Che cos'è NAT di rete virtuale?

Rete virtuale NAT è un servizio NAT (Network Address Translation) completamente gestito e altamente resiliente. Rete virtuale NAT semplifica la connettività Internet in uscita per le reti virtuali. Se configurata in una subnet, tutta la connettività in uscita usa gli indirizzi IP pubblici statici di NAT Rete virtuale.

La figura mostra un traffico NAT che riceve il traffico dalle subnet interne e lo indirizza a un indirizzo IP pubblico (PIP) e a un prefisso IP.

Figura: NAT di rete virtuale

vantaggi nat Rete virtuale

Sicurezza

Con un gateway NAT, singole macchine virtuali o altre risorse di calcolo, non richiedono indirizzi IP pubblici e possono rimanere privati. Le risorse senza un indirizzo IP pubblico possono comunque raggiungere origini esterne all'esterno della rete virtuale con gli indirizzi IP pubblici o i prefissi statici del gateway NAT. È possibile associare un prefisso IP pubblico per assicurarsi che venga usato un set contiguo di indirizzi IP per la connessione in uscita. Le regole del firewall di destinazione possono essere configurate in base a questo elenco di indirizzi IP prevedibili.

Resilienza

Rete virtuale NAT è un servizio completamente gestito e distribuito. Non dipende da singole istanze di calcolo, ad esempio macchine virtuali o un singolo dispositivo gateway fisico. Un gateway NAT ha sempre più domini di errore e può sostenere più errori senza interruzioni del servizio. La rete definita dal software rende un gateway NAT altamente resiliente.

Scalabilità

Rete virtuale NAT viene ridimensionato in base alla creazione. Non è necessaria un'operazione di aumento o aumento del numero di istanze. Azure gestisce automaticamente il funzionamento di Rete virtuale NAT.

Una risorsa gateway NAT può essere associata a una subnet e può essere usata da tutte le risorse di calcolo in tale subnet. Tutte le subnet in una rete virtuale possono usare la stessa risorsa gateway NAT. La connettività in uscita può essere ridimensionata assegnando fino a 16 indirizzi IP al gateway NAT. Quando un gateway NAT è associato a un prefisso IP pubblico, viene ridimensionato automaticamente al numero di indirizzi IP necessari per la connessione in uscita.

Prestazioni

Rete virtuale NAT è un servizio di rete software defined. Un gateway NAT non influisce sulla larghezza di banda di rete delle risorse di calcolo. Altre informazioni sulle prestazioni del gateway NAT.

nozioni di base su NAT Rete virtuale

Connettività in uscita

  • Rete virtuale NAT (gateway NAT) è il metodo consigliato per la connettività in uscita. Il gateway NAT non presenta le stesse limitazioni dell'esaurimento delle porte SNAT, come per le regole predefinite di accesso in uscita e in uscita di un servizio di bilanciamento del carico.

  • Il gateway NAT consente la creazione di flussi dalla rete virtuale ai servizi esterni alla rete virtuale. Il traffico restituito da Internet è consentito solo in risposta a un flusso attivo. I servizi esterni alla rete virtuale non possono avviare una connessione in ingresso tramite il gateway NAT.

  • Il gateway NAT ha la precedenza su altri scenari in uscita (inclusi load balancer e indirizzi IP pubblici a livello di istanza) e sostituisce la destinazione Internet predefinita di una subnet.

  • Quando il gateway NAT è configurato in una rete virtuale in cui esiste già load balancer standard con regole in uscita, il gateway NAT assumerà il controllo di tutto il traffico in uscita in futuro. Non ci saranno cadute nel flusso del traffico per le connessioni esistenti nel servizio di bilanciamento del carico. Tutte le nuove connessioni useranno il gateway NAT.

  • Presenza di route definite dall'utente personalizzate per appliance virtuali ed ExpressRoute sostituiscono il gateway NAT per indirizzare il traffico associato a Internet (instradamento al prefisso di indirizzo 0.0.0.0/0).

  • L'ordine delle operazioni per la connettività in uscita segue questo ordine di precedenza: Route definita dall'utente dell'appliance virtuale/Indirizzi IP pubblici a livello di istanza del gateway NAT ExpressRoute >> nelle macchine >> virtuali Bilanciamento del carico regole predefinite del >> sistema predefinito >>

  • Il gateway NAT supporta solo protocolli TCP e UDP. ICMP non è supportato.

  • Il gateway NAT invierà un pacchetto TCP Rest (RST) all'endpoint di connessione che tenta di comunicare su un flusso di connessione che non esiste. Questo flusso di connessione potrebbe non esistere più se è stato raggiunto il timeout di inattività del gateway NAT o se la connessione è stata chiusa in precedenza. Quando il pacchetto TCP RST del gateway NAT viene ricevuto dall'endpoint di connessione, significa che la connessione non è più utilizzabile.

Configurazioni del gateway NAT

  • La connettività in uscita può essere definita per ogni subnet con un gateway NAT. Tutto il traffico in uscita per la subnet viene elaborato dal gateway NAT senza alcuna configurazione del cliente.

  • Un gateway NAT non può estendersi su più reti virtuali.

  • Più subnet all'interno della stessa rete virtuale possono usare gateway NAT diversi o lo stesso gateway NAT.

  • Non è possibile collegare più gateway NAT a una singola subnet.

  • Non è possibile distribuire un gateway NAT in una subnet del gateway.

  • Una risorsa gateway NAT può usare fino a 16 indirizzi IP in qualsiasi combinazione di:

    • Indirizzi IP pubblici

    • Prefissi IP pubblici

    • Per altre informazioni, vedere Prefisso di indirizzi IP pubblici e prefissi derivati da prefissi IP personalizzati (BYOIP).

  • Il gateway NAT non può essere associato a un indirizzo IP pubblico IPv6 o a un prefisso IP pubblico IPv6. Può essere associato a una subnet dual stack, ma sarà in grado di indirizzare il traffico in uscita con un indirizzo IPv4.

  • Il gateway NAT può essere usato per fornire la connettività in uscita in un modello hub-spoke quando è associato a Firewall di Azure. Il gateway NAT può essere associato a una subnet Firewall di Azure in una rete virtuale hub e fornire la connettività in uscita dalle reti virtuali spoke con peering all'hub. Per altre informazioni, vedere integrazione Firewall di Azure con il gateway NAT.

Zone di disponibilità

  • Un gateway NAT può essere creato in una zona di disponibilità specifica o inserito in "nessuna zona".

  • Il gateway NAT può essere isolato in una zona specifica quando si creano scenari di isolamento della zona. Questa distribuzione è denominata distribuzione a livello di zona. Dopo la distribuzione del gateway NAT, la selezione della zona non può essere modificata.

  • Il gateway NAT viene inserito in nessuna zona per impostazione predefinita. Un gateway NAT non di zona viene inserito in una zona per l'utente da Azure.

Gateway NAT e risorse SKU di base

  • Il gateway NAT è compatibile con gli indirizzi IP pubblici sku standard o le risorse del prefisso IP pubblico o una combinazione di entrambi. È possibile usare un prefisso di indirizzo IP pubblico direttamente oppure distribuire gli indirizzi IP pubblici del prefisso tra più risorse gateway NAT. Il gateway NAT pulirà tutto il traffico verso l'intervallo di indirizzi IP del prefisso.

  • Le risorse di base, ad esempio il servizio di bilanciamento del carico di base o gli INDIRIZZI IP pubblici di base, non sono compatibili con Rete virtuale NAT. Le risorse di base devono essere inserite in una subnet non associata a un gateway NAT. Il servizio di bilanciamento del carico basic e l'indirizzo IP pubblico di base possono essere aggiornati allo standard per l'uso con un gateway NAT

Timer del gateway NAT

  • Il gateway NAT si connette alle porte SNAT dopo la chiusura di una connessione prima che sia disponibile per riutilizzare la connessione allo stesso endpoint di destinazione tramite Internet. Le durate del timer di riutilizzo delle porte SNAT per il traffico TCP variano a seconda della modalità di chiusura della connessione. Per altre informazioni, vedere Port Reuse Timers .To learn more, see Port Reuse Timers.

  • Viene usato un timeout di inattività TCP predefinito di 4 minuti, che può essere aumentato fino a 120 minuti. Qualsiasi attività in un flusso può anche reimpostare il timer di inattività, inclusi i keep-alive TCP. Per altre informazioni, vedere Timer di timeout di inattività.

  • Il traffico UDP ha un timer di timeout di inattività di 4 minuti che non può essere modificato.

  • Il traffico UDP ha un timer di reimpostazione della porta di 65 secondi per il quale una porta è in attesa prima che sia disponibile per il riutilizzo allo stesso endpoint di destinazione.

Prezzi e contratto di servizio

Per i prezzi di NAT Rete virtuale di Azure, vedere Prezzi del gateway NAT.

Per informazioni sul contratto di servizio, vedere Contratto di servizio per Rete virtuale NAT.

Passaggi successivi