Giden bağlantılar için Kaynak Ağ Adresi Çevirisi'nin (SNAT) kullanımı

Bazı senaryolar, sanal makinelerin veya işlem örneklerinin İnternet'e giden bağlantısına sahip olmak gerektirir. Azure genel yük dengeleyicinin ön uç IP'leri, arka uç örnekleri için İnternet'e giden bağlantı sağlamak için kullanılabilir. Kaynak veya sanal makinenin özel IP adresi genel IP adresine çevrile kadar bu yapılandırmada kaynak ağ adresi çevirisi (SNAT) kullanılır. SNAT, arka ucun IP adresini yük dengeleyicinizin genel IP adresiyle eşler. SNAT, dış kaynakların arka uç örneklerine doğrudan adrese sahip olması engel olur.

Azure'ın giden bağlantı yöntemleri

İnternet'e giden bağlantı aşağıdaki yollarla etkinleştirilebilir:

# Yöntem Bağlantı noktası ayırma türü Üretim sınıfı? Derecelendirme
1 Giden kuralları aracılığıyla gidenler için bir Load Balancer uç IP adreslerini kullanma Statik, açık Evet, ancak büyük ölçekte değil Tamam
2 BIR NAT ağ geçidini alt ağ ile ilgili olarak nitele Statik, açık Yes En iyi
3 Sanal Makineye Genel IP Atama Statik, açık Yes Tamam
4 Giden (ve gelen) için bir Load Balancer uç IP adreslerini kullanma Örtük No İkinci en kötü
5 Varsayılan giden erişimi kullanma Örtük No Kötü

Giden kuralları aracılığıyla gidenler için yük dengeleyicinin ön uç IP adresini kullanma

Giden kuralları, standart bir genel yük dengeleyici için SNAT'yi (kaynak ağ adresi çevirisi) açıkça tanımlamaya olanak sağlar.

Bu yapılandırma, arka uç örneklerinin giden bağlantısı için yük dengeleyicinizin genel IP'sini veya IP'lerini kullanmanızı sağlar.

Bu yapılandırma şunları sağlar:

  • IP maskesini maskele
  • İzin verme listelerinizi basitleştirme
  • Dağıtım için genel IP kaynaklarının sayısını azaltır

Giden kurallarıyla, giden İnternet bağlantısı üzerinde tam bildirimli denetime sahip oluruz. Giden kuralları, bu özelliği belirli ihtiyaçlarınıza göre ölçeklendirmenize ve ayarlamanıza olanak sağlar.

Giden kuralları hakkında daha fazla bilgi için bkz. Giden kuralları.

Önemli

Bir arka uç havuzu IP adresi tarafından yapılandırıldığında, varsayılan giden etkinken temel Load Balancer olarak davranır. Varsayılan olarak giden ihtiyaçların yoğun olduğu yapılandırma ve uygulamalar için arka uç havuzunu NIC'ye göre yapılandırabilirsiniz.

BIR NAT ağ geçidini alt ağ ile ilgili olarak nitele

Sanal Ağ Adres Çevirisi sanal ağlar için yalnızca giden İnternet bağlantısını basitleştiriyor. Bir alt ağda yapılandırıldığında, tüm giden bağlantılarda belirttiğiniz statik genel IP adresleri kullanılır. Yük dengeleyici veya genel IP adresleri doğrudan sanal makinelere bağlı olmadan giden bağlantı mümkündür. NAT tam olarak yönetilir ve yüksek oranda deyazlıdır.

NAT ağ geçidi kullanmak, giden bağlantı için en iyi yöntemdir. NAT ağ geçidi yüksek oranda genişletilebilir, güvenilirdir ve SNAT bağlantı noktası tükenmesi ile aynı endişeye sahip değildir.

Daha fazla bilgi Azure Sanal Ağ Adres Çevirisi için bkz. Azure Sanal Ağ Adres Çevirisi.

Sanal makineye genel IP atama

Dernek Yöntem IP protokolleri
VM'nin NIC'leri üzerinde Genel IP SNAT (Kaynak Ağ Adresi Çevirisi)
kullanılamaz.
TCP (İletim Denetimi Protokolü)
UDP (Kullanıcı Veri Birimi Protokolü)
ICMP (İnternet Denetim İletisi Protokolü)
ESP (Güvenlik Yükünü Kapsülleme)

Trafik, sanal makinenin genel IP adresinden (Örnek Düzeyi IP) istekte geçen istemciye geri döner.

Azure, tüm giden akışlar için örneğin NIC'sini IP yapılandırmasına atanan genel IP'yi kullanır. Örnekte tüm kısa ömürlü bağlantı noktaları kullanılabilir. VM'nin yük dengeli olup olmadığı önemli değildir. Bu senaryo diğerlerine göre önceliklidir.

Vm'ye atanan genel IP 1:1 ilişkisidir (1 yerine: çok) ve durum bilgisiz 1:1 NAT olarak uygulanır.

Giden (ve gelen) için yük dengeleyicinin ön uç IP adresini kullanma

Not

Bu yöntem, bağlantı noktalarının tükenme riskini artıran üretim iş yükleri için ÖNERILMEZ. SNAT bağlantı noktası tükenmesi nedeniyle olası bağlantı hatalarından kaçınmak için üretim iş yükleri için bu yöntemi kullanmaktan kaçının.

Yük dengeleyicinin arka uçlarında aşağıdakiler olmadan bir kaynak:

  • Giden kuralları
  • Örnek düzeyinde ortak IP adresi
  • NAT ağ geçidi yapılandırıldı

yük dengeleyicinin ön uç IP'sini kullanarak giden bağlantılar oluşturur ve varsayılan SNAT'den (Varsayılan Giden Erişim olarak da bilinir) yararlanıyor.

Varsayılan giden erişim

Şu olmadan bir kaynak:

  • Giden kuralları
  • Örnek düzeyinde ortak IP adresi
  • NAT ağ geçidi yapılandırıldı
  • yük dengeleyici

varsayılan SNAT aracılığıyla giden bağlantılar oluşturur. Bu, Varsayılan Giden Erişim olarak bilinir. Varsayılan SNAT kullanan bir senaryoya bir diğer örnek de Azure'daki bir sanal makinedir (yukarıda belirtilen ilişkilendirmeler olmadan). Bu durumda giden bağlantı Varsayılan Giden Erişim IP'si tarafından sağlanır. Bu, Azure tarafından kontrol etmek için atanmamış dinamik bir IP'dir. Üretim iş yükleri için varsayılan SNAT önerilmez.

SNAT bağlantı noktaları nedir?

Bağlantı noktaları, ayrı akışları korumak için kullanılan benzersiz tanımlayıcılar oluşturmak için kullanılır. İnternet bu ayrımı sağlamak için beşli bir tuple kullanır.

Gelen bağlantılar için bir bağlantı noktası kullanılıyorsa, bu bağlantı noktası üzerinde gelen bağlantı istekleri için bir dinleyicisi vardır. Bu bağlantı noktası giden bağlantılar için kullanılamaz. Giden bir bağlantı kurmak için, hedefe iletişim kurmak ve ayrı bir trafik akışının bakımını yapmak üzere bir bağlantı noktası sağlamak için kısa ömürlü bir bağlantı noktası kullanılır. Bu kısa ömürlü bağlantı noktaları SNAT için kullanıldığında, SNAT bağlantı noktaları olarak adlandırılırlar.

Tanım olarak, her IP adresinde 65.535 bağlantı noktası bulunur. Her bağlantı noktası, TCP (Iletim Denetimi Protokolü) ve UDP (Kullanıcı Datagram Protokolü) için gelen veya giden bağlantılar için kullanılabilir. Genel bir IP adresi bir yük dengeleyicisine ön uç IP 'si olarak eklendiğinde, 64.000 bağlantı noktası SNAT için uygun olur.

Yük Dengeleme veya gelen NAT kuralı için kullanılan bağlantı noktası 64.000 bağlantı noktalarından sekiz bağlantı noktası kullanır. Bu kullanım, SNAT için uygun bağlantı noktası sayısını azaltır. Bir yük dengeleme veya gelen NAT kuralı, diğeri aynı sekiz aralıkta ise, ek bağlantı noktaları kullanmaz.

Varsayılan SNAT nasıl çalışır?

Bir VM bir giden akış oluşturduğunda, Azure Kaynak IP adresini kısa ömürlü bir IP adresine dönüştürür. Bu çeviri, SNATaracılığıyla yapılır.

Yük Dengeleme kuralı aracılığıyla SNAT kullanılıyorsa, SNAT bağlantı noktaları varsayılan SNAT bağlantı noktaları ayırma tablosundaaçıklandığı şekilde önceden ayrılır.

Standart bir iç yük dengeleyici kullanırken, SNAT için geçici bir IP adresi kullanılmaz. Bu özellik varsayılan olarak güvenliği destekler. Bu özellik, kaynaklar tarafından kullanılan tüm IP adreslerinin yapılandırılabilir ve ayrılabilir olmasını sağlar.

Standart bir iç yük dengeleyici kullanırken internet 'e giden bağlantı sağlamak için aşağıdakileri yapılandırın:

  • Örnek düzeyi genel IP adresi
  • NAT Gateway
  • Bir giden kuralı yapılandırılmış bir standart genel yük dengeleyicisine arka uç örnekleri ekleyin.

Varsayılan SNAT için IP nedir?

VM bir giden akış oluşturduğunda, Azure Kaynak IP adresini dinamik olarak verilen bir ortak kaynak IP adresine dönüştürür. Bu genel IP adresi yapılandırılamaz ve ayrılamaz. Bu adres, aboneliğin genel IP kaynak sınırına göre sayılmaz.

Genel IP adresi serbest bırakılır ve yeniden dağıtıyorsanız yeni bir genel IP istenir:

  • Sanal Makine
  • Kullanılabilirlik kümesi
  • Sanal makine ölçek kümesi

Not

Bu yöntem, bağlantı noktalarının tüketilme riskini eklediği için üretim iş yükleri için önerilmez . Potansiyel bağlantı hatalarından kaçınmak için lütfen bu yöntemi üretim iş yükleri için kullanmaktan kaçının.

Tür Giden davranış
Standart genel yük dengeleyici SNAT için yük dengeleyici ön uç IP 'Leri kullanımı
Standart Iç yük dengeleyici İnternet bağlantısı yok, varsayılan olarak güvenli
Temel genel yük dengeleyici SNAT için yük dengeleyici ön uç IP 'Leri kullanımı
Temel Iç yük dengeleyici Bilinmeyen dinamik IP adresine sahip SNAT

Bağlantı noktaları tüketilme

Aynı hedef IP ve hedef bağlantı noktasına yapılan her bağlantı için bir SNAT bağlantı noktası kullanılır. Bu bağlantı, arka uç örneğinden veya istemcisinden bir sunucuya ayrı bir trafik akışı sağlar. Bu işlem, sunucuya trafiğin ele alınacağı ayrı bir bağlantı noktası sağlar. Bu işlem olmadan, istemci makinesi bir paketin bir parçası olduğu farkında değildir.

birden çok tarayıcıyla karşılaşmaktan Imagine https://www.microsoft.com :

  • Hedef IP = 23.53.254.142
  • Hedef bağlantı noktası = 443
  • Protokol = TCP

Geri dönüş trafiği için farklı hedef bağlantı noktaları olmadan (bağlantıyı kurmak için kullanılan SNAT bağlantı noktası), istemcinin bir sorgu sonucunu başka bir şekilde ayırabilmeyecektir.

Giden bağlantılar veri bloğu alabilir. Bir arka uç örneğine yetersiz bağlantı noktası tahsis edilebilir. Bağlantı yeniden kullanımı etkin OLMADıĞıNDA, SNAT bağlantı noktası tükenmesi riski artar.

Bağlantı noktası tükenmesi gerçekleştiğinde, hedef IP 'ye yönelik yeni giden bağlantılar başarısız olur. Bağlantı noktası kullanılabilir olduğunda bağlantı başarılı olur. Bu tükenme, bir IP adresinden 64.000 bağlantı noktası birçok arka uç örneğine ince yayıldığı zaman meydana gelir. SNAT bağlantı noktası tükenmesi 'ni azaltma hakkında yönergeler için bkz. sorun giderme kılavuzu.

TCP bağlantılarında, yük dengeleyici her hedef IP ve bağlantı noktası için tek bir SNAT bağlantı noktası kullanır. Bu Multiuse aynı SNAT bağlantı noktasıyla aynı hedef IP 'ye birden çok bağlantı sağlar. Bağlantı farklı hedef bağlantı noktalarına değilse bu Multiuse sınırlı olur.

UDP bağlantılarında, yük dengeleyici hedef bağlantı noktasına her ne kadar hedef IP başına bir SNAT bağlantı noktası tüketen bir bağlantı noktası kısıtlanmış konı NAT algoritması kullanır.

Bağlantı noktası sınırsız sayıda bağlantı için yeniden kullanılır. Bağlantı noktası yalnızca hedef IP veya bağlantı noktası farklı olduğunda yeniden kullanılır.

Varsayılan bağlantı noktası ayırma

Yük dengeleyicinizin ön uç IP 'si olarak atanan her genel IP 'nin, arka uç havuzu üyeleri için 64.000 SNAT bağlantı noktası verilir. Bağlantı noktaları, arka uç havuzu üyeleriyle paylaşılamaz. Bir adet SNAT bağlantı noktası aralığı, dönüş paketlerinin doğru şekilde yönlendirildiğinden emin olmak için yalnızca tek bir arka uç örneği tarafından kullanılabilir.

Yük Dengeleme kuralı aracılığıyla giden SNAT 'nin otomatik olarak ayrılmasını kullanmanız gerekir, ayırma tablosu her IP için bağlantı noktası ayırmayı tanımlar.

Aşağıdaki tabloda, arka uç havuz boyutlarının katmanları IÇIN SNAT bağlantı noktası ön ayırmaları gösterilmektedir:

Havuz boyutu (VM örnekleri) IP yapılandırması başına varsayılan SNAT bağlantı noktaları
1-50 1.024
51-100 512
101-200 256
201-400 128
401-800 64
801-1000 32

Kısıtlamalar

  • Bir bağlantı yeni paket gönderilmeden boşta kaldığında, bağlantı noktaları 4 – 120 dakika sonra serbest bırakılır.
  • Bu eşik, giden kuralları aracılığıyla yapılandırılabilir.
  • Her IP adresi, SNAT için kullanılabilecek 64.000 bağlantı noktası sağlar.
  • Her bağlantı noktası, hedef IP adresine yönelik TCP ve UDP bağlantıları için kullanılabilir
  • Hedef bağlantı noktasının benzersiz olup olmadığı bir UDP SNAT bağlantı noktası gerekir. Bir hedef IP 'ye yönelik her UDP bağlantısı için, bir UDP SNAT bağlantı noktası kullanılır.
  • Bir TCP SNAT bağlantı noktası, hedef bağlantı noktaları farklı olduğundan aynı hedef IP 'ye birden fazla bağlantı için kullanılabilir.
  • SNAT tükenmesi, bir arka uç örneği verilen SNAT bağlantı noktalarından çıktığında oluşur. Yük dengeleyici hala kullanılmayan SNAT bağlantı noktalarına sahip olabilir. Bir arka uç örneğinin kullanılan SNAT bağlantı noktaları, belirtilen SNAT bağlantı noktalarını aşarsa, yeni giden bağlantılar kurulamaz.
  • SANAL makinenin NIC 'inde bir örnek düzeyi genel IP 'si üzerinden gelmediği takdirde parçalanmış paketler bırakılır.

Sonraki adımlar