ما هي بوابة Azure NAT؟

Azure NAT Gateway هي خدمة ترجمة عناوين الشبكة (NAT) مدارة بالكامل ومرنة للغاية. يمكنك استخدام بوابة Azure NAT للسماح لجميع المثيلات في شبكة فرعية خاصة بالاتصال الصادر بالإنترنت مع البقاء خاصا بالكامل. لا يسمح بالاتصالات الواردة غير المرغوب فيها من الإنترنت من خلال بوابة NAT. يمكن أن تمر الحزم التي تصل كحزم استجابة إلى اتصال صادر عبر بوابة NAT فقط.

توفر بوابة NAT وظيفة منفذ SNAT ديناميكية لتوسيع نطاق الاتصال الصادر تلقائيا وتقليل مخاطر استنفاد منفذ SNAT.

يظهر الشكل NAT تتلقى نسبة استخدام الشبكة من الشبكات الفرعية الداخلية وتوجهها إلى عنوان IP عام.

الشكل: بوابة Azure NAT

توفر بوابة Azure NAT اتصالا صادرا للعديد من موارد Azure، بما في ذلك:

مزايا بوابة Azure NAT

إعداد بسيط

يتم جعل عمليات النشر بسيطة عن قصد باستخدام بوابة NAT. قم بإرفاق بوابة NAT بشبكة فرعية وعنوان IP عام وابدأ في الاتصال الصادر بالإنترنت على الفور. لا توجد أي تكوينات للصيانة والتوجيه مطلوبة. يمكن إضافة المزيد من عناوين IP العامة أو الشبكات الفرعية لاحقا دون التأثير على التكوين الحالي.

الخطوات التالية هي مثال على كيفية إعداد بوابة NAT:

  • إنشاء بوابة NAT غير نطاقية أو نطاقية.

  • قم بتعيين عنوان IP عام أو بادئة IP عامة.

  • كوّن الشبكة الفرعية للشبكة الظاهرية لاستخدام بوابة NAT.

إذا لزم الأمر، قم بتعديل مهلة الخمول لبروتوكول التحكم في الإرسال (TCP) (اختياري). راجع المؤقتات قبل تغيير الإعداد الافتراضي.

الأمان

تم إنشاء بوابة NAT على نموذج أمان شبكة الثقة الصفرية وهي آمنة بشكل افتراضي. مع بوابة NAT، لا تحتاج المثيلات الخاصة داخل شبكة فرعية إلى عناوين IP عامة للوصول إلى الإنترنت. يمكن أن تصل الموارد الخاصة إلى مصادر خارجية خارج الشبكة الظاهرية عن طريق ترجمة عنوان الشبكة المصدر (SNAT) إلى عناوين IP العامة الثابتة لبوابة NAT أو بادئاتها. يمكنك توفير مجموعة متقاربة من عناوين IP للاتصال الصادر باستخدام بادئة IP عامة. يمكن تكوين قواعد جدار الحماية الوجهة بناءً على قائمة IP التي يمكن التنبؤ بها.

مرونة

Azure NAT Gateway هي خدمة مدارة وموزعة بالكامل. لا يعتمد على مثيلات الحوسبة الفردية مثل VMs أو جهاز بوابة مادية واحدة. تحتوي بوابة NAT دائماً على نطاقات أخطاء متعددة ويمكنها تحمل العديد من حالات الفشل دون انقطاع الخدمة. الشبكات المعرَّفة بالبرامج تجعل بوابة NAT عالية المرونة.

قابلية التوسع

يتم توسيع بوابة NAT من الإنشاء. ليست هناك عملية زيادة أو توسيع مطلوبة. يدير Azure تشغيل بوابة NAT نيابة عنك.

إرفاق بوابة NAT بشبكة فرعية لتوفير اتصال صادر لجميع الموارد الخاصة في تلك الشبكة الفرعية. يمكن لجميع الشبكات الفرعية في شبكة ظاهرية استخدام نفس مورد بوابة NAT. يمكن توسيع نطاق الاتصال الصادر عن طريق تعيين ما يصل إلى 16 عنوان IP عاما أو بادئة IP عامة بحجم /28 إلى بوابة NAT. عندما تقترن بوابة NAT ببادئة IP عامة، فإنها تتسع تلقائياً إلى عدد عناوين IP اللازمة للخارج.

الأداء

Azure NAT Gateway هي خدمة شبكة معرفة بالبرامج. يمكن لكل بوابة NAT معالجة ما يصل إلى 50 جيجابت في الثانية من البيانات لكل من حركة المرور الصادرة والإرجاع.

لا تؤثر بوابة NAT على النطاق الترددي للشبكة لموارد الحوسبة الخاصة بك. تعرف على المزيد حول أداء بوابة NAT.

أساسيات بوابة Azure NAT

الاتصال الصادر

  • بوابة NAT هي الطريقة الموصى بها للاتصال الصادر.

إشعار

في 30 سبتمبر 2025، سيتم إيقاف الوصول الصادر الافتراضي للنشرات الجديدة. يوصى باستخدام نموذج صريح للاتصال الصادر بدلا من ذلك، مثل بوابة NAT.

  • يتم تعريف الخروج على مستوى كل شبكة فرعية باستخدام بوابة NAT. تحل بوابة NAT محل وجهة الإنترنت الافتراضية لشبكة فرعية.

  • تكوينات توجيه نسبة استخدام الشبكة غير مطلوبة لاستخدام بوابة NAT.

  • تسمح بوابة NAT بإنشاء تدفقات من الشبكة الظاهرية إلى الخدمات خارج شبكتك الظاهرية. لا يُسمح بعودة حركة مرور البيانات من الإنترنت إلا استجابةً للتدفق النشط. لا يمكن للخدمات خارج شبكتك الظاهرية بدء اتصال وارد من خلال بوابة NAT.

  • تأخذ بوابة NAT الأسبقية على أساليب الاتصال الصادرة الأخرى، بما في ذلك موازن التحميل وعناوين IP العامة على مستوى المثيل وجدار حماية Azure.

  • عند تكوين بوابة NAT إلى شبكة ظاهرية حيث يوجد بالفعل أسلوب اتصال صادر مختلف، تتولى بوابة NAT جميع حركة المرور الصادرة للمضي قدما. لا توجد أي قطرات في تدفق نسبة استخدام الشبكة للاتصالات الموجودة على Azure Load Balancer. تستخدم جميع الاتصالات الجديدة بوابة NAT.

  • لا تحتوي بوابة NAT على نفس قيود استنفاد منفذ SNAT كما هو الحال مع الوصول الافتراضي للخارج و القواعد الصادرة لموازنة تحميل.

  • تدعم بوابة NAT بروتوكولات TCP وبروتوكول مخطط بيانات المستخدم (UDP) فقط. بروتوكول رسالة التحكم بالإنترنت (ICMP) غير مدعوم.

مسارات حركة المرور

  • تحتوي الشبكة الفرعية على مسار افتراضي للنظام يوجه حركة المرور مع الوجهة 0.0.0.0/0 إلى الإنترنت تلقائيا. بمجرد تكوين بوابة NAT إلى الشبكة الفرعية، فإن الاتصال من الأجهزة الظاهرية الموجودة في الشبكة الفرعية إلى الإنترنت سيعطي الأولوية باستخدام IP العام لبوابة NAT.

  • عند إنشاء مسار معرف من قبل المستخدم (UDR) في جدول توجيه الشبكة الفرعية لنسبة استخدام الشبكة 0.0.0.0/0، يتم تجاوز مسار الإنترنت الافتراضي لنسبة استخدام الشبكة هذه. UDR الذي يرسل نسبة استخدام الشبكة 0.0.0.0/0 إلى جهاز ظاهري أو بوابة شبكة ظاهرية (بوابة VPN وExpressRoute) كنوع القفزة التالية بدلا من ذلك تجاوز اتصال بوابة NAT بالإنترنت.

  • يتبع الاتصال الصادر ترتيب الأسبقية هذا بين أساليب التوجيه والاتصال الصادرة المختلفة:

    • UDR إلى الخطوة التالية الجهاز الظاهري أو بوابة الشبكة الظاهرية >> بوابة >> NAT عنوان IP العام على مستوى المثيل على الجهاز >> الظاهري تحميل قواعد الصادر قواعد >> النظام الافتراضية إلى الإنترنت.

تكوين بوابة NAT

  • يمكن للشبكات الفرعية المتعددة داخل نفس الشبكة الظاهرية إما استخدام بوابات NAT مختلفة أو نفس بوابة NAT.

  • لا يمكن إرفاق عدة بوابات NAT بشبكة فرعية واحدة.

  • لا يمكن لبوابة NAT أن تمتد عبر شبكات ظاهرية متعددة.

  • لا يمكن توزيع بوابة NAT في شبكة فرعية للبوابة.

  • يمكن لمورد بوابة NAT استخدام ما يصل إلى 16 عنوان IP في أي مجموعة من الأنواع التالية:

    • عناوين IP العامة.

    • بادئات IP العامة.

    • عناوين IP العامة والبادئات المشتقة من بادئات IP المخصصة (BYOIP)، لمعرفة المزيد، راجع بادئة عنوان IP المخصص (BYOIP).

  • لا يمكن ربط بوابة NAT بعنوان IP العام IPv6 أو بادئة IPv6 العامة.

  • يمكن استخدام بوابة NAT مع موازن التحميل باستخدام القواعد الصادرة لتوفير اتصال صادر مزدوج المكدس. راجع اتصال المكدس المزدوج الصادر مع بوابة NAT وموازن التحميل.

  • تعمل بوابة NAT مع أي واجهة شبكة جهاز ظاهري أو تكوين IP. يمكن لبوابة NAT SNAT تكوينات IP متعددة على واجهة شبكة.

  • يمكن إقران بوابة NAT بشبكة فرعية لجدار حماية Azure في شبكة ظاهرية مركزية وتوفير اتصال صادر من الشبكات الظاهرية المحورية المقترنة بالمركز. لمعرفة المزيد، راجع تكامل Azure Firewall مع بوابة NAT.

مجموعات التوافر

  • يمكن إنشاء بوابة NAT في منطقة توفر معينة أو وضعها في أي منطقة.

  • يمكن عزل بوابة NAT في منطقة معينة عند إنشاء سيناريوهات عزل المنطقة. هذا التوزيع يسمى توزيع المنطقة. بعد نشر بوابة NAT، لا يمكن تغيير تحديد المنطقة.

  • يتم وضع بوابة NAT في أي منطقة بشكل افتراضي. يتم وضع بوابة NAT غير نطاقية في منطقة لك بواسطة Azure.

بوابة NAT والموارد الأساسية

  • تتوافق بوابة NAT مع عناوين IP العامة القياسية أو موارد بادئة IP العامة أو مزيج من كليهما.

  • الموارد الأساسية، مثل موازن التحميل الأساسي أو عناوين IP العامة الأساسية غير متوافقة مع بوابة NAT. لا يمكن استخدام بوابة NAT مع الشبكات الفرعية حيث توجد الموارد الأساسية. يمكن ترقية موازن التحميل الأساسي وعنوان IP العام الأساسي إلى قياسي للعمل مع بوابة NAT.

    • لمزيد من المعلومات حول ترقية موازن تحميل من أساسي إلى قياسي، راجع ترقية موازن تحميل Azure أساسي عام.

    • لمزيد من المعلومات حول ترقية IP عام من أساسي إلى قياسي، راجع ترقية عنوان IP عام.

    • لمزيد من المعلومات حول ترقية IP عام أساسي مرفق بجهاز ظاهري من أساسي إلى قياسي، راجع ترقية IP عام أساسي متصل بجهاز ظاهري.

مهلات الاتصال والموقتات

  • ترسل بوابة NAT حزمة إعادة تعيين TCP (RST) لأي تدفق اتصال لا تتعرف عليه كاتصال موجود. لم يعد تدفق الاتصال موجودا إذا تم الوصول إلى مهلة الخمول لبوابة NAT أو تم إغلاق الاتصال في وقت سابق.

  • عندما يتلقى مرسل حركة المرور على تدفق الاتصال غير الموجود حزمة TCP RST لبوابة NAT، لم يعد الاتصال قابلا للاستخدام.

  • لا تتوفر منافذ SNAT بسهولة لإعادة استخدامها إلى نفس نقطة النهاية الوجهة بعد إغلاق الاتصال. تضع بوابة NAT منافذ SNAT في حالة تهدئة قبل أن يمكن إعادة استخدامها للاتصال بنفس نقطة النهاية الوجهة.

  • تختلف مدد المؤقت لإعادة استخدام منفذ SNAT (تهدئة) لحركة مرور TCP اعتمادا على كيفية إغلاق الاتصال. لمعرفة المزيد، راجع مؤقتات إعادة استخدام المنفذ.

  • يتم استخدام مهلة خمول TCP افتراضية، والتي تبلغ 4 دقائق ويمكن زيادتها حتى 120 دقيقة. يمكن لأي نشاط في التدفق أيضًا إعادة تعيين مؤقت الخمول، بما في ذلك TCP keepalives. لمعرفة المزيد، راجع مؤقتات مهلة الخمول.

  • تحتوي حركة مرور UDP على مهلة خامدة تبلغ 4 دقائق لا يمكن تغييرها.

  • تحتوي حركة مرور UDP على مؤقت إعادة استخدام المنفذ لمدة 65 ثانية حيث يكون المنفذ قيد الانتظار قبل أن يكون متاحا لإعادة الاستخدام إلى نفس نقطة نهاية الوجهة.

اتفاقية التسعير ومستوى الخدمة (SLA)

للحصول على أسعار بوابة Azure NAT، راجع تسعير بوابة NAT.

للحصول على معلومات حول اتفاقية مستوى الخدمة، راجع اتفاقية مستوى الخدمة لبوابة Azure NAT.

الخطوات التالية