Apa itu Azure NAT Gateway?
Azure NAT Gateway adalah layanan Network Address Translation (NAT) yang dikelola sepenuhnya dan sangat tangguh. Anda dapat menggunakan Azure NAT Gateway untuk mengizinkan semua instans dalam subnet privat terhubung keluar ke internet sambil tetap sepenuhnya privat. Koneksi masuk yang tidak diminta dari internet tidak diizinkan melalui gateway NAT. Hanya paket yang tiba sebagai paket respons ke koneksi keluar yang dapat melewati gateway NAT.
NAT Gateway menyediakan fungsionalitas port SNAT dinamis untuk menskalakan konektivitas keluar secara otomatis dan mengurangi risiko kelelahan port SNAT.
Gambar: Azure NAT Gateway
Azure NAT Gateway menyediakan konektivitas keluar untuk banyak sumber daya Azure, termasuk:
Komputer virtual Azure atau set skala komputer virtual dalam subnet privat.
Kluster Azure Kubernetes Services (AKS).
Grup Kontainer Azure.
Subnet Azure Firewall.
Instans Azure App Services (aplikasi web, REST API, dan backend seluler) melalui integrasi jaringan virtual.
Azure Databricks atau dengan injeksi jaringan virtual.
Manfaat Azure NAT Gateway
Penyiapan Sederhana
Penyebaran sengaja dibuat sederhana dengan gateway NAT. Lampirkan gateway NAT ke subnet dan alamat IP publik dan mulai menyambungkan keluar ke internet segera. Tidak ada konfigurasi pemeliharaan dan perutean yang diperlukan. Lebih banyak IP atau subnet publik dapat ditambahkan nanti tanpa berpengaruh pada konfigurasi Anda yang ada.
Langkah-langkah berikut adalah contoh cara menyiapkan gateway NAT:
Buat gateway NAT nonzonal atau zonal.
Tetapkan prefiks IP publik atau alamat IP publik.
Mengonfigurasi subnet jaringan virtual untuk menggunakan gateway NAT.
Jika perlu, ubah batas waktu diam Protokol Kontrol Transmisi (TCP) (opsional). Tinjau timer sebelum Anda mengubah default.
Keamanan
NAT Gateway dibangun pada model keamanan jaringan zero trust dan aman secara default. Dengan gateway NAT, instans privat dalam subnet tidak memerlukan alamat IP publik untuk menjangkau internet. Sumber daya privat dapat menjangkau sumber eksternal di luar jaringan virtual berdasarkan penerjemahan alamat jaringan sumber (SNAT) ke alamat IP publik statis gateway NAT atau awalan. Anda dapat menyediakan sekumpulan IP yang berdampingan untuk konektivitas keluar dengan menggunakan awalan IP publik. Aturan firewall tujuan dapat dikonfigurasi berdasarkan daftar IP yang dapat diprediksi ini.
Ketahanan
Azure NAT Gateway adalah layanan terkelola dan terdistribusi sepenuhnya. NAT tidak bergantung pada instans komputasi individual seperti mesin virtual atau perangkat gateway fisik tunggal. Gateway NAT selalu memiliki beberapa domain kesalahan dan dapat mempertahankan beberapa kegagalan tanpa pemadaman layanan. Jaringan yang ditentukan perangkat lunak membuat gateway NAT sangat tangguh.
Skalabilitas
Gateway NAT diskalakan dari pembuatan. Tidak diperlukan operasi peningkatan atau peluasan skala. Azure mengelola operasi gateway NAT untuk Anda.
Lampirkan gateway NAT ke subnet untuk menyediakan konektivitas keluar untuk semua sumber daya privat di subnet tersebut. Semua subnet dalam jaringan virtual dapat menggunakan sumber daya gateway NAT yang sama. Konektivitas keluar dapat diskalakan dengan menetapkan hingga 16 alamat IP publik atau awalan IP publik ukuran /28 ke gateway NAT. Saat gateway NAT dikaitkan ke prefiks IP publik, NAT akan secara otomatis menskalakan ke jumlah alamat IP yang diperlukan untuk konektivitas keluar.
Performa
Azure NAT Gateway adalah layanan jaringan yang ditentukan perangkat lunak. Setiap gateway NAT dapat memproses hingga 50 Gbps data untuk lalu lintas keluar dan kembali.
Gateway NAT tidak memengaruhi bandwidth jaringan sumber daya komputasi Anda. Pelajari selengkapnya tentang performa gateway NAT.
Dasar-dasar Azure NAT Gateway
Konektivitas keluar
Gateway NAT adalah metode yang direkomendasikan untuk konektivitas keluar.
- Untuk memigrasikan akses keluar ke gateway NAT dari akses keluar default atau aturan keluar load balancer, lihat Memigrasikan akses keluar ke Azure NAT Gateway.
Catatan
Pada 30 September 2025, akses keluar default untuk penyebaran baru akan dihentikan. Disarankan untuk menggunakan bentuk eksplisit konektivitas keluar sebagai gantinya, seperti gateway NAT.
Egress didefinisikan pada tingkat per subnet dengan gateway NAT. Gateway NAT menggantikan tujuan Internet default subnet.
Konfigurasi perutean lalu lintas tidak diperlukan untuk menggunakan gateway NAT.
Gateway NAT memungkinkan alur dibuat dari jaringan virtual ke layanan di luar jaringan virtual Anda. Lalu lintas kembali dari Internet hanya diperbolehkan sebagai respons terhadap alur aktif. Layanan di luar jaringan virtual Anda tidak bisa memulai koneksi masuk melalui gateway NAT.
Gateway NAT lebih diutamakan daripada metode konektivitas keluar lainnya, termasuk load balancer, alamat IP publik tingkat instans, dan Azure Firewall.
Ketika gateway NAT dikonfigurasi ke jaringan virtual di mana metode konektivitas keluar yang berbeda sudah ada, gateway NAT mengambil alih semua lalu lintas keluar ke depannya. Tidak ada penurunan arus lalu lintas untuk koneksi yang ada di Azure Load Balancer. Semua koneksi baru menggunakan gateway NAT.
Sebuah gateway NAT tidak memiliki batasan yang sama dengan kehabisan port SNAT seperti halnya akses keluar default dan aturan keluar dari penyeimbang beban.
Gateway NAT hanya mendukung protokol TCP dan User Datagram Protocol (UDP). Protokol Pesan Kontrol Internet (ICMP) tidak didukung.
Rute lalu lintas
Subnet memiliki rute default sistem yang merutekan lalu lintas dengan tujuan 0.0.0.0/0 ke internet secara otomatis. Setelah gateway NAT dikonfigurasi ke subnet, komunikasi dari komputer virtual yang ada di subnet ke internet akan diprioritaskan menggunakan IP publik gateway NAT.
Saat Anda membuat rute yang ditentukan pengguna (UDR) di tabel rute subnet Anda untuk lalu lintas 0.0.0.0/0, jalur internet default untuk lalu lintas ini akan ditimpa. UDR yang mengirim lalu lintas 0.0.0.0/0 ke appliance virtual atau gateway jaringan virtual (VPN Gateway dan ExpressRoute) sebagai jenis hop berikutnya sebagai gantinya menimpa konektivitas gateway NAT ke internet.
Konektivitas keluar mengikuti urutan prioritas ini di antara berbagai metode perutean dan konektivitas keluar:
- UDR ke hop berikutnya Appliance virtual atau gateway >> jaringan virtual NAT gateway >> tingkat Instans alamat IP publik pada komputer virtual >> Load balancer aturan >> keluar rute sistem default ke internet.
Konfigurasi gateway NAT
Beberapa subnet dalam jaringan virtual yang sama dapat memiliki gateway NAT yang berbeda atau gateway NAT yang sama.
Beberapa gateway NAT tidak dapat dilampirkan ke satu subnet.
Gateway NAT tidak dapat menjangkau beberapa jaringan virtual.
Gateway NAT tidak dapat disebarkan di subnet gateway.
Sumber daya gateway NAT dapat menggunakan hingga 16 alamat IP dalam kombinasi apa pun dari jenis berikut:
Alamat IP publik.
Awalan IP publik.
Alamat IP publik dan awalan yang berasal dari awalan IP kustom (BYOIP), untuk mempelajari lebih lanjut, lihat Awalan alamat IP kustom (BYOIP).
Gateway NAT tidak dapat dikaitkan dengan alamat IP Publik IPv6 atau Prefiks IP Publik IPv6.
Gateway NAT dapat digunakan dengan Load balancer menggunakan aturan keluar untuk menyediakan konektivitas keluar tumpukan ganda. Lihat konektivitas keluar tumpukan ganda dengan gateway NAT dan Load balancer.
Gateway NAT berfungsi dengan antarmuka jaringan komputer virtual atau konfigurasi IP apa pun. Gateway NAT dapat melakukan SNAT beberapa konfigurasi IP pada antarmuka jaringan.
Gateway NAT dapat dikaitkan dengan subnet Azure Firewall di jaringan virtual hub dan menyediakan konektivitas keluar dari jaringan virtual spoke yang di-peering ke hub. Untuk mempelajari selengkapnya, lihat Integrasi Azure Firewall dengan gateway NAT.
Zona ketersediaan
Gateway NAT dapat dibuat di zona ketersediaan tertentu atau ditempatkan di tanpa zona.
Gateway NAT dapat diisolasi di zona tertentu saat Anda membuat skenario isolasi zona. Penyebaran ini disebut penyebaran zonal. Setelah gateway NAT disebarkan, pilihan zona tidak dapat diubah.
Gateway NAT ditempatkan di tanpa zona secara default. Gateway NAT non-zona ditempatkan di zona untuk Anda oleh Azure.
Gateway NAT dan sumber daya dasar
Gateway NAT kompatibel dengan alamat IP publik standar atau sumber daya awalan IP publik atau kombinasi keduanya.
Sumber daya dasar, seperti load balancer dasar atau IP publik dasar tidak kompatibel dengan gateway NAT. Gateway NAT tidak dapat digunakan dengan subnet tempat sumber daya dasar ada. Load balancer dasar dan IP publik dasar dapat ditingkatkan ke standar untuk bekerja dengan gateway NAT.
Untuk informasi selengkapnya tentang meningkatkan load balancer dari dasar ke standar, lihat Meningkatkan Azure Load Balancer dasar publik.
Untuk informasi selengkapnya tentang meningkatkan IP publik dari dasar ke standar, lihat Meningkatkan alamat IP publik.
Untuk informasi selengkapnya tentang memutakhirkan IP publik dasar yang dilampirkan ke komputer virtual dari dasar ke standar, lihat Meningkatkan IP publik dasar yang dilampirkan ke komputer virtual.
Batas waktu koneksi dan timer
Gateway NAT mengirimkan paket TCP Reset (RST) untuk alur koneksi apa pun yang tidak dikenali sebagai koneksi yang ada. Alur koneksi tidak ada lagi jika batas waktu diam gateway NAT tercapai atau koneksi ditutup sebelumnya.
Ketika pengirim lalu lintas pada alur koneksi yang tidak ada menerima paket NAT gateway TCP RST, koneksi tidak lagi dapat digunakan.
Port SNAT tidak tersedia untuk digunakan kembali ke titik akhir tujuan yang sama setelah koneksi ditutup. Gateway NAT menempatkan port SNAT dalam keadaan dingin sebelum dapat digunakan kembali untuk menyambungkan ke titik akhir tujuan yang sama.
Durasi timer penggunaan kembali port SNAT (pendinginan) bervariasi untuk lalu lintas TCP tergantung pada bagaimana koneksi ditutup. Untuk mempelajari selengkapnya, lihat Timer Penggunaan Kembali Port.
Batas waktu diam TCP default 4 menit digunakan dan dapat ditingkatkan hingga 120 menit. Aktivitas apa pun pada alur juga dapat mengatur ulang timer diam, termasuk keepalives TCP. Untuk mempelajari selengkapnya, lihat Timer Batas Waktu Diam.
Lalu lintas UDP memiliki timer batas waktu diam 4 menit yang tidak dapat diubah.
Lalu lintas UDP memiliki timer penggunaan kembali port 65 detik di mana port ditahan sebelum tersedia untuk digunakan kembali ke titik akhir tujuan yang sama.
Harga dan Perjanjian Tingkat Layanan (SLA)
Untuk harga Azure NAT Gateway, lihat Harga gateway NAT.
Untuk informasi tentang SLA, lihat SLA untuk Azure NAT Gateway.
Langkah berikutnya
Untuk informasi selengkapnya tentang membuat dan memvalidasi gateway NAT, lihat Mulai Cepat: Membuat gateway NAT menggunakan portal Azure.
Untuk melihat video tentang informasi selengkapnya tentang Azure NAT Gateway, lihat Cara mendapatkan konektivitas keluar yang lebih baik menggunakan gateway Azure NAT.
Untuk informasi selengkapnya tentang sumber daya gateway NAT, lihat Sumber daya gateway NAT.
Pelajari selengkapnya tentang Azure NAT Gateway dalam modul berikut:
Untuk informasi selengkapnya tentang opsi arsitektur untuk Azure NAT Gateway, lihat tinjauan Azure Well-Architected Framework gateway Azure NAT.