Azure NAT Gateway nedir?

  • 10 dakika

Azure VM'leriyle ilgili mevcut bağlantı sorunlarını çözmekle görevlendirilen baş sistem mühendisi ve Azure yöneticisi olarak ilk adımınız, Azure NAT Gateway'in teknolojik arka planını ve özelliklerini anlamaktır.

Azure NAT Gateway, Azure'da çalışan tam olarak yönetilen bir bulut hizmetidir. Son derece dayanıklı, ölçeklenebilir ve yapılandırması kolaydır. Azure NAT Gateway'i Azure'daki mevcut sanal ağlarınızla kullandığınızda, tek tek VM'ler veya diğer Azure kaynakları, İnternet'ten gelen bağlantıları kabul eden hizmetleri barındırmadıkları sürece tamamen özel kalabilir. Sanal ağınızdan başlatılan tüm giden bağlantılar NAT ağ geçidinin statik genel IP adreslerini kullanır.

NAT'ye genel bakış

NAT yeni bir teknoloji değildir. Yerel IP adreslerini genel adreslerle eşlemek için onlarca yıldır kullanılır. NAT'nin temel amaçlarından biri, genel IPv4 adreslerini kaydetmektir. Bu, özellikle İnternet servis sağlayıcıları (ISS) için yararlıdır. Bu şirketler NAT kullanarak birçok özel IPv4 adresinin kapsamını yalnızca bir genel IP adresiyle veya birkaç genel IP adresiyle eşleyebilir.

NAT, evlerde ve yerel ağlarda da kullanılır. Sizi İnternet'e bağlayan bir ev yönlendiriciniz varsa, büyük olasılıkla NAT uygulanmıştır. Böylece tüm cihazlarınız tek bir genel IP adresi kullanılarak İnternet'e yönlendirilir. NAT ayrıca iç adres alanınızı gizler, böylece tüm giden trafik tek bir genel IP adresinden geliyor gibi görünür. IP adresi bir yönlendiriciye veya ağ geçidi cihazına atanır.

NAT kullanırken, İletim Denetimi Protokolü (TCP) bağlantı noktalarını ve bunların amacını anlamak önemlidir. Bağlantı noktası adresi çevirisi, özel bir ağdaki her konağın tek bir genel IP adresi kullanarak İnternet üzerinden iletişim kurmasına olanak tanır, böylece her iletişim yolu benzersiz bir TCP bağlantı noktası üzerinden kurulur. Süreç şu şekilde ilerler:

  1. Özel ağdaki bir cihaz, İnternet'te bir kaynakla bağlantı kurar. NAT, paket üst bilgisindeki iç cihaz IP adresini NAT cihazının dış IP adresiyle değiştirir.

  2. Bağlantı noktası adresi çevirisi, bağlantı noktasına kullanılabilir bağlantı noktaları havuzundan bir bağlantı noktası numarası atar.

  3. Bu bağlantı noktası numarası paket üst bilgisindeki kaynak bağlantı noktası alanına eklenir ve paket İnternet'e iletilir.

  4. NAT cihazı daha sonra ağ çevirisi tablosuna bir girdi kaydeder:

    • Kurulan her bağlantı için bu giriş iç IP adresini, özgün kaynak bağlantı noktasını ve çevrilmiş kaynak bağlantı noktasını içerir.
    • Aynı iç kaynak IP adresinden ve bağlantı noktası numarasından sonraki paketler her zaman aynı dış IP adresine ve bağlantı noktası numarasına çevrilir.

  5. NAT'a tabi olan bir paket alan bilgisayar, değiştirilen pakette belirtilen bağlantı noktası ve IP adresiyle bağlantı kurar ve sağlanan adresin çevrilmekte olduğundan etkilenmez.

Aşağıdaki diyagramda NAT işlemi gösterilmiştir.

The process of network address translation between a host and server.

Dekont

NAT çoğunlukla İnternet'e giden bağlantılar kurmak için kullanılır. Ancak, İnternet'ten gelen bağlantıları doğrudan yönetemez. Bu amaçla farklı teknolojiler kullanmanız gerekir.

Azure'da NAT hizmeti

Azure'da bir sanal ağ oluşturduğunuzda, bu ağa özel bir adres alanı atar ve ardından bu ağa bir veya daha fazla alt ağ oluşturursunuz. Azure'da bir VM oluşturup bu sanal ağa yerleştirdiğinizde, vm yerel IP adresini bu ağdan alır. Bu VM'de giden İnternet bağlantılarını kabul etmek istiyorsanız, bu VM'ye bir genel IP adresi nesnesi de atayabilirsiniz.

Dekont

Genel IP adresi atamadığınız Azure VM'leri, Azure ağ adresi çevirisini veya Bağlantı noktası adresi çevirisini kullanarak İnternet'e erişmeye devam edebilir. Ancak bu gibi durumlarda, giden bağlantılar için hangi genel IP adresinin kullanılacağını denetleyemezsiniz. Bu VM'lere dışarıdan bağlanmak için gelen bağlantıları etkinleştiremez veya Uzak Masaüstü Protokolü'nü (RDP) kullanamazsınız; bunun yerine bir Azure Bastion konağı kullanmanız gerekir.

Azure VM'leri ve diğer kaynaklar için güvenli, denetlenebilir ve ölçeklenebilir giden bağlantı sağlamaya yardımcı olmak için Azure NAT Gateway hizmetinin bir örneğini oluşturabilirsiniz. Ardından örneği Azure'da aynı sanal ağ içindeki bir veya daha fazla alt ağa atarsınız.

Ardından Azure NAT Gateway hizmeti, aşağıdaki diyagramda gösterildiği gibi özel IP adreslerinizi güvenli bir şekilde genel IP adresine çevirmenize yardımcı olur:

Azure NAT Gateway is assigned to two subnets on a virtual network and translates private IP addresses to public IP.