Giden kuralları Azure Load Balancer

Giden kuralları, genel standart yük dengeleyici için SNAT(kaynak ağ adresi çevirisi) tanımlamanızı sağlar. Bu yapılandırma, arka uç örnekleriniz için giden İnternet bağlantısı sağlamak üzere yük dengeleyicinizin genel IP'lerini kullanmanıza olanak tanır.

Bu yapılandırma şunları etkinleştirir:

  • IP maskeleme
  • İzin verilenler listelerinizi basitleştirme.
  • Dağıtım için genel IP kaynaklarının sayısını azaltır.

Giden kurallarıyla, giden İnternet bağlantısı üzerinde tam bildirim temelli denetime sahipsiniz. Giden kuralları, bu özelliği belirli gereksinimlerinize göre ölçeklendirmenize ve ayarlamanıza olanak sağlar.

Giden kuralları yalnızca arka uç VM'sinde örnek düzeyinde genel IP adresi (ILPIP) yoksa izlenir.

Load Balancer outbound rules

Giden kurallarıyla, giden SNAT davranışını açıkça tanımlayabilirsiniz.

Giden kuralları şunları denetlemenize olanak sağlar:

  • Hangi sanal makinelerin hangi genel IP adreslerine çevrildiği.
    • Arka uç havuzu 1, mavi IP adresi 1 ve 2'yi, arka uç havuzu 2 ise sarı IP ön ekini kullanır şeklinde iki kural vardı.
  • Giden SNAT bağlantı noktalarının nasıl ayrıldığı.
    • Giden bağlantılar yapan tek havuz arka uç havuzu 2 ise, tüm SNAT bağlantı noktalarını arka uç havuzu 2'ye, hiçbiri arka uç havuzu 1'e vermeyin.
  • Giden çevirinin sağlandığı protokoller.
    • Arka uç havuzu 2 giden için UDP bağlantı noktalarına ve arka uç havuzu 1'e TCP gerekiyorsa, TCP bağlantı noktalarını 1'e ve UDP bağlantı noktalarını 2'ye verin.
  • Giden bağlantı boşta kalma zaman aşımı için kullanılacak süre (4-120 dakika).
    • Tutmalı uzun süre çalışan bağlantılar varsa, 120 dakikaya kadar uzun süre çalışan bağlantılar için boş bağlantı noktalarını ayırın. Eski bağlantıların bırakılıp yeni bağlantılar için 4 dakika içinde bağlantı noktalarının bırakılmasını varsay
  • Boşta kalma zaman aşımında TCP Sıfırlaması gönderip gönderilmeyeceği.
    • Boşta kalan bağlantıların zaman aşımına uğradıklarında, akışın bırakıldığından haberdar olmaları için istemciye ve sunucuya bir TCP RST mi gönderiyoruz?

Önemli

Bir arka uç havuzu IP adresiyle yapılandırıldığında, varsayılan giden etkinleştirilmiş bir Temel Load Balancer gibi davranır. Varsayılan olarak güvenli yapılandırma ve zorlu giden ihtiyaçları olan uygulamalar için arka uç havuzunu NIC'ye göre yapılandırın.

Giden kuralı tanımı

Giden kuralları, yük dengeleme ve gelen NAT kurallarıyla aynı bilinen söz dizimini izler: frontendparametersbackend + + pool.

Giden kuralı, arka uç havuzu tarafından tanımlanan tüm sanal makineler için giden NAT'yi ön uçtan çevrilecek şekilde yapılandırıyor.

Parametreler, giden NAT algoritması üzerinde ek ayrıntılı denetim sağlar.

Birden çok IP adresiyle giden NAT'yi ölçeklendirme

Ön uç tarafından sağlanan her ek IP adresi, yük dengeleyicinin SNAT bağlantı noktası olarak kullanması için ek 64.000 kısa ömürlü bağlantı noktası sağlar.

Büyük ölçekli senaryoları planlamak için birden çok IP adresi kullanın. SNAT tükenmesini azaltmak için giden kurallarını kullanın.

Giden kuralıyla doğrudan genel IP ön eki de kullanabilirsiniz.

Genel IP ön eki, dağıtımınızın ölçeğini artırır. Ön ek, Azure kaynaklarınızdan kaynaklanan akışların izin verilenler listesine eklenebilir. Genel IP adresi ön ekine başvurmak için yük dengeleyici içinde bir ön uç IP yapılandırması yapılandırabilirsiniz.

Yük dengeleyici, genel IP ön eki üzerinde denetime sahiptir. Giden kuralı, giden bağlantılar için genel IP ön eki içinde yer alan tüm genel IP adreslerini otomatik olarak kullanır.

Genel IP ön eki içindeki IP adreslerinin her biri, yük dengeleyicinin SNAT bağlantı noktası olarak kullanması için IP adresi başına ek 64.000 kısa ömürlü bağlantı noktası sağlar.

Giden akış boşta kalma zaman aşımı ve TCP sıfırlama

Giden kuralları, giden akış boşta kalma zaman aşımını denetlemek ve uygulamanızın gereksinimleriyle eşleştirmek için bir yapılandırma parametresi sağlar. Giden boşta kalma zaman aşımları varsayılan olarak 4 dakikadır. Daha fazla bilgi için bkz . Boşta kalma zaman aşımlarını yapılandırma.

Yük dengeleyicinin varsayılan davranışı, giden boşta kalma zaman aşımına ulaşıldığında akışı sessizce bırakmaktır. enableTCPReset parametresi, öngörülebilir bir uygulama davranışı ve denetimi sağlar. parametresi, giden boşta kalma zaman aşımının zaman aşımında çift yönlü TCP Sıfırlama (TCP RST) gönderilip gönderilmeymeyeceğini belirler.

Bölge kullanılabilirliği de dahil olmak üzere ayrıntılar için boşta kalma zaman aşımında TCP Sıfırlama'yı gözden geçirin.

Giden bağlantıyı açıkça güvenli hale getirme ve denetleme

Yük dengeleme kuralları, giden NAT'nin otomatik olarak programlamasını sağlar. Bazı senaryolar, yük dengeleme kuralı tarafından giden NAT'nin otomatik programlamasını devre dışı bırakmanızı sağlar veya gerektirir. Kural aracılığıyla devre dışı bırakmak, davranışı denetlemenize veya daraltmanıza olanak tanır.

Bu parametreyi iki şekilde kullanabilirsiniz:

  1. Giden SNAT için gelen IP adresinin önlenmesi. Yük dengeleme kuralında giden SNAT'yi devre dışı bırakın.

  2. Gelen ve giden için kullanılan IP adresinin giden SNAT parametrelerini aynı anda ayarlayın. Bir giden kuralının denetimi ele almasına izin vermek için otomatik giden NAT devre dışı bırakılmalıdır. Gelen adres için de kullanılan bir adresin SNAT bağlantı noktası ayırmasını değiştirmek için parametresinin disableOutboundSnat true olarak ayarlanması gerekir.

Gelen için kullanılan bir IP adresini yeniden tanımlamayı denerseniz giden kuralı yapılandırma işlemi başarısız olur. Önce yük dengeleme kuralının giden NAT'sini devre dışı bırakın.

Önemli

Bu parametreyi true olarak ayarlarsanız ve giden bağlantıyı tanımlamak için bir giden kuralınız yoksa sanal makinenizin giden bağlantısı olmaz. VM'nizin veya uygulamanızın bazı işlemleri giden bağlantının kullanılabilir olmasına bağlı olabilir. Senaryonuzun bağımlılıklarını anladığınızdan ve bu değişikliği yapmanın etkisini değerlendirdiğinizden emin olun.

Bazen vm'nin giden akış oluşturması istenmeyen bir durum olabilir. Hangi hedeflerin giden akışlar alacağını veya hangi hedeflerin gelen akışlara başlayacağını yönetme gereksinimi olabilir. SANAL makinenin ulaştığı hedefleri yönetmek için ağ güvenlik gruplarını kullanın. Gelen akışları başlatan genel hedefleri yönetmek için NSG'leri kullanın.

Yük dengeli bir VM'ye NSG uyguladığınızda , hizmet etiketlerine ve varsayılan güvenlik kurallarına dikkat edin.

VM'nin Azure Load Balancer sistem durumu yoklaması istekleri alabildiğinden emin olun.

NSG varsayılan AZURE_LOADBALANCER etiketinden gelen durum yoklaması isteklerini engellerse, VM sistem durumu yoklamanız başarısız olur ve VM kullanılamıyor olarak işaretlenir. Yük dengeleyici bu VM'ye yeni akış göndermeyi durdurur.

Giden kuralları olan senaryolar

Giden kuralları senaryoları

  • Belirli bir genel IP veya ön ek kümesine giden bağlantıları yapılandırın.
  • SNAT bağlantı noktası ayırmayı değiştirin.
  • Yalnızca gideni etkinleştirin.
  • Yalnızca VM'ler için giden NAT (gelen yok).
  • İç standart yük dengeleyici için giden NAT.
  • Genel standart yük dengeleyici ile giden NAT için her iki TCP & UDP protokollerini de etkinleştirin.

Senaryo 1: Belirli bir genel IP veya ön ek kümesine giden bağlantıları yapılandırma

Ayrıntılar

Giden bağlantıları bir dizi genel IP adresi kaynağı olacak şekilde uyarlamak için bu senaryoyı kullanın. Çıkış noktası temelinde bir izin verilenler veya engelleme listesine genel IP'ler veya ön ekler ekleyin.

Bu genel IP veya ön ek, bir yük dengeleme kuralı tarafından kullanılanla aynı olabilir.

Yük dengeleme kuralı tarafından kullanılandan farklı bir genel IP veya ön ek kullanmak için:

  1. Genel IP ön eki veya genel IP adresi oluşturun.
  2. Genel standart yük dengeleyici oluşturma
  3. Kullanmak istediğiniz genel IP ön ekine veya genel IP adresine başvuran bir ön uç oluşturun.
  4. Arka uç havuzunu yeniden kullanma veya arka uç havuzu oluşturma ve VM'leri genel yük dengeleyicinin arka uç havuzuna yerleştirme
  5. Ön ucu kullanarak VM'ler için giden NAT'yi etkinleştirmek üzere genel yük dengeleyicide bir giden kuralı yapılandırın. Giden için yük dengeleme kuralı kullanılması önerilmez, yük dengeleme kuralında giden SNAT'yi devre dışı bırakın.

Senaryo 2: SNAT bağlantı noktası ayırmayı değiştirme

Ayrıntılar

Arka uç havuzu boyutuna göre otomatik SNAT bağlantı noktası ayırmayı ayarlamak için giden kurallarını kullanabilirsiniz.

SNAT tükenmesi yaşarsanız, varsayılan değer olan 1024'ten verilen SNAT bağlantı noktası sayısını artırın.

Her genel IP adresi en fazla 64.000 kısa ömürlü bağlantı noktası sağlar. Arka uç havuzundaki VM sayısı, her vm'ye dağıtılan bağlantı noktası sayısını belirler. Arka uç havuzundaki bir VM'nin en fazla 64.000 bağlantı noktası erişimi vardır. İki VM için bir giden kuralıyla (2x 32.000 = 64.000) en fazla 32.000 SNAT bağlantı noktası verilebilir.

Varsayılan olarak verilen SNAT bağlantı noktalarını ayarlamak için giden kuralları kullanabilirsiniz. Varsayılan SNAT bağlantı noktası ayırmanın sağladığından daha fazla veya daha azını verirsiniz. Giden kuralının ön ucundaki her genel IP adresi , SNAT bağlantı noktası olarak kullanılmak üzere en fazla 64.000 kısa ömürlü bağlantı noktası sağlar.

Yük dengeleyici , SNAT bağlantı noktalarını 8'in katları halinde verir. 8 ile bölünebilen olmayan bir değer sağlarsanız yapılandırma işlemi reddedilir. Her yük dengeleme kuralı ve gelen NAT kuralı 8 bağlantı noktası aralığı tüketir. Yük dengeleme veya gelen NAT kuralı 8 aralığını diğerininkiyle paylaşıyorsa, ek bağlantı noktası tüketilmeyecektir.

Genel IP adreslerinin sayısına göre kullanılabilir olandan daha fazla SNAT bağlantı noktası vermeye çalışırsanız yapılandırma işlemi reddedilir. Örneğin, VM başına 10.000 bağlantı noktası ve arka uç havuzundaki yedi VM tek bir genel IP'yi paylaşırsa yapılandırma reddedilir. Yedi çarpı 10.000, 64.000 bağlantı noktası sınırını aşıyor. Senaryoyu etkinleştirmek için giden kuralın ön ucuna daha fazla genel IP adresi ekleyin.

Bağlantı noktası sayısı için 0 belirterek varsayılan bağlantı noktası ayırmaya geri dönebilirsiniz. Varsayılan SNAT bağlantı noktası ayırma hakkında daha fazla bilgi için bkz. SNAT bağlantı noktaları ayırma tablosu.

Senaryo 3: Yalnızca gideni etkinleştirme

Ayrıntılar

Bir vm grubu için giden NAT sağlamak üzere genel standart yük dengeleyici kullanın. Bu senaryoda, başka bir kural yapılandırılmadan bir giden kuralını tek başına kullanın.

Not

Azure Sanal Ağ NAT, yük dengeleyiciye gerek kalmadan sanal makineler için giden bağlantı sağlayabilir. Daha fazla bilgi için bkz. Azure Sanal Ağ NAT nedir?

Senaryo 4: Yalnızca VM'ler için giden NAT (gelen yok)

Not

Azure Sanal Ağ NAT, yük dengeleyiciye gerek kalmadan sanal makineler için giden bağlantı sağlayabilir. Daha fazla bilgi için bkz. Azure Sanal Ağ NAT nedir?

Ayrıntılar

Bu senaryo için: Azure Load Balancer giden kuralları ve Sanal Ağ NAT, sanal ağdan çıkış için kullanılabilir seçeneklerdir.

  1. Genel IP veya ön ek oluşturun.
  2. Genel standart yük dengeleyici oluşturma.
  3. Giden için ayrılmış genel IP veya ön ek ile ilişkilendirilmiş bir ön uç oluşturun.
  4. VM'ler için bir arka uç havuzu oluşturun.
  5. VM'leri arka uç havuzuna yerleştirin.
  6. Giden NAT'yi etkinleştirmek için bir giden kuralı yapılandırın.

SNAT bağlantı noktalarını ölçeklendirmek için bir ön ek veya genel IP kullanın. Giden bağlantıların kaynağını bir izin verilenler veya engelleme listesine ekleyin.

Senaryo 5: İç standart yük dengeleyici için giden NAT

Not

Azure Sanal Ağ NAT, iç standart yük dengeleyici kullanan sanal makineler için giden bağlantı sağlayabilir. Daha fazla bilgi için bkz. Azure Sanal Ağ NAT nedir?

Ayrıntılar

Örnek düzeyinde genel IP'ler veya Sanal Ağ NAT aracılığıyla açıkça bildirilinceye veya arka uç havuzu üyelerini yalnızca giden yük dengeleyici yapılandırmasıyla ilişkilendirene kadar iç standart yük dengeleyici için giden bağlantı kullanılamaz.

Daha fazla bilgi için bkz. Yalnızca giden yük dengeleyici yapılandırması.

Senaryo 6: Genel standart yük dengeleyici ile giden NAT için her iki TCP & UDP protokollerini de etkinleştirin

Ayrıntılar

Genel standart yük dengeleyici kullanılırken sağlanan otomatik giden NAT, yük dengeleme kuralının aktarım protokolüyle eşleşir.

  1. Yük dengeleme kuralında giden SNAT'yi devre dışı bırakın.
  2. Aynı yük dengeleyicide bir giden kuralı yapılandırın.
  3. VM'leriniz tarafından zaten kullanılan arka uç havuzunu yeniden kullanabilirsiniz.
  4. Giden kuralının bir parçası olarak "protokol": "Tümü" belirtin.

Yalnızca gelen NAT kuralları kullanıldığında, giden NAT sağlanmadı.

  1. VM'leri arka uç havuzuna yerleştirin.
  2. Genel IP adresleri veya genel IP ön eki ile bir veya daha fazla ön uç IP yapılandırması tanımlama
  3. Aynı yük dengeleyicide bir giden kuralı yapılandırın.
  4. Giden kuralın bir parçası olarak "protokol": "Tümü" belirtin

Sınırlamalar

  • Ön uç IP adresi başına en fazla kullanılabilir kısa ömürlü bağlantı noktası sayısı 64.000'dir.
  • Yapılandırılabilir giden boşta kalma zaman aşımı aralığı 4 ila 120 dakikadır (240 ila 7200 saniye).
  • Yük dengeleyici giden NAT için ICMP'yi desteklemez.
  • Giden kuralları yalnızca bir NIC'nin birincil IP yapılandırmasına uygulanabilir. Vm veya NVA'nın ikincil IP'sine giden kuralı oluşturamazsınız. Birden çok NIC desteklenir.
  • Giden bağlantı için bir kullanılabilirlik kümesi içindeki tüm sanal makinelerin arka uç havuzuna eklenmesi gerekir.
  • Giden bağlantı için bir sanal makine ölçek kümesi içindeki tüm sanal makinelerin arka uç havuzuna eklenmesi gerekir.

Sonraki adımlar