Migrer des règles NAT de trafic entrant version 1 vers la version 2
Une règle NAT de trafic entrant est utilisée pour transférer le trafic d’un équilibreur de charge front-end vers une ou plusieurs instances du pool back-end. Ces règles fournissent un mappage 1:1 entre l’adresse IP frontale de l’équilibreur de charge et les instances de back-end. Il existe actuellement deux versions des règles NAT de trafic entrant, version 1 et version 2.
Important
Le 30 septembre 2027, les règles NAT de trafic entrant v1 seront supprimées. Si vous utilisez actuellement des règles NAT de trafic entrant v1, veillez à effectuer une mise à niveau vers des règles NAT de trafic entrant v2 avant la date de mise hors service.
Règle NAT version 1
Version 1 est l’approche héritée pour l’attribution d’un port front-end Azure Load Balancer à chaque instance principale. Les règles sont appliquées à la carte d’interface réseau (NIC) de l’instance principale. Pour les instances Azure Virtual Machine Scale Sets (VMSS), les règles NAT de trafic entrant sont automatiquement créées/supprimées, car de nouvelles instances sont mises à l’échelle up/down. Pour les instances VMSS, utilisez la propriété Inbound NAT Pools
pour gérer les règles NAT entrantes version 1.
Règle NAT version 2
Version 2 des règles NAT de trafic entrant fournissent le même jeu de fonctionnalités que la version 1, avec des avantages supplémentaires.
- Expérience de déploiement simplifiée et mises à jour optimisées.
- Les règles NAT de trafic entrant ciblent désormais le pool principal de l’équilibreur de charge et ne nécessitent plus de référence sur la carte réseau de la machine virtuelle. Auparavant, sur la version 1, l’équilibreur de charge et la carte réseau de la machine virtuelle devaient être mis à jour chaque fois que la règle NAT de trafic entrant a été modifiée. La version 2 nécessite uniquement un seul appel sur la configuration de l’équilibreur de charge, ce qui entraîne des mises à jour optimisées.
- Récupérez facilement le mappage de port entre les règles NAT de trafic entrant et les instances principales.
- Avec l’offre héritée, pour récupérer le mappage de port entre une règle NAT de trafic entrant et une instance de machine virtuelle, la règle doit être corrélée avec la carte réseau de la machine virtuelle. La version 2 injecte le mappage de port entre la règle et l’instance back-end directement dans la configuration de l’équilibreur de charge.
Comment savoir si j’utilise la version 1 des règles NAT de trafic entrant ?
Le moyen le plus simple d’identifier si vos déploiements utilisent la version 1 de la fonctionnalité consiste à inspecter la configuration de l’équilibreur de charge. Si la InboundNATPools
propriété ou la propriété backendIPConfiguration
dans la configuration InboundNATRule
est remplie, le déploiement est la version 1 des règles NAT de trafic entrant.
Comment passer de la version 1 à la version 2 ?
Avant de migrer, il est important de passer en revue les informations suivantes :
- La migration vers la version 2 des règles NAT de trafic entrant entraîne un temps d’arrêt vers le trafic actif qui transite par les règles NAT. Le trafic transitant par règles d’équilibreur de charge ou règles sortantes ne sont pas affectés pendant le processus de migration.
- Planifiez le nombre maximal d’instances dans un pool principal. Étant donné que la version 2 cible le pool principal de l’équilibreur de charge, un nombre suffisant de ports doit être alloué pour le serveur frontal de la règle NAT.
- Chaque instance principale est exposée sur le port configuré dans la nouvelle règle NAT.
- Plusieurs règles NAT ne peuvent pas exister s’ils ont une plage de ports qui se chevauche ou ont le même port principal.
- Les règles NAT et les règles d’équilibrage de charge ne peuvent pas partager le même port principal.
Migration manuelle
Les trois étapes suivantes doivent être effectuées pour migrer vers la version 2 des règles NAT de trafic entrant
- Supprimez la version 1 des règles NAT de trafic entrant sur la configuration de l’équilibreur de charge.
- Supprimez la référence à la règle NAT sur la machine virtuelle ou la configuration du groupe de machines virtuelles identiques.
- Toutes les instances des jeux d’échelle des machines virtuelles doivent être mises à jour.
- Déployez la version 2 des règles NAT de trafic entrant.
Machine virtuelle
Les étapes suivantes permettent de migrer de la version 1 vers la version 2 des règles NAT de trafic entrant pour une machine virtuelle.
az network lb inbound-nat-rule delete -g MyResourceGroup --lb-name MyLoadBalancer --name NATruleV1
az network nic ip-config inbound-nat-rule remove -g MyResourceGroup --nic-name MyNic -n MyIpConfig --inbound-nat-rule MyNatRule
az network lb inbound-nat-rule create -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatRule --protocol Tcp --frontend-port-range-start 201 --frontend-port-range-end 500 --backend-port 22 --backend-address-pool MybackendPool
Groupe de machines virtuelles identiques
Les étapes suivantes permettent de migrer de la version 1 vers la version 2 des règles NAT de trafic entrant pour un groupe de machines virtuelles identiques. Il suppose que le mode de mise à niveau du groupe de machines virtuelles identiques est défini sur Manuel. Pour plus d’informations, consultez Modes d’orchestration pour les groupes de machines virtuelles identiques dans Azure
az network lb inbound-nat-pool delete -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatPool
az vmss update -g MyResourceGroup -n MyVMScaleSet --remove virtualMachineProfile.networkProfile.networkInterfaceConfigurations[0].ipConfigurations[0].loadBalancerInboundNatPools
az vmss update-instances --instance-ids '*' --resource-group MyResourceGroup --name MyVMScaleSet
az network lb inbound-nat-rule create -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatRule --protocol Tcp --frontend-port-range-start 201 --frontend-port-range-end 500 --backend-port 22 --backend-address-pool MybackendPool
Migration avec un script Automation pour un groupe de machines virtuelles identiques
Le processus de migration réutilisera les pools principaux existants avec l’appartenance correspondant aux pools NAT à migrer ; si aucun pool principal correspondant n’est trouvé, le script s’arrête (sans apporter de modifications). Vous pouvez également utiliser le paramètre -backendPoolReuseStrategy
pour créer toujours de nouveaux pools back-end (NoReuse
) ou créer un pool principal si un pool correspondant n’existe pas (OptionalFirstMatch
). Les pools principaux et les associations de règles NAT peuvent être mis à jour après la migration pour correspondre à vos préférences.
Prérequis
Avant de commencer le processus de migration, vérifiez que les conditions préalables suivantes sont remplies :
- Le SKU de l’équilibreur de charge doit être Standard pour migrer les Pools NAT d’un équilibreur de charge vers les Règles NAT. Pour automatiser ce processus de mise à niveau, consultez les étapes fournies dans Passer d’un équilibreur de charge de base à un équilibreur de charge standard avec PowerShell.
- Les groupes de machines virtuelles identiques associés à l’équilibreur de charge cible doivent utiliser une stratégie de mise à niveau « manuelle » ou « automatique ». La stratégie de mise à niveau « propagée » n’est pas prise en charge. Pour plus d’informations, consultez Stratégies de mise à niveau des groupes de machines virtuelles identiques.
- Installer la dernière version de PowerShell.
- Installer les modules Azure PowerShell.
Installez le module AzureLoadBalancerNATPoolMigration
Avec la commande suivante, installez le AzureLoadBalancerNATPoolMigration
module à partir de la PowerShell Gallery :
# Install the AzureLoadBalancerNATPoolMigration module
Install-Module -Name AzureLoadBalancerNATPoolMigration -Scope CurrentUser -Repository PSGallery -Force
Mettre à niveau les pools NAT vers des règles NAT
Une fois le module azureLoadBalancerNATPoolMigration
installé, mettez à niveau vos pools NAT vers des règles NAT en procédant comme suit :
Connectez-vous à Azure avec
Connect-AzAccount
.Collectez les noms de l’équilibreur de charge cible pour la mise à niveau des règles NAT et le nom de son groupe de ressources.
Exécutez la commande de migration avec vos noms de ressources en remplaçant les espaces réservés de
<loadBalancerResourceGroupName>
et<loadBalancerName>
:# Run the migration command Start-AzNATPoolMigration -ResourceGroupName <loadBalancerResourceGroupName> -LoadBalancerName <loadBalancerName>
Étapes suivantes
- En savoir plus sur la gestion des règles NAT entrantes
- En savoir plus sur les pools NAT et les règles NAT Azure Load Balancer