Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, NAT ağ geçidi kaynağının yüksek oranda güvenli, ölçeklenebilir ve dayanıklı giden bağlantı sağlamasına olanak tanıyan temel bileşenleri açıklanmaktadır. NAT Gateway, desteklenen istemciler aracılığıyla aboneliğinizde yapılandırılabilir. Bu istemciler Azure portalı, Azure CLI, Azure PowerShell, Resource Manager şablonları veya uygun alternatifleri içerir.
NAT Ağ Geçidi mimarisi
NAT Gateway, dağıtılmış ve tam olarak yönetilen bir hizmet olarak çalışmak için yazılım tanımlı ağ kullanır. NAT Gateway'de birden çok hata etki alanı olduğundan, hizmet üzerinde herhangi bir etkisi olmadan birden çok hataya dayanabilir.
NAT Gateway, Azure sanal ağınızın alt ağları içindeki özel örnekler için kaynak ağ adresi çevirisi (SNAT) sağlar. Bir alt ağda yapılandırıldığında, alt ağınızdaki özel IP'ler, İnternet'e çıkış bağlantısı kurmak için NAT ağ geçidinin statik genel IP adreslerine SNAT ile yönlendirilir. NAT Gateway ayrıca yalnızca giden kaynaklı bağlantıya yanıt paketleri için hedef ağ adresi çevirisi (DNAT) sağlar.
Şekil: İnternet'e giden nat ağ geçidi
Nat Gateway, sanal ağ içindeki bir alt ağa yapılandırıldığında, İnternet'e yönlendirilen tüm giden trafik için alt ağın varsayılan sonraki atlama türü olur. Ek yönlendirme yapılandırması gerekmez. NAT Ağ Geçidi, internetten istenmeyen gelen bağlantılar sağlamaz. DNAT yalnızca giden pakete yanıt olarak gelen paketler için gerçekleştirilir.
Alt ağlar
NAT Ağ Geçidi, İnternet'e giden bağlantı sağlamak için bir sanal ağ içindeki birden çok alt ağa bağlanabilir. NAT Gateway bir alt ağa bağlı olduğunda, varsayılan İnternet yolunu kabul eder. Ardından NAT Gateway, İnternet'e giden tüm trafik için sonraki atlama türü olacaktır.
Aşağıdaki alt ağ yapılandırmaları NAT Ağ Geçidi ile kullanılamaz:
NAT Gateway bir alt ağa bağlı olduğunda, varsayılan İnternet yolunu kabul eder. Yalnızca bir NAT Gateway, bir alt ağ için İnternet'e giden varsayılan yol olarak görev yapabilir.
NAT Ağ Geçidi, farklı sanal ağlardan alt ağlara eklenemez.
NAT Ağ Geçidi bir ağ geçidi alt ağıyla kullanılamaz. Ağ geçidi alt ağı, bir Azure sanal ağı ile şirket içi konum arasında şifreli trafik göndermek için belirlenmiş bir VPN ağ geçidinin alt ağıdır. Ağ geçidi alt ağı hakkında daha fazla bilgi için bkz . Ağ geçidi alt ağı.
Statik genel IP adresleri
NAT Ağ Geçidi, giden bağlantı sağlamak için statik genel IP adresleri veya genel IP ön ekleriyle ilişkilendirilebilir. NAT Ağ Geçidi IPv4 adreslerini destekler. NAT ağ geçidi genel IP adreslerini veya ön eklerini toplam 16 IP adresine kadar herhangi bir birleşimde kullanabilir. Genel IP ön eki atarsanız, genel IP ön ekinin tamamı kullanılır. Doğrudan genel IP ön ekini kullanabilir veya ön ekin genel IP adreslerini birden fazla NAT ağ geçidi kaynağı arasında dağıtabilirsiniz. NAT ağ geçidi, tüm trafiği ön ekin IP adresleri aralığına yönlendirir.
NAT Gateway, IPv6 genel IP adresleri veya ön ekleriyle kullanılamaz.
NAT Ağ Geçidi temel SKU genel IP adresleriyle kullanılamaz.
SNAT bağlantı noktaları
SNAT bağlantı noktası envanteri, bir NAT ağ geçidine eklenmiş olan genel IP adresleri, genel IP ön ekleri veya her ikisi tarafından sağlanır. SNAT bağlantı noktası envanteri, NAT ağ geçidine bağlı bir alt ağ içindeki tüm örnekler için isteğe bağlı olarak kullanılabilir hale getirilmiştir. Örnek başına SNAT bağlantı noktalarının önceden yerleştirilmesi gerekmez.
SNAT bağlantı noktaları ve Azure NAT Ağ Geçidi hakkında daha fazla bilgi için bkz Azure NAT Gateway ile Kaynak Ağ Adresi Çevirisi (SNAT).
Bir sanal ağ içindeki birden çok alt ağ aynı NAT ağ geçidi kaynağına eklendiğinde, NAT Gateway tarafından sağlanan SNAT bağlantı noktası envanteri tüm alt ağlarda paylaşılır.
SNAT bağlantı noktaları, farklı bağlantı akışlarını birbirinden ayırt etmek için benzersiz tanımlayıcılar işlevi görür. Aynı SNAT bağlantı noktası, farklı hedef uç noktalara aynı anda bağlanmak için kullanılabilir.
Farklı bağlantı akışlarını birbirinden ayırmak için aynı hedef uç noktaya bağlantı kurmak için farklı SNAT bağlantı noktaları kullanılır. Aynı hedefe bağlanmak için yeniden kullanılan SNAT bağlantı noktaları, tekrar kullanılmadan önce yeniden kullanım soğuma zamanlayıcısına yerleştirilir.
Şekil: SNAT bağlantı noktası ayırma
Tek bir NAT ağ geçidi 16 IP adresine kadar ölçeklendirilebilir. Her NAT ağ geçidi genel IP adresi, giden bağlantılar yapmak için 64.512 SNAT bağlantı noktası sağlar. NAT ağ geçidi 1 milyondan fazla SNAT bağlantı noktasının ölçeğini artırabilir. TCP ve UDP ayrı SNAT bağlantı noktası envanterleridir ve NAT Ağ Geçidi ile ilgisizdir.
Kullanılabilirlik alanları
NAT ağ geçidi belirli bir kullanılabilirlik alanında oluşturulabilir veya hiçbir bölgeye yerleştirilebilir. NAT ağ geçidi herhangi bir bölgeye yerleştirilmediğinde, Azure NAT ağ geçidinin bulunacağı bölgeyi seçer.
Bölge yedekliliği olan genel IP adresleri bölgesel veya bölgesiz NAT ağ geçidi kaynaklarıyla kullanılabilir.
Öneri, tek tek kullanılabilirlik alanlarına nat ağ geçidi yapılandırmaktır. Ayrıca, aynı bölgeden özel örnekleri olan alt ağlara eklenmelidir. Kullanılabilirlik alanları ve Azure NAT Ağ Geçidi hakkında daha fazla bilgi için bkz . Kullanılabilirlik alanları tasarım konuları.
Nat ağ geçidi dağıtıldıktan sonra bölge seçimi değiştirilemez.
Protokoller
NAT Gateway, UDP ve TCP akışlarının IP ve IP aktarım üst bilgileriyle etkileşim kurar. NAT Gateway, uygulama katmanı yüklerinden bağımsızdır. Diğer IP protokolleri desteklenmez.
TCP sıfırlama
NAT ağ geçidi var olmayan bir bağlantı akışındaki trafiği algıladığında TCP sıfırlama paketi gönderilir. TCP sıfırlama paketi, alıcı uç noktaya bağlantı akışının serbest bırakıldığını ve bu TCP bağlantısındaki gelecekteki tüm iletişimlerin başarısız olacağını gösterir. TCP sıfırlama, NAT ağ geçidi için tek yönlüdür.
Bağlantı akışı şu durumlarda mevcut olmayabilir:
Bağlantı akışında bir süre etkinlik dışı kaldıktan sonra boşta kalma zaman aşımına ulaşıldı ve bağlantı sessizce bırakıldı.
Gönderen, Azure ağının tarafı ya da genel internet tarafında, bağlantı düştükten sonra trafik gönderdi.
TCP sıfırlama paketi yalnızca bırakılan bağlantı akışındaki trafik algılandığında gönderilir. Bu işlem, bağlantı akışı düştükten hemen sonra TCP sıfırlama paketinin gönderilmeyebileceği anlamına gelir.
Sistem, trafiğin Azure ağ tarafından mı yoksa genel İnternet tarafından mı kaynaklandığına bakılmaksızın, var olmayan bir bağlantı akışındaki trafiği algılamaya yanıt olarak bir TCP sıfırlama paketi gönderir.
TCP boşta kalma zaman aşımı
NAT ağ geçidi, TCP protokolleri için 4 dakika ile 120 dakika arasında yapılandırılabilir bir boşta kalma zaman aşımı aralığı sağlar. UDP protokollerinin yapılandırılamaz boşta kalma zaman aşımı süresi 4 dakikadır.
Bağlantı boşta kaldığında, bağlantı boşta kalma süresi geçene kadar NAT ağ geçidi SNAT bağlantı noktasını tutar. Uzun boşta kalma zaman aşımı süreölçerleri gereksiz yere SNAT bağlantı noktası tükenme olasılığını artırabileceğinden, TCP boşta kalma zaman aşımı süresinin varsayılan 4 dakikadan daha uzun bir süreye artırılması önerilmez. Boşta zamanlayıcı, hiçbir zaman boşta olmayan bir akışı etkilemez.
TCP devam sinyalleri, uzun boşta kalan bağlantıları tekrarlı yenileme ve uç nokta canlılığını algılama düzeni sağlamak için kullanılabilir. Daha fazla bilgi için bu .NET örneklerine bakın. TCP alıkoymaları, uç noktalarda yinelenen ACK'ler olarak görünür, düşük ek yüke sahiptir ve uygulama katmanında görünmez halde kalır.
UDP boşta zaman aşımı zamanlayıcıları yapılandırılamaz, boşta kalma zaman aşımı değerine ulaşılmadığından ve bağlantının korundığından emin olmak için UDP korumaları kullanılmalıdır. TCP bağlantılarından farklı olarak, bağlantının bir tarafında etkinleştirilen UDP tutma özelliği yalnızca tek yönlü trafik akışı için geçerlidir. UDP canlı kalma sinyalleri, trafik akışını sürekli kılmak için her iki uçta da etkinleştirilmelidir.
Süreölçerler
Bağlantı Noktası Yeniden Kullanım Zamanlayıcıları
Bağlantı noktası yeniden kullanım süreölçerleri, bağlantı kapatıldıktan sonra bir kaynak bağlantı noktasının NAT ağ geçidi tarafından aynı hedef uç noktaya gitmek üzere yeni bir bağlantı için yeniden kullanılabilmesi için beklemede olduğu süreyi belirler.
Aşağıdaki tabloda, bir TCP bağlantı noktasının NAT ağ geçidi tarafından aynı hedef uç noktada yeniden kullanılabilir hale geldiği zaman hakkında bilgi verilmektedir.
| Zamanlayıcı | Açıklama | Değer |
|---|---|---|
| TCP FIN | Tcp FIN paketiyle bağlantı kapatıldıktan sonra, SNAT bağlantı noktasını tutan 65 saniyelik bir zamanlayıcı etkinleştirilir. SNAT bağlantı noktası, zamanlayıcı sona erdikten sonra yeniden kullanılabilir. | 65 saniye |
| TCP RST | Tcp RST paketi (sıfırlama) ile bağlantı kapatıldıktan sonra, SNAT bağlantı noktasını tutan 16 saniyelik bir zamanlayıcı etkinleştirilir. Zamanlayıcı sona erdiğinde, bağlantı noktası yeniden kullanılabilir. | 16 saniye |
| TCP yarı açık | Bir bağlantı uç noktasının diğer uç noktadan bildirim beklediği bağlantı kurulumu sırasında 30 saniyelik bir zamanlayıcı etkinleştirilir. Trafik algılanmazsa bağlantı kapatılır. Bağlantı kapatıldıktan sonra kaynak bağlantı noktası aynı hedef uç noktada yeniden kullanılabilir. | 30 saniye |
UDP trafiği için bağlantı kapatıldıktan sonra bağlantı noktası yeniden kullanılabilir duruma gelmeden önce 65 saniye boyunca basılı kalır.
Boşta Kalma Zaman Aşımı Zamanlayıcıları
| Zamanlayıcı | Açıklama | Değer |
|---|---|---|
| TCP boşta kalma zaman aşımı | TCP bağlantıları, uzun bir süre boyunca her iki uç nokta arasında veri iletilmediğinde boşta kalabilir. Zamanlayıcı, boşta kalan bir bağlantının zaman aşımına uğraması için 4 dakikadan (varsayılan) 120 dakikaya (2 saat) kadar yapılandırılabilir. Akıştaki trafik boşta kalma zaman aşımı süresini sıfırlar. | Yapılandırılabilir; 4 dakika (varsayılan) - 120 dakika |
| UDP boşta kalma zaman aşımı | UDP bağlantıları, uzun süre boyunca iki uç nokta arasında veri aktarılmadığında boşta kalabilir. UDP boşta kalma zaman aşımı zamanlayıcıları 4 dakikadır ve yapılandırılamaz. Trafikteki akış, boşta kalma zaman aşımı zamanlayıcısını sıfırlar. | Yapılandırılamaz; 4 dakika |
Not
Bu zamanlayıcı ayarları değiştirilebilir. Değerler sorun gidermeye yardımcı olmak için sağlanır ve şu anda belirli zamanlayıcılara bağımlılık yapmamalısınız.
Bant genişliği
Her NAT ağ geçidi toplam 50 Gb/sn'ye kadar aktarım hızı sağlayabilir. Veri aktarım hızı sınırlaması giden ve gelen (yanıt) veriler arasında bölünür. Veri aktarım hızı giden için 25 Gb/sn ve NAT ağ geçidi kaynağı başına gelen (yanıt) veriler için 25 Gb/sn ile sınırlıdır. Dağıtımlarınızı birden çok alt ağa bölebilir ve ölçeği genişletmek için her alt ağı veya alt ağ grubunu bir NAT ağ geçidine atayabilirsiniz.
Performans
NAT ağ geçidi, TCP ve UDP trafiği için İnternet üzerinden aynı hedef uç noktaya genel IP adresi başına 50.000'e kadar eşzamanlı bağlantıyı destekleyebilir. NAT ağ geçidi saniyede 1M paketleri işleyebilir ve saniyede 5M pakete kadar ölçeklendirilebilir.
NAT ağ geçidi aynı anda 2 milyona kadar etkin bağlantıyı destekleyebilir. NAT Gateway'de bağlantı sayısı, 5 tanımlama grubuna (kaynak IP adresi, kaynak bağlantı noktası, hedef IP adresi, hedef bağlantı noktası ve protokol) göre sayılır. NAT ağ geçidi 2 milyon bağlantıyı aşarsa, veri yolu kullanılabilirliği azalır ve yeni bağlantılar başarısız olur.
Sınırlamalar
Temel yük dengeleyiciler ve temel genel IP adresleri NAT ağ geçidiyle uyumlu değildir. Bunun yerine standart SKU yük dengeleyicileri ve genel IP'leri kullanın.
Yük dengeleyiciyi temelden standarda yükseltmek için bkz . Azure Genel Yük Dengeleyici'yi yükseltme
Genel IP adresini temelden standarda yükseltmek için bkz . Genel IP adresini yükseltme
NAT ağ geçidi ICMP'i desteklemiyor
IP parçalanması NAT Ağ Geçidi için kullanılamaz.
NAT Gateway, yönlendirme yapılandırma türü İnternet olan Genel IP adreslerini desteklemez. Genel IP adreslerinde yönlendirme yapılandırmasını destekleyen Azure hizmetlerinin listesini görmek için bkz. Genel İnternet üzerinden yönlendirme için desteklenen hizmetler.
DDoS koruması etkinleştirilmiş genel IP'ler NAT ağ geçidinde desteklenmez. Daha fazla bilgi için bkz . DDoS sınırlamaları.
Azure NAT Gateway, güvenli bir sanal hub ağı (vWAN) mimarisinde desteklenmez.
Sonraki adımlar
Azure NAT Ağ Geçidi'ni gözden geçirin.
NAT ağ geçidi için ölçümler ve uyarılar hakkında bilgi edinin.
NAT ağ geçidi sorunlarını gidermeyi öğrenin.