Управление правилами NAT для входящего трафика для Azure Load Balancer

Правило NAT для входящего трафика используется для перенаправления трафика от фронтенда балансировщика нагрузки к одному или нескольким экземплярам в пуле бэкенда.

Есть два типа правил NAT для входящего трафика:

Правило входящего NAT версии 1 для виртуальных машин: нацелено на одну виртуальную машину в пуле серверов балансировщика нагрузки.
Правило NAT для входящих подключений версии 2 для виртуальных машин и масштабируемых наборов виртуальных машин: предназначено для нескольких виртуальных машин в серверном пуле подсистемы балансировки нагрузки.

Из этой статьи вы узнаете, как добавить и удалить входящее правило NAT для обоих типов. Вы узнаете, как изменить выделение порта интерфейса во входящем правиле NAT для нескольких инстанций. Вы можете выбрать из примеров портала Azure, PowerShell или CLI.

Если у вас нет аккаунта Azure, создайте бесплатную учетную запись перед началом.

Предварительные условия

Общедоступный балансировщик нагрузки в вашей подписке. Дополнительные сведения о создании Azure Load Balancer см. в документе Краткое руководство. Создание общедоступной подсистемы балансировки нагрузки с помощью портала Azure для распределения нагрузки между виртуальными машинами. Имя подсистемы балансировки нагрузки для примеров в этой статье — myLoadBalancer.
Чтобы установить и использовать PowerShell локально, для работы с этой статьей вам понадобится модуль Azure PowerShell 5.4.1 или более поздней версии. Запустите команду Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
- Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".
- Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.
- Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Правило NAT для входящих подключений версии 1 для виртуальных машин

Выберите этот параметр, чтобы настроить правило для одной виртуальной машины. Для инструкций выберите портал Azure, PowerShell или CLI.

В этом примере вы создадите правило NAT для входящего трафика для пересылки порта 500 на внутренний порт 443.

Войдите на портал Azure.
В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.
Выберите myLoadBalancer или свою подсистему балансировки нагрузки.
На странице подсистемы балансировки нагрузки выберите Правила NAT для входящего трафика в разделе Параметры.
Выберите + Добавить в разделе Правила NAT для входящего трафика, чтобы добавить правило.

В разделе Добавление правила NAT для входящего трафика введите или выберите указанные ниже сведения.

Настройка	Значение
Имя.	Введите myInboundNATrule.
Тип	Выберите Виртуальная машина Azure.
Целевая виртуальная машина	Выберите виртуальную машину, на которую вы хотите перенаправить порт. В этом примере это myVM1.
IP-конфигурация сети	Выберите IP-конфигурацию виртуальной машины. В этом примере это ipconfig1(10.1.0.4).
Внешний IP-адрес	Выберите myFrontend.
Фронтэнд порт	Введите 500.
Сервисный тег	Оставьте значение по умолчанию Настраиваемое.
Серверный порт	Введите 443.
Протокол	Выберите TCP.

Оставьте остальные значения по умолчанию и щелкните Добавить.

В этом примере вы создадите правило NAT для входящего трафика для пересылки порта 500 на внутренний порт 443.

Используйте Get-AzLoadBalancer, чтобы поместить сведения о подсистеме балансировки нагрузки в переменную.
Используйте Add-AzLoadBalancerInboundNatRuleConfig, чтобы создать правило NAT для входящего трафика.
- Чтобы сохранить конфигурацию в подсистеме балансировки нагрузки, используйте Set-AzLoadBalancer.
Используйте Get-AzLoadBalancerInboundNatRuleConfig , чтобы поместить только что созданные сведения о правиле NAT для входящего трафика в переменную.
Используйте Get-AzNetworkInterface , чтобы поместить сведения сетевого интерфейса в переменную.
Используйте Set-AzNetworkInterfaceIpConfig , чтобы добавить только что созданное правило NAT для входящего трафика в IP-конфигурацию сетевого интерфейса.

Чтобы сохранить конфигурацию в сетевом интерфейсе, используйте Set-AzNetworkInterface.

## Place the load balancer information into a variable for later use. ##
$slb = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myLoadBalancer'
}
$lb = Get-AzLoadBalancer @slb

## Create the single virtual machine inbound NAT rule. ##
$rule = @{
    Name = 'myInboundNATrule'
    Protocol = 'Tcp'
    FrontendIpConfiguration = $lb.FrontendIpConfigurations[0]
    FrontendPort = '500'
    BackendPort = '443'
}
$lb | Add-AzLoadBalancerInboundNatRuleConfig @rule

$lb | Set-AzLoadBalancer

## Add the inbound NAT rule to a virtual machine 

$NatRule = @{                                                                                       
    Name = 'MyInboundNATrule'
    LoadBalancer = $lb
}

$NatRuleConfig = Get-AzLoadBalancerInboundNatRuleConfig @NatRule 

$NetworkInterface = @{                                                                                           
     ResourceGroupName = 'myResourceGroup'
     Name = 'MyNIC'
 }

 $NIC = Get-AzNetworkInterface @NetworkInterface
 
 $IPconfig = @{                                                                                       
    Name = 'Ipconfig'
    LoadBalancerInboundNatRule = $NatRuleConfig
}

$NIC | Set-AzNetworkInterfaceIpConfig @IPconfig

$NIC | Set-AzNetworkInterface

Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
- Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".
- Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.
- Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

В этом примере вы создадите правило NAT для входящего трафика для пересылки порта 500 на внутренний порт 443. Затем вы присоедините правило NAT для входящего трафика к сетевому адаптеру виртуальной машины.

Используйте az network lb inbound-nat-rule create, чтобы создать правило NAT.
Используйте az network nic ip-config inbound-nat-rule add, чтобы добавить правило входящего NAT на сетевой интерфейс ВМ.

    az network lb inbound-nat-rule create \
        --backend-port 443 \
        --lb-name myLoadBalancer \
        --name myInboundNATrule \
        --protocol Tcp \
        --resource-group myResourceGroup \
        --frontend-ip-name myFrontend \
        --frontend-port 500

    az network nic ip-config inbound-nat-rule add \
        --resource-group myResourceGroup \
        --nic-name MyNic \
        --ip-config-name MyIpConfig \
        --inbound-nat-rule MyNatRule \
        --lb-name myLoadBalancer

Правило NAT для входящих подключений версии 2 для виртуальных машин и масштабируемых наборов виртуальных машин

Выберите этот параметр, чтобы настроить правило с диапазоном портов в серверный пул виртуальных машин. Для инструкций выберите портал Azure, PowerShell или CLI.

В этом примере вы создадите правило NAT для входящего трафика для пересылки диапазона портов, начиная с порта 500 на внутренний порт 443. Максимальное число машин в серверном пуле задается параметром Максимальное число машин в серверном пуле со значением 500. Этот параметр ограничивает серверный пул 500 виртуальными машинами.

Войдите на портал Azure.
В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.
Выберите myLoadBalancer или свою подсистему балансировки нагрузки.
На странице подсистемы балансировки нагрузки выберите Правила NAT для входящего трафика в разделе Параметры.
Выберите + Добавить в разделе Правила NAT для входящего трафика, чтобы добавить правило.

В разделе Добавление правила NAT для входящего трафика введите или выберите указанные ниже сведения.

Настройка	Значение
Имя.	Введите myInboundNATrule.
Тип	Выберите Серверный пул.
Целевой серверный пул	Выберите серверный пул. В нашем примере это myBackendPool.
Внешний IP-адрес	Выберите интерфейсный IP-адрес. В этом примере это myFrontend.
Начало диапазона фронтальных портов	Введите 500.
Максимальное число узлов в серверном пуле	Введите 500.
Серверный порт	Введите 443.
Протокол	Выберите TCP.

Оставьте остальные значения по умолчанию и щелкните Добавить.

В этом примере вы создадите правило NAT для входящего трафика для пересылки диапазона портов, начиная с порта 500 на внутренний порт 443. Максимальное число машин в серверном пуле задается параметром -FrontendPortRangeEnd со значением 1000. Этот параметр ограничивает серверный пул 500 виртуальными машинами.

Используйте Get-AzLoadBalancer, чтобы поместить сведения о подсистеме балансировки нагрузки в переменную.
Используйте Add-AzLoadBalancerInboundNatRuleConfig, чтобы создать правило NAT для входящего трафика.
- Чтобы сохранить конфигурацию в подсистеме балансировки нагрузки, используйте Set-AzLoadBalancer.

## Place the load balancer information into a variable for later use. ##
$slb = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myLoadBalancer'
}
$lb = Get-AzLoadBalancer @slb

## Create the multiple virtual machines inbound NAT rule. ##
$rule = @{
    Name = 'myInboundNATrule'
    Protocol = 'Tcp'
    BackendPort = '443'
    FrontendIpConfiguration = $lb.FrontendIpConfigurations[0]
    FrontendPortRangeStart = '500'
    FrontendPortRangeEnd = '1000'
    BackendAddressPool = $lb.BackendAddressPools[0]
}
$lb | Add-AzLoadBalancerInboundNatRuleConfig @rule

$lb | Set-AzLoadBalancer

В этом примере вы создадите правило NAT для входящего трафика для пересылки диапазона портов, начиная с порта 500 на внутренний порт 443. Максимальное число машин в серверном пуле задается параметром --frontend-port-range-end со значением 1000. Этот параметр ограничивает серверный пул 500 виртуальными машинами.

Используйте az network lb inbound-nat-rule create, чтобы создать правило NAT.

    az network lb inbound-nat-rule create \
        --backend-port 443 \
        --lb-name myLoadBalancer \
        --name myInboundNATrule \
        --protocol Tcp \
        --resource-group myResourceGroup \
        --backend-pool-name myBackendPool \
        --frontend-ip-name myFrontend \
        --frontend-port-range-end 1000 \
        --frontend-port-range-start 500

Изменение выделения порта фронтенда для правила, применяемого к нескольким виртуальным машинам

Чтобы разместить больше виртуальных машин в серверном пуле в соответствии с правилом для нескольких экземпляров, измените назначение внешнего порта в правиле NAT для входящего трафика. В этом примере вы измените максимальное количество компьютеров в серверном пуле с 500 на 1000. Этот параметр увеличивает максимальное количество компьютеров в серверном пуле до 1000.

Войдите на портал Azure.
В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.
Выберите myLoadBalancer или свою подсистему балансировки нагрузки.
На странице подсистемы балансировки нагрузки выберите Правила NAT для входящего трафика в разделе Параметры.
Выберите правило NAT для входящего трафика, которое вы хотите изменить. В этом примере это myInboundNATrule.
В свойствах правила NAT для входящего трафика задайте для параметра Максимальное число компьютеров в серверном пуле значение 1000.
Выберите Сохранить.

Чтобы разместить больше виртуальных машин в серверном пуле в соответствии с правилом для нескольких экземпляров, измените назначение внешнего порта в правиле NAT для входящего трафика. В этом примере параметр изменится -FrontendPortRangeEnd на 1500. Этот параметр увеличивает максимальное количество компьютеров в серверном пуле до 1000.

Используйте Get-AzLoadBalancer, чтобы поместить сведения о подсистеме балансировки нагрузки в переменную.
Чтобы изменить назначение порта, используйте Set-AzLoadBalancerInboundNatRuleConfig.

## Place the load balancer information into a variable for later use. ##
$slb = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myLoadBalancer'
}
$lb = Get-AzLoadBalancer @slb

## Set the new port allocation
$rule = @{
    Name = 'myInboundNATrule'
    Protocol = 'Tcp'
    BackendPort = '443'
    FrontendIpConfiguration = $lb.FrontendIpConfigurations[0]
    FrontendPortRangeStart = '500'
    FrontendPortRangeEnd = '1500'
    BackendAddressPool = $lb.BackendAddressPools[0]
}
$lb | Set-AzLoadBalancerInboundNatRuleConfig @rule

Чтобы разместить больше виртуальных машин в серверном пуле, измените назначение интерфейсного порта в правиле NAT для входящего трафика. В этом примере параметр изменится --frontend-port-range-end на 1500. Этот параметр увеличивает максимальное количество компьютеров в серверном пуле до 1000

Используйте az network lb inbound-nat-rule update, чтобы изменить назначение интерфейсного порта.

    az network lb inbound-nat-rule update \
        --frontend-port-range-end 1500 \
        --lb-name myLoadBalancer \
        --name myInboundNATrule \
        --resource-group myResourceGroup

Просмотр сопоставлений портов

Сопоставления портов для виртуальных машин в серверном пуле можно просмотреть на портале Azure.

Войдите на портал Azure.
В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.
Выберите myLoadBalancer или свою подсистему балансировки нагрузки.
На странице подсистемы балансировки нагрузки выберите Правила NAT для входящего трафика в разделе Параметры.
Выберите myInboundNATrule или правило NAT для входящего трафика.
Перейдите в раздел Сопоставление портов на странице свойств правила NAT для входящего трафика.

Удаление правила NAT для входящего трафика

В этом примере удаляется правило NAT для входящего трафика.

Войдите на портал Azure.
В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.
Выберите myLoadBalancer или свою подсистему балансировки нагрузки.
На странице подсистемы балансировки нагрузки выберите Правила NAT для входящего трафика в разделе Параметры.
Выберите три точки рядом с правилом, которое необходимо удалить.
Выберите команду Удалить.

В этом примере удаляется правило NAT для входящего трафика.

Используйте Get-AzLoadBalancer, чтобы поместить сведения о подсистеме балансировки нагрузки в переменную.
Чтобы удалить правило NAT для входящего трафика, используйте Remove-AzLoadBalancerInboundNatRuleConfig.
Чтобы сохранить конфигурацию в подсистеме балансировки нагрузки, используйте Set-AzLoadBalancer.

## Place the load balancer information into a variable for later use. ##
$slb = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myLoadBalancer'
}
$lb = Get-AzLoadBalancer @slb

## Remove the inbound NAT rule
$lb | Remove-AzLoadBalancerInboundNatRuleConfig -Name 'myInboundNATrule'

$lb | Set-AzLoadBalancer

В этом примере удаляется правило NAT для входящего трафика.

Используйте az network lb inbound-nat-rule delete, чтобы удалить правило.

    az network lb inbound-nat-rule delete \
        --lb-name myLoadBalancer \
        --name myInboundNATrule \
        --resource-group myResourceGroup

Следующие шаги

В этой статье вы узнали, как управлять правилами NAT для входящего трафика для Azure Load Balancer с помощью портал Azure, PowerShell и CLI.

Дополнительные сведения об Azure Load Balancer см. в следующих статьях:

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2024-12-06

Поделиться через

Управление правилами NAT для входящего трафика для Azure Load Balancer

Предварительные условия

Правило NAT для входящих подключений версии 1 для виртуальных машин

Правило NAT для входящих подключений версии 2 для виртуальных машин и масштабируемых наборов виртуальных машин

Изменение выделения порта фронтенда для правила, применяемого к нескольким виртуальным машинам

Просмотр сопоставлений портов

Удаление правила NAT для входящего трафика

Следующие шаги

Обратная связь

Дополнительные ресурсы