Migrar das regras de NAT de entrada da versão 1 para a versão 2

Uma regra de NAT de entrada é usada para encaminhar o tráfego do frontend de um balanceador de carga para uma ou mais instâncias no pool de back-end. Essas regras fornecem um mapeamento 1:1 entre o endereço IP de front-end do balanceador de carga e as instâncias de back-end. Atualmente, há duas versões de regras NAT de entrada: versão 1 e versão 2.

Importante

Em 30 de setembro de 2027, Pools NAT de entrada (o recurso específico dos Conjuntos de Dimensionamento de Máquinas Virtuais do Azure das regras de NAT de entrada V1) serão desativados. Se você estiver usando Pools NAT de Entrada com Conjuntos de Dimensionamento de Máquinas Virtuais do Azure, migre para as regras NAT de Entrada V2 antes da data de desativação. As regras NAT de entrada de VM única V1 não são afetadas por essa desativação e não precisam ser migradas.

Regra NAT versão 1

A versão 1 das regras NAT de entrada inclui dois recursos distintos:

  • Regras de NAT de entrada para uma única VM — Fornece mapeamento de portas 1:1 entre um IP/porta de frontend do balanceador de carga e uma máquina virtual específica. As regras são aplicadas diretamente à placa de interface de rede (NIC) da VM. Eles não estão sendo desativados e não precisam ser migrados.

  • Pools NAT de entrada (somente Conjuntos de Dimensionamento de Máquinas Virtuais) — essa é a abordagem herdada para atribuir a porta de front-end de um Azure Load Balancer a cada instância de back-end. As regras de NAT de entrada são criadas e excluídas automaticamente para cada instância do Conjunto de Dimensionamento de Máquinas Virtuais, à medida que o conjunto é expandido e reduzido. Os pools NAT são definidos no balanceador de carga e referenciados pela configuração da NIC do Conjuntos de Dimensionamento de Máquinas Virtuais por meio da propriedade loadBalancerInboundNatPools. Elas estão sendo desativadas em 30 de setembro de 2027 e devem ser migradas para as regras NAT de entrada V2.

Regra NAT versão 2

A versão 2 das regras NAT de entrada fornece o mesmo conjunto de recursos da versão 1, com benefícios extras.

  • Experiência de implantação simplificada e atualizações otimizadas.
    • As regras NAT de entrada agora têm como destino o pool de back-end do balanceador de carga e não exigem mais uma referência na NIC da máquina virtual. Anteriormente, na versão 1, o balanceador de carga e a NIC da máquina virtual precisavam ser atualizados sempre que a regra NAT de entrada era alterada. A versão 2 requer apenas uma única chamada na configuração do balanceador de carga, resultando em atualizações otimizadas.
  • Recupere facilmente o mapeamento de portas entre as regras de NAT de entrada e as instâncias de back-end.
    • Com a oferta herdada, para recuperar o mapeamento de portas entre uma regra NAT de entrada e uma instância de máquina virtual, seria necessário correlacionar a regra com a NIC da máquina virtual. A versão 2 injeta o mapeamento de portas entre a regra e a instância de back-end diretamente na configuração do balanceador de carga.

Como saber se estou usando a versão 1 das regras NAT de entrada?

A maneira mais fácil de identificar se suas implantações estão usando a versão 1 do recurso é inspecionando a configuração do balanceador de carga. As regras da NAT versão 1 terão um valor Tipo da Máquina Virtual do Azure com um valor de Máquina virtual de destino definido.

Captura de tela da configuração da regra da NAT versão 1 no portal do Azure.

Para regras NAT da versão 2, o valor de Tipo será Pool de back-end, com um valor definido para Pool de back-end de destino.

Captura de tela da configuração da regra da NAT versão 2 no portal do Azure.

Para determinar programaticamente se uma implantação está usando a versão 1 das regras NAT de entrada, inspecione a configuração do balanceador de carga usando a CLI do Azure ou o PowerShell. Se qualquer uma das propriedades backendIPConfiguration na configuração InboundNATRule estiver preenchida, a implantação corresponde à versão 1 das regras de NAT de entrada. As regras da versão 2 terão a propriedade backendAddressPool em vez da propriedade backendIPConfiguration.

Como saber se estou usando pools de NAT de entrada?

Para verificar se o balanceador de carga tem Pools de NAT de entrada configurados:

az network lb inbound-nat-pool list -g MyResourceGroup --lb-name MyLoadBalancer

Se os comandos acima retornarem algum resultado, seu balanceador de carga está usando Pools de NAT de Entrada e deve ser migrado.

A principal diferença é o nome da propriedade ARM: os Pools de NAT de entrada aparecem na propriedade inboundNatPools do balanceador de carga, enquanto as regras de NAT de entrada aparecem na propriedade inboundNatRules. Se o balanceador de carga tiver uma matriz não vazia inboundNatPools , ele estará usando pools NAT de entrada e deverá ser migrado para a V2 antes de 30 de setembro de 2027.

Note

Se o balanceador de carga tiver apenas regras NAT de entrada de VM individual (Tipo = "Máquina Virtual do Azure") e nenhum pool NAT de entrada, nenhuma migração será necessária. As regras V1 para VM individual não estão sendo desativadas.

Como migrar de pools NAT de entrada para a versão 2?

Antes de migrar, é importante revisar as seguintes informações:

  • A migração para a versão 2 das regras de NAT de entrada causa interrupção no tráfego ativo que está passando pelas regras de NAT. O tráfego que flui através das regras de balanceador de carga ou das regras de saída não é impactado durante o processo de migração.
  • Planeje o número máximo de instâncias em um pool de backend. Como a versão 2 tem como alvo o pool de back-end do Load Balancer, é necessário alocar um número suficiente de portas para a extremidade de front-end da regra NAT.
  • Cada instância de back-end é exposta na porta configurada na nova regra NAT.
  • Várias regras NAT não poderão existir se tiverem um intervalo de portas sobrepostas ou usarem a mesma porta de back-end.
  • As regras NAT e as regras de balanceamento de carga não podem compartilhar a mesma porta de back-end.

Migração manual

As três etapas a seguir precisam ser executadas para migrar para a versão 2 das regras NAT de entrada

  1. Exclua a versão 1 das regras NAT de entrada na configuração do balanceador de carga.
  2. Remova a referência à regra NAT na configuração da máquina virtual ou do conjunto de dimensionamento de máquinas virtuais.
    1. Todas as instâncias do conjunto de dimensionamento de máquinas virtuais precisam ser atualizadas.
  3. Implante a versão 2 das regras NAT de entrada.

Conjunto de Dimensionamento de Máquinas Virtuais

Importante

Este é o caminho de migração necessário para a desativação dos pools de NAT de entrada. Todas as implantações de Conjuntos de Dimensionamento de Máquinas Virtuais que usam Pools NAT de entrada devem concluir essa migração antes de 30 de setembro de 2027.

As etapas a seguir são usadas para migrar da versão 1 para a versão 2 das regras NAT de entrada de um conjunto de dimensionamento de máquinas virtuais. Assume-se que o modo de atualização do conjunto de dimensionamento de máquinas virtuais está definido como Manual. Para obter mais informações, confira Modos de orquestração para conjuntos de dimensionamento de máquinas virtuais no Azure


az network lb inbound-nat-pool delete  -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatPool  

az vmss update -g MyResourceGroup -n MyVMScaleSet --remove virtualMachineProfile.networkProfile.networkInterfaceConfigurations[0].ipConfigurations[0].loadBalancerInboundNatPools  

az vmss update-instances --instance-ids '*' --resource-group MyResourceGroup --name MyVMScaleSet 

az network lb inbound-nat-rule create -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatRule --protocol Tcp --frontend-port-range-start 201 --frontend-port-range-end 500 --backend-port 22 --backend-address-pool MybackendPool

Migração usando script de automação para o Conjunto de Dimensionamento de Máquinas Virtuais

O processo de migração reutilizará pools de back-end existentes com associação correspondente aos pools NAT a serem migrados; se nenhum pool de back-end correspondente for encontrado, o script será encerrado (sem fazer alterações). Como alternativa, use o parâmetro -backendPoolReuseStrategy para sempre criar novos pools de back-end (NoReuse) ou para criar um pool de back-end se um correspondente não existir (OptionalFirstMatch). Pools de back-end e associações de regras NAT podem ser atualizados após a migração para corresponder à sua preferência.

Pré-requisitos

Antes de iniciar o processo de migração, verifique se os seguintes pré-requisitos são atendidos:

Instalar o módulo AzureLoadBalancerNATPoolMigration

Com um dos seguintes comandos, instale o módulo AzureLoadBalancerNATPoolMigration da Galeria do PowerShell:

# Install the AzureLoadBalancerNATPoolMigration module

Install-Module -Name AzureLoadBalancerNATPoolMigration -Scope CurrentUser -Repository PSGallery -Force

Converter pools de NAT em regras de NAT

Com o módulo azureLoadBalancerNATPoolMigration instalado, atualize seus pools de NAT para regras NAT com as seguintes etapas:

  1. Conecte-se ao Azure com Connect-AzAccount.

  2. Colete os nomes do Load Balancer de destino para a atualização das regras NAT e o nome do Grupo de Recursos.

  3. Execute o comando de migração com os nomes dos seus recursos substituindo os marcadores <loadBalancerResourceGroupName> e <loadBalancerName>:

    # Run the migration command 

Start-AzNATPoolMigration -ResourceGroupName <loadBalancerResourceGroupName> -LoadBalancerName <loadBalancerName>

Próximas etapas

  • Last updated on