Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Revise este artículo para familiarizarse con las consideraciones para diseñar redes virtuales con la puerta de enlace NAT.
Conexión a Internet con una puerta de enlace NAT
Se recomienda NAT Gateway para todas las cargas de trabajo de producción en las que necesite conectarse a un punto de conexión público a través de Internet. La conectividad de salida tiene lugar inmediatamente después de la implementación de una puerta de enlace NAT con una subred y al menos una IP pública. No se requiere ninguna configuración de enrutamiento para empezar a realizar conexiones de salida con la puerta de enlace NAT. La puerta de enlace NAT se convierte en la ruta predeterminada de la subred a Internet.
En presencia de otras configuraciones de salida dentro de una red virtual, como un equilibrador de carga o IP públicas de nivel de instancia (PIP de IL), la puerta de enlace NAT tiene prioridad para la conectividad de salida. El nuevo tráfico iniciado por salida y el tráfico devuelto usa la puerta de enlace NAT. No hay ningún tiempo de inactividad en la conectividad de salida después de agregar una puerta de enlace de red NAT a una subred con configuraciones de salida existentes.
Escalado de una puerta de enlace NAT para satisfacer la demanda de una carga de trabajo dinámica
El escalado de NAT Gateway consiste principalmente en administrar el inventario de puertos SNAT compartido y disponible.
Cuando escale la carga de trabajo, asuma que cada flujo requiere un nuevo puerto SNAT y, luego, escale el número total de direcciones IP disponibles para el tráfico de salida. Tenga en cuenta cuidadosamente la escala para la que está diseñando y, a continuación, asigne direcciones IP en consecuencia. NAT Gateway necesita suficiente inventario de puertos SNAT para los flujos de salida máximo esperados para todas las subredes que están conectadas a una puerta de enlace NAT.
A medida que se aproxima el agotamiento de puertos SNAT, es posible que los flujos de conexión no se realicen correctamente.
Consideraciones sobre escalado
Cada IP pública de puerta de enlace NAT proporciona 64 512 puertos SNAT para establecer conexiones de salida. Una puerta de enlace de red NAT puede escalar hasta un millón de puertos SNAT.
SNAT asigna direcciones privadas de su subred a una o varias direcciones IP públicas adjuntas a una puerta de enlace de red NAT y reescribe la dirección de origen y el puerto de origen en el proceso. Cuando se realizan varias conexiones al mismo punto de conexión de destino, se usa un nuevo puerto SNAT. Se debe usar un nuevo puerto SNAT para distinguir los distintos flujos de conexión entre sí yendo al mismo destino.
Los flujos de conexión que van a distintos puntos de conexión de destino pueden reutilizar el mismo puerto SNAT al mismo tiempo. Las conexiones de puerto SNAT enviadas a diferentes destinos se reutilizan siempre que sea posible. A medida que se acerque el agotamiento de los puertos SNAT, los flujos pueden no realizarse correctamente.
Para obtener un ejemplo de SNAT, consulte Ejemplos de flujos SNAT para NAT Gateway.
Conectarse a servicios de Azure con Private Link
La conexión desde la red virtual de Azure a los servicios de PaaS de Azure se puede realizar directamente a través de la red troncal de Azure y omitir Internet. Al omitir Internet para conectarse a otros servicios de PaaS de Azure, libera puertos SNAT y reduce el riesgo de agotamiento de puertos SNAT. Private Link debe usarse siempre que sea posible para conectarse a los servicios de PaaS de Azure y liberar el inventario de puertos SNAT.
Private Link usa las direcciones IP privadas de sus máquinas virtuales u otros recursos de proceso de su red de Azure para conectarse directamente de forma privada y segura a los servicios de PaaS de Azure a través de la red troncal de Azure en lugar de a través de Internet. Consulte una lista de los servicios de Azure disponibles que admite Private Link.
Nota:
Microsoft recomienda el uso de Azure Private Link para el acceso seguro y privado a los servicios hospedados en Azure. Los puntos de conexión de servicio también se pueden usar para conectarse directamente a los servicios PaaS de Azure a través de la red troncal de Azure.
Proporcionar conectividad saliente e entrante para la red virtual de Azure
Una puerta de enlace NAT, un equilibrador de carga y direcciones IP públicas de nivel de instancia son conscientes de la dirección del flujo y pueden coexistir en la misma red virtual para proporcionar conectividad saliente y entrante sin problemas. El tráfico entrante a través de un equilibrador de carga o direcciones IP públicas de nivel de instancia se traduce por separado del tráfico saliente a través de la puerta de enlace NAT.
Las instancias privadas usan la puerta de enlace NAT para el tráfico saliente y cualquier tráfico de respuesta al flujo de salida originado. Las instancias privadas usan direcciones IP públicas de nivel de instancia o un equilibrador de carga para el tráfico entrante y cualquier tráfico de respuesta al flujo de entrada originado.
En los ejemplos siguientes se muestra la coexistencia de un equilibrador de carga o direcciones IP públicas de nivel de instancia con una puerta de enlace NAT. El tráfico entrante atraviesa el equilibrador de carga o la dirección IP pública. El tráfico saliente atraviesa la instancia de NAT Gateway.
Una puerta de enlace NAT y una máquina virtual con una dirección IP pública de nivel de instancia
Ilustración: una puerta de enlace NAT y una máquina virtual con una dirección IP pública de nivel de instancia
| Resource | Dirección del flujo de tráfico | Método de conectividad usado |
|---|---|---|
| Máquina virtual (subred 1) | Entrante y saliente | Dirección IP pública de nivel de instancia Puerta de enlace NAT |
| Conjunto de escalado de máquinas virtuales (subred 1) | Entrante y saliente | NA puerta de enlace NAT |
| Máquinas virtuales (subred 2) | Entrante y saliente | NA puerta de enlace NAT |
La máquina virtual usa la puerta de enlace NAT para el tráfico saliente y devuelto. El tráfico entrante originado pasa a través de la dirección IP pública de nivel de instancia directamente asociada a la máquina virtual en la subred 1. El conjunto de escalado de máquinas virtuales de la subred 1 y las máquinas virtuales de la subred 2 solo pueden salir y recibir tráfico de respuesta a través de la puerta de enlace NAT. No se puede recibir tráfico de entrada originado.
Una puerta de enlace NAT y una máquina virtual con un equilibrador de carga público estándar
Ilustración: Puerta de enlace NAT y máquina virtual con un equilibrador de carga público estándar
| Resource | Dirección del flujo de tráfico | Método de conectividad usado |
|---|---|---|
| Máquina virtual y conjunto de escalado de máquinas virtuales (subred 1) | Entrante y saliente | Equilibrador de carga Puerta de enlace NAT |
| Máquinas virtuales (subred 2) | Entrante y saliente | NA puerta de enlace NAT |
NAT Gateway reemplaza cualquier configuración de salida de una regla de equilibrio de carga o reglas de salida en el equilibrador de carga. Las instancias de máquina virtual del grupo de back-end usan la puerta de enlace NAT para enviar tráfico saliente y recibir tráfico devuelto. El tráfico entrante originado pasa a través del equilibrador de carga para todas las instancias de máquina virtual (subred 1) dentro del grupo de back-end del equilibrador de carga. Las máquinas virtuales de la subred 2 solo pueden salir y recibir tráfico de respuesta a través de la puerta de enlace NAT. No se puede recibir tráfico de entrada originado.
Una puerta de enlace NAT y una máquina virtual con una dirección IP pública de nivel de instancia y un equilibrador de carga público estándar
Ilustración: Puerta de enlace NAT y máquina virtual con una dirección IP pública de nivel de instancia y un equilibrador de carga público estándar
| Resource | Dirección del flujo de tráfico | Método de conectividad usado |
|---|---|---|
| Máquina virtual (subred 1) | Entrante y saliente | Dirección IP pública de nivel de instancia Puerta de enlace NAT |
| Conjunto de escalado de máquinas virtuales (subred 1) | Entrante y saliente | Equilibrador de carga Puerta de enlace NAT |
| Máquinas virtuales (subred 2) | Entrante y saliente | NA puerta de enlace NAT |
La puerta de enlace NAT reemplaza cualquier configuración de salida de una regla de equilibrio de carga o reglas de salida en un equilibrador de carga y direcciones IP públicas de nivel de instancia en una máquina virtual. Todas las máquinas virtuales de las subredes 1 y 2 usan la puerta de enlace NAT exclusivamente para el tráfico saliente y devuelto. Las direcciones IP públicas de nivel de instancia tienen prioridad sobre el equilibrador de carga. La máquina virtual de la subred 1 usa la dirección IP pública de nivel de instancia para el tráfico de origen entrante. VMSS no tiene direcciones IP públicas de nivel de instancia.
Cómo usar IP públicas etiquetadas por el servicio con NAT Gateway
Las Etiquetas de servicio representan un grupo de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que reduce la complejidad de administrar las reglas de seguridad de red.
Las direcciones IP públicas etiquetadas por el servicio se pueden usar con la NAT Gateway para proporcionar conectividad saliente a Internet. Para agregar una dirección IP pública etiquetada a una NAT Gateway, puede adjuntarla mediante cualquiera de los clientes disponibles en Azure, como el portal, la CLI o PowerShell. Consulte cómo agregar y quitar direcciones IP públicas para NAT Gateway para obtener instrucciones detalladas.
Nota:
Las direcciones IP públicas con preferencia de enrutamiento hacia "Internet" no son compatibles con NAT Gateway. Solo las direcciones IP públicas que se enrutan a través de la red global de Microsoft son compatibles con NAT Gateway.
Supervisión del tráfico de red saliente con registros de flujo de VNet
Los registros de flujo de red virtual (VNet) son una característica de Azure Network Watcher que le permite registrar información sobre el tráfico IP que pasa por una red virtual. Para supervisar el tráfico saliente que fluye desde la máquina virtual detrás de su instancia de NAT Gateway, habilite los registros de flujo de VNet.
Para obtener guías sobre cómo habilitar los registros de flujo de VNet, consulte Administración de registros de flujo de red virtual.
Se recomienda acceder a los datos de registro de las áreas de trabajo de Log Analytics, donde también puede consultar y filtrar los datos del tráfico saliente. Para más información sobre el uso de Log Analytics, consulte el tutorial de Log Analytics.
Para más información sobre el esquema de registro de flujo de VNet, consulte Esquema de análisis de tráfico y agregación de datos.
Nota:
Los registros de flujo de red virtual solo mostrarán las direcciones IP privadas de las instancias de máquina virtual con conexión de salida a Internet. Los registros de flujo de VNet no mostrarán a qué dirección IP pública del NAT Gateway se ha traducido (SNAT) la dirección IP privada de la máquina virtual antes de conectarse de forma saliente.
Limitaciones
- La puerta de enlace NAT no se admite en una configuración del centro de vWAN.