Quando você deve usar o Gateway da NAT do Azure?
Ao considerar a implantação do serviço de Gateway da NAT do Azure, você deve primeiro analisar seu cenário. O serviço não é implantado por padrão com a Rede Virtual do Azure e nem todos os cenários se ajustam a esse serviço. No entanto, é uma boa solução para resolver problemas de conectividade com VMs do Azure em sua empresa de varejo online.
Cenários para usar o serviço de Gateway da NAT do Azure
O Gateway da NAT do Azure fornece recursos de gateway da NAT para conectividade de saída sob demanda sem planejamento prévio complexo, o que torna relativamente fácil a implantação quando necessário. Depois de configurado, todas as suas instâncias de VM têm conectividade de saída e usam os endereços IP estáticos especificados, o que, por sua vez, simplifica a criação de listas de permitidos.
Se você quiser dedicar endereços IP públicos que suas VMs usam ao acessar recursos da Internet, o Gateway da NAT do Azure pode ajudar. Digamos que você tenha uma organização parceira que permita apenas conexões de um conjunto fixo de endereços IP. Você pode associar um prefixo de IP público ao Gateway da NAT do Azure para garantir que um conjunto contíguo de IPs seja usado na conectividade de saída. Em seguida, você pode configurar o firewall no destino com base nessa lista de IPs previsíveis. Por exemplo, essa solução pode abordar um cenário em que seu parceiro hospeda uma API voltada para a Internet à qual você precisa se conectar.
Se você tiver recursos em sua rede virtual do Azure que fazem muitas conexões de saída e usam intensivamente várias portas para comunicação de saída, você deve considerar a implantação do serviço de Gateway da NAT do Azure. O serviço ajuda você a consolidar e maximizar os números de porta disponíveis, além de evitar o esgotamento de portas.
Por exemplo, você pode ter uma rede virtual com algumas sub-redes criadas. Essa sub-rede hospeda suas VMs do Azure, enquanto outra sub-rede hospeda um serviço de aplicativo com um site ou algum outro serviço. Sem usar o Gateway da NAT do Azure, suas VMs e outros serviços têm um número limitado de portas disponíveis para conexões de saída. Normalmente, esse número é menor que as 65.535 portas teoricamente disponíveis. A conexão atinge o tempo limite se uma de suas VMs ou serviços esgotar o pool de portas disponível. Não é possível compartilhar um pool de portas de outras VMs pois estas são atribuídas por VM, e todos esses recursos podem ter um endereço IP diferente usado para comunicação pública. As VMs do Azure que têm um IP público atribuído usam esse endereço para acessar recursos da Internet. Considerando as VMs sem um IP público, use o endereço disponível atualmente no pool de endereços do serviço do Azure. O Gateway da NAT do Azure ajuda a resolver esses dois problemas fornecendo um escopo completo de portas para VMs na sub-rede que abrange e um IP público exclusivo (ou escopo de IP) para conectividade de saída.
Cenários que não são apropriados para usar o serviço de Gateway da NAT do Azure
Embora o Gateway da NAT do Azure seja um serviço útil e fácil de implantar, ele pode não ser apropriado para todos os cenários. Estes são alguns exemplos:
- Se o layout da VM do Azure for simples, com apenas algumas VMs que raramente fazem muitas conexões com os recursos da Internet, provavelmente você não precisará do Gateway da NAT do Azure. Em vez disso, você pode usar a conversão de endereços nativos do Azure ou atribuir um IP público a uma ou mais VMs.
- Se você precisar gerenciar conexões de entrada para suas VMs do Azure que são provenientes da Internet, o Gateway da NAT do Azure não será útil. O Gateway da NAT do Azure gerencia conexões de entrada somente quando elas são iniciadas da VM do Azure (ou outro serviço) que está por trás do NAT. Uma VM do Azure ou um software instalado em uma VM do Azure inicia uma conexão com um recurso na Internet. O Gateway da NAT do Azure registra essa conexão. Se esse recurso na Internet deve retornar alguns dados para a VM do Azure ou iniciar uma conexão de entrada, ele será permitido. No entanto, as conexões iniciadas a partir da Internet que não respondem ao tráfego direcionado de saída serão bloqueadas.
- Se você precisar fornecer uma conexão a outros serviços baseados no Azure, como Banco de Dados SQL do Azure ou Armazenamento do Microsoft Azure, não deverá usar o Gateway da NAT do Azure. Você não precisa implantar o Gateway da NAT do Azure para se conectar aos recursos do Azure. Ao se conectar aos serviços do Azure, você pode usar o Link Privado do Azure para vincular recursos do Azure à sua rede virtual e controlar o acesso aos recursos de serviço do Azure. Por exemplo, quando você acessar o Armazenamento do Azur, use um ponto de extremidade privado para o armazenamento para ajudar a garantir que sua conexão seja totalmente privada.
- Não é possível usar Gateway da NAT do Azure com as sub-redes de gateway do Azure. Também não é possível usar um único serviço de Gateway da NAT do Azure com mais de uma rede virtual no Azure. No entanto, você pode usar apenas um serviço de Gateway da NAT do Azure para abranger mais de uma sub-rede dentro da mesma rede virtual.