最近在使用微软云的过程中发现,Azure推出了标准版的负载均衡器,这对于很多安全性要求比较高的用户来说应该是个好消息,可以让用户配置SNAT的配置了。
使用 Azure 负载均衡器可以:
- 对传入到 VM 的 Internet 流量进行负载均衡。 此配置称为公共负载均衡器。
- 对虚拟网络中 VM 之间的流量进行负载均衡。 还可以在混合方案中从本地网络访问负载均衡器前端。 这两种方案都使用称作内部负载均衡器的配置。
- 使用入站网络地址转换 (NAT) 规则通过端口转发将流量转发到特定 VM 上的特定端口。
- 使用公共负载均衡器为虚拟网络中的 VM 提供出站连接。
目前微软SLB提供两个版本,基本版和标准版,功能对比可以参考以下了解。
https://docs.microsoft.com/zh-cn/azure/load-balancer/load-balancer-overview
其中着重介绍以下两个内容
标准版 | 基本版 | |
出站规则 | 声明性出站 NAT 配置,包括哪些公共 IP 地址或公共 IP 前缀、可配置出站空闲超时、自定义 SNAT 端口分配 | 不可用 |
Azure 负载均衡需要配置的IP地址是VIP,Azure 在 VIP 中为虚拟机的连接预分配了 160 个源端口。
通过上面这个图可以看出,如果客户出于安全考虑并不想为后端虚拟机提供一个可以访问的IP地址(如果添加IP地址,所有出站流量都将通过这个IP地址出站),默认我们只能同时有160个端口供连接出站使用。
在新的标准版负载均衡器中,我们可以对出站规则进行设置,目前仅仅可以使用CLI或者PowerShell。
通过以下命令
创建负载均衡出站规则。
az network lb outbound-rule create -g sslbgroup --lb-name sslb -n outboundrule --frontend-ip-configs LoadBalancerFrontEnd --protocol All --idle-time 4 --outbound-ports 1000 --address-pool sslbbackup
这样就可以设置出站的端口数量为SLB后面的虚拟机提供足够的出站连接端口