Azure NAT 閘道整合
Azure NAT 閘道是具有高度復原性的完全受控服務,可與一或多個子網路相關聯。 它可確保所有面向網際網路的輸出流量都會透過網路位址轉譯 (NAT) 閘道路由傳送。 使用 Azure App Service 時,在兩個重要案例中可以使用 NAT 閘道。
NAT 閘道提供靜態可預測的公用 IP 位址,供面向網際網路的輸出流量使用。 在有大量同時連線連至相同公用位址/連接埠組合的情況下,它也會大幅增加可用的來源網路位址轉譯 (SNAT) 連接埠。
以下是 Azure NAT 閘道整合的重要考量:
- 搭配 App Service 使用 NAT 閘道取決於虛擬網路整合,因此 Azure App Service 方案中需具有支援的定價層。
- 搭配使用 NAT 閘道與 App Service 時,所有對 Azure 儲存體的流量都必須使用私人端點或服務端點。
- 您無法將 NAT 閘道與 App Service 環境第 1 版或第 2 版搭配使用。
如需詳細資訊和定價,請參閱 Azure NAT 閘道概觀。
設定 NAT 閘道整合
若要設定 NAT 閘道與 App Service 間的整合,請先完成下列工作:
- 如將應用程式與 Azure 虛擬網路整合中所說明,使用您的應用程式設定區域虛擬網路整合。
- 確定已為虛擬網路整合啟用 [全部路由],如此一來虛擬網路中的路由就會影響網際網路流量。
- 使用公用 IP 位址佈建 NAT 閘道,並將其與子網路建立關聯,以進行虛擬網路整合。
接著,透過 Azure 入口網站設定 Azure NAT 閘道:
在 Azure 入口網站中,前往 [App Service] > [網路]。 在 [輸出流量] 區段中,選取 [虛擬網路整合]。 確認您的應用程式已與子網路整合,且已啟用 [全部路由]。
在 Azure 入口網站功能表上,或從 [首頁] 頁面,選取 [建立資源]。 [新增] 視窗隨即出現。
搜尋「NAT 閘道」,並在結果清單中選取。
填寫 [基本資料] 中的欄位,並選擇應用程式所在的區域。
在 [輸出 IP] 索引標籤中,建立新共用 IP 位址或選取現有的公用 IP 位址。
在 [子網路] 索引標籤中,選取您要用於虛擬網路整合的子網路。
視需要填入標籤,然後選取 [建立]。 佈建 NAT 閘道後,選取 [前往資源群組],然後選取新的 NAT 閘道。 [輸出 IP] 窗格會顯示您的應用程式將用於面向網際網路輸出流量的公用 IP 位址。
如果您想使用 Azure CLI 來設定環境,以下是重要命令。 做為必要條件,請設定一個虛擬網路整合的應用程式。
請確定已針對虛擬網路整合設定全部路由:
az webapp config set --resource-group [myResourceGroup] --name [myWebApp] --vnet-route-all-enabled
建立公用 IP 位址和 NAT 閘道:
az network public-ip create --resource-group [myResourceGroup] --name myPublicIP --sku standard --allocation static az network nat gateway create --resource-group [myResourceGroup] --name myNATgateway --public-ip-addresses myPublicIP --idle-timeout 10
將 NAT 閘道與子網路建立關聯,以進行虛擬網路整合:
az network vnet subnet update --resource-group [myResourceGroup] --vnet-name [myVnet] --name [myIntegrationSubnet] --nat-gateway myNATgateway
調整 NAT 閘道
您可以在相同虛擬網路中的多個子網路之間使用相同的 NAT 閘道。 這種方法可讓您跨多個應用程式和 App Service 方案使用 NAT 閘道。
Azure NAT 閘道同時支援公用 IP 位址和公用 IP 首碼。 NAT 閘道可跨個別 IP 位址和首碼支援最多 16 個 IP 位址。 每個 IP 位址都會配置 64,512 個連接埠 (SNAT 連接埠),最多會有 1 百萬個連接埠可用。 深入了解 Azure NAT 閘道資源。
下一步
如需 Azure NAT 閘道的詳細資訊,請參閱 Azure NAT 閘道文件。
如需虛擬網路整合的詳細資訊,請參閱關於虛擬網路整合的文件。