Mi az a Azure NAT Gateway?

Azure NAT Gateway egy teljes körűen felügyelt és rendkívül rugalmas hálózati címfordítási (NAT) szolgáltatás. A Azure NAT Gateway használatával lehetővé teszi, hogy az alhálózat összes példánya kimenő kapcsolatot létesítsen az internethez, miközben teljes mértékben privát marad. A NAT-átjárók nem engedélyezik a kéretlen bejövő kapcsolatokat az internetről. A NAT-átjárón csak azok a csomagok haladhatnak át, amelyek válaszcsomagként érkeznek egy kimenő kapcsolatra.

Azure NAT Gateway dinamikusan lefoglalja a biztonságos NAT-portokat a kimenő kapcsolatok automatikus skálázásához, és minimalizálja az SNAT-portok kimerülésének kockázatát.

Azure NAT Gateway két termékváltozatban érhető el:

• A Standard zonal (egyetlen rendelkezésre állási zónában van üzembe helyezve), és skálázható kimenő kapcsolatot biztosít egyetlen virtuális hálózat alhálózatai számára.

• A StandardV2 zónaredundáns, és nagyobb átviteli sebességet biztosít, mint a Standard termékváltozat, az IPv6-támogatás és a folyamatnapló támogatása.

Standard termékváltozat

A standard NAT-átjárókat társíthatja ugyanazon virtuális hálózat alhálózataihoz, hogy kimenő kapcsolatot biztosítson az internethez. A standard NAT-átjárók egyetlen rendelkezésre állási zónán kívül működnek.

StandardV2 termékváltozat

A Azure NAT Gateway StandardV2 termékváltozata a standard termékváltozat összes funkcióját biztosítja, például a dinamikus SNAT-portok lefoglalását és a virtuális hálózaton belüli alhálózatok biztonságos kimenő kapcsolatát. Emellett a StandardV2 zónaredundáns, ami azt jelenti, hogy egy régió összes zónájából biztosít kimenő kapcsolatot egyetlen zóna helyett.

A StandardV2 fő képességei

• Zónaredundancia: Egy régió összes rendelkezésre állási zónájában működik, hogy egyetlen zónahiba esetén fenntartsa a kapcsolatot.
• IPv6-támogatás: Támogatja az IPv4 és az IPv6 nyilvános IP-címeket és előtagokat a kimenő kapcsolatokhoz.
• Nagyobb átviteli sebesség: NAT-átjárónként akár 100 Gb/s adatátviteli sebességet biztosít, szemben a standard NAT-átjárók esetében 50 Gb/s sebességgel.
• Folyamatnapló-támogatás: IP-alapú forgalmi adatokat biztosít a kimenő forgalom figyeléséhez és elemzéséhez.

A StandardV2 NAT-átjáró üzembe helyezéséről további információt a StandardV2 NAT-átjáró létrehozása című témakörben talál.

A StandardV2 fő korlátozásai

• A StandardV2 termékváltozathoz standardV2 nyilvános IP-címek vagy előtagok szükségesek. A StandardV2 nem támogatja a standard nyilvános IP-címeket.

• A Standard termékváltozat nem frissíthető StandardV2 termékváltozatra. Létre kell hoznia egy StandardV2 NAT-átjárót az alhálózat standard NAT-átjárójának cseréjéhez.

• A következő régiók nem támogatják a StandardV2 NAT-átjárókat:

  • Kelet-Kanada
  • Chile középső régiója
  • Indonézia középső régiója
  • Izrael északnyugati régiója
  • Malajzia nyugati régiója
  • Közép-Katar
  • Dél-Svédország
  • Nyugat-India

A StandardV2 ismert problémái

• A terheléselosztó kimenő szabályait használó kimenő IPv6-forgalom megszakad, ha StandardV2 NAT-átjárót társít egy alhálózathoz. Ha IPv4- és IPv6-kimenő kapcsolatot is igényel, használja a következő lehetőségeket:

  • Terheléselosztó kimenő szabályai IPv4- és IPv6-forgalom esetén
  • Standard NAT-átjáró az IPv4-forgalom számára és terheléselosztó kimenő szabályok az IPv6-forgalom esetében.

• A terheléselosztót, Azure Firewall vagy virtuálisgép-példányszintű nyilvános IP-címeket használó kimenő kapcsolatok megszakadhatnak, amikor StandardV2 NAT-átjárót ad hozzá egy alhálózathoz. Minden új nettó kimenő kapcsolat a StandardV2 NAT-átjárót használja.

A Azure NAT Gateway StandardV2 termékváltozatának ismert problémáiról és korlátairól további információt a Known korlátozások című témakörben talál.

Azure NAT Gateway előnyök

Egyszerű beállítás

Az Azure NAT Gateway telepítések szándékosan egyszerűek. Csatoljon NAT-átjárót egy alhálózathoz és egy nyilvános IP-címhez, és azonnal kezdjen csatlakozni az internethez. Nincs szükség karbantartásra vagy útválasztási konfigurációra. Később további nyilvános IP-címeket vagy alhálózatokat adhat hozzá a meglévő konfiguráció befolyásolása nélkül.

Az alábbi lépések bemutatják a NAT-átjáró beállításának egy példáját:

1. Nem zonális vagy zonális NAT-átjáró létrehozása.

2. Nyilvános IP-cím vagy nyilvános IP-előtag hozzárendelése.

3. Alhálózat konfigurálása a NAT-átjáró használatára.

Szükség esetén módosítsa a Transmission Control Protocol (TCP) inaktív időkorlátját (opcionális). Az alapértelmezett beállítás módosítása előtt tekintse át az időzítőket .

Biztonság

Azure NAT Gateway a Teljes felügyelet hálózati biztonsági modellre épül. Az Azure NAT Gateway használatakor az alhálózaton belüli privát példányoknak nincs szükségük nyilvános IP-címekre az internet eléréséhez. A magánerőforrások elérhetik a virtuális hálózaton kívüli külső forrásokat az Azure NAT Gateway statikus nyilvános IP-címekhez vagy előtagokhoz használt SNAT-jával.

Nyilvános IP-előtag használatával egyidejű IP-címkészletet biztosíthat a kimenő kapcsolatokhoz. Ezen kiszámítható IP-lista alapján konfigurálhatja a cél tűzfalszabályokat.

Tartósság

Azure NAT Gateway egy teljes körűen felügyelt és elosztott szolgáltatás. Ez nem függ az egyes számítási példányoktól, például virtuális gépektől vagy egyetlen fizikai átjáróeszköztől. Egy NAT-átjáró mindig több hibatűrő tartománnyal rendelkezik, és képes ellenállni több hibának szolgáltatáskimaradások nélkül. A szoftveralapú hálózatkezelés rendkívül rugalmassá teszi a NAT-átjárót.

Méretezhetőség

A NAT-átjárók a létrehozástól kezdve felskálázhatók. Nincs szükség ramp-up vagy horizontális felskálázási műveletre. Azure kezeli a NAT-átjárók működését.

Csatoljon egy NAT-átjárót egy alhálózathoz, hogy kimenő kapcsolatot biztosítson az adott alhálózat összes magánerőforrásához. A virtuális hálózat összes alhálózata ugyanazt a NAT-átjáró-erőforrást használhatja. A kimenő kapcsolatokat skálázhatja úgy, hogy legfeljebb 16 nyilvános IP-címet rendel egy NAT-átjáróhoz. Ha egy NAT-átjárót nyilvános IP-előtaggal társít, az automatikusan skálázódik a kimenő forgalomhoz szükséges IP-címek számának megfelelően.

Teljesítmény

Azure NAT Gateway egy szoftveralapú hálózatkezelési szolgáltatás. Minden NAT-átjáró legfeljebb 50 Gb/s mennyiségű adatot képes feldolgozni a kimenő és a visszatérési forgalomhoz.

A NAT-átjárók nem befolyásolják a számítási erőforrások hálózati sávszélességét. További információ: Teljesítmény.

Azure NAT Gateway alapismeretek

Azure NAT Gateway biztonságos, skálázható kimenő kapcsolatot biztosít a virtuális hálózat erőforrásaihoz.

Kimenő kapcsolat

• Azure NAT Gateway a kimenő kapcsolatokhoz ajánlott módszer.

  Ha a NAT-átjáróhoz való kimenő hozzáférést az alapértelmezett kimenő hozzáférési vagy terheléselosztó kimenő szabályokból szeretné migrálni, tekintse meg Migrate outbound access to Azure NAT Gateway.

  Megjegyzés

  2026. március 31-étől az új virtuális hálózatok alapértelmezés szerint privát alhálózatokat használnak. Alapértelmezés szerint nincs megadva az alapértelmezett kimenő hozzáférés. Használja inkább a kimenő kapcsolatok explicit formáját, például Azure NAT Gateway.

• Azure NAT Gateway a kimenő kapcsolatot alhálózati szinten biztosítja. Az alhálózat alapértelmezett internetes célhelyét váltja fel a kimenő kapcsolat biztosításához.

• Azure NAT Gateway nem igényel útválasztási konfigurációt egy alhálózati útvonaltáblán. Miután egy NAT-átjárót csatolt egy alhálózathoz, azonnal kimenő kapcsolatot biztosít.

• Azure NAT Gateway lehetővé teszi az adatforgalom létrehozását a virtuális hálózatról a külső szolgáltatások felé. Az internetes forgalom visszaszolgáltatása csak aktív folyamatra válaszul engedélyezett. A virtuális hálózaton kívüli szolgáltatások nem kezdeményezhetnek bejövő kapcsolatot NAT-átjárón keresztül.

• Azure NAT Gateway elsőbbséget élvez más kimenő kapcsolati módszerekkel szemben, beleértve a terheléselosztót, a példányszintű nyilvános IP-címeket és a Azure Firewall.

• Azure NAT Gateway elsőbbséget élvez a virtuális hálózaton konfigurált egyéb explicit kimenő metódusokkal szemben az összes új kapcsolat esetében. A forgalom nem csökken a meglévő kapcsolatokban, amelyek más explicit kimenő kapcsolati módszereket használnak.

• Azure NAT Gateway nem rendelkezik az alapértelmezett kimenő hozzáférés és egy terheléselosztó kimenő szabályainak SNAT-portkimerülési korlátozásaival.

• Azure NAT Gateway csak a TCP és a User Datagram Protocol (UDP) protokollokat támogatja. Az Internet Control Message Protocol (ICMP) nem támogatott.

• Azure NAT Gateway támogatja Azure App Service-példányokat (webalkalmazások, REST API-k és mobil háttérrendszerek) virtual hálózati integráción keresztül.

• Az alhálózat egy alapértelmezett rendszerútvonallal rendelkezik, amely a 0.0.0.0/0 célhelyet tartalmazó forgalmat automatikusan az internetre irányítja. Miután konfigurált egy NAT-átjárót az alhálózathoz, az alhálózat virtuális gépei a NAT-átjáró nyilvános IP-címével kommunikálnak az internettel.

• Amikor létrehoz egy felhasználó által definiált útvonalat (UDR) az alhálózati útvonaltáblában a 0.0.0.0/0 forgalomhoz, felülbírálja a forgalom alapértelmezett internetes útvonalát. Egy UDR, amely 0.0.0.0/0 forgalmat küld egy virtuális berendezésnek vagy egy virtuális hálózati átjárónak (Azure VPN Gateway és Azure ExpressRoute) a következő ugrási típusként, ehelyett felülírja a NAT-átjáró internetkapcsolatát.

  A folyamat a következő:

  UDR a következő ugrásos virtuális berendezéshez vagy a virtuális hálózati átjáró >> NAT-átjáró >> példányszintű nyilvános IP-címéhez egy virtuális gép >> terheléselosztó kimenő szabályainak >> alapértelmezett internetes rendszerútvonalán.

NAT-átjáró konfigurációi

• Ugyanazon a virtuális hálózaton belül több alhálózat is használhat különböző NAT-átjárókat vagy ugyanazokat a NAT-átjárókat.

• Egyetlen alhálózathoz nem csatolhat több NAT-átjárót.

• A NAT-átjárók nem képesek több virtuális hálózatra is kiterjedni. Nat-átjáróval azonban kimenő kapcsolatot biztosíthat küllős modellben. További információ: Azure NAT Gateway küllős oktatóanyag.

• A standard NAT-átjáró-erőforrások legfeljebb 16 IPv4 nyilvános IP-címet használhatnak. A StandardV2 NAT-átjáróerőforrás legfeljebb 16 IPv4- és 16 nyilvános IPv6-IP-címet használhat.

• Nat-átjáró nem helyezhető üzembe átjáróalhálózaton vagy felügyelt SQL-példányokat tartalmazó alhálózaton.

• Azure NAT Gateway bármilyen virtuálisgép-hálózati adapterrel vagy IP-konfigurációval működik. A NAT-átjárók több IP-konfigurációhoz is használhatják az SNAT-t egy hálózati adapteren.

• Központi virtuális hálózatban egy Azure Firewall alhálózathoz társíthat egy NAT-átjárót, és kimenő kapcsolatot biztosíthat a központtal összekapcsolt küllős virtuális hálózatok számára. További információért lásd az Azure Firewall és Azure NAT Gateway integrációjáról szóló cikket.

Rendelkezésreállási zónák

• Létrehozhat egy standard NAT-átjárót egy adott rendelkezésre állási zónában, vagy elhelyezheti a No zónában.

• Egy szabványos NAT-átjárót különíthet el egy adott zónában, amikor létrehoz egy zonális NAT-átjárót. A NAT-átjáró üzembe helyezése után nem módosíthatja a zónakijelölést.

• Alapértelmezés szerint a standard NAT-átjáró nincs zónában van elhelyezve. Azure egy nonzonális NAT-átjárót helyez el egy zónába.

• A StandardV2 NAT-átjáró zónaredundáns, és egy régió összes rendelkezésre állási zónájában működik, hogy egyetlen zónahiba során fenntartsa a kapcsolatot.

Alapértelmezett kimenő hozzáférés

• Az internethez való biztonságos kimenő kapcsolat biztosításához engedélyezze a privát alhálózatot. Ezzel a módszerrel megakadályozhatja az alapértelmezett kimenő IP-címek létrehozását, és ehelyett a kimenő kapcsolatok explicit módszerét használja, például egy NAT-átjárót.

• Bizonyos szolgáltatások nem működnek egy privát alhálózat virtuális gépén a kimenő kapcsolat explicit módszere nélkül, például Windows Aktiválás és Windows Frissítések. A virtuálisgép-operációs rendszerek( például a Windows) aktiválásához vagy frissítéséhez explicit módon kell csatlakozni a kimenő kapcsolatokhoz, például NAT-átjáróhoz.

• Ha a NAT-átjáróhoz való kimenő hozzáférést az alapértelmezett kimenő hozzáférési vagy terheléselosztó kimenő szabályokból szeretné migrálni, tekintse meg Migrate outbound access to Azure NAT Gateway.

Megjegyzés

2026. március 31-étől az új virtuális hálózatok alapértelmezés szerint privát alhálózatokat használnak. Alapértelmezés szerint az alapértelmezett kimenő hozzáférés már nem érhető el. Engedélyeznie kell egy explicit kimenő metódust a nyilvános végpontok internetes és Microsoft belüli eléréséhez. Használja inkább a kimenő kapcsolatok explicit formáját, például egy NAT-átjárót.

Azure NAT Gateway és alapszintű erőforrások

• A standard NAT-átjáró szabványos nyilvános IP-címekkel vagy nyilvános IP-előtagokkal működik. A StandardV2 NAT-átjárók csak StandardV2 nyilvános IP-címekkel vagy nyilvános IP-előtagokkal működnek.

• A Azure NAT Gateway nem használható olyan alhálózatokkal, amelyek alapszintű erőforrásokkal rendelkeznek. Az alapszintű termékváltozat erőforrásai, mint például az alapszintű terheléselosztó vagy az alapszintű nyilvános IP-címek, nem működnek az Azure NAT Gateway-jel. Az alapszintű terheléselosztót és az alapszintű nyilvános IP-címet standardra frissítheti a NAT-átjárók használatához.

  • A terheléselosztó alapszintűről standardra való frissítéséről további információt az Alapszintű terheléselosztó frissítése című témakörben talál.

  • A nyilvános IP-címek alapszintűről standardra való frissítéséről további információt a nyilvános IP-címek frissítése című témakörben talál.

  • A virtuális géphez csatolt nyilvános IP-címek alapszintűről standardra való frissítéséről további információt a virtuális géphez csatolt egyszerű nyilvános IP-cím frissítése című témakörben talál.

Kapcsolat időtúllépései és időzítői

• Azure NAT Gateway tcp reset (RST) csomagot küld minden olyan kapcsolati folyamathoz, amelyet nem ismer fel meglévő kapcsolatként. A kapcsolati folyamat már nem létezik, ha a Azure NAT Gateway tétlen időtúllépést ér el, vagy a kapcsolatot korábban lezárták.

• Ha a nem létező kapcsolati folyamat forgalmának feladója megkapja a Azure NAT Gateway TCP RST-csomagot, a kapcsolat már nem használható.

• Az SNAT-portok nem érhetők el újból ugyanarra a célvégpontra a kapcsolat bezárása után. Azure NAT Gateway az SNAT-portokat hűtőállapotba helyezi, mielőtt újra felhasználhatók lennének ugyanahhoz a célvégponthoz való csatlakozáshoz.

• Az SNAT-portok újrahasználati (cooldown) időzítőjének időtartama a TCP-forgalomtól függően változhat, attól függően, hogy a kapcsolat hogyan záródik be. További információ: Port újrafelhasználási időzítők.

• A Azure NAT Gateway TCP tétlen időtúllépési időzítője alapértelmezés szerint 4 perc, de akár 120 percre is növelhető. A folyam bármely tevékenysége alaphelyzetbe állíthatja az üresjárati időzítőt, beleértve a TCP-keepalive-okat is. További információért lásd: Tétlenségi időzítők.

• Az üresjárati időtúllépési időzítő 4 perces az UDP-forgalom esetében, és nem módosítható.

• Az UDP-forgalom port-újrafelhasználási időzítője 65 másodperc. Ebben az időtartamban egy port foglalás alatt van, mielőtt újra felhasználható lenne ugyanarra a célvégpontra.

Díjszabás és SLA

A standard és StandardV2 NAT-átjárók ára megegyezik. További információkért tekintse meg az Azure NAT Gateway díjszabását.

A szolgáltatási szintmegállapodással (SLA) kapcsolatos információkért tekintse meg a Microsoft online szolgáltatásokra vonatkozó SLA-kat.

Kapcsolódó tartalom

• A NAT-átjárók létrehozásáról és érvényesítéséről további információt a Gyorsútmutató: NAT-átjáró létrehozása az Azure portál használatával talál.

• Az Azure NAT Gateway-ről szóló további információkat tartalmazó videó megtekintéséhez lásd a következőt: Hogyan lehet jobb kimenő kapcsolatot elérni az Azure NAT Gateway használatával.

• A NAT-átjáró erőforrásával kapcsolatos további információkért lásd a NAT-átjáró erőforrását.