Partager via

Qu’est-ce qu’Azure NAT Gateway ?

Une passerelle NAT Azure est un service de traduction d’adresses réseau entièrement managé et hautement résilient. Vous pouvez utiliser Azure NAT Gateway pour permettre à toutes les instances d’un sous-réseau de se connecter à Internet tout en restant entièrement privées. Les connexions entrantes non sollicitées à partir d’Internet ne sont pas autorisées à traverser NAT Gateway. Seuls les paquets arrivant en tant que paquets de réponse à une connexion sortante peuvent traverser NAT Gateway.

NAT Gateway alloue dynamiquement des ports SNAT pour mettre à l’échelle automatiquement la connectivité sortante et réduire le risque d’épuisement des ports SNAT.

Important

La référence SKU Standard V2 Azure NAT Gateway est actuellement en PRÉVERSION. Consultez les Conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour les conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

La figure montre une NAT qui reçoit le trafic à partir de sous-réseaux internes et la dirige vers une adresse IP publique.

Figure : Azure NAT Gateway

Azure NAT Gateway est disponible dans deux références SKU :

  • La référence SKU Standard NAT Gateway est zonale (déployée sur une seule zone de disponibilité) et fournit une connectivité sortante évolutive pour les sous-réseaux d’un seul réseau virtuel.

  • La référence SKU StandardV2 NAT Gateway est redondante interzone avec un débit supérieur à celui de la référence SKU Standard, une prise en charge d’IPv6 et une prise en charge des journaux de flux.

NAT Gateway StandardV2

NAT Gateway StandardV2 fournit les mêmes fonctionnalités que la référence SKU Standard NAT Gateway, comme l’allocation de ports SNAT dynamique et la connectivité sortante sécurisée pour les sous-réseaux d’un réseau virtuel. En outre, NAT Gateway StandardV2 est redondante interzone, ce qui signifie qu’elle fournit une connectivité sortante à partir de toutes les zones d’une région au lieu d’une seule zone comme NAT Gateway Standard.

Le diagramme montre NAT Gateway StandardV2 couvrant plusieurs zones de disponibilité dans une région.

Figure : NAT Gateway StandardV2 s’étend sur plusieurs zones de disponibilité d’une région.

Fonctionnalités clés de NAT Gateway StandardV2

  • Redondant interzone : fonctionne sur toutes les zones de disponibilité d’une région pour maintenir la connectivité lors d’une panne sur une zone.
  • Prise en charge d’IPv6 : prend en charge les adresses IP publiques IPv4 et IPv6 et les préfixes pour la connectivité sortante.
  • Débit plus élevé : chaque passerelle NAT Gateway StandardV2 peut fournir jusqu’à 100 Gbits/s de débit de données, comparé aux 50 Gbits/s de NAT Gateway Standard.
  • Prise en charge des journaux de flux : fournit des informations de trafic basées sur IP pour faciliter la surveillance et l’analyse des flux de trafic sortant.

Pour en savoir plus sur le déploiement de NAT Gateway StandardV2, consultez Créer une passerelle NAT Gateway StandardV2.

Principales limitations de NAT Gateway StandardV2

  • Nécessite des adresses IP publiques ou des préfixes de la référence SKU StandardV2. Les adresses IP publiques de la référence SKU Standard ne sont pas prises en charge avec NAT Gateway StandardV2.
  • La référence SKU Standard NAT Gateway ne peut pas être mise à niveau vers NAT Gateway StandardV2. Vous devez d’abord créer une passerelle NAT Gateway StandardV2 et remplacer la passerelle NAT Gateway Standard dans votre sous-réseau.
  • Les régions suivantes ne prennent pas en charge NAT Gateway StandardV2 :
    • Canada Est
    • Inde centrale
    • Chili Central
    • Indonésie Centre
    • Israël Nord-Ouest
    • Malaisie Ouest
    • Qatar Central
    • Émirats arabes unis Centre
  • Terraform ne prend pas encore en charge les déploiements d’adresses IP publiques StandardV2 et de passerelle NAT Gateway StandardV2.
  • NAT Gateway StandardV2 ne prend pas en charge et ne peut pas être rattaché aux sous-réseaux délégués pour les services suivants :
    • Azure SQL Managed Instance (Instance gérée Azure SQL)
    • Azure Container Instances (Instances de Conteneur Azure)
    • Azure Database pour PostgreSQL - Serveur flexible
    • Azure Database pour MySQL - Serveur flexible
    • Azure Database pour MySQL
    • Azure Data Factory – Déplacement des données
    • Services Microsoft Power Platform
    • Azure Stream Analytics
    • Azure Web Apps
    • Programme de résolution privé Azure DNS

Problèmes connus de NAT Gateway StandardV2

  • Le trafic sortant IPv6 utilisant les règles de trafic sortant de Load Balancer est interrompu lorsque NAT Gateway StandardV2 est associé à un sous-réseau. Si vous avez besoin d’une connectivité sortante IPv4 et IPv6, utilisez les règles de trafic sortant de Load Balancer pour le trafic IPv4 et IPv6 ou utilisez NAT Gateway Standard pour le trafic IPv4 et les règles de trafic sortant de Load Balancer pour le trafic IPv6.

  • L’attachement d’une passerelle NAT StandardV2 à un sous-réseau vide créé avant avril 2025 sans machines virtuelles peut entraîner l’échec du réseau virtuel. Pour renvoyer le réseau virtuel à un état réussi, supprimez la passerelle NAT StandardV2, créez et ajoutez une machine virtuelle au sous-réseau, puis retachez la passerelle NAT StandardV2.

Pour plus d’informations sur les problèmes connus et les limitations de NAT Gateway StandardV2, consultez Problèmes connus et limitations de NAT Gateway StandardV2.

NAT Gateway Standard

NAT Gateway Standard fournit une connectivité sortante à Internet et peut être associé à des sous-réseaux au sein du même réseau virtuel. NAT Gateway Standard fonctionne hors d’une seule zone de disponibilité.

Le diagramme montre une passerelle NAT Gateway Standard dans une seule zone de disponibilité.

*Figure : NAT Gateway Standard dans une seule zone de disponibilité.

Avantages de Azure NAT Gateway

Simple à configurer

Les déploiements sont intentionnellement simples avec NAT Gateway. Attachez NAT Gateway à un sous-réseau et à une adresse IP publique, et commencez à connecter votre trafic sortant vers Internet sans délai. Il n’y a ni maintenance ni configurations de routage requises. Vous pouvez ajouter des adresses IP publiques ou des sous-réseaux supplémentaires par la suite, sans aucun effet sur votre configuration existante.

Les étapes suivantes illustrent un exemple de configuration de NAT Gateway :

  • Créez une instance de NAT Gateway non zonale ou zonale.

  • Créer une passerelle NAT.

  • Affectez une adresse IP publique ou un préfixe IP public.

  • Configurez un sous-réseau pour utiliser une passerelle NAT Gateway.

Si nécessaire, modifiez le délai d’inactivité du protocole TCP (Transmission Control Protocol). Cette opération est facultative. Vérifiez les minuteurs avant de changer la valeur par défaut.

Sécurité

La passerelle NAT repose sur le modèle de sécurité réseau Confiance Zéro et est sécurisée par défaut. Avec NAT Gateway, les instances privées d’un sous-réseau n’ont pas besoin d’adresses IP publiques pour accéder à Internet. Les ressources privées peuvent atteindre des sources externes en dehors du réseau virtuel par traduction d’adresses réseau source (SNAT) vers les adresses IP publiques statiques ou les préfixes de NAT Gateway. Vous pouvez fournir un ensemble contigu d’adresses IP pour la connectivité sortante en utilisant un préfixe d’adresse IP publique. Des règles de pare-feu de destination peuvent être configurées en fonction de cette liste d’adresses IP prévisibles.

Résilience

Azure NAT Gateway est un service entièrement managé et distribué. Elle ne dépend pas des instances de calcul individuelles telles que des machines virtuelles ou un seul appareil de passerelle physique. Une instance de NAT Gateway a toujours plusieurs domaines d’erreur, et peut supporter plusieurs défaillances sans interruption de service. La mise en réseau définie par logiciel rend NAT Gateway hautement résilient.

Extensibilité

NAT Gateway subit un scale-out dès la création. Aucune opération de montée en puissance ou d'extension n'est requise. Azure gère le fonctionnement de NAT Gateway pour vous.

Attachez NAT Gateway à un sous-réseau pour fournir une connectivité sortante à toutes les ressources privées de ce sous-réseau. Tous les sous-réseaux d’un réseau virtuel peuvent utiliser la même ressource NAT Gateway. Il est possible d’effectuer un scale-out de la connectivité sortante en affectant jusqu’à 16 adresses IP publiques ou un préfixe d’adresse IP publique de taille /28 à NAT Gateway. Quand NAT Gateway est associé à un préfixe d’IP publique, il est automatiquement mis à l’échelle en fonction du nombre d’adresses IP nécessaires pour le trafic sortant.

Performances

Azure NAT Gateway est un service SDN (Software-Defined Networking). Chaque instance de NAT Gateway peut traiter jusqu’à 50 Gbits/s de données pour le trafic sortant et de retour.

NAT Gateway n’affecte pas la bande passante réseau de vos ressources de calcul. Apprenez-en davantage sur les performances de NAT Gateway.

Bases de Azure NAT Gateway

Azure NAT Gateway fournit une connectivité sortante sécurisée et évolutive pour les ressources d’un réseau virtuel. Il s’agit de la méthode recommandée pour l’accès sortant à Internet.

Connectivité sortante

  • NAT Gateway est la méthode recommandé pour la connectivité sortante.

Remarque

Le 31 mars 2026, les nouveaux réseaux virtuels utiliseront par défaut des sous-réseaux privés, ce qui signifie que l’accès sortant par défaut ne sera plus fourni par défaut. Il est recommandé d’utiliser une forme explicite de connectivité sortante à la place, comme NAT Gateway.

  • NAT Gateway fournit une connectivité sortante au niveau d’un sous-réseau. NAT Gateway remplace la destination Internet par défaut d’un sous-réseau pour fournir une connectivité sortante.

  • NAT Gateway ne nécessite aucune configuration de routage sur une table de routage de sous-réseau. Une fois NAT Gateway attaché à un sous-réseau, il fournit immédiatement une connectivité sortante.

  • NAT Gateway autorise la création de flux à partir du réseau virtuel vers les services en dehors de votre réseau virtuel. Le trafic de retour provenant d’Internet est uniquement autorisé en réponse à un flux actif. Les services extérieurs à votre réseau virtuel ne peuvent pas démarrer une connexion entrante via NAT Gateway.

  • NAT Gateway est prioritaire par rapport à d’autres méthodes de connectivité sortante, notamment Load Balancer, les adresses IP publiques au niveau de l’instance, et le Pare-feu Azure.

  • NAT Gateway est prioritaire par rapport à d’autres méthodes sortantes explicites configurées dans un réseau virtuel pour toutes les nouvelles connexions. Il n’existe aucune baisse du flux de trafic pour les connexions existantes à l’aide d’autres méthodes explicites de connectivité sortante.

  • NAT Gateway ne présente pas les mêmes limitations d’insuffisance de ports SNAT que l’accès sortant par défaut et les règles de trafic sortant de Load Balancer.

  • NAT Gateway prend uniquement en charge les protocoles TCP et UDP (User Datagram Protocol). Le protocole ICMP (Internet Control Message Protocol) n’est pas pris en charge.

  • Le sous-réseau a un itinéraire système par défaut qui route automatiquement le trafic avec la destination 0.0.0.0/0 vers Internet. Une fois NAT Gateway configuré sur le sous-réseau, les machines virtuelles du sous-réseau communiquent avec Internet à l’aide de l’adresse IP publique de NAT Gateway.

  • Lorsque vous créez un itinéraire défini par l’utilisateur (UDR) dans votre table de routage de sous-réseau pour le trafic 0.0.0.0/0, le chemin Internet par défaut pour ce trafic est remplacé. Un UDR qui envoie le trafic 0.0.0.0/0 à une appliance virtuelle ou à une passerelle de réseau virtuel (passerelle VPN et ExpressRoute) comme type de tronçon suivant remplace la connectivité de NAT Gateway à Internet.

Comment fonctionne la passerelle NAT Gateway

  • Aucune configuration de table de routage : la passerelle NAT Gateway fonctionne au niveau d’un sous-réseau. Une fois attachée, la passerelle NAT Gateway fournit une connectivité sortante sans demander de configurations de routage sur la table de routage du sous-réseau.

    • UDR vers l’appliance virtuelle ou la passerelle de réseau virtuel de tronçon suivant >> NAT Gateway >> Adresse IP publique au niveau de l’instance sur une machine virtuelle >> Règles de trafic sortant de Load Balancer >> Route système par défaut vers Internet.

Configurations de NAT Gateway

  • Plusieurs sous-réseaux au sein du même réseau virtuel peuvent utiliser différentes instances de NAT Gateway ou la même instance.

  • Plusieurs instances de NAT Gateway ne peuvent pas être attachées à un même sous-réseau.

  • Une instance de NAT Gateway ne peut pas s’étendre sur plusieurs réseaux virtuels. Toutefois, vous pouvez utiliser NAT Gateway pour fournir une connectivité sortante dans un modèle de réseau en étoile. Pour plus d’informations, consultez le tutoriel sur le modèle de réseau en étoile de NAT Gateway.

  • Une instance de NAT Gateway ne peut pas être déployée dans un sous-réseau de passerelle.

  • Une ressource NAT Gateway peut utiliser jusqu’à 16 adresses IP combinant de manière quelconque les types suivants :

  • Plusieurs instances de NAT Gateway ne peuvent pas être attachées à un même sous-réseau.

  • Une instance de NAT Gateway ne peut pas s’étendre sur plusieurs réseaux virtuels. Toutefois, vous pouvez utiliser NAT Gateway pour fournir une connectivité sortante dans un modèle de réseau en étoile. Pour plus d’informations, consultez le tutoriel sur le modèle de réseau en étoile de NAT Gateway.

  • Une passerelle NAT Gateway ne peut pas être déployée dans un sous-réseau de passerelle ou un sous-réseau contenant des instances managées SQL.

  • NAT Gateway ne peut pas être associé à une adresse IP publique IPv6 ni à un préfixe d’adresse IP publique IPv6.

  • Vous pouvez utiliser NAT Gateway avec Load Balancer à l’aide de règles de trafic sortant pour fournir une connectivité sortante à double pile. Consultez Connectivité sortante à double pile avec NAT Gateway et Load Balancer.

  • NAT Gateway fonctionne avec toute interface réseau de machine virtuelle ou configuration IP. NAT Gateway peut traduire (SNAT) plusieurs configurations IP sur une interface réseau.

  • NAT Gateway peut être associé à un sous-réseau Pare-feu Azure dans un réseau virtuel hub, et fournir une connectivité sortante à partir de réseaux virtuels spoke appairés au hub. Pour plus d’informations, consultez Intégration du Pare-feu Azure à NAT Gateway.

Zones de disponibilité

  • Une passerelle NAT Gateway avec la référence SKU Standard peut être créée dans une zone de disponibilité spécifique ou placée dans aucune zone.

  • NAT Gateway Standard peut être isolé dans une zone spécifique lorsque vous créez des scénarios d’isolation de zones. Une fois NAT Gateway déployé, il n’est pas possible de modifier la sélection de zone.

  • NAT Gateway Standard n’est placé dans aucune zone par défaut. Une instance non zonale de NAT Gateway est placée dans une zone pour vous par Azure.

  • Une passerelle NAT Gateway avec la référence SKU StandardV2 est redondante interzone et fonctionne sur toutes les zones de disponibilité d’une région pour maintenir la connectivité lors d’une panne dans une zone.

Accès sortant par défaut

  • Pour fournir une connectivité sortante sécurisée à Internet, il est recommandé d’activer un sous-réseau privé afin d’empêcher la création d’adresses IP sortantes par défaut et d’utiliser plutôt une méthode explicite de connectivité sortante comme la passerelle NAT Gateway.

  • Certains services ne fonctionnent pas sur une machine virtuelle dans un sous-réseau privé sans méthode explicite de connectivité sortante, comme l’activation de Windows et les mises à jour de Windows. Pour activer ou mettre à jour les systèmes d’exploitation des machines virtuelles, tels que Windows, une méthode explicite de connectivité sortante est requise, comme la passerelle NAT Gateway.

  • Pour migrer l’accès sortant vers NAT Gateway à partir de l’accès sortant par défaut ou des règles de trafic sortant Load Balancer, consultez Migrer l’accès sortant vers Azure NAT Gateway.

Remarque

Le 31 mars 2026, les nouveaux réseaux virtuels utiliseront par défaut des sous-réseaux privés, ce qui signifie que l’accès sortant par défaut ne sera plus fourni par défaut et que la méthode sortante explicite devra être activée pour atteindre les points de terminaison publics sur Internet et dans Microsoft. Il est recommandé d’utiliser une forme explicite de connectivité sortante à la place, comme NAT Gateway.

NAT Gateway et ressources de base

  • NAT Gateway Standard est compatible avec les adresses IP publiques ou préfixes d’adresse IP publique Standard. NAT Gateway StandardV2 est compatible avec les adresses IP publiques ou préfixes d’adresse IP publique StandardV2 uniquement.

  • Vous ne pouvez pas utiliser NAT Gateway avec des sous-réseaux où il existe des ressources de base. Les ressources de référence SKU De base, comme Load Balancer de base ou les adresses IP publiques de base, ne sont pas compatibles avec NAT Gateway. Vous pouvez mettre à niveau Load Balancer et l’adresse IP publique de base vers le niveau Standard pour fonctionner avec NAT Gateway.

Délais d’expiration et minuteurs de connexion

  • NAT Gateway envoie un paquet de réinitialisation (RST) TCP pour tout flux de connexion qu’il ne reconnaît pas comme une connexion existante. Le flux de connexion n’existe plus si le délai d’inactivité de NAT Gateway a été atteint ou si la connexion a été fermée plus tôt.

  • Lorsque l’expéditeur du trafic sur le flux de connexion inexistant reçoit le paquet TCP RST de NAT Gateway, la connexion n’est plus utilisable.

  • Les ports SNAT ne sont pas immédiatement disponibles pour être réutilisés sur le même point de terminaison de destination après la fermeture d’une connexion. NAT Gateway place les ports SNAT dans un état de refroidissement avant qu’ils puissent être réutilisés pour se connecter au même point de terminaison de destination.

  • Les durées du minuteur de réutilisation (refroidissement) de port SNAT varient selon la façon dont la connexion se ferme. Pour en savoir plus, consultez Minuteurs de réutilisation des ports.

  • Un délai d’inactivité TCP par défaut de 4 minutes est utilisé et peut être augmenté à 120 minutes maximum. Toute activité sur un flux peut également réinitialiser le délai d’inactivité, y compris les conservations de connexion active TCP. Pour en savoir plus, consultez Minuteurs de délai d’inactivité.

  • Le trafic UDP a un minuteur de délai d’inactivité de 4 minutes qui ne peut pas être changé.

  • Le trafic UDP a un minuteur de réutilisation de port de 65 secondes pendant lesquelles le port est en attente avant de pouvoir être réutilisé sur le même point de terminaison de destination.

Tarifs et contrat de niveau de service (SLA)

NAT Gateway Standard et NAT Gateway StandardV2 sont au même prix. Pour connaître la tarification d’Azure NAT Gateway, consultez Tarification de NAT Gateway.

Pour plus d’informations sur le contrat SLA, consultez CONTRAT SLA pour Azure NAT Gateway.

Étapes suivantes

  • Last updated on