Migrieren von NAT-Regeln für eingehenden Datenverkehr Version 1 zu Version 2

Eine NAT-Regel für eingehenden Datenverkehr wird verwendet, um Datenverkehr von einem LB-Front-End an eine oder mehrere Instanzen im Back-End-Pool weiterzuleiten. Diese Regeln stellen eine 1:1-Zuordnung zwischen der Front-End-IP-Adresse des Lastenausgleichs und den Back-End-Instanzen bereit. Derzeit gibt es zwei Versionen von NAT-Regeln für eingehenden Datenverkehr: Version 1 und Version 2.

NAT-Regel Version 1

Version 1 ist der Legacyansatz zum Zuweisen eines Front-End-Ports von Azure Load Balancer zu jeder Back-End-Instanz. Regeln werden auf die Netzwerkschnittstellenkarte (Network Interface Card, NIC) der Back-End-Instanz angewendet. Bei Azure Virtual Machine Scale Sets-Instanzen (VMSS) werden NAT-Regeln für eingehenden Datenverkehr automatisch erstellt/gelöscht, wenn neue Instanzen hoch-/herunterskaliert werden. Verwenden Sie für VMSS-Instanzen die Eigenschaft Inbound NAT Pool zum Verwalten eingehender NAT-Regeln, Version 1.

NAT-Regel Version 2

Version 2 der NAT-Regeln für eingehenden Datenverkehr bietet den gleichen Featuresatz wie Version 1 mit zusätzlichen Vorteilen.

• Vereinfachte Bereitstellungserfahrung und optimierte Updates.
  • NAT-Regeln für eingehenden Datenverkehr zielen jetzt auf den Back-End-Pool des Lastenausgleichs ab und benötigen keinen Verweis mehr auf die NIC des virtuellen Computers. Zuvor in Version 1 mussten sowohl das Lastenausgleichsmodul als auch die NIC des virtuellen Computers aktualisiert werden, wenn die NAT-Regel für eingehenden Datenverkehr geändert wurde. Version 2 erfordert nur einen einzelnen Aufruf der Konfiguration des Lastenausgleichs, was zu optimierten Updates führt.
• Rufen Sie einfach die Portzuordnung zwischen den NAT-Regeln für eingehenden Datenverkehr und den Back-End-Instanzen ab.
  • Beim Legacyangebot muss die Regel zum Abrufen der Portzuordnung zwischen einer NAT-Regel für eingehenden Datenverkehr und einer Instanz eines virtuellen Computers mit der NIC des virtuellen Computers korreliert werden. Version 2 fügt die Portzuordnung zwischen der Regel und der Back-End-Instanz direkt in die Konfiguration des Lastenausgleichs ein.

Wie kann ich feststellen, ob ich Version 1 der NAT-Regeln für eingehenden Datenverkehr verwende?

Die einfachste Möglichkeit festzustellen, ob Ihre Bereitstellungen Version 1 des Features verwenden, besteht darin, die Konfiguration des Lastenausgleichs zu prüfen. Wenn entweder die InboundNATPool-Eigenschaft oder die backendIPConfiguration-Eigenschaft in der InboundNATRule-Konfiguration aufgefüllt wird, ist die Bereitstellung Version 1 der NAT-Regeln für eingehenden Datenverkehr.

Wie kann ich von Version 1 zu Version 2 migrieren?

Vor der Migration ist es wichtig, die folgenden Informationen zu überprüfen:

• Die Migration zu Version 2 der NAT-Regeln für eingehenden Datenverkehr führt zu Ausfallzeiten beim aktiven Datenverkehr, der durch die NAT-Regeln fließt. Datenverkehr, der über Regeln zum Lastenausgleich oder Regeln für ausgehenden Datenverkehr fließt, sind während des Migrationsprozesses nicht betroffen.
• Planen Sie die maximale Anzahl von Instanzen in einem Back-End-Pool. Da Version 2 auf den Back-End-Pool des Lastenausgleichs ausgerichtet ist, muss eine ausreichende Anzahl von Ports für das Front-End der NAT-Regel zugewiesen werden.
• Jede Back-End-Instanz wird für den Port verfügbar gemacht, der in der neuen NAT-Regel konfiguriert ist.
• Es dürfen nicht mehrere NAT-Regeln vorhanden sein, wenn sie einen überlappenden Portbereich oder denselben Back-End-Port haben.
• NAT-Regeln und Lastenausgleichsregeln können nicht denselben Back-End-Port gemeinsam nutzen.

Manuelle Migration

Die folgenden drei Schritte müssen ausgeführt werden, um zu Version 2 der NAT-Regeln für eingehenden Datenverkehr zu migrieren.

1. Löschen Sie Version 1 der NAT-Regeln für eingehenden Datenverkehr, um den Lastenausgleich zu konfigurieren.
2. Entfernen Sie den Verweis auf die NAT-Regel auf dem virtuellen Computer oder der Konfiguration der VM-Skalierungsgruppe.
   1. Alle Instanzen der VM-Skalierungsgruppen müssen aktualisiert werden.
3. Stellen Sie Version 2 der NAT-Regeln für eingehenden Datenverkehr bereit.

Virtueller Computer

Die folgenden Schritte werden verwendet, um von Version 1 zu Version 2 der NAT-Regeln für eingehenden Datenverkehr für einen virtuellen Computer zu migrieren.

az network lb inbound-nat-rule delete -g MyResourceGroup --lb-name MyLoadBalancer --name NATruleV1

az network nic ip-config inbound-nat-rule remove -g MyResourceGroup --nic-name MyNic -n MyIpConfig --inbound-nat-rule MyNatRule 

az network lb inbound-nat-rule create -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatRule --protocol Tcp --frontend-port-range-start 201 --frontend-port-range-end 500 --backend-port 22 --backend-address-pool MybackendPool

$slb = Get-AzLoadBalancer -Name "MyLoadBalancer" -ResourceGroupName "MyResourceGroup" 

Remove-AzLoadBalancerInboundNatRuleConfig -Name "myinboundnatrule" -LoadBalancer $loadbalancer 

Set-AzLoadBalancer -LoadBalancer $slb 

$nic = Get-AzNetworkInterface -Name "myNIC" -ResourceGroupName "MyResourceGroup" 

$nic.IpConfigurations[0].LoadBalancerInboundNatRule  = $null 

Set-AzNetworkInterface -NetworkInterface $nic

$slb | Add-AzLoadBalancerInboundNatRuleConfig -Name "NewNatRuleV2" -FrontendIPConfiguration $slb.FrontendIpConfigurations[0] -Protocol "Tcp" -FrontendPortRangeStart 201-FrontendPortRangeEnd 500 -BackendAddressPool $slb.BackendAddressPools[0] -BackendPort 22
$slb | Set-AzLoadBalancer

VM-Skalierungsgruppe

Die folgenden Schritte werden verwendet, um von Version 1 zu Version 2 der NAT-Regeln für eingehenden Datenverkehr für eine VM-Skalierungsgruppe zu migrieren. Es wird davon ausgegangen, dass der Upgrademodus der VM-Skalierungsgruppe auf "Manuell" festgelegt ist. Weitere Informationen finden Sie unter Orchestrierungsmodi für Virtual Machine Scale Sets-Instanzen in Azure.

az network lb inbound-nat-pool delete  -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatPool  

az vmss update -g MyResourceGroup -n MyVMScaleSet --remove virtualMachineProfile.networkProfile.networkInterfaceConfigurations[0].ipConfigurations[0].loadBalancerInboundNatPools  

az vmss update-instances --instance-ids '*' --resource-group MyResourceGroup --name MyVMScaleSet 

az network lb inbound-nat-rule create -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatRule --protocol Tcp --frontend-port-range-start 201 --frontend-port-range-end 500 --backend-port 22 --backend-address-pool MybackendPool

# Remove the Inbound NAT rule

$slb = Get-AzLoadBalancer -Name "MyLoadBalancer" -ResourceGroupName "MyResourceGroup" 

Remove-AzLoadBalancerInboundNatPoolConfig -Name myinboundnatpool -LoadBalancer $slb 

Set-AzLoadBalancer -LoadBalancer $slb 

# Remove the Inbound NAT pool association 

$vmss = Get-AzVmss -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyVMScaleSet" 

$vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].loadBalancerInboundNatPools = $null 

# Upgrade all instances in the VMSS 

Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "*"

$slb | Add-AzLoadBalancerInboundNatRuleConfig -Name "NewNatRuleV2" -FrontendIPConfiguration $slb.FrontendIpConfigurations[0] -Protocol "Tcp" -FrontendPortRangeStart 201-FrontendPortRangeEnd 500 -BackendAddressPool $slb.BackendAddressPools[0] -BackendPort 22
$slb | Set-AzLoadBalancer
 

Migration mit Automatisierungsskript für VM-Skalierungsgruppe

Beim Migrationsprozess werden vorhandene Back-End-Pools wiederverwendet. Dabei wird die Mitgliedschaft mit den zu migrierenden NAT-Pools abgeglichen. Wenn kein übereinstimmender Back-End-Pool gefunden wird, wird das Skript beendet (ohne Änderungen vorzunehmen). Alternativ können Sie den Parameter -backendPoolReuseStrategy verwenden, um entweder immer neue Back-End-Pools zu erstellen (NoReuse) oder einen neuen Back-End-Pool zu erstellen, wenn kein übereinstimmender Pool vorhanden ist (OptionalFirstMatch). Back-End-Pools und NAT-Regelzuordnungen können nach der Migration entsprechend Ihren Einstellungen aktualisiert werden.

Voraussetzungen

Stellen Sie vor Beginn des Migrationsprozesses sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Die SKU des Lastenausgleichs muss Standard sein, um die NAT-Pools eines Lastenausgleichs zu NAT-Regeln zu migrieren. Um diesen Upgrade-Prozess zu automatisieren, lesen Sie die Schritte in Upgrade eines Basic Load Balancer auf Standard mit PowerShell.
• Die VM-Skalierungsgruppen, die dem Ziel-Load Balancer zugeordnet sind, müssen entweder eine Upgraderichtlinie „Manuell“ oder „Automatisch“ verwenden. Die parallele Upgraderichtlinie wird nicht unterstützt. Weitere Informationen finden Sie unter Upgraderichtlinien für VM-Skalierungsgruppen.
• Installieren Sie die neueste Version von PowerShell.
• Installieren Sie die Azure PowerShell-Module.

Installieren Sie das AzureLoadBalancerNATPoolMigration-Modul

Installieren Sie das AzureLoadBalancerNATPoolMigration-Modul aus dem PowerShell-Katalog mit dem folgenden Befehl:

# Install the AzureLoadBalancerNATPoolMigration module

Install-Module -Name AzureLoadBalancerNATPoolMigration -Scope CurrentUser -Repository PSGallery -Force 

Aktualisieren von NAT-Pools auf NAT-Regeln

Aktualisieren Sie ihre NAT-Pools mit den folgenden Schritten mit dem installierten azureLoadBalancerNATPoolMigration-Modul auf NAT-Regeln:

1. Stellen Sie mit Connect-AzAccount eine Verbindung mit Azure her.

2. Sammeln Sie die Namen des Ziellastenausgleichs für das Upgrade der NAT-Regeln und deren Ressourcengruppennamen.

3. Führen Sie den Migrationsbefehl mit Ihren Ressourcennamen aus, indem Sie die Platzhalter <loadBalancerResourceGroupName> und <loadBalancerName> ersetzen:

   # Run the migration command 
   
   Start-AzNATPoolMigration -ResourceGroupName <loadBalancerResourceGroupName> -LoadBalancerName <loadBalancerName>
   
   

Nächste Schritte

• Informationen zum Verwalten der NAT-Regeln für eingehenden Datenverkehr
• Informationen zu Azure Load Balancer NAT-Pools und NAT-Regeln