Azure NAT 网关的工作原理是怎样的?

  • 10 分钟

你需要先了解 Azure NAT 网关的工作原理,才能使用它开始解决公司的端口耗尽问题。 通过了解这些信息,可以更好地了解正确部署、配置和使用此服务解决连接问题所需的步骤。

创建 Azure NAT 网关网关服务时,需要为其分配公共 IP 地址或公共 IP 地址前缀。 Azure NAT 网关网关资源最多可以使用 16 个公共 IP 地址。 NAT 网关可以使用总计为 16 个地址的公共 IP 地址和公共 IP 地址前缀的任意组合。

NAT 网关最大前缀大小为 /28(16 个地址)。 将公共 IP 前缀关联到 Azure NAT 网关服务时,它会自动缩放到所需的出站 IP 地址数。 Azure NAT 网关仅支持 TCP 和 UDP 协议,并且不能将其与 IPv6 公共 IP 地址或 IPv6 公共 IP 前缀关联。

将 Azure NAT 网关服务连接到虚拟网络中的一个或多个子网时,它会自动替代流量路由到 Internet 的方法。 即使 Azure VM 具有该子网中的公共 IP 地址,这些地址也不再用于出站连接。

下图是包含两个子网的虚拟网络的方案。 这些子网中的 Azure VM 和其他服务未分配公共 IP 地址。 所有传出和传入流量都通过 Azure NAT 网关服务进行路由,该服务使用公共 IP 或公共 IP 前缀进行出站连接。

A virtual network with two subnets that has all traffic routed through Azure NAT Gateway, which uses either a public IP or public IP prefix for outbound connections.

下图中,子网 A 中的 Azure VM 分配了实例级公共 IP,而子网 B 中的 VM 没有公共 IP 地址。 在此方案中部署 Azure NAT 网关时,定向到子网 A 中 VM 的入站流量仍将定向到实例级 IP。 但是,子网 A 和子网 B 的所有出站流量都将通过 Azure NAT 网关进行路由。

Diagram depicting inbound and outbound traffic flow for two subnets.

以下屏幕截图显示了一个 Azure VM,该 VM 使用 20.107.71.22 作为其公共 IP 地址,用于与 VM 建立入站 RDP 连接。 但是,其出站连接的 IP 地址为其他地址,即 40.68.136.21。 这是 Azure NAT 网关服务使用的公共 IP 地址。

Screenshot that depicts the difference in an Azure VM's public IP address and its IP address for outbound connections.

可以在为虚拟网络部署了网络负载均衡器的方案中使用 Azure NAT 网关服务。 但是,必须了解,NAT 网关将取代来自负载均衡规则或出站规则的所有出站配置。 Azure NAT 网关不会影响入站发起流量。

如果使用 Azure 可用性区域,虚拟网络可以跨多个可用性区域和该网络中的子网。 Azure NAT 网关服务目前是一项区域服务,这意味着只能将该服务指定到单个区域。 但是,它仍可用于处理其区域之外的资源。