Como o Gateway da NAT do Azure funciona?
Antes de usar o Gateway da NAT do Azure para começar a resolver os problemas de esgotamento de porta em sua empresa, você precisa entender como ele funciona. Essa compreensão fornecerá uma ideia melhor sobre as etapas que você precisa seguir para implantar, configurar e usar esse serviço corretamente para resolver problemas de conectividade.
Ao criar um serviço de gateway do Gateway da NAT do Azure, você precisa atribuir a ele um endereço IP público ou um prefixo de endereço IP público. O recurso de gateway do Gateway da NAT do Azure pode usar um máximo de 16 endereços IP públicos. O Gateway da NAT pode usar qualquer combinação de endereços IP públicos e prefixos de endereço IP públicos totalizando 16 endereços.
O tamanho máximo do prefixo do Gateway da NAT é /28 (16 endereços). Quando você associa um prefixo de IP público a um serviço de Gateway da NAT do Azure, ele é dimensionado automaticamente para o número de endereços IP de saída necessários. O Gateway da NAT do Azure dá suporte apenas a protocolos TCP e UDP, e você não pode associá-lo a um endereço IP público IPv6 ou a um prefixo IP público IPv6.
Quando você conecta um serviço de Gateway da NAT do Azure a uma sub-rede ou a sub-redes em sua rede virtual, ele substitui automaticamente o modo como o tráfego é roteado para a Internet. Mesmo que você tenha VMs do Azure com endereços IP públicos nessa sub-rede, esses endereços não serão mais usados para a conectividade de saída.
O diagrama a seguir é um cenário de uma rede virtual com duas sub-redes. As VMs do Azure e outros serviços nessas sub-redes não têm endereços IP públicos atribuídos. Todo o tráfego de saída e de entrada é roteado por meio do serviço de Gateway da NAT do Azure, que usa um IP público ou um prefixo IP público para conexões de saída.
No diagrama a seguir, uma VM do Azure na sub-rede A tem um IP público em nível de instância atribuído, enquanto as VMs na sub-rede B não têm endereços IP públicos. Quando você implanta o Gateway da NAT do Azure nesse cenário, o tráfego de entrada direcionado para VMs na sub-rede A ainda é direcionado para um IP no nível da instância. Porém, todo o tráfego de saída da sub-rede A e da sub-rede B é roteado por meio do Gateway da NAT do Azure.
A captura de tela a seguir tem uma VM do Azure que usa 192.0.2.22 como o respectivo endereço IP público, que ela usa para fazer a conexão RDP de entrada com a VM. No entanto, o endereço IP dela para conexões de saída tem um endereço diferente de 203.0.113.22. Esse endereço IP público é usado pelo serviço do Gateway da NAT do Azure.
Você pode usar o serviço de Gateway da NAT do Azure em cenários em que você tem um balanceador de carga de rede implantado para uma rede virtual. No entanto, é importante entender que o Gateway da NAT substitui toda a configuração de saída de uma regra de balanceamento de carga ou regras de saída. O Gateway NAT do Azure não afeta o tráfego originado da entrada.
Se você está usando zonas de disponibilidade do Azure, uma rede virtual pode abranger mais de uma zona de disponibilidade e as sub-redes dessa rede. O serviço de Gateway da NAT do Azure é atualmente um serviço zonal, o que significa que ele só pode ser designado para zonas únicas. No entanto, ele ainda pode ser usado para trabalhar com recursos fora de sua zona.