Co je Azure NAT Gateway?

Azure NAT Gateway je plně spravovaná a vysoce odolná služba překladu adres (NAT). Pomocí služby Azure NAT Gateway můžete umožnit, aby se všechny instance v podsíti připojily k internetu odchozí a zůstaly plně soukromé. Nevyžádaná příchozí připojení z internetu nejsou povolená prostřednictvím služby NAT Gateway. Přes službu NAT Gateway můžou předávat pouze pakety přicházející jako pakety odpovědí do odchozího připojení.

NAT Gateway dynamicky přiděluje porty SNAT, aby automaticky škáloval odchozí připojení a minimalizoval riziko vyčerpání portů SNAT.

Důležité

Skladová položka Azure NAT Gateway úrovně Standard V2 je aktuálně ve verzi PREVIEW. Podívejte se na doplňkové podmínky užívání služby Microsoft Azure Preview pro právní podmínky, které se vztahují na funkce Azure, jež jsou ve verzi beta, Preview nebo jinak ještě nejsou obecně dostupné.

Obrázek: Azure NAT Gateway

Azure NAT Gateway je k dispozici ve dvou SKU:

• Standard SKU NAT Gateway je zónová (nasazená do jedné zóny dostupnosti) a poskytuje škálovatelné odchozí připojení pro podsítě v jedné virtuální síti.

• StandardV2 SKU NAT Gateway je zónově redundantní, má vyšší propustnost než SKU Standard, a také podporuje IPv6 a tokové logy.

StandardV2 NAT Gateway

StandardV2 NAT Gateway poskytuje všechny stejné funkce jako standard SKU NAT Gateway, jako je dynamické přidělování portů SNAT a zabezpečené odchozí připojení pro podsítě v rámci virtuální sítě. StandardV2 NAT Gateway je navíc zónově redundantní, což znamená, že poskytuje odchozí připojení ze všech zón v oblasti místo jedné zóny, jako je standard NAT Gateway.

Obrázek: StandardV2 NAT Gateway zahrnuje více zón dostupnosti v oblasti.

Klíčové funkce služby StandardV2 NAT Gateway

• Zónově redundantní – funguje napříč všemi zónami dostupnosti v oblasti, aby se během selhání jedné zóny zachovalo připojení.
• Podpora protokolu IPv6 – podporuje veřejné IP adresy IPv4 i IPv6 a předpony pro odchozí připojení.
• Vyšší propustnost – každá brána NAT Gateway úrovně StandardV2 může poskytovat až 100 Gb/s propustnosti dat ve srovnání s 50 Gb/s pro službu Standard NAT Gateway.
• Podpora protokolů toků – poskytuje informace o provozu založeném na PROTOKOLU IP, které pomáhají monitorovat a analyzovat odchozí toky provozu.

Další informace o nasazení služby StandardV2 NAT Gateway najdete v tématu Vytvoření služby STANDARDV2 NAT Gateway.

Klíčová omezení služby StandardV2 NAT Gateway

• Vyžaduje veřejné IP adresy nebo předpony pro SKU StandardV2. Veřejné IP adresy standardní skladové položky nejsou u služby StandardV2 NAT Gateway podporované.
• Standard SKU NAT Gateway nejde upgradovat na StandardV2 NAT Gateway. Nejprve musíte vytvořit NAT bránu verze StandardV2 a nahradit jí NAT bránu verze Standard ve své podsíti.
• Následující oblasti nepodporují standardV2 NAT Gateway:
  • Kanada – východ
  • Indie – střed
  • Chile – střed
  • Indonésie – střed
  • Izrael – severozápad
  • Malajsie – západ
  • Katar – střed
  • Spojené arabské emiráty – střed
• Terraform zatím nepodporuje nasazení standardV2 NAT Gateway a veřejné IP adresy StandardV2.
• StandardV2 NAT Gateway nepodporuje a nedá se připojit k delegovaným podsítím pro následující služby:
  • Azure SQL Managed Instance
  • Azure Container Instances
  • Azure Database for PostgreSQL – flexibilní server
  • Azure Database pro MySQL - flexibilní server
  • Azure Database for MySQL
  • Azure Data Factory – Přesun dat
  • Služby Microsoft Power Platform
  • Azure Stream Analytics
  • Webové aplikace Azure
  • Azure DNS Private Resolver

Známé problémy se standardem V2 NAT Gateway

• Odchozí provoz IPv6 pomocí pravidel pro odchozí provoz nástroje Load balancer je narušen, když je NAT Gateway StandardV2 přidružený k podsíti. Pokud potřebujete odchozí připojení IPv4 i IPv6, použijte pravidla odchozích přenosů IPv4 i IPv6 nástroje pro vyrovnávání zatížení nebo pro provoz IPv6 použijte standardní službu NAT Gateway a odchozí pravidla nástroje pro vyrovnávání zatížení pro provoz IPv6.

• Připojení služby StandardV2 NAT Gateway k prázdné podsíti vytvořené před dubnem 2025 bez virtuálních počítačů může způsobit, že virtuální síť přejde do stavu selhání. Pokud chcete vrátit virtuální síť do úspěšného stavu, odeberte bránu NAT Gateway StandardV2, vytvořte a přidejte do podsítě virtuální počítač a pak znovu připojte bránu NAT Gateway StandardV2.

Další informace o známých problémech a omezeních služby StandardV2 NAT Gateway najdete v tématu Známé problémy a omezení služby StandardV2 NAT Gateway.

Standard NAT Gateway

Standardní služba NAT Gateway poskytuje odchozí připojení k internetu a může být přidružená k podsítím ve stejné virtuální síti. Standardní služba NAT Gateway funguje mimo jednu zónu dostupnosti.

*Obrázek: Standardní služba NAT Gateway v jedné zóně dostupnosti

Výhody služby Azure NAT Gateway

Jednoduché nastavení

Nasazení se záměrně zjednodušují pomocí služby NAT Gateway. Připojte SLUŽBU NAT Gateway k podsíti a veřejné IP adrese a začněte hned připojovat odchozí připojení k internetu. Vyžaduje se nulová údržba a konfigurace směrování. Další veřejné IP adresy nebo podsítě je možné přidat později, aniž by to mělo vliv na vaši stávající konfiguraci.

Následující kroky představují příklad nastavení služby NAT Gateway:

• Vytvořte zónovou nebo zónovou službu NAT Gateway.

• Vytvořte bránu NAT.

• Přiřaďte veřejnou IP adresu nebo předponu veřejné IP adresy.

• Nakonfigurujte podsíť tak, aby používala bránu NAT.

V případě potřeby upravte časový limit nečinnosti protokolu TCP (Transmission Control Protocol). Před změnou výchozího nastavení zkontrolujte časovače .

Zabezpečení

SLUŽBA NAT Gateway je založená na modelu zabezpečení sítě nulové důvěryhodnosti a je ve výchozím nastavení zabezpečená. U služby NAT Gateway privátní instance v podsíti k připojení k internetu nepotřebují veřejné IP adresy. Privátní prostředky mohou přistupovat k externím zdrojům mimo virtuální síť překladem zdrojových síťových adres (SNAT) na statické veřejné IP adresy nebo předpony služby NAT Gateway. Můžete zadat souvislou sadu IP adres pro odchozí připojení pomocí předpony veřejné IP adresy. Pravidla cílové brány firewall je možné nakonfigurovat na základě tohoto předvídatelného seznamu IP adres.

Odolnost

Azure NAT Gateway je plně spravovaná a distribuovaná služba. Nezávisí na jednotlivých výpočetních instancích, jako jsou virtuální počítače nebo jedno fyzické zařízení brány. Služba NAT Gateway má vždy více domén selhání a může udržovat více selhání bez výpadku služby. Softwarově definované sítě tvoří vysoce odolnou službu NAT Gateway.

Škálovatelnost

Služba NAT Gateway se škáluje z vytváření na více instancí. Není nutné škálování ani navýšení kapacity. Azure spravuje provoz služby NAT Gateway za vás.

Připojte službu NAT Gateway k podsíti, která poskytuje odchozí připojení pro všechny privátní prostředky v této podsíti. Všechny podsítě ve virtuální síti můžou používat stejný prostředek služby NAT Gateway. Odchozí připojení je možné škálovat tak, že službě NAT Gateway přiřadíte až 16 veřejných IP adres nebo předponu veřejné IP adresy /28. Když je služba NAT Gateway přidružená k předponě veřejné IP adresy, automaticky se škáluje na počet IP adres potřebných pro odchozí provoz.

Výkon

Azure NAT Gateway je softwarově definovaná síťová služba. Každá služba NAT Gateway dokáže zpracovat až 50 Gb/s dat pro odchozí i návratový provoz.

Služba NAT Gateway nemá vliv na šířku pásma sítě vašich výpočetních prostředků. Přečtěte si další informace o výkonu služby NAT Gateway.

Základy služby Azure NAT Gateway

Azure NAT Gateway poskytuje zabezpečené a škálovatelné odchozí připojení pro prostředky ve virtuální síti. Jedná se o doporučenou metodu odchozího přístupu k internetu.

Odchozí připojení

• NaT Gateway je doporučená metoda pro odchozí připojení.

  • Pokud chcete migrovat odchozí přístup ke službě NAT Gateway z výchozích odchozích přístupů nebo odchozích pravidel Load Balanceru, přečtěte si téma Migrace odchozího přístupu do služby Azure NAT Gateway.

Poznámka:

31. března 2026 budou nové virtuální sítě ve výchozím nastavení používat privátní podsítě, což znamená, že výchozí odchozí přístup už nebude ve výchozím nastavení poskytován. Místo toho se doporučuje použít explicitní formu odchozího připojení, jako je NAT Gateway.

• NAT Gateway poskytuje odchozí připojení na úrovni podsítě. NaT Gateway nahrazuje výchozí internetový cíl podsítě, aby poskytoval odchozí připojení.

• NAT Gateway nevyžaduje žádné konfigurace směrování v tabulce směrování podsítě. Jakmile je služba NAT Gateway připojená k podsíti, okamžitě poskytuje odchozí připojení.

• NAT Gateway umožňuje vytvářet toky z virtuální sítě do služeb mimo vaši virtuální síť. Návratový provoz z internetu je povolen pouze v reakci na aktivní tok. Služby mimo vaši virtuální síť nemůžou inicializovat příchozí připojení prostřednictvím služby NAT Gateway.

• Služba NAT Gateway má přednost před jinými metodami odchozího připojení, včetně Load Balanceru, veřejných IP adres na úrovni instance a služby Azure Firewall.

• NAT Gateway má přednost před jinými explicitními odchozími metodami nakonfigurované ve virtuální síti pro všechna nová připojení. U stávajících připojení s využitím jiných explicitních metod odchozího připojení nedošlo k žádným poklesem toku provozu.

• NaT Gateway nemá stejná omezení vyčerpání portů SNAT jako výchozí odchozí přístup a odchozí pravidla Load Balanceru.

• NAT Gateway podporuje pouze protokoly TCP a UDP (User Datagram Protocol). Protokol ICMP (Internet Control Message Protocol) se nepodporuje.

  • Aplikace Azure Services instance (webové aplikace, rozhraní REST API a mobilní back-endy) prostřednictvím integrace virtuální sítě.

• Podsíť má výchozí systémovou trasu, která směruje provoz s cílem 0.0.0.0/0 do internetu automaticky. Po nakonfigurování služby NAT Gateway pro podsíť virtuální počítače v podsíti komunikují s internetem pomocí veřejné IP adresy služby NAT Gateway.

• Když ve směrovací tabulce podsítě vytvoříte trasu definovanou uživatelem pro provoz 0.0.0.0/0, přepíše se výchozí internetová cesta pro tento provoz. Trasu definovanou uživatelem, která odesílá provoz 0.0.0.0/0 do virtuálního zařízení nebo brány virtuální sítě (VPN Gateway a ExpressRoute) jako typ dalšího segmentu směrování místo toho přepíše připojení služby NAT Gateway k internetu.

Jak funguje služba NAT Gateway

• Žádná konfigurace směrovací tabulky – služba NAT Gateway funguje na úrovni podsítě. Po připojení poskytuje služba NAT Gateway odchozí připojení bez nutnosti konfigurace směrování v tabulce směrování podsítě.

  • Trasa definovaná uživatelem na další směrování– Virtuální zařízení nebo brána >> virtuální sítě NAT Gateway >> – veřejná IP adresa na úrovni instance na úrovni instance virtuálního počítače >> – Load Balancer >> – výchozí systémová trasa na internet.

Konfigurace služby NAT Gateway

• Několik podsítí ve stejné virtuální síti může používat různé brány NAT Gateway nebo stejnou službu NAT Gateway.

• K jedné podsíti není možné připojit více bran NAT Gateway.

• Služba NAT Gateway nemůže zahrnovat více virtuálních sítí. Službu NAT Gateway ale můžete použít k poskytování odchozího připojení v hvězdicovém modelu. Další informace najdete v kurzu centra a paprsku služby NAT Gateway.

• Bránu NAT Gateway nejde nasadit v podsíti brány.

• Prostředek SLUŽBY NAT Gateway může používat až 16 IP adres v jakékoli kombinaci následujících typů:

• K jedné podsíti není možné připojit více bran NAT Gateway.

• Služba NAT Gateway nemůže zahrnovat více virtuálních sítí. Službu NAT Gateway ale můžete použít k poskytování odchozího připojení v hvězdicovém modelu. Další informace najdete v kurzu centra a paprsku služby NAT Gateway.

• Službu NAT Gateway nelze nasadit v podsíti brány nebo v podsíti obsahující spravované instance SQL.

• NaT Gateway nejde přidružit k veřejné IP adrese IPv6 nebo předponě veřejné IP adresy IPv6.

• Službu NAT Gateway je možné použít se službou Load Balancer s využitím odchozích pravidel k zajištění odchozího připojení se dvěma zásobníky. Podívejte se na odchozí připojení duálního zásobníku se službou NAT Gateway a Load Balancerem.

• NAT Gateway funguje s jakýmkoli síťovým rozhraním virtuálního počítače nebo konfigurací PROTOKOLU IP. NAT Gateway může SNAT v síťovém rozhraní s několika konfiguracemi IP adres.

• Bránu NAT Gateway je možné přidružit k podsíti služby Azure Firewall ve virtuální síti centra a poskytovat odchozí připojení z paprskových virtuálních sítí v partnerském vztahu k centru. Další informace najdete v tématu Integrace služby Azure Firewall se službou NAT Gateway.

Zóny dostupnosti

• Standardní skladovou položku NAT Gateway je možné vytvořit v konkrétní zóně dostupnosti nebo v žádné zóně.

• Standardní službu NAT Gateway je možné izolovat v konkrétní zóně při vytváření scénářů izolace zóny. Po nasazení služby NAT Gateway nejde výběr zóny změnit.

• Standardní služba NAT Gateway se ve výchozím nastavení neumisťuje do žádné zóny . Azure za vás umístí nezonální bránu NAT Gateway do zóny.

• StandardV2 SKU NAT Gateway je zónově redundantní a funguje napříč všemi zónami dostupnosti v oblasti, aby se zachovalo připojení během selhání jedné zóny.

Výchozí odchozí přístup

• Pokud chcete zajistit zabezpečené odchozí připojení k internetu, doporučujeme povolit privátní podsíť , aby se zabránilo vytvoření výchozích odchozích IP adres a místo toho použijte explicitní metodu odchozího připojení, jako je naT Gateway.

• Některé služby nefungují na virtuálním počítači v privátní podsíti bez explicitní metody odchozího připojení, jako je aktivace Windows a aktualizace Windows. K aktivaci nebo aktualizaci operačních systémů virtuálních počítačů, jako je Windows, se vyžaduje explicitní metoda odchozího připojení, jako je NAT Gateway.

• Pokud chcete migrovat odchozí přístup ke službě NAT Gateway z výchozích odchozích přístupů nebo odchozích pravidel Load Balanceru, přečtěte si téma Migrace odchozího přístupu do služby Azure NAT Gateway.

Poznámka:

31. března 2026 budou nové virtuální sítě ve výchozím nastavení používat privátní podsítě, což znamená, že výchozí odchozí přístup už nebude ve výchozím nastavení poskytován a tato explicitní odchozí metoda musí být povolená, aby bylo možné získat přístup k veřejným koncovým bodům na internetu a v rámci Microsoftu. Místo toho se doporučuje použít explicitní formu odchozího připojení, jako je NAT Gateway.

NAT Gateway a základní prostředky

• Standardní služba NAT Gateway je kompatibilní se standardními veřejnými IP adresami nebo předponami veřejných IP adres. StandardV2 NAT Gateway je kompatibilní jenom s veřejnými IP adresami StandardV2 nebo předponami veřejných IP adres.

• NaT Gateway se nedá použít s podsítěmi, kde existují základní prostředky. Základní prostředky skladové položky, jako je Load Balancer úrovně Basic nebo základní veřejné IP adresy, nejsou kompatibilní se službou NAT Gateway. Load Balancer úrovně Basic a základní veřejná IP adresa je možné upgradovat na standard, aby fungovaly se službou NAT Gateway.

  • Další informace o upgradu Load Balanceru ze základního na standardní najdete v tématu Upgrade veřejného basicu Azure Load Balanceru.

  • Další informace o upgradu veřejné IP adresy ze základní na standardní najdete v tématu Upgrade veřejné IP adresy.

  • Další informace o upgradu základní veřejné IP adresy připojené k virtuálnímu počítači ze základního na standardní najdete v tématu Upgrade základní veřejné IP adresy připojené k virtuálnímu počítači.

Časové limity připojení a časovače

• NaT Gateway odešle paket TCP Reset (RST) pro jakýkoli tok připojení, který nerozpozná jako existující připojení. Tok připojení již neexistuje, pokud došlo k vypršení časového limitu nečinnosti služby NAT Gateway nebo se připojení ukončilo dříve.

• Když odesílatel provozu v existujícím toku připojení obdrží paket TCP RST služby NAT Gateway, připojení už není použitelné.

• Porty SNAT nejsou po zavření připojení snadno dostupné pro opakované použití do stejného cílového koncového bodu. Služba NAT Gateway umístí porty SNAT do studeného stavu, aby se mohly znovu připojit ke stejnému cílovému koncovému bodu.

• Doba trvání časovače opakovaného použití portů SNAT se u provozu TCP liší v závislosti na tom, jak se připojení zavře. Další informace najdete v tématu Časovače opětovného použití portů.

• Použije se výchozí časový limit nečinnosti TCP 4 minuty a můžete ho zvýšit až na 120 minut. Jakákoli aktivita toku může také resetovat časovač nečinnosti, včetně udržování protokolu TCP. Další informace najdete v tématu Časovače časového limitu nečinnosti.

• Provoz UDP má časovač časového limitu nečinnosti 4 minuty, který se nedá změnit.

• Provoz UDP má časovač opakovaného použití portu 65 sekund, pro který je port přidržený, než bude dostupný pro opakované použití do stejného cílového koncového bodu.

Ceny a smlouva o úrovni služeb (SLA)

Standard a StandardV2 NAT Gateway mají stejnou cenu. Informace o cenách služby Azure NAT Gateway najdete v tématu Ceny služby NAT Gateway.

Informace o sla najdete v tématu SLA pro Azure NAT Gateway.

Další kroky

• Další informace o vytváření a ověřování služby NAT Gateway najdete v tématu Rychlý start: Vytvoření služby NAT Gateway pomocí webu Azure Portal.

• Pokud chcete zobrazit video o dalších informacích o službě Azure NAT Gateway, podívejte se, jak získat lepší odchozí připojení pomocí služby Azure NAT Gateway.

• Další informace o prostředku služby NAT Gateway najdete v tématu Prostředek SLUŽBY NAT Gateway.

• Další informace o službě Azure NAT Gateway najdete v následujícím modulu:

  • Modul Learn: Úvod do služby Azure NAT Gateway

• Další informace o možnostech architektury pro Azure NAT Gateway najdete v tématu Azure Well-Architected Framework, který se týká služby Azure NAT Gateway.