Was ist Azure NAT Gateway?

Abgeschlossen

Als leitender Systemingenieur und Azure-Administrator, der mit der Lösung aktueller Konnektivitätsprobleme mit Azure-VMs betraut ist, müssen Sie zunächst den technologischen Hintergrund und die Möglichkeiten von Azure NAT Gateway verstehen.

Azure NAT Gateway ist ein vollständig verwalteter Clouddienst, der in Azure ausgeführt wird. Er ist äußerst resilient, skalierbar und einfach zu konfigurieren. Wenn Sie Azure NAT Gateway mit Ihren bestehenden virtuellen Netzwerken in Azure verwenden, können einzelne VMs oder andere Azure-Ressourcen vollständig privat bleiben – es sei denn, sie hosten Dienste, die eingehende Verbindungen aus dem Internet akzeptieren. Alle ausgehenden Verbindungen, die von Ihrem virtuellen Netzwerk aufgebaut werden, verwenden die statischen öffentlichen IP-Adressen von NAT Gateway.

Übersicht über NAT

NAT ist keine neue Technologie. Sie wird seit Jahrzehnten verwendet, um lokale IP-Adressen öffentlichen Adressen zu zuordnen. Einer der Hauptzwecke von NAT besteht darin, öffentliche IPv4-Adressen einzusparen, was insbesondere für Internetdienstanbieter (ISPs) von Bedeutung ist. Diese Unternehmen können NAT nutzen, um einen Bereich mit vielen privaten IPv4-Adressen einer einzigen öffentlichen IP-Adresse oder wenigen öffentlichen IP-Adressen zuzuordnen.

NAT wird auch in Heimnetzwerken und lokalen Netzwerken verwendet. Wenn Sie zum Herstellen einer Verbindung mit dem Internet einen Router verwenden, ist NAT höchstwahrscheinlich darin implementiert. Auf diese Weise werden all Ihre Geräte über nur eine einzige öffentliche IP-Adresse an das Internet weitergeleitet. NAT verbirgt außerdem Ihren internen Adressraum, sodass der gesamte ausgehende Datenverkehr scheinbar von einer einzigen öffentlichen IP-Adresse ausgeht. Die IP-Adresse ist einem Router oder Gatewaygerät zugewiesen.

Bei Verwendung von NAT ist es wichtig, TCP-Ports (Transmission Control Protocol) und deren Zweck zu verstehen. Die Portadressenübersetzung ermöglicht es jedem Host in einem privaten Netzwerk, über eine einzige öffentliche IP-Adresse im Internet zu kommunizieren, sodass jeder Kommunikationspfad über einen eindeutigen TCP-Port hergestellt wird. Der Prozess sieht folgendermaßen aus:

  1. Ein Gerät im privaten Netzwerk stellt eine Verbindung mit einer Ressource im Internet her. Die NAT ersetzt die IP-Adresse des internen Geräts in der Paketkopfzeile durch die externe IP-Adresse des NAT-Geräts.

  2. Die Portadressenübersetzung weist der Verbindung dann eine Portnummer aus einem Pool verfügbarer Ports zu.

  3. Diese Portnummer wird in das Quellportfeld im Paketheader eingefügt, und das Paket wird anschließend an das Internet weitergeleitet.

  4. Das NAT-Gerät protokolliert daraufhin einen Eintrag in einer Netzwerkübersetzungstabelle:

    • Dieser Eintrag enthält für jede hergestellte Verbindung die interne IP-Adresse, den ursprünglichen Quellport und den übersetzten Quellport.
    • Nachfolgende Pakete von derselben internen Quell-IP-Adresse und Portnummer werden immer in dieselbe externe IP-Adresse und Portnummer übersetzt.
  5. Der Computer, der ein durch NAT verarbeitetes Paket empfängt, stellt anschließend eine Verbindung mit dem Port und der IP-Adresse her, die in dem veränderten Paket angegeben sind. Der Computer hat hierbei keine Kenntnis darüber, dass die angegebene Adresse übersetzt wurde.

Das folgende Diagramm zeigt den NAT-Prozess.

Der Prozess der Netzwerkadressübersetzung zwischen einem Host und einem Server.

Hinweis

NAT wird hauptsächlich zum Herstellen ausgehender Verbindungen mit dem Internet verwendet. Eingehende Verbindungen aus dem Internet dagegen können nicht direkt verwaltet werden. Zu diesem Zweck müssen andere Technologien verwendet werden.

NAT-Dienst in Azure

Wenn Sie ein virtuelles Netzwerk in Azure erstellen, weisen Sie ihm einen privaten Adressraum zu und erstellen dann mindestens ein Subnetz für dieses Netzwerk. Wenn Sie eine VM in Azure erstellen und sie dann in diesem virtuelle Netzwerk platzieren, erhält sie ihre lokale IP-Adresse von diesem Netzwerk. Wenn Sie ausgehende Internetverbindungen für diese VM zulassen möchten, können Sie dieser VM auch ein Objekt mit einer öffentlichen IP-Adresse zuweisen.

Hinweis

Azure-VMs, denen Sie keine öffentliche IP-Adresse zuweisen, können trotzdem auf das Internet zugreifen, indem sie die Azure-Netzwerkadressübersetzung oder die Portadressenübersetzung verwenden. In diesen Fällen können Sie jedoch nicht steuern, welche öffentliche IP-Adresse für ausgehende Verbindungen verwendet wird. Sie können zudem keine eingehenden Verbindungen aktivieren oder das Remote Desktop Protocol (RDP) verwenden, um sich von außen mit diesen VMs zu verbinden. Stattdessen müssen Sie einen Azure Bastion-Host verwenden.

Zum Gewährleisten einer sicheren, kontrollierbaren und skalierbaren ausgehenden Konnektivität für Azure-VMs und andere Ressourcen können Sie eine Instanz des Azure NAT Gateway-Diensts erstellen. Anschließend weisen Sie die Instanz einem oder mehreren Subnetzen innerhalb desselben virtuellen Netzwerks in Azure zu.

Der Azure NAT Gateway-Dienst sorgt dann für eine sichere Übersetzung Ihrer privaten IP-Adressen in eine öffentliche IP-Adresse, wie das folgende Diagramm veranschaulicht:

Azure NAT Gateway ist zwei Subnetzen in einem virtuellen Netzwerk zugewiesen und übersetzt private IP-Adressen in öffentliche IP-Adressen.