Kimenő szabályok Az Azure Load Balancer

  • Cikk

A kimenő szabályok lehetővé teszik, hogy explicit módon definiálja az SNAT-t (forráshálózati címfordítást) egy nyilvános standard terheléselosztóhoz. Ez a konfiguráció lehetővé teszi, hogy a terheléselosztó nyilvános IP-címével kimenő internetkapcsolatot biztosítson a háttérpéldányok számára.

Ez a konfiguráció a következőket teszi lehetővé:

  • IP-cím maszkolása
  • Egyszerűsítheti az engedélyezési listákat.
  • Csökkenti az üzembe helyezéshez szükséges nyilvános IP-erőforrások számát.

Kimenő szabályokkal teljes deklaratív vezérléssel rendelkezik a kimenő internetkapcsolat felett. A kimenő szabályok lehetővé teszik, hogy ezt a képességet az ön igényeinek megfelelően méretezhesse és hangolja.

A kimenő szabályok csak akkor lesznek követve, ha a háttérbeli virtuális gép nem rendelkezik példányszintű nyilvános IP-címmel (ILPIP).

Ez az ábra az SNAT-portok konfigurálását mutatja be a virtuális gépeken kimenő terheléselosztó-szabályokkal.

Kimenő szabályokkal explicit módon definiálhatja a kimenő SNAT-viselkedést .

A kimenő szabályok lehetővé teszik a vezérlést:

  • Mely virtuális gépeket fordítja le a rendszer a nyilvános IP-címekre.
    • Két szabály, ahol az 1. háttérkészlet mindkét kék IP-címet, a 2. háttérkészlet pedig a sárga IP-előtagot használja.
  • A kimenő SNAT-portok lefoglalásának módját.
    • Ha a 2. háttérkészlet az egyetlen kimenő kapcsolatot létesítő készlet, adja meg az összes SNAT-portot a 2. háttérkészletnek, és egyiket sem az 1. háttérkészletnek.
  • Mely protokollok biztosítják a kimenő fordítást.
    • Ha a 2. háttérkészletnek UDP-portokra van szüksége a kimenő forgalomhoz, és az 1. háttérkészletnek TCP-ra van szüksége, adja meg a TCP-portokat 1-nek, az UDP-portokat pedig 2-nek.
  • A kimenő kapcsolat tétlen időtúllépéséhez használandó időtartam (4–120 perc).
    • Ha hosszú ideig futó kapcsolatok vannak megőrzéssel, a hosszú ideig futó kapcsolatokhoz legfeljebb 120 percig foglaljon üresjárati portokat. Tegyük fel, hogy az elavult kapcsolatok megszakadnak, és 4 perc alatt felszabadítják a portokat a friss kapcsolatokhoz
  • Tcp Reset küldése tétlen időtúllépéskor.
    • A tétlen kapcsolatok időzítésekor tcp RST-t küldünk az ügyfélnek és a kiszolgálónak, hogy tudják, a folyamat megszakadt?

Fontos

Ha egy háttérkészlet IP-cím alapján van konfigurálva, az alapszintű Terheléselosztóként fog viselkedni, és engedélyezve van az alapértelmezett kimenő forgalom. Az alapértelmezett konfiguráció és az igényes kimenő igényekkel rendelkező alkalmazások biztonságossá tételéhez konfigurálja a háttérkészletet a hálózati adapterrel.

Kimenő szabálydefiníció

A kimenő szabályok ugyanazt a jól ismert szintaxist követik, mint a terheléselosztás és a bejövő NAT-szabályok: az előtérbeli + paraméterek + háttérkészlete.

A kimenő szabály konfigurálja a kimenő NAT-t a háttérkészlet által azonosított összes virtuális géphez, hogy az előtérre legyen lefordítva.

A paraméterek részletes vezérlést biztosítanak a kimenő NAT-algoritmus felett.

Kimenő NAT méretezése több IP-címmel

Az előtér által biztosított további IP-címek további 64 000 rövid ideig futó portot biztosítanak a terheléselosztó számára, hogy SNAT-portokként használják.

Több IP-címmel tervezhet nagy léptékű forgatókönyveket. Kimenő szabályok használata az SNAT-kimerültség mérsékléséhez.

Nyilvános IP-előtagot is használhat közvetlenül kimenő szabvánnyal.

A nyilvános IP-előtagok növelik az üzembe helyezés skálázását. Az előtag hozzáadható az Azure-erőforrásokból származó folyamatok engedélyezési listájához. A terheléselosztón belül konfigurálhat előtér IP-konfigurációt egy nyilvános IP-címelőtagra való hivatkozáshoz.

A terheléselosztó szabályozza a nyilvános IP-előtagot. A kimenő szabály automatikusan a nyilvános IP-előtagban található összes nyilvános IP-címet használja a kimenő kapcsolatokhoz.

A nyilvános IP-előtagban lévő IP-címek mindegyike további 64 000 rövid élettartamú portot biztosít IP-címenként, hogy a terheléselosztó SNAT-portként használhassa.

Kimenő folyamat tétlen időtúllépése és TCP-alaphelyzetbe állítása

A kimenő szabályok konfigurációs paramétert biztosítanak a kimenő forgalom tétlen időtúllépésének szabályozásához, és megfelelnek az alkalmazás igényeinek. A kimenő üresjárati időtúllépések alapértelmezés szerint 4 percig vannak. További információ: tétlen időtúllépések konfigurálása.

A terheléselosztó alapértelmezett viselkedése az, hogy a kimenő üresjárati időtúllépés elérésekor a folyamat csendesen csökken. A enableTCPReset paraméter lehetővé teszi az alkalmazások kiszámítható viselkedését és vezérlését. A paraméter azt határozza meg, hogy kétirányú TCP Resetet (TCP RST) küldjön-e a kimenő üresjárati időtúllépés időtúllépésekor.

Tekintse át a TCP-alaphelyzetbe állítást tétlen időtúllépéskor a régió elérhetőségével kapcsolatos részleteket.

A kimenő kapcsolatok védelme és szabályozása explicit módon

A terheléselosztási szabályok a kimenő NAT automatikus programozását biztosítják. Egyes forgatókönyvek előnyére válik, vagy megköveteli, hogy a terheléselosztási szabály tiltsa le a kimenő NAT automatikus programozását. A szabályon keresztüli letiltás lehetővé teszi a viselkedés szabályozását vagy finomítását.

Ezt a paramétert kétféleképpen használhatja:

  1. A kimenő SNAT bejövő IP-címének megelőzése. Tiltsa le a kimenő SNAT-t a terheléselosztási szabályban.

  2. Hangolja az egyidejűleg bejövő és kimenő ip-címek kimenő SNAT-paramétereit . Az automatikus kimenő NAT-t le kell tiltani, hogy egy kimenő szabály átvehesse az irányítást. A bejövő címek SNAT-portfoglalásának módosításához a disableOutboundSnat paramétert igaz értékre kell állítani.

A kimenő szabály konfigurálására szolgáló művelet meghiúsul, ha megkísérli újradefinielni a bejövő IP-címet. Először tiltsa le a terheléselosztási szabály kimenő NAT-fájlját.

Fontos

Ha ezt a paramétert igaz értékre állítja, és nincs kimenő szabálya a kimenő kapcsolatok meghatározásához, a virtuális gép nem fog kimenő kapcsolatot létesíteni. A virtuális gép vagy az alkalmazás bizonyos műveletei attól függhetnek, hogy elérhető-e kimenő kapcsolat. Győződjön meg arról, hogy ismeri a forgatókönyv függőségeit, és figyelembe vette a módosítás hatását.

Néha nem kívánatos, hogy egy virtuális gép kimenő folyamatot hozzon létre. Előfordulhat, hogy a kimenő folyamatokat fogadó célhelyek vagy a bejövő folyamatok kezdő célhelyeinek kezelése kötelező. A virtuális gép által elért célhelyeket hálózati biztonsági csoportok használatával kezelheti. Az NSG-k segítségével kezelheti, hogy mely nyilvános célhelyek indulnak el a bejövő folyamatokon.

Ha NSG-t alkalmaz egy elosztott terhelésű virtuális gépre, figyeljen a szolgáltatáscímkékre és az alapértelmezett biztonsági szabályokra.

Győződjön meg arról, hogy a virtuális gép képes állapotadat-mintavételi kéréseket fogadni az Azure Load Balancertől.

Ha egy NSG letiltja a AZURE_LOADBALANCER alapértelmezett címkéről érkező állapotadat-mintavételi kérelmeket, a virtuális gép állapotadat-mintavétele meghiúsul, és a virtuális gép nem érhető el. A terheléselosztó nem küld új folyamatokat a virtuális gépnek.

Kimenő szabályok forgatókönyvei

1. forgatókönyv: Kimenő kapcsolatok konfigurálása egy adott nyilvános IP-címhez vagy előtaghoz

Részletek

Ezzel a forgatókönyvvel úgy szabhatja testre a kimenő kapcsolatokat, hogy nyilvános IP-címek készletéből származjanak. Adjon hozzá nyilvános IP-címeket vagy előtagokat egy engedélyezési vagy tiltólistához a forrás alapján.

Ez a nyilvános IP-cím vagy előtag ugyanaz lehet, mint amelyet egy terheléselosztási szabály használ.

A terheléselosztási szabály által használttól eltérő nyilvános IP-cím vagy előtag használata:

  1. Nyilvános IP-előtag vagy nyilvános IP-cím létrehozása.
  2. Nyilvános standard terheléselosztó létrehozása
  3. Hozzon létre egy előtér-hivatkozást a használni kívánt nyilvános IP-előtagra vagy nyilvános IP-címre.
  4. Háttérkészlet újrafelhasználása vagy háttérkészlet létrehozása, és a virtuális gépek elhelyezése a nyilvános terheléselosztó háttérkészletébe
  5. Konfiguráljon egy kimenő szabályt a nyilvános terheléselosztón a kimenő NAT engedélyezéséhez a virtuális gépek számára az előtér használatával. Nem ajánlott terheléselosztási szabályt használni a kimenő, kimenő SNAT letiltásához a terheléselosztási szabályon.

2. forgatókönyv: SNAT-portfoglalás módosítása

Részletek

Kimenő szabályokkal hangolhatja az automatikus SNAT-portfoglalást a háttérkészlet mérete alapján.

Ha SNAT-kimerültséget tapasztal, növelje az alapértelmezett 1024-es SNAT-portok számát.

Minden nyilvános IP-cím legfeljebb 64 000 rövid élettartamú portot ad hozzá. A háttérkészletben lévő virtuális gépek száma határozza meg az egyes virtuális gépek számára elosztott portok számát. A háttérkészlet egy virtuális gépe legfeljebb 64 000 porthoz fér hozzá. Két virtuális gép esetén legfeljebb 32 000 SNAT-port adható meg kimenő szabálysal (2x 32 000 = 64 000).

Az alapértelmezett SNAT-portokat kimenő szabályokkal hangolhatja. Az alapértelmezett SNAT-portkiosztásnál többet vagy kevesebbet ad meg. A kimenő szabály előteréből származó nyilvános IP-címek legfeljebb 64 000 rövid élettartamú porthoz járulnak hozzá SNAT-portként való használatra.

A Terheléselosztó SNAT-portokat biztosít a 8 többszörösében. Ha 8-tal nem osztható értéket ad meg, a rendszer elutasítja a konfigurációs műveletet. Minden terheléselosztási szabály és bejövő NAT-szabály nyolc portból álló tartományt használ. Ha egy terheléselosztási vagy bejövő NAT-szabály ugyanazt a 8 tartományt használja, mint egy másik, akkor a rendszer nem használ fel további portokat.

Ha a rendelkezésre állónál több SNAT-portot próbál kiadni (a nyilvános IP-címek száma alapján), a rendszer elutasítja a konfigurációs műveletet. Ha például virtuális gépenként 10 000 portot ad meg, és egy háttérkészlet hét virtuális gépe egyetlen nyilvános IP-címen osztozik, a konfigurációt a rendszer elutasítja. Hét szorozva 10 000-gyel meghaladja a 64 000-es portkorlátot. Adjon hozzá további nyilvános IP-címeket a kimenő szabály előteréhez a forgatókönyv engedélyezéséhez.

Térjen vissza az alapértelmezett portfoglaláshoz a portok számának 0 megadásával. Az alapértelmezett SNAT-portfoglalásról további információt az SNAT-portok foglalási táblájában talál.

3. forgatókönyv: Csak kimenő forgalom engedélyezése

Részletek

Nyilvános standard terheléselosztóval kimenő NAT-t biztosíthat a virtuális gépek egy csoportjának. Ebben a forgatókönyvben használjon önmagában egy kimenő szabályt anélkül, hogy további szabályokat konfigurál.

Feljegyzés

Az Azure NAT Gateway terheléselosztó nélkül képes kimenő kapcsolatot biztosítani a virtuális gépekhez. További információ: Mi az Azure NAT Gateway?

4. forgatókönyv: Kimenő NAT csak virtuális gépekhez (nincs bejövő)

Feljegyzés

Az Azure NAT Gateway terheléselosztó nélkül képes kimenő kapcsolatot biztosítani a virtuális gépekhez. További információ: Mi az Azure NAT Gateway?

Részletek

Ebben a forgatókönyvben: Az Azure Load Balancer kimenő szabályai és a virtuális hálózati NAT a virtuális hálózatból történő kimenő forgalomhoz elérhető lehetőségek.

  1. Hozzon létre egy nyilvános IP-címet vagy előtagot.
  2. Hozzon létre egy nyilvános standard terheléselosztót.
  3. Hozzon létre egy előtérrendszert a kimenő forgalom számára dedikált nyilvános IP-címhez vagy előtaghoz.
  4. Hozzon létre egy háttérkészletet a virtuális gépekhez.
  5. Helyezze a virtuális gépeket a háttérkészletbe.
  6. Kimenő szabály konfigurálása a kimenő NAT engedélyezéséhez.

Az SNAT-portok méretezéséhez használjon előtagot vagy nyilvános IP-címet. Adja hozzá a kimenő kapcsolatok forrását egy engedélyezési vagy tiltólistához.

5. forgatókönyv: Kimenő NAT a belső standard terheléselosztóhoz

Feljegyzés

Az Azure NAT Gateway képes kimenő kapcsolatot biztosítani a belső standard terheléselosztót használó virtuális gépekhez. További információ: Mi az Azure NAT Gateway?

Részletek

A kimenő kapcsolat csak akkor érhető el a belső standard terheléselosztóhoz, ha a példányszintű nyilvános IP-címeken vagy virtuális hálózati NAT-on keresztül explicit módon deklarálták, vagy ha a háttérkészlet tagjait csak kimenő terheléselosztó-konfigurációval társítja.

További információ: Csak kimenő terheléselosztó konfigurációja.

6. forgatókönyv: Mindkét TCP&UDP-protokoll engedélyezése a kimenő NAT-hoz egy nyilvános standard terheléselosztóval

Részletek

Nyilvános standard terheléselosztóval a megadott automatikus kimenő NAT megfelel a terheléselosztási szabály átviteli protokolljának.

  1. Tiltsa le a kimenő SNAT-t a terheléselosztási szabályon.
  2. Konfiguráljon egy kimenő szabályt ugyanazon a terheléselosztón.
  3. Használja újra a virtuális gépek által már használt háttérkészletet.
  4. Adja meg a "protokoll": "Mind" értéket a kimenő szabály részeként.

Ha csak bejövő NAT-szabályokat használ, a rendszer nem biztosít kimenő NAT-et.

  1. Helyezze a virtuális gépeket egy háttérkészletbe.
  2. Egy vagy több előtérbeli IP-konfiguráció definiálása nyilvános IP-cím(ek) vagy nyilvános IP-előtaggal
  3. Konfiguráljon egy kimenő szabályt ugyanazon a terheléselosztón.
  4. Adja meg a "protokollt": "Minden" a kimenő szabály részeként

Korlátozások

  • A használható rövid élettartamú portok maximális száma előtérbeli IP-címenként 64 000.
  • A konfigurálható kimenő tétlen időtúllépés tartománya 4–120 perc (240–7200 másodperc).
  • A Terheléselosztó nem támogatja az ICMP-t a kimenő NAT esetében, az egyetlen támogatott protokoll a TCP és az UDP.
  • A kimenő szabályok csak a hálózati adapter elsődleges IPv4-konfigurációjára alkalmazhatók. A virtuális gép vagy az NVA másodlagos IPv4-konfigurációihoz nem hozhat létre kimenő szabályt. Több hálózati adapter is támogatott.
  • A másodlagos IP-konfiguráció kimenő szabályai csak az IPv6 esetében támogatottak.
  • A kimenő kapcsolat érdekében a rendelkezésre állási csoportban lévő összes virtuális gépet hozzá kell adni a háttérkészlethez.
  • A kimenő kapcsolatokhoz a virtuálisgép-méretezési csoport összes virtuális gépét hozzá kell adni a háttérkészlethez.

Következő lépések