O que é o Gateway de NAT do Azure?

  • 10 minutos

Como engenheiro de sistema líder e administrador do Azure encarregado de resolver problemas de conectividade atuais com VMs do Azure, sua primeira etapa é entender o histórico tecnológico e os recursos do Azure NAT Gateway.

O Azure NAT Gateway é um serviço de nuvem totalmente gerenciado que é executado no Azure. É altamente resiliente, escalável e fácil de configurar. Quando você usa o Gateway NAT do Azure com suas redes virtuais existentes no Azure, VMs individuais ou outros recursos do Azure podem permanecer totalmente privados, a menos que hospedem serviços que aceitam conexões de entrada da Internet. Toda a conectividade de saída iniciada a partir da sua rede virtual usa os endereços IP públicos estáticos do gateway NAT.

Visão geral do NAT

O NAT não é uma tecnologia nova. Ele é usado há décadas para mapear endereços IP locais para endereços públicos. Um dos principais objetivos do NAT é salvar endereços IPv4 públicos, o que é especialmente útil para provedores de serviços de Internet (ISPs). Essas empresas podem usar o NAT para mapear um escopo de muitos endereços IPv4 privados para apenas um endereço IP público ou para alguns endereços IP públicos.

NAT também é usado em residências e redes locais. Se você tem um roteador doméstico que o conecta à internet, ele provavelmente tem NAT implementado. Para que todos os seus dispositivos sejam encaminhados para a Internet usando apenas um endereço IP público. O NAT também oculta seu espaço de endereço interno, de modo que todo o tráfego de saída parece vir de um único endereço IP público. O endereço IP é atribuído a um roteador ou dispositivo de gateway.

Ao usar o NAT, é importante entender as portas TCP (Transmission Control Protocol) e sua finalidade. A conversão de endereços de porta permite que cada host em uma rede privada se comunique na Internet usando um único endereço IP público, de modo que cada caminho de comunicação seja estabelecido através de uma porta TCP exclusiva. O processo é o seguinte:

  1. Um dispositivo na rede privada estabelece uma conexão com um recurso na internet. O NAT substitui o endereço IP do dispositivo interno no cabeçalho do pacote pelo endereço IP externo do dispositivo NAT.

  2. Em seguida, a conversão de endereços de porta atribui à conexão um número de porta a partir de um pool de portas disponíveis.

  3. Esse número de porta é inserido no campo de porta de origem no cabeçalho do pacote, e o pacote é então encaminhado para a Internet.

  4. Em seguida, o dispositivo NAT regista uma entrada numa tabela de conversão de rede:

    • Para cada conexão estabelecida, essa entrada contém o endereço IP interno, a porta de origem original e a porta de origem traduzida.
    • Os pacotes subsequentes do mesmo endereço IP de origem interna e número de porta são sempre convertidos para o mesmo endereço IP externo e número de porta.

  5. O computador que recebe um pacote que sofreu NAT estabelece então uma conexão com a porta e o endereço IP especificados no pacote alterado, ignorando o fato de que o endereço fornecido está sendo traduzido.

O diagrama a seguir mostra o processo NAT.

The process of network address translation between a host and server.

Nota

NAT é usado principalmente para estabelecer conexões de saída para a Internet. No entanto, ele não pode gerenciar diretamente as conexões de entrada da Internet. Você precisa usar diferentes tecnologias para esse fim.

Serviço NAT no Azure

Quando cria uma rede virtual no Azure, atribui-lhe um espaço de endereço privado e, em seguida, cria uma ou mais sub-redes para essa rede. Quando você cria uma VM no Azure e, em seguida, a coloca nessa rede virtual, ela obtém seu endereço IP local dessa rede. Se desejar aceitar conexões de saída com a Internet nessa VM, você também poderá atribuir um objeto de endereço IP público a essa VM.

Nota

As VMs do Azure às quais você não atribui um endereço IP público ainda podem acessar a Internet usando a conversão de endereço de rede do Azure ou a tradução de endereço de porta. No entanto, nesses casos, você não pode controlar qual endereço IP público será usado para conexões de saída. Também não é possível habilitar conexões de entrada ou usar o protocolo RDP (Remote Desktop Protocol) para se conectar a essas VMs de fora; em vez disso, você precisa usar um host do Azure Bastion.

Para ajudar a garantir conectividade de saída segura, controlável e escalável para VMs do Azure e outros recursos, você pode criar uma instância do serviço Gateway NAT do Azure. Em seguida, você atribui a instância a uma ou mais sub-redes dentro da mesma rede virtual no Azure.

Em seguida, o serviço Gateway NAT do Azure ajuda a traduzir com segurança seus endereços IP privados em um endereço IP público, como mostra o diagrama a seguir:

Azure NAT Gateway is assigned to two subnets on a virtual network and translates private IP addresses to public IP.