Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure NAT Gateway zapewnia kontrolę nad wychodzącą łącznością sieciową z zasobów hostowanych w sieci wirtualnej platformy Azure. W tym artykule opisano, jak usługa Azure NAT Gateway może ograniczyć wyczerpanie portów translacji adresów sieciowych (SNAT), co może mieć wpływ na aplikacje wielodostępne. Opisano również, jak usługa Azure NAT Gateway przypisuje statyczne adresy IP do ruchu wychodzącego z rozwiązania wielodostępnego.
Uwaga / Notatka
Zapory, takie jak Usługa Azure Firewall, umożliwiają kontrolowanie i rejestrowanie ruchu wychodzącego. Usługa Azure Firewall zapewnia również podobną skalę portów SNAT i kontrolę adresów IP ruchu wychodzącego jak Azure NAT Gateway. Usługa Azure NAT Gateway jest mniej kosztowna, ale ma mniej funkcji i nie jest produktem zabezpieczającym.
Funkcje obsługujące wielodostępność
W poniższych sekcjach opisano funkcje usługi Azure NAT Gateway, których można używać w rozwiązaniach wielodostępnych.
Porty SNAT o dużej skali
Porty SNAT są przydzielane, gdy aplikacja wykonuje wiele współbieżnych połączeń wychodzących z tym samym publicznym adresem IP na tym samym porcie. Porty SNAT to skończony zasób w modułach równoważenia obciążenia. Jeśli aplikacja otwiera dużą liczbę oddzielnych połączeń z tym samym hostem, może korzystać ze wszystkich dostępnych portów SNAT. Ten scenariusz jest nazywany wyczerpaniem portów SNAT.
W większości aplikacji wyczerpanie portów SNAT wskazuje, że aplikacja nieprawidłowo obsługuje połączenia HTTP lub porty protokołu TCP. Jednak niektóre aplikacje wielodostępne są szczególnie narażone na przekroczenie limitów portów SNAT, nawet jeśli odpowiednio ponownie korzystają z połączeń. Na przykład ten scenariusz może wystąpić, gdy aplikacja łączy się z wieloma bazami danych specyficznymi dla najemców za pomocą tej samej bramy do bazy danych.
Wskazówka
Jeśli zauważysz wyczerpanie portów SNAT w aplikacji wielodostępnej, najpierw należy sprawdzić, czy aplikacja jest zgodna z dobrymi rozwiązaniami. Upewnij się, że ponownie używasz połączeń HTTP i nie twórz ponownie nowych połączeń za każdym razem, gdy łączysz się z usługą zewnętrzną. Możliwe jest wdrożenie bramy translacji adresów sieciowych (NAT), aby obejść problem, ale jeśli Twój kod nie stosuje się do najlepszych praktyk, problem może wystąpić ponownie w przyszłości.
Wyczerpanie portów SNAT pogarsza się w przypadku pracy z usługami platformy Azure, które współużytkują alokacje portów SNAT między wieloma klientami. Przykłady usług, które zachowują się w ten sposób, obejmują usługę Azure App Service i usługę Azure Functions. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z sporadycznymi błędami połączeń wychodzących w usłudze App Service.
Jeśli ustalisz, że aplikacja doświadcza wyczerpania portów SNAT i że kod aplikacji prawidłowo obsługuje połączenia wychodzące, rozważ integrację usługi Azure NAT Gateway. Klienci, którzy wdrażają wielodostępne rozwiązania oparte na usługach App Service i Azure Functions, często korzystają z tego podejścia. Aby uzyskać więcej informacji, zobacz Integracja usługi Azure NAT Gateway.
Pojedyncza brama NAT może mieć dołączone wiele publicznych adresów IP, a każdy publiczny adres IP zapewnia zestaw portów SNAT do nawiązywania połączeń wychodzących z Internetem. Aby zrozumieć maksymalną liczbę portów SNAT i adresów IP, które mogą obsługiwać pojedyncza brama translatora adresów sieciowych, zobacz Limity bramy translatora adresów sieciowych platformy Azure. Jeśli musisz skalować poza ten limit, możesz rozważyć wdrożenie wielu wystąpień usługi Azure NAT Gateway w wielu podsieciach lub sieciach wirtualnych. Każda maszyna wirtualna w podsieci może w razie potrzeby używać dowolnego z dostępnych portów SNAT.
Kontrolka wychodzącego adresu IP
Kontrola wychodzącego adresu IP może być przydatna w aplikacjach wielodostępnych, jeśli masz wszystkie następujące wymagania:
Używasz usług platformy Azure, które nie zapewniają automatycznie dedykowanych statycznych adresów IP dla ruchu wychodzącego. Te usługi obejmują usługę App Service, usługę Azure Functions, usługę Azure API Management (po uruchomieniu w warstwie zużycia) i usługę Azure Container Instances.
Musisz połączyć się z sieciami dzierżawców za pośrednictwem Internetu.
Dzierżawcy muszą filtrować ruch przychodzący na podstawie adresu IP każdego żądania.
Po zastosowaniu wystąpienia usługi Azure NAT Gateway do podsieci, dowolny ruch wychodzący z tej podsieci używa publicznych adresów IP skojarzonych z bramą NAT.
Uwaga / Notatka
Po powiązaniu wielu publicznych adresów IP z jedną bramą NAT, ruch wychodzący może pochodzić z dowolnego z tych adresów IP. Może być konieczne skonfigurowanie reguł zapory w miejscu docelowym. Zezwalaj na poszczególne adresy IP indywidualnie lub użyj zasobu prefiksu publicznego adresu IP , aby zdefiniować zestaw publicznych adresów IP w tym samym zakresie.
Modele izolacji
Jeśli potrzebujesz podać różne wychodzące publiczne adresy IP dla każdego dzierżawcy, konieczne jest wdrożenie oddzielnych zasobów usługi Azure NAT Gateway. Każda podsieć może być skojarzona z pojedynczym wystąpieniem usługi Azure NAT Gateway. Aby wdrożyć więcej bram NAT, należy wdrożyć wiele podsieci lub sieci wirtualnych. Z kolei prawdopodobnie trzeba wdrożyć wiele zestawów zasobów obliczeniowych.
Aby uzyskać więcej informacji na temat projektowania topologii sieci wielodostępnej, zobacz Metody architektury dla sieci w rozwiązaniach wielodostępnych.
Współautorzy
Firma Microsoft utrzymuje ten artykuł. Następujący współautorzy napisali ten artykuł.
Główny autor:
- John Downs | Główny inżynier oprogramowania, wzorce i praktyki platformy Azure
Inni współautorzy:
- Aimee Littleton | Menedżer programu starszy, Azure NAT Gateway
- Arsen Vladimirskiy | Główny Inżynier ds. Klientów
- Joshua Waddell | Główny inżynier klienta
Aby wyświetlić niepubliczne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.