اعتبارات Azure NAT Gateway للشركات المتعددة
توفر Azure NAT Gateway التحكم في اتصال الشبكة الصادرة من الموارد التي تتم استضافتها داخل Azure Virtual Network. في هذه المقالة، نراجع كيف يمكن لـ NAT Gateway التخفيف من استنفاد منفذ ترجمة عنوان الشبكة المصدر (SNAT)، والذي يمكن أن يؤثر على التطبيقات متعددة المستأجرين. نقوم أيضاً بمراجعة كيفية تعيين NAT Gateway لعناوين IP ثابتة لنسبة استخدام الشبكة الصادرة من الحل متعدد المستأجرين.
ملاحظة
تمكّنك جدران الحماية، مثل Azure Firewall، من التحكم في نسبة استخدام الشبكة الصادرة وتسجيلها. يوفر Azure Firewall أيضاً نطاقاً مشابهاً لمنفذ SNAT والتحكم في عنوان IP الصادر لبوابة NAT. تعد بوابة NAT أقل تكلفة، ولكنها تحتوي أيضاً على ميزات أقل وليست منتجاً أمنياً.
ميزات بوابة NAT التي تدعم التشغيل المتعدد
منافذ SNAT عالية النطاق
يتم تخصيص منافذ SNAT عندما يقوم التطبيق الخاص بك بإجراء عدة اتصالات متزامنة صادرة لنفس عنوان IP العام، على نفس المنفذ. تعد منافذ SNAT مورداً محدوداً ضمن موازنات التحميل. إذا فتح التطبيق الخاص بك عدداً كبيراً من الاتصالات المنفصلة لنفس المضيف، فيمكنه استهلاك جميع منافذ SNAT المتاحة. يُطلق على هذا الموقف استنفاد منفذ SNAT.
في معظم التطبيقات، يشير استنفاد منفذ SNAT إلى أن تطبيقك يتعامل بشكل غير صحيح مع اتصالات HTTP أو منافذ TCP. ومع ذلك، فإن بعض التطبيقات متعددة المستخدمين معرضة بشكل خاص لخطر تجاوز حدود منافذ SNAT، حتى لو أعادت استخدام الاتصالات بشكل مناسب. على سبيل المثال، يمكن أن يحدث هذا الموقف عندما يتصل التطبيق الخاص بك بالعديد من قواعد البيانات الخاصة بالمستأجر خلف نفس بوابة قاعدة البيانات.
تلميح
إذا لاحظت استنفاد منفذ SNAT في تطبيق متعدد المستأجرين، فيجب عليك التحقق مما إذا كان تطبيقك يتبع ممارسات جيدة. تأكد من إعادة استخدام اتصالات HTTP وعدم إعادة إنشاء اتصالات جديدة في كل مرة تتصل فيها بخدمة خارجية. قد تتمكن من توزيع بوابة NAT للتغلب على المشكلة، ولكن إذا لم تتبع التعليمة البرمجية أفضل الممارسات، فقد تواجه المشكلة مرة أخرى في المستقبل.
تتفاقم المشكلة عند العمل مع خدمات Azure التي تشارك تخصيصات منفذ SNAT بين العديد من العملاء، مثل Azure App Service وAzure Functions.
إذا قررت أنك تعاني من استنفاد SNAT وتأكدت من أن كود التطبيق الخاص بك يتعامل بشكل صحيح مع الاتصالات الصادرة، ففكر في توزيع بوابة NAT. يتم استخدام هذا الأسلوب بشكل شائع من قِبَل العملاء الذين يوزعون حلولاً متعددة المستأجرين مبنية على Azure App Service وAzure Functions.
يوفر كل عنوان IP عام مرفق ببوابة NAT 64512 منفذ SNAT للاتصال الصادر بالإنترنت. يمكن توسيع نطاق بوابة NAT لاستخدام ما يصل إلى 16 عنوان IP عاما والذي يوفر أكثر من مليون منفذ SNAT. إذا كنت بحاجة إلى توسيع نطاق هذا الحد، فيمكنك التفكير في توزيع مثيلات بوابة NAT متعددة عبر شبكات فرعية متعددة أو شبكات VNets. يمكن لكل جهاز ظاهري في شبكة فرعية استخدام أي من منافذ SNAT المتاحة، إذا احتاج إليها.
التحكم في عنوان IP الصادر
يمكن أن يكون التحكم في عنوان IP الخارجي مفيداً في التطبيقات متعددة المستأجرين، عندما يكون لديك جميع المتطلبات التالية:
- أنت تستخدم خدمات Azure التي لا توفر تلقائياً عناوين IP ثابتة مخصصة لنسبة استخدام الشبكة الصادرة. تتضمن هذه الخدمات Azure App Service وAzure Functions وإدارة APIM (عند التشغيل في طبقة الاستهلاك) ومثيلات Azure Container.
- تحتاج إلى الاتصال بشبكات المستأجرين عبر الإنترنت.
- يحتاج المستأجرون إلى تصفية نسبة استخدام الشبكة الواردة استنادا إلى عنوان IP لكل طلب.
عند تطبيق مثيل بوابة NAT على شبكة فرعية، فإن أي حركة مرور صادرة من تلك الشبكة الفرعية تستخدم عناوين IP العامة المرتبطة ببوابة NAT.
ملاحظة
عند ربط عدة عناوين IP عامة ببوابة NAT واحدة، يمكن أن تأتي نسبة استخدام الشبكة الصادرة من أي من عناوين IP هذه. قد تحتاج إلى تكوين قواعد جدار الحماية في الوجهة. يجب عليك إما السماح بكل عنوان IP، أو استخدام مورد بادئة عنوان IP العام لاستخدام مجموعة من عناوين IP العامة في نفس النطاق.
نماذج العزلة
إذا كنت بحاجة إلى توفير عناوين IP عامة مختلفة لكل مستأجر، فيجب عليك توزيع موارد NAT Gateway الفردية. يمكن ربط كل شبكة فرعية بمثيل واحد لبوابة NAT. لتوزيع المزيد من بوابات NAT، تحتاج إلى توزيع شبكات فرعية متعددة أو شبكات ظاهرية. في المقابل، من المحتمل أن تحتاج إلى توزيع مجموعات متعددة من موارد الحوسبة.
راجع الأساليب البنيوية للشبكات في الحلول متعددة المستأجرين للحصول على مزيد من المعلومات حول كيفية تصميم هيكل شبكة متعددة المستأجرين.
المساهمون
هذه المقالة تحتفظ بها Microsoft. تمت كتابتها في الأصل من قِبل المساهمين التاليين.
الكاتب الرئيسي:
- جون داونز | مهندس العملاء الرئيسي، FastTrack ل Azure
مساهمون آخرون:
- إيمي ليتلتون | مدير البرنامج 2، بوابة Azure NAT
- Arsen Vladimirskiy | مهندس العملاء الرئيسي، FastTrack for Azure
- جوشوا وادل | مهندس عملاء أول، FastTrack ل Azure
لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.
الخطوات التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ