Apa itu Azure NAT Gateway?

  • Artikel

Azure NAT Gateway adalah layanan Network Address Translation (NAT) yang dikelola sepenuhnya dan sangat tangguh. Anda dapat menggunakan Azure NAT Gateway untuk mengizinkan semua instans dalam subnet privat terhubung keluar ke internet sambil tetap sepenuhnya privat. Koneksi masuk yang tidak diminta dari internet tidak diizinkan melalui gateway NAT. Hanya paket yang tiba sebagai paket respons ke koneksi keluar yang dapat melewati gateway NAT.

NAT Gateway menyediakan fungsionalitas port SNAT dinamis untuk menskalakan konektivitas keluar secara otomatis dan mengurangi risiko kelelahan port SNAT.

Gambar yang menampilkan NAT yang menerima lalu lintas dari subnet internal dan mengarahkannya ke IP publik (PIP) dan prefiks IP.

Gambar: Azure NAT Gateway

Azure NAT Gateway menyediakan konektivitas keluar untuk banyak sumber daya Azure, termasuk:

Manfaat Azure NAT Gateway

Penyiapan Sederhana

Penyebaran sengaja dibuat sederhana dengan gateway NAT. Lampirkan gateway NAT ke subnet dan alamat IP publik dan mulai menyambungkan keluar ke internet segera. Tidak ada konfigurasi pemeliharaan dan perutean yang diperlukan. Lebih banyak IP atau subnet publik dapat ditambahkan nanti tanpa berpengaruh pada konfigurasi Anda yang ada.

Langkah-langkah berikut adalah contoh cara menyiapkan gateway NAT:

  • Buat gateway NAT nonzonal atau zonal.

  • Tetapkan prefiks IP publik atau alamat IP publik.

  • Mengonfigurasi subnet jaringan virtual untuk menggunakan gateway NAT.

Jika perlu, ubah batas waktu diam Protokol Kontrol Transmisi (TCP) (opsional). Tinjau timer sebelum Anda mengubah default.

Keamanan

NAT Gateway dibangun pada model keamanan jaringan zero trust dan aman secara default. Dengan gateway NAT, instans privat dalam subnet tidak memerlukan alamat IP publik untuk menjangkau internet. Sumber daya privat dapat menjangkau sumber eksternal di luar jaringan virtual berdasarkan penerjemahan alamat jaringan sumber (SNAT) ke alamat IP publik statis gateway NAT atau awalan. Anda dapat menyediakan sekumpulan IP yang berdampingan untuk konektivitas keluar dengan menggunakan awalan IP publik. Aturan firewall tujuan dapat dikonfigurasi berdasarkan daftar IP yang dapat diprediksi ini.

Ketahanan

Azure NAT Gateway adalah layanan terkelola dan terdistribusi sepenuhnya. NAT tidak bergantung pada instans komputasi individual seperti mesin virtual atau perangkat gateway fisik tunggal. Gateway NAT selalu memiliki beberapa domain kesalahan dan dapat mempertahankan beberapa kegagalan tanpa pemadaman layanan. Jaringan yang ditentukan perangkat lunak membuat gateway NAT sangat tangguh.

Skalabilitas

Gateway NAT diskalakan dari pembuatan. Tidak diperlukan operasi peningkatan atau peluasan skala. Azure mengelola operasi gateway NAT untuk Anda.

Lampirkan gateway NAT ke subnet untuk menyediakan konektivitas keluar untuk semua sumber daya privat di subnet tersebut. Semua subnet dalam jaringan virtual dapat menggunakan sumber daya gateway NAT yang sama. Konektivitas keluar dapat diskalakan dengan menetapkan hingga 16 alamat IP publik atau awalan IP publik ukuran /28 ke gateway NAT. Saat gateway NAT dikaitkan ke prefiks IP publik, NAT akan secara otomatis menskalakan ke jumlah alamat IP yang diperlukan untuk konektivitas keluar.

Performa

Azure NAT Gateway adalah layanan jaringan yang ditentukan perangkat lunak. Setiap gateway NAT dapat memproses hingga 50 Gbps data untuk lalu lintas keluar dan kembali.

Gateway NAT tidak memengaruhi bandwidth jaringan sumber daya komputasi Anda. Pelajari selengkapnya tentang performa gateway NAT.

Dasar-dasar Azure NAT Gateway

Konektivitas keluar

  • Gateway NAT adalah metode yang direkomendasikan untuk konektivitas keluar.

Catatan

Pada 30 September 2025, akses keluar default untuk penyebaran baru akan dihentikan. Disarankan untuk menggunakan bentuk eksplisit konektivitas keluar sebagai gantinya, seperti gateway NAT.

  • Egress didefinisikan pada tingkat per subnet dengan gateway NAT. Gateway NAT menggantikan tujuan Internet default subnet.

  • Konfigurasi perutean lalu lintas tidak diperlukan untuk menggunakan gateway NAT.

  • Gateway NAT memungkinkan alur dibuat dari jaringan virtual ke layanan di luar jaringan virtual Anda. Lalu lintas kembali dari Internet hanya diperbolehkan sebagai respons terhadap alur aktif. Layanan di luar jaringan virtual Anda tidak bisa memulai koneksi masuk melalui gateway NAT.

  • Gateway NAT lebih diutamakan daripada metode konektivitas keluar lainnya, termasuk load balancer, alamat IP publik tingkat instans, dan Azure Firewall.

  • Ketika gateway NAT dikonfigurasi ke jaringan virtual di mana metode konektivitas keluar yang berbeda sudah ada, gateway NAT mengambil alih semua lalu lintas keluar ke depannya. Tidak ada penurunan arus lalu lintas untuk koneksi yang ada di Azure Load Balancer. Semua koneksi baru menggunakan gateway NAT.

  • Sebuah gateway NAT tidak memiliki batasan yang sama dengan kehabisan port SNAT seperti halnya akses keluar default dan aturan keluar dari penyeimbang beban.

  • Gateway NAT hanya mendukung protokol TCP dan User Datagram Protocol (UDP). Protokol Pesan Kontrol Internet (ICMP) tidak didukung.

Rute lalu lintas

  • Subnet memiliki rute default sistem yang merutekan lalu lintas dengan tujuan 0.0.0.0/0 ke internet secara otomatis. Setelah gateway NAT dikonfigurasi ke subnet, komunikasi dari komputer virtual yang ada di subnet ke internet akan diprioritaskan menggunakan IP publik gateway NAT.

  • Anda dapat mengambil alih gateway NAT sebagai rute default sistem subnet ke internet dengan pembuatan rute khusus yang ditentukan pengguna (UDR) untuk lalu lintas 0.0.0.0/0.

  • Kehadiran Rute yang Ditentukan Pengguna (UDR) untuk appliance virtual, VPN Gateway, dan ExpressRoute untuk lalu lintas 0.0.0.0/0 subnet menyebabkan lalu lintas dirutekan ke layanan ini alih-alih gateway NAT.

  • Konektivitas keluar mengikuti urutan prioritas ini di antara berbagai metode perutean dan konektivitas keluar:

    • UDR dengan appliance Virtual / VPN Gateway / ExpressRoute >> NAT gateway >> Alamat IP publik tingkat Instans pada komputer virtual >> Load balancer aturan >> keluar rute sistem default ke internet.

Konfigurasi gateway NAT

  • Beberapa subnet dalam jaringan virtual yang sama dapat memiliki gateway NAT yang berbeda atau gateway NAT yang sama.

  • Beberapa gateway NAT tidak dapat dilampirkan ke satu subnet.

  • Gateway NAT tidak dapat menjangkau beberapa jaringan virtual.

  • Gateway NAT tidak dapat disebarkan di subnet gateway.

  • Sumber daya gateway NAT dapat menggunakan hingga 16 alamat IP dalam kombinasi apa pun dari jenis berikut:

    • Alamat IP publik.

    • Awalan IP publik.

    • Alamat IP publik dan awalan yang berasal dari awalan IP kustom (BYOIP), untuk mempelajari lebih lanjut, lihat Awalan alamat IP kustom (BYOIP).

  • Gateway NAT tidak dapat dikaitkan dengan alamat IP Publik IPv6 atau Prefiks IP Publik IPv6.

  • Gateway NAT dapat digunakan dengan Load balancer menggunakan aturan keluar untuk menyediakan konektivitas keluar tumpukan ganda. Lihat konektivitas keluar tumpukan ganda dengan gateway NAT dan Load balancer.

  • Gateway NAT berfungsi dengan antarmuka jaringan komputer virtual atau konfigurasi IP apa pun. Gateway NAT dapat melakukan SNAT beberapa konfigurasi IP pada antarmuka jaringan.

  • Gateway NAT dapat dikaitkan dengan subnet Azure Firewall di jaringan virtual hub dan menyediakan konektivitas keluar dari jaringan virtual spoke yang di-peering ke hub. Untuk mempelajari selengkapnya, lihat Integrasi Azure Firewall dengan gateway NAT.

Zona ketersediaan

  • Gateway NAT dapat dibuat di zona ketersediaan tertentu atau ditempatkan di tanpa zona.

  • Gateway NAT dapat diisolasi di zona tertentu saat Anda membuat skenario isolasi zona. Penyebaran ini disebut penyebaran zonal. Setelah gateway NAT disebarkan, pilihan zona tidak dapat diubah.

  • Gateway NAT ditempatkan di tanpa zona secara default. Gateway NAT non-zona ditempatkan di zona untuk Anda oleh Azure.

Gateway NAT dan sumber daya dasar

  • Gateway NAT kompatibel dengan alamat IP publik standar atau sumber daya awalan IP publik atau kombinasi keduanya.

  • Sumber daya dasar, seperti load balancer dasar atau IP publik dasar tidak kompatibel dengan gateway NAT. Gateway NAT tidak dapat digunakan dengan subnet tempat sumber daya dasar ada. Load balancer dasar dan IP publik dasar dapat ditingkatkan ke standar untuk bekerja dengan gateway NAT.

batas waktu dan timer Koneksi ion

  • Gateway NAT mengirimkan paket TCP Reset (RST) untuk alur koneksi apa pun yang tidak dikenali sebagai koneksi yang ada. Alur koneksi tidak ada lagi jika batas waktu diam gateway NAT tercapai atau koneksi ditutup sebelumnya.

  • Ketika pengirim lalu lintas pada alur koneksi yang tidak ada menerima paket NAT gateway TCP RST, koneksi tidak lagi dapat digunakan.

  • Port SNAT tidak tersedia untuk digunakan kembali ke titik akhir tujuan yang sama setelah koneksi ditutup. Gateway NAT menempatkan port SNAT dalam keadaan dingin sebelum dapat digunakan kembali untuk menyambungkan ke titik akhir tujuan yang sama.

  • Durasi timer penggunaan kembali port SNAT (pendinginan) bervariasi untuk lalu lintas TCP tergantung pada bagaimana koneksi ditutup. Untuk mempelajari selengkapnya, lihat Timer Penggunaan Kembali Port.

  • Batas waktu diam TCP default 4 menit digunakan dan dapat ditingkatkan hingga 120 menit. Aktivitas apa pun pada alur juga dapat mengatur ulang timer diam, termasuk keepalives TCP. Untuk mempelajari selengkapnya, lihat Timer Batas Waktu Diam.

  • Lalu lintas UDP memiliki timer batas waktu diam 4 menit yang tidak dapat diubah.

  • Lalu lintas UDP memiliki timer penggunaan kembali port 65 detik di mana port ditahan sebelum tersedia untuk digunakan kembali ke titik akhir tujuan yang sama.

Harga dan Perjanjian Tingkat Layanan (SLA)

Untuk harga Azure NAT Gateway, lihat Harga gateway NAT.

Untuk informasi tentang SLA, lihat SLA untuk Azure NAT Gateway.

Langkah berikutnya