Azure NAT 网关是一项完全托管且高度可复原的服务,可确保所有面向 Internet 的出站流量都通过网络地址转换(NAT)网关进行路由。 它可以与一个或多个子网相关联。 有两个重要的方案,可以在其中将 NAT 网关与 Azure 应用服务配合使用。
NAT 网关为面向公网的出站流量提供一个静态且可预测的公共 IP 地址。 在与同一公共地址/端口组合具有大量并发连接的情况下,使用 NAT 网关也会显著增加可用的 源网络地址转换(SNAT) 端口。
下面是有关 Azure NAT 网关集成的重要注意事项:
- 是否可以将 NAT 网关用于应用服务依赖于虚拟网络集成,因此必须在应用服务计划中具有受支持的定价层。
- 将 NAT 网关与应用服务一起使用时,发到 Azure 存储的所有流量都必须使用专用终结点或服务终结点。
- NAT 网关不能与应用服务环境 v1 或 v2 一起使用。
有关详细信息和定价,请参阅 Azure NAT 网关概述。
配置 NAT 网关集成
若要配置 NAT 网关与应用服务的集成,请首先完成以下任务:
按照将应用与 Azure 虚拟网络集成中所述,配置区域虚拟网络与应用的集成。
确保为虚拟网络集成启用了路由全选,这样虚拟网络中的路由就会影响互联网流量。
使用公共 IP 地址配置 NAT 网关,并将其与虚拟网络集成子网关联。
通过 Azure 门户设置 Azure NAT 网关
在Azure 门户中,依次转到“App 服务”>。 在“出站流量”中,选择“虚拟网络集成”。 确保应用程序与子网集成,并且已启用“全程路由”。
在 Azure 门户菜单上或在“主页”中,选择“创建资源”。 此时会显示 “新建 ”窗格。
搜索“NAT 网关”并从结果列表中选择它。
填写“基本”信息,并选择应用所在的区域。
在“出站 IP”选项卡中,创建新的公共 IP 地址或选择现有的地址。
在“子网”选项卡中,选择用于虚拟网络集成的子网。
根据需要填写标记,然后选择“创建”。 在预配 NAT 网关后,选择“转到资源组”,然后选择新的 NAT 网关。 “出站 IP”窗格显示了应用将用于面向 Internet 的出站流量的公共 IP 地址。
如果想要使用 Azure CLI 配置环境,请使用以下命令。 作为先决条件,需要创建配置了虚拟网络集成的应用。
确保在虚拟网络集成中配置了全部路由。
az webapp config set --resource-group [myResourceGroup] --name [myWebApp] --vnet-route-all-enabled创建公共 IP 地址和 NAT 网关:
az network public-ip create --resource-group [myResourceGroup] --name myPublicIP --sku standard --allocation static az network nat gateway create --resource-group [myResourceGroup] --name myNATgateway --public-ip-addresses myPublicIP --idle-timeout 10将 NAT 网关与虚拟网络集成子网关联:
az network vnet subnet update --resource-group [myResourceGroup] --vnet-name [myVnet] --name [myIntegrationSubnet] --nat-gateway myNATgateway
扩展 NAT 网关
可以在同一虚拟网络的多个子网中使用同一个 NAT 网关。 此方法允许跨多个应用和App 服务计划使用 NAT 网关。
Azure NAT 网关支持公共 IP 地址和公共 IP 前缀。 NAT 网关可以最多支持单个 IP 地址和前缀中的 16 个 IP 地址。 每个 IP 地址分配 64,512 个端口(SNAT 端口),允许多达 100 万个可用端口。 有关详细信息,请参阅 Azure NAT 网关资源。
相关内容
- 有关 Azure NAT 网关的详细信息,请参阅 Azure NAT 网关文档。
- 有关虚拟网络集成的详细信息,请参阅 有关虚拟网络集成的文档。