¿Qué es Azure NAT Gateway?
Azure NAT Gateway es un servicio de traducción de direcciones de red (NAT) totalmente administrado y altamente resistente. Azure NAT Gateway simplifica la conectividad saliente a Internet para redes virtuales. Cuando se configura en una subred, toda la conectividad saliente usa las direcciones IP públicas estáticas de la puerta de enlace NAT.
Figura: Azure NAT Gateway
Ventajas de Azure NAT Gateway
Seguridad
Con una puerta de enlace NAT, las máquinas virtuales individuales u otros recursos de proceso, no necesitan direcciones IP públicas y pueden permanecer privadas. Los recursos sin una dirección IP pública pueden seguir accediendo a orígenes externos fuera de la red virtual con direcciones IP públicas estáticas o prefijos de una puerta de enlace NAT. También puede asociar un prefijo de IP pública para asegurarse de que se usará un conjunto contiguo de direcciones IP para la salida. Las reglas de firewall de destino se pueden configurar en función de esta lista de direcciones IP predecibles.
Resistencia
Azure NAT Gateway es un servicio totalmente administrado y distribuido. No depende de instancias de proceso individuales, como máquinas virtuales o un solo dispositivo de puerta de enlace físico. Una puerta de enlace NAT siempre tiene varios dominios de error y puede soportar varios errores sin que se interrumpa el servicio. Las redes definidas por software hacen que una puerta de enlace NAT sea altamente resistente.
Escalabilidad
El NAT Gateway se escala desde su creación. No existe ninguna operación de aumento ni de escalabilidad horizontal. Azure administra el funcionamiento de NAT Gateway por el usuario.
Un recurso de puerta de enlace NAT se puede asociar a una subred y se puede usar en todos los recursos de proceso de esa subred. Todas las subredes de una red virtual pueden usar el mismo recurso de puerta de enlace NAT. La conectividad de salida se puede escalar horizontalmente asignando hasta 16 direcciones IP a la puerta de enlace NAT. Cuando una puerta de enlace NAT se asocia a un prefijo de IP pública, se escala automáticamente al número de direcciones IP necesarias para la salida.
Rendimiento
Azure NAT Gateway es un servicio de red definido por software. Una puerta de enlace NAT no afectará al ancho de banda de red de los recursos de proceso. Descubra más sobre las métricas de la puerta de enlace NAT.
Conceptos básicos de Azure NAT Gateway
Conectividad de salida
NAT Gateway es el método recomendado para la conectividad saliente. La puerta de enlace NAT no tiene las mismas limitaciones de agotamiento de puertos de SNAT que el acceso saliente predeterminado y que las reglas de salida de un equilibrador de carga.
La puerta de enlace NAT permite crear flujos entre la red virtual y los servicios que se encuentran fuera de ella. El tráfico de retorno de Internet solo se permite en respuesta a un flujo activo. Los servicios fuera de la red virtual no pueden iniciar una conexión de entrada a través de la puerta de enlace NAT.
- Para migrar el acceso saliente a una puerta de enlace NAT desde el acceso saliente predeterminado o a las reglas salientes de un equilibrador de carga, consulte Migración del acceso de salida a Azure NAT Gateway.
La puerta de enlace NAT tiene prioridad sobre otros escenarios de salida (incluidas las direcciones IP públicas de nivel de instancia y el equilibrador de carga) y reemplaza el destino predeterminado de Internet de una subred.
Cuando la puerta de enlace NAT está configurada en una red virtual en la que el equilibrador de carga estándar con reglas de salida ya existe, la puerta de enlace NAT se hará cargo de todo el tráfico saliente en el futuro. No habrá caídas en el flujo de tráfico para las conexiones existentes en Load Balancer. Todas las nuevas conexiones usarán la puerta de enlace NAT.
La presencia de UDR personalizas para aplicaciones virtuales y ExpressRoute invalida la puerta de enlace NAT para dirigir el tráfico enlazado a Internet (enrutar al prefijo de dirección 0.0.0.0/0).
El orden de las operaciones para la conectividad saliente sigue este orden de prioridad: Las direcciones IP públicas de nivel de instancia de la >>puerta de enlace NAT>> de ExpressRoute o UDR de la aplicación virtual en el sistema predeterminado de >>reglas de salida del equilibrador de carga>> de las máquinas virtuales
La puerta de enlace NAT solo admite protocolos TCP y UDP. No se admite ICMP.
La puerta de enlace NAT enviará un paquete TCP Rest (RST) al punto de conexión que intenta comunicarse en un flujo de conexión que no existe. Es posible que este flujo de conexión ya no exista si se ha alcanzado el tiempo de espera de inactividad de la puerta de enlace NAT, o bien si la conexión se ha cerrado anteriormente. Cuando el punto de conexión recibe el paquete TCP RST de la puerta de enlace NAT, significa que la conexión ya no se puede usar.
Configuración de una puerta de enlace NAT
Se puede definir la conectividad de salida para todas las subredes con una puerta de enlace NAT. Todo el tráfico de salida para la subred lo procesa la puerta de enlace NAT automáticamente sin que el cliente tenga que configurar nada.
Una puerta de enlace de red NAT no puede abarcar varias redes virtuales.
Distintas subredes dentro de la misma red virtual pueden usar diferentes puertas de enlace NAT o usar la misma.
No se pueden asociar varias puertas de enlace NAT a una sola subred.
No se puede implementar una puerta de enlace NAT en una subred de puerta de enlace.
Un recurso de puerta de enlace NAT puede usar hasta 16 direcciones IP en cualquier combinación de:
Direcciones IP públicas
Prefijos de IP públicas
Direcciones IP públicas y prefijos derivados de prefijos IP personalizados (BYOIP). Para obtener más información, consulte Prefijo de dirección IP personalizada (BYOIP).
La puerta de enlace NAT no se puede asociar a una dirección IP pública IPv6 ni a un prefijo IP público IPv6. Se puede asociar a una subred de pila dual, pero solo podrá dirigir el tráfico saliente con una dirección IPv4. Para configurar una configuración de salida de pila doble, consulte Conectividad de salida de pila dual con NAT Gateway y Load Balancer.
La puerta de enlace NAT se puede asociar a una subred de Azure Firewall en una red virtual de centro de conectividad y proporcionar conectividad de salida desde redes virtuales en estrella emparejadas con el centro de conectividad. Para obtener más información, consulte Escalado de puertos SNAT con Azure Virtual Network NAT.
Zonas de disponibilidad
Se puede crear una puerta de enlace NAT en una zona de disponibilidad específica.
Al crear escenarios de zonas de aislamiento, la puerta de enlace NAT se puede aislar en una zona específica. Esta implementación se denomina implementación zonal. Una vez implementada la puerta de enlace NAT, no se puede cambiar la selección de zona.
NAT Gateway se coloca en "ninguna zona" de forma predeterminada. Azure coloca una puerta de enlace NAT no zonal en una zona para el usuario.
Recursos básicos de SKU y puerta de enlace NAT
La puerta de enlace NAT es compatible con direcciones IP públicas de la SKU estándar, con recursos de prefijo de IP pública o con una combinación de ambos. Puede usar un prefijo de IP pública directamente o distribuir las direcciones IP públicas del prefijo entre varios recursos de puerta de enlace de NAT. La puerta de enlace NAT limpiará todo el tráfico hacia el intervalo de direcciones IP del prefijo.
Los recursos básicos, como el equilibrador de carga básico o las IP públicas básicas, no son compatibles con NAT Gateway. Los recursos básicos deben colocarse en una subred no asociada a una instancia de puerta de enlace NAT. El equilibrador de carga básico y la dirección IP pública básica se pueden actualizar al nivel estándar para que funcionen con una puerta de enlace NAT
Actualice el equilibrador de carga del nivel básico al nivel estándar. Consulte Actualización de Azure Load Balancer de público básico a público estándar.
Actualice una dirección IP pública del nivel básico al nivel estándar. Consulte Actualización de una dirección IP pública mediante Azure Portal.
Actualice una dirección IP pública básica conectada a una máquina virtual de básica a estándar. Consulte Actualización de una dirección IP pública básica conectada a una máquina virtual.
Temporizadores de puerta de enlace NAT
La puerta de enlace NAT se mantiene en los puertos SNAT después de cerrarse una conexión antes de que esté disponible para volver a usarse para conectarse al mismo punto de conexión de destino a través de Internet. Las duraciones del temporizador de reutilización del puerto SNAT para el tráfico TCP, varían en función de cómo se cierra la conexión. Para más información, consulte Temporizadores de reutilización de puertos.
Se usa un tiempo de espera de inactividad de TCP predeterminado de 4 minutos que se puede aumentar hasta 120. Cualquier actividad de un flujo puede restablecer también el temporizador de actividad, lo que incluye mensajes TCP Keepalive. Para más información, consulte Temporizadores de tiempo de espera de inactividad.
El tráfico UDP tiene un temporizador para el tiempo de espera de inactividad de 4 minutos que no se puede cambiar.
El tráfico UDP tiene un temporizador para el restablecimiento de puerto de 65 segundos, por el que un puerto queda en espera antes de estar disponible para su reutilización en el mismo punto de conexión de destino.
Precios y contrato de nivel de servicio
Para conocer los precios de Azure NAT Gateway, consulte Precios de NAT gateway.
Para más información sobre el SLA, consulte Acuerdo de Nivel de Servicio para Azure NAT Gateway.
Pasos siguientes
Para crear una puerta de enlace NAT y asegurarse de que sea correcta, consulte Inicio rápido: crear una puerta de enlace NAT usando el Azure Portal.
Para ver un vídeo con más información sobre Azure NAT Gateway, consulte Cómo conseguir una mejor conectividad saliente mediante el uso de Azure NAT Gateway.
Conozca los recursos de puerta de enlace NAT.
Para más información sobre las opciones de arquitectura de Azure NAT Gateway, consulte Revisión de Azure Well-Architected Framework sobre una puerta de enlace Azure NAT.