O que é o Gateway da NAT do Azure?

Um Gateway da NAT do Azure é um serviço de conversão de endereços de rede (NAT) totalmente gerenciado e altamente resiliente. O Gateway da NAT do Azure simplifica a conectividade com a Internet de saída para redes virtuais. Quando configurado em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos do gateway da NAT.

Figura: Gateway da NAT do Azure

Benefícios do Gateway da NAT do Azure

Segurança

Com o gateway da NAT, as VMs individuais ou outros recursos de computação não precisam de endereços IP públicos e podem permanecer privadas. Os recursos sem um endereço IP público ainda podem alcançar fontes externas fora da rede virtual com os prefixos ou endereços IP públicos estáticos do Gateway da NAT. É possível associar um prefixo de IP público para garantir que um conjunto contíguo de IPs seja usado para saída. As regras de firewall de destino podem ser configuradas com base nessa lista de IP previsível.

Resiliência

O Gateway da NAT do Azure é um serviço totalmente gerenciado e distribuído. Ela não depende de nenhuma instância de computação individual, como VMs ou um só dispositivo de gateway físico. O gateway da NAT sempre tem vários domínios de falha e pode manter várias falhas sem interrupção do serviço. Com a rede definida por software, o gateway da NAT fica altamente resiliente.

Escalabilidade

O gateway da NAT é escalado horizontalmente desde a criação. Não há nenhuma operação de aumento ou expansão necessária. O Azure gerencia a operação do gateway da NAT para você.

O gateway da NAT pode ser associado a uma sub-rede e usado por todos os recursos de computação nessa sub-rede. Todas as sub-redes em uma rede virtual podem usar o mesmo recurso do Gateway da NAT. A conectividade de saída pode ser escalada horizontalmente atribuindo até 16 endereços IP ao Gateway da NAT. Quando um gateway da NAT é associado a um prefixo IP público, ele é dimensionado automaticamente para o número de endereços IP necessários para a saída.

Desempenho

O Gateway da NAT do Azure é um serviço de rede definido por software. O gateway da NAT não afeta a largura de banda da rede dos recursos de computação. Saiba mais sobre o desempenho de gateways NAT.

Noções básicas do Gateway da NAT do Azure

Conectividade de saída

• O gateway da NAT é o método recomendado para conectividade de saída. O gateway de NAT não tem as mesmas limitações de esgotamento de porta SNAT que o acesso de saída padrão e as regras de saída de um balanceador de carga.

• O gateway de NAT permite que os fluxos sejam criados da rede virtual para os serviços fora da rede virtual. O tráfego de retorno da internet só é permitido em resposta a um fluxo ativo. Os serviços fora da rede virtual não podem iniciar uma conexão de entrada por meio do gateway da NAT.

  • Para migrar o acesso externo a um gateway da NAT a partir das regras de saída do balanceador de carga ou acesso de saída padrão, consulte Migrar o acesso de saída para o Gateway da NAT do Azure NAT.

• O gateway de NAT tem precedência sobre outros cenários de saída (incluindo o balanceador de carga e endereços IP públicos no nível da instância) e substitui o destino da Internet padrão de uma sub-rede.

• Quando o gateway de NAT é configurado para uma rede virtual em que o Balanceador de Carga padrão com regras de saída já existe, o gateway de NAT assume todo o tráfego de saída. Não haverá quedas no fluxo de tráfego para conexões existentes no Balanceador de Carga. Todas as novas conexões usarão o gateway de NAT.

• A presença de UDRs personalizados para dispositivos virtuais e o ExpressRoute substitui o gateway da NAT para direcionar o tráfego vinculado à Internet (encaminhar para o prefixo de endereço 0.0.0.0/0).

• A ordem das operações para conectividade de saída segue essa ordem de precedência: Solução de virtualização UDR / ExpressRoute >> Gateway de NAT >> Endereços IP públicos em nível de instância nas máquinas virtuais >> Regras de saída do balanceador de carga >> Sistema padrão

• O gateway de NAT dá suporte apenas aos protocolos TCP e UDP. Não há suporte para ICMP.

• O gateway da NAT enviará um pacote RST (TCP Rest) para o ponto de extremidade de conexão que tenta se comunicar em um fluxo de conexão que não existe. Esse fluxo de conexão poderá não existir mais se o tempo limite ocioso do gateway da NAT tiver sido atingido ou a conexão tiver sido fechada anteriormente. Quando o pacote TCP RST do gateway da NAT é recebido pelo ponto de extremidade de conexão, isso significa que a conexão não é mais utilizável.

Configurações do gateway de NAT

• A conectividade de saída pode ser definida para cada sub-rede com o gateway da NAT. Todo o tráfego de saída da sub-rede é processado pelo gateway da NAT sem nenhuma configuração do cliente.

• O gateway de NAT não pode abranger várias redes virtuais.

• Várias sub-redes dentro da mesma rede virtual podem usar gateways de NAT diferentes ou o mesmo gateway de NAT.

• Vários gateways de NAT não podem ser anexados a uma só sub-rede.

• Um gateway de NAT não pode ser implantado em uma sub-rede de gateway.

• Um recurso de gateway NAT pode usar até 16 endereços IP em qualquer combinação de:

  • Endereços IP públicos

  • Prefixos IP públicos

  • Endereços e prefixos IP públicos derivados de prefixos IP personalizados (BYOIP) para saber mais, consulte Prefixo de endereço IP personalizado (BYOIP).

• O gateway de NAT não pode ser associado a um endereço IP público IPv6 nem a um prefixo IP público IPv6. Ele pode ser associado a uma sub-rede de pilha dupla, mas só será capaz de direcionar o tráfego de saída com um endereço IPv4. Para configurar uma configuração de saída de pilha dupla, confira Conectividade de saída de pilha dupla com o gateway da NAT e o Balanceador de carga.

• O Gateway da NAT pode ser associado a uma sub-rede do Firewall do Azure em uma rede virtual de hub e fornecer conectividade de saída de redes virtuais spoke emparelhadas com o hub. Para saber mais, confira Integração do Firewall do Azure com o Gateway da NAT.

Zonas de disponibilidade

• Um gateway da NAT pode ser criado em uma zona de disponibilidade específica ou colocado em “nenhuma zona”.

• O gateway da NAT pode ser isolado em uma zona específica ao criar cenários de isolamento de zonas. Essa implantação é chamada de implantação zonal. Depois que o Gateway da NAT é implantado, a seleção de zona não pode ser alterada.

• O gateway da NAT não é colocado em “nenhuma zona” por padrão. O Azure coloca o gateway da NAT não zonal em uma zona.

Gateway de NAT e recursos do SKU Básico

• O gateway de NAT é compatível com recursos de endereços IP públicos ou prefixo IP público do SKU Standard ou uma combinação de ambos. Você pode usar um prefixo IP público diretamente ou distribuir os endereços IP públicos do prefixo entre vários recursos do gateway da NAT. O gateway da NAT limpará todo o tráfego no intervalo de endereços IP do prefixo.

• Os recursos básicos, como o balanceador de carga básico ou os IPs públicos básicos, não são compatíveis com o gateway da NAT. Os recursos Básicos precisam ser colocados em uma sub-rede não associada a um gateway da NAT. O balanceador de carga Básico e o IP público Básico podem ser atualizados para o Standard a fim de funcionar com o gateway da NAT

  • Atualizar o balanceador de carga de Básico para Standard, confira Atualizar um Azure Load Balancer básico público.

  • Atualizar um IP público de Básico para Standard, consulte Atualizar um endereço IP público.

Temporizadores de gateway de NAT

• O Gateway da NAT se mantém nas portas SNAT após uma conexão ser fechada antes de ficar disponível para reutilização para se conectar ao mesmo ponto de extremidade de destino pela Internet. As durações do temporizador de reutilização da porta SNAT para tráfego TCP variam dependendo de como a conexão é fechada. Para saber mais, confira Temporizadores de reutilização de porta.

• Um tempo limite de ociosidade TCP padrão de 4 minutos é usado e pode ser aumentado para até 120 minutos. Qualquer atividade em um fluxo também pode redefinir o temporizador de ociosidade, incluindo keepalives TCP. Para saber mais, confira Temporizadores de tempo limite ocioso.

• O tráfego UDP tem um temporizador de tempo limite ocioso de 4 minutos que não pode ser alterado.

• O tráfego de UDP tem um temporizador de redefinição de porta de 65 segundos para o qual uma porta fica em espera antes de ficar disponível para reutilização no mesmo ponto de extremidade de destino.

Preço e SLA

Para saber o preço do Gateway da NAT do Azure, confira Preços do gateway da NAT.

Para obter informações sobre o SLA, confira SLA do Gateway da NAT do Azure.

Próximas etapas

• Para criar e validar um gateway da NAT, confira o Início Rápido: criar um gateway da NAT usando o portal do Azure.

• Para ver um vídeo de como obter mais informações sobre o Gateway da NAT do Azure, confira Como aprimorar a conectividade de saída usando um gateway da NAT do Azure.

• Leia mais sobre o Recurso de gateway da NAT.

• Módulo do Learn: Introdução ao Gateway da NAT do Azure.

• Para saber mais sobre as opções de arquitetura do Gateway da NAT do Azure, confira Revisão do Azure Well-Architected Framework de um Gateway da NAT do Azure.