Wann sollten Sie Azure NAT Gateway verwenden?
Wenn Sie die Bereitstellung von Azure NAT Gateway in Erwägung ziehen, sollten Sie zunächst Ihr Szenario analysieren. Der Dienst wird nicht standardmäßig mit Azure Virtual Network bereitgestellt, und nicht jedes Szenario ist für diesen Dienst geeignet. Er stellt jedoch eine gute Lösung zum Beheben der Konnektivitätsprobleme mit Azure-VMs in Ihrem Online-Einzelhandelsunternehmen dar.
Szenarien für die Verwendung des Azure NAT Gateway-Diensts
Azure NAT Gateway stellt NAT-Gatewayressourcen für ausgehende Konnektivität auf Abruf ohne komplexe Vorplanung zur Verfügung, was die Bereitstellung bei Bedarf relativ einfach macht. Nach der Einrichtung verfügen alle VM-Instanzen über ausgehende Konnektivität und verwenden die von Ihnen festgelegten statischen IP-Adressen, was wiederum die Erstellung von Positivlisten vereinfacht.
Wenn Sie dedizierte öffentliche IP-Adressen zuweisen möchten, die Ihre VMs beim Zugriff auf Internetressourcen verwenden, können Sie dies mit Azure NAT Gateway umsetzen. Angenommen, Sie verfügen über eine Partnerorganisation, die nur Verbindungen von einer feststehenden Reihe von IP-Adressen zulässt. Sie können Azure NAT Gateway ein Präfix für öffentliche IP-Adressen zuordnen, um sicherzustellen, dass eine zusammenhängende Gruppe von IP-Adressen für ausgehende Verbindungen verwendet wird. Anschließend können Sie die Firewall am Zielstandort auf Grundlage dieser vorhersagbaren Liste von IP-Adressen konfigurieren. Diese Lösung kann zum Beispiel in einem Szenario eingesetzt werden, in dem Ihr Partner eine Internet-API hostet, mit der Sie eine Verbindung herstellen müssen.
Wenn Sie in Ihrem virtuellen Azure-Netzwerk über Ressourcen verfügen, die viele ausgehende Verbindungen herstellen und häufig verschiedene Ports für die ausgehende Kommunikation nutzen, sollten Sie die Bereitstellung des Azure NAT Gateway-Diensts in Betracht ziehen. Mit diesem Dienst können Sie die verfügbaren Portnummern konsolidieren und maximieren und zudem eine Portauslastung vermeiden.
Angenommen, Sie haben ein virtuelles Netzwerk mit einigen Subnetzen erstellt. Ein Subnetz hostet Ihre Azure-VMs, während ein anderes Subnetz einen App-Dienst mit einer Website oder einen anderen Dienst hostet. Ohne Verwendung von Azure NAT Gateway steht Ihren VMs und anderen Diensten nur eine begrenzte Anzahl von Ports für ausgehende Verbindungen zur Verfügung. In der Regel liegt diese Zahl unter den theoretisch verfügbaren 65.535 Ports. Wenn eine Ihrer VMs oder einer Ihrer Dienste den verfügbaren Portpool ausschöpft, kommt es zu einem Verbindungstimeout. Sie können einen Portpool nicht von anderen VMs aus freigeben, da die Ports pro VM zugewiesen werden und die betreffenden Ressourcen alle eine andere IP-Adresse für die öffentliche Kommunikation aufweisen können. Azure-VMs, denen eine öffentliche IP-Adresse zugewiesen ist, verwenden diese Adresse für den Zugriff auf Internetressourcen. VMs ohne öffentliche IP-Adresse nutzen hingegen die Adresse, die im Adresspool des Azure-Diensts gerade verfügbar ist. Azure NAT Gateway bietet eine Lösung für diese beiden Probleme, indem es einen vollständigen Portbereich für VMs in dem von ihm abgedeckten Subnetz und eine eindeutige öffentliche IP-Adresse (oder einen IP-Adressenbereich) für ausgehende Konnektivität bereitstellt.
Szenarien, die sich nicht für die Verwendung des Azure NAT Gateway-Diensts eignen
Wenngleich Azure NAT Gateway ein nützlicher und einfach einzurichtender Dienst ist, eignet er sich möglicherweise nicht für jedes Szenario. Hier einige Beispiele:
- Wenn Sie ein einfaches Azure-VM-Layout mit nur wenigen VMs verwenden, die selten viele Verbindungen mit Internetressourcen herstellen, benötigen Sie wahrscheinlich kein Azure NAT Gateway. Sie können stattdessen die native Adressenübersetzung von Azure verwenden oder einer oder mehreren VMs eine öffentliche IP-Adresse zuweisen.
- Wenn Sie Verbindungen verwalten müssen, die aus dem Internet bei Ihren Azure-VMs eingehen, ist Azure NAT Gateway nicht sinnvoll. Azure NAT Gateway verwaltet eingehende Verbindungen, die von einer Azure-VM (oder einem anderen Dienst) hinter der NAT eingeleitet werden. Eine Azure-VM oder eine auf einer Azure-VM installierte Softwarekomponente leitet eine Verbindung mit einer Ressource im Internet ein. Azure NAT Gateway registriert diese Verbindung. Wenn diese Ressource im Internet Daten an die Azure-VM zurücksenden oder eine eingehende Verbindung initiieren soll, wird sie zugelassen. Aus dem Internet eingeleitete Verbindungen, die nicht als Reaktion auf ausgehenden weitergeleiteten Datenverkehr erfolgen, werden jedoch blockiert.
- Wenn Sie eine Verbindung mit anderen auf Azure basierenden Diensten – wie etwa Azure SQL-Datenbank oder Azure Storage – bereitstellen müssen, sollten Sie Azure NAT Gateway nicht verwenden. Azure NAT Gateway ist nicht erforderlich, um eine Verbindung zu Azure-Ressourcen herzustellen. Für die Verbindung zu Azure-Diensten können Sie Azure Private Link verwenden, um Azure-Ressourcen mit Ihrem virtuellen Netzwerk zu verknüpfen und den Zugriff auf Ihre Azure-Dienstressourcen zu steuern. Wenn Sie beispielsweise auf Azure Storage zugreifen, stellen Sie mit einem privaten Endpunkt für Speicherressourcen sicher, dass Ihre Verbindung vollständig privat ist.
- Sie können Azure NAT Gateway nicht mit Azure-Gatewaysubnetzen verwenden. Ferner können Sie einen einzelnen Azure NAT Gateway-Dienst nicht mit mehr als einem virtuellen Netzwerk in Azure verwenden. Jedoch können Sie einen einzelnen Azure NAT Gateway-Dienst verwenden, um mehr als ein Subnetz innerhalb desselben virtuellen Netzwerks abzudecken.