Come funziona Gateway NAT di Azure?
Prima di poter usare Gateway NAT di Azure per iniziare a risolvere i problemi di esaurimento delle porte nell'azienda, è necessario comprenderne il funzionamento. Questa comprensione chiarirà i passaggi da eseguire per distribuire, configurare e usare questo servizio in modo appropriato per risolvere i problemi di connettività.
Quando si crea un servizio Gateway NAT di Azure, è necessario assegnargli un indirizzo IP pubblico o un prefisso di indirizzo IP pubblico. La risorsa gateway del Gateway NAT di Azure può usare un massimo di 16 indirizzi IP pubblici. Il Gateway NAT può usare qualsiasi combinazione di indirizzi IP pubblici e prefissi di indirizzi IP pubblici, per un totale a 16 indirizzi.
Le dimensioni massime del prefisso del gateway NAT sono /28 (16 indirizzi). Quando si associa un prefisso di indirizzo IP pubblico a un servizio Gateway NAT di Azure, verrà eseguito il dimensionamento automatico in base al numero di indirizzi IP in uscita necessari. Gateway NAT di Azure supporta solo i protocolli TCP e UDP e non è possibile associarlo a un indirizzo IP pubblico IPv6 o a un prefisso di indirizzo IP pubblico IPv6.
Quando si connette un servizio Gateway NAT di Azure a una o più subnet nella rete virtuale, esegue l'override della modalità di instradamento del traffico a Internet. Anche se sono presenti macchine virtuali di Azure con indirizzi IP pubblici in tale subnet, questi indirizzi non verranno più usati per la connettività in uscita.
Il diagramma seguente è uno scenario di una rete virtuale con due subnet. Le macchine virtuali di Azure e altri servizi in queste subnet non hanno indirizzi IP pubblici assegnati. Tutto il traffico in uscita e in ingresso viene instradato tramite il servizio Gateway NAT di Azure, che usa un indirizzo IP pubblico o un prefisso IP pubblico per le connessioni in uscita.
Nel diagramma seguente, una macchina virtuale di Azure nella Subnet A ha un indirizzo IP pubblico a livello di istanza assegnato, mentre le macchine virtuali nella Subnet B non dispongono di indirizzi IP pubblici. Quando si distribuisce Gateway NAT di Azure in questo scenario, il traffico in ingresso indirizzato alle macchine virtuali nella subnet A viene comunque indirizzato a un indirizzo IP a livello di istanza. Tuttavia, tutto il traffico in uscita dalla subnet A e dalla subnet B viene instradato tramite il Gateway NAT di Azure.
Lo screenshot seguente include una macchina virtuale di Azure che usa 192.0.2.22 come indirizzo IP pubblico per effettuare la connessione RDP in ingresso alla macchina virtuale. Tuttavia, il relativo indirizzo IP per le connessioni in uscita è diverso: 203.0.113.22. Questo indirizzo IP pubblico viene usato dal servizio Gateway NAT di Azure.
È possibile usare il servizio Gateway NAT di Azure negli scenari in cui è stato distribuito un servizio di bilanciamento del carico di rete per una rete virtuale. È tuttavia importante comprendere che il Gateway NAT prevale su tutte le configurazioni in uscita di una regola di bilanciamento del carico o delle regole in uscita. Il Gateway NAT di Azure non influisce sul traffico originato in ingresso.
Se si usano zone di disponibilità di Azure, una rete virtuale può estendersi su più di una zona di disponibilità e sulle subnet in tale rete. Il servizio Gateway NAT di Azure è attualmente un servizio di zona e può essere quindi designato solo in zone singole. Tuttavia, può comunque essere usato per lavorare con risorse all'esterno della sua zona.