Quand devez-vous utiliser Azure NAT Gateway ?
Quand vous envisagez de déployer le service Azure NAT Gateway, vous devez d’abord analyser votre scénario. Le service n’est pas déployé par défaut avec le réseau virtuel Azure, et tous les scénarios ne sont pas adaptés à ce service. Toutefois, il s’agit d’une bonne solution pour résoudre les problèmes de connectivité avec les machines virtuelles Azure dans votre société de vente au détail en ligne.
Scénarios d’utilisation du service Azure NAT Gateway
Azure NAT Gateway fournit des ressources de passerelle NAT pour une connectivité sortante à la demande sans planification préalable complexe, ce qui rend relativement facile le déploiement en cas de besoin. Une fois que vous l’avez configuré, toutes vos instances de machine virtuelle disposent d’une connectivité sortante et utilisent vos adresses IP statiques spécifiées, ce qui simplifie la création de listes d’autorisation.
Si vous voulez dédier des adresses IP publiques que vos machines virtuelles utilisent pour accéder à des ressources Internet, Azure NAT Gateway peut vous y aider. Imaginons que vous travaillez avec une organisation partenaire qui autorise uniquement les connexions à partir d’un ensemble fixe d’adresses IP. Vous pouvez associer un préfixe d’adresse IP publique à Azure NAT Gateway pour vous assurer qu’un ensemble contigu d’adresses IP est utilisé pour la connectivité sortante. Vous pouvez ensuite configurer le pare-feu au niveau de la destination en fonction de cette liste d’adresses IP prévisibles. Cette solution permet par exemple de traiter un scénario dans lequel votre partenaire héberge une API accessible sur Internet à laquelle vous devez vous connecter.
Si vous avez des ressources sur votre réseau virtuel Azure qui effectuent de nombreuses connexions sortantes et utilisent de manière intensive différents ports pour les communications sortantes, vous devez envisager de déployer le service Azure NAT Gateway. Ce service permet de consolider et d’optimiser les numéros de port disponibles, ainsi que d’éviter l’épuisement des ports.
Par exemple, vous disposez peut-être d’un réseau virtuel avec quelques sous-réseaux créés. Ce sous-réseau héberge vos machines virtuelles Azure, tandis qu’un autre sous-réseau héberge un service d’application avec un site web ou un autre service. Si vous n’utilisez pas Azure NAT Gateway, vos machines virtuelles et les autres services disposent d’un nombre limité de ports disponibles pour les connexions sortantes. Ce nombre est généralement bien inférieur aux 65 535 ports qui sont théoriquement disponibles. La connexion expire si l’une de vos machines virtuelles ou l’un de vos services épuise le pool de ports disponible. Vous ne pouvez pas partager un pool de ports à partir d’autres machines virtuelles, car les ports sont attribués pour chaque machine virtuelle, et toutes ces ressources peuvent avoir une adresse IP différente utilisée pour la communication publique. Les machines virtuelles Azure auxquelles une adresse IP publique est attribuée utilisent cette adresse pour accéder aux ressources Internet. Les machines virtuelles sans adresse IP publique utilisent quant à elles l’adresse actuellement disponible dans le pool d’adresses du service Azure. Azure NAT Gateway permet de résoudre ces deux problèmes en fournissant une étendue complète des ports des machines virtuelles dans le sous-réseau qu’il couvre, et une adresse IP publique unique (ou étendue IP) pour la connectivité sortante.
Scénarios qui ne sont pas appropriés pour l’utilisation du service Azure NAT Gateway
Bien qu’Azure NAT Gateway soit un service pratique et facile à déployer, il peut ne pas convenir à tous les scénarios. Voici quelques exemples :
- Si votre disposition de machines virtuelles Azure est simple, avec seulement quelques machines virtuelles qui établissent rarement de nombreuses connexions à des ressources Internet, vous n’avez probablement pas besoin d’Azure NAT Gateway. Vous pouvez utiliser à la place la traduction d’adresses native d’Azure ou attribuer une adresse IP publique à une ou plusieurs machines virtuelles.
- Si vous avez besoin de gérer les connexions entrantes à vos machines virtuelles Azure qui proviennent d’Internet, Azure NAT Gateway n’est pas utile. Azure NAT Gateway gère les connexions entrantes uniquement quand elles sont lancées depuis la machine virtuelle Azure (ou un autre service) qui se situe derrière le NAT. Une machine virtuelle Azure ou un logiciel installé sur une machine virtuelle Azure établit une connexion à une ressource sur Internet. Azure NAT Gateway inscrit cette connexion. Si cette ressource sur Internet doit renvoyer des données à la machine virtuelle Azure ou lancer une connexion entrante, elle est autorisée. Toutefois, les connexions initiées à partir d’Internet qui ne sont pas une réponse à un trafic dirigé sortant sont bloquées.
- Si vous devez fournir une connexion à d’autres services Azure, comme Azure SQL Database ou Stockage Azure, vous ne devez pas utiliser Azure NAT Gateway. Vous n’avez pas besoin de déployer Azure NAT Gateway pour vous connecter à des ressources Azure. Lors de la connexion aux services Azure, vous pouvez utiliser Azure Private Link pour lier les ressources Azure à votre réseau virtuel et contrôler l’accès à vos ressources de service Azure. Par exemple, lorsque vous accédez à Stockage Azure, utilisez un point de terminaison privé pour le stockage pour vous assurer que votre connexion est entièrement privée.
- Vous ne pouvez pas utiliser Azure NAT Gateway avec des sous-réseaux de passerelle Azure. Vous ne pouvez pas non plus utiliser un même service Azure NAT Gateway avec plusieurs réseaux virtuels dans Azure. Cependant, vous pouvez utiliser un même service Azure NAT Gateway pour couvrir plusieurs sous-réseaux au sein du même réseau virtuel.