Wie funktioniert Azure NAT Gateway?
Bevor Sie Azure NAT Gateway verwenden können, um die Probleme mit der Portauslastung in Ihrem Unternehmen zu lösen, müssen Sie seine Funktionsweise verstehen. Auf diese Weise erhalten Sie eine bessere Vorstellung von den Schritten, die Sie ausführen müssen, um diesen Dienst ordnungsgemäß einzurichten, zu konfigurieren und zur Lösung von Konnektivitätsproblemen zu verwenden.
Wenn Sie einen Azure NAT Gateway-Gatewaydienst erstellen, müssen Sie ihm eine öffentliche IP-Adresse oder ein Präfix für eine öffentliche IP-Adresse zuweisen. Die Azure NAT Gateway-Gatewayressource kann maximal 16 öffentliche IP-Adressen verwenden. Das NAT-Gateway kann eine beliebige Kombination von öffentlichen IP-Adressen und Präfixen öffentlicher IP-Adressen verwenden (insgesamt 16 Adressen).
Die maximale Präfixgröße von NAT Gateway ist /28 (16 Adressen). Wenn Sie ein Präfix für öffentliche IP-Adressen mit einem Azure NAT Gateway-Dienst verknüpfen, wird dieser automatisch auf die Anzahl der benötigten ausgehenden IP-Adressen skaliert. Azure NAT Gateway unterstützt nur die Protokolle TCP und UDP, und der Dienst kann nicht mit einer öffentlichen IPv6-Adresse oder einem Präfix für öffentliche IPv6-Adressen verknüpft werden.
Wenn Sie einen Azure NAT Gateway-Dienst mit einem oder mehreren Subnetzen in Ihrem virtuellen Netzwerk verbinden, wird die bisherige Weiterleitung von Datenverkehr an das Internet automatisch außer Kraft gesetzt. Selbst wenn Sie über Azure-VMs mit öffentlichen IP-Adressen in diesem Subnetz verfügen, werden diese Adressen nicht mehr für ausgehende Verbindungen verwendet.
Das folgende Diagramm zeigt ein Szenario eines virtuellen Netzwerks mit zwei Subnetzen. Azure-VMs und anderen Diensten in diesen Subnetzen sind keine öffentlichen IP-Adressen zugewiesen. Der gesamte ausgehende und eingehende Datenverkehr wird über den Azure NAT Gateway-Dienst geleitet, der für ausgehende Verbindungen entweder eine öffentliche IP-Adresse oder ein Präfix für öffentliche IP-Adressen verwendet.
Im folgenden Diagramm wird einer Azure-VM in Subnetz A eine öffentliche IP-Adresse auf Instanzebene zugewiesen, während VMs in Subnetz B keine öffentlichen IP-Adressen aufweisen. Wenn Sie Azure NAT Gateway in diesem Szenario einsetzen, wird bei VMs in Subnetz A eingehender Datenverkehr weiterhin an eine IP-Adresse auf Instanzenebene geleitet. Der gesamte ausgehende Datenverkehr aus Subnetz A und Subnetz B wird jedoch über Azure NAT Gateway weitergeleitet.
Der folgende Screenshot zeigt eine Azure-VM, die die öffentliche IP-Adresse 192.0.2.22 zum Herstellen einer eingehenden RDP-Verbindung mit der VM verwendet. Die IP-Adresse für ausgehende Verbindungen lautet jedoch: 203.0.113.22. Diese öffentliche IP-Adresse wird vom Azure NAT Gateway-Dienst verwendet.
Sie können den Azure NAT Gateway-Dienst in Szenarien verwenden, in denen Sie einen Netzwerklastenausgleich für ein virtuelles Netzwerk bereitgestellt haben. Es ist jedoch wichtig zu verstehen, dass NAT Gateway alle ausgehenden Konfigurationen einer Lastenausgleichsregel oder von Regeln für ausgehenden Datenverkehr überschreibt. Azure NAT Gateway wirkt sich nicht auf eingehenden Datenverkehr aus.
Bei Verwendung von Azure-Verfügbarkeitszonen kann sich ein virtuelles Netzwerk über mehrere Verfügbarkeitszonen und die Subnetze in diesem Netzwerk erstrecken. Der Azure NAT Gateway-Dienst ist derzeit ein Zonendienst, d. h., er kann nur einzelnen Zonen zugewiesen werden. Er kann jedoch auch für die Arbeit mit Ressourcen außerhalb dieser Zone verwendet werden.