Azure NAT Gateway kaynağı
Bu makalede, NAT ağ geçidi kaynağının yüksek oranda güvenli, ölçeklenebilir ve dayanıklı giden bağlantı sağlamasına olanak tanıyan temel bileşenleri açıklanmaktadır. Bu bileşenlerden bazıları Azure portalı, Azure CLI, Azure PowerShell, Resource Manager şablonları veya uygun alternatifler aracılığıyla aboneliğinizde yapılandırılabilir.
NAT Ağ Geçidi mimarisi
NAT Gateway, dağıtılmış ve tam olarak yönetilen bir hizmet olarak çalışmak için yazılım tanımlı ağ kullanır. NAT Gateway'de birden çok hata etki alanı olduğundan, hizmet üzerinde herhangi bir etkisi olmadan birden çok hataya dayanabilir.
NAT Gateway, Azure sanal ağınızın alt ağları içindeki özel örnekler için kaynak ağ adresi çevirisi (SNAT) sağlar. Bir alt ağda yapılandırıldığında, alt ağınızdaki özel IP'ler İnternet'e bağlanmak için NAT ağ geçidinin statik genel IP adreslerine SNAT ekler. NAT Gateway ayrıca yalnızca giden kaynaklı bağlantıya yanıt paketleri için hedef ağ adresi çevirisi (DNAT) sağlar.
Şekil: İnternet'e giden nat ağ geçidi
Nat ağ geçidi bir sanal ağ içindeki bir alt ağa bağlandığında NAT ağ geçidi, İnternet'e yönlendirilen tüm giden trafik için alt ağın varsayılan sonraki atlama türünü varsayar. Ek yönlendirme yapılandırması gerekmez. NAT Ağ Geçidi, internetten istenmeyen gelen bağlantılar sağlamaz. DNAT yalnızca giden pakete yanıt olarak gelen paketler için gerçekleştirilir.
Alt ağlar
BIR NAT ağ geçidi, İnternet'e giden bağlantı sağlamak için bir sanal ağ içindeki birden çok alt ağa bağlanabilir. Bir NAT ağ geçidi bir alt ağa bağlı olduğunda, varsayılan İnternet yolunu kabul eder. Ardından NAT ağ geçidi, İnternet'e yönlendirilen tüm giden trafik için sonraki atlama türü olur.
Aşağıdaki alt ağ yapılandırmaları NAT ağ geçidiyle kullanılamaz:
NAT ağ geçidi bir alt ağa bağlı olduğunda, varsayılan İnternet yolunu kabul eder. Yalnızca bir NAT ağ geçidi, bir alt ağ için İnternet'e giden varsayılan yol olarak görev yapabilir.
NAT ağ geçidi, farklı sanal ağlardan alt ağlara eklenemez.
NAT ağ geçidi, ağ geçidi alt ağıyla kullanılamaz. Ağ geçidi alt ağı, azure sanal ağı ile şirket içi konum arasında şifrelenmiş trafik göndermek için vpn ağ geçidi için belirlenmiş bir alt ağdır. Ağ geçidi alt ağı hakkında daha fazla bilgi için bkz . Ağ geçidi alt ağı.
Statik genel IP adresleri
Nat ağ geçidi, giden bağlantı sağlamak için statik genel IP adresleri veya genel IP ön ekleriyle ilişkilendirilebilir. NAT Ağ Geçidi IPv4 adreslerini destekler. NAT ağ geçidi genel IP adreslerini veya ön eklerini toplam 16 IP adresine kadar herhangi bir birleşimde kullanabilir. Genel IP ön eki atarsanız, genel IP ön ekinin tamamı kullanılır. Doğrudan genel IP ön ekini kullanabilir veya ön ekin genel IP adreslerini birden fazla NAT ağ geçidi kaynağı arasında dağıtabilirsiniz. NAT ağ geçidi, tüm trafiği ön ekin IP adresleri aralığına yönlendirir.
NAT ağ geçidi IPv6 genel IP adresleri veya ön ekleriyle kullanılamaz.
NAT ağ geçidi temel SKU genel IP adresleriyle kullanılamaz.
SNAT bağlantı noktaları
SNAT bağlantı noktası envanteri genel IP adresleri, genel IP ön ekleri veya nat ağ geçidine eklenmiş her ikisi tarafından sağlanır. SNAT bağlantı noktası envanteri, NAT ağ geçidine bağlı bir alt ağ içindeki tüm örnekler için isteğe bağlı olarak kullanılabilir hale getirilmiştir. Örnek başına SNAT bağlantı noktalarının önceden yerleştirilmesi gerekmez.
SNAT bağlantı noktaları ve Azure NAT Ağ Geçidi hakkında daha fazla bilgi için bkz . Azure NAT Gateway ile Kaynak Ağ Adresi Çevirisi (SNAT).
Bir sanal ağ içindeki birden çok alt ağ aynı NAT ağ geçidi kaynağına eklendiğinde, NAT Gateway tarafından sağlanan SNAT bağlantı noktası envanteri tüm alt ağlarda paylaşılır.
SNAT bağlantı noktaları, farklı bağlantı akışlarını birbirinden ayırt etmek için benzersiz tanımlayıcılar işlevi görür. Aynı SNAT bağlantı noktası, farklı hedef uç noktalara aynı anda bağlanmak için kullanılabilir.
Farklı bağlantı akışlarını birbirinden ayırmak için aynı hedef uç noktaya bağlantı kurmak için farklı SNAT bağlantı noktaları kullanılır. Aynı hedefe bağlanmak için yeniden kullanılan SNAT bağlantı noktaları yeniden kullanılamadan önce yeniden kullanım süreölçerine yerleştirilir.
Tek bir NAT ağ geçidi 16 IP adresine kadar ölçeklendirilebilir. Her NAT ağ geçidi genel IP adresi, giden bağlantılar yapmak için 64.512 SNAT bağlantı noktası sağlar. NAT ağ geçidi 1 milyondan fazla SNAT bağlantı noktasının ölçeğini artırabilir. TCP ve UDP ayrı SNAT bağlantı noktası envanterleridir ve NAT Ağ Geçidi ile ilgisizdir.
Kullanılabilirlik alanları
NAT ağ geçidi belirli bir kullanılabilirlik alanında oluşturulabilir veya hiçbir bölgeye yerleştirilemedi. Bir NAT ağ geçidi hiçbir bölgeye yerleştirilmeyen Azure, NAT ağ geçidinin bulunduğu bölgeyi seçer.
Bölgesel olarak yedekli genel IP adresleri bölgesel nat ağ geçidi kaynaklarıyla kullanılabilir veya kullanılamaz.
Öneri, tek tek kullanılabilirlik alanlarına nat ağ geçidi yapılandırmaktır. Ayrıca, aynı bölgeden özel örnekleri olan alt ağlara eklenmelidir. Kullanılabilirlik alanları ve Azure NAT Ağ Geçidi hakkında daha fazla bilgi için bkz . Kullanılabilirlik alanları tasarım konuları.
Nat ağ geçidi dağıtıldıktan sonra bölge seçimi değiştirilemez.
Protokoller
NAT Gateway, UDP ve TCP akışlarının IP ve IP aktarım üst bilgileriyle etkileşim kurar. NAT Gateway, uygulama katmanı yüklerinden bağımsızdır. Diğer IP protokolleri desteklenmez.
TCP sıfırlama
NAT ağ geçidi var olmayan bir bağlantı akışındaki trafiği algıladığında TCP sıfırlama paketi gönderilir. TCP sıfırlama paketi, alıcı uç noktaya bağlantı akışının yayınlandığını ve bu TCP bağlantısındaki gelecekteki iletişimlerin başarısız olacağını gösterir. TCP sıfırlama, NAT ağ geçidi için tek yönlüdür.
Bağlantı akışı şu durumlarda mevcut olmayabilir:
Bağlantı akışında bir süre etkinlik dışı kaldıktan sonra boşta kalma zaman aşımına ulaşıldı ve bağlantı sessizce bırakıldı.
Gönderen, Azure ağ tarafından veya genel İnternet tarafından bağlantı bırakıldıktan sonra trafik gönderdi.
TCP sıfırlama paketi yalnızca bırakılan bağlantı akışındaki trafik algılandığında gönderilir. Bu işlem, bağlantı akışı düştükten hemen sonra TCP sıfırlama paketinin gönderilmeyebileceği anlamına gelir.
Sistem, trafiğin Azure ağ tarafından mı yoksa genel İnternet tarafından mı kaynaklandığına bakılmaksızın, var olmayan bir bağlantı akışındaki trafiği algılamaya yanıt olarak bir TCP sıfırlama paketi gönderir.
TCP boşta kalma zaman aşımı
NAT ağ geçidi, TCP protokolleri için 4 dakika ile 120 dakika arasında yapılandırılabilir bir boşta kalma zaman aşımı aralığı sağlar. UDP protokollerinin yapılandırılamaz boşta kalma zaman aşımı süresi 4 dakikadır.
Bağlantı boşta kaldığında, bağlantı boşta kalma süresi geçene kadar NAT ağ geçidi SNAT bağlantı noktasını tutar. Uzun boşta kalma zaman aşımı süreölçerleri gereksiz yere SNAT bağlantı noktası tükenme olasılığını artırabileceğinden, TCP boşta kalma zaman aşımı süresinin varsayılan 4 dakikadan daha uzun bir süreye artırılması önerilmez. Boşta zamanlayıcı, hiçbir zaman boşta olmayan bir akışı etkilemez.
TCP korumaları, uzun boşta bağlantıları yenileme ve uç nokta canlılığı algılama deseni sağlamak için kullanılabilir. Daha fazla bilgi için bu .NET örneklerine bakın. TCP korumaları uç noktalarda yinelenen AK'ler olarak görünür, düşük ek yüke sahiptir ve uygulama katmanında görünmez.
UDP boşta zaman aşımı zamanlayıcıları yapılandırılamaz, boşta kalma zaman aşımı değerine ulaşılmadığından ve bağlantının korundığından emin olmak için UDP korumaları kullanılmalıdır. TCP bağlantılarından farklı olarak, bağlantının bir tarafında etkinleştirilen udp tutma özelliği yalnızca tek yöndeki trafik akışı için geçerlidir. Trafik akışını canlı tutmak için UDP tutmaları trafik akışının her iki tarafında da etkinleştirilmelidir.
Süreölçerler
Bağlantı Noktası Yeniden Kullanım Zamanlayıcıları
Bağlantı noktası yeniden kullanım zamanlayıcıları, nat ağ geçidi tarafından aynı hedef uç noktaya gitmek üzere yeniden kullanılamadan önce bir bağlantı kapatıldıktan sonra kaynak bağlantı noktasının beklemede olduğu süreyi belirler.
Aşağıdaki tabloda, BIR TCP bağlantı noktasının NAT ağ geçidi tarafından aynı hedef uç noktada yeniden kullanılabilir duruma gelmesiyle ilgili bilgiler sağlanmaktadır.
| Zamanlayıcı | Açıklama | Değer |
|---|---|---|
| TCP FIN | Tcp FIN paketiyle bağlantı kapatıldıktan sonra, SNAT bağlantı noktasını tutan 65 saniyelik bir zamanlayıcı etkinleştirilir. SNAT bağlantı noktası, zamanlayıcı sona erdikten sonra yeniden kullanılabilir. | 65 saniye |
| TCP RST | Tcp RST paketi (sıfırlama) ile bağlantı kapatıldıktan sonra, SNAT bağlantı noktasını tutan 16 saniyelik bir zamanlayıcı etkinleştirilir. Zamanlayıcı sona erdiğinde, bağlantı noktası yeniden kullanılabilir. | 16 saniye |
| TCP yarı açık | Bir bağlantı uç noktasının diğer uç noktadan bildirim beklediği bağlantı kurulumu sırasında 30 saniyelik bir zamanlayıcı etkinleştirilir. Trafik algılanırsa bağlantı kapatılır. Bağlantı kapatıldıktan sonra kaynak bağlantı noktası aynı hedef uç noktada yeniden kullanılabilir. | 30 saniye |
UDP trafiği için bağlantı kapatıldıktan sonra bağlantı noktası yeniden kullanılabilir duruma gelmeden önce 65 saniye boyunca basılı kalır.
Boşta Kalma Zaman Aşımı Zamanlayıcıları
| Zamanlayıcı | Açıklama | Değer |
|---|---|---|
| TCP boşta kalma zaman aşımı | Tcp bağlantıları, uzun bir süre boyunca her iki uç nokta arasında veri iletildiğinde boşta olabilir. Zamanlayıcı, boşta kalan bir bağlantının zaman aşımına uğrarken 4 dakikadan (varsayılan) 120 dakikaya (2 saat) kadar yapılandırılabilir. Akış üzerindeki trafik boşta kalma zaman aşımı zamanlayıcısını sıfırlar. | Yapılandırılabilir; 4 dakika (varsayılan) - 120 dakika |
| UDP boşta kalma zaman aşımı | UDP bağlantıları, uzun bir süre boyunca iki uç nokta arasında hiçbir veri aktarılmadığında boşta olabilir. UDP boşta kalma zaman aşımı zamanlayıcıları 4 dakikadır ve yapılandırılamaz. Akış üzerindeki trafik boşta kalma zaman aşımı zamanlayıcısını sıfırlar. | Yapılandırılamaz; 4 dakika |
Not
Bu zamanlayıcı ayarları değiştirilebilir. Değerler sorun gidermeye yardımcı olmak için sağlanır ve şu anda belirli süreölçerlere bağımlılık almamalısınız.
Bant genişliği
Her NAT ağ geçidi toplam 50 Gb/sn'ye kadar aktarım hızı sağlayabilir. Veri aktarım hızı sınırlaması giden ve gelen (yanıt) veriler arasında bölünür. Veri aktarım hızı giden için 25 Gb/sn ve NAT ağ geçidi kaynağı başına gelen (yanıt) veriler için 25 Gb/sn ile sınırlıdır. Dağıtımlarınızı birden çok alt ağa bölebilir ve ölçeği genişletmek için her alt ağı veya alt ağ grubunu bir NAT ağ geçidine atayabilirsiniz.
Performans
NAT ağ geçidi, TCP ve UDP için İnternet üzerinden aynı hedef uç noktaya genel IP adresi başına en fazla 50.000 eşzamanlı bağlantıyı destekleyebilir. NAT ağ geçidi saniyede 1M paketleri işleyebilir ve saniyede 5M pakete kadar ölçeklendirilebilir.
Nat ağ geçidinin herhangi bir zamanda destekleyebileceği toplam bağlantı sayısı 2 milyona kadardır. NAT ağ geçidi 2 milyon bağlantıyı aşarsa veri yolu kullanılabilirliğinizde bir düşüş görürsünüz ve yeni bağlantılar başarısız olur.
Sınırlamalar
Temel yük dengeleyiciler ve temel genel IP adresleri NAT ağ geçidiyle uyumlu değildir. Bunun yerine standart SKU yük dengeleyicileri ve genel IP'leri kullanın.
Yük dengeleyiciyi temelden standarda yükseltmek için bkz . Azure Genel Yük Dengeleyici'yi yükseltme
Genel IP adresini temelden standarda yükseltmek için bkz . Genel IP adresini yükseltme
NAT ağ geçidi ICMP'i desteklemiyor
IP parçalanması NAT Ağ Geçidi için kullanılamaz.
NAT Gateway, yönlendirme yapılandırma türü İnternet olan Genel IP adreslerini desteklemez. Genel IP'lerde yönlendirme yapılandırması internetini destekleyen Azure hizmetlerinin listesini görmek için bkz . Genel İnternet üzerinden yönlendirme için desteklenen hizmetler.
DDoS koruması etkinleştirilmiş genel IP'ler NAT ağ geçidinde desteklenmez. Daha fazla bilgi için bkz . DDoS sınırlamaları.
Sonraki adımlar
Azure NAT Ağ Geçidi'ni gözden geçirin.
NAT ağ geçidi için ölçümler ve uyarılar hakkında bilgi edinin.
NAT ağ geçidi sorunlarını gidermeyi öğrenin.