Когда следует использовать шлюз NAT Azure?

  • 10 мин

При рассмотрении развертывания службы шлюза NAT Azure необходимо сначала проанализировать сценарий. Служба не развертывается в виртуальной сети Azure по умолчанию, и не все сценарии подходят для этой службы. Но это хорошее решение для устранения проблем с подключением к виртуальным машинам Azure в вашей компании, которая занимается розничной продажей в Интернете.

Сценарии использования службы шлюза Azure NAT

Шлюз NAT Azure предоставляет ресурсы шлюза NAT для исходящего подключения по запросу без сложной предварительной подготовки, что позволяет относительно легко развертывать при необходимости. После настройки все экземпляры виртуальных машин будут иметь исходящие подключения и использовать указанные статические IP-адреса, которые, в свою очередь, упрощают создание списков разрешений.

Если вы хотите выделить общедоступные IP-адреса, используемые виртуальными машинами при доступе к интернет-ресурсам, шлюз Azure NAT может помочь. Предположим, что у вас есть партнерская организация, которая разрешает подключения только из фиксированного набора IP-адресов. Вы можете связать префикс общедоступного IP-адреса с шлюзом NAT Azure, чтобы убедиться, что для исходящего подключения используется смежный набор IP-адресов. Затем можно настроить брандмауэр в месте назначения на основе этого прогнозируемого списка IP-адресов. Например, это решение может решить сценарий, в котором партнер размещает API для интернета, к которому требуется подключиться.

Если у вас есть ресурсы в виртуальной сети Azure, которые делают много исходящих подключений и интенсивно используют различные порты для исходящего взаимодействия, следует рассмотреть возможность развертывания службы шлюза NAT Azure. Служба помогает консолидировать и максимизировать доступные номера портов, а также избегать исчерпания портов.

Например, у вас может быть виртуальная сеть с несколькими подсетями. В одной подсети размещаются виртуальные машины Azure, а в другой — служба приложений с веб-сайтом или другая служба. Без использования шлюза Azure NAT виртуальные машины и другие службы имеют ограниченное количество портов, доступных для исходящих подключений. Обычно это число меньше 65 535 портов, которые теоретически доступны. Время ожидания подключения истекает, если одна из виртуальных машин или служб исчерпает доступный пул портов. Невозможно предоставить общий доступ к пулу портов из других виртуальных машин, так как порты назначаются на каждой виртуальной машине, а все эти ресурсы могут иметь другой IP-адрес, используемый для общедоступного взаимодействия. Виртуальные машины Azure, назначаемые общедоступным IP-адресом, используйте этот адрес для доступа к интернет-ресурсам. В то время как виртуальные машины без общедоступного IP-адреса используют адрес, доступный в пуле служб Azure. Шлюз NAT Azure помогает устранить обе эти проблемы, предоставив полный объем портов для виртуальных машин в подсети, охватываемой ею, и уникального общедоступного IP-адреса (или области IP-адресов) для исходящего подключения.

Сценарии, которые не подходит для использования службы шлюза NAT Azure

Хотя шлюз NAT Azure является полезной и простой службой, она может быть не подходит для каждого сценария. Далее приводятся некоторые примеры.

  • Если макет виртуальной машины Azure прост, с несколькими виртуальными машинами, которые редко делают много подключений к интернет-ресурсам, вам, вероятно, не нужен шлюз NAT Azure. Вместо этого выполните преобразование нативных адресов Azure или назначьте общедоступный IP-адрес одной либо нескольким виртуальным машинам.
  • Если вам нужно управлять входящими подключениями к виртуальным машинам Azure, поступающим из Интернета, шлюз NAT Azure не полезен. Шлюз NAT Azure управляет только входящими подключениями, когда они инициируются из виртуальной машины Azure (или другой службы), которая находится за NAT. Виртуальная машина Azure или программное обеспечение, установленное на виртуальной машине Azure, инициирует подключение к ресурсу в Интернете. Шлюз NAT Azure регистрирует это подключение. Если этот ресурс в Интернете должен возвращать некоторые данные на виртуальную машину Azure или инициировать входящий трафик, это разрешено. Однако подключения, инициированные из Интернета, которые не отвечают на исходящий перенаправленный трафик, блокируются.
  • Если необходимо предоставить подключение к другим службам Azure, например База данных SQL Azure или служба хранилища Azure, не следует использовать шлюз Azure NAT. Вам не нужно развертывать шлюз Azure NAT для подключения к ресурсам Azure. При подключении к службам Azure можно использовать Приватный канал Azure для привязки ресурсов Azure к виртуальной сети и управления доступом к ресурсам служб Azure. Например, при доступе к Службе хранилища Azure используйте для хранилища частную конечную точку, чтобы гарантировать, что подключение будет полностью частным.
  • Шлюз Azure NAT нельзя использовать с подсетями шлюза Azure. Вы также не можете использовать одну службу шлюза Azure NAT с несколькими виртуальными сетями в Azure. Однако для покрытия нескольких подсетей в одной виртуальной сети можно использовать одну службу шлюза Azure NAT.