Как работает шлюз NAT Azure?

  • 10 мин

Прежде чем использовать шлюз NAT Azure, чтобы начать устранение проблем с исчерпанием портов в вашей компании, необходимо понять, как это работает. Это понимание дает лучшее представление о шагах, которые необходимо предпринять для правильного развертывания, настройки и использования этой службы для устранения проблем с подключением.

При создании службы шлюза шлюза Azure NAT необходимо назначить его общедоступным IP-адресом или префиксом общедоступного IP-адреса. Ресурс шлюза шлюза Azure NAT может использовать не более 16 общедоступных IP-адресов. Шлюз NAT может использовать любое сочетание общедоступных IP-адресов и префиксов общедоступных IP-адресов, в общей сложности до 16 адресов.

Максимальный размер префикса шлюза NAT — /28 (16 адресов). При связывании префикса общедоступного IP-адреса со службой шлюза Azure NAT он автоматически масштабируется до количества необходимых исходящих IP-адресов. Шлюз NAT Azure поддерживает только протоколы TCP и UDP, и его нельзя связать с общедоступным IP-адресом IPv6 или префиксом общедоступного IP-адреса IPv6.

При подключении службы шлюза Azure NAT к подсети или подсетям в виртуальной сети он автоматически переопределяет маршрутизацию трафика в Интернет. Даже если у вас есть виртуальные машины Azure с общедоступными IP-адресами в этой подсети, эти адреса больше не используются для исходящего подключения.

На следующей схеме представлен сценарий использования виртуальной сети с двумя подсетями. Виртуальным машинам Azure и другим службам в этих подсетях не назначены общедоступные IP-адреса. Весь исходящий и входящий трафик направляется через службу шлюза NAT Azure, которая использует общедоступный IP-адрес или префикс общедоступного IP-адреса для исходящих подключений.

Виртуальная сеть с двумя подсетями, которая направляет весь трафик через шлюз NAT Azure, который использует префикс общедоступного IP-адреса или общедоступного IP-адреса для исходящих подключений.

На следующей схеме виртуальной машине Azure в подсети A назначен общедоступный IP-адрес уровня экземпляра, тогда как виртуальные машины в подсети B не имеют общедоступных IP-адресов. При развертывании шлюза Azure NAT в этом сценарии входящий трафик, направленный на виртуальные машины в подсети A, по-прежнему направляется на IP-адрес уровня экземпляра. Но весь исходящий трафик из подсети А и подсети B направляется через шлюз NAT Azure.

Схема: входящий и исходящий поток трафика для двух подсетей.

На следующем снимке экрана показана виртуальная машина Azure, использующая 192.0.2.22 в качестве общедоступного IP-адреса, который он использует для подключения к виртуальной машине входящего трафика. Однако его IP-адрес для исходящих подключений имеет другой адрес 203.0.113.22. Этот общедоступный IP-адрес используется службой шлюза Azure NAT.

Снимок экрана: различия между общедоступным IP-адресом виртуальной машины Azure и ее IP-адресом для исходящих подключений.

Службу шлюза Azure NAT можно использовать в сценариях, где развернута сетевая подсистема балансировки нагрузки для виртуальной сети. Однако важно понимать, что шлюз NAT заменяет всю исходящую конфигурацию из правила балансировки нагрузки или правил исходящего трафика. Шлюз NAT Azure не влияет на исходящий трафик.

Если вы используете зоны доступности Azure, виртуальная сеть может охватывать несколько зон доступности и подсетей в этой сети. Служба шлюза NAT Azure в настоящее время является зональной службой, что означает, что она может быть назначена только для отдельных зон. Но службу все же можно использовать для работы с ресурсами вне зоны.