Azure NAT Gateway-erőforrás
Ez a cikk a NAT-átjáró erőforrás fő összetevőit ismerteti, amelyek lehetővé teszik, hogy rendkívül biztonságos, méretezhető és rugalmas kimenő kapcsolatot biztosítson. Ezen összetevők némelyike konfigurálható az előfizetésben az Azure Portalon, az Azure CLI-ben, az Azure PowerShellben, a Resource Manager-sablonokban vagy a megfelelő alternatívákban.
NAT Gateway-architektúra
A NAT Gateway szoftveralapú hálózatkezelést használ elosztott és teljes körűen felügyelt szolgáltatásként való működéshez. Mivel a NAT-átjáró több tartalék tartománnyal rendelkezik, több hibát is képes ellenállni anélkül, hogy ez hatással lenne a szolgáltatásra.
A NAT Gateway forráshálózati címfordítást (SNAT) biztosít az Azure-beli virtuális hálózat alhálózatán belüli privát példányokhoz. Ha alhálózaton van konfigurálva, az alhálózaton belüli privát IP-címek az SNAT-t egy NAT-átjáró statikus nyilvános IP-címére csatlakoztatják, hogy kimenő kapcsolatot létesíthessenek az internethez. A NAT Gateway célhálózati címfordítást (DNAT) is biztosít a csak kimenő kapcsolatra irányuló válaszcsomagokhoz.
Ábra: NAT-átjáró az internetre irányuló kimenő forgalomhoz
Ha egy NAT-átjáró egy virtuális hálózaton belüli alhálózathoz van csatolva, a NAT-átjáró feltételezi az alhálózat alapértelmezett következő ugrástípusát az internetre irányuló kimenő forgalom esetében. Nincs szükség további útválasztási konfigurációkra. A NAT Gateway nem biztosít kéretlen bejövő kapcsolatokat az internetről. A DNAT csak olyan csomagok esetében történik, amelyek egy kimenő csomagra adott válaszként érkeznek.
Alhálózatok
A NAT-átjárók egy virtuális hálózaton belül több alhálózathoz is csatolhatók, hogy kimenő kapcsolatot biztosítsanak az internethez. Ha egy NAT-átjáró egy alhálózathoz van csatolva, az az alapértelmezett internetes útvonalat feltételezi. Ezután a NAT-átjáró lesz a következő ugrástípus az internetre irányuló kimenő forgalomhoz.
A következő alhálózati konfigurációk nem használhatók NAT-átjáróval:
Ha a NAT-átjáró egy alhálózathoz van csatolva, az az alapértelmezett internetes útvonalat feltételezi. Egy alhálózathoz csak egy NAT-átjáró szolgálhat alapértelmezett internetes útvonalként.
A NAT-átjárók nem csatolhatók a különböző virtuális hálózatok alhálózataihoz.
Nat-átjáró nem használható átjáróalhálózattal. Az átjáróalhálózat egy VPN-átjáró kijelölt alhálózata, amely titkosított forgalmat küld egy Azure-beli virtuális hálózat és a helyszíni hely között. Az átjáróalhálózatról további információt az Átjáró alhálózat című témakörben talál.
Statikus nyilvános IP-címek
A NAT-átjárók statikus nyilvános IP-címekkel vagy nyilvános IP-előtagokkal társíthatók a kimenő kapcsolat biztosításához. A NAT Gateway támogatja az IPv4-címeket. A NAT-átjárók bármilyen kombinációban használhatnak nyilvános IP-címeket vagy előtagokat legfeljebb 16 IP-címig. Ha nyilvános IP-előtagot rendel hozzá, a rendszer a teljes nyilvános IP-előtagot használja. Használhat közvetlenül egy nyilvános IP-előtag-erőforrást, de több NAT-átjáró-erőforráson is szétoszthatja az előtag nyilvános IP-címeit. A NAT-átjáró az előtag IP-címtartományára vonatkozó összes forgalmat ápolja.
A NAT-átjárók nem használhatók nyilvános IPv6 IP-címekkel vagy előtagokkal.
A NAT-átjárók nem használhatók alapszintű nyilvános termékváltozatú IP-címekkel.
SNAT-portok
Az SNAT-portleltárat a nyilvános IP-címek, a nyilvános IP-előtagok vagy a NAT-átjáróhoz csatolt mindkettő biztosítja. Az SNAT-portleltár igény szerint elérhetővé válik a NAT-átjáróhoz csatolt alhálózat összes példánya számára. Példányonként nincs szükség az SNAT-portok előzetes áthelyezésére.
További információ az SNAT-portokról és az Azure NAT Gatewayről: Forráshálózati címfordítás (SNAT) az Azure NAT Gateway használatával.
Ha egy virtuális hálózaton belül több alhálózat is csatlakozik ugyanahhoz a NAT-átjáró-erőforráshoz, a NAT Gateway által biztosított SNAT-portleltár minden alhálózaton meg van osztva.
Az SNAT-portok egyedi azonosítókként szolgálnak a különböző kapcsolati folyamatok egymástól való megkülönböztetéséhez. Ugyanaz az SNAT-port használható egyszerre különböző célvégpontokhoz való csatlakozáshoz.
A különböző SNAT-portok használatával ugyanahhoz a célvégponthoz lehet kapcsolatot létesíteni, hogy meg lehessen különböztetni egymástól a különböző kapcsolati folyamatokat. Az ugyanahhoz a célhelyhez való csatlakozáshoz újrafelhasznált SNAT-portok egy újrahasználati lehűlési időzítőn lesznek elhelyezve, mielőtt újra felhasználhatók lennének.
Ábra: SNAT-portok lefoglalása
Egyetlen NAT-átjáró legfeljebb 16 IP-címet méretezhet. Minden NAT-átjáró nyilvános IP-címe 64 512 SNAT-portot biztosít a kimenő kapcsolatok létrehozásához. A NAT-átjárók akár több mint 1 millió SNAT-portot is felskálázhatnak. A TCP és az UDP különálló SNAT-portkészletek, és nem kapcsolódnak a NAT-átjáróhoz.
Rendelkezésreállási zónák
Egy NAT-átjáró létrehozható egy adott rendelkezésre állási zónában, vagy egyetlen zónában sem helyezhető el. Ha egy NAT-átjáró nincs zónába helyezve, az Azure kiválaszt egy zónát, amelyben a NAT-átjáró található.
Zónaredundáns nyilvános IP-címek zonális vagy zóna NAT-átjáró-erőforrások nélkül is használhatók.
A javaslat az, hogy egy NAT-átjárót konfiguráljon az egyes rendelkezésre állási zónákhoz. Emellett ugyanabból a zónából származó privát példányokkal rendelkező alhálózatokhoz kell csatolni. A rendelkezésre állási zónákkal és az Azure NAT Gateway-átjáróval kapcsolatos további információkért lásd a rendelkezésre állási zónák tervezési szempontjait.
A NAT-átjáró üzembe helyezése után a zónakijelölés nem módosítható.
Protokollok
A NAT Gateway az UDP- és TCP-folyamatok IP- és IP-átviteli fejléceivel kommunikál. A NAT Gateway agnosztikus az alkalmazásréteg hasznos adataihoz. Más IP-protokollok nem támogatottak.
TCP-visszaállítás
A rendszer tcp-alaphelyzetbe állítási csomagot küld, ha egy NAT-átjáró nem létező kapcsolati folyamat forgalmát észleli. A TCP-alaphelyzetbe állítási csomag azt jelzi a fogadó végpontnak, hogy a kapcsolati folyamat kiadása megtörtént, és ugyanazon a TCP-kapcsolaton a jövőbeni kommunikáció sikertelen lesz. A TCP-visszaállítás egy nat-átjáró esetében egyirányú.
Előfordulhat, hogy a kapcsolati folyamat nem létezik, ha:
Az inaktív időtúllépés a kapcsolati folyamat inaktivitási időszaka után lett elérve, és a kapcsolat csendesen megszakadt.
A feladó az Azure hálózati oldaláról vagy a nyilvános internetről küldött forgalmat a kapcsolat megszakadása után.
A RENDSZER csak akkor küld TCP-alaphelyzetbe állítási csomagot, ha észleli a megszakadt kapcsolati folyamat forgalmát. Ez a művelet azt jelenti, hogy előfordulhat, hogy a TCP-alaphelyzetbe állítási csomag nem küldhető el azonnal a kapcsolati folyamat megszakadása után.
A rendszer tcp-alaphelyzetbe állítási csomagot küld a nem meglévő kapcsolati folyamatok forgalmának észlelésére, függetlenül attól, hogy a forgalom az Azure hálózati oldaláról vagy a nyilvános internetes oldalról származik.
TCP tétlenség időtúllépése
A NAT-átjárók 4 perctől 120 percig konfigurálható tétlenségi időtúllépési tartományt biztosítanak a TCP-protokollokhoz. Az UDP-protokollok 4 perc nem konfigurálható tétlenségi időtúllépéssel rendelkeznek.
Amikor egy kapcsolat tétlen állapotba kerül, a NAT-átjáró az SNAT-porton marad, amíg a kapcsolat üresjárati ideje el nem telik. Mivel a hosszú tétlen időtúllépési időzítők szükségtelenül növelhetik az SNAT-portok kimerülésének valószínűségét, nem ajánlott a TCP tétlen időtúllépési időtartamát az alapértelmezett 4 percnél hosszabbra növelni. Az üresjárati időzítő nincs hatással egy olyan folyamatra, amely soha nem jár tétlenül.
A TCP-tárolók a hosszú tétlenségi kapcsolatok frissítésének és a végpontok élőségének észlelésének mintáját biztosítják. További információkért tekintse meg ezeket a .NET-példákat. A TCP-megtartók duplikált ACK-ként jelennek meg a végpontokon, alacsony a terhelés, és láthatatlanok az alkalmazásréteg számára.
Az UDP tétlen időtúllépési időzítői nem konfigurálhatók, az UDP-megtartók használatával biztosítható, hogy az üresjárati időtúllépési érték ne érje el, és hogy a kapcsolat megmaradjon. A TCP-kapcsolatoktól eltérően a kapcsolat egyik oldalán engedélyezett UDP-megőrzési funkció csak az egyirányú forgalomra vonatkozik. Az UDP-nek engedélyeznie kell a forgalom mindkét oldalán a forgalom életben tartásához.
Időzítők
Port újrafelhasználási időzítői
A port-újrafelhasználási időzítők határozzák meg, hogy mennyi idő elteltével zárjon be egy forrásportot, mielőtt a NAT-átjáró újra felhasználhatja ugyanahhoz a célvégponthoz.
Az alábbi táblázat arról nyújt tájékoztatást, hogy mikor válik elérhetővé egy TCP-port a NAT-átjáró ugyanazon célvégponton való újrafelhasználásához.
Időzítő | Leírás | Érték |
---|---|---|
TCP FIN | Miután a kapcsolat egy TCP FIN-csomag által bezárult, a rendszer aktivál egy 65 másodperces időzítőt, amely az SNAT-portot tárolja. Az SNAT-port az időzítő befejeződése után újra felhasználható. | 65 másodperc |
TCP RST | Miután egy TCP RST-csomag (alaphelyzetbe állítás) lezárja a kapcsolatot, a rendszer aktivál egy 16 másodperces időzítőt, amely az SNAT-portot tárolja. Amikor az időzítő véget ér, a port újra felhasználható. | 16 másodperc |
TCP félig nyitva | A kapcsolat létrehozása során, ahol az egyik kapcsolati végpont a másik végponttól való nyugtázásra vár, a rendszer 30 másodperces időzítőt aktivál. Ha a rendszer nem észlel forgalmat, a kapcsolat bezárul. A kapcsolat bezárása után a forrásport újra felhasználható ugyanahhoz a célvégponthoz. | 30 másodperc |
UDP-forgalom esetén a kapcsolat bezárása után a port 65 másodpercig várakozik, mielőtt újra felhasználható lenne.
Tétlen időtúllépési időzítők
Időzítő | Leírás | Érték |
---|---|---|
TCP tétlenség időtúllépése | A TCP-kapcsolatok tétlenek lehetnek, ha a végpontok között hosszabb ideig nem továbbít adatokat. Az időzítő 4 perctől (alapértelmezett) 120 percig (2 óra) konfigurálható egy tétlen kapcsolat időtúllépéséhez. A forgalom alaphelyzetbe állítja a tétlen időtúllépés időzítőt. | Konfigurálható; 4 perc (alapértelmezett) – 120 perc |
UDP tétlen időtúllépése | Az UDP-kapcsolatok tétlenek lehetnek, ha a végpontok között hosszabb ideig nem továbbít adatokat. Az UDP tétlen időtúllépési időzítői 4 percek, és nem konfigurálhatók. A forgalom alaphelyzetbe állítja a tétlen időtúllépés időzítőt. | Nem konfigurálható; 4 perc |
Feljegyzés
Ezek az időzítőbeállítások változhatnak. Az értékek segítenek a hibaelhárításban, és jelenleg nem szabad függőséget vállalnia az adott időzítőkhöz.
Sávszélesség
Minden NAT-átjáró legfeljebb 50 Gb/s átviteli sebességet biztosíthat. Az adatátviteli sebesség korlátozása a kimenő és a bejövő (válasz) adatok között oszlik meg. Az adatátviteli sebesség a kimenő adatok esetében 25 Gb/s, a bejövő (válasz) adatok esetében pedig 25 Gb/s sebességgel korlátozott NAT-átjáró-erőforrásonként. Az üzemelő példányokat több alhálózatra oszthatja, és az egyes alhálózatokat vagy alhálózatcsoportokat hozzárendelheti egy NAT-átjáróhoz a vertikális felskálázáshoz.
Teljesítmény
A NAT-átjárók nyilvános IP-címenként legfeljebb 50 000 egyidejű kapcsolatot támogathatnak ugyanahhoz a célvégponthoz az interneten keresztül TCP és UDP esetén. A NAT-átjáró másodpercenként 1M-csomagokat képes feldolgozni, és másodpercenként akár 5M-csomagokat is felskálázhat.
A NAT-átjáró által bármikor támogatott kapcsolatok teljes száma legfeljebb 2 millió lehet. Ha a NAT-átjáró meghaladja a 2 millió kapcsolatot, a datapath rendelkezésre állása csökken, és az új kapcsolatok sikertelenek lesznek.
Korlátozások
Az alapszintű terheléselosztók és az alapszintű nyilvános IP-címek nem kompatibilisek a NAT-átjáróval. Ehelyett használjon standard termékváltozatú terheléselosztókat és nyilvános IP-címeket.
A terheléselosztó alapszintűről standardra való frissítéséhez lásd: Azure Public Load Balancer frissítése
Nyilvános IP-cím alapszintűről standardra való frissítéséhez lásd : Nyilvános IP-cím frissítése
A NAT-átjáró nem támogatja az ICMP-t
Az IP-töredezettség nem érhető el a NAT-átjáróhoz.
A NAT Gateway nem támogatja a nyilvános IP-címeket útválasztási konfigurációs típusú internettel. Azoknak az Azure-szolgáltatásoknak a listáját, amelyek támogatják az útválasztási konfigurációs internetet a nyilvános IP-címeken, tekintse meg a nyilvános interneten keresztüli útválasztás támogatott szolgáltatásait.
A NAT-átjáró nem támogatja a DDoS-védelemmel rendelkező nyilvános IP-címeket. További információ: DDoS-korlátozások.
Az Azure NAT Gateway nem támogatott egy biztonságos virtuális központ-hálózat (vWAN) architektúrájában.
Következő lépések
Tekintse át az Azure NAT Gatewayt.
Tudnivalók a NAT-átjáró metrikáiról és riasztásairól.
Megtudhatja, hogyan háríthatja el a NAT-átjárót.