Çok kiracılı kullanım için Azure NAT Ağ Geçidi ile ilgili dikkat edilmesi gerekenler
Azure NAT Ağ Geçidi, bir Azure sanal ağı içinde barındırılan kaynaklarınızdan giden ağ bağlantısı üzerinde denetim sağlar. Bu makalede, NAT Gateway'in çok kiracılı uygulamaları etkileyebilecek Kaynak Ağ Adresi Çevirisi (SNAT) bağlantı noktası tükenmesini nasıl azaltabileceğini gözden geçireceğiz. Nat Gateway'in çok kiracılı çözümünüzden giden trafiğe statik IP adresleri atamasını da gözden geçiriyoruz.
Not
Azure Güvenlik Duvarı gibi güvenlik duvarları, giden trafiğinizi denetlemenizi ve günlüğe kaydetmenizi sağlar. Azure Güvenlik Duvarı ayrıca NAT Gateway'e benzer SNAT bağlantı noktası ölçeği ve giden IP adresi denetimi sağlar. NAT Gateway daha az maliyetlidir ancak daha az özelliğe sahiptir ve bir güvenlik ürünü değildir.
Nat Gateway'in çok kiracılılığı destekleyen özellikleri
Yüksek ölçekli SNAT bağlantı noktaları
SNAT bağlantı noktaları, uygulamanız aynı genel IP adresine aynı bağlantı noktasında birden çok eşzamanlı giden bağlantı yaptığında ayrılır. SNAT bağlantı noktaları yük dengeleyiciler içindeki sınırlı bir kaynaktır. Uygulamanız aynı ana bilgisayara çok sayıda ayrı bağlantı açarsa, kullanılabilir tüm SNAT bağlantı noktalarını kullanabilir. Bu durum SNAT bağlantı noktası tükenmesi olarak adlandırılır.
Çoğu uygulamada, SNAT bağlantı noktası tükenmesi uygulamanızın HTTP bağlantılarını veya TCP bağlantı noktalarını yanlış işlediğini gösterir. Ancak, bazı çok kiracılı uygulamalar, bağlantıları uygun şekilde yeniden kullansalar bile SNAT bağlantı noktası sınırlarını aşma riskiyle karşı karşıyadır. Örneğin, uygulamanız aynı veritabanı ağ geçidinin arkasındaki kiracıya özgü birçok veritabanına bağlandığında bu durum oluşabilir.
İpucu
Çok kiracılı bir uygulamada SNAT bağlantı noktası tükenmesi gözlemlerseniz , uygulamanızın iyi yöntemlere uyup uymadığını doğrulamanız gerekir. HTTP bağlantılarını yeniden kullandığınızdan ve bir dış hizmete her bağlandığınızda yeni bağlantıları yeniden oluşturmadığınızdan emin olun. Sorunu geçici olarak çözmek için bir NAT Ağ Geçidi dağıtabilirsiniz, ancak kodunuz en iyi yöntemleri izlemezse, gelecekte sorunla yeniden karşılaşabilirsiniz.
Azure App Service ve Azure İşlevleri gibi birden çok müşteri arasında SNAT bağlantı noktası ayırmalarını paylaşan Azure hizmetleriyle çalıştığınızda bu sorun daha da artmaktadır.
SNAT tükenmesi yaşadığınızı belirlerseniz ve uygulama kodunuzun giden bağlantılarınızı doğru işlediğini düşünüyorsanız NAT Ağ Geçidi dağıtmayı göz önünde bulundurun. Bu yaklaşım genellikle Azure App Service ve Azure İşlevleri üzerine oluşturulmuş çok kiracılı çözümler dağıtan müşteriler tarafından kullanılır.
NAT ağ geçidine bağlı her genel IP adresi, İnternet'e giden bağlantıyı sağlamak için 64.512 SNAT bağlantı noktası sağlar. NAT ağ geçidi, 1 milyondan fazla SNAT bağlantı noktası sağlayan en fazla 16 genel IP adresi kullanacak şekilde ölçeklendirilebilir. Bu sınırın ötesine ölçeklendirmeniz gerekiyorsa, birden çok alt ağ veya sanal ağ üzerinde birden çok NAT Ağ Geçidi örneği dağıtmayı düşünebilirsiniz. Bir alt ağ içindeki her sanal makine, ihtiyaç duyduğunda kullanılabilir SNAT bağlantı noktalarından herhangi birini kullanabilir.
Giden IP adresi denetimi
Giden IP adresi denetimi, aşağıdaki gereksinimlerin tümüne sahip olduğunuzda çok kiracılı uygulamalarda yararlı olabilir:
- Giden trafik için otomatik olarak ayrılmış statik IP adresleri sağlamayan Azure hizmetlerini kullanırsınız. Bu hizmetler Azure App Service, Azure İşlevleri, API Management (tüketim katmanında çalışırken) ve Azure Container Instances içerir.
- Kiracılarınızın ağlarına İnternet üzerinden bağlanmanız gerekir.
- Kiracılarınızın gelen trafiği her isteğin IP adresine göre filtrelemesi gerekir.
Bir alt ağa nat ağ geçidi örneği uygulandığında, bu alt ağdan gelen tüm trafik NAT ağ geçidiyle ilişkili genel IP adreslerini kullanır.
Not
Birden çok genel IP adresini tek bir NAT Ağ Geçidi ile ilişkilendirdiğinizde, giden trafiğiniz bu IP adreslerinden herhangi birinden gelebilir. Hedefte güvenlik duvarı kurallarını yapılandırmanız gerekebilir. Her IP adresine izin vermeli veya aynı aralıktaki genel IP adresleri kümesini kullanmak için bir genel IP adresi ön eki kaynağı kullanmalısınız.
Yalıtım modelleri
Her kiracı için farklı giden genel IP adresleri sağlamanız gerekiyorsa, tek tek NAT Ağ Geçidi kaynaklarını dağıtmanız gerekir. Her alt ağ tek bir NAT Ağ Geçidi örneğiyle ilişkilendirilebilir. Daha fazla NAT ağ geçidi dağıtmak için birden çok alt ağ veya sanal ağ dağıtmanız gerekir. Buna karşılık, büyük olasılıkla birden çok işlem kaynağı kümesi dağıtmanız gerekir.
Çok kiracılı bir ağ topolojisi tasarlama hakkında daha fazla bilgi için Çok kiracılı çözümlerde ağ için mimari yaklaşımlar'ı gözden geçirin.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazar:
- John Downs | Baş Müşteri Mühendisi, Azure için FastTrack
Diğer katkıda bulunanlar:
- Aimee Littleton | Program Yöneticisi 2, Azure NAT Ağ Geçidi
- Arsen Vladimirskiy | Baş Müşteri Mühendisi, Azure için FastTrack
- Joshua Waddell | Kıdemli Müşteri Mühendisi, Azure için FastTrack
Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin