Comment fonctionne Azure NAT Gateway ?
Avant de pouvoir utiliser Azure NAT Gateway pour commencer à résoudre les problèmes d’épuisement des ports dans votre entreprise, vous devez comprendre son fonctionnement. Ces connaissances vous permettent de mieux comprendre les étapes à suivre pour déployer, configurer et utiliser correctement ce service afin de résoudre les problèmes de connectivité.
Quand vous créez un service de passerelle Azure NAT Gateway, vous devez lui attribuer une adresse IP publique ou un préfixe d’adresse IP publique. La ressource de passerelle Azure NAT Gateway peut utiliser un maximum de 16 adresses IP publiques. La passerelle NAT Gateway peut utiliser n’importe quelle combinaison d’adresses IP publiques et de préfixes d’adresses IP publiques, avec un total de 16 adresses.
La taille maximale du préfixe NAT de la passerelle NAT Gateway est /28 (16 adresses). Quand vous associez un préfixe d’adresse IP publique à un service Azure NAT Gateway, il est automatiquement mis à l’échelle avec le nombre d’adresses IP sortantes nécessaires. Azure NAT Gateway prend en charge seulement les protocoles TCP et UDP, et vous ne pouvez pas l’associer à une adresse IP publique IPv6 ou à un préfixe IP public IPv6.
Quand vous connectez un service Azure NAT Gateway à un ou plusieurs sous-réseaux de votre réseau virtuel, il remplace automatiquement le routage de votre trafic vers Internet. Même si des machines virtuelles Azure avec des adresses IP publiques se trouvent sur ce sous-réseau, ces adresses ne sont plus utilisées pour la connectivité sortante.
Le diagramme suivant est un scénario de réseau virtuel avec deux sous-réseaux. Les machines virtuelles Azure et d’autres services dans ces sous-réseaux n’ont pas d’adresses IP publiques attribuées. Tout le trafic entrant et sortant est routé via le service Azure NAT Gateway, qui utilise une adresse IP publique ou un préfixe d’adresse IP publique pour les connexions sortantes.
Dans le diagramme suivant, une machine virtuelle Azure dans le sous-réseau A reçoit une adresse IP publique au niveau de l’instance, alors que les machines virtuelles du sous-réseau B n’ont pas d’adresses IP publiques. Quand vous déployez Azure NAT Gateway dans ce scénario, le trafic entrant dirigé vers les machines virtuelles du sous-réseau A est toujours dirigé vers une adresse IP au niveau de l’instance. Toutefois, l’ensemble du trafic sortant du sous-réseau A et du sous-réseau B est acheminé via Azure NAT Gateway.
La capture d’écran suivante contient une machine virtuelle Azure qui utilise 192.0.2.22 comme adresse IP publique qu’elle utilise pour établir une connexion RDP entrante à la machine virtuelle. Toutefois, son adresse IP pour les connexions sortantes est différente : 203.0.113.22. Cette adresse IP publique est utilisée par le service Azure NAT Gateway.
Vous pouvez utiliser le service Azure NAT Gateway dans des scénarios où un équilibreur de charge réseau est déployé pour un réseau virtuel. Cependant, il est important de comprendre que la passerelle NAT remplace l’ensemble de la configuration sortante à partir d’une règle d’équilibrage de charge ou de règles de trafic sortant. Azure NAT Gateway n’affecte pas le trafic entrant.
Si vous utilisez des zones de disponibilité Azure, un réseau virtuel peut s’étendre sur plusieurs zones de disponibilité et les sous-réseaux de ce réseau. Le service Azure NAT Gateway est actuellement un service zonal, ce qui signifie qu’il ne peut être désigné que pour des zones individuelles. Toutefois, il peut toujours être utilisé pour travailler avec des ressources en dehors de sa zone.