Eseguire la migrazione dalla versione 1 alla versione 2 delle regole NAT in ingresso

Una regola NAT in ingresso viene usata per inoltrare il traffico da un front-end di bilanciamento del carico a una o più istanze nel pool di back-end. Queste regole forniscono una corrispondenza 1:1 tra l'indirizzo IP front-end del servizio di bilanciamento del carico e le istanze back-end. Attualmente sono disponibili due versioni delle regole NAT in ingresso, la versione 1 e la versione 2.

Versione 1 delle regole NAT

La versione 1 delle regole NAT in ingresso include due funzionalità distinte:

• Regole NAT in ingresso per una singola macchina virtuale — Fornisce il mapping 1:1 delle porte tra un IP/una porta frontend del servizio di bilanciamento del carico e una specifica macchina virtuale. Le regole vengono applicate direttamente alla scheda di interfaccia di rete (NIC) della macchina virtuale. Non vengono ritirati e non è necessario eseguire la migrazione.

• Pool NAT in ingresso (solo set di scalabilità di macchine virtuali): si tratta dell'approccio legacy per l'assegnazione di una porta front-end di Azure Load Balancer a ogni istanza back-end. Le regole NAT in ingresso vengono create ed eliminate automaticamente per ciascuna istanza del set di scalabilità di macchine virtuali, man mano che il set di scalabilità aumenta o diminuisce il numero di istanze. I pool NAT sono definiti nel bilanciatore del carico e referenziati dalla configurazione della NIC di set di scalabilità di macchine virtuali tramite la proprietà loadBalancerInboundNatPools. Questi vengono ritirati il 30 settembre 2027 e devono essere migrati alle regole NAT in ingresso V2.

Versione 2 delle regole NAT

La versione 2 delle regole NAT in ingresso offre lo stesso set di funzionalità della versione 1, con vantaggi aggiuntivi.

• Esperienza di distribuzione semplificata e aggiornamenti ottimizzati.
  • Le regole NAT in ingresso sono ora destinate al pool di back-end del bilanciamento del carico e non richiedono più un riferimento alla scheda di interfaccia di rete della macchina virtuale. In precedenza, con la versione 1, era necessario aggiornare sia il bilanciamento del carico che la scheda di interfaccia di rete della macchina virtuale ogni volta che la regola NAT in ingresso veniva modificata. La versione 2 richiede solo una singola chiamata alla configurazione del bilanciamento del carico, con conseguente ottimizzazione degli aggiornamenti.
• Recupera facilmente la mappatura delle porte tra le regole NAT in ingresso e le istanze backend.
  • Con l'offerta legacy, per ottenere la mappatura delle porte tra una regola NAT in ingresso e un'istanza di macchina virtuale, era necessario correlare la regola con la NIC della macchina virtuale. La versione 2 inserisce direttamente la mappatura delle porte tra la regola e l'istanza di backend nella configurazione del bilanciatore del carico.

Come è possibile sapere se si sta usando la versione 1 delle regole NAT in ingresso?

Il modo più semplice per identificare se le distribuzioni usano la versione 1 della funzionalità consiste nell'esaminare la configurazione del bilanciamento del carico. Le regole NAT versione 1 avranno un valore Type pari a Azure Virtual Machine, con un valore Target virtual machine definito.

Per le regole NAT versione 2, il valore Type sarà pool di back-end con un valore pool di back-end di destinazione definito.

Per determinare a livello di codice se una distribuzione usa la versione 1 delle regole NAT in ingresso, esaminare la configurazione del servizio di bilanciamento del carico usando l'interfaccia della riga di comando di Azure o PowerShell. Se una delle proprietà backendIPConfiguration all'interno della configurazione InboundNATRule è compilata, la distribuzione corrisponde alla versione 1 delle regole NAT in ingresso. Le regole della versione 2 avranno la backendAddressPool proprietà anziché la backendIPConfiguration proprietà .

Come è possibile sapere se si usano pool NAT in ingresso?

Per verificare se il servizio di bilanciamento del carico dispone di pool NAT in ingresso configurati:

az network lb inbound-nat-pool list -g MyResourceGroup --lb-name MyLoadBalancer

$slb = Get-AzLoadBalancer -Name "MyLoadBalancer" -ResourceGroupName "MyResourceGroup"
$slb.InboundNatPools

Se i comandi precedenti restituiscono risultati, il servizio di bilanciamento del carico usa pool NAT in ingresso e deve essere migrato.

La differenza principale è il nome della proprietà ARM: i pool NAT in ingresso compaiono nella proprietà inboundNatPools del bilanciatore del carico, mentre le regole NAT in ingresso compaiono nella proprietà inboundNatRules. Se il servizio di bilanciamento del carico ha una matrice non vuota inboundNatPools , usa pool NAT in ingresso e deve essere migrato alla versione 2 prima del 30 settembre 2027.

Come eseguire la migrazione dai pool NAT in ingresso alla versione 2?

Prima di eseguire la migrazione, è importante esaminare le informazioni seguenti:

• La migrazione alla versione 2 delle regole NAT in ingresso causa interruzioni del traffico attivo che scorre attraverso le regole NAT. Il flusso del traffico attraverso le regole di bilanciamento del carico o le regole in uscita non è interessato dal processo di migrazione.
• Pianificare il numero massimo di istanze in un pool di back-end. Poiché la versione 2 è destinata al pool di back-end del bilanciamento del carico, è necessario allocare un numero sufficiente di porte per il front-end della regola NAT.
• Ogni istanza di back-end è esposta sulla porta configurata nella nuova regola NAT.
• Non possono esistere più regole NAT se dispongono di un intervallo di porte sovrapposte o della stessa porta di back-end.
• Le regole NAT e le regole di bilanciamento del carico non possono condividere la stessa porta di back-end.

Migrazione manuale

Per migrare alla versione 2 delle regole NAT in ingresso, è necessario eseguire i tre passaggi seguenti

1. Eliminare la versione 1 delle regole NAT in ingresso nella configurazione del bilanciamento del carico.
2. Rimuovere il riferimento alla regola NAT nella configurazione della macchina virtuale o del set di scalabilità di macchine virtuali.
   1. È necessario aggiornare tutte le istanze del set di scalabilità di macchine virtuali.
3. Distribuire la versione 2 delle regole NAT in ingresso.

Set di scalabilità della macchina virtuale

I passaggi seguenti vengono usati per eseguire la migrazione dalla versione 1 alla versione 2 delle regole NAT in ingresso per un set di scalabilità di macchine virtuali. Si presuppone che la modalità di aggiornamento del set di scalabilità di macchine virtuali sia impostata su Manuale. Per altre informazioni, vedere Modalità di orchestrazione per i set di scalabilità di macchine virtuali in Azure

az network lb inbound-nat-pool delete  -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatPool  

az vmss update -g MyResourceGroup -n MyVMScaleSet --remove virtualMachineProfile.networkProfile.networkInterfaceConfigurations[0].ipConfigurations[0].loadBalancerInboundNatPools  

az vmss update-instances --instance-ids '*' --resource-group MyResourceGroup --name MyVMScaleSet 

az network lb inbound-nat-rule create -g MyResourceGroup --lb-name MyLoadBalancer -n MyNatRule --protocol Tcp --frontend-port-range-start 201 --frontend-port-range-end 500 --backend-port 22 --backend-address-pool MybackendPool

# Remove the Inbound NAT rule

$slb = Get-AzLoadBalancer -Name "MyLoadBalancer" -ResourceGroupName "MyResourceGroup" 

Remove-AzLoadBalancerInboundNatPoolConfig -Name myinboundnatpool -LoadBalancer $slb 

Set-AzLoadBalancer -LoadBalancer $slb 

# Remove the Inbound NAT pool association 

$vmss = Get-AzVmss -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyVMScaleSet" 

$vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].loadBalancerInboundNatPools = $null 

# Upgrade all instances in the VMSS 

Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "*"

$slb | Add-AzLoadBalancerInboundNatRuleConfig -Name "NewNatRuleV2" -FrontendIPConfiguration $slb.FrontendIpConfigurations[0] -Protocol "Tcp" -FrontendPortRangeStart 201-FrontendPortRangeEnd 500 -BackendAddressPool $slb.BackendAddressPools[0] -BackendPort 22
$slb | Set-AzLoadBalancer
 

Migrazione con uno script di automazione per Virtual Machine Scale Set

Il processo di migrazione riutilizzerà i pool back-end esistenti con l'appartenenza corrispondente ai pool NAT di cui eseguire la migrazione; se non viene trovato alcun pool back-end corrispondente, lo script verrà chiuso (senza apportare modifiche). In alternativa, usare il parametro -backendPoolReuseStrategy per creare sempre nuovi pool back-end (NoReuse) o creare un nuovo pool back-end se non esiste un pool corrispondente (OptionalFirstMatch). I pool back-end e le associazioni delle regole NAT possono essere aggiornati dopo la migrazione in modo che corrispondano alle preferenze.

Prerequisiti

Prima di iniziare il processo di migrazione, verificare che siano soddisfatti i prerequisiti seguenti:

• Lo SKU del bilanciamento del carico deve essere Standard per eseguire la migrazione dei pool NAT del bilanciamento del carico alle regole NAT. Per automatizzare questo processo di aggiornamento, vedere i passaggi descritti in Aggiornare un'istanza di Load Balancer Basic a Standard con PowerShell.
• I set di scalabilità di macchine virtuali associati al Load Balancer di destinazione devono usare un criterio di aggiornamento "Manuale" o "Automatico"; il criterio di aggiornamento "Rolling" non è supportato. Per altre informazioni, vedere Criteri di aggiornamento dei set di scalabilità di macchine virtuali.
• Installare la versione più recente di PowerShell.
• Installare i moduli di Azure PowerShell.

Installare il modulo AzureLoadBalancerNATPoolMigration

Con il comando seguente, installare il modulo AzureLoadBalancerNATPoolMigrationda PowerShell Gallery:

# Install the AzureLoadBalancerNATPoolMigration module

Install-Module -Name AzureLoadBalancerNATPoolMigration -Scope CurrentUser -Repository PSGallery -Force 

Aggiornare i pool NAT alle regole NAT

Dopo aver installato il modulo azureLoadBalancerNATPoolMigration, aggiornare i pool NAT alle regole NAT eseguendo la procedura seguente:

1. Connettersi ad Azure con Connect-AzAccount.

2. Acquisire i nomi del load balancer di destinazione per l'aggiornamento delle regole NAT e del relativo Resource Group.

3. Eseguire il comando di migrazione con i nomi delle risorse sostituendo i segnaposto di <loadBalancerResourceGroupName> e <loadBalancerName>:

   # Run the migration command 
   
   Start-AzNATPoolMigration -ResourceGroupName <loadBalancerResourceGroupName> -LoadBalancerName <loadBalancerName>
   
   

Passaggi successivi

• Informazioni sulla Gestione delle regole NAT in ingresso
• Informazioni sui Pool NAT e regole NAT di Azure Load Balancer