Mettez à l’échelle les ports SNAT du pare-feu Azure avec la passerelle NAT pour les charges de travail importantes – AI Tech News

Ce message a été co-écrit par Suren Jamiyanaa, Product Manager II, Azure Networking.

Alors que les grandes entreprises de tous les secteurs développent leurs activités et leurs opérations dans le cloud, l’un des critères fondamentaux de leur infrastructure cloud est d’établir des connexions sur Internet à grande échelle. Cependant, un problème courant de connectivité sortante rencontré lors de la gestion du trafic sortant à grande échelle est épuisement du port de traduction d’adresses réseau source (SNAT). Chaque fois qu’une nouvelle connexion au même point de terminaison de destination est établie via Internet, un nouveau port SNAT est utilisé. L’épuisement des ports SNAT se produit lorsque tous les ports SNAT disponibles sont épuisés. Les environnements qui nécessitent souvent d’établir de nombreuses connexions vers la même destination, comme l’accès à une base de données hébergée dans le centre de données d’un fournisseur de services, sont susceptibles d’épuiser les ports SNAT. En ce qui concerne la connexion sortante à Internet, les clients doivent non seulement tenir compte des risques potentiels tels que l’épuisement des ports SNAT, mais également comment assurer la sécurité de leur trafic sortant.

Azure Firewall est un service de sécurité intelligent qui protège les infrastructures cloud contre les attaques nouvelles et émergentes en filtrant le trafic réseau. Tout le trafic Internet sortant utilisant le pare-feu Azure est inspecté, sécurisé et soumis à SNAT pour dissimuler l’adresse IP du client d’origine. Pour renforcer la connectivité sortante, le pare-feu Azure peut être mis à l’échelle en associant plusieurs adresses IP publiques au pare-feu Azure. Certains environnements à grande échelle peuvent nécessiter l’association manuelle de centaines d’adresses IP publiques au pare-feu afin de répondre à la demande de charges de travail à grande échelle, ce qui peut être difficile à gérer à long terme. Les destinations partenaires ont également généralement une limite sur le nombre d’adresses IP pouvant être ajoutées à la liste blanche sur leurs sites de destination, ce qui peut créer des problèmes lorsque la connectivité sortante du pare-feu doit être étendue avec de nombreuses adresses IP publiques. Sans mise à l’échelle de cette connectivité sortante, les clients sont plus sensibles aux pannes de connectivité sortante dues à l’épuisement des ports SNAT.

C’est là qu’intervient la passerelle de traduction d’adresses réseau (NAT). La passerelle NAT peut être facilement déployée sur un sous-réseau de pare-feu Azure pour dimensionner automatiquement les connexions et filtrer le trafic via le pare-feu avant de se connecter à Internet. La passerelle NAT fournit non seulement un inventaire de ports SNAT plus important avec moins d’adresses IP publiques, mais la méthode unique d’allocation des ports SNAT de la passerelle NAT est spécifiquement conçue pour gérer les charges de travail dynamiques et à grande échelle. L’allocation dynamique de la passerelle NAT et la sélection aléatoire des ports SNAT réduisent considérablement le risque d’épuisement des ports SNAT tout en maintenant au minimum la gestion de la surcharge des adresses IP publiques.

Dans ce blog, nous explorerons les avantages de l’utilisation de la passerelle NAT avec le pare-feu Azure ainsi que la manière d’intégrer les deux dans votre architecture pour vous assurer que vous disposez de la meilleure configuration pour répondre à vos besoins de sécurité et d’évolutivité pour la connectivité sortante.

Avantages de l’utilisation de la passerelle NAT avec le pare-feu Azure

L’un des plus grands avantages de l’intégration de la passerelle NAT dans votre architecture de pare-feu est l’évolutivité qu’elle offre pour la connectivité sortante. Les ports SNAT sont un élément clé pour établir de nouvelles connexions sur Internet et distinguer les différentes connexions les unes des autres provenant du même point de terminaison source. La passerelle NAT fournit 64 512 ports SNAT par adresse IP publique et peut évoluer pour utiliser 16 adresses IP publiques. Cela signifie que, lorsqu’elle est entièrement évolutive avec 16 adresses IP publiques, la passerelle NAT fournit plus d’un million de ports SNAT. Le pare-feu Azure, en revanche, prend en charge 2 496 ports SNAT par adresse IP publique par instance de machine virtuelle au sein d’un groupe de machines virtuelles identiques (minimum de 2 instances). Cela signifie que pour atteindre le même volume d’inventaire de ports SNAT que la passerelle NAT lorsqu’il est entièrement mis à l’échelle, le pare-feu peut nécessiter jusqu’à 200 adresses IP publiques. Non seulement la passerelle NAT offre plus de ports SNAT avec moins d’adresses IP publiques, mais ces ports SNAT sont alloués à la demande à n’importe quelle machine virtuelle d’un sous-réseau. Allocation de port SNAT à la demande est la clé de la façon dont la passerelle NAT réduit considérablement le risque de problèmes de connectivité sortante courants tels que l’épuisement des ports SNAT.

La passerelle NAT fournit également un débit de données de 50 Gbit/s pour le trafic sortant qui peut être utilisé avec un pare-feu Azure SKU standard, qui fournit un débit de données de 30 Gbit/s. Le pare-feu Azure Premium SKU fournit un débit de données de 100 Gbit/s.

Avec la passerelle NAT, vous vous assurez également que votre trafic sortant est entièrement sécurisé car aucun trafic entrant ne peut passer par la passerelle NAT. Tout le trafic entrant est soumis à des règles de sécurité activées sur le pare-feu Azure avant qu’il ne puisse atteindre des ressources privées au sein de votre infrastructure cloud.

Pour en savoir plus sur les autres avantages offerts par la passerelle NAT dans les architectures de pare-feu Azure, consultez Intégration de la passerelle NAT avec le pare-feu Azure.

Comment tirer le meilleur parti de l’utilisation de la passerelle NAT avec le pare-feu Azure

Voyons comment configurer la passerelle NAT avec le pare-feu Azure et comment la connectivité vers et depuis Internet fonctionne lors de l’intégration des deux dans votre architecture cloud.

Connectivité sortante prête pour la production avec la passerelle NAT et le pare-feu Azure

Pour les charges de travail de production, Azure recommande de séparer les charges de travail de pare-feu Azure et de production dans un topologie en étoile. L’introduction de la passerelle NAT dans cette configuration est simple et peut être effectuée en quelques étapes courtes. Tout d’abord, déployez le pare-feu Azure sur un sous-réseau de pare-feu Azure au sein du réseau virtuel concentrateur (VNet). Attachez la passerelle NAT au sous-réseau du pare-feu Azure et ajoutez jusqu’à 16 adresses IP publiques et vous avez terminé. Une fois configurée, la passerelle NAT devient la route par défaut pour tout le trafic sortant du sous-réseau du pare-feu Azure. Cela signifie que le trafic dirigé vers Internet (trafic avec le préfixe 0.0.0.0/0) acheminé depuis les réseaux virtuels spoke vers le sous-réseau du pare-feu Azure du réseau virtuel Hub utilisera automatiquement la passerelle NAT pour se connecter en sortie. Étant donné que la passerelle NAT est entièrement gérée par Azure, la passerelle NAT alloue des ports et des échelles SNAT pour répondre automatiquement à vos besoins de connectivité sortante. Aucune configuration supplémentaire n’est requise.

Figure : Séparez le pare-feu Azure des charges de travail de production dans une topologie hub and spoke et attachez la passerelle NAT au sous-réseau du pare-feu Azure dans le réseau virtuel hub. Une fois configuré, tout le trafic sortant de vos réseaux virtuels spoke est dirigé via la passerelle NAT et tout le trafic de retour est redirigé vers l’adresse IP publique du pare-feu Azure pour maintenir la symétrie des flux.

Comment configurer la passerelle NAT avec le pare-feu Azure

Pour vous assurer que vous avez configuré vos charges de travail pour acheminer vers le sous-réseau du pare-feu Azure et utiliser la passerelle NAT pour la connexion sortante, suivez ces étapes :

1. Déployez votre pare-feu sur un sous-réseau de pare-feu Azure au sein de son propre réseau virtuel. Ce sera le Hub Vnet.
2. Ajoutez une passerelle NAT au sous-réseau du pare-feu Azure et attachez au moins une adresse IP publique.
3. Déployez vos charges de travail sur des sous-réseaux dans des réseaux virtuels distincts. Ces réseaux virtuels seront les rayons. Créez autant de réseaux virtuels en étoile pour votre charge de travail que nécessaire.
4. Configurez l’appairage de réseaux virtuels entre les réseaux virtuels hub et spoke.
5. Insérez une route vers les sous-réseaux spoke pour acheminer le trafic Internet 0.0.0.0/0 vers le pare-feu Azure.
6. Ajoutez une règle de réseau à la stratégie de pare-feu pour autoriser le trafic des réseaux virtuels spoke vers Internet.

Faire référence à ce tutoriel pour obtenir des conseils étape par étape sur le déploiement de la passerelle NAT et du pare-feu Azure dans une topologie hub and spoke.

Une fois la passerelle NAT déployée sur le sous-réseau du pare-feu Azure, tout le trafic sortant est dirigé via la passerelle NAT. Normalement, la passerelle NAT reçoit également tout trafic de retour. Cependant, en présence du pare-feu Azure, la passerelle NAT est utilisée uniquement pour le trafic sortant. Tout le trafic entrant et de retour est dirigé via le pare-feu Azure afin d’assurer la symétrie du flux de trafic.

FAQ

1. La passerelle NAT peut-elle être utilisée dans une architecture de réseau virtuel hub sécurisé avec pare-feu Azure ?

   1. Non, la passerelle NAT n’est pas prise en charge dans une architecture de concentrateur sécurisé (vWAN). Une architecture de réseau virtuel concentrateur telle que décrite ci-dessus doit être utilisée à la place.

2. Comment la passerelle NAT fonctionne-t-elle avec un pare-feu Azure redondant ?

   1. La passerelle NAT est une ressource zonale qui peut fournir une connectivité sortante à partir d’une zone unique pour un réseau virtuel, qu’elle soit utilisée avec un pare-feu Azure zonal ou redondant dans une zone. Pour en savoir plus sur la façon d’optimiser vos déploiements de zone de disponibilité avec la passerelle NAT, consultez notre dernier blog.

Avantages de la passerelle NAT avec le pare-feu Azure

Lorsqu’il s’agit de fournir une connectivité sortante à Internet à partir d’architectures cloud utilisant le pare-feu Azure, ne cherchez pas plus loin que la passerelle NAT. Les avantages de l’utilisation de la passerelle NAT avec le pare-feu Azure incluent :

1. Configuration simplifiée. Attachez la passerelle NAT au sous-réseau du pare-feu Azure en quelques minutes et commencez immédiatement la connexion sortante. Aucune configuration supplémentaire requise.
2. Entièrement géré par Azure. La passerelle NAT est entièrement gérée par Azure et s’adapte automatiquement pour répondre à la demande de votre charge de travail.
3. Nécessite moins d’adresses IP publiques statiques. La passerelle NAT peut être associée à jusqu’à 16 adresses IP publiques statiques, ce qui permet une mise en liste blanche facile aux points de terminaison de destination et une gestion plus simple des règles de filtrage IP en aval.
4. Fournit un plus grand volume de ports SNAT pour la connexion sortante. La passerelle NAT peut évoluer jusqu’à plus d’un million de ports SNAT lorsqu’elle est configurée sur 16 adresses IP publiques.
5. L’allocation dynamique des ports SNAT garantit que l’inventaire complet des ports SNAT est disponible pour chaque machine virtuelle de votre charge de travail. Cela permet à son tour de réduire considérablement le risque d’épuisement des ports SNAT qui est courant avec d’autres méthodes SNAT.
6. Connectivité sortante sécurisée. Garantit qu’aucun trafic entrant provenant d’Internet ne peut atteindre des ressources privées au sein de votre réseau Azure. Tout le trafic entrant et de réponse est soumis aux règles de sécurité sur le pare-feu Azure.
7. Débit de données plus élevé. Une passerelle NAT SKU standard fournit un débit de données de 50 Gbit/s. Un pare-feu Azure SKU standard fournit 30 Gbit/s de débit de données.

Apprendre encore plus

Pour plus d’informations sur la passerelle NAT, le pare-feu Azure et la manière d’intégrer les deux dans votre configuration architecturale, consultez :