Wat is Azure Virtual Network NAT?

Artikel
10/23/2021
3 minuten om te lezen

Virtual Network NAT is een volledig beheerde en zeer robuuste NAT-service (Network Address Translation). VNet NAT vereenvoudigt de uitgaande internetverbinding voor virtuele netwerken. Wanneer alle uitgaande verbindingen zijn geconfigureerd op een subnet, worden de statische openbare IP-adressen van de VNet NAT gebruikt.

Afbeelding toont een NAT die verkeer ontvangt van interne subnetten en deze door stuurt naar een openbaar IP-adres (PIP) en een IP-voorvoegsel.

Afbeelding: Virtual Network NAT

Voordelen van VNet NAT

Beveiliging

Met NAT hebben afzonderlijke VM's (of andere rekenbronnen) geen openbare IP-adressen nodig en kunnen ze volledig privé blijven. Dergelijke resources zonder een openbaar IP-adres kunnen nog steeds externe bronnen buiten het VNet bereiken. U kunt ook een openbaar IP-voorvoegsel koppelen om ervoor te zorgen dat een aaneengesloten set IP-adressen wordt gebruikt voor uitgaand verkeer. Firewallregels voor doel kunnen vervolgens worden geconfigureerd op basis van deze voorspelbare IP-lijst.

Flexibiliteit

NAT is een volledig beheerde en gedistribueerde service. Het is niet afhankelijk van afzonderlijke reken-exemplaren, zoals VM's of één fysiek gatewayapparaat. Het maakt gebruik van software-gedefinieerde netwerken, waardoor deze zeer flexibel is.

Schaalbaarheid

NAT kan worden gekoppeld aan een subnet en kan worden gebruikt door alle rekenbronnen in dat subnet. Bovendien kunnen alle subnetten in een VNet gebruikmaken van dezelfde resource. Wanneer deze is gekoppeld aan een openbaar IP-voorvoegsel, wordt automatisch geschaald naar het aantal IP-adressen dat nodig is voor uitgaand verkeer.

Prestaties

NAT heeft geen invloed op de netwerkbandbreedte van uw rekenbronnen, omdat het een software-gedefinieerde netwerkservice is. Meer informatie over de prestaties van de NAT-gateway.

Basisprincipes van VNet NAT

NAT kan worden gemaakt in een specifieke beschikbaarheidszone en heeft redundantie ingebouwd in de opgegeven zone. NAT is standaard niet-zonaal. Bij het maken van scenario's met beschikbaarheidszones kan NAT worden geïsoleerd in een specifieke zone. Dit staat bekend als een zonale implementatie.

NAT wordt volledig uitgeschaald vanaf het begin. Er is geen bewerking voor verhogen of uitschalen vereist. Azure beheert de werking van NAT voor u. NAT heeft altijd meerdere foutdomeinen en kan meerdere storingen ondervinden zonder serviceonderbreking.

Voor elk subnet met NAT kan uitgaande connectiviteit worden gedefinieerd. Meerdere subnetten binnen hetzelfde virtuele netwerk kunnen verschillende NAT's hebben. Een subnet wordt geconfigureerd door de NAT-gatewayresource op te geven die moet worden gebruikt. Al het uitgaande verkeer voor het subnet wordt automatisch door NAT verwerkt zonder klantconfiguratie. Door de gebruiker gedefinieerde routes zijn niet nodig. NAT heeft voorrang op andere uitgaande scenario's en vervangt de standaardinternetbestemming van een subnet.
NAT ondersteunt alleen TCP- en UDP-protocollen. ICMP wordt niet ondersteund.
Een NAT-gatewayresource kan gebruikmaken van een:
- Openbare IP
- Voorvoegsel voor het openbare IP-adres
NAT is compatibel met resources voor openbare IP-adressen of openbare IP-voorvoegsels van de Standard-SKU of een combinatie van beide. U kunt een openbaar IP-voorvoegsel rechtstreeks gebruiken of de openbare IP-adressen van het voorvoegsel verdelen over meerdere NAT-gatewayresources. NAT zal al het verkeer opschonen naar het bereik van de IP-adressen van het voorvoegsel. Basisbronnen, zoals Basic Load Balancer of Basic Public IP, zijn niet compatibel met NAT. Basisbronnen moeten worden geplaatst op een subnet dat niet is gekoppeld aan een NAT Gateway.
NAT kan niet worden gekoppeld aan een openbaar IPv6-IP-adres of openbaar IPv6-IP-voorvoegsel. Het kan echter worden gekoppeld aan een subnet met dubbele stack.
Met NAT kunnen stromen worden gemaakt van het virtuele netwerk naar de services buiten uw VNet. Het retourverkeer vanaf internet is alleen toegestaan als reactie op een actieve stroom. Services buiten uw VNet kunnen geen verbinding met exemplaren tot stand brengen.
NAT kan niet meerdere virtuele netwerken omvatten.
NAT kan niet worden geïmplementeerd in een gatewaysubnet
De privézijde van NAT (exemplaren van virtuele machines of andere rekenbronnen) verzendt TCP Reset-pakketten voor pogingen om te communiceren op een TCP-verbinding die niet bestaat. Een voorbeeld hiervan zijn verbindingen die een time-out voor inactiviteit hebben bereikt. Het volgende ontvangen pakket retourneert een TCP Reset naar het privé-IP-adres om het sluiten van de verbinding te signaleren en af te dwingen. De openbare kant van NAT genereert geen TCP Reset-pakketten of ander verkeer. Alleen verkeer dat door het virtuele netwerk van de klant wordt geproduceerd, wordt verzonden.
Er wordt een standaardtime-out voor TCP-inactiviteit van 4 minuten gebruikt, die tot 120 minuten worden verhoogd. Elke activiteit in een stroom kan ook de niet-actieve timer opnieuw instellen, inclusief TCP-keepalives.

Prijzen en SLA

Zie prijzen voor Virtual Network prijsinformatie. Het NAT-gegevenspad is ten minste 99,9% beschikbaar.

Volgende stappen

Meer informatie over het krijgen van betere uitgaande connectiviteit met behulp van een Azure NAT Gateway.
Meer informatie over NAT-gatewayresource.
Meer informatie over metrische nat-gatewaygegevens.