Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure NAT Gateway es un servicio de traducción de direcciones de red (NAT) totalmente administrado y altamente resistente. Use Azure NAT Gateway para permitir que todas las instancias de una subred se conecten de salida a Internet mientras permanecen completamente privadas. Una puerta de enlace NAT no permite conexiones entrantes no solicitadas desde Internet. Solo los paquetes que llegan como paquetes de respuesta a una conexión saliente pueden pasar a través de una puerta de enlace NAT.
Azure NAT Gateway asigna dinámicamente puertos NAT seguros (SNAT) para escalar automáticamente la conectividad saliente y minimizar el riesgo de agotamiento de puertos SNAT.
Azure NAT Gateway está disponible en dos SKU:
El estándar es zonal (implementado en una sola zona de disponibilidad) y proporciona conectividad de salida escalable para subredes en una sola red virtual.
StandardV2 es redundante de zona y proporciona un mayor rendimiento que la SKU estándar, además de la compatibilidad con IPv6 y con el registro de flujo.
SKU Estándar
Puede asociar una puerta de enlace NAT estándar con subredes de la misma red virtual para proporcionar conectividad saliente a Internet. Una puerta de enlace NAT estándar funciona fuera de una sola zona de disponibilidad.
StandardV2 SKU
La SKU StandardV2 de Azure NAT Gateway proporciona la misma funcionalidad de la SKU estándar, como la asignación dinámica de puertos SNAT y la conectividad de salida segura para subredes dentro de una red virtual. Además, StandardV2 es redundante de zona, lo que significa que proporciona conectividad saliente desde todas las zonas de una región en lugar de una sola zona.
Funcionalidades clave de StandardV2
- Redundancia de zona: funciona en todas las zonas de disponibilidad de una región para mantener la conectividad durante un fallo en una única zona.
- Compatibilidad con IPv6: admite direcciones IP públicas IPv4 e IPv6 y prefijos para la conectividad saliente.
- Mayor rendimiento: proporciona hasta 100 Gbps de rendimiento de datos por puerta de enlace NAT, en comparación con 50 Gbps para puertas de enlace NAT estándar.
- Compatibilidad con el registro de flujo: proporciona información de tráfico basada en IP para ayudar a supervisar y analizar los flujos de tráfico salientes.
Para más información sobre cómo implementar una puerta de enlace NAT de StandardV2, consulte Creación de una puerta de enlace NAT standardV2.
Limitaciones clave de StandardV2
La SKU standardV2 requiere direcciones IP públicas o prefijos StandardV2. Las direcciones IP públicas estándar no se admiten con StandardV2.
No se puede actualizar la SKU estándar a la SKU standardV2. Debe crear una puerta de enlace NAT standardV2 para reemplazar la puerta de enlace NAT estándar en la subred.
Las regiones siguientes no admiten puertas de enlace NAT de StandardV2:
- Este de Canadá
- Centro de Chile
- Centro de Indonesia
- Noroeste de Israel
- Oeste de Malasia
- Qatar Central
- Sur de Suecia
- Centro-oeste de EE. UU.
- West India
Una puerta de enlace NAT standardV2 no admite y no se puede conectar a subredes delegadas para los siguientes servicios:
- Azure SQL Managed Instance (Instancia Administrada de SQL de Azure)
- Azure Container Instances
- Base de Datos de Azure para PostgreSQL
- Azure Database para MySQL
- Azure Data Factory (movimiento de datos)
- Microsoft Power Platform
- Azure Stream Analytics
- Azure Container Apps
- Característica Web Apps de Azure App Service
- Azure DNS Private Resolver
Problemas conocidos de StandardV2
El tráfico saliente de IPv6 que usa reglas de salida del equilibrador de carga se interrumpe al asociar una puerta de enlace NAT de StandardV2 a una subred. Si necesita conectividad de salida tanto para IPv4 como para IPv6, use:
- Reglas de salida del equilibrador de carga para el tráfico IPv4 e IPv6
- Una puerta de enlace NAT estándar para el tráfico IPv4 y las reglas de salida del equilibrador de carga para el tráfico IPv6
La conexión de una puerta de enlace NAT StandardV2 a una subred vacía creada antes de abril de 2025 sin ninguna máquina virtual (VM) podría provocar que la red virtual entre en un estado de error. Para devolver la red virtual a un estado correcto, quite la puerta de enlace NAT de StandardV2, cree y agregue una máquina virtual a la subred y vuelva a adjuntar la puerta de enlace NAT de StandardV2.
Es posible que se interrumpan las conexiones salientes que usan un equilibrador de carga, Azure Firewall o direcciones IP públicas de nivel de instancia de máquina virtual al agregar una puerta de enlace NAT de StandardV2 a una subred. Todas las nuevas conexiones netas salientes usan la puerta de enlace NAT StandardV2.
Para obtener más información sobre las incidencias conocidas y las limitaciones de la SKU StandardV2 de Azure NAT Gateway, consulte Limitaciones conocidas.
ventajas de Azure NAT Gateway
Instalación simple
Las implementaciones con Azure NAT Gateway son intencionadamente sencillas. Adjunte una puerta de enlace NAT a una subred y una dirección IP pública y empiece a conectarse de salida a Internet inmediatamente. No se requieren configuraciones de mantenimiento ni enrutamiento. Puede agregar más direcciones IP públicas o subredes más adelante sin afectar a la configuración existente.
En los pasos siguientes se muestra un ejemplo de cómo configurar una puerta de enlace NAT:
Cree una puerta de enlace NAT zonal o no zonal.
Asigne una dirección IP pública o un prefijo de IP pública.
Configure una subred para usar la puerta de enlace NAT.
Si es necesario, modifique el tiempo de espera de inactividad del Protocolo de control de transmisión (TCP) (opcional). Revise los temporizadores antes de cambiar el valor predeterminado.
Seguridad
Azure NAT Gateway se basa en el modelo de seguridad de red Confianza cero. Cuando se usa Azure NAT Gateway, las instancias privadas dentro de una subred no necesitan direcciones IP públicas para acceder a Internet. Los recursos privados pueden llegar a orígenes externos fuera de la red virtual mediante SNAT para direcciones IP públicas estáticas o prefijos en Azure NAT Gateway.
Puede proporcionar un conjunto contiguo de direcciones IP para la conectividad saliente mediante un prefijo de dirección IP pública. Puede configurar reglas de firewall de destino basadas en esta lista de direcciones IP predecibles.
Resistencia
Azure NAT Gateway es un servicio totalmente administrado y distribuido. No depende de instancias de proceso individuales, como máquinas virtuales o un único dispositivo de puerta de enlace física. Una puerta de enlace NAT siempre tiene varios dominios de error y puede admitir varios errores sin interrupciones del servicio. Las redes definidas por software hacen que una puerta de enlace NAT sea altamente resistente.
Escalabilidad
Una puerta de enlace NAT se escala horizontalmente desde la creación. No se requiere ninguna operación de escalado horizontal o de rampa. Azure gestiona la operación de un gateway NAT para usted.
Adjunte una puerta de enlace NAT a una subred para proporcionar conectividad saliente para todos los recursos privados de esa subred. Todas las subredes de una red virtual pueden usar el mismo recurso de puerta de enlace NAT. Puede escalar la conectividad saliente asignando hasta 16 direcciones IP públicas a una puerta de enlace NAT. Al asociar una puerta de enlace NAT con un prefijo de IP pública, se escala automáticamente al número de direcciones IP necesarias para el tráfico de salida.
Rendimiento
Azure NAT Gateway es un servicio de red definido por software. Cada puerta de enlace NAT puede procesar hasta 50 Gbps de datos para el tráfico saliente y devuelto.
Una puerta de enlace NAT no afecta al ancho de banda de red de los recursos de computación. Para obtener más información, consulte Rendimiento.
conceptos básicos de Azure NAT Gateway
Azure NAT Gateway proporciona conectividad saliente segura y escalable para los recursos de una red virtual.
Conectividad de salida
Azure NAT Gateway es el método que se recomienda para la conectividad saliente.
Para migrar el acceso saliente a una puerta de enlace NAT desde el acceso saliente predeterminado o las reglas de salida del equilibrador de carga, consulte Migrar el acceso saliente a Azure NAT Gateway.
Nota:
A partir del 31 de marzo de 2026, las nuevas redes virtuales usan de forma predeterminada subredes privadas. El acceso saliente predeterminado no se proporciona de forma predeterminada. En su lugar, use una forma explícita de conectividad de salida, como Azure NAT Gateway.
Azure NAT Gateway proporciona conectividad saliente en un nivel de subred. Reemplaza el destino predeterminado de Internet de una subred para proporcionar conectividad saliente.
Azure NAT Gateway no requiere ninguna configuración de enrutamiento en una tabla de rutas de subred. Después de conectar una puerta de enlace NAT a una subred, proporciona conectividad saliente inmediatamente.
Azure NAT Gateway permite crear flujos desde la red virtual a los servicios fuera de la red virtual. El tráfico devuelto desde Internet solo se permite en respuesta a un flujo activo. Los servicios fuera de la red virtual no pueden iniciar una conexión entrante a través de una puerta de enlace NAT.
Azure NAT Gateway tiene prioridad sobre otros métodos de conectividad salientes, como un equilibrador de carga, direcciones IP públicas de nivel de instancia y Azure Firewall.
Azure NAT Gateway tiene prioridad sobre otros métodos de salida explícitos configurados en una red virtual para todas las conexiones nuevas. No hay caídas en el flujo de tráfico para las conexiones existentes que usan otros métodos explícitos de conectividad saliente.
Azure NAT Gateway no tiene las mismas limitaciones de agotamiento de puertos SNAT que el acceso de salida predeterminado y las reglas de salida de un balanceador de carga.
Azure NAT Gateway solo admite protocolos TCP y Protocolo de datagramas de usuario (UDP). El Protocolo de mensajes de control de Internet (ICMP) no es compatible.
Azure NAT Gateway admite instancias de Azure App Service (aplicaciones web, API REST y back-ends móviles) a través de integración de red virtual.
La subred tiene una ruta predeterminada del sistema que enruta automáticamente el tráfico con el destino 0.0.0.0/0 a Internet. Después de configurar una puerta de enlace NAT en la subred, las máquinas virtuales de la subred se comunican con Internet mediante la dirección IP pública de la puerta de enlace NAT.
Al crear una ruta definida por el usuario (UDR) en la tabla de rutas de subred para el tráfico 0.0.0.0/0, invalida la ruta de acceso a Internet predeterminada para este tráfico. Una UDR que envía tráfico 0.0.0.0/0 a un dispositivo virtual o una puerta de enlace de red virtual (Azure VPN Gateway y Azure ExpressRoute) como próximo salto anula la conectividad de la puerta de enlace NAT a Internet.
Este es el flujo:
UDR al siguiente salto de aplicación virtual o puerta de enlace de red virtual >> puerta de enlace NAT >> dirección IP pública a nivel de instancia en una máquina virtual >> reglas de salida del equilibrador de carga >> ruta predeterminada del sistema a Internet.
Configuración de una puerta de enlace NAT
Varias subredes dentro de la misma red virtual pueden usar puertas de enlace NAT diferentes o la misma puerta de enlace NAT.
No se pueden conectar varias puertas de enlace NAT a una sola subred.
Una puerta de enlace NAT no puede abarcar varias redes virtuales. Sin embargo, puede utilizar un gateway NAT para ofrecer conectividad saliente en un modelo hub-and-spoke. Para obtener más información, consulte el tutorial Azure NAT Gateway hub-and-spoke.
Un recurso de puerta de enlace NAT estándar puede usar hasta 16 direcciones IP públicas IPv4. Un recurso de puerta de enlace NAT standardV2 puede usar hasta 16 direcciones IP públicas IPv4 y 16 IPv6.
No se puede implementar una puerta de enlace NAT en una subred de puerta de enlace ni en una subred que contenga instancias administradas de SQL.
Azure NAT Gateway funciona con cualquier interfaz de red de máquina virtual o configuración de IP. Una puerta de enlace NAT puede usar SNAT para varias configuraciones IP en una interfaz de red.
Puede asociar una puerta de enlace NAT a una subred de Azure Firewall en una red virtual de concentrador y proporcionar conectividad saliente de redes virtuales de radio emparejadas con el centro. Para obtener más información, consulte la article sobre la integración de Azure Firewall con Azure NAT Gateway.
Zonas de disponibilidad
Puede crear una puerta de enlace NAT estándar en una zona de disponibilidad específica o colocarla en Sin zona.
Puede aislar una puerta de enlace NAT estándar en una zona específica al crear una puerta de enlace NAT zonal. Después de implementar la puerta de enlace NAT, no puede cambiar la selección de zona.
De forma predeterminada, una puerta de enlace NAT estándar se coloca en Ninguna zona. Azure coloca una puerta de enlace NAT no zonal en una zona.
Una puerta de enlace NAT standardV2 tiene redundancia de zona y funciona en todas las zonas de disponibilidad de una región para mantener la conectividad durante un único error de zona.
Acceso exterior predeterminado
Para proporcionar conectividad de salida segura a Internet, habilite una subred privada. Con este enfoque, se evita la creación de direcciones IP de salida predeterminadas y, en su lugar, se usa un método explícito de conectividad saliente, como una puerta de enlace NAT.
Algunos servicios no funcionan en una máquina virtual de una subred privada sin un método explícito de conectividad saliente, como la activación de Windows y las actualizaciones de Windows. La activación o actualización de sistemas operativos de máquina virtual, como Windows, requiere un método explícito de conectividad saliente, como una puerta de enlace NAT.
Para migrar el acceso saliente a una puerta de enlace NAT desde el acceso saliente predeterminado o las reglas de salida de un equilibrador de carga, consulte Migrar el acceso saliente a Azure NAT Gateway.
Nota:
A partir del 31 de marzo de 2026, las nuevas redes virtuales usan de forma predeterminada subredes privadas. El acceso saliente predeterminado ya no se proporciona de forma predeterminada. Debe habilitar un método de salida explícito para llegar a puntos de conexión públicos en Internet y dentro de Microsoft. En su lugar, use una forma explícita de conectividad saliente, como una puerta de enlace NAT.
Azure NAT Gateway y recursos básicos
Una puerta de enlace NAT estándar funciona con direcciones IP públicas estándar o prefijos de IP pública. Una puerta de enlace NAT de StandardV2 solo funciona con direcciones IP públicas StandardV2 o prefijos ip públicos.
No puede usar Azure NAT Gateway con subredes que tengan recursos básicos. Los recursos de la SKU básica, como un equilibrador de carga básico o direcciones IP públicas básicas, no funcionan con Azure NAT Gateway. Puede actualizar un equilibrador de carga básico y una dirección IP pública básica a Estándar para trabajar con una puerta de enlace NAT.
Para obtener más información sobre cómo actualizar un equilibrador de carga de Básico a Estándar, consulte Actualización de un equilibrador de carga básico.
Para obtener más información sobre cómo actualizar una dirección IP pública de Básico a Estándar, consulte Actualización de una dirección IP pública.
Para obtener más información sobre cómo actualizar una dirección IP pública conectada a una máquina virtual de Básico a Estándar, consulte Actualización de una dirección IP pública básica conectada a una máquina virtual.
Tiempos de espera y temporizadores de conexión
Azure NAT Gateway envía un paquete de restablecimiento TCP (RST) para cualquier flujo de conexión que no reconozca como una conexión existente. El flujo de conexión ya no existe si se alcanza el tiempo de espera de inactividad del Azure NAT Gateway, o si la conexión se cerró anteriormente.
Cuando el remitente del tráfico en el flujo de conexión inexistente recibe el paquete TCP RST del Azure NAT Gateway, la conexión ya no se puede usar.
Los puertos SNAT no están disponibles para su reutilización en el mismo punto de conexión de destino después de que se cierre una conexión. Azure NAT Gateway coloca los puertos SNAT en un estado de enfriamiento antes de que se puedan reutilizar para conectarse al mismo punto de conexión de destino.
Las duraciones del temporizador de reutilización de puertos SNAT (enfriamiento) varían para el tráfico TCP, en función de cómo se cierra la conexión. Para más información, consulte Temporizadores de reutilización de puertos.
El temporizador de tiempo de espera de inactividad de Azure NAT Gateway TCP tiene como valor predeterminado 4 minutos, pero se puede aumentar hasta 120 minutos. Cualquier actividad en un flujo puede reiniciar el temporizador de reposo, incluyendo las actualizaciones de TCP. Para más información, consulte Temporizadores de tiempo de espera de inactividad.
El tráfico UDP tiene un temporizador de tiempo de espera de inactividad de 4 minutos que no se puede cambiar.
El tráfico UDP tiene un temporizador de reutilización de puertos de 65 segundos. Durante esta duración, un puerto está en espera antes de que esté disponible para su reutilización en el mismo punto de conexión de destino.
Precios y contrato de nivel de servicio
Las puertas de enlace NAT Estándar y EstándarV2 tienen el mismo precio. Para más información, consulte Precios de Azure NAT Gateway.
Para obtener información sobre el acuerdo de nivel de servicio (SLA), consulte los SLA de Microsoft para servicios en línea.
Contenido relacionado
Para obtener más información sobre cómo crear y validar una puerta de enlace NAT, consulte Quickstart: Creación de una puerta de enlace NAT mediante el portal de Azure.
Para ver un vídeo que proporciona más información sobre Azure NAT Gateway, consulte Cómo obtener una mejor conectividad saliente mediante Azure NAT Gateway.
Para más información sobre el recurso de puerta de enlace NAT, consulte Recurso de puerta de enlace NAT.