Prostředek služby Azure NAT Gateway
Tento článek popisuje klíčové komponenty prostředku služby NAT Gateway, které jí umožňují poskytovat vysoce zabezpečené, škálovatelné a odolné odchozí připojení. Některé z těchto komponent je možné nakonfigurovat ve vašem předplatném prostřednictvím webu Azure Portal, Azure CLI, Azure PowerShellu, šablon Resource Manageru nebo vhodných alternativ.
Architektura SLUŽBY NAT Gateway
NAT Gateway používá softwarově definované sítě k provozu jako distribuovanou a plně spravovanou službu. Vzhledem k tomu, že služba NAT Gateway má více domén selhání, dokáže odolat několika selháním bez jakéhokoli účinku na službu.
NAT Gateway poskytuje překlad zdrojových síťových adres (SNAT) pro privátní instance v podsítích virtuální sítě Azure. Když je nakonfigurovaná v podsíti, privátní IP adresy v rámci vaší podsítě SNAT se statickými veřejnými IP adresami služby NAT Gateway pro připojení odchozích přenosů k internetu. SLUŽBA NAT Gateway také poskytuje překlad adres (DNAT) pro pakety odpovědí pouze na odchozí připojení.
Obrázek: NaT Gateway pro odchozí provoz do internetu
Když je brána NAT připojená k podsíti ve virtuální síti, brána NAT gateway předpokládá výchozí typ dalšího směrování podsítě pro veškerý odchozí provoz směrovaný na internet. Nejsou vyžadovány žádné další konfigurace směrování. NAT Gateway neposkytuje nevyžádaná příchozí připojení z internetu. DNAT se provádí pouze u paketů, které přicházejí jako odpověď na odchozí paket.
Podsítě
Bránu NAT je možné připojit k více podsítím ve virtuální síti, aby bylo možné poskytovat odchozí připojení k internetu. Když je brána NAT připojená k podsíti, předpokládá výchozí trasu na internet. Brána NAT pak bude typem dalšího segmentu směrování pro veškerý odchozí provoz směřující do internetu.
Následující konfigurace podsítí nejde použít se službou NAT Gateway:
Když je brána NAT připojená k podsíti, předpokládá výchozí trasu na internet. Jako výchozí trasu pro podsíť může sloužit jenom jedna brána NAT Gateway.
Bránu NAT není možné připojit k podsítím z různých virtuálních sítí.
Bránu NAT nejde použít s podsítí brány. Podsíť brány je určená podsíť pro bránu VPN k odesílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním. Další informace o podsíti brány najdete v tématu Podsíť brány.
Statické veřejné IP adresy
Bránu NAT je možné přidružit ke statickým veřejným IP adresám nebo předponám veřejných IP adres pro zajištění odchozího připojení. NAT Gateway podporuje adresy IPv4. Brána NAT může používat veřejné IP adresy nebo předpony v jakékoli kombinaci až do celkového počtu 16 IP adres. Pokud přiřadíte předponu veřejné IP adresy, použije se celá předpona veřejné IP adresy. Předponu veřejné IP adresy můžete použít přímo, případně distribuovat veřejné IP adresy předpony napříč více prostředky brány NAT. NaT Gateway upravuje veškerý provoz do rozsahu IP adres předpony.
Bránu NAT nejde použít s veřejnými IP adresami nebo předponami IPv6.
Bránu NAT nejde použít se základními veřejnými IP adresami skladové položky.
Porty SNAT
Inventář portů SNAT poskytuje veřejné IP adresy, předpony veřejných IP adres nebo obě připojené ke službě NAT Gateway. Inventář portů SNAT je zpřístupněn na vyžádání všem instancím v podsíti připojené ke službě NAT Gateway. Není vyžadována žádná předlokace portů SNAT na instanci.
Další informace o portech SNAT a službě Azure NAT Gateway najdete v tématu Překlad zdrojových adres (SNAT) se službou Azure NAT Gateway.
Pokud je ke stejnému prostředku brány NAT připojeno více podsítí v rámci virtuální sítě, sdílí se inventář portů SNAT poskytovaný službou NAT Gateway napříč všemi podsítěmi.
Porty SNAT slouží jako jedinečné identifikátory pro rozlišení různých toků připojení mezi sebou. Stejný port SNAT se dá použít k připojení k různým cílovým koncovým bodům najednou.
Různé porty SNAT slouží k vytvoření připojení ke stejnému cílovému koncovému bodu , aby se od sebe odlišily různé toky připojení. Porty SNAT, které se znovu používají pro připojení ke stejnému cíli, se umístí do časovače opětovného použití, aby bylo možné je znovu použít.
Obrázek: Přidělení portů SNAT
Jedna brána NAT může vertikálně navýšit kapacitu až na 16 IP adres. Každá veřejná IP adresa služby NAT Gateway poskytuje 64 512 portů SNAT pro odchozí připojení. Služba NAT Gateway může vertikálně navýšit kapacitu až na 1 milion portů SNAT. Tcp a UDP jsou samostatné inventáře portů SNAT a nesouvisejí se službou NAT Gateway.
Zóny dostupnosti
Bránu NAT je možné vytvořit v konkrétní zóně dostupnosti nebo v žádné zóně. Když je brána NAT umístěná v žádné zóně, Azure vybere zónu, ve které se má brána NAT nacházet.
Zónově redundantní veřejné IP adresy je možné použít s prostředky zónové brány NAT gateway nebo bez zón.
Doporučuje se nakonfigurovat bránu NAT pro jednotlivé zóny dostupnosti. Kromě toho by měla být připojena k podsítím s privátními instancemi ze stejné zóny. Další informace o zónách dostupnosti a službě Azure NAT Gateway najdete v tématu Aspekty návrhu zón dostupnosti.
Po nasazení brány NAT není možné výběr zóny změnit.
Protokoly
NAT Gateway komunikuje s IP a IP přenosovými hlavičkami toků UDP a TCP. Služba NAT Gateway je nezávislá na datových částech aplikační vrstvy. Jiné protokoly IP nejsou podporované.
Resetování protokolu TCP
Paket pro resetování protokolu TCP se odešle, když brána NAT zjistí provoz v toku připojení, který neexistuje. Paket pro resetování protokolu TCP označuje přijímající koncový bod, že došlo k uvolnění toku připojení a veškerá budoucí komunikace na tomto stejném připojení TCP selže. Resetování PROTOKOLU TCP je jednosměrné pro bránu NAT.
Tok připojení nemusí existovat, pokud:
Časový limit nečinnosti byl dosažen po určité době nečinnosti v toku připojení a připojení se bezobslužně ukončí.
Odesílatel, ať už ze strany sítě Azure, nebo z veřejné internetové strany, odeslal provoz po vyřazení připojení.
Paket pro resetování protokolu TCP se odesílá pouze při detekci provozu v ukončené toku připojení. Tato operace znamená, že po ukončení toku připojení nemusí být paket resetování PROTOKOLU TCP odeslán okamžitě.
Systém odešle paket pro resetování protokolu TCP v reakci na detekci provozu v existujícím toku připojení bez ohledu na to, jestli provoz pochází ze strany sítě Azure nebo z veřejné internetové strany.
Vypršení časového limitu nečinnosti protokolu TCP
Služba NAT Gateway poskytuje konfigurovatelný rozsah časového limitu nečinnosti 4 minuty až 120 minut pro protokoly TCP. Protokoly UDP mají nekonfigurovatelný časový limit nečinnosti 4 minuty.
Když dojde k nečinnosti připojení, brána NAT se uchovává na portu SNAT, dokud nevypne časový limit nečinnosti připojení. Vzhledem k tomu, že dlouhé časovače časového limitu nečinnosti můžou zbytečně zvýšit pravděpodobnost vyčerpání portů SNAT, nedoporučujeme prodloužit dobu časového limitu nečinnosti protokolu TCP na delší než výchozí čas 4 minuty. Časovač nečinnosti nemá vliv na tok, který nikdy nepůjde nečinně.
Protokol TCP keepalives se dá použít k zajištění vzoru aktualizace dlouhých nečinných připojení a detekce živého stavu koncového bodu. Další informace najdete v těchto příkladech .NET. Protokol TCP keepalives se zobrazí jako duplicitní sady ACL ke koncovým bodům, jsou nízké režijní náklady a neviditelné pro aplikační vrstvu.
Časovače časového limitu nečinnosti UDP nejsou konfigurovatelné, měly by být použity keepalives UDP, aby se zajistilo, že hodnota časového limitu nečinnosti není dosažena a že je připojení zachováno. Na rozdíl od připojení TCP se na jedné straně připojení povoluje keepalive UDP pouze pro tok provozu v jednom směru. Aby tok provozu zůstal aktivní, musí být na obou stranách toku provozu povolen protokol UDP.
Časovače
Časovače opětovného použití portů
Časovače opakovaného použití portů určují dobu, po které se připojení zavře, že je zdrojový port přidržený, než ho bude možné znovu použít k přechodu na stejný cílový koncový bod službou NAT Gateway.
Následující tabulka obsahuje informace o tom, kdy je port TCP dostupný pro opakované použití do stejného cílového koncového bodu službou NAT Gateway.
| Časovač | Popis | Hodnota |
|---|---|---|
| TCP FIN | Po ukončení připojení paketem TCP FIN se aktivuje 65sekundový časovač, který uchovává port SNAT. Port SNAT je k dispozici pro opakované použití po ukončení časovače. | 65 sekund |
| TCP RST | Po ukončení připojení paketem TCP RST (resetování) se aktivuje 16sekundový časovač, který uchovává port SNAT. Po skončení časovače je port k dispozici pro opakované použití. | 16 sekund |
| Otevřená polovina protokolu TCP | Během vytváření připojení, kdy jeden koncový bod připojení čeká na potvrzení z druhého koncového bodu, se aktivuje 30sekundový časovač. Pokud se nezjistí žádný provoz, připojení se zavře. Po zavření připojení je zdrojový port dostupný pro opakované použití do stejného cílového koncového bodu. | 30 sekund |
V případě provozu UDP po zavření připojení je port po dobu 65 sekund podržení, než bude k dispozici pro opakované použití.
Časovače časového limitu nečinnosti
| Časovač | Popis | Hodnota |
|---|---|---|
| Vypršení časového limitu nečinnosti protokolu TCP | Připojení TCP můžou být nečinná, pokud se žádná data nepřesílají mezi některým koncovým bodem po delší dobu. Časovač je možné nakonfigurovat od 4 minut (výchozí) do 120 minut (2 hodiny), aby vypršel časový limit připojení, které zmizelo nečinně. Provoz v toku resetuje časovač časového limitu nečinnosti. | Konfigurovatelné; 4 minuty (výchozí) – 120 minut |
| Časový limit nečinnosti UDP | Připojení UDP můžou být nečinná, pokud se žádná data nepřesílají mezi některým koncovým bodem po delší dobu. Časovače časového limitu nečinnosti UDP jsou 4 minuty a nedají se konfigurovat. Provoz v toku resetuje časovač časového limitu nečinnosti. | Nejde konfigurovat; 4 minuty |
Poznámka:
Tato nastavení časovače se můžou změnit. Tyto hodnoty vám pomůžou s řešením potíží a v tuto chvíli byste neměli záviset na konkrétních časovačích.
Šířka pásma
Každá brána NAT může poskytovat až 50 Gb/s propustnosti. Omezení rychlosti propustnosti dat je rozdělené mezi odchozí a příchozí data (odpověď). Propustnost dat je omezená rychlostí 25 Gb/s pro odchozí a 25 Gb/s pro příchozí data (odpověď) na prostředek služby NAT Gateway. Nasazení můžete rozdělit do několika podsítí a přiřadit každou podsíť nebo skupinu podsítí k bráně NAT, aby bylo možné škálovat na více instancí.
Výkon
Brána NAT může podporovat až 50 000 souběžných připojení na veřejnou IP adresu ke stejnému cílovému koncovému bodu přes internet pro protokol TCP a UDP. Brána NAT může zpracovat 1M pakety za sekundu a vertikálně navýšit kapacitu až 5M paketů za sekundu.
Celkový početpřipojeních Pokud služba NAT Gateway překročí 2 miliony připojení, zobrazí se pokles dostupnosti cesty k datům a nová připojení selžou.
Omezení
Nástroje pro vyrovnávání zatížení úrovně Basic a základní veřejné IP adresy nejsou kompatibilní se službou NAT Gateway. Místo toho používejte nástroje pro vyrovnávání zatížení standardní skladové položky a veřejné IP adresy.
Pokud chcete upgradovat nástroj pro vyrovnávání zatížení ze základního na standardní, přečtěte si téma Upgrade veřejného nástroje pro vyrovnávání zatížení Azure.
Pokud chcete upgradovat veřejnou IP adresu ze základní na standardní, přečtěte si téma Upgrade veřejné IP adresy.
NAT Gateway nepodporuje PROTOKOL ICMP
Fragmentace IP adres není pro službu NAT Gateway dostupná.
SLUŽBA NAT Gateway nepodporuje veřejné IP adresy s typem konfigurace směrování na internetu. Seznam služeb Azure, které podporují internet konfigurace směrování na veřejných IP adresách, najdete v podporovaných službách pro směrování přes veřejný internet.
Veřejné IP adresy s povolenou ochranou před útoky DDoS se ve službě NAT Gateway nepodporují. Další informace najdete v tématu Omezení DDoS.
Další kroky
Projděte si Azure NAT Gateway.
Přečtěte si o metrikách a upozorněních pro službu NAT Gateway.
Zjistěte, jak řešit potíže se službou NAT Gateway.