¿Qué es Azure NAT Gateway?

Azure NAT Gateway es un servicio de traducción de direcciones de red (NAT) totalmente administrado y altamente resistente. Puede usar Azure NAT Gateway para permitir que todas las instancias de una subred privada se conecten de salida a Internet mientras permanecen totalmente privadas. Las conexiones entrantes no solicitadas desde Internet no se permiten a través de una puerta de enlace NAT. Solo los paquetes que llegan como paquetes de respuesta a una conexión saliente pueden pasar a través de una puerta de enlace NAT.

Nat Gateway proporciona funcionalidad de puerto SNAT dinámica para escalar automáticamente la conectividad saliente y reducir el riesgo de agotamiento de puertos SNAT.

Figura: Azure NAT Gateway

Azure NAT Gateway proporciona conectividad saliente para muchos recursos de Azure, entre los que se incluyen:

• Instancias de máquina virtual (VM) de Azure en una subred privada
• Clústeres de Azure Kubernetes Services (AKS)
• Aplicaciones de Azure Functions
• Azure Firewall subred
• instancias de App de Azure Services (aplicaciones web, API REST y back-end móviles) a través de la integración de red virtual
• Azure Databricks con conectividad de clúster segura y una red virtual predeterminada o con inyección de red virtual.

Ventajas de Azure NAT Gateway

Configuración sencilla

Las implementaciones se simplifican intencionadamente con la puerta de enlace NAT. Conecte la puerta de enlace NAT a una subred y una dirección IP pública y empiece a conectarse de salida a Internet inmediatamente. Hay cero configuraciones de mantenimiento y enrutamiento necesarias. Se pueden agregar más direcciones IP o subredes públicas más adelante sin afectar a la configuración existente.

Pasos de implementación de puerta de enlace NAT:

1. Cree una puerta de enlace NAT no zonal o zonal.
2. Asigne una dirección IP pública o un prefijo de IP pública.
3. Configuración de una subred de red virtual para usar una puerta de enlace NAT

Si es necesario, modifique el tiempo de espera de inactividad de TCP (opcional). Revise los temporizadores antes de cambiar el valor predeterminado.

Seguridad

Nat Gateway se basa en el modelo de seguridad de red de confianza cero y es seguro de forma predeterminada. Con la puerta de enlace NAT, las instancias privadas de una subred no necesitan direcciones IP públicas para acceder a Internet. Los recursos privados pueden llegar a orígenes externos fuera de la red virtual mediante la traducción de direcciones de red de origen (SNAT) a las direcciones IP públicas o prefijos públicos estáticos de la puerta de enlace NAT. Puede proporcionar un conjunto contiguo de direcciones IP para la conectividad saliente mediante un prefijo de DIRECCIÓN IP pública. Las reglas de firewall de destino se pueden configurar en función de esta lista de direcciones IP predecibles.

Resistencia

Azure NAT Gateway es un servicio totalmente administrado y distribuido. No depende de instancias de proceso individuales, como máquinas virtuales o un solo dispositivo de puerta de enlace físico. Una puerta de enlace NAT siempre tiene varios dominios de error y puede soportar varios errores sin que se interrumpa el servicio. Las redes definidas por software hacen que una puerta de enlace NAT sea altamente resistente.

Escalabilidad

El NAT Gateway se escala desde su creación. No existe ninguna operación de aumento ni de escalabilidad horizontal. Azure administra el funcionamiento de NAT Gateway por el usuario.

Conecte la puerta de enlace NAT a una subred para proporcionar conectividad saliente para todos los recursos privados de esa subred. Todas las subredes de una red virtual pueden usar el mismo recurso de puerta de enlace NAT. La conectividad saliente se puede escalar horizontalmente mediante la asignación de hasta 16 direcciones IP públicas o un prefijo de DIRECCIÓN IP pública /28 a la puerta de enlace NAT. Cuando una puerta de enlace NAT se asocia a un prefijo de IP pública, se escala automáticamente al número de direcciones IP necesarias para la salida.

Rendimiento

Azure NAT Gateway es un servicio de red definido por software. Cada puerta de enlace NAT puede procesar hasta 50 Gbps de datos para el tráfico saliente y devuelto.

Una puerta de enlace NAT no afecta al ancho de banda de red de los recursos de proceso. Descubra más sobre las métricas de la puerta de enlace NAT.

Conceptos básicos de Azure NAT Gateway

Conectividad de salida

• NAT Gateway es el método recomendado para la conectividad saliente.

  • Para migrar el acceso saliente a una puerta de enlace NAT desde el acceso saliente predeterminado o a las reglas salientes de un equilibrador de carga, consulte Migración del acceso de salida a Azure NAT Gateway.

• La conectividad saliente con la puerta de enlace NAT se define en un nivel de subred. La puerta de enlace NAT reemplaza el destino predeterminado de Internet de una subred.

• No se requiere ninguna configuración de enrutamiento de tráfico para usar la puerta de enlace NAT.

• La puerta de enlace NAT permite crear flujos entre la red virtual y los servicios que se encuentran fuera de ella. El tráfico de retorno de Internet solo se permite en respuesta a un flujo activo. Los servicios fuera de la red virtual no pueden iniciar una conexión de entrada a través de la puerta de enlace NAT.

• La puerta de enlace NAT tiene prioridad sobre otros métodos de conectividad de salida, como load balancer, direcciones IP públicas de nivel de instancia y Azure Firewall.

• Cuando la puerta de enlace NAT está configurada en una red virtual en la que ya existe un método de conectividad de salida diferente, la puerta de enlace NAT toma todo el tráfico saliente en el futuro. No hay caídas en el flujo de tráfico para las conexiones existentes en Load Balancer. Todas las conexiones nuevas usan la puerta de enlace NAT.

• La puerta de enlace NAT no tiene las mismas limitaciones de agotamiento de puertos de SNAT que el acceso saliente predeterminado y que las reglas de salida de un equilibrador de carga.

• La puerta de enlace NAT solo admite protocolos TCP y UDP. No se admite ICMP.

Rutas de tráfico

• La puerta de enlace NAT reemplaza la ruta predeterminada de una subred a Internet cuando se configura. Todo el tráfico dentro del prefijo 0.0.0.0/0 tiene un tipo de próximo salto a la puerta de enlace NAT antes de conectarse a Internet.

• Puede invalidar la puerta de enlace NAT como próximo salto de una subred a Internet con la creación de una ruta personalizada definida por el usuario (UDR).

• La presencia de UDR personalizas para aplicaciones virtuales y ExpressRoute invalida la puerta de enlace NAT para dirigir el tráfico enlazado a Internet (enrutar al prefijo de dirección 0.0.0.0/0).

• La conectividad saliente sigue este orden de prioridad entre los distintos métodos de conectividad de enrutamiento y salida: dirección IP pública de nivel de instancia de la puerta de enlace NAT de ExpressRoute >> de dispositivo virtual en una ruta de sistema predeterminada de reglas >> de salida del equilibrador de carga de una máquina >> virtual a Internet >>

Configuración de una puerta de enlace NAT

• Distintas subredes dentro de la misma red virtual pueden usar diferentes puertas de enlace NAT o usar la misma.

• No se pueden asociar varias puertas de enlace NAT a una sola subred.

• Una puerta de enlace de red NAT no puede abarcar varias redes virtuales.

• No se puede implementar una puerta de enlace NAT en una subred de puerta de enlace.

• Un recurso de puerta de enlace NAT puede usar hasta 16 direcciones IP en cualquier combinación de:

  • Direcciones IP públicas

  • Prefijos de IP públicas

  • Direcciones IP públicas y prefijos derivados de prefijos IP personalizados (BYOIP). Para obtener más información, consulte Prefijo de dirección IP personalizada (BYOIP).

• La puerta de enlace NAT no se puede asociar a una dirección IP pública IPv6 ni a un prefijo IP público IPv6.

• La puerta de enlace NAT se puede usar con Load Balancer mediante reglas de salida para proporcionar conectividad de salida de pila dual, consulte conectividad de salida de pila dual con nat gateway y Load Balancer.

• La puerta de enlace NAT funciona con cualquier interfaz de red de máquina virtual o configuración de IP. La puerta de enlace NAT puede SNAT varias configuraciones de IP en una NIC.

• La puerta de enlace NAT se puede asociar a una subred de Azure Firewall en una red virtual de centro de conectividad y proporcionar conectividad de salida desde redes virtuales en estrella emparejadas con el centro de conectividad. Para obtener más información, consulte Escalado de puertos SNAT con Azure Virtual Network NAT.

Zonas de disponibilidad

• Se puede crear una puerta de enlace NAT en una zona de disponibilidad específica.

• Al crear escenarios de zonas de aislamiento, la puerta de enlace NAT se puede aislar en una zona específica. Esta implementación se denomina implementación zonal. Una vez implementada la puerta de enlace NAT, no se puede cambiar la selección de zona.

• NAT Gateway se coloca en "ninguna zona" de forma predeterminada. Azure coloca una puerta de enlace NAT no zonal en una zona para el usuario.

Recursos básicos de SKU y puerta de enlace NAT

• La puerta de enlace NAT es compatible con direcciones IP públicas de la SKU estándar, con recursos de prefijo de IP pública o con una combinación de ambos.

• Los recursos de SKU básicas, como el equilibrador de carga básico o las direcciones IP públicas básicas, no son compatibles con la puerta de enlace NAT. La puerta de enlace NAT no se puede usar con subredes en las que existen recursos de SKU básicos. El equilibrador de carga básico y la dirección IP pública básica se pueden actualizar al nivel estándar para que funcionen con una puerta de enlace NAT

  • Actualice el equilibrador de carga del nivel básico al nivel estándar. Consulte Actualización de Azure Load Balancer de público básico a público estándar.

  • Actualice una dirección IP pública del nivel básico al nivel estándar. Consulte Actualización de una dirección IP pública mediante Azure Portal.

  • Actualice una dirección IP pública básica conectada a una máquina virtual de básica a estándar. Consulte Actualización de una dirección IP pública básica conectada a una máquina virtual.

Tiempos de espera y temporizadores de conexión

• La puerta de enlace NAT envía un paquete de restablecimiento TCP (RST) para cualquier flujo de conexión que no reconozca como una conexión existente. Es posible que el flujo de conexión ya no exista si se alcanzó el tiempo de espera de inactividad de la puerta de enlace NAT o la conexión se cerró anteriormente.

• Cuando el remitente del tráfico en el flujo de conexión no existente recibe el paquete DE RST TCP de puerta de enlace NAT, la conexión ya no se puede usar.

• Los puertos SNAT no están disponibles para su reutilización en el mismo punto de conexión de destino después de que se cierre una conexión. La puerta de enlace NAT coloca los puertos SNAT en un estado de esporádico antes de que se puedan reutilizar para conectarse al mismo punto de conexión de destino.

• Las duraciones del temporizador de reutilización de puertos SNAT (esporádico) varían para el tráfico TCP en función de cómo se cierra la conexión. Para más información, consulte Temporizadores de reutilización de puertos.

• Se usa un tiempo de espera de inactividad de TCP predeterminado de 4 minutos que se puede aumentar hasta 120. Cualquier actividad de un flujo puede restablecer también el temporizador de actividad, lo que incluye mensajes TCP Keepalive. Para más información, consulte Temporizadores de tiempo de espera de inactividad.

• El tráfico UDP tiene un temporizador para el tiempo de espera de inactividad de 4 minutos que no se puede cambiar.

• El tráfico UDP tiene un temporizador de reutilización de puertos de 65 segundos para el que un puerto está en espera antes de que esté disponible para su reutilización en el mismo punto de conexión de destino.

Precios y contrato de nivel de servicio

Para conocer los precios de Azure NAT Gateway, consulte Precios de NAT gateway.

Para más información sobre el SLA, consulte Acuerdo de Nivel de Servicio para Azure NAT Gateway.

Pasos siguientes

• Para crear una puerta de enlace NAT y asegurarse de que sea correcta, consulte Inicio rápido: crear una puerta de enlace NAT usando el Azure Portal.

• Para ver un vídeo con más información sobre Azure NAT Gateway, consulte Cómo conseguir una mejor conectividad saliente mediante el uso de Azure NAT Gateway.

• Conozca los recursos de puerta de enlace NAT.

• Módulo de aprendizaje: Introducción a Azure NAT Gateway.

• Para más información sobre las opciones de arquitectura de Azure NAT Gateway, consulte Revisión de Azure Well-Architected Framework sobre una puerta de enlace Azure NAT.