Sdílet prostřednictvím


Pravidla odchozích přenosů: Azure Load Balancer

Odchozí pravidla umožňují explicitně definovat SNAT (překlad zdrojových síťových adres) pro veřejný standardní nástroj pro vyrovnávání zatížení. Tato konfigurace umožňuje používat veřejné IP adresy vašeho nástroje pro vyrovnávání zatížení k poskytování odchozího připojení k internetu pro vaše back-endové instance.

Tato konfigurace umožňuje:

  • Maskování IP adres
  • Zjednodušení seznamů povolených
  • Snižuje počet prostředků veřejné IP adresy pro nasazení.

U odchozích pravidel máte úplnou deklarativní kontrolu nad odchozím připojením k internetu. Odchozí pravidla umožňují škálovat a ladit tuto schopnost vašim konkrétním potřebám.

Odchozí pravidla se použijí jenom v případě, že back-endový virtuální počítač nemá veřejnou IP adresu na úrovni instance (ILPIP).

Tento diagram znázorňuje konfiguraci portů SNAT na virtuálních počítačích s pravidly nástroje pro vyrovnávání zatížení odchozích přenosů.

Pomocí pravidel odchozích přenosů můžete explicitně definovat chování odchozího SNAT .

Odchozí pravidla umožňují řídit:

  • Na které virtuální počítače se přeloží, na které veřejné IP adresy.
    • Dvě pravidla, ve kterých back-endový fond 1 používá modré IP adresy, a back-endový fond 2 používá žlutou předponu IP adresy.
  • Jak se přidělují odchozí porty SNAT.
    • Pokud je back-endový fond 2 jediným fondem, který vytváří odchozí připojení, udělte všem portům SNAT back-endovému fondu 2 a žádné back-endovému fondu 1.
  • Pro které protokoly se mají poskytovat odchozí překlad.
    • Pokud back-endový fond 2 potřebuje porty UDP pro odchozí spojení a back-endový fond 1 potřebuje tcp, udělte portům TCP 1 a UDP 2.
  • Jaká doba trvání se má použít pro vypršení časového limitu nečinnosti odchozího připojení (4–120 minut).
    • Pokud existují dlouhotrvající připojení s keepalives, zarezervujte nečinné porty pro dlouhotrvající připojení po dobu až 120 minut. Předpokládejme, že za 4 minuty dochází k opuštění zastaralých připojení a uvolnění portů pro nová připojení.
  • Určuje, jestli se má při vypršení časového limitu nečinnosti odeslat resetování protokolu TCP.
    • Při vypršení časového limitu nečinných připojení odešleme klientovi a serveru protokol TCP RST, aby věděli, že je tok opuštěný?

Důležité

Pokud je back-endový fond nakonfigurovaný podle IP adresy, bude se chovat jako Load Balancer úrovně Basic s povoleným výchozím odchozím provozem. Pro zabezpečení ve výchozím nastavení konfigurace a aplikací s náročnými odchozími potřebami nakonfigurujte back-endový fond síťovým rozhraním.

Definice odchozího pravidla

Odchozí pravidla se řídí stejnou známou syntaxí jako vyrovnávání zatížení a příchozí pravidla překladu adres (NAT): front-endové + parametry + back-endového fondu.

Odchozí pravidlo konfiguruje odchozí překlad adres (NAT) pro všechny virtuální počítače identifikované back-endovým fondem tak, aby se překládaly na front-end.

Parametry poskytují jemně odstupňovanou kontrolu nad odchozím algoritmem NAT.

Škálování odchozího překladu adres (NAT) s několika IP adresami

Každá další IP adresa poskytovaná front-endem poskytuje dalších 64 000 dočasných portů pro nástroj pro vyrovnávání zatížení, které se mají používat jako porty SNAT. Nástroj pro vyrovnávání zatížení bude podle potřeby používat IP adresy na základě dostupných portů. Nástroj pro vyrovnávání zatížení použije další IP adresu, jakmile už nebude možné provést připojení s aktuální ip adresou, která se používá.

K plánování rozsáhlých scénářů použijte více IP adres. Ke zmírnění vyčerpání SNAT použijte pravidla odchozích přenosů.

Můžete také použít předponu veřejné IP adresy přímo s odchozím pravidlem.

Předpona veřejné IP adresy zvyšuje škálování vašeho nasazení. Předponu je možné přidat do seznamu povolených toků pocházejících z vašich prostředků Azure. Konfiguraci front-endové IP adresy v rámci nástroje pro vyrovnávání zatížení můžete nakonfigurovat tak, aby odkazovat na předponu veřejné IP adresy.

Nástroj pro vyrovnávání zatížení má kontrolu nad předponou veřejné IP adresy. Pravidlo odchozích přenosů bude automaticky používat další veřejné IP adresy obsažené v předponě veřejné IP adresy, jakmile nebude možné vytvořit další odchozí připojení s aktuální IP adresou, která se používá z předpony.

Každá z IP adres v rámci veřejné IP předpony poskytuje dodatečných 64 000 dočasných portů na IP adresu, aby nástroj pro vyrovnávání zatížení používal jako porty SNAT.

Vypršení časového limitu nečinnosti odchozího toku a resetování protokolu TCP

Odchozí pravidla poskytují parametr konfigurace, který řídí časový limit nečinnosti odchozího toku a odpovídá potřebám vaší aplikace. Časový limit nečinnosti odchozích přenosů je ve výchozím nastavení 4 minuty. Další informace najdete v tématu Konfigurace časových limitů nečinnosti.

Výchozí chování nástroje pro vyrovnávání zatížení spočívá v tichém vyřazení toku, když bylo dosaženo časového limitu nečinnosti odchozího provozu. Tento enableTCPReset parametr umožňuje předvídatelné chování a řízení aplikace. Parametr určuje, jestli se má v vypršení časového limitu odchozího časového limitu nečinnosti odesílat obousměrné resetování protokolu TCP (TCP RST).

Podrobnosti o dostupnosti oblastí najdete v vypršení časového limitu nečinnosti protokolu TCP Reset.

Explicitní zabezpečení a řízení odchozího připojení

Pravidla vyrovnávání zatížení poskytují automatické programování odchozího překladu adres (NAT). Některé scénáře mají výhodu nebo vyžadují zakázání automatického programování odchozího překladu adres (NAT) pravidlem vyrovnávání zatížení. Zakázání prostřednictvím pravidla umožňuje řídit nebo upřesnit chování.

Tento parametr můžete použít dvěma způsoby:

  1. Prevence příchozí IP adresy pro odchozí SNAT V pravidle vyrovnávání zatížení zakažte odchozí SNAT.

  2. Vylaďte parametry odchozího SNAT IP adresy používané pro příchozí a odchozí spojení současně. Automatické odchozí překlad adres (NAT) musí být zakázané, aby pravidlo odchozích přenosů mohlo převzít řízení. Pokud chcete změnit přidělení portu SNAT adresy používané také pro příchozí spojení, disableOutboundSnat musí být parametr nastaven na hodnotu true.

Operace konfigurace odchozího pravidla selže, pokud se pokusíte předefinovat IP adresu, která se používá pro příchozí provoz. Nejprve zakažte odchozí překlad adres (NAT) pravidla vyrovnávání zatížení.

Důležité

Pokud tento parametr nastavíte na hodnotu true a nemáte odchozí pravidlo pro definování odchozího připojení, virtuální počítač nebude mít odchozí připojení. Některé operace vašeho virtuálního počítače nebo vaší aplikace můžou záviset na dostupnosti odchozího připojení. Ujistěte se, že rozumíte závislostem vašeho scénáře a zvážili dopad této změny.

Někdy je nežádoucí, aby virtuální počítač vytvořil odchozí tok. Může být nutné spravovat, které cíle přijímají odchozí toky nebo které cíle začínají příchozí toky. Skupiny zabezpečení sítě slouží ke správě cílů, které virtuální počítač dosáhne. Pomocí skupin zabezpečení sítě můžete spravovat, které veřejné cíle spouštějí příchozí toky.

Když použijete skupinu zabezpečení sítě na virtuální počítač s vyrovnáváním zatížení, věnujte pozornost značkám služeb a výchozím pravidlům zabezpečení.

Ujistěte se, že virtuální počítač může přijímat požadavky sond stavu z Azure Load Balanceru.

Pokud skupina zabezpečení sítě blokuje požadavky sondy stavu z výchozí značky AZURE_LOADBALANCER, sonda stavu virtuálního počítače selže a virtuální počítač je označený jako nedostupný. Nástroj pro vyrovnávání zatížení přestane do daného virtuálního počítače odesílat nové toky.

Scénáře odchozích pravidel

Scénář 1: Konfigurace odchozích připojení ke konkrétní sadě veřejných IP adres nebo předpony

Detaily

Tento scénář použijte k přizpůsobení odchozích připojení tak, aby pocházela ze sady veřejných IP adres. Přidejte veřejné IP adresy nebo předpony do seznamu povolených nebo blokovaných adres na základě původu.

Tato veřejná IP adresa nebo předpona může být stejná jako pravidlo vyrovnávání zatížení.

Pokud chcete použít jinou veřejnou IP adresu nebo předponu, než jaké používá pravidlo vyrovnávání zatížení:

  1. Vytvořte předponu veřejné IP adresy nebo veřejnou IP adresu.
  2. Vytvoření veřejného load balanceru úrovně Standard
  3. Vytvořte front-end odkazující na předponu veřejné IP adresy nebo veřejnou IP adresu, kterou chcete použít.
  4. Opětovné použití back-endového fondu nebo vytvoření back-endového fondu a umístění virtuálních počítačů do back-endového fondu veřejného nástroje pro vyrovnávání zatížení
  5. Nakonfigurujte odchozí pravidlo ve veřejném nástroji pro vyrovnávání zatížení, které povolí odchozí překlad adres (NAT) pro virtuální počítače pomocí front-endu. Nedoporučuje se používat pravidlo vyrovnávání zatížení pro odchozí provoz a zakázat odchozí SNAT v pravidle vyrovnávání zatížení.

Scénář 2: Úprava přidělování portů SNAT

Detaily

Pravidla odchozích přenosů můžete použít k ladění automatického přidělování portů SNAT na základě velikosti back-endového fondu.

Pokud dojde k vyčerpání SNAT, zvyšte počet portů SNAT zadaných z výchozí hodnoty 1024.

Každá veřejná IP adresa přispívá až k 64 000 dočasným portům. Počet virtuálních počítačů v back-endovém fondu určuje počet portů distribuovaných do jednotlivých virtuálních počítačů. Jeden virtuální počítač v back-endovém fondu má přístup k maximálně 64 000 portům. Pro dva virtuální počítače je možné zadat maximálně 32 000 portů SNAT s odchozím pravidlem (2x 32 000 = 64 000).

Pomocí pravidel odchozích přenosů můžete ve výchozím nastavení ladit porty SNAT. Přidělení portů SNAT poskytuje více nebo méně než výchozí přidělení portů SNAT . Každá veřejná IP adresa z front-endu odchozího pravidla přispívá až k 64 000 dočasným portům pro použití jako porty SNAT .

Nástroj pro vyrovnávání zatížení poskytuje porty SNAT v násobcích 8. Pokud zadáte hodnotu, která není dělitelná hodnotou 8, operace konfigurace se odmítne. Každé pravidlo vyrovnávání zatížení a příchozí pravidlo překladu adres (NAT) spotřebovávají rozsah osmi portů. Pokud pravidlo vyrovnávání zatížení nebo příchozího překladu adres (NAT) sdílí stejný rozsah 8 jako jiný, nevyužívají se žádné další porty.

Pokud se pokusíte poskytnout více portů SNAT , než je k dispozici (na základě počtu veřejných IP adres), operace konfigurace se odmítne. Pokud například dáte 10 000 portů na virtuální počítač a sedm virtuálních počítačů v back-endovém fondu sdílí jednu veřejnou IP adresu, konfigurace se odmítne. Sedm vynásobeno 10 000 překračuje limit portů 64 000. Přidejte do front-endu pravidla odchozích přenosů další veřejné IP adresy, aby se scénář povolil.

Vraťte se k výchozímu přidělení portů zadáním hodnoty 0 pro počet portů. Další informace o výchozím přidělování portů SNAT najdete v tabulce přidělování portů SNAT.

Scénář 3: Povolení pouze odchozích přenosů

Detaily

Pomocí veřejného standardního nástroje pro vyrovnávání zatížení můžete poskytovat odchozí překlad adres (NAT) pro skupinu virtuálních počítačů. V tomto scénáři použijte samotné odchozí pravidlo bez konfigurace dalších pravidel.

Poznámka:

Azure NAT Gateway může poskytovat odchozí připojení pro virtuální počítače bez nutnosti nástroje pro vyrovnávání zatížení. Další informace najdete v tématu Co je Azure NAT Gateway?

Scénář 4: Odchozí překlad adres (NAT) jenom pro virtuální počítače (bez příchozích přenosů)

Poznámka:

Azure NAT Gateway může poskytovat odchozí připojení pro virtuální počítače bez nutnosti nástroje pro vyrovnávání zatížení. Další informace najdete v tématu Co je Azure NAT Gateway?

Detaily

Pro tento scénář: Odchozí pravidla Azure Load Balanceru a překlad adres (NAT) virtuální sítě jsou k dispozici pro odchozí přenos dat z virtuální sítě.

  1. Vytvořte veřejnou IP adresu nebo předponu.
  2. Vytvořte veřejný load balancer úrovně Standard.
  3. Vytvořte front-end přidružený k veřejné IP adrese nebo předponě vyhrazené pro odchozí provoz.
  4. Vytvořte back-endový fond pro virtuální počítače.
  5. Umístěte virtuální počítače do back-endového fondu.
  6. Nakonfigurujte odchozí pravidlo pro povolení odchozího překladu adres (NAT).

Ke škálování portů SNAT použijte předponu nebo veřejnou IP adresu. Přidejte zdroj odchozích připojení do seznamu povolených nebo blokovaných připojení.

Scénář 5: Odchozí překlad adres (NAT) pro interní nástroj pro vyrovnávání zatížení úrovně Standard

Poznámka:

Azure NAT Gateway může poskytovat odchozí připojení pro virtuální počítače s využitím interního standardového nástroje pro vyrovnávání zatížení. Další informace najdete v tématu Co je Azure NAT Gateway?

Detaily

Odchozí připojení není dostupné pro interní nástroj pro vyrovnávání zatížení úrovně Standard, dokud není explicitně deklarováno prostřednictvím veřejných IP adres na úrovni instance nebo překladu adres virtuální sítě nebo přidružením členů back-endového fondu k konfiguraci nástroje pro vyrovnávání zatížení pouze pro odchozí spojení.

Další informace najdete v tématu Konfigurace nástroje pro vyrovnávání zatížení pouze pro odchozí provoz.

Scénář 6: Povolení obou protokolů TCP &UDP pro odchozí překlad adres (NAT) s veřejným standardním nástrojem pro vyrovnávání zatížení

Detaily

U veřejného standardního nástroje pro vyrovnávání zatížení odpovídá automatickému odchozímu překladu adres (NAT) přenosovému protokolu pravidla vyrovnávání zatížení.

  1. V pravidle vyrovnávání zatížení zakažte odchozí SNAT .
  2. Nakonfigurujte odchozí pravidlo na stejném nástroji pro vyrovnávání zatížení.
  3. Znovu použijte back-endový fond, který už vaše virtuální počítače používají.
  4. Jako součást pravidla odchozích přenosů zadejte "protocol": "All".

Pokud se použijí jenom příchozí pravidla překladu adres (NAT), není k dispozici žádný odchozí překlad adres (NAT).

  1. Umístěte virtuální počítače do back-endového fondu.
  2. Definování jedné nebo více konfigurací front-endových IP adres s použitím veřejných IP adres nebo předpony veřejné IP adresy
  3. Nakonfigurujte odchozí pravidlo na stejném nástroji pro vyrovnávání zatížení.
  4. Jako součást pravidla odchozích přenosů zadejte "protocol": "All".

Omezení

  • Maximální počet použitelných dočasných portů na IP adresu front-endu je 64 000.
  • Rozsah konfigurovatelného časového limitu nečinnosti pro odchozí spojení je 4 až 120 minut (240 až 7200 sekund).
  • Nástroj pro vyrovnávání zatížení nepodporuje PROTOKOL ICMP pro odchozí překlad adres (NAT), jedinými podporovanými protokoly jsou TCP a UDP.
  • Odchozí pravidla se dají použít jenom na primární konfiguraci IPv4 síťové karty. Nemůžete vytvořit odchozí pravidlo pro sekundární konfigurace IPv4 virtuálního počítače nebo síťového virtuálního zařízení . Podporuje se více síťových karet.
  • Odchozí pravidla pro konfiguraci sekundární IP adresy se podporují jenom pro protokol IPv6.
  • Všechny virtuální počítače v rámci skupiny dostupnosti musí být přidány do back-endového fondu, aby bylo možné odchozí připojení.
  • Všechny virtuální počítače ve škálovací sadě virtuálních počítačů musí být přidány do back-endového fondu, aby bylo možné odchozí připojení.

Další kroky