Utforma virtuella nätverk med NAT-gatewayresurser

NAT-gatewayresurser ingår i Virtual Network NAT och tillhandahåller utgående Internetanslutning för ett eller flera undernät i ett virtuellt nätverk. Undernätet för de virtuella nätverks tillstånd som NAT-gatewayen ska användas för. NAT tillhandahåller källnätverksadressöversättning (SNAT) för ett undernät. NAT-gatewayresurser anger vilka statiska IP-adresser som virtuella datorer använder när utgående flöden skapas. Statiska IP-adresser kommer från offentliga IP-adressresurser (PIP), offentliga IP-prefixresurser eller båda. Om en offentlig IP-prefixresurs används används alla IP-adresser för hela den offentliga IP-prefixresursen av en NAT-gatewayresurs. En NAT-gatewayresurs kan använda totalt upp till 16 statiska IP-adresser från båda.

Figure depicts a NAT gateway resource that consumes all IP addresses for a public IP prefix and directs that traffic to and from two subnets of virtual machines and a virtual machine scale set.

Bild: Virtual Network NAT för utgående till Internet

Så här distribuerar du NAT

Konfiguration och användning av NAT-gateway görs avsiktligt enkel:

NAT-gatewayresurs:

  • Skapa en regional eller zonindeerad (zon-isolerad) NAT-gatewayresurs,
  • Tilldela IP-adresser,
  • Om det behövs ändrar du TCP-tidsgränsen för inaktivitet (valfritt). Granska timers innan du ändrar standardvärdet.

Virtuellt nätverk:

  • Konfigurera undernätet för virtuella nätverk för att använda en NAT-gateway.

Användardefinierade vägar är inte nödvändiga.

Resurs

Resursen är utformad för att vara enkel som du kan se i följande Azure Resource Manager i ett mallliknande format. Det här mallliknande formatet visas här för att illustrera begreppen och strukturen. Ändra exemplet efter dina behov. Det här dokumentet är inte avsett som en självstudie.

Följande diagram visar de skrivbara referenserna mellan de olika Azure Resource Manager resurserna. Pilen anger referensens riktning, från vilken den kan skrivas. Genomgång

Figure depicts a NAT receiving traffic from internal subnets and directing it to a public IP and an IP prefix.

Bild: Virtual Network NAT objektmodell

NAT rekommenderas för de flesta arbetsbelastningar om du inte har ett specifikt beroende på poolbaserad Load Balancer utgående anslutning.

Du kan migrera från standardscenarier för lastbalanserare, inklusive utgående regler,till NAT-gateway. Om du vill migrera flyttar du de offentliga IP- och offentliga IP-prefixresurserna från lastbalanseringsadresser till NAT-gateway. Nya IP-adresser för NAT-gateway krävs inte. Standardresurser för offentliga IP-adresser och offentliga IP-prefixresurser kan återanvändas så länge summan inte överstiger 16 IP-adresser. Planera för migrering med tjänstavbrott i åtanke under övergången. Du kan minimera avbrottet genom att automatisera processen. Testa migreringen i en mellanlagringsmiljö först. Under övergången påverkas inte inkommande flöden.

Följande exempel är ett kodfragment från en Azure Resource Manager mall. Den här mallen distribuerar flera resurser, inklusive en NAT-gateway. Mallen har följande parametrar i det här exemplet:

  • natgatewayname – Namnet på NAT-gatewayen.
  • plats – Azure-region där resursen finns.
  • publicipname – Namnet på den utgående offentliga IP-adressen som är associerad med NAT-gatewayen.
  • vnetname – Namnet på det virtuella nätverket.
  • subnetname – Namnet på det undernät som är associerat med NAT-gatewayen.

Det totala antalet IP-adresser som tillhandahålls av alla IP-adresser och prefixresurser får inte överskrida 16 IP-adresser totalt. Val annat antal IP-adresser mellan 1 och 16 tillåts.

    "publicIPAddressVersion": "IPv4",
    "publicIPAllocationMethod": "Static",
    "idleTimeoutInMinutes": 4,
    "dnsSettings": {
      "domainNameLabel": "[parameters('publicIpDns')]"
    }
  }
},
{
  "type": "Microsoft.Network/natGateways",
  "apiVersion": "2020-06-01",
  "name": "[parameters('natGatewayName')]",
  "location": "[parameters('location')]",
  "sku": {
    "name": "Standard"
  },

När NAT-gatewayresursen har skapats kan den användas i ett eller flera undernät i ett virtuellt nätverk. Ange vilka undernät som använder den här NAT-gatewayresursen. En NAT-gateway kan inte sträcka sig över mer än ett virtuellt nätverk. Du behöver inte tilldela samma NAT-gateway till alla undernät i ett virtuellt nätverk. Enskilda undernät kan konfigureras med olika NAT-gatewayresurser.

Scenarier som inte använder tillgänglighetszoner är regionala (ingen zon har angetts). Om du använder tillgänglighetszoner kan du ange en zon för att isolera NAT till en specifik zon. Zonredundans stöds inte. Granska NAT-tillgänglighetszoner.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.4.1.14562",
      "templateHash": "6383707689748214284"
    }
  },
  "parameters": {
    "vnetName": {
      "type": "string",
      "defaultValue": "myVnet",
      "metadata": {
        "description": "Name of the virtual network"
      }
    },
    "subnetName": {
      "type": "string",
      "defaultValue": "mySubnet",
      "metadata": {
        "description": "Name of the subnet for virtual network"
      }
    },
    "vnetAddressSpace": {
      "type": "string",
      "defaultValue": "192.168.0.0/16",
      "metadata": {
        "description": "Address space for virtual network"
      }
    },
    "vnetSubnetPrefix": {
      "type": "string",
      "defaultValue": "192.168.0.0/24",
      "metadata": {
        "description": "Subnet prefix for virtual network"
      }
    },
    "natGatewayName": {
      "type": "string",
      "defaultValue": "myNATgateway",
      "metadata": {
        "description": "Name of the NAT gateway resource"
      }
    },
    "publicIpDns": {
      "type": "string",
      "defaultValue": "[format('gw-{0}', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "dns of the public ip address, leave blank for no dns"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location of resources"
      }
    }
  },
  "functions": [],
  "variables": {
    "publicIpName": "[format('{0}-ip', parameters('natGatewayName'))]",
    "publicIpAddresses": [
      {
        "id": "[resourceId('Microsoft.Network/publicIPAddresses', variables('publicIpName'))]"
      }
    ]
  },
  "resources": [
    {
      "type": "Microsoft.Network/publicIPAddresses",
      "apiVersion": "2020-06-01",
      "name": "[variables('publicIpName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard"
      },
      "properties": {
        "publicIPAddressVersion": "IPv4",
        "publicIPAllocationMethod": "Static",
        "idleTimeoutInMinutes": 4,
        "dnsSettings": {
          "domainNameLabel": "[parameters('publicIpDns')]"
        }
      }
    },
    {
      "type": "Microsoft.Network/natGateways",
      "apiVersion": "2020-06-01",
      "name": "[parameters('natGatewayName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard"
      },
      "properties": {
        "idleTimeoutInMinutes": 4,
        "publicIpAddresses": "[if(not(empty(parameters('publicIpDns'))), variables('publicIpAddresses'), null())]"
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/publicIPAddresses', variables('publicIpName'))]"
      ]
    },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-06-01",
      "name": "[parameters('vnetName')]",
      "location": "[parameters('location')]",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressSpace')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('subnetName')]",
            "properties": {
              "addressPrefix": "[parameters('vnetSubnetPrefix')]",
              "natGateway": {
                "id": "[resourceId('Microsoft.Network/natGateways', parameters('natGatewayName'))]"
              },
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "enableDdosProtection": false,
        "enableVmProtection": false
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/natGateways', parameters('natGatewayName'))]"
      ]
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-06-01",
      "name": "[format('{0}/{1}', parameters('vnetName'), 'mySubnet')]",
      "properties": {
        "addressPrefix": "[parameters('vnetSubnetPrefix')]",
        "natGateway": {
          "id": "[resourceId('Microsoft.Network/natGateways', parameters('natGatewayName'))]"
        },
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"

NAT-gatewayer definieras med en egenskap i ett undernät i ett virtuellt nätverk. Flöden som skapas av virtuella datorer på undernätets undernätsnamn för virtuellt nätverks-vnetname använder NAT-gatewayen. Alla utgående anslutningar använder IP-adresserna som är associerade med natgatewayname som källans IP-adress.

Mer information om den mall Azure Resource Manager som används i det här exemplet finns i:

Designvägledning

Läs det här avsnittet för att bekanta dig med överväganden för att utforma virtuella nätverk med NAT.

  1. Kostnadsoptimering
  2. Samexistens för inkommande och utgående
  3. Hantera grundläggande resurser
  4. Tillgänglighetszoner

Kostnadsoptimering

Tjänstslutpunkter och privat länk är alternativ att överväga för att optimera kostnaderna. NAT behövs inte för dessa tjänster. Trafik som dirigeras till tjänstslutpunkter eller privat länk bearbetas inte av det virtuella nätverkets NAT.

Tjänstslutpunkter binder Azure-tjänstresurser till ditt virtuella nätverk och styr åtkomsten till dina Azure-tjänstresurser. När du till exempel använder Azure Storage kan du använda en tjänstslutpunkt för lagring för att undvika data bearbetade NAT-avgifter. Tjänstslutpunkter är kostnadsfria.

Privat länk exponerar Azure PaaS-tjänsten (eller andra tjänster som finns med privat länk) som en privat slutpunkt i ett virtuellt nätverk. Private Link faktureras baserat på varaktighet och bearbetade data.

Utvärdera om någon av eller båda dessa metoder passar bra för ditt scenario och använd dem efter behov.

Samexistens för inkommande och utgående

NAT-gatewayen är kompatibel med:

  • Standardlastbalanserare
  • Offentlig IP-standard
  • Offentligt IP-standardprefix

När du utvecklar en ny distribution börjar du med standard-SKU:er.

Figure depicts a NAT gateway that supports outbound traffic to the internet from a virtual network.

Bild: Virtual Network NAT för utgående till Internet

Scenariot med endast utgående Internet som tillhandahålls av NAT-gatewayen kan utökas med inkommande funktioner från Internet. Varje resurs är medveten om i vilken riktning ett flöde kommer från. I ett undernät med en NAT-gateway ersätts alla utgående till Internet-scenarier av NAT-gatewayen. Inkommande från Internet-scenarier tillhandahålls av respektive resurs.

NAT och virtuell dator med offentlig IP på instansnivå

Figure depicts a NAT gateway that supports outbound traffic to the internet from a virtual network and inbound traffic with an instance-level public IP.

Bild: Virtual Network NAT virtuell dator med offentlig IP på instansnivå

Riktning Resurs
Inkommande Virtuell dator med offentlig IP på instansnivå
Utgående NAT Gateway

Den virtuella datorn använder NAT-gateway för utgående trafik. Inkommande ursprung påverkas inte.

NAT och virtuell dator med offentliga Load Balancer

Figure depicts a NAT gateway that supports outbound traffic to the internet from a virtual network and inbound traffic with a public load balancer.

Bild: Virtual Network NAT och virtuell dator med offentliga Load Balancer

Riktning Resurs
Inkommande offentliga Load Balancer
Utgående NAT Gateway

Alla utgående konfigurationer från en belastningsutjämningsregel eller utgående regler ersätts av NAT-gateway. Inkommande ursprung påverkas inte.

NAT och virtuell dator med offentlig IP på instansnivå och offentliga Load Balancer

Figure depicts a NAT gateway that supports outbound traffic to the internet from a virtual network and inbound traffic with an instance-level public IP and a public load balancer.

Bild: Virtual Network NAT virtuell dator med offentlig IP-adress på instansnivå och offentliga Load Balancer

Riktning Resurs
Inkommande Virtuell dator med offentlig IP-adress på instansnivå och Load Balancer
Utgående NAT Gateway

Alla utgående konfigurationer från en belastningsutjämningsregel eller utgående regler ersätts av NAT-gateway. Den virtuella datorn kommer också att använda NAT-gateway för utgående trafik. Inkommande ursprung påverkas inte.

Hantera grundläggande resurser

Standard Load Balancer, offentlig IP och offentligt IP-prefix är kompatibla med NAT-gateway. NAT-gatewayer fungerar i omfånget för ett undernät. Den grundläggande SKU:n för dessa tjänster måste distribueras i ett undernät utan en NAT-gateway. Den här separationen gör att båda SKU-varianterna kan samexistera i samma virtuella nätverk.

NAT-gatewayer har företräde framför utgående scenarier i undernätet. En grundläggande lastbalanserare eller offentlig IP-adress (och alla hanterade tjänster som skapats med dem) kan inte justeras med rätt översättningar. NAT-gatewayen tar kontroll över utgående till Internet-trafik i ett undernät. Inkommande trafik till grundläggande lastbalanserare och offentlig IP-adress är inte tillgänglig. Inkommande trafik till en grundläggande lastbalanserare och, eller en offentlig IP-adress som konfigurerats på en virtuell dator, är inte tillgänglig.

Tillgänglighetszoner

Zonisolering med zonindelingsstackar

Figure depicts three zonal stacks, each of which contains a NAT gateway and a subnet.

Bild: Virtual Network NAT med zonisolering, vilket skapar flera "zonindeade stackar"

Även utan tillgänglighetszoner är NAT motståndskraftigt och kan överleva flera fel i infrastrukturkomponenter. Tillgänglighetszoner bygger på den här återhämtningen med zonisoleringsscenarier för NAT.

Virtuella nätverk och deras undernät är regionala konstruktioner. Undernät är inte begränsade till en zon.

Ett zonindelt löfte om zonisolering finns när en instans av en virtuell dator som använder en NAT-gatewayresurs är i samma zon som NAT-gatewayresursen och dess offentliga IP-adresser. Det mönster som du vill använda för zonisolering är att skapa en zonindeling per tillgänglighetszon. Den här zonindelingsstacken består av instanser av virtuella datorer, NAT-gatewayresurser, offentliga IP-adresser och/eller prefixresurser i ett undernät som antas betjäna endast samma zon. Kontrollplanåtgärderna och dataplanet justeras sedan med och begränsas till den angivna zonen.

Fel i en annan zon än där ditt scenario finns förväntas vara utan påverkan på NAT. Utgående trafik från virtuella datorer i samma zon misslyckas på grund av zonisolering.

Integrera inkommande slutpunkter

Om ditt scenario kräver inkommande slutpunkter har du två alternativ:

Alternativ Mönster Exempel Pro Con
(1) Justera de inkommande slutpunkterna med respektive zonindeade stack som du skapar för utgående trafik. Skapa en standardlastbalanserare med zonindelade frontend. Samma hälsomodell och felläge för inkommande och utgående. Enklare att använda. Enskilda IP-adresser per zon kan behöva maskeras av ett gemensamt DNS-namn.
(2) Överlappa zonindelingarna med en inkommande slutpunkt mellan zoner. Skapa en standardlastbalanserare med zonredundant frontend. Enskild IP-adress för inkommande slutpunkt. Varierande hälsomodell och fellägen för inkommande och utgående. Mer komplext att arbeta.

Anteckning

En zon isolerad NAT-gateway kräver IP-adresser för att matcha zonen för NAT-gatewayen. NAT-gatewayresurser med IP-adresser från en annan zon eller utan en zon tillåts inte.

Utgående scenarier mellan zoner stöds inte

Figure depicts three zonal stacks, each of which contains a NAT gateway and a subnet, with the connections between to of the gateways and their subnets broken.

Bild: Virtual Network NAT inte kompatibelt med zonspannande undernät

Du kan inte uppnå ett zonindelade löfte med NAT-gatewayresurser när virtuella datorinstanser distribueras i flera zoner i samma undernät. Och även om det finns flera zonindeade NAT-gatewayer kopplade till ett undernät, skulle instansen av den virtuella datorn inte veta vilken NAT-gatewayresurs som ska väljas.

Ett zonindelade löfte finns inte när a) zonen för en virtuell datorinstans och zonen för en zonindelade NAT-gateway inte är justerade, eller b) en regional NAT-gatewayresurs används med zonindelade virtuella datorinstanser.

Även om scenariot verkar fungera är dess hälsomodell och felläge odefinierat från en tillgänglighetszonssyn. Överväg att gå med zonindelar eller alla regionala i stället.

Anteckning

Zonegenskapen för en NAT-gatewayresurs är inte föränderlig. Distribuera om NAT-gatewayresursen med den avsedda regionala eller zonpreferensen.

Anteckning

IP-adresser i sig är inte zonredundant om ingen zon har angetts. Frontend för en Standard Load Balancer är zonredundant om en IP-adress inte skapas i en viss zon. Detta gäller inte för NAT. Endast regional isolering eller zonisolering stöds.

Prestanda

Varje NAT-gatewayresurs kan ge upp till 50 Gbit/s dataflöde. Du kan dela upp dina distributioner i flera undernät och tilldela varje undernät eller grupper av undernät en NAT-gateway för att skala ut.

Varje NAT-gateway har stöd för 64 000 flöden för TCP respektive UDP per tilldelad utgående IP-adress. Läs följande avsnitt om källnätverksadressöversättning (SNAT) för mer information och felsökningsartikeln för specifika problemlösningsvägledning.

Källnätverksadressöversättning

Källnätverksadressöversättning (SNAT) skriver om källan för ett flöde för att komma från en annan IP-adress. NAT-gatewayresurser använder en variant av SNAT som ofta kallas portadressöversättning (PAT). PAT skriver om källadressen och källporten. Med SNAT finns det ingen fast relation mellan antalet privata adresser och deras översatta offentliga adresser.

Grunder

Nu ska vi titta på ett exempel på fyra flöden för att förklara det grundläggande konceptet. NAT-gatewayen använder den offentliga IP-adressresursen 65.52.1.1 och den virtuella datorn gör anslutningar till 65.52.0.1.

Flöden Källtuppeln Måltuppeln
1 192.168.0.16:4283 65.52.0.1:80
2 192.168.0.16:4284 65.52.0.1:80
3 192.168.0.17.5768 65.52.0.1:80

Dessa flöden kan se ut så här när PAT har skett:

Flöden Källtuppeln SNAT:s ed-källtuppeln Måltuppeln
1 192.168.0.16:4283 65.52.1.1:1234 65.52.0.1:80
2 192.168.0.16:4284 65.52.1.1:1235 65.52.0.1:80
3 192.168.0.17.5768 65.52.1.1:1236 65.52.0.1:80

Målet ser källan för flödet som 65.52.0.1 (SNAT-källtuppeln) med den tilldelade porten som visas. PAT som visas i föregående tabell kallas även för portmaskering av SNAT. Flera privata källor maskeras bakom en IP-adress och port.

återanvändning av källport (SNAT)

NAT-gatewayer återanvänder källportar (SNAT). Följande illustrerar det här konceptet som ett ytterligare flöde för den förestående uppsättningen flöden. Den virtuella datorn i exemplet är ett flöde till 65.52.0.2.

Flöden Källtuppeln Måltuppeln
4 192.168.0.16:4285 65.52.0.2:80

En NAT-gateway kommer sannolikt att översätta flöde 4 till en port som även kan användas för andra mål. Se Skalning för ytterligare diskussion om korrekt storleksändring av IP-adressetablering.

Flöden Källtuppeln SNAT:s ed-källtuppeln Måltuppeln
4 192.168.0.16:4285 65.52.1.1:1234 65.52.0.2:80

Var inte beroende av det specifika sätt som källportarna tilldelas i exemplet ovan. Föregående är bara en illustration av det grundläggande begreppet.

SNAT som tillhandahålls av NAT skiljer sig från Load Balancer i flera aspekter.

På begäran

NAT tillhandahåller SNAT-portar på begäran för nya utgående trafikflöden. Alla tillgängliga SNAT-portar i inventeringen används av alla virtuella datorer i undernät som konfigurerats med NAT.

Figure depicts inventory of all available SNAT ports used by any virtual machine on subnets configured with N A T.

Bild: Virtual Network NAT utgående SNAT på begäran

Alla IP-konfigurationer för en virtuell dator kan skapa utgående flöden på begäran efter behov. Förallokering, per instansplanering inklusive överetablering av värsta fall per instans, krävs inte.

Figure depicts inventory of all available SNAT ports used by any virtual machine on subnets configured with N A T with exhaustion threshold.

Bild: Skillnader i uttömningsscenarier

När en SNAT-port släpps är den tillgänglig för användning av alla virtuella datorer i undernät som konfigurerats med NAT. Med allokering på begäran kan dynamiska och avvikande arbetsbelastningar på undernät använda SNAT-portar efter behov. Så länge det finns tillgängligt SNAT-portinventering kommer SNAT-flöden att lyckas. SNAT-port-hot spots drar nytta av det större lagret i stället. SNAT-portar är inte oanvända för virtuella datorer som inte aktivt behöver dem.

Skalning

Skalning av NAT är främst en funktion för att hantera delade, tillgängliga SNAT-portinventering. NAT behöver tillräckligt med SNAT-portinventering för förväntade högsta utgående flöden för alla undernät som är kopplade till en NAT-gatewayresurs. Du kan använda offentliga IP-adressresurser, offentliga IP-prefixresurser eller båda för att skapa SNAT-portinventering.

Anteckning

Om du tilldelar en offentlig IP-prefixresurs används hela det offentliga IP-prefixet. Du kan inte tilldela en offentlig IP-prefixresurs och sedan dela upp enskilda IP-adresser som ska tilldelas till andra resurser. Om du vill tilldela enskilda IP-adresser från ett offentligt IP-prefix till flera resurser måste du skapa enskilda offentliga IP-adresser från den offentliga IP-prefixresursen och tilldela dem efter behov i stället för själva den offentliga IP-prefixresursen.

SNAT mappar privata adresser till en eller flera offentliga IP-adresser, och skriver om källadressen och källporten i processerna. En NAT-gatewayresurs använder 64 000 portar (SNAT-portar) per konfigurerad offentlig IP-adress för den här översättningen. NAT-gatewayresurser kan skala upp till 16 IP-adresser och 1M SNAT-portar. Om en offentlig IP-prefixresurs anges tillhandahåller varje IP-adress i prefixet SNAT-portinventering. Och om du lägger till fler offentliga IP-adresser ökar antalet tillgängliga SNAT-portar för inventering. TCP och UDP är separata SNAT-portinventeringar och orelaterade.

NAT-gatewayresurser återanvänder källportar (SNAT). Som designvägledning för skalning bör du förutsätta att varje flöde kräver en ny SNAT-port och skala det totala antalet tillgängliga IP-adresser för utgående trafik. Du bör noga överväga den skala som du utformar för och etablera ip-adresser i enlighet med detta.

SNAT-portar till olika mål återanvänds troligen när det är möjligt. Och när SNAT-portutmatningen närmar sig kan det hända att flöden inte lyckas.

Se till exempel grunderna i SNAT.

Protokoll

NAT-gatewayresurser interagerar med IP- och IP-transporthuvuden för UDP- och TCP-flöden och är agnostiska för nyttolaster på programlager. Andra IP-protokoll stöds inte.

Timers

Viktigt

Lång inaktiv timer kan i onödan öka sannolikheten för SNAT-utmattning. Ju längre timer du anger, desto längre NAT håller på SNAT-portar tills de slutligen inaktiv timeout. Om dina flöden har en time out för inaktivitet misslyckas de så småningom ändå och förbrukar SNAT-portinventering i onödan. Flöden som misslyckas vid 2 timmar skulle också ha misslyckats vid standardvärdet 4 minuter. Att öka tidsgränsen för inaktivitet är ett sista alternativ som bör användas sparsamt. Om ett flöde aldrig går inaktivt påverkas det inte av inaktivitetstimern.

Timeout för TCP-inaktivitet kan justeras från 4 minuter (standard) till 120 minuter (2 timmar) för alla flöden. Dessutom kan du återställa den inaktiva timern med trafik i flödet. Ett rekommenderat mönster för att uppdatera långa inaktiva anslutningar och identifiering av slutpunktens liveness är TCP keepalives. TCP-keepalives visas som duplicerade AK:er till slutpunkterna, har låga omkostnader och är osynliga för programlagret.

Följande timers används för SNAT-portutgågåpa:

Timer Värde
TCP FIN 60 sekunder
TCP RST 10 sekunder
TCP halv öppen 30 sekunder

En SNAT-port är tillgänglig för återanvändning till samma mål-IP-adress och målport efter 5 sekunder.

Anteckning

Dessa timerinställningar kan komma att ändras. Värdena tillhandahålls för felsökning och du bör inte vara beroende av specifika timers just nu.

Begränsningar

  • NAT är kompatibelt med offentlig IP-standard-SKU, offentliga IP-prefix och lastbalanseringsresurser. Grundläggande resurser (till exempel grundläggande lastbalanserare) och produkter som härleds från dem är inte kompatibla med NAT. Grundläggande resurser måste placeras i ett undernät som inte har konfigurerats med NAT.
  • IPv4-adressfamilj stöds. NAT interagerar inte med IPv6-adressfamiljen. NAT kan inte distribueras i ett undernät med ett IPv6-prefix.
  • NAT kan inte sträcka sig över flera virtuella nätverk.
  • IP-fragmentering stöds inte.

Förslag

Vi vill veta hur vi kan förbättra tjänsten. Saknar du någon funktion? Gör ditt fall för vad vi ska skapa härnäst på UserVoice för NAT.

Nästa steg