NAT-gatewayer och tillgänglighetszoner

NAT-gateway är en zonindelad resurs, vilket innebär att den kan distribueras och köras från enskilda tillgänglighetszoner. Med zonisoleringsscenarier kan du justera dina zonindelade NAT-gatewayresurser med zonindelade IP-baserade resurser, till exempel virtuella datorer, för att ge zonåterhämtning mot avbrott. Läs det här dokumentet för att förstå viktiga begrepp och grundläggande designvägledning.

Diagram of zonal deployment of NAT gateway.

Bild 1: Zonindelad distribution av NAT-gateway.

NAT-gateway kan antingen utses till en specifik zon inom en region eller till ingen zon. Vilken zonegenskap du väljer för din NAT-gatewayresurs informerar zonegenskapen för den offentliga IP-adress som även kan användas för utgående anslutning.

NAT-gateway innehåller inbyggd återhämtning

Virtuella nätverk och deras undernät är regionala. Undernät är inte begränsade till en zon. Nat-gateway är en zonindelad resurs, men det är en mycket motståndskraftig och tillförlitlig metod för att ansluta utgående till Internet från virtuella nätverksundernät. NAT-gatewayen använder programvarudefinierade nätverk för att fungera som en fullständigt hanterad och distribuerad tjänst. NAT-gatewayinfrastrukturen innehåller inbyggd redundans. Det kan överleva flera infrastrukturkomponentfel. Tillgänglighetszoner bygger på den här motståndskraften med zonisoleringsscenarier för NAT-gateway.

Zonrelaterad

Du kan placera din NAT-gatewayresurs i en specifik zon för en region. När NAT-gatewayen distribueras till en specifik zon ger den uttryckligen utgående anslutning till Internet från den zonen. NAT-gatewayresurser som tilldelats en tillgänglighetszon kan kopplas till offentliga IP-adresser antingen från samma zon eller som är zonredundanta. Offentliga IP-adresser från en annan tillgänglighetszon eller ingen zon tillåts inte.

NAT-gatewayen kan tillhandahålla utgående anslutning för virtuella datorer från andra tillgänglighetszoner som skiljer sig från sig själv. Den virtuella datorns undernät måste konfigureras för NAT-gatewayresursen för att tillhandahålla utgående anslutning. Dessutom kan flera undernät konfigureras till samma NAT-gatewayresurs.

Virtuella datorer i undernät från olika tillgänglighetszoner kan konfigureras till en enda zonindelad NAT-gatewayresurs, men den här konfigurationen ger inte den mest effektiva metoden för att säkerställa zonåterhämtning mot zonindelade avbrott. Mer information om hur du skyddar mot zonindeliga avbrott finns i Designöverväganden senare i den här artikeln.

Icke-zonal

Om ingen zon väljs när NAT-gatewayresursen distribueras placeras NAT-gatewayen i ingen zon som standard. När NAT-gatewayen placeras i ingen zon placerar Azure resursen i en zon åt dig. Det finns ingen insyn i vilken zon Azure väljer för din NAT-gateway. När NAT-gatewayen har distribuerats kan zonindelade konfigurationer inte ändras. Inga NAT-gatewayresurser i zonen , medan zonresurser fortfarande kan associeras till offentliga IP-adresser från en zon, ingen zon eller som är zonredundanta.

Utformningsbeaktanden

Nu när du förstår zonrelaterade egenskaper för NAT-gateway kan du läsa följande designöverväganden som hjälper dig att utforma för mycket motståndskraftiga utgående anslutningar från virtuella Azure-nätverk.

En zonindelad NAT-gatewayresurs för zonspäckade resurser

En enda zonindelad NAT-gatewayresurs kan konfigureras till antingen ett undernät som innehåller virtuella datorer som sträcker sig över flera tillgänglighetszoner eller till flera undernät med olika zonindelade virtuella datorer. När den här typen av distribution har konfigurerats tillhandahåller NAT-gatewayen utgående anslutning till Internet för alla undernätsresurser från den specifika zon där NAT-gatewayen finns. Om zonen som NAT-gatewayen distribueras i går ned går utgående anslutning över alla virtuella datorinstanser som är associerade med NAT-gatewayen. Den här konfigurationen ger inte den bästa metoden för zonåterhämtning.

Diagram of single zonal NAT gateway resource.

Bild 2: En zonindelad NAT-gatewayresurs för resurser med flera zoner ger inte någon effektiv metod för zonåterhämtning mot avbrott.

Zonindelad NAT-gatewayresurs för varje zon i en region för att skapa zonåterhämtning

Det finns ett zonindelningslöfte för zonisoleringsscenarier när en virtuell datorinstans som använder en NAT-gatewayresurs finns i samma zon som NAT-gatewayresursen och dess offentliga IP-adresser. Det mönster som du vill använda för zonisolering skapar en "zonindelad stack" per tillgänglighetszon. Den här zonstacken består av virtuella datorinstanser, en NAT-gatewayresurs med offentliga IP-adresser eller prefix i ett undernät i samma zon.

Diagram of zonal isolation by creating zonal stacks.

Bild 3: Zonindelad isolering genom att skapa zonstackar med samma ZON-NAT-gateway, offentliga IP-adresser och virtuella datorer är den bästa metoden för att säkerställa zonåterhämtning mot avbrott.

Kommentar

Att skapa zonstackar för varje tillgänglighetszon i en region är den mest effektiva metoden för att skapa zonåterhämtning mot avbrott för NAT-gateway. Konfigurationen skyddar dock bara de återstående tillgänglighetszonerna där driftstoppet inte ägde rum. Med den här konfigurationen isoleras fel vid utgående anslutning från ett zonfel till den specifika zon som påverkas. Avbrottet påverkar inte de andra zonstackarna där andra NAT-gatewayer distribueras med sina egna undernät och zonindelade offentliga IP-adresser.

Integrering av inkommande trafik med en standardlastbalanserare

Om ditt scenario kräver inkommande slutpunkter har du två alternativ:

Alternativ Mönster Exempel Pro Nackdelar
(1) Justera de inkommande slutpunkterna mot respektive zonstackar som du skapar för utgående trafik. Skapa en standardlastbalanserare med en zonindelad klientdel. Samma felmodell för inkommande och utgående trafik. Enklare att använda. Ett vanligt DNS-namn (Domain Name System) måste maskera enskilda IP-adresser per zon.
(2) Överlagrar zonstackarna med en inkommande slutpunkt mellan zoner. Skapa en standardlastbalanserare med en zonredundant klientdel. Enskild IP-adress för inkommande slutpunkt. Varierande modeller för inkommande och utgående trafik. Mer komplext att använda.

Kommentar

Observera att zonindelad konfiguration för en lastbalanserare fungerar annorlunda än NAT-gatewayen. Valet av tillgänglighetszon för lastbalanseraren är synonymt med ip-konfigurationens zonval för klientdelen. För offentliga lastbalanserare är lastbalanseraren även zonredundant om den offentliga IP-adressen i lastbalanserarens klientdel är zonredundant. Om den offentliga IP-adressen i lastbalanserarens klientdel är zonindelad kommer lastbalanseraren också att tilldelas samma zon.

Begränsningar

  • Zoner kan inte ändras, uppdateras eller skapas för NAT-gatewayen efter distributionen.

Nästa steg