Quando você deve usar o Azure NAT Gateway?
Ao considerar a implantação do serviço Gateway NAT do Azure, você deve primeiro analisar seu cenário. O serviço não é implantado por padrão com a Rede Virtual do Azure e nem todos os cenários se encaixam nesse serviço. No entanto, é uma boa solução para resolver problemas de conectividade com VMs do Azure em sua empresa de varejo online.
Cenários para usar o serviço Gateway NAT do Azure
O Gateway NAT do Azure fornece recursos de gateway NAT para conectividade de saída sob demanda sem planejamento prévio complexo, o que torna a implantação relativamente fácil quando necessário. Depois de configurá-lo, todas as instâncias de VM têm conectividade de saída e usam seus endereços IP estáticos especificados, o que, por sua vez, simplifica a criação de listas de permissões.
Se você quiser dedicar endereços IP públicos que suas VMs usam ao acessar recursos da Internet, o Gateway NAT do Azure pode ajudar. Digamos que você tenha uma organização parceira que só permite conexões de um conjunto fixo de endereços IP. Você pode associar um prefixo IP público ao Gateway NAT do Azure para garantir que um conjunto contíguo de IPs seja usado para conectividade de saída. Em seguida, você pode configurar o firewall no destino com base nessa lista de IP previsível. Por exemplo, essa solução pode abordar um cenário em que seu parceiro hospeda uma API voltada para a Internet à qual você precisa se conectar.
Se você tiver recursos em sua rede virtual do Azure que fazem muitas conexões de saída e usam intensamente várias portas para comunicação de saída, considere implantar o serviço Gateway NAT do Azure. O serviço ajuda a consolidar e maximizar os números de porta disponíveis, além de evitar o esgotamento da porta.
Por exemplo, você pode ter uma rede virtual com algumas sub-redes criadas. Essa sub-rede hospeda suas VMs do Azure, enquanto outra sub-rede hospeda um serviço de aplicativo com um site ou algum outro serviço. Sem usar o Azure NAT Gateway, suas VMs e outros serviços têm um número limitado de portas disponíveis para conexões de saída. Normalmente, esse número é menor do que as 65.535 portas teoricamente disponíveis. A conexão expira Se uma das suas VMs ou serviços esgotar o pool de portas disponível. Você não pode compartilhar um pool de portas de outras VMs, porque as portas são atribuídas por VM e todos esses recursos podem ter um endereço IP diferente usado para comunicação pública. As VMs do Azure que têm um IP público atribuído, usam esse endereço para acessar recursos da Internet. Enquanto as VMs sem um IP público, use o endereço atualmente disponível no pool de endereços de serviço do Azure. O Gateway NAT do Azure ajuda a resolver esses dois problemas, fornecendo um escopo completo de portas para VMs na sub-rede coberta e um IP público exclusivo (ou escopo IP) para conectividade de saída.
Cenários que não são apropriados para usar o serviço Gateway NAT do Azure
Embora o Gateway NAT do Azure seja um serviço útil e fácil de implantar, ele pode não ser apropriado para todos os cenários. Seguem-se alguns exemplos:
- Se o layout da VM do Azure for simples, com apenas algumas VMs que raramente fazem muitas conexões com recursos da Internet, você provavelmente não precisará do Gateway NAT do Azure. Em vez disso, você pode usar a conversão de endereços nativos do Azure ou atribuir um IP público a uma ou mais VMs.
- Se você precisar gerenciar conexões de entrada para suas VMs do Azure que estão vindo da Internet, o Gateway NAT do Azure não é útil. O Gateway NAT do Azure só gerencia conexões de entrada quando elas são iniciadas a partir da VM do Azure (ou outro serviço) que está por trás do NAT. Uma VM do Azure ou software instalado em uma VM do Azure inicia uma conexão com um recurso na Internet. O Azure NAT Gateway registra essa conexão. Se esse recurso na Internet retornar alguns dados para a VM do Azure ou iniciar uma conexão de entrada, ele será permitido. No entanto, as conexões iniciadas a partir da Internet que não são em resposta ao tráfego direcionado de saída são bloqueadas.
- Se você precisar fornecer uma conexão com outros serviços baseados no Azure, como o Banco de Dados SQL do Azure ou o Armazenamento do Azure, não deverá usar o Gateway NAT do Azure. Você não precisa implantar o Azure NAT Gateway para se conectar aos recursos do Azure. Ao se conectar aos serviços do Azure, você pode usar o Azure Private Link para vincular recursos do Azure à sua rede virtual e controlar o acesso aos recursos de serviço do Azure. Por exemplo, ao acessar o Armazenamento do Azure, use um ponto de extremidade privado para armazenamento para ajudar a garantir que sua conexão seja totalmente privada.
- Não é possível usar o Gateway NAT do Azure com sub-redes do Gateway do Azure. Você também não pode usar um único serviço de Gateway NAT do Azure com mais de uma rede virtual no Azure. No entanto, você pode usar um único serviço de Gateway NAT do Azure para cobrir mais de uma sub-rede dentro da mesma rede virtual.