Quando è consigliabile usare Gateway NAT di Azure?
Quando si valuta la distribuzione del servizio Gateway NAT di Microsoft Azure, è prima necessario analizzare lo scenario. Il servizio non viene distribuito per impostazione predefinita con Rete virtuale di Azure e non tutti gli scenari sono adatti a questo servizio. Tuttavia, è una soluzione ottimale per risolvere i problemi di connettività con le macchine virtuali di Azure nell'azienda di vendita al dettaglio online.
Scenari per l'utilizzo del servizio Gateway NAT di Azure
Gateway NAT di Azure offre risorse del gateway NAT per la connettività in uscita su richiesta senza dover eseguire pianificazioni complesse in anticipo, semplificando così la distribuzione quando necessaria. Dopo aver eseguito la configurazione, tutte le istanze della macchina virtuale hanno connettività in uscita e usano gli indirizzi IP statici specificati, che semplificano a loro volta la creazione degli elenchi elementi consentiti.
Se si desiderano indirizzi IP pubblici dedicati che le macchine virtuali dovranno usare per accedere alle risorse Internet, Gateway NAT di Microsoft Azure può essere utile. Si supponga di avere un'organizzazione partner che consenta solo le connessioni da un set fisso di indirizzi IP. È possibile associare un prefisso IP pubblico a Gateway NAT di Azure per assicurarsi che per la connettività in uscita venga usato un set contiguo di indirizzi IP. Sarà quindi possibile configurare il firewall nella destinazione in base a questo elenco di IP prevedibile. Questa soluzione potrebbe, ad esempio, risolvere uno scenario in cui il partner ospita un'API con connessione Internet a cui è necessario connettersi.
Se nella rete virtuale di Azure sono presenti risorse che creano molte connessioni in uscita e usano in modo intensivo varie porte per la comunicazione in uscita, è consigliabile valutare la distribuzione del servizio Gateway NAT di Microsoft Azure. Il servizio consente di consolidare e ottimizzare i numeri di porta disponibili e di evitare l'esaurimento delle porte.
Ad esempio, potrebbe essere disponibile una rete virtuale in cui sono state create poche subnet. Questa subnet ospita le macchine virtuali di Azure, mentre un'altra subnet ospita un servizio app con un sito Web o un altro servizio. Senza usare Gateway NAT di Azure, le macchine virtuali e altri servizi dispongono di un numero limitato di porte disponibili per le connessioni in uscita. In genere, questo numero è inferiore alle 65.535 porte che sono teoricamente disponibili. Se una delle macchine virtuali o dei servizi esaurisce il pool di porte disponibile, si verifica il timeout della connessione. Non è possibile condividere un pool di porte da altre macchine virtuali, perché le porte vengono assegnate per macchina virtuale e tutte queste risorse potrebbero avere un indirizzo IP diverso usato per la comunicazione pubblica. Le macchine virtuali di Azure a cui è stato assegnato un indirizzo IP pubblico usano questo indirizzo per accedere alle risorse Internet. Le VM senza un indirizzo IP pubblico usano invece l'indirizzo attualmente disponibile nel pool di indirizzi del servizio di Azure. Gateway NAT di Azure consente di risolvere entrambi questi problemi offrendo un ambito completo delle porte per le macchine virtuali nella subnet che copre e un indirizzo IP pubblico univoco (o un ambito IP) per la connettività in uscita.
Scenari non appropriati per l'uso del servizio Gateway NAT di Azure
Anche se Gateway NAT di Microsoft Azure è un servizio utile e facile da distribuire, potrebbe non essere adeguato a ogni scenario. Di seguito sono riportati alcuni esempi.
- Se il layout della macchina virtuale di Azure è semplice e solo alcune macchine virtuali generano raramente molte connessioni alle risorse Internet, probabilmente non è necessario usare Gateway NAT di Azure. È invece possibile usare la traslazione degli indirizzi nativi di Azure o assegnare un indirizzo IP pubblico a una o più macchine virtuali.
- Se è necessario gestire le connessioni in ingresso alle macchine virtuali di Azure provenienti da Internet, Gateway NAT non sarà utile. Gateway NAT di Azure gestisce le connessioni in ingresso solo quando vengono avviate dalla macchina virtuale di Azure, o da un altro servizio, che si trova dietro NAT. Una macchina virtuale di Azure o un software installato in una macchina virtuale di Azure avvia una connessione a una risorsa in Internet. Gateway NAT di Azure registra la connessione. Se la risorsa su Internet deve restituire dei dati alla macchina virtuale di Azure o avviare una connessione in ingresso, potrà farlo. Tuttavia, le connessioni avviate da Internet che non derivano dal traffico diretto in uscita verranno bloccate.
- Se è necessario generare una connessione ad altri servizi basati su Azure, ad esempio database SQL di Azure o Archiviazione di Azure, non è consigliabile usare Gateway NAT di Microsoft Azure. Non è necessario distribuire Gateway NAT di Azure per connettersi alle risorse di Azure. Quando ci si connette ai servizi di Azure, è possibile usare collegamento privato di Azure per collegare le risorse di Azure alla rete virtuale e controllare l'accesso alle risorse del servizio di Azure. Ad esempio, quando si accede ad Archiviazione di Azure, usare un endpoint privato per l'archiviazione per garantire che la connessione sia completamente privata.
- Non è possibile usare Gateway NAT di Azure con subnet del gateway di Azure. Non è inoltre possibile usare un singolo servizio Gateway NAT di Azure con più reti virtuali in Azure. È tuttavia possibile usare un singolo servizio Gateway NAT di Azure per coprire più subnet all'interno della stessa rete virtuale.