Co je Azure NAT Gateway?

  • 10 min

Jako vedoucí systémový inženýr a správce Azure, který má za úkol vyřešit aktuální problémy s připojením k virtuálním počítačům Azure, je vaším prvním krokem pochopení technologického pozadí a možností služby Azure NAT Gateway.

Azure NAT Gateway je plně spravovaná cloudová služba, která běží v Azure. Je vysoce odolná, škálovatelná a snadno konfigurovatelná. Pokud používáte Azure NAT Gateway se stávajícími virtuálními sítěmi v Azure, můžou jednotlivé virtuální počítače nebo jiné prostředky Azure zůstat plně soukromé, pokud hostují služby, které přijímají příchozí připojení z internetu. Všechna odchozí připojení iniciovaná z vaší virtuální sítě používají statické veřejné IP adresy služby NAT Gateway.

Přehled překladu adres (NAT)

Překlad adres (NAT) není nová technologie. Používá se už celá desetiletí k mapování místních IP adres na veřejné adresy. Jedním z hlavních účelů překladu adres (NAT) je ukládání veřejných IPv4 adres, což je užitečné zejména pro poskytovatele internetových služeb . Tyto společnosti můžou pomocí překladu adres (NAT) mapovat rozsah mnoha privátních IPv4 adres jenom na jednu veřejnou IP adresu nebo na několik veřejných IP adres.

Překlad adres (NAT) se používá také v domácnostech a místních sítích. Pokud máte domácí směrovač, který vás připojuje k internetu, pravděpodobně má implementovaný překlad adres (NAT). Aby se všechna vaše zařízení směrovala na internet pomocí jenom jedné veřejné IP adresy. Překlad adres (NAT) také skryje váš interní adresní prostor, takže veškerý odchozí provoz vypadá, že pochází z jedné veřejné IP adresy. IP adresa se přiřadí směrovači nebo zařízení brány.

Při použití překladu adres (NAT) je důležité porozumět portům TCP (Transmission Control Protocol) a jejich účelu. Překlad adres portů umožňuje každému hostiteli v privátní síti komunikovat na internetu pomocí jedné veřejné IP adresy, aby se každá komunikační cesta vytvořila přes jedinečný port TCP. Proces je následující:

  1. Zařízení v privátní síti vytvoří připojení k prostředku na internetu. Překlad adres (NAT) nahradí interní IP adresu zařízení v hlavičce paketu externí IP adresou zařízení NAT.

  2. Překlad adres portu pak přiřadí připojení číslo portu z fondu dostupných portů.

  3. Toto číslo portu se vloží do pole zdrojového portu v hlavičce paketu a paket se pak přesměruje na internet.

  4. Zařízení NAT pak zaznamená položku v tabulce překladu sítě:

    • Pro každé vytvořené připojení obsahuje tato položka interní IP adresu, původní zdrojový port a přeložený zdrojový port.
    • Následné pakety ze stejné interní zdrojové IP adresy a čísla portu se vždy překládají na stejnou externí IP adresu a číslo portu.

  5. Počítač, který obdržel paket, který prošel překladem adres (NAT), pak naváže připojení k portu a IP adrese zadané v upraveném paketu, aniž by bylo možné zjistit, že zadaná adresa se překládá.

Následující diagram znázorňuje proces překladu adres (NAT).

Proces překladu síťových adres mezi hostitelem a serverem.

Poznámka:

Překlad adres (NAT) se většinou používá k navazování odchozích připojení k internetu. Nemůže však přímo spravovat příchozí připojení z internetu. Pro tento účel potřebujete používat různé technologie.

Služba NAT v Azure

Když vytvoříte virtuální síť v Azure, přiřadíte jí privátní adresní prostor a pak k ní vytvoříte jednu nebo více podsítí. Když vytvoříte virtuální počítač v Azure a pak ho vložíte do této virtuální sítě, získá z této sítě místní IP adresu. Pokud chcete na daném virtuálním počítači přijímat odchozí připojení k internetu, můžete k ho virtuálnímu počítači přiřadit také objekt veřejné IP adresy.

Poznámka:

Virtuální počítače Azure, ke kterým nepřiřazujete veřejnou IP adresu, mají přístup k internetu pomocí překladu síťových adres Azure nebo překladu adres portu. V takových případech ale nemůžete určit, která veřejná IP adresa se bude používat pro odchozí připojení. Nemůžete také povolit příchozí připojení nebo použít protokol RDP (Remote Desktop Protocol) pro připojení k těmto virtuálním počítačům zvenčí; místo toho musíte použít hostitele služby Azure Bastion.

Pokud chcete zajistit zabezpečené, říditelné a škálovatelné odchozí připojení pro virtuální počítače Azure a další prostředky, můžete vytvořit instanci služby Azure NAT Gateway. Potom instanci přiřadíte k jedné nebo více podsítím ve stejné virtuální síti v Azure.

Služba Azure NAT Gateway pak pomáhá bezpečně přeložit vaše privátní IP adresy na veřejnou IP adresu, jak znázorňuje následující diagram:

Azure NAT Gateway je přiřazená ke dvěma podsítím ve virtuální síti a překládá privátní IP adresy na veřejnou IP adresu.