مشاركة عبر

ما هي بوابة Azure NAT؟

Azure NAT Gateway هي خدمة ترجمة عناوين الشبكة (NAT) مدارة بالكامل ومرنة للغاية. يمكنك استخدام Azure NAT Gateway للسماح لجميع الحالات في شبكة فرعية بالاتصال الخارج بالإنترنت مع البقاء خاصا بالكامل. لا يسمح بالاتصالات الواردة غير المرغوب فيها من الإنترنت من خلال بوابة NAT. يمكن فقط للحزم التي تصل كحزم استجابة إلى اتصال صادر أن تمر عبر بوابة NAT.

تقوم بوابة NAT بتخصيص منافذ SNAT ديناميكيا لتوسيع الاتصال الخارجي تلقائيا وتقليل خطر استنفاد منافذ SNAT.

Important

Standard V2 SKU Azure NAT Gateway حاليا في مرحلة المعاينة. للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.

يظهر الشكل NAT تتلقى نسبة استخدام الشبكة من الشبكات الفرعية الداخلية وتوجهها إلى عنوان IP عام.

الشكل: بوابة Azure NAT

بوابة Azure NAT متوفرة بوحدتين:

  • معيار بوابة SKU NAT هي منطقة (منشورة في منطقة توفر واحدة) وتوفر اتصالا خارجيا قابلا للتوسع للشبكات الفرعية في شبكة افتراضية واحدة.

  • ستاندردV2 بوابة SKU NAT مكررة من حيث المناطق مع معدل نقل أعلى من SKU القياسي، ودعم IPv6، وسجل التدفق.

بوابة NAT ستاندردV2

توفر بوابة NAT ستاندردV2 جميع وظائف بوابة NAT القياسية SKU، مثل تخصيص منافذ SNAT الديناميكي والاتصال الصادر الآمن للشبكات الفرعية داخل شبكة افتراضية. بالإضافة إلى ذلك، فإن بوابة NAT القياسية V2 غير ضرورية للمنطقة، مما يعني أنها توفر اتصالا خارجيا من جميع المناطق في المنطقة بدلا من منطقة واحدة مثل بوابة NAT القياسية.

يوضح الرسم البياني بوابة NAT من نوع StandardV2 تمتد عبر عدة مناطق توفر في منطقة واحدة.

الشكل: تمتد بوابة NAT القياسية V2 عبر عدة مناطق توفر في منطقة واحدة.

القدرات الرئيسية لبوابة NAT ستاندردV2

  • التكرار في المنطقة - يعمل عبر جميع مناطق التوفر في المنطقة للحفاظ على الاتصال أثناء فشل منطقة واحدة.
  • دعم IPv6 - يدعم عناوين IP العامة وبادئات IPv4 وIPv6 للاتصال الخارجي.
  • معدل نقل بيانات أعلى - كل بوابة NAT من نوع StandardV2 يمكنها توفير سرعة نقل بيانات تصل إلى 100 جيجابت في الثانية، مقارنة ب 50 جيجابت في الثانية لبوابة NAT القياسية.
  • دعم سجلات التدفق - يوفر معلومات حركة مرور قائمة على بروتوكول الإنترنت للمساعدة في مراقبة وتحليل تدفقات الحركة الخارجية.

لمعرفة المزيد حول كيفية نشر بوابة NAT، انظر إنشاء بوابة NAT لمعيار V2.

القيود الرئيسية لبوابة NAT القياسية V2

  • يتطلب عناوين IP عامة أو بادئات لوحدة تخزين STANDARD V2. عناوين IP العامة لوحدات SKU القياسية غير مدعومة مع بوابة NAT.
  • لا يمكن ترقية بوابة NAT القياسية SKU إلى بوابة NAT القياسية V2. يجب عليك أولا إنشاء بوابة NAT لوحدة SKU القياسية V2 واستبدال بوابة NAT القياسية على شبكتك الفرعية.
  • المناطق التالية لا تدعم بوابة NAT:
    • شرق كندا
    • Central India
    • تشيلي الوسطى
    • Indonesia Central
    • شمال غرب إسرائيل
    • Malaysia West
    • قطر الوسطى
    • UAE Central
  • لا يدعم تيرافورم بعد نشر StandardV2 NAT Gateway وStandardV2 Public IP.
  • بوابة NAT StandardV2 لا تدعم ولا يمكن ربطها بالشبكات الفرعية المفوضة للخدمات التالية:
    • مثيل Azure SQL المُدار
    • مثيلات حاوية Azure
    • Azure Database لـ PostgreSQL - خادم مرن
    • قاعدة بيانات Azure ل MySQL - خادم مرن
    • قاعدة بيانات Azure لـ MySQL
    • Azure Data Factory - Data Movement
    • خدمات مايكروسوفت باور بلاتفورم
    • Azure Stream Analytics
    • Azure Web Apps
    • محلل Azure DNS الخاص

المشاكل المعروفة في بوابة NAT StandardV2

  • يتم تعطيل حركة المرور الصادرة لبروتوكول IPv6 باستخدام قواعد موازن التحميل عند ربط بوابة NAT القياسية V2 بشبكة فرعية. إذا كنت بحاجة إلى الاتصال الصادر لكل من IPv4 وIPv6، استخدم قواعد موازن التحميل الصادرة لكل من حركة مرور IPv4 وIPv6 أو استخدم بوابة NAT القياسية لحركة مرور IPv4 وقواعد موازن التحميل الصادرة لحركة مرور IPv6.

  • قد يؤدي ربط بوابة NAT من نوع StandardV2 إلى شبكة فرعية فارغة تم إنشاؤها قبل أبريل 2025 بدون أي أجهزة افتراضية إلى دخول الشبكة الافتراضية في حالة فشل. لإعادة الشبكة الافتراضية إلى حالة ناجحة، قم بإزالة بوابة NAT، وإنشاء وإضافة آلة افتراضية إلى الشبكة الفرعية، ثم أعد توصيل بوابة StandardV2 NAT.

لمزيد من المعلومات حول القضايا والقيود المعروفة في بوابة StandardV2 NAT، راجع القضايا والقيود المعروفة لبوابة StandardV2 NAT.

بوابة NAT القياسية

توفر بوابة NAT القياسية اتصالا خارجيا بالإنترنت ويمكن ربطها بالشبكات الفرعية ضمن نفس الشبكة الافتراضية. تعمل بوابة NAT القياسية من منطقة توفر واحدة.

يوضح الرسم البياني بوابة NAT القياسية في منطقة توفر واحدة.

*الشكل: بوابة NAT القياسية في منطقة توفر واحدة.

مزايا بوابة Azure NAT

إعداد بسيط

يتم تبسيط عمليات النشر عن قصد باستخدام بوابة NAT. قم بإرفاق بوابة NAT بشبكة فرعية وعنوان IP عام وابدأ الاتصال الصادر بالإنترنت على الفور. لا توجد أي تكوينات للصيانة والتوجيه مطلوبة. يمكن إضافة المزيد من عناوين IP العامة أو الشبكات الفرعية لاحقا دون التأثير على التكوين الحالي.

الخطوات التالية هي مثال على كيفية إعداد بوابة NAT:

  • إنشاء بوابة NAT غير منطقية أو منطقية.

  • إنشاء بوابة NAT.

  • قم بتعيين عنوان IP عام أو بادئة IP عامة.

  • قم بتكوين شبكة فرعية لاستخدام بوابة NAT.

إذا لزم الأمر، قم بتعديل مهلة الخمول لبروتوكول التحكم في الإرسال (TCP) (اختياري). راجع المؤقتات قبل تغيير الإعداد الافتراضي.

الأمان

تم إنشاء بوابة NAT على نموذج أمان شبكة الثقة المعدومة وهي آمنة بشكل افتراضي. باستخدام بوابة NAT، لا تحتاج المثيلات الخاصة داخل الشبكة الفرعية إلى عناوين IP عامة للوصول إلى الإنترنت. يمكن للموارد الخاصة الوصول إلى مصادر خارجية خارج الشبكة الظاهرية عن طريق ترجمة عنوان الشبكة المصدر (SNAT) إلى عناوين IP العامة الثابتة أو البادئات الخاصة ببوابة NAT. يمكنك توفير مجموعة متقاربة من عناوين IP للاتصال الصادر باستخدام بادئة IP عامة. يمكن تكوين قواعد جدار الحماية الوجهة بناءً على قائمة IP التي يمكن التنبؤ بها.

مرونة

Azure NAT Gateway هي خدمة مدارة وموزعة بالكامل. لا يعتمد على مثيلات الحوسبة الفردية مثل الأجهزة الظاهرية أو جهاز بوابة فعلي واحد. تحتوي بوابة NAT دائما على مجالات أخطاء متعددة ويمكنها الحفاظ على حالات فشل متعددة دون انقطاع الخدمة. تجعل الشبكات المعرفة بالبرمجيات بوابة NAT مرنة للغاية.

قابلية التوسع

يتم توسيع نطاق بوابة NAT من الإنشاء. لا توجد عملية زيادة أو توسيع مطلوبة. يدير Azure تشغيل بوابة NAT نيابة عنك.

قم بإرفاق بوابة NAT بشبكة فرعية لتوفير اتصال صادر لجميع الموارد الخاصة في تلك الشبكة الفرعية. يمكن لجميع الشبكات الفرعية في الشبكة الظاهرية استخدام نفس مورد بوابة NAT. يمكن توسيع نطاق الاتصال الصادر عن طريق تعيين ما يصل إلى 16 عنوان IP عام أو بادئة IP عامة بحجم /28 إلى بوابة NAT. عندما تقترن بوابة NAT ببادئة IP عامة، فإنها تتغير تلقائيا إلى عدد عناوين IP المطلوبة للصادر.

الأداء

Azure NAT Gateway هي خدمة شبكات معرفة بالبرامج. يمكن لكل بوابة NAT معالجة ما يصل إلى 50 جيجابت في الثانية من البيانات لكل من حركة المرور الصادرة والعودة.

لا تؤثر بوابة NAT على النطاق الترددي للشبكة لموارد الحوسبة الخاصة بك. تعرف على المزيد حول أداء NAT Gateway.

أساسيات بوابة Azure NAT

يوفر Azure NAT Gateway اتصالا خارجيا آمنا وقابلا للتوسع للموارد في شبكة افتراضية. إنها الطريقة الموصى بها للوصول الصادر إلى الإنترنت.

الاتصال الصادر

إشعار

في 31 مارس 2026، ستستخدم الشبكات الافتراضية الجديدة الشبكات الفرعية الخاصة، مما يعني أن الوصول الخارجي الافتراضي لن يكون متاحا بشكل افتراضي. يوصى باستخدام شكل صريح من الاتصال الصادر بدلا من ذلك، مثل بوابة NAT.

  • توفر بوابة NAT اتصالا صادرا على مستوى الشبكة الفرعية. تحل بوابة NAT محل وجهة الإنترنت الافتراضية لشبكة فرعية لتوفير اتصال صادر.

  • لا تتطلب بوابة NAT أي تكوينات توجيه على جدول توجيه الشبكة الفرعية. بعد إرفاق بوابة NAT بشبكة فرعية، فإنها توفر اتصالا صادرا على الفور.

  • تسمح بوابة NAT بإنشاء التدفقات من الشبكة الظاهرية إلى الخدمات خارج شبكتك الظاهرية. لا يُسمح بعودة حركة مرور البيانات من الإنترنت إلا استجابةً للتدفق النشط. لا يمكن للخدمات خارج شبكتك الظاهرية بدء اتصال وارد من خلال بوابة NAT.

  • تأخذ بوابة NAT الأسبقية على طرق الاتصال الصادرة الأخرى، بما في ذلك موازن التحميل وعناوين IP العامة على مستوى المثيل وجدار حماية Azure.

  • تأخذ بوابة NAT الأولوية على الأساليب الصادرة الصريحة الأخرى التي تم تكوينها في شبكة ظاهرية لجميع الاتصالات الجديدة. لا توجد أي قطرات في تدفق نسبة استخدام الشبكة للاتصالات الموجودة باستخدام أساليب صريحة أخرى للاتصال الصادر.

  • لا تحتوي بوابة NAT على نفس قيود استنفاد منفذ SNAT كما هو الحال مع الوصول الصادر الافتراضيوالقواعد الصادرة لموازن التحميل.

  • تدعم بوابة NAT بروتوكولات TCP وبروتوكول مخطط بيانات المستخدم (UDP) فقط. بروتوكول رسالة التحكم بالإنترنت (ICMP) غير مدعوم.

  • تحتوي الشبكة الفرعية على مسار افتراضي للنظام يوجه حركة المرور مع الوجهة 0.0.0.0/0 إلى الإنترنت تلقائيا. بعد تكوين بوابة NAT إلى الشبكة الفرعية، تتصل الأجهزة الظاهرية في الشبكة الفرعية بالإنترنت باستخدام عنوان IP العام لبوابة NAT.

  • عند إنشاء مسار معرف من قبل المستخدم (UDR) في جدول توجيه الشبكة الفرعية لنسبة استخدام الشبكة 0.0.0.0/0، يتم تجاوز مسار الإنترنت الافتراضي لنسبة استخدام الشبكة هذه. يتجاوز UDR الذي يرسل نسبة استخدام الشبكة 0.0.0.0/0 إلى جهاز ظاهري أو بوابة شبكة ظاهرية (بوابة VPN وExpressRoute) كنوع الخطوة التالي بدلا من ذلك اتصال بوابة NAT بالإنترنت.

كيفية عمل بوابة NAT

  • لا يوجد تكوين لجدول المسار - بوابة NAT تعمل على مستوى شبكة فرعية. بعد التوصيل، توفر بوابة NAT اتصالا خارجيا دون الحاجة إلى إعدادات توجيه على جدول المسار الفرعي.

    • UDR إلى الخطوة التالية للجهاز الظاهري أو بوابة >> الشبكة الظاهرية NAT Gateway >> عنوان IP العام على مستوى مثيل القواعد الصادرة لموازن >> التحميل على الجهاز >> الظاهري المسار الافتراضي للنظام إلى الإنترنت.

تكوينات بوابة NAT

  • يمكن للشبكات الفرعية المتعددة داخل نفس الشبكة الظاهرية إما استخدام بوابات NAT مختلفة أو نفس بوابة NAT.

  • لا يمكن إرفاق بوابات NAT المتعددة بشبكة فرعية واحدة.

  • لا يمكن أن تمتد بوابة NAT إلى شبكات ظاهرية متعددة. ومع ذلك، يمكن استخدام بوابة NAT لتوفير اتصال صادر في لوحة وصل ونموذج محوري. لمزيد من المعلومات، راجع مركز بوابة NAT والبرنامج التعليمي المحوري.

  • لا يمكن نشر بوابة NAT في شبكة فرعية للبوابة.

  • يمكن لمورد بوابة NAT استخدام ما يصل إلى 16 عنوان IP في أي مجموعة من الأنواع التالية:

  • لا يمكن إرفاق بوابات NAT المتعددة بشبكة فرعية واحدة.

  • لا يمكن أن تمتد بوابة NAT إلى شبكات ظاهرية متعددة. ومع ذلك، يمكن استخدام بوابة NAT لتوفير اتصال صادر في لوحة وصل ونموذج محوري. لمزيد من المعلومات، راجع مركز بوابة NAT والبرنامج التعليمي المحوري.

  • لا يمكن نشر بوابة NAT في شبكة فرعية للبوابة أو شبكة فرعية تحتوي على مثيلات SQL المدارة.

  • لا يمكن إقران بوابة NAT بعنوان IP عام IPv6 أو بادئة IP عامة ل IPv6.

  • يمكن إستخدام بوابة NAT مع موازن التحميل باستخدام القواعد الصادرة لتوفير اتصال صادر مزدوج المكدس. شاهد الاتصال الصادر للمكدس المزدوج باستخدام بوابة NAT وموازن التحميل.

  • تعمل بوابة NAT مع أي واجهة شبكة جهاز ظاهري أو تكوين IP. يمكن لبوابة NAT SNAT تكوينات IP متعددة على واجهة الشبكة.

  • يمكن إقران بوابة NAT بشبكة فرعية Azure Firewall في شبكة ظاهرية مركزية وتوفير اتصال صادر من الشبكات الظاهرية المحورية النظيرة إلى المركز. لمعرفة المزيد، راجع تكامل Azure Firewall مع بوابة NAT.

مجموعات التوافر

  • يمكن إنشاء بوابة NAT القياسية لوحدة SKU في منطقة توفر محددة أو وضعها في منطقة غير موجودة.

  • يمكن عزل بوابة NAT القياسية في منطقة محددة عند إنشاء سيناريوهات عزل المناطق. بعد نشر بوابة NAT، لا يمكن تغيير تحديد المنطقة.

  • يتم وضع بوابة NAT القياسية في منطقة غير طبيعية بشكل افتراضي. يتم وضع بوابة NAT غير منطقية في منطقة لك بواسطة Azure.

  • بوابة NAT الخاصة ب StandardV2 SKU هي زائدة عن الحاجة للمنطقة وتعمل عبر جميع مناطق التوافر في المنطقة للحفاظ على الاتصال أثناء فشل منطقة واحدة.

الوصول الصادر التلقائي

  • لتوفير اتصال آمن للخارج بالإنترنت، ينصح بتمكين الشبكة الفرعية الخاصة لمنع إنشاء عناوين IP الصادرة الافتراضية، وبدلا من ذلك استخدام طريقة صريحة للاتصال الصادر مثل بوابة NAT.

  • بعض الخدمات لا تعمل على آلة افتراضية في شبكة فرعية خاصة بدون طريقة واضحة للاتصال الخارجي، مثل تفعيل ويندوز وتحديثات ويندوز. لتفعيل أو تحديث أنظمة تشغيل الآلة الافتراضية، مثل ويندوز، يلزم استخدام طريقة صريحة للاتصال الخارجي، مثل بوابة NAT.

  • لترحيل الوصول الصادر إلى بوابة NAT من الوصول الصادر الافتراضي أو قواعد Load Balancer، راجع ترحيل الوصول الصادر إلى Azure NAT Gateway.

إشعار

في 31 مارس 2026، ستستخدم الشبكات الافتراضية الجديدة الشبكات الفرعية الخاصة، مما يعني أن الوصول الصادر الافتراضي لن يكون متاحا بشكل افتراضي، ويجب تفعيل هذه الطريقة الصادرة الصريحة للوصول إلى نقاط النهاية العامة على الإنترنت وداخل مايكروسوفت. يوصى باستخدام شكل صريح من الاتصال الصادر بدلا من ذلك، مثل بوابة NAT.

بوابة NAT والموارد الأساسية

  • بوابة NAT القياسية متوافقة مع عناوين IP العامة القياسية أو بادئات IP العامة. بوابة NAT StandardV2 متوافقة مع عناوين IP العامة أو بادئات IP العامة في StandardV2 فقط.

  • لا يمكن استخدام بوابة NAT مع الشبكات الفرعية حيث توجد موارد أساسية. لا تتوافق موارد SKU الأساسية، مثل موازن التحميل الأساسي أو عناوين IP العامة الأساسية مع بوابة NAT. يمكن ترقية موازن التحميل الأساسي وعنوان IP العام الأساسي إلى مستوى قياسي للعمل مع بوابة NAT.

مهلات الاتصال والموقتات

  • ترسل بوابة NAT حزمة إعادة تعيين TCP (RST) لأي تدفق اتصال لا يتعرف عليه كاتصال موجود. لم يعد تدفق الاتصال موجودا إذا تم الوصول إلى مهلة خمول بوابة NAT أو تم إغلاق الاتصال في وقت سابق.

  • عندما يتلقى مرسل نسبة استخدام الشبكة على تدفق الاتصال غير الموجود حزمة NAT Gateway TCP RST، لم يعد الاتصال قابلا للاستخدام.

  • لا تتوفر منافذ SNAT بسهولة لإعادة استخدامها إلى نفس نقطة النهاية الوجهة بعد إغلاق الاتصال. تضع بوابة NAT منافذ SNAT في حالة تهدئة قبل إعادة استخدامها للاتصال بنفس نقطة نهاية الوجهة.

  • تختلف مدد المؤقت لإعادة استخدام منفذ SNAT (تهدئة) لحركة مرور TCP اعتمادا على كيفية إغلاق الاتصال. لمعرفة المزيد، راجع مؤقتات إعادة استخدام المنفذ.

  • يتم استخدام مهلة خمول TCP افتراضية، والتي تبلغ 4 دقائق ويمكن زيادتها حتى 120 دقيقة. يمكن لأي نشاط في التدفق أيضًا إعادة تعيين مؤقت الخمول، بما في ذلك TCP keepalives. لمعرفة المزيد، راجع مؤقتات مهلة الخمول.

  • تحتوي حركة مرور UDP على مهلة خامدة تبلغ 4 دقائق لا يمكن تغييرها.

  • تحتوي حركة مرور UDP على مؤقت إعادة استخدام المنفذ لمدة 65 ثانية حيث يكون المنفذ قيد الانتظار قبل أن يكون متاحا لإعادة الاستخدام إلى نفس نقطة نهاية الوجهة.

اتفاقية التسعير ومستوى الخدمة (SLA)

Standard و StandardV2 NAT Gateway هما نفس السعر. للحصول على تسعير بوابة Azure NAT، راجع تسعير بوابة NAT.

للحصول على معلومات حول اتفاقية مستوى الخدمة، راجع اتفاقية مستوى الخدمة لبوابة Azure NAT.

الخطوات التالية

  • Last updated on