NAT 閘道和可用性區域
NAT 閘道是區域性資源,這表示此資源可從個別的可用性區域部署和操作。 在區域隔離案例中,您可以讓區域性 NAT 閘道資源與按區域指定的 IP 型資源 (例如虛擬機器) 達成一致,以提供可應變中斷狀況的區域復原能力。 請檢閱本文件以了解重要概念和基本的設計指引。
圖 1:NAT 閘道的區域性部署。
NAT 閘道可以指定至區域內的特定區域,或指定至無區域。 您為 NAT 閘道資源選取的區域屬性,會指出也可用於輸出連線之公用 IP 位址的區域屬性。
NAT 閘道包含內建的復原能力
虛擬網路及其子網路是區域性的。 子網路不限於區域。 雖然 NAT 閘道是區域性資源,但卻是具有高度復原性且可靠的方法,可讓您從虛擬網路子網路對外連線至網際網路。 NAT 閘道會使用軟體定義的網路,以完全受控和分散式服務的形式運作。 NAT 閘道基礎結構包含內建備援。 它可承受多次基礎結構元件失敗。 可用性區域是以此復原為依據,並具有 NAT 閘道的區域隔離案例。
區域性
您可以將 NAT 閘道資源放在某區域的特定區域中。 NAT 閘道在部署至特定區域時,會提供明確從該區域對外連線至網際網路的能力。 指派給可用性區域的 NAT 閘道資源可以附加至來自相同區域或區域備援的公用 IP 位址。 不允許來自不同可用性區域的公用IP位址或不允許任何區域。
NAT 閘道可為來自其他可用性區域 (與其本身所在區域不同) 的虛擬機器提供輸出連線能力。 虛擬機器的子網路必須設定為 NAT 閘道資源,才能提供輸出連線能力。 此外,可以將多個子網路設定為相同的 NAT 閘道資源。
雖然子網路中來自不同可用性區域的虛擬機器可以設定為單一區域 NAT 閘道資源,但此設定無法最有效地確保能有因應區域性中斷的區域復原能力。 如需如何防範區域性中斷的詳細資訊,請參閱本文稍後的設計考量。
非區域
如果未在部署 NAT 閘道資源時選取任何區域,則 NAT 閘道預設不會放在無區域中。 當 NAT 閘道放置於無區域時,Azure 會將資源放在某個區域中供您使用。 無法查看 Azure 為您的 NAT 閘道選擇的是哪個區域。 部署 NAT 閘道後,就無法變更區域性設定。 無區域 NAT 閘道資源仍是區域性資源,可與來自某區域、沒有區域或區域備援的公用 IP 位址相關聯。
設計考量
現在您已了解 NAT 閘道的區域相關屬性,接下來請參閱下列設計考量,以利設計來自 Azure 虛擬網路、具高度復原性的輸出連線。
跨區域資源的單一區域 NAT 閘道資源
單一區域 NAT 閘道資源可設定為有虛擬機器跨多個可用性區域的子網路,或設定為多個具有不同區域性虛擬機器的子網路。 設定此類型的部署時,NAT 閘道會針對來自 NAT 閘道所在區域的所有子網路資源,提供對網際網路的輸出連線能力。 如果 NAT 閘道部署所在的區域關閉,則與 NAT 閘道相關聯的所有虛擬機器執行個體的輸出連線會關閉。 此設定無法提供區域復原的最佳方法。
圖 2:跨區域資源的單一區域性 NAT 閘道資源不會針對中斷提供區域復原的有效方法。
區域中各個區域用來建立區域復原的區域性 NAT 閘道資源
使用 NAT 閘道資源的虛擬機器執行個體位於與 NAT 閘道資源和其公用 IP 位址相同的區域時,就會出現區域隔離的區域性承諾。 您要為區域隔離使用的模式是為每個可用性區域建立區域性「堆疊」。 這個「區域性堆疊」包含虛擬機器執行個體,以及具有子網路上的公用 IP 位址或前置詞的 NAT 閘道資源,全都位於相同的區域中。
圖 3:使用相同區域 NAT 閘道、公用 IP 和虛擬機器建立區域性堆疊來達到區域性隔離,以提供最佳方法來確保區域復原能力,以防止中斷。
注意
為區域內的每個可用性區域建立區域性堆疊,最能有效建置區域復原以因應 NAT 閘道中斷。 然而,此設定僅保護未發生中斷的剩餘可用性區域。 使用此設定時,從區域中斷的輸出連線失敗會隔離至受影響的特定區域。 中斷並不會影響到使用本身的子網路和區域性公用 IP 部署了其他 NAT 閘道的其他區域性堆疊。
輸入與標準負載平衡器的整合
如果您的案例需要輸入端點,有兩個選項可選擇:
選項 | 模式 | 範例 | 優點 | 缺點 |
---|---|---|---|---|
(1) | 以您要為輸出建立的個別區域堆疊將輸入端點對齊。 | 使用區域前端建立標準負載平衡器。 | 輸入和輸出的失敗模式相同。 操作較為簡單。 | 通用網域名稱系統 (DNS) 名稱需要封鎖每個區域的個別 IP 位址。 |
(2) | 使用跨區域輸入端點將區域性堆疊重疊。 | 建立具有區域備援前端的標準負載平衡器。 | 輸入端點的單一 IP 位址。 | 輸入和輸出的模型不同。 操作較為複雜。 |
注意
請注意,負載平衡器的區域性設定與 NAT 閘道的運作方式不同。 負載平衡器的可用性區域選取項目與其前端 IP 組態的區域選取項目同義。 針對公用負載平衡器,如果負載平衡器前端的公用 IP 是區域備援,則負載平衡器也是區域備援。 如果負載平衡器前端的公用 IP 是區域性的,則負載平衡器也會被指定至相同的區域。
限制
- 在部署後即無法為 NAT 閘道變更、更新或建立區域。
下一步
- 深入了解 Azure 區域和可用性區域
- 深入瞭解 Azure NAT 閘道
- 深入了解 Azure Load Balancer