Kdy byste měli použít Azure NAT Gateway?
Při zvažování nasazení služby Azure NAT Gateway byste měli nejprve analyzovat svůj scénář. Služba není ve výchozím nastavení nasazená ve službě Azure Virtual Network, a ne každý scénář odpovídá této službě. Je to ale vhodné řešení pro řešení problémů s připojením k virtuálním počítačům Azure ve vaší online maloobchodní společnosti.
Scénáře použití služby Azure NAT Gateway
Azure NAT Gateway poskytuje prostředky služby NAT Gateway pro odchozí připojení na vyžádání bez složitého předplánování, což usnadňuje nasazení v případě potřeby. Po nastavení mají všechny instance virtuálních počítačů odchozí připojení a používají zadané statické IP adresy, což zase zjednodušuje vytváření seznamů povolených.
Pokud chcete vyhradit veřejné IP adresy, které vaše virtuální počítače používají při přístupu k internetovým prostředkům, může vám pomoct Azure NAT Gateway. Řekněme, že máte partnerskou organizaci, která povoluje připojení jenom z pevné sady IP adres. K Azure NAT Gateway můžete přidružit předponu veřejné IP adresy, abyste měli jistotu, že se pro odchozí připojení používá souvislá sada IP adres. Pak můžete bránu firewall nakonfigurovat v cíli na základě tohoto předvídatelného seznamu IP adres. Toto řešení může například řešit scénář, kdy váš partner hostuje internetové rozhraní API, ke kterému se potřebujete připojit.
Pokud máte ve virtuální síti Azure prostředky, které provádějí mnoho odchozích připojení a intenzivně využívají různé porty pro odchozí komunikaci, měli byste zvážit nasazení služby Azure NAT Gateway. Tato služba vám pomůže konsolidovat a maximalizovat dostupná čísla portů a také se vyhnout vyčerpání portů.
Můžete mít například virtuální síť s několika vytvořenými podsítěmi. Tato podsíť hostuje vaše virtuální počítače Azure, zatímco jiná podsíť hostuje službu App Service s webem nebo jinou službou. Bez použití služby Azure NAT Gateway mají vaše virtuální počítače a další služby omezený počet portů dostupných pro odchozí připojení. Obvykle je toto číslo menší než 65 535 portů, které jsou teoreticky dostupné. Časový limit připojení vyprší, pokud některý z vašich virtuálních počítačů nebo služeb vyčerpá dostupný fond portů. Fond portů nemůžete sdílet z jiných virtuálních počítačů, protože porty jsou přiřazené pro jednotlivé virtuální počítače a všechny tyto prostředky můžou mít jinou IP adresu použitou pro veřejnou komunikaci. Virtuální počítače Azure, které mají přiřazenou veřejnou IP adresu, používají tuto adresu pro přístup k internetovým prostředkům. Zatímco virtuální počítače bez veřejné IP adresy používají adresu, která je aktuálně dostupná ve fondu služeb Azure. Azure NAT Gateway pomáhá vyřešit oba tyto problémy tím, že poskytuje úplný rozsah portů pro virtuální počítače v podsíti, kterou pokrývá, a jedinečnou veřejnou IP adresu (nebo rozsah IP adres) pro odchozí připojení.
Scénáře, které nejsou vhodné pro použití služby Azure NAT Gateway
I když je Azure NAT Gateway užitečnou a snadno nasaditelná služba, nemusí být vhodná pro každý scénář. Několik příkladů:
- Pokud je rozložení virtuálního počítače Azure jednoduché, jenom s několika virtuálními počítači, které zřídka využívají mnoho připojení k internetovým prostředkům, pravděpodobně nepotřebujete Azure NAT Gateway. Místo toho můžete použít překlad nativních adres Azure nebo přiřadit veřejnou IP adresu jednomu nebo více virtuálním počítačům.
- Pokud potřebujete spravovat příchozí připojení k virtuálním počítačům Azure, které pocházejí z internetu, není azure NAT Gateway užitečné. Azure NAT Gateway spravuje příchozí připojení jenom při jejich inicializování z virtuálního počítače Azure (nebo jiné služby), která je za překladem adres (NAT). Virtuální počítač nebo software Azure nainstalovaný na virtuálním počítači Azure inicializuje připojení k prostředku na internetu. Azure NAT Gateway toto připojení zaregistruje. Pokud by tento prostředek na internetu měl vrátit nějaká data do virtuálního počítače Azure nebo zahájit příchozí připojení, je povolené. Připojení iniciovaná z internetu, která nejsou v reakci na odchozí směrovaný provoz, jsou však blokovaná.
- Pokud potřebujete poskytnout připojení k jiným službám Založeným na Azure, jako je Azure SQL Database nebo Azure Storage, neměli byste používat Azure NAT Gateway. Abyste se mohli připojit k prostředkům Azure, nemusíte nasazovat Azure NAT Gateway. Při připojování ke službám Azure můžete pomocí služby Azure Private Link propojit prostředky Azure s vaší virtuální sítí a řídit přístup k prostředkům služeb Azure. Pokud například přistupujete ke službě Azure Storage, použijte privátní koncový bod pro úložiště, abyste zajistili, že je vaše připojení plně soukromé.
- Azure NAT Gateway nemůžete používat s podsítěmi služby Azure Gateway. Nemůžete také použít jednu službu Azure NAT Gateway s více než jednou virtuální sítí v Azure. K pokrytí více než jedné podsítě ve stejné virtuální síti ale můžete použít jednu službu Azure NAT Gateway.