¿Qué es NAT de Virtual Network?

Virtual Network NAT es un servicio de traducción de direcciones de red (NAT) totalmente administrado y muy resistente. Virtual Network NAT simplifica la conectividad a Internet de salida para las redes virtuales. Cuando se configura en una subred, toda la conectividad saliente usa las direcciones IP públicas estáticas de Virtual Network NAT.

En la ilustración se muestra una NAT que recibe tráfico de subredes internas y lo dirige a una dirección IP pública (PIP) y un prefijo IP.

Ilustración: Virtual Network NAT

Ventajas de Virtual Network NAT

Seguridad

Con una puerta de enlace NAT, las máquinas virtuales individuales u otros recursos de proceso, no necesitan direcciones IP públicas y pueden permanecer privadas. Estos recursos, a pesar de no tener una dirección IP pública, pueden llegar a orígenes externos fuera de la red virtual. También puede asociar un prefijo de IP pública para asegurarse de que se usará un conjunto contiguo de direcciones IP para la salida. Las reglas de firewall de destino se pueden configurar en función de esta lista de direcciones IP predecibles.

Resistencia

La VIrtual Network NAT es un servicio totalmente administrado y distribuido. No depende de instancias de proceso individuales, como máquinas virtuales o un solo dispositivo de puerta de enlace físico. Las redes definidas por software hacen que una puerta de enlace NAT sea altamente resistente.

Escalabilidad

Virtual Network NAT se escala horizontalmente desde la creación. No existe ninguna operación de aumento ni de escalabilidad horizontal. Azure administra automáticamente la operación de Virtual Network NAT por ti. Una puerta de enlace NAT siempre tiene varios dominios de error y puede soportar varios errores sin que se interrumpa el servicio.

Un recurso de puerta de enlace NAT se puede asociar a una subred y se puede usar en todos los recursos de proceso de esa subred. Todas las subredes de una red virtual pueden usar el mismo recurso. Cuando una puerta de enlace NAT se asocia a un prefijo de IP pública, se escala automáticamente al número de direcciones IP necesarias para la salida.

Rendimiento

Virtual Network NAT es un servicio de red definido por software. Una puerta de enlace NAT no afectará al ancho de banda de red de los recursos de proceso. Descubra más sobre las métricas de la puerta de enlace NAT.

Fundamentos de Virtual Network NAT

Conectividad de salida

  • Virtual Network NAT (puerta de enlace NAT) es el método recomendado para la conectividad de salida. La puerta de enlace NAT no tiene las mismas limitaciones de agotamiento de puertos de SNAT que el acceso saliente predeterminado y que las reglas de salida de un equilibrador de carga.

  • La puerta de enlace NAT permite crear flujos entre la red virtual y los servicios que se encuentran fuera de ella. El tráfico de retorno de Internet solo se permite en respuesta a un flujo activo. Los servicios fuera de la red virtual no pueden iniciar una conexión de entrada a través de la puerta de enlace NAT.

  • La puerta de enlace NAT tiene prioridad sobre otros escenarios de salida (incluidas las direcciones IP públicas de nivel de instancia y el equilibrador de carga) y reemplaza el destino predeterminado de Internet de una subred.

  • Cuando la puerta de enlace NAT está configurada en una red virtual en la que el equilibrador de carga estándar con reglas de salida ya existe, la puerta de enlace NAT se hará cargo de todo el tráfico saliente en el futuro. No habrá caídas en el flujo de tráfico para las conexiones existentes en Load Balancer. Todas las nuevas conexiones usarán la puerta de enlace NAT.

  • La presencia de UDR personalizas para aplicaciones virtuales y ExpressRoute invalida la puerta de enlace NAT para dirigir el tráfico enlazado a Internet (enrutar al prefijo de dirección 0.0.0.0/0).

  • El orden de las operaciones para la conectividad saliente sigue este orden de prioridad: Las direcciones IP públicas de nivel de instancia de la >>puerta de enlace NAT>> de ExpressRoute o UDR de la aplicación virtual en el sistema predeterminado de >>reglas de salida del equilibrador de carga>> de las máquinas virtuales

  • La puerta de enlace NAT solo admite protocolos TCP y UDP. No se admite ICMP.

  • Cuando las instancias de máquina virtual u otros recursos de proceso, intentan comunicarse en una conexión TCP que no existe, envían paquetes de restablecimiento TCP. Un ejemplo son las conexiones que han alcanzado el tiempo de espera de inactividad. El siguiente paquete recibido devolverá un restablecimiento de TCP a la dirección IP privada de la máquina virtual para señalar y forzar el cierre de la conexión. El lado público de una puerta de enlace NAT no genera paquetes de restablecimiento de TCP ni ningún otro tipo de tráfico. Solo se emite el tráfico generado por la red virtual del cliente.

Configuración de una puerta de enlace NAT

  • Se puede definir la conectividad de salida para todas las subredes con una puerta de enlace NAT. Todo el tráfico de salida para la subred lo procesa la puerta de enlace NAT automáticamente sin que el cliente tenga que configurar nada.

  • Una puerta de enlace de red NAT no puede abarcar varias redes virtuales.

  • Distintas subredes dentro de la misma red virtual pueden usar diferentes puertas de enlace NAT o usar la misma.

  • No se pueden asociar varias puertas de enlace NAT a una sola subred.

  • No se puede implementar una puerta de enlace NAT en una subred de puerta de enlace.

  • Un recurso de puerta de enlace NAT puede usar hasta 16 direcciones IP en cualquier combinación de:

  • La puerta de enlace NAT no se puede asociar a una dirección IP pública IPv6 ni a un prefijo IP público IPv6. Se puede asociar a una subred de pila dual, pero solo podrá dirigir el tráfico saliente con una dirección IPv4.

Zonas de disponibilidad

  • Se puede crear una puerta de enlace NAT en una zona de disponibilidad específica.

  • Al crear escenarios de zonas de aislamiento, la puerta de enlace NAT se puede aislar en una zona específica. Esta implementación se denomina implementación zonal. Una vez implementada la puerta de enlace NAT, no se puede cambiar la selección de zona.

  • La puerta de enlace NAT no se coloca en ninguna zona de forma predeterminada. Azure coloca una puerta de enlace NAT no zonal en una zona para el usuario.

Recursos básicos de SKU y puerta de enlace NAT

  • La puerta de enlace NAT es compatible con direcciones IP públicas de la SKU estándar, con recursos de prefijo de IP pública o con una combinación de ambos. Puede usar un prefijo de IP pública directamente o distribuir las direcciones IP públicas del prefijo entre varios recursos de puerta de enlace de NAT. La puerta de enlace NAT limpiará todo el tráfico hacia el intervalo de direcciones IP del prefijo.

  • Los recursos básicos, como Load Balancer básico o las direcciones IP públicas básicas, no son compatibles con Virtual Network NAT. Los recursos básicos deben colocarse en una subred no asociada a una instancia de puerta de enlace NAT. El equilibrador de carga básico y la dirección IP pública básica se pueden actualizar al nivel estándar para que funcionen con una puerta de enlace NAT

Temporizadores de puerta de enlace NAT

  • La puerta de enlace NAT se mantiene en los puertos SNAT después de que se cierre una conexión antes de que esté disponible para volver a usarse para conectarse al mismo punto de conexión de destino a través de Internet. Las duraciones del temporizador de reutilización del puerto SNAT para el tráfico TCP, varían en función de cómo se cierra la conexión. Para más información, consulte Temporizadores de reutilización de puertos.

  • Se usa un tiempo de espera de inactividad de TCP predeterminado de 4 minutos que se puede aumentar hasta 120. Cualquier actividad de un flujo puede restablecer también el temporizador de actividad, lo que incluye mensajes TCP Keepalive. Para más información, consulte Temporizadores de tiempo de espera de inactividad.

  • El tráfico UDP tiene un temporizador de tiempo de espera de inactividad de 4 minutos que no se puede cambiar.

  • El tráfico UDP tiene un temporizador de restablecimiento de puerto de 65 segundos según el cual un puerto queda en espera antes de estar disponible para su reutilización en el mismo punto de conexión de destino.

Precios y contrato de nivel de servicio

Para obtener Azure Virtual Network NAT precios, consulte Precios de la puerta de enlace NAT.

Para obtener información sobre el Acuerdo de Nivel de Servicio, consulte Sla for Virtual Network NAT.

Pasos siguientes