ما هي بوابة Azure NAT؟

Azure NAT Gateway هي خدمة ترجمة عناوين الشبكة (NAT) مدارة بالكامل ومرنة للغاية. يمكنك استخدام بوابة Azure NAT للسماح لجميع المثيلات في شبكة فرعية خاصة بالاتصال الصادر بالإنترنت مع البقاء خاصا بالكامل. لا يسمح بالاتصالات الواردة غير المرغوب فيها من الإنترنت من خلال بوابة NAT. يمكن فقط للحزم التي تصل كحزم استجابة إلى اتصال صادر أن تمر عبر بوابة NAT.

توفر بوابة NAT وظيفة منفذ SNAT ديناميكية لتوسيع نطاق الاتصال الصادر تلقائيا وتقليل مخاطر استنفاد منفذ SNAT.

الشكل: بوابة Azure NAT

توفر بوابة Azure NAT اتصالا صادرا للعديد من موارد Azure، بما في ذلك:

• أجهزة Azure الظاهرية أو مجموعات مقياس الجهاز الظاهري في شبكة فرعية خاصة.

• مجموعات Azure Kubernetes Services (AKS).

• مجموعة حاويات Azure.

• تطبيقات Azure Function.

• الشبكة الفرعية لجدار حماية Azure.

• مثيلات Azure App Services (تطبيقات الويب وواجهات برمجة تطبيقات REST والخلفيات المحمولة) من خلال تكامل الشبكة الظاهرية.

• Azure Databricks أو مع حقن الشبكة الظاهرية.

• Azure HDInsight.

مزايا بوابة Azure NAT

إعداد بسيط

يتم تبسيط عمليات النشر عن قصد باستخدام بوابة NAT. قم بإرفاق بوابة NAT بشبكة فرعية وعنوان IP عام وابدأ الاتصال الصادر بالإنترنت على الفور. لا توجد أي تكوينات للصيانة والتوجيه مطلوبة. يمكن إضافة المزيد من عناوين IP العامة أو الشبكات الفرعية لاحقا دون التأثير على التكوين الحالي.

الخطوات التالية هي مثال على كيفية إعداد بوابة NAT:

• إنشاء بوابة NAT غير منطقية أو منطقية.

• قم بتعيين عنوان IP عام أو بادئة IP عامة.

• قم بتكوين شبكة فرعية للشبكة الظاهرية لاستخدام بوابة NAT.

إذا لزم الأمر، قم بتعديل مهلة الخمول لبروتوكول التحكم في الإرسال (TCP) (اختياري). راجع المؤقتات قبل تغيير الإعداد الافتراضي.

الأمان

تم إنشاء بوابة NAT على نموذج أمان شبكة الثقة المعدومة وهي آمنة بشكل افتراضي. باستخدام بوابة NAT، لا تحتاج المثيلات الخاصة داخل الشبكة الفرعية إلى عناوين IP عامة للوصول إلى الإنترنت. يمكن للموارد الخاصة الوصول إلى مصادر خارجية خارج الشبكة الظاهرية عن طريق ترجمة عنوان الشبكة المصدر (SNAT) إلى عناوين IP العامة الثابتة أو البادئات الخاصة ببوابة NAT. يمكنك توفير مجموعة متقاربة من عناوين IP للاتصال الصادر باستخدام بادئة IP عامة. يمكن تكوين قواعد جدار الحماية الوجهة بناءً على قائمة IP التي يمكن التنبؤ بها.

مرونة

Azure NAT Gateway هي خدمة مدارة وموزعة بالكامل. لا يعتمد على مثيلات الحوسبة الفردية مثل الأجهزة الظاهرية أو جهاز بوابة فعلي واحد. تحتوي بوابة NAT دائما على مجالات أخطاء متعددة ويمكنها الحفاظ على حالات فشل متعددة دون انقطاع الخدمة. تجعل الشبكات المعرفة بالبرمجيات بوابة NAT مرنة للغاية.

قابلية التوسع

يتم توسيع نطاق بوابة NAT من الإنشاء. لا توجد عملية زيادة أو توسيع مطلوبة. يدير Azure تشغيل بوابة NAT نيابة عنك.

قم بإرفاق بوابة NAT بشبكة فرعية لتوفير اتصال صادر لجميع الموارد الخاصة في تلك الشبكة الفرعية. يمكن لجميع الشبكات الفرعية في الشبكة الظاهرية استخدام نفس مورد بوابة NAT. يمكن توسيع نطاق الاتصال الصادر عن طريق تعيين ما يصل إلى 16 عنوان IP عام أو بادئة IP عامة بحجم /28 إلى بوابة NAT. عندما تقترن بوابة NAT ببادئة IP عامة، فإنها تتغير تلقائيا إلى عدد عناوين IP المطلوبة للصادر.

الأداء

Azure NAT Gateway هي خدمة شبكات معرفة بالبرامج. يمكن لكل بوابة NAT معالجة ما يصل إلى 50 جيجابت في الثانية من البيانات لكل من حركة المرور الصادرة والعودة.

لا تؤثر بوابة NAT على النطاق الترددي للشبكة لموارد الحوسبة الخاصة بك. تعرف على المزيد حول أداء NAT Gateway.

أساسيات بوابة Azure NAT

الاتصال الصادر

• بوابة NAT هي الطريقة الموصى بها للاتصال الصادر.

  • لترحيل الوصول الصادر إلى بوابة NAT من الوصول الصادر الافتراضي أو قواعد Load Balancer، راجع ترحيل الوصول الصادر إلى Azure NAT Gateway.

إشعار

في 30 سبتمبر 2025، سيتم استخدام الشبكات الظاهرية الجديدة افتراضيا لاستخدام الشبكات الفرعية الخاصة، مما يعني أنه لن يتم توفير الوصول الصادر الافتراضي بشكل افتراضي، ويجب تمكين هذا الأسلوب الصادر الصريح للوصول إلى نقاط النهاية العامة على الإنترنت وداخل Microsoft. يوصى باستخدام شكل صريح من الاتصال الصادر بدلا من ذلك، مثل بوابة NAT.

• توفر بوابة NAT اتصالا صادرا على مستوى الشبكة الفرعية. تحل بوابة NAT محل وجهة الإنترنت الافتراضية لشبكة فرعية لتوفير اتصال صادر.

• لا تتطلب بوابة NAT أي تكوينات توجيه على جدول توجيه الشبكة الفرعية. بعد إرفاق بوابة NAT بشبكة فرعية، فإنها توفر اتصالا صادرا على الفور.

• تسمح بوابة NAT بإنشاء التدفقات من الشبكة الظاهرية إلى الخدمات خارج شبكتك الظاهرية. لا يُسمح بعودة حركة مرور البيانات من الإنترنت إلا استجابةً للتدفق النشط. لا يمكن للخدمات خارج شبكتك الظاهرية بدء اتصال وارد من خلال بوابة NAT.

• تأخذ بوابة NAT الأسبقية على طرق الاتصال الصادرة الأخرى، بما في ذلك موازن التحميل وعناوين IP العامة على مستوى المثيل وجدار حماية Azure.

• تأخذ بوابة NAT الأولوية على الأساليب الصادرة الصريحة الأخرى التي تم تكوينها في شبكة ظاهرية لجميع الاتصالات الجديدة. لا توجد أي قطرات في تدفق نسبة استخدام الشبكة للاتصالات الموجودة باستخدام أساليب صريحة أخرى للاتصال الصادر.

• لا تحتوي بوابة NAT على نفس قيود استنفاد منفذ SNAT كما هو الحال مع الوصول الصادر الافتراضيوالقواعد الصادرة لموازن التحميل.

• تدعم بوابة NAT بروتوكولات TCP وبروتوكول مخطط بيانات المستخدم (UDP) فقط. بروتوكول رسالة التحكم بالإنترنت (ICMP) غير مدعوم.

مسارات حركة المرور

• تحتوي الشبكة الفرعية على مسار افتراضي للنظام يوجه حركة المرور مع الوجهة 0.0.0.0/0 إلى الإنترنت تلقائيا. بعد تكوين بوابة NAT إلى الشبكة الفرعية، تتصل الأجهزة الظاهرية في الشبكة الفرعية بالإنترنت باستخدام عنوان IP العام لبوابة NAT.

• عند إنشاء مسار معرف من قبل المستخدم (UDR) في جدول توجيه الشبكة الفرعية لنسبة استخدام الشبكة 0.0.0.0/0، يتم تجاوز مسار الإنترنت الافتراضي لنسبة استخدام الشبكة هذه. يتجاوز UDR الذي يرسل نسبة استخدام الشبكة 0.0.0.0/0 إلى جهاز ظاهري أو بوابة شبكة ظاهرية (بوابة VPN وExpressRoute) كنوع الخطوة التالي بدلا من ذلك اتصال بوابة NAT بالإنترنت.

• يتبع الاتصال الصادر ترتيب الأسبقية هذا بين أساليب التوجيه والاتصال الصادرة المختلفة:

  • UDR إلى الخطوة التالية للجهاز الظاهري أو بوابة >> الشبكة الظاهرية NAT Gateway >> عنوان IP العام على مستوى مثيل القواعد الصادرة لموازن >> التحميل على الجهاز >> الظاهري المسار الافتراضي للنظام إلى الإنترنت.

تكوينات بوابة NAT

• يمكن للشبكات الفرعية المتعددة داخل نفس الشبكة الظاهرية إما استخدام بوابات NAT مختلفة أو نفس بوابة NAT.

• لا يمكن إرفاق بوابات NAT المتعددة بشبكة فرعية واحدة.

• لا يمكن أن تمتد بوابة NAT إلى شبكات ظاهرية متعددة. ومع ذلك، يمكن استخدام بوابة NAT لتوفير اتصال صادر في لوحة وصل ونموذج محوري. لمزيد من المعلومات، راجع مركز بوابة NAT والبرنامج التعليمي المحوري.

• لا يمكن نشر بوابة NAT في شبكة فرعية للبوابة.

• يمكن لمورد بوابة NAT استخدام ما يصل إلى 16 عنوان IP في أي مجموعة من الأنواع التالية:

  • عناوين IP العامة.

  • بادئات IP العامة.

  • عناوين IP العامة والبادئات المشتقة من بادئات IP المخصصة (BYOIP)، لمعرفة المزيد، راجع بادئة عنوان IP المخصص (BYOIP).

• لا يمكن إقران بوابة NAT بعنوان IP عام IPv6 أو بادئة IP عامة ل IPv6.

• يمكن إستخدام بوابة NAT مع موازن التحميل باستخدام القواعد الصادرة لتوفير اتصال صادر مزدوج المكدس. شاهد الاتصال الصادر للمكدس المزدوج باستخدام بوابة NAT وموازن التحميل.

• تعمل بوابة NAT مع أي واجهة شبكة جهاز ظاهري أو تكوين IP. يمكن لبوابة NAT SNAT تكوينات IP متعددة على واجهة الشبكة.

• يمكن إقران بوابة NAT بشبكة فرعية Azure Firewall في شبكة ظاهرية مركزية وتوفير اتصال صادر من الشبكات الظاهرية المحورية النظيرة إلى المركز. لمعرفة المزيد، راجع تكامل Azure Firewall مع بوابة NAT.

مجموعات التوافر

• يمكن إنشاء بوابة NAT في منطقة توفر معينة أو وضعها في أي منطقة.

• يمكن عزل بوابة NAT في منطقة معينة عند إنشاء سيناريوهات عزل المنطقة. بعد نشر بوابة NAT، لا يمكن تغيير تحديد المنطقة.

• يتم وضع بوابة NAT في أي منطقة بشكل افتراضي. يتم وضع بوابة NAT غير منطقية في منطقة لك بواسطة Azure.

بوابة NAT والموارد الأساسية

• تتوافق بوابة NAT مع عناوين IP العامة القياسية أو بادئات IP العامة أو مزيج من الاثنين معا.

• لا يمكن استخدام بوابة NAT مع الشبكات الفرعية حيث توجد موارد أساسية. لا تتوافق موارد SKU الأساسية، مثل موازن التحميل الأساسي أو عناوين IP العامة الأساسية مع بوابة NAT. يمكن ترقية موازن التحميل الأساسي وعنوان IP العام الأساسي إلى مستوى قياسي للعمل مع بوابة NAT.

  • لمزيد من المعلومات حول ترقية موازن التحميل من أساسي إلى قياسي، راجع ترقية موازن تحميل Azure الأساسي العام.

  • لمزيد من المعلومات حول ترقية IP عام من أساسي إلى قياسي، راجع ترقية عنوان IP عام.

  • لمزيد من المعلومات حول ترقية IP عام أساسي مرفق بجهاز ظاهري من أساسي إلى قياسي، راجع ترقية IP عام أساسي متصل بجهاز ظاهري.

مهلات الاتصال والموقتات

• ترسل بوابة NAT حزمة إعادة تعيين TCP (RST) لأي تدفق اتصال لا يتعرف عليه كاتصال موجود. لم يعد تدفق الاتصال موجودا إذا تم الوصول إلى مهلة خمول بوابة NAT أو تم إغلاق الاتصال في وقت سابق.

• عندما يتلقى مرسل نسبة استخدام الشبكة على تدفق الاتصال غير الموجود حزمة NAT Gateway TCP RST، لم يعد الاتصال قابلا للاستخدام.

• لا تتوفر منافذ SNAT بسهولة لإعادة استخدامها إلى نفس نقطة النهاية الوجهة بعد إغلاق الاتصال. تضع بوابة NAT منافذ SNAT في حالة تهدئة قبل إعادة استخدامها للاتصال بنفس نقطة نهاية الوجهة.

• تختلف مدد المؤقت لإعادة استخدام منفذ SNAT (تهدئة) لحركة مرور TCP اعتمادا على كيفية إغلاق الاتصال. لمعرفة المزيد، راجع مؤقتات إعادة استخدام المنفذ.

• يتم استخدام مهلة خمول TCP افتراضية، والتي تبلغ 4 دقائق ويمكن زيادتها حتى 120 دقيقة. يمكن لأي نشاط في التدفق أيضًا إعادة تعيين مؤقت الخمول، بما في ذلك TCP keepalives. لمعرفة المزيد، راجع مؤقتات مهلة الخمول.

• تحتوي حركة مرور UDP على مهلة خامدة تبلغ 4 دقائق لا يمكن تغييرها.

• تحتوي حركة مرور UDP على مؤقت إعادة استخدام المنفذ لمدة 65 ثانية حيث يكون المنفذ قيد الانتظار قبل أن يكون متاحا لإعادة الاستخدام إلى نفس نقطة نهاية الوجهة.

اتفاقية التسعير ومستوى الخدمة (SLA)

للحصول على تسعير بوابة Azure NAT، راجع تسعير بوابة NAT.

للحصول على معلومات حول اتفاقية مستوى الخدمة، راجع اتفاقية مستوى الخدمة لبوابة Azure NAT.

الخطوات التالية

• لمزيد من المعلومات حول إنشاء بوابة NAT والتحقق من صحتها، راجع التشغيل السريع: إنشاء بوابة NAT باستخدام مدخل Microsoft Azure.

• لعرض مقطع فيديو حول مزيد من المعلومات حول Azure NAT Gateway، راجع كيفية الحصول على اتصال صادر أفضل باستخدام Azure NAT Gateway.

• لمزيد من المعلومات حول مورد بوابة NAT، راجع مورد بوابة NAT.

• تعرف على المزيد حول Azure NAT Gateway في الوحدة النمطية التالية:

  • وحدة التعلم: مقدمة إلى بوابة Azure NAT.

• لمزيد من المعلومات حول خيارات البنية لبوابة Azure NAT، راجع مراجعة Azure Well-Architected Framework لبوابة Azure NAT.