Поделиться через

Интеграция шлюза NAT Azure

Шлюз NAT Azure — это полностью управляемая, высоко отказоустойчивая служба, которая гарантирует, что весь исходящий трафик, подключенный к Интернету, направляется через шлюз преобразования сетевых адресов (NAT). Он может быть связан с одной или несколькими подсетями. Существует два важных сценария, в которых можно использовать шлюз NAT со службой приложений Azure.

Шлюз NAT предоставляет статический общедоступный IP-адрес для исходящего трафика, доступного к Интернету. Использование шлюза NAT также значительно увеличивает доступные порты преобразования сетевых адресов источника (SNAT) в сценариях, где имеется большое количество одновременных подключений к одному сочетанию общедоступных адресов и портов.

Схема, показывающая поток интернет-трафика к шлюзу NAT в виртуальной сети Azure.

Ниже приведены важные рекомендации по интеграции шлюза NAT Azure:

  • Вопрос о возможности использования шлюза NAT с App Service зависит от интеграции виртуальной сети, поэтому необходимо иметь поддерживаемую ценовую категорию в плане App Service.
  • При использовании шлюза NAT вместе со службой приложений все трафик в службу хранилища Azure должен использовать частные конечные точки или конечные точки службы.
  • Шлюз NAT нельзя использовать вместе с средой службы приложений версии 1 или 2.

Дополнительные сведения и цены см. в обзоре шлюза NAT Azure.

Настройка интеграции шлюза NAT

Чтобы настроить интеграцию шлюза NAT со службой приложений, сначала выполните следующие задачи:

  1. Настройте интеграцию региональной виртуальной сети с приложением, как описано в статье "Интеграция приложения с виртуальной сетью Azure".

  2. Убедитесь, что функция Route All включена для интеграции виртуальной сети, поэтому маршруты в виртуальной сети влияют на трафик, подключенный к Интернету.

  3. Подготовьте шлюз NAT с общедоступным IP-адресом и свяжите его с подсетью для интеграции виртуальной сети.

Настройка шлюза Azure NAT с помощью портала Azure

  1. На портале Azure перейдите в службу приложений>Сеть. В разделе "Исходящий трафик" выберите "Интеграция виртуальной сети". Убедитесь, что ваше приложение интегрировано с подсетью и функция Route All включена.

    Снимок экрана: параметр Route All включен для интеграции виртуальной сети.

  2. В меню портала Azure или на домашней странице выберите "Создать ресурс". Откроется панель "Новый".

  3. Найдите шлюз NAT и выберите его из списка результатов.

  4. Введите сведения об основах и выберите регион, в котором находится ваше приложение.

    Снимок экрана: вкладка

  5. На вкладке исходящих IP-адресов создайте общедоступный IP-адрес или выберите существующую.

    Снимок экрана: вкладка исходящих IP-адресов на странице создания шлюза NAT.

  6. На вкладке "Подсеть" выберите подсеть , используемую для интеграции виртуальной сети.

    Снимок экрана: вкладка

  7. При необходимости заполните теги и нажмите кнопку "Создать". После подготовки шлюза NAT выберите "Перейти к группе ресурсов" и выберите новый шлюз NAT. В области исходящих IP-адресов отображается общедоступный IP-адрес, который приложение использует для исходящего трафика в Интернете.

    Снимок экрана: область исходящих IP-адресов для шлюза NAT на портале Azure.

Если вы предпочитаете использовать Azure CLI для настройки среды, используйте следующие команды. В качестве предварительных требований создайте приложение с настроенной интеграцией виртуальной сети.

  1. Убедитесь, что для интеграции виртуальной сети настроен маршрут all :

    az webapp config set --resource-group [myResourceGroup] --name [myWebApp] --vnet-route-all-enabled

  2. Создайте общедоступный IP-адрес и шлюз NAT:

    az network public-ip create --resource-group [myResourceGroup] --name myPublicIP --sku standard --allocation static

az network nat gateway create --resource-group [myResourceGroup] --name myNATgateway --public-ip-addresses myPublicIP --idle-timeout 10

  3. Свяжите шлюз NAT с подсетью для интеграции виртуальной сети:

    az network vnet subnet update --resource-group [myResourceGroup] --vnet-name [myVnet] --name [myIntegrationSubnet] --nat-gateway myNATgateway

Масштабирование шлюза NAT

Один и тот же шлюз NAT можно использовать в нескольких подсетях в одной виртуальной сети. Такой подход позволяет использовать шлюз NAT в нескольких приложениях и планах службы приложений.

Шлюз NAT Azure поддерживает как общедоступные IP-адреса, так и префиксы общедоступных IP-адресов. Шлюз NAT может поддерживать до 16 IP-адресов в отдельных IP-адресах и префиксах. Каждый IP-адрес выделяет 64512 портов (SNAT), что позволяет до одного миллиона доступных портов. Дополнительные сведения см. в ресурсе шлюза NAT Azure.

Связанный контент