Vad är Azure NAT Gateway?

  • 10 minuter

Som ansvarig systemtekniker och Azure-administratör som har till uppgift att lösa aktuella anslutningsproblem med virtuella Azure-datorer är det första steget att förstå den tekniska bakgrunden och funktionerna i Azure NAT Gateway.

Azure NAT Gateway är en fullständigt hanterad molntjänst som körs i Azure. Det är mycket motståndskraftigt, skalbart och enkelt att konfigurera. När du använder Azure NAT Gateway med dina befintliga virtuella nätverk i Azure kan enskilda virtuella datorer eller andra Azure-resurser förbli helt privata, såvida de inte är värdar för tjänster som accepterar inkommande anslutningar från Internet. Alla utgående anslutningar som initieras från ditt virtuella nätverk använder NAT-gatewayens statiska offentliga IP-adresser.

Översikt över NAT

NAT är ingen ny teknik. Den har använts i årtionden för att mappa lokala IP-adresser till offentliga adresser. Ett av NAT:s huvudsyften är att spara offentliga IPv4-adresser, vilket är särskilt användbart för Internetleverantörer . Dessa företag kan använda NAT för att mappa ett omfång för många privata IPv4-adresser till bara en offentlig IP-adress eller till några offentliga IP-adresser.

NAT används också i hem och lokala nätverk. Om du har en hemrouter som ansluter dig till Internet har den förmodligen NAT implementerat. Så att alla dina enheter dirigeras till Internet med bara en offentlig IP-adress. NAT döljer också ditt interna adressutrymme, så att all utgående trafik verkar komma från en enda offentlig IP-adress. IP-adressen tilldelas till en router eller gatewayenhet.

När du använder NAT är det viktigt att förstå TCP-portar (Transmission Control Protocol) och deras syfte. Portadressöversättning gör det möjligt för varje värd i ett privat nätverk att kommunicera på Internet med hjälp av en enda offentlig IP-adress, så att varje kommunikationssökväg upprättas via en unik TCP-port. Processen ser ut så här:

  1. En enhet i det privata nätverket upprättar en anslutning till en resurs på Internet. NAT ersätter den interna enhetens IP-adress i pakethuvudet med NAT-enhetens externa IP-adress.

  2. Portadressöversättning tilldelar sedan anslutningen ett portnummer från en pool med tillgängliga portar.

  3. Det portnumret infogas i källportfältet i pakethuvudet och paketet vidarebefordras sedan till Internet.

  4. NAT-enheten registrerar sedan en post i en nätverksöversättningstabell:

    • För varje anslutning som upprättas innehåller den här posten den interna IP-adressen, den ursprungliga källporten och den översatta källporten.
    • Efterföljande paket från samma interna käll-IP-adress och portnummer översätts alltid till samma externa IP-adress och portnummer.

  5. Den dator som tar emot ett paket som har genomgått NAT upprättar sedan en anslutning till porten och IP-adressen som anges i det ändrade paketet, omedveten om att den angivna adressen översätts.

Följande diagram visar NAT-processen.

Processen för nätverksadressöversättning mellan en värd och server.

Kommentar

NAT används främst för att upprätta utgående anslutningar till Internet. Den kan dock inte direkt hantera inkommande anslutningar från Internet. Du måste använda olika tekniker för det ändamålet.

NAT-tjänst i Azure

När du skapar ett virtuellt nätverk i Azure tilldelar du det ett privat adressutrymme och skapar sedan ett eller flera undernät till nätverket. När du skapar en virtuell dator i Azure och sedan placerar den i det virtuella nätverket hämtar den sin lokala IP-adress från nätverket. Om du vill acceptera utgående Internetanslutningar på den virtuella datorn kan du även tilldela ett offentligt IP-adressobjekt till den virtuella datorn.

Kommentar

Virtuella Azure-datorer som du inte tilldelar en offentlig IP-adress till kan fortfarande komma åt Internet med hjälp av Azure-nätverksadressöversättning eller portadressöversättning. I sådana fall kan du dock inte styra vilken offentlig IP-adress som ska användas för utgående anslutningar. Du kan inte heller aktivera inkommande anslutningar eller använda Remote Desktop Protocol (RDP) för att ansluta till dessa virtuella datorer utifrån. I stället måste du använda en Azure Bastion-värd.

För att säkerställa säker, kontrollerbar och skalbar utgående anslutning för virtuella Azure-datorer och andra resurser kan du skapa en instans av Azure NAT Gateway-tjänsten. Sedan tilldelar du instansen till ett eller flera undernät i samma virtuella nätverk i Azure.

Azure NAT Gateway-tjänsten hjälper sedan till att på ett säkert sätt översätta dina privata IP-adresser till en offentlig IP-adress enligt följande diagram:

Azure NAT Gateway tilldelas två undernät i ett virtuellt nätverk och översätter privata IP-adresser till offentlig IP-adress.