Настройка доступа к Интернету с помощью NAT виртуальной сети Azure
Глобально диапазоны IPv4-адресов очень ограничены и могут стать дорогостоящим способом предоставления доступа к Интернет-ресурсам. Преобразование сетевых адресов (NAT) появилось в результате этой потребности во внутренних ресурсах в частной сети для совместного использования маршрутизируемых IPv4-адресов для получения доступа к внешним ресурсам в общедоступной сети. Вместо того чтобы покупать IPv4-адрес для каждого ресурса, требующего доступа к Интернету, можно использовать службу NAT для сопоставления исходящих запросов от внутренних ресурсов с внешним IP-адресом, необходимого для создания соединения.
Службы NAT позволяют сопоставлять отдельные IP-адреса, диапазоны IP-адресов, задаваемые префиксом IP, и диапазоны портов, связанных с IP-адресом. NAT совместимо с ресурсами общедоступного IP-адреса с SKU "Стандартный", ресурсами префикса общедоступного IP-адреса или их сочетанием. Вы можете использовать префикс общедоступного IP-адреса напрямую или распространять общедоступные IP-адреса префикса по нескольким ресурсам шлюза NAT. NAT будет сопоставлять весь трафик с диапазоном IP-адресов с определенным префиксом. NAT позволяет создавать потоки из виртуальной сети в Интернете. Возврат трафика из Интернета разрешен только в ответ на активный поток.
На следующей схеме показан исходящий поток трафика из подсети 1 через шлюз NAT, который необходимо сопоставить с общедоступным IP-адресом или префиксом общедоступных IP-адресов.
Вы определяете конфигурацию NAT для каждой подсети в виртуальной сети, чтобы разрешить исходящие подключения, указав ресурс шлюза NAT, который следует использовать. После настройки NAT все исходящие потоки UDP и TCP от любого экземпляра виртуальной машины будут использовать NAT для подключения к Интернету. Дальнейшая настройка не требуется, и вам не нужно создавать какие-либо пользовательские маршруты. У NAT есть приоритет над другими сценариями исходящих подключений, и оно заменяет стандартный адрес назначения в Интернете для подсети.
Поддержка динамических рабочих нагрузок путем масштабирования NAT
При использовании NAT вам не нужно выполнять сложные предварительные операции планирования и распределения адресов, так как для поддержки динамических рабочих нагрузок используется масштабирование NAT. С помощью преобразования сетевых адресов портов (PNAT или PAT) NAT обеспечивает до 64 000 параллельных потоков для UDP и TCP соответственно для каждого подключенного общедоступного IP-адреса. NAT может поддерживать до 16 общедоступных IP-адресов.
Развертывание NAT
Настройка и использование шлюза NAT — это простой процесс:
Ресурс шлюза NAT:
- Создайте региональный или зональный (ограниченный зоной) ресурс шлюза NAT.
- Назначьте IP-адреса.
- При необходимости измените время ожидания простоя протокола TCP.
Виртуальная сеть.
- Настройте использование шлюза NAT в подсети виртуальной сети.
- Пользователю не нужно определять маршруты.
Сосуществование входящего и исходящего трафика
NAT совместимо со следующими ресурсами SKU "Стандартный":
- Подсистема балансировки нагрузки
- Общедоступный IP-адрес
- Префикс общедоступного IP-адреса
В отношении NAT и совместимых функций SKU "Стандартный" учитывается направление запуска потока. Сценарии входящих и исходящих подключений могут сосуществовать. Эти сценарии будут получать правильные преобразованные сетевые адреса, так как эти функции учитывают направление потока. При совместном использовании с NAT эти ресурсы обеспечивают входящее подключение к Интернету для подсетей.
Ограничения NAT
- NAT совместимо с общедоступным IP-адресом номера SKU (цен. категории "Стандартный"), префиксами общедоступного IP-адреса и ресурсами подсистемы балансировки нагрузки. Ресурсы ценовой категории "Базовый"(например, базовая подсистема балансировки нагрузки) и все производные от них продукты несовместимы с NAT. Базовые ресурсы необходимо размещать в подсети, в которой не настроено NAT.
- Поддерживается семейство IPv4-адресов. NAT не взаимодействует с семейством IPv6-адресов. NAT нельзя развернуть в подсети с префиксом IPv6.
- NAT не распространяется на несколько виртуальных сетей.
- Фрагментация IP-пакетов не поддерживается.
Выберите наилучший ответ на каждый из вопросов ниже. Затем нажмите кнопку Проверьте свои ответы.