När ska du använda Azure NAT Gateway?
När du överväger att distribuera Azure NAT Gateway-tjänsten bör du först analysera ditt scenario. Tjänsten distribueras inte som standard med Azure Virtual Network, och inte alla scenarion passar den här tjänsten. Det är dock en bra lösning för att lösa anslutningsproblem med virtuella Azure-datorer i ditt onlinebutiksföretag.
Scenarier för att använda Azure NAT Gateway-tjänsten
Azure NAT Gateway tillhandahåller NAT-gatewayresurser för utgående anslutningar på begäran utan komplex förplanering, vilket gör det relativt enkelt att distribuera när det behövs. När du har konfigurerat den har alla dina virtuella datorinstanser utgående anslutning och använder dina angivna statiska IP-adresser, vilket i sin tur förenklar skapandet av tillåtna listor.
Om du vill dedikera offentliga IP-adresser som dina virtuella datorer använder vid åtkomst till Internetresurser kan Azure NAT Gateway hjälpa dig. Anta att du har en partnerorganisation som endast tillåter anslutningar från en fast uppsättning IP-adresser. Du kan associera ett offentligt IP-prefix med Azure NAT Gateway för att säkerställa att en sammanhängande uppsättning IP-adresser används för utgående anslutning. Sedan kan du konfigurera brandväggen på målet baserat på den här förutsägbara IP-listan. Den här lösningen kan till exempel hantera ett scenario där din partner är värd för ett Internetuppkopplat API som du behöver ansluta till.
Om du har resurser i ditt virtuella Azure-nätverk som gör många utgående anslutningar och intensivt använder olika portar för utgående kommunikation bör du överväga att distribuera Azure NAT Gateway-tjänsten. Tjänsten hjälper dig att konsolidera och maximera tillgängliga portnummer och även undvika portöverbelastning.
Du kan till exempel ha ett virtuellt nätverk med några undernät skapade. Det här undernätet är värd för dina virtuella Azure-datorer, medan ett annat undernät är värd för en apptjänst med en webbplats eller någon annan tjänst. Utan att använda Azure NAT Gateway har dina virtuella datorer och andra tjänster ett begränsat antal portar tillgängliga för utgående anslutningar. Vanligtvis är det här antalet mindre än de 65 535 portar som är teoretiskt tillgängliga. Anslutningen överskrider tidsgränsen Om någon av dina virtuella datorer eller tjänster tömmer den tillgängliga portpoolen. Du kan inte dela en portpool från andra virtuella datorer eftersom portar tilldelas per virtuell dator och alla dessa resurser kan ha en annan IP-adress som används för offentlig kommunikation. Virtuella Azure-datorer som har en offentlig IP-adress tilldelad använder den här adressen för att få åtkomst till Internetresurser. Medan virtuella datorer utan en offentlig IP-adress använder du den adress som för närvarande är tillgänglig i Azure-tjänstpoolen med adresser. Azure NAT Gateway hjälper dig att lösa båda dessa problem genom att tillhandahålla ett fullständigt omfång av portar för virtuella datorer i det undernät som det omfattar och en unik offentlig IP-adress (eller IP-omfång) för utgående anslutning.
Scenarier som inte är lämpliga för att använda Azure NAT Gateway-tjänsten
Även om Azure NAT Gateway är en användbar och lättdistribuerad tjänst kanske det inte är lämpligt för varje scenario. Nedan följer några exempel:
- Om layouten för den virtuella Azure-datorn är enkel, med bara några få virtuella datorer som sällan gör många anslutningar till Internetresurser, behöver du förmodligen inte Azure NAT Gateway. Du kan i stället använda azure-intern adressöversättning eller tilldela en offentlig IP-adress till en eller flera virtuella datorer.
- Om du behöver hantera inkommande anslutningar till dina virtuella Azure-datorer som kommer från Internet är Azure NAT Gateway inte användbart. Azure NAT Gateway hanterar endast inkommande anslutningar när de initieras från den virtuella Azure-dator (eller annan tjänst) som finns bakom NAT. En virtuell Azure-dator eller programvara som är installerad på en virtuell Azure-dator initierar en anslutning till en resurs på Internet. Azure NAT Gateway registrerar den anslutningen. Om resursen på Internet ska returnera vissa data till den virtuella Azure-datorn eller initiera en inkommande anslutning tillåts den. Anslutningar som initieras från Internet som inte svarar på utgående dirigerad trafik blockeras dock.
- Om du behöver tillhandahålla en anslutning till andra Azure-baserade tjänster, till exempel Azure SQL Database eller Azure Storage, bör du inte använda Azure NAT Gateway. Du behöver inte distribuera Azure NAT Gateway för att ansluta till Azure-resurser. När du ansluter till Azure-tjänster kan du använda Azure Private Link för att koppla Azure-resurser till ditt virtuella nätverk och styra åtkomsten till dina Azure-tjänstresurser. När du till exempel kommer åt Azure Storage använder du en privat slutpunkt för lagring för att säkerställa att anslutningen är helt privat.
- Du kan inte använda Azure NAT Gateway med Azure Gateway-undernät. Du kan inte heller använda en enda Azure NAT Gateway-tjänst med mer än ett virtuellt nätverk i Azure. Du kan dock använda en enda Azure NAT Gateway-tjänst för att täcka mer än ett undernät i samma virtuella nätverk.