é isolada para a zona específica afetada. A interrupção não afetará as outras pilhas zonais onde outros gateways NAT são implantados com suas próprias sub-redes e IPs públicos zonais.
Integração de entrada com um balanceador de carga padrão
Se o seu cenário exigir pontos de extremidade de entrada, você terá duas opções:
| Opção | Padrão | Exemplo | Pro | Con |
|---|---|---|---|---|
| (1) | Alinhe os pontos de extremidade de entrada com as respetivas pilhas zonais que você está criando para saída. | Crie um balanceador de carga padrão com um frontend zonal. | O mesmo modelo de falha para entrada e saída. Mais simples de operar. | Um nome DNS (Sistema de Nomes de Domínio) comum precisa mascarar endereços IP individuais por zona. |
| (2) | Sobreponha as pilhas zonais com um ponto de extremidade de entrada entre zonas. | Crie um balanceador de carga padrão com um front-end redundante de zona. | Endereço IP único para ponto de extremidade de entrada. | Modelos variados para entrada e saída. Mais complexo de operar. |
Nota
Observe que a configuração zonal para um balanceador de carga funciona de forma diferente do gateway NAT. A seleção da zona de disponibilidade do balanceador de carga é sinônimo da seleção de zona da configuração IP do frontend. Para balanceadores de carga públicos, se o IP público no frontend do balanceador de carga for redundante de zona, o balanceador de carga também será redundante de zona. Se o IP público no frontend do balanceador de carga for zonal, o balanceador de carga também será designado para a mesma zona.
Limitações
- As zonas não podem ser alteradas, atualizadas ou criadas para o gateway NAT após a implantação.
Próximos passos
- Saiba mais sobre regiões do Azure e zonas de disponibilidade
- Saiba mais sobre o Azure NAT Gateway
- Saiba mais sobre o Azure Load balancer
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários