Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure NAT Gateway to w pełni zarządzana i wysoce odporna usługa translatora adresów sieciowych (NAT). Azure NAT Gateway umożliwia wszystkim instancjom w podsieci prywatnej nawiązywanie połączeń wychodzących do internetu, zachowując pełną prywatność. Niechciane połączenia przychodzące z Internetu nie są dozwolone za pośrednictwem bramy translatora adresów sieciowych. Tylko pakiety odbierane jako pakiety odpowiedzi do połączenia wychodzącego mogą przechodzić przez bramę translatora adresów sieciowych.
Brama NAT zapewnia dynamiczną funkcjonalność portów SNAT, aby automatycznie rozszerzać łączność wychodzącą i zmniejszać ryzyko wyczerpania portów SNAT.
Rysunek: Brama translatora adresów sieciowych platformy Azure
Usługa Azure NAT Gateway zapewnia łączność wychodzącą dla wielu zasobów platformy Azure, w tym:
Maszyny wirtualne platformy Azure lub zestawy skalowania maszyn wirtualnych w podsieci prywatnej.
Klastry usług Azure Kubernetes Services (AKS).
Grupa kontenerów platformy Azure.
Aplikacje funkcji platformy Azure.
Wystąpienia usług Azure App Services (aplikacje internetowe, interfejsy API REST i zaplecza dla urządzeń przenośnych) za pośrednictwem integracji z siecią wirtualną.
Korzyści z usługi Azure NAT Gateway
Prosta konfiguracja
Wdrożenia są celowo proste w przypadku bramy translatora adresów sieciowych. Dołącz bramę translatora adresów sieciowych do podsieci i publicznego adresu IP i zacznij od razu łączyć się wychodzące z Internetem. Nie wymaga konserwacji ani konfiguracji routingu. Więcej publicznych adresów IP lub podsieci można dodać później bez wpływu na istniejącą konfigurację.
Poniżej przedstawiono przykład konfigurowania bramy translatora adresów sieciowych:
Utwórz bramę translatora adresów sieciowych innych niż strefowe lub strefowe.
Przypisz publiczny adres IP lub prefiks publicznego adresu IP.
Skonfiguruj podsieć sieci wirtualnej do używania bramy translatora adresów sieciowych.
W razie potrzeby zmodyfikuj limit czasu bezczynności protokołu Transmission Control Protocol (TCP) (opcjonalnie). Przejrzyj czasomierze przed zmianą wartości domyślnej.
Zabezpieczenia
Brama NAT jest oparta na modelu zabezpieczeń sieci Zero Trust i z założenia jest bezpieczna. W przypadku bramy translatora adresów sieciowych wystąpienia prywatne w podsieci nie wymagają publicznych adresów IP, aby uzyskać dostęp do Internetu. Zasoby prywatne mogą uzyskiwać dostęp do źródeł zewnętrznych poza siecią wirtualną przez tłumaczenie adresów sieciowych (SNAT) na statyczne publiczne adresy IP lub prefiksy usługi NAT Gateway. Możesz podać ciągły zestaw adresów IP dla łączności wychodzącej przy użyciu prefiksu publicznego adresu IP. Reguły zapory docelowej można skonfigurować na podstawie tej przewidywalnej listy adresów IP.
Odporność
Usługa Azure NAT Gateway to w pełni zarządzana i rozproszona usługa. Nie zależy to od poszczególnych instancji obliczeniowych, takich jak maszyny wirtualne lub pojedyncze fizyczne urządzenie bramy. Brama translatora adresów sieciowych zawsze ma wiele domen błędów i może obsługiwać wiele awarii bez awarii usługi. Sieć zdefiniowana programowo sprawia, że brama translatora adresów sieciowych jest wysoce odporna.
Skalowalność
Brama translatora adresów sieciowych jest skalowana w poziomie od momentu utworzenia. Nie jest wymagana operacja zwiększania lub skalowania poziomego. Platforma Azure zarządza operacją bramy translatora adresów sieciowych.
Dołącz bramę translatora adresów sieciowych do podsieci, aby zapewnić łączność wychodzącą dla wszystkich zasobów prywatnych w tej podsieci. Wszystkie podsieci w sieci wirtualnej mogą używać tego samego zasobu bramy translatora adresów sieciowych. Łączność wychodząca można skalować w poziomie przez przypisanie maksymalnie 16 publicznych adresów IP lub prefiks publicznego adresu IP o rozmiarze /28 do bramy translatora adresów sieciowych. Gdy brama translatora adresów sieciowych jest skojarzona z prefiksem publicznego adresu IP, jest automatycznie skalowana do liczby adresów IP wymaganych do ruchu wychodzącego.
Wydajność
Azure NAT Gateway to usługa sieciowa zdefiniowana programowo. Każda brama translatora adresów sieciowych może przetwarzać do 50 Gb/s danych zarówno dla ruchu wychodzącego, jak i zwrotnego.
Brama translatora adresów sieciowych nie ma wpływu na przepustowość sieci zasobów obliczeniowych. Dowiedz się więcej o wydajności bramy translatora adresów sieciowych.
Podstawy usługi Azure NAT Gateway
Łączność wychodząca
Brama translatora adresów sieciowych jest zalecaną metodą łączności wychodzącej.
- Aby przeprowadzić migrację dostępu wychodzącego do bramy translatora adresów sieciowych z domyślnego dostępu wychodzącego lub reguł ruchu wychodzącego usługi Load Balancer, zobacz Migrowanie dostępu wychodzącego do usługi Azure NAT Gateway.
Uwaga
30 września 2025 r. nowe sieci wirtualne będą domyślnie korzystać z podsieci prywatnych, co oznacza, że domyślny dostęp wychodzący nie będzie już domyślnie udostępniany, a jawna metoda ruchu wychodzącego musi być włączona, aby uzyskać dostęp do publicznych punktów końcowych w Internecie i w firmie Microsoft. Zaleca się użycie jawnej formy łączności wychodzącej, takiej jak brama translatora adresów sieciowych.
Brama translatora adresów sieciowych zapewnia łączność wychodzącą na poziomie podsieci. Brama translatora adresów sieciowych zastępuje domyślną docelową lokalizację internetową podsieci w celu zapewnienia łączności wychodzącej.
Brama translatora adresów sieciowych nie wymaga żadnych konfiguracji routingu w tabeli tras podsieci. Po dołączeniu bramy translatora adresów sieciowych do podsieci od razu zapewnia ona łączność wychodzącą.
Brama translatora adresów sieciowych umożliwia tworzenie przepływów z sieci wirtualnej do usług spoza sieci wirtualnej. Ruch zwrotny z Internetu jest dozwolony tylko w odpowiedzi na aktywny przepływ. Usługi spoza sieci wirtualnej nie mogą inicjować połączenia przychodzącego za pośrednictwem bramy translatora adresów sieciowych.
Brama translatora adresów sieciowych ma pierwszeństwo przed innymi metodami łączności wychodzącej, w tym modułem równoważenia obciążenia, publicznymi adresami IP na poziomie wystąpienia i usługą Azure Firewall.
Brama translatora adresów sieciowych ma priorytet nad innymi jawnymi metodami ruchu wychodzącego skonfigurowanymi w sieci wirtualnej dla wszystkich nowych połączeń. Brak spadków przepływu ruchu dla istniejących połączeń przy użyciu innych jawnych metod łączności wychodzącej.
Brama translatora adresów sieciowych nie ma tych samych ograniczeń wyczerpania portów SNAT, co domyślne reguły dostępu wychodzącego i wychodzącego modułu równoważenia obciążenia.
Brama translatora adresów sieciowych obsługuje tylko protokoły TCP i User Datagram Protocol (UDP). Protokół ICMP (Internet Control Message Protocol) nie jest obsługiwany.
Trasy ruchu
Podsieć ma domyślną trasę systemową, która automatycznie kieruje ruch z miejscem docelowym 0.0.0.0/0 do Internetu. Po skonfigurowaniu bramy translatora adresów sieciowych do podsieci maszyn wirtualnych w podsieci komunikują się z Internetem przy użyciu publicznego adresu IP bramy translatora adresów sieciowych.
Podczas tworzenia trasy zdefiniowanej przez użytkownika (UDR) w tabeli tras podsieci dla ruchu 0.0.0.0/0, domyślna ścieżka internetowa dla tego ruchu jest zastępowana. Trasa zdefiniowana przez użytkownika, która wysyła ruch 0.0.0.0/0 do urządzenia wirtualnego lub bramy sieci wirtualnej (VPN Gateway i ExpressRoute) jako typ następnego przeskoku, zastępuje łączność bramy translatora adresów sieciowych z Internetem.
Łączność wychodząca jest zgodna z tą kolejnością pierwszeństwa między różnymi metodami routingu i łączności wychodzącej:
- Trasa zdefiniowana przez użytkownika do następnego przeskoku Wirtualne urządzenie lub brama sieci wirtualnej TRANSLATOR adresów IP na poziomie wystąpienia bramy >> translatora >> adresów sieciowych na poziomie wystąpienia maszyny >> wirtualnej reguły >> ruchu wychodzącego modułu równoważenia obciążenia domyślnej trasy systemowej do Internetu.
Konfiguracje bramy translatora adresów sieciowych
Wiele podsieci w tej samej sieci wirtualnej może używać różnych bram translatora adresów sieciowych lub tej samej bramy translatora adresów sieciowych.
Nie można dołączyć wielu bram translatora adresów sieciowych do jednej podsieci.
Brama translatora adresów sieciowych nie może obejmować wielu sieci wirtualnych. Brama translatora adresów sieciowych może jednak służyć do zapewnienia łączności wychodzącej w modelu piasty i szprych. Aby uzyskać więcej informacji, zobacz samouczek bramy translatora adresów sieciowych i szprych.
Bramy translatora adresów sieciowych nie można wdrożyć w podsieci bramy.
Zasób bramy translatora adresów sieciowych może używać maksymalnie 16 adresów IP w dowolnej kombinacji następujących typów:
Publiczne adresy IP.
Prefiksy publicznych adresów IP.
Publiczne adresy IP i prefiksy pochodzące z niestandardowych prefiksów IP (BYOIP), aby dowiedzieć się więcej, zobacz Niestandardowy prefiks adresu IP (BYOIP) .
Brama translatora adresów sieciowych nie może być skojarzona z publicznym adresem IP IPv6 ani prefiksem publicznego adresu IP IPv6.
Brama translatora adresów sieciowych może być używana z usługą Load Balancer przy użyciu reguł ruchu wychodzącego, aby zapewnić łączność wychodzącą z dwoma stosami. Zobacz łączność wychodzącą z dwoma stosami za pomocą bramy translatora adresów sieciowych i modułu równoważenia obciążenia.
Brama translatora adresów sieciowych współdziała z dowolnym interfejsem sieciowym maszyny wirtualnej lub konfiguracją adresu IP. Brama translatora adresów sieciowych może wielokrotnie konfigurować adresy IP w interfejsie sieciowym.
Brama translatora adresów sieciowych może być skojarzona z podsiecią usługi Azure Firewall w sieci wirtualnej piasty i zapewnić łączność wychodzącą ze szprych wirtualnych sieci równorzędnych do koncentratora. Aby dowiedzieć się więcej, zobacz Integracja usługi Azure Firewall z bramą translatora adresów sieciowych.
Strefy dostępności
Bramę translatora adresów sieciowych można utworzyć w określonej strefie dostępności lub umieścić w żadnej strefie.
Brama translatora adresów sieciowych może być izolowana w określonej strefie podczas tworzenia scenariuszy izolacji strefy. Po wdrożeniu bramy translatora adresów sieciowych nie można zmienić wyboru strefy.
Brama translatora adresów sieciowych nie jest domyślnie umieszczana w żadnej strefie . Brama translatora adresów sieciowych niezonowa jest umieszczana w strefie dla Ciebie przez platformę Azure.
Brama translatora adresów sieciowych i podstawowe zasoby
Brama translatora adresów sieciowych jest zgodna ze standardowymi publicznymi adresami IP lub prefiksami publicznych adresów IP lub kombinacją obu tych adresów.
Bramy translatora adresów sieciowych nie można używać z podsieciami, w których istnieją podstawowe zasoby. Podstawowe zasoby jednostki SKU, takie jak podstawowy moduł równoważenia obciążenia lub podstawowe publiczne adresy IP, nie są zgodne z bramą translatora adresów sieciowych. Podstawowy moduł równoważenia obciążenia i podstawowy publiczny adres IP można uaktualnić do warstwy Standardowa w celu pracy z bramą translatora adresów sieciowych.
Aby uzyskać więcej informacji na temat uaktualniania modułu równoważenia obciążenia z warstwy podstawowa do standardu, zobacz Uaktualnianie publicznej usługi Azure Load Balancer w warstwie Podstawowa.
Aby uzyskać więcej informacji na temat uaktualniania publicznego adresu IP z podstawowego do standardu, zobacz Uaktualnianie publicznego adresu IP.
Aby uzyskać więcej informacji na temat uaktualniania podstawowego publicznego adresu IP dołączonego do maszyny wirtualnej z podstawowej do standardowej, zobacz Uaktualnianie podstawowego publicznego adresu IP dołączonego do maszyny wirtualnej.
Limity czasu połączenia i czasomierze
Brama translatora adresów sieciowych wysyła pakiet resetowania tcp (RST) dla dowolnego przepływu połączenia, który nie rozpoznaje jako istniejącego połączenia. Przepływ połączenia już nie istnieje, jeśli osiągnięto limit czasu bezczynności bramy translatora adresów sieciowych lub połączenie zostało zamknięte wcześniej.
Gdy nadawca ruchu w nieistniejącym przepływie połączenia odbiera pakiet TCP RST bramy translatora adresów sieciowych, połączenie nie jest już możliwe do użycia.
Porty SNAT nie są łatwo dostępne do ponownego użycia w tym samym punkcie końcowym docelowym po zamknięciu połączenia. Brama translatora adresów sieciowych umieszcza porty SNAT w stanie schładzania, zanim będzie można ponownie użyć ich do nawiązania połączenia z tym samym docelowym punktem końcowym.
Czasy czasomierza ponownego użycia portów SNAT (schładzania) różnią się w zależności od sposobu zamknięcia połączenia. Aby dowiedzieć się więcej, zobacz Czasomierze ponownego użycia portów.
Jest używany domyślny limit czasu bezczynności protokołu TCP 4 minut i można go zwiększyć do 120 minut. Każde działanie w przepływie może również zresetować czasomierz bezczynności, w tym elementy utrzymania protokołu TCP. Aby dowiedzieć się więcej, zobacz Czasomierze limitu czasu bezczynności.
Ruch UDP ma limit czasu bezczynności 4 minut, którego nie można zmienić.
Ruch UDP ma timer ponownego użycia portu ustawiony na 65 sekund, podczas którego port jest zablokowany, zanim będzie dostępny do ponownego użycia dla tego samego punktu końcowego.
Cennik i umowa dotycząca poziomu usług (SLA)
Aby uzyskać informacje o cenach usługi Azure NAT Gateway, zobacz Cennik bramy translatora adresów sieciowych.
Aby uzyskać informacje na temat umowy SLA, zobacz Umowa SLA dla usługi Azure NAT Gateway.
Następne kroki
Aby uzyskać więcej informacji na temat tworzenia i weryfikowania bramy translatora adresów sieciowych, zobacz Szybki start: tworzenie bramy translatora adresów sieciowych przy użyciu witryny Azure Portal.
Aby wyświetlić film wideo na temat usługi Azure NAT Gateway, zobacz How to get better outbound connectivity using an Azure NAT Gateway (Jak uzyskać lepszą łączność wychodzącą przy użyciu bramy translatora adresów sieciowych platformy Azure).
Aby uzyskać więcej informacji na temat zasobu bramy translatora adresów sieciowych, zobacz Zasób bramy translatora adresów sieciowych.
Dowiedz się więcej o usłudze Azure NAT Gateway w następującym module:
Aby uzyskać więcej informacji na temat opcji architektury dla usługi Azure NAT Gateway, zobacz Przegląd platformy Azure Well-Architected Framework w usłudze Azure NAT Gateway.