Интеграция шлюза NAT Azure

  • Статья

Шлюз Azure NAT — это полностью управляемая, высоко устойчивая служба, которая может быть связана с одной или несколькими подсетями. Это гарантирует, что весь исходящий трафик, подключенный к Интернету, направляется через шлюз преобразования сетевых адресов (NAT). В службе приложение Azure есть два важных сценария, в которых можно использовать шлюз NAT.

Шлюз NAT предоставляет статический общедоступный IP-адрес для исходящего трафика, доступного к Интернету. Кроме того, он значительно увеличивает доступные порты преобразования сетевых адресов источника (SNAT) в сценариях, где имеется большое количество одновременных подключений к одному и тому же сочетанию общедоступных адресов и портов.

Diagram that shows internet traffic flowing to a NAT gateway in an Azure virtual network.

Ниже приведены важные рекомендации по интеграции шлюза NAT Azure:

  • Использование шлюза NAT с Служба приложений зависит от интеграции виртуальной сети, поэтому для этого требуется поддерживаемая ценовая категория в плане Служба приложений.
  • При использовании шлюза NAT вместе с Служба приложений весь трафик для служба хранилища Azure должен использовать частные конечные точки или конечные точки службы.
  • Вы не можете использовать шлюз NAT вместе с Среда службы приложений версии 1 или версии 2.

Дополнительные сведения и цены см. в обзоре шлюза NAT Azure.

Настройка интеграции шлюза NAT

Чтобы настроить интеграцию шлюза NAT с Служба приложений, сначала выполните следующие задачи:

  • Настройте интеграцию региональной виртуальной сети с приложением, как описано в статье "Интеграция приложения с виртуальной сетью Azure".
  • Убедитесь, что функция Route All включена для интеграции виртуальной сети, поэтому маршруты в виртуальной сети влияют на трафик, подключенный к Интернету.
  • Подготовьте шлюз NAT с общедоступным IP-адресом и свяжите его с подсетью для интеграции виртуальной сети.

Затем настройте шлюз Azure NAT с помощью портал Azure:

  1. В портал Azure перейдите к Служба приложений> Networking. В разделе "Исходящий трафик" выберите "Интеграция виртуальной сети". Убедитесь, что приложение интегрировано с подсетью и включено значение Route All .

    Screenshot of the Route All option enabled for virtual network integration.

  2. В меню портала Azure или на домашней странице выберите Создать ресурс. Появится окно Создать.

  3. Найдите шлюз NAT и выберите его из списка результатов.

  4. Введите сведения об основах и выберите регион, в котором находится ваше приложение.

    Screenshot of the Basics tab on the page for creating a NAT gateway.

  5. На вкладке исходящих IP-адресов создайте общедоступный IP-адрес или выберите существующую.

    Screenshot of the Outbound IP tab on the page for creating a NAT gateway.

  6. На вкладке "Подсеть" выберите подсеть , используемую для интеграции виртуальной сети.

    Screenshot of the Subnet tab on the page for creating a NAT gateway.

  7. При необходимости заполните теги и нажмите кнопку "Создать". После подготовки шлюза NAT выберите "Перейти к группе ресурсов" и выберите новый шлюз NAT. В области исходящих IP-адресов отображается общедоступный IP-адрес , который будет использоваться приложением для исходящего трафика, доступного к Интернету.

    Screenshot of the Outbound IP pane for a NAT gateway in the Azure portal.

Если вы предпочитаете использовать Azure CLI для настройки среды, это важные команды. В качестве предварительных требований создайте приложение с настроенной интеграцией виртуальной сети.

  1. Убедитесь, что для интеграции виртуальной сети настроен маршрут all :

    az webapp config set --resource-group [myResourceGroup] --name [myWebApp] --vnet-route-all-enabled

  2. Создайте общедоступный IP-адрес и шлюз NAT:

    az network public-ip create --resource-group [myResourceGroup] --name myPublicIP --sku standard --allocation static

az network nat gateway create --resource-group [myResourceGroup] --name myNATgateway --public-ip-addresses myPublicIP --idle-timeout 10

  3. Свяжите шлюз NAT с подсетью для интеграции виртуальной сети:

    az network vnet subnet update --resource-group [myResourceGroup] --vnet-name [myVnet] --name [myIntegrationSubnet] --nat-gateway myNATgateway

Масштабирование шлюза NAT

Один и тот же шлюз NAT можно использовать в нескольких подсетях в одной виртуальной сети. Этот подход позволяет использовать шлюз NAT в нескольких приложениях и Служба приложений планах.

Шлюз NAT Azure поддерживает как общедоступные IP-адреса, так и префиксы общедоступных IP-адресов. Шлюз NAT может поддерживать до 16 IP-адресов через отдельные IP-адреса и префиксы. Каждый IP-адрес выделяет 64512 портов (SNAT), что позволяет до 1 миллиона доступных портов. Дополнительные сведения см. в ресурсе шлюза NAT Azure.

Следующие шаги

Дополнительные сведения о шлюзе NAT Azure см. в документации по шлюзу NAT Azure.

Дополнительные сведения об интеграции виртуальной сети см. в документации по интеграции виртуальной сети.