使用 Azure 虚拟 NAT 配置 Internet 访问

已完成

在全球范围内，IPv4 地址范围的供应较为短缺，并且授予对 Internet 资源的访问权限成本可能很高。 出于这种需求，网络地址转换 (NAT) 应运而生，它让专用网络上的内部资源可以共享可路由的 IPv4 地址，从而获取对公用网络上外部资源的访问权限。 与其为需要 Internet 访问的每个资源购买 IPv4 地址，不如使用 NAT 服务将来自内部资源的传出请求映射到外部 IP 地址，从而实现通信。

NAT 服务为单个 IP 地址、由 IP 前缀定义的 IP 地址范围，以及与 IP 地址关联的端口范围提供映射。 NAT 与标准 SKU 公共 IP 地址资源、公共 IP 前缀资源或两者的组合相兼容。 可以直接使用公共 IP 前缀，或者在多个 NAT 网关资源之间分配前缀的公共 IP 地址。 NAT 将所有流量映射到前缀的 IP 地址范围。 NAT 允许创建从虚拟网络到 Internet 的流。 在活动流的响应中仅允许来自 Internet 的返回流量。

下图展示了从子网 1 到 NAT 网关且要映射到公共 IP 地址或公共 IP 前缀的出站通信流。

通过指定要使用哪个 NAT 网关资源，可以为 VNet 内的每个子网定义 NAT 配置以启用出站连接。 配置 NAT 后，来自任何虚拟机实例的所有 UDP 和 TCP 出站流都将使用 NAT 进行 Internet 连接。 无需进一步配置，你也不需要创建任何用户定义的路由。 NAT 优先于其他出站方案，可替代子网的默认 Internet 目标。

通过缩放 NAT 来支持动态工作负载

使用 NAT 时，不需要进行大量的预先规划，也不需要预分配地址，因为 NAT 会进行缩放以支持动态工作负载。 通过使用端口网络地址转换（PNAT 或 PAT），NAT 为每个附加的公共 IP 地址分别提供多达 64,000 个 UDP 和 TCP 并发流。 NAT 可以支持多达 16 个公共 IP 地址。

如何部署 NAT

配置和使用 NAT 网关的过程很简单：

NAT 网关资源：

1. 创建区域性或局部性（区域隔离）NAT 网关资源；
2. 分配 IP 地址；
3. 如有必要，请修改 TCP 空闲超时（可选）。

入站和出站连接的共存

NAT 与以下标准 SKU 资源兼容：

• 负载均衡器
• 公共 IP 地址
• 公共 IP 前缀

NAT 及兼容的标准 SKU 功能可以识别流的启动方向。 入站和出站方案可以共存。 这些方案会收到正确的网络地址转换，因为这些功能可以识别流的方向。 与 NAT 一起使用时，这些资源提供与子网的入站 Internet 连接。

NAT 的限制

• NAT 与标准 SKU 公共 IP、公共 IP 前缀和负载均衡器资源兼容。 基本资源（例如基本负载均衡器）以及派生自这些资源的任何产品都与 NAT 不兼容。 必须将基本资源放在未配置 NAT 的子网中。
• 支持 IPv4 地址系列。 NAT 不会与 IPv6 地址系列交互。 NAT 不能部署在具有 IPv6 前缀的子网中。
• NAT 不能跨多个虚拟网络。
• 不支持 IP 片段。

为每个问题选择最佳答案。

知识检查

1.

NAT 的用途是什么？

使用 NAT 可以在多个内部资源之间共享单个公共 IPv4 地址。

使用 NAT 可以将多个专用 IPv4 地址分配给单个虚拟机。

使用 NAT 可以在各个虚拟机上配置外部 IPv4 地址。

2.

NAT 如何缩放以支持动态工作负载？

NAT 最多支持 4 个公共 IP 地址。

NAT 不会动态缩放。 必须通过添加其他 NAT 网关，将 NAT 配置为手动缩放。

NAT 支持多达 16 个公共 IP 地址，对于其中每个地址，使用端口网络地址转换（PNAT 或 PAT）提供多达 64,000 个并发通信流。

在检查工作前，必须回答所有问题。