Çok kiracılılık için Azure NAT Ağ Geçidi ile ilgili dikkat edilmesi gerekenler

Azure NAT Gateway, bir Azure sanal ağı içinde barındırılan kaynaklarınızdan giden ağ bağlantısı üzerinde denetim sağlar. Bu makalede, NAT Gateway'in çok kiracılı uygulamaları etkileyebilecek Kaynak Ağ Adresi Çevirisi (SNAT) bağlantı noktası tükenmesini nasıl azaltabileceğini gözden geçireceğiz. Nat Gateway'in çok kiracılı çözümünüzden giden trafiğe statik IP adresleri atamasını da gözden geçiriyoruz.

Not

Azure Güvenlik Duvarı gibi güvenlik duvarları, giden trafiğinizi denetlemenize ve günlüğe kaydetmenize olanak tanır. Azure Güvenlik Duvarı nat ağ geçidine benzer SNAT bağlantı noktası ölçeği ve giden IP adresi denetimi de sağlar. NAT Gateway daha az maliyetlidir, ancak daha az özelliğe sahiptir ve bir güvenlik ürünü değildir.

Çok kiracılılığı destekleyen NAT Ağ Geçidi özellikleri

Yüksek ölçekli SNAT bağlantı noktaları

SNAT bağlantı noktaları, uygulamanız aynı genel IP adresine aynı bağlantı noktasında birden çok eşzamanlı giden bağlantı yaptığında ayrılır. SNAT bağlantı noktaları, yük dengeleyiciler içinde sonlu bir kaynaktır. Uygulamanız aynı ana bilgisayara çok sayıda ayrı bağlantı açarsa, kullanılabilir tüm SNAT bağlantı noktalarını kullanabilir. Bu duruma SNAT bağlantı noktası tükenmesi denir.

Çoğu uygulamada, SNAT bağlantı noktası tükenmesi uygulamanızın HTTP bağlantılarını veya TCP bağlantı noktalarını yanlış işlediğini gösterir. Ancak, bazı çok kiracılı uygulamalar, bağlantıları uygun şekilde yeniden kullansalar bile SNAT bağlantı noktası sınırlarını aşma riskiyle karşı karşıyadır. Örneğin, uygulamanız aynı veritabanı ağ geçidinin arkasındaki kiracıya özgü birçok veritabanına bağlandığında bu durum oluşabilir.

İpucu

Çok kiracılı bir uygulamada SNAT bağlantı noktası tükenmesi gözlemlerseniz uygulamanızın iyi yöntemlere uygun olup olmadığını doğrulamanız gerekir. HTTP bağlantılarını yeniden kullandığınızdan ve bir dış hizmete her bağlandığınızda yeni bağlantıları yeniden oluşturmadığınızdan emin olun. Sorunu geçici olarak çözmek için bir NAT Ağ Geçidi dağıtabilirsiniz, ancak kodunuz en iyi yöntemleri izlemezse, gelecekte sorunla yeniden karşılaşabilirsiniz.

SNAT bağlantı noktası ayırmalarını Azure Uygulaması Hizmeti ve Azure İşlevleri gibi birden çok müşteri arasında paylaşan Azure hizmetleriyle çalıştığınızda sorun daha da kötüleştirilir.

SNAT tükenmesi yaşadığınızı belirlerseniz ve uygulama kodunuzun giden bağlantılarınızı doğru işlediğine eminseniz NAT Ağ Geçidi'ni dağıtmayı göz önünde bulundurun. Bu yaklaşım, Azure Uygulaması Hizmeti ve Azure İşlevleri üzerinde oluşturulmuş çok kiracılı çözümler dağıtan müşteriler tarafından yaygın olarak kullanılır.

Tek bir NAT ağ geçidinde birden çok genel IP adresi bulunabilir ve her genel IP adresi, İnternet'e giden bağlantıyı sağlamak için bir dizi SNAT bağlantı noktası sağlar. Tek bir NAT ağ geçidinin destekleyebileceği en fazla SNAT bağlantı noktası ve IP adresi sayısını anlamak için bkz . Azure aboneliği ve hizmet sınırları, kotalar ve kısıtlamalar. Bu sınırın ötesine ölçeklendirmeniz gerekiyorsa, birden çok alt ağ veya sanal ağa birden çok NAT Gateway örneği dağıtmayı düşünebilirsiniz. Alt ağdaki her sanal makine, gerekirse kullanılabilir SNAT bağlantı noktalarından herhangi birini kullanabilir.

Giden IP adresi denetimi

Giden IP adresi denetimi, aşağıdaki gereksinimlerin tümüne sahip olduğunuzda çok kiracılı uygulamalarda yararlı olabilir:

• Giden trafik için otomatik olarak ayrılmış statik IP adresleri sağlamayan Azure hizmetlerini kullanırsınız. Bu hizmetler Azure Uygulaması Hizmeti, Azure İşlevleri, API Management (tüketim katmanında çalışırken) ve Azure Container Instances'ı içerir.
• Kiracılarınızın ağlarına İnternet üzerinden bağlanmanız gerekir.
• Kiracılarınızın gelen trafiği her isteğin IP adresine göre filtrelemesi gerekir.

Bir alt ağa NAT Ağ Geçidi örneği uygulandığında, bu alt ağdan gelen tüm giden trafik NAT ağ geçidiyle ilişkili genel IP adreslerini kullanır.

Not

Birden çok genel IP adresini tek bir NAT Ağ Geçidi ile ilişkilendirdiğinizde, giden trafiğiniz bu IP adreslerinden herhangi birinden gelebilir. Hedefte güvenlik duvarı kurallarını yapılandırmanız gerekebilir. Her IP adresine izin vermeli veya aynı aralıktaki genel IP adresleri kümesini kullanmak için bir genel IP adresi ön eki kaynağı kullanmalısınız.

Yalıtım modelleri

Her kiracı için farklı giden genel IP adresleri sağlamanız gerekiyorsa, tek tek NAT Gateway kaynaklarını dağıtmanız gerekir. Her alt ağ tek bir NAT Ağ Geçidi örneğiyle ilişkilendirilebilir. Daha fazla NAT ağ geçidi dağıtmak için birden çok alt ağ veya sanal ağ dağıtmanız gerekir. Buna karşılık, büyük olasılıkla birden çok işlem kaynağı kümesi dağıtmanız gerekir.

Çok kiracılı bir ağ topolojisi tasarlama hakkında daha fazla bilgi için Çok kiracılı çözümlerde ağ için mimari yaklaşımları gözden geçirin.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• John Downs | Baş Müşteri Mühendisi, Azure için FastTrack

Diğer katkıda bulunanlar:

• Aimee Littleton | Program Yöneticisi 2, Azure NAT Ağ Geçidi
• Arsen Vladimirskiy | Baş Müşteri Mühendisi, Azure için FastTrack
• Joshua Waddell | Kıdemli Müşteri Mühendisi, Azure için FastTrack

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• NAT Ağ Geçidi hakkında daha fazla bilgi edinin.
• NAT Gateway'i Azure Uygulaması Hizmeti ve Azure İşlevleri ile kullanmayı öğrenin.
• Çok kiracılı çözümlerde ağ iletişimi için mimari yaklaşımları gözden geçirin.