NAT 网关和可用性区域
NAT 网关是一种区域资源,这意味着它可以在单个可用性区域的外部部署和操作。 在区域隔离方案中,可以将区域 NAT 网关资源与按区域指定的基于 IP 的资源(例如虚拟机)保持一致,以提供区域复原能力来应对服务中断。 请查看本文档来了解重要概念和基本设计指导。
图 1:NAT 网关的区域部署。
可以将 NAT 网关指定到地区中的特定区域,或指定为“无区域”。 为 NAT 网关资源选择的区域属性将告知也可用于出站连接的公共 IP 地址的区域属性。
NAT 网关包括内置复原能力
虚拟网络及其子网是区域性的。 子网不局限于某个区域。 虽然 NAT 网关是一种区域资源,但它是一种高度可复原且可靠的方法,可用于从虚拟网络子网出站连接到 Internet。 NAT 网关使用软件定义的网络作为完全托管的分布式服务运行。 NAT 网关基础结构包括内置冗余。 它可以承受多次基础结构组件故障。 可用性区域建立在这种复原能力的基础之上,可为 NAT 网关提供区域隔离方案。
局部区域
可以将 NAT 网关资源放置在地区的特定区域中。 将 NAT 网关部署到特定区域后,它将显式提供从该区域到 Internet 的出站连接。 分配给可用区域的 NAT 网关资源可以附加到来自同一区域的或具有区域冗余的公共 IP 地址。 不允许使用来自其他可用性区域的或无区域的公共 IP 地址。
NAT 网关可为来自不同于其自身的其他可用性区域的虚拟机提供出站连接。 需要为 NAT 网关资源配置虚拟机的子网以提供出站连接。 此外,可为同一个 NAT 网关资源配置多个子网。
虽然来自不同可用性区域的子网中的虚拟机都可以配置到单个区域 NAT 网关资源,但这种配置并不是确保提供区域复原能力来应对区域性服务中断的最有效方法。 有关如何防范区域性服务中断的详细信息,请参阅本文稍后的设计注意事项。
无区域
如果在部署 NAT 网关资源时未选择任何区域,则默认会将 NAT 网关放置在“无区域”中。 将 NAT 网关放置在“无区域”中时,Azure 会将资源放置在某个区域中。 无法查看 Azure 为你的 NAT 网关选择的区域。 部署 NAT 网关后,无法更改区域配置。 虽然 NAT 网关资源没有区域,但仍可以将区域资源关联到区域中的、没有区域的或区域冗余的公共 IP 地址。
设计注意事项
了解 NAT 网关的区域相关属性后,请参阅以下设计注意事项来帮助设计从 Azure 虚拟网络进行的高度可复原出站连接。
用于跨区域资源的单个区域 NAT 网关资源
可将单个区域 NAT 网关资源配置为包含跨多个可用性区域的虚拟机的子网,或配置为包含不同区域虚拟机的多个子网。 配置这种类型的部署后,NAT 网关将为 NAT 网关所在特定区域中的所有子网资源提供到 Internet 的出站连接。 如果部署 NAT 网关的区域发生故障,则与该 NAT 网关关联的所有虚拟机实例的出站连接将关闭。 此设置不能提供最佳的区域复原方法。
图 2:若将单区域 NAT 网关资源用于跨多区域资源,则无法在出现中断时有效复原区域。
为地区中的每个区域部署区域 NAT 网关资源以实现区域复原能力
当使用 NAT 网关资源的虚拟机实例与 NAT 网关资源及其公共 IP 地址位于同一区域时,可以实现区域隔离方案的承诺。 用于实现区域隔离的模式是为每个可用性区域创建一个“局部区域性堆栈”。 此“区域堆栈”由虚拟机实例和一个使用子网上的公共 IP 地址或前缀的 NAT 网关资源组成,它们全都位于同一区域中。
图 3:通过创建具有相同区域 NAT 网关、公共 IP 和虚拟机的区域堆栈进行区域隔离,是在出现中断时保证区域复原能力的最佳方法。
注意
为地区中的每个可用性区域创建区域堆栈是为 NAT 网关建立区域复原能力来应对服务中断的最有效方法。 但是,此配置仅保护未发生中断的剩余可用性区域。 通过此配置,区域中断造成的出站连接故障会被隔离到受影响的特定区域。 服务中断不会影响使用自己的子网和区域公共 IP 部署其他 NAT 网关的其他区域堆栈。
与标准负载均衡器的入站集成
如果你的方案需要入站终结点,则你有两个选项可供选择:
选项 | 模式 | 示例 | 优点 | 缺点 |
---|---|---|---|---|
(1) | 使入站终结点与为出站终结点创建的相应局部区域性堆栈相一致。 | 创建包含区域前端的标准负载均衡器。 | 入站和出站终结点的故障模型相同。 操作更简单。 | 通用域名系统 (DNS) 名称需要屏蔽每个区域的单个 IP 地址。 |
(2) | 使用跨区域入站终结点覆盖区域堆栈。 | 创建包含区域冗余前端的标准负载均衡器。 | 入站终结点使用单个 IP 地址。 | 入站和出站终结点的模型不同。 操作更复杂。 |
注意
请注意,负载均衡器的区域性配置的工作方式与 NAT 网关不同。 负载均衡器的可用性区域选择与其前端 IP 配置的区域选择同义。 对于公共负载均衡器,如果负载均衡器前端中的公共 IP 是区域冗余的,则负载均衡器也是区域冗余的。 如果负载均衡器前端中的公共 IP 具有区域性,则负载均衡器也将指定到同一区域。
限制
- 部署后无法更改、更新或创建 NAT 网关的区域。
后续步骤
- 详细了解 Azure 区域和可用性区域
- 详细了解 Azure NAT 网关
- 详细了解 Azure 负载均衡器