Co je Azure NAT Gateway?

  • Článek

Azure NAT Gateway je plně spravovaná a vysoce odolná služba překladu adres (NAT). Pomocí služby Azure NAT Gateway můžete umožnit, aby se všechny instance v privátní podsíti připojily k internetu odchozí a zůstaly plně soukromé. Nevyžádaná příchozí připojení z internetu nejsou povolená prostřednictvím služby NAT Gateway. Bránu NAT gateway můžou předávat pouze pakety přicházející jako pakety odpovědí do odchozího připojení.

NAT Gateway poskytuje dynamické funkce portů SNAT, které automaticky škálují odchozí připojení a snižují riziko vyčerpání portů SNAT.

Obrázek znázorňuje překlad adres (NAT) přijímající provoz z interních podsítí a směruje ho na veřejnou IP adresu (PIP) a předponu IP adresy.

Obrázek: Azure NAT Gateway

Azure NAT Gateway poskytuje odchozí připojení pro mnoho prostředků Azure, včetně:

Výhody služby Azure NAT Gateway

Jednoduché nastavení

Nasazení se záměrně zjednodušují pomocí služby NAT Gateway. Připojte službu NAT Gateway k podsíti a veřejné IP adrese a začněte hned připojovat odchozí připojení k internetu. Vyžaduje se nulová údržba a konfigurace směrování. Další veřejné IP adresy nebo podsítě je možné přidat později, aniž by to mělo vliv na vaši stávající konfiguraci.

Následující kroky představují příklad nastavení služby NAT Gateway:

  • Vytvořte nezonální nebo zónovou bránu NAT Gateway.

  • Přiřaďte veřejnou IP adresu nebo předponu veřejné IP adresy.

  • Nakonfigurujte podsíť virtuální sítě tak, aby používala bránu NAT.

V případě potřeby upravte časový limit nečinnosti protokolu TCP (Transmission Control Protocol). Před změnou výchozího nastavení zkontrolujte časovače .

Zabezpečení

Služba NAT Gateway je založená na modelu zabezpečení sítě s nulovou důvěryhodností a je ve výchozím nastavení zabezpečená. U služby NAT Gateway privátní instance v rámci podsítě nepotřebují veřejné IP adresy pro přístup k internetu. Privátní prostředky můžou přistupovat k externím zdrojům mimo virtuální síť překladem zdrojových síťových adres (SNAT) na statické veřejné IP adresy nebo předpony služby NAT Gateway. Můžete zadat souvislou sadu IP adres pro odchozí připojení pomocí předpony veřejné IP adresy. Pravidla cílové brány firewall je možné nakonfigurovat na základě tohoto předvídatelného seznamu IP adres.

Odolnost

Azure NAT Gateway je plně spravovaná a distribuovaná služba. Nezávisí na jednotlivých výpočetních instancích, jako jsou virtuální počítače nebo jedno fyzické zařízení brány. Brána NAT má vždy více domén selhání a může udržovat více selhání bez výpadku služby. Softwarově definované sítě tvoří vysoce odolnou bránu NAT Gateway.

Škálovatelnost

Služba NAT Gateway se škáluje z vytváření na více instancí. Není vyžadována operace vertikálního navýšení kapacity ani horizontálního navýšení kapacity. Azure spravuje provoz služby NAT Gateway za vás.

Připojte bránu NAT k podsíti, která poskytuje odchozí připojení pro všechny privátní prostředky v této podsíti. Všechny podsítě ve virtuální síti můžou používat stejný prostředek služby NAT Gateway. Odchozí připojení je možné škálovat tak, že službě NAT Gateway přiřadíte až 16 veřejných IP adres nebo předponu veřejné IP adresy /28. Pokud je brána NAT přidružená k veřejné předponě IP adres, automaticky se škáluje na počet IP adres potřebných pro odchozí provoz.

Výkon

Azure NAT Gateway je softwarově definovaná síťová služba. Každá brána NAT může zpracovat až 50 Gb/s dat pro odchozí i návratový provoz.

Brána NAT nemá vliv na šířku pásma sítě vašich výpočetních prostředků. Přečtěte si další informace o výkonu služby NAT Gateway.

Základy služby Azure NAT Gateway

Odchozí připojení

  • NaT Gateway je doporučená metoda pro odchozí připojení.

Poznámka:

30. září 2025 bude výchozí odchozí přístup pro nová nasazení vyřazený. Místo toho se doporučuje použít explicitní formu odchozího připojení, jako je NAT Gateway.

  • Výchozí přenos dat se definuje na úrovni podsítě pomocí služby NAT Gateway. Služba NAT Gateway nahrazuje výchozí internetový cíl podsítě.

  • Konfigurace směrování provozu se k používání služby NAT Gateway nevyžadují.

  • NaT Gateway umožňuje vytvářet toky z virtuální sítě do služeb mimo vaši virtuální síť. Návratový provoz z internetu je povolen pouze v reakci na aktivní tok. Služby mimo vaši virtuální síť nemůžou inicializovat příchozí připojení prostřednictvím služby NAT Gateway.

  • Brána NAT má přednost před jinými metodami odchozího připojení, včetně nástroje pro vyrovnávání zatížení, veřejných IP adres na úrovni instance a brány Azure Firewall.

  • Pokud je služba NAT Gateway nakonfigurovaná pro virtuální síť, ve které už existuje jiná metoda odchozího připojení, brána NAT převezme veškerý odchozí provoz, který se přesouvá dál. U stávajících připojení v Azure Load Balanceru nedošlo k žádným poklesem toku provozu. Všechna nová připojení používají službu NAT Gateway.

  • Služba NAT Gateway nemá stejná omezení vyčerpání portů SNAT jako výchozí odchozí přístup a pravidla odchozích přenosů nástroje pro vyrovnávání zatížení.

  • Brána NAT podporuje pouze protokoly TCP a UDP (User Datagram Protocol). Protokol ICMP (Internet Control Message Protocol) se nepodporuje.

Trasy provozu

  • Podsíť má výchozí systémovou trasu, která směruje provoz s cílem 0.0.0.0/0 do internetu automaticky. Jakmile je služba NAT Gateway nakonfigurovaná na podsíť, komunikace z virtuálních počítačů existujících v podsíti do internetu bude určovat prioritu pomocí veřejné IP adresy služby NAT Gateway.

  • Bránu NAT Gateway můžete přepsat jako výchozí trasu systému podsítě na internet vytvořením vlastní trasy definované uživatelem pro provoz 0.0.0.0/0.

  • Přítomnost tras definovaných uživatelem (UDR) pro virtuální zařízení, službu VPN Gateway a ExpressRoute pro provoz podsítě 0.0.0.0/0 způsobí, že se provoz směruje do těchto služeb místo služby NAT Gateway.

  • Odchozí připojení se řídí tímto pořadím priority mezi různými metodami směrování a odchozího připojení:

    • Trasa definovaná uživatelem s virtuálním zařízením / VPN Gateway / Veřejnou IP adresou na úrovni instance brány ExpressRoute >> na úrovni instance na virtuálním počítači >> Load Balancer >> – výchozí systémová trasa na internet.>>

Konfigurace služby NAT Gateway

  • Několik podsítí ve stejné virtuální síti může používat různé brány NAT nebo stejnou bránu NAT.

  • K jedné podsíti není možné připojit více bran NAT.

  • Služba NAT Gateway nemůže zahrnovat více virtuálních sítí.

  • Bránu NAT nejde nasadit v podsíti brány.

  • Prostředek služby NAT Gateway může v libovolné kombinaci následujících typů používat až 16 IP adres:

    • Veřejné IP adresy.

    • Předpony veřejných IP adres.

    • Veřejné IP adresy a předpony odvozené z vlastních předpon IP adres (BYOIP) a další informace najdete v tématu Vlastní předpona IP adres (BYOIP).

  • Bránu NAT není možné přidružit k veřejné IP adrese IPv6 nebo předponě veřejné IP adresy IPv6.

  • Bránu NAT je možné použít s nástrojem pro vyrovnávání zatížení s využitím odchozích pravidel k zajištění odchozího připojení se dvěma zásobníky. Podívejte se na odchozí připojení duálního zásobníku pomocí služby NAT Gateway a nástroje pro vyrovnávání zatížení.

  • NaT Gateway funguje s jakýmkoli síťovým rozhraním virtuálního počítače nebo konfigurací PROTOKOLU IP. NaT Gateway může SNAT v síťovém rozhraní s několika konfiguracemi IP adres.

  • Bránu NAT gateway je možné přidružit k podsíti služby Azure Firewall ve virtuální síti centra a poskytovat odchozí připojení z paprskových virtuálních sítí v partnerském vztahu k centru. Další informace najdete v tématu Integrace služby Azure Firewall se službou NAT Gateway.

Zóny dostupnosti

  • Bránu NAT je možné vytvořit v konkrétní zóně dostupnosti nebo v žádné zóně.

  • Bránu NAT je možné izolovat v konkrétní zóně při vytváření scénářů izolace zóny. Toto nasazení se nazývá zónové nasazení. Po nasazení služby NAT Gateway nejde výběr zóny změnit.

  • Ve výchozím nastavení není brána NAT umístěná v žádné zóně . Azure za vás umístí zónovou bránu NAT Gateway, která není zónová.

NAT Gateway a základní prostředky

  • NaT Gateway je kompatibilní se standardními veřejnými IP adresami nebo prostředky předpony veřejné IP adresy nebo kombinací obou.

  • Základní prostředky, jako je nástroj pro vyrovnávání zatížení úrovně Basic nebo základní veřejné IP adresy, nejsou kompatibilní s bránou NAT. Bránu NAT nejde použít s podsítěmi, ve kterých existují základní prostředky. Nástroj pro vyrovnávání zatížení úrovně Basic a veřejná IP adresa úrovně Basic je možné upgradovat na standard, aby fungoval s bránou NAT Gateway.

časové limity Připojení a časovače

  • Brána NAT odešle paket TCP Reset (RST) pro jakýkoli tok připojení, který nerozpozná jako existující připojení. Tok připojení již neexistuje, pokud došlo k vypršení časového limitu nečinnosti brány NAT nebo se připojení ukončilo dříve.

  • Když odesílatel provozu v existujícím toku připojení obdrží paket TCP RST brány NAT Gateway, připojení už není použitelné.

  • Porty SNAT nejsou po zavření připojení snadno dostupné pro opakované použití do stejného cílového koncového bodu. Služba NAT Gateway umístí porty SNAT do studeného stavu, aby se mohly znovu připojit ke stejnému cílovému koncovému bodu.

  • Doba trvání časovače opakovaného použití portů SNAT se u provozu TCP liší v závislosti na tom, jak se připojení zavře. Další informace najdete v tématu Časovače opětovného použití portů.

  • Použije se výchozí časový limit nečinnosti TCP 4 minuty a můžete ho zvýšit až na 120 minut. Jakákoli aktivita toku může také resetovat časovač nečinnosti, včetně udržování protokolu TCP. Další informace najdete v tématu Časovače časového limitu nečinnosti.

  • Provoz UDP má časovač časového limitu nečinnosti 4 minuty, který se nedá změnit.

  • Provoz UDP má časovač opakovaného použití portu 65 sekund, pro který je port přidržený, než bude dostupný pro opakované použití do stejného cílového koncového bodu.

Ceny a smlouva o úrovni služeb (SLA)

Informace o cenách služby Azure NAT Gateway najdete v tématu Ceny služby NAT Gateway.

Informace o sla najdete v tématu SLA pro Azure NAT Gateway.

Další kroky