Что такое NAT-шлюз Azure?

  • 10 мин

Как ведущий системный инженер и администратор Azure, который поручил решить текущие проблемы с подключением к виртуальным машинам Azure, ваш первый шаг — понять технологический фон и возможности шлюза NAT Azure.

Шлюз NAT Azure — это полностью управляемая облачная служба, которая выполняется в Azure. Она отличается высокой устойчивостью, масштабируемостью и простотой в настройке. При использовании шлюза Azure NAT с существующими виртуальными сетями в Azure отдельные виртуальные машины или другие ресурсы Azure могут оставаться полностью закрытыми, если только они не размещают службы, принимающие входящий трафик из Интернета. Все исходящие подключения, инициированные из виртуальной сети, используют статические общедоступные IP-адреса шлюза NAT.

Общие сведения об NAT

NAT — это не новая технология. Она десятилетиями использовалась для сопоставления локальных IP-адресов с общедоступными. Одна из главных целей NAT — сохранение общедоступных адресов IPv4, что особенно полезно для поставщиков услуг Интернета (ISP). Эти компании могут использовать NAT для сопоставления области множества частных адресов IPv4 только с одним или несколькими общедоступными IP-адресами.

NAT также используется в домах и локальных сетях. Если у вас есть домашний маршрутизатор, который подключает вас к Интернету, скорее всего, он реализует NAT. Таким образом, все ваши устройства направляются в Интернет с помощью одного общедоступного IP-адреса. NAT также скрывает внутреннее адресное пространство, поэтому весь исходящий трафик, как представляется, поступает из одного общедоступного IP-адреса. IP-адрес назначается маршрутизатору или устройству шлюза.

При использовании NAT важно иметь представление о TCP-портах и их назначении. Преобразование адресов портов позволяет каждому узлу в частной сети обмениваться данными через Интернет с помощью одного общедоступного IP-адреса, чтобы каждый путь обмена данными устанавливался через уникальный TCP-порт. Применяется следующая обработка.

  1. Устройство в частной сети устанавливает подключение к ресурсу в Интернете. NAT заменяет внутренний IP-адрес устройства в заголовке пакета внешним IP-адресом устройства NAT.

  2. Затем при преобразовании адреса порта подключению назначается номер порта из пула доступных портов.

  3. Этот номер порта вставляется в поле "Порт источника" в заголовке пакета, а пакет пересылается в Интернет.

  4. Затем устройство NAT вносит запись в таблицу преобразования сети:

    • Для каждого установленного подключения эта запись содержит внутренний IP-адрес, исходный порт источника и преобразованный порт источника.
    • Последующие пакеты с одним и тем же внутренним исходным IP-адресом и номером порта всегда преобразуются для использования одного и того же внешнего IP-адреса и номера порта.

  5. После этого компьютер, получивший пакет NAT, подключается к порту и IP-адресу, указанным в измененном пакете, несмотря на то что указанный адрес преобразуется.

На следующей схеме показан процесс NAT.

Процесс преобразования сетевых адресов (NAT) между узлом и сервером.

Примечание.

NAT в основном используется для установки исходящих подключений к Интернету. Но с помощью NAT нельзя напрямую управлять входящими подключениями из Интернета. Для этой цели необходимо использовать различные технологии.

Служба NAT в Azure

При создании виртуальной сети в Azure ей назначается частный диапазон адресов. Затем для этой сети создается одна или несколько подсетей. Когда вы создаете виртуальную машину в Azure, а затем помещаете ее в эту виртуальную сеть, она получает его локальный IP-адрес из этой сети. Если вы хотите принимать исходящие подключения к Интернету на этой виртуальной машине, также можно назначить ей объект общедоступного IP-адреса.

Примечание.

Виртуальные машины Azure, которые не назначают общедоступный IP-адрес, по-прежнему могут получить доступ к Интернету с помощью преобразования сетевых адресов Azure или перевода адресов портов. Но в таких случаях нельзя управлять тем, какой общедоступный IP-адрес будет использоваться для исходящих соединений. Вы также не можете включить входящий трафик или использовать протокол удаленного рабочего стола (RDP) для подключения к этим виртуальным машинам извне; Вместо этого необходимо использовать узел Бастиона Azure.

Чтобы обеспечить безопасные, управляемые и масштабируемые исходящие подключения для виртуальных машин Azure и других ресурсов, можно создать экземпляр службы шлюза Azure NAT. Затем экземпляр назначается одной или нескольким подсетям в одной виртуальной сети в Azure.

Затем служба шлюза NAT Azure обеспечивает безопасное преобразование частных IP-адресов в общедоступный IP-адрес, как показано на следующей схеме:

Шлюз NAT Azure назначается двум подсетям виртуальной сети и преобразует частные IP-адреса в общедоступный IP-адрес.