Что такое NAT виртуальной сети?

NAT виртуальной сети — это полностью управляемая служба преобразования сетевых адресов (NAT) с высокой степенью устойчивости. NAT виртуальных сетей упрощает процедуру исходящего интернет-подключения для виртуальных сетей. При настройке в подсети все исходящие подключения используют статические общедоступные IP-адреса NAT виртуальных сетей.

Рисунок. NAT виртуальной сети

Преимущества NAT виртуальных сетей

Безопасность

При использовании шлюза NAT отдельным виртуальным машинам (или другим вычислительным ресурсам) не требуются общедоступные IP-адреса, и они могут оставаться частными. Ресурсы без общедоступного IP-адреса по-прежнему могут обращаться к внешним источникам за пределами виртуальной сети со статическими общедоступными IP-адресами или префиксами шлюза NAT. Их можно связать с префиксом общедоступного IP-адреса, чтобы для исходящих подключений использовался непрерывный набор IP-адресов. На основе этого предсказуемого списка IP-адресов можно настроить правила брандмауэра назначения.

Устойчивость

NAT виртуальных сетей является полностью управляемой и распределенной службой. Она не зависит от отдельных вычислительных экземпляров, таких как виртуальные машины или одно физическое устройство шлюза. Шлюз NAT всегда располагает несколькими доменами сбоя и может выдерживать многочисленные сбои без простоя. Программно-определяемая сеть обеспечивает высокую устойчивость шлюза NAT.

Масштабируемость

NAT виртуальных сетей масштабируется горизонтально с момента создания. Действия по расширению или масштабированию выполнять не требуется. Azure управляет работой NAT виртуальных сетей.

Ресурс шлюза NAT может быть связан с подсетью и использоваться всеми вычислительными ресурсами в этой подсети. Все подсети в виртуальной сети могут использовать один и тот же ресурс шлюза NAT. Исходящее подключение можно масштабировать, назначив шлюзу NAT до 16 IP-адресов. Если шлюз NAT связан с префиксом общедоступного IP-адреса, выполняется автоматическое масштабирование до количества IP-адресов, необходимых для исходящего подключения.

Производительность

NAT виртуальных сетей — это служба программно-определяемых сетей. Шлюз NAT не влияет на пропускную способность сети для ресурсов вычислений. Узнайте подробнее о производительности шлюза NAT.

Основные сведения о NAT виртуальных сетей

Исходящее соединение

• NAT виртуальных сетей (шлюз NAT) — это рекомендуемый способ для реализации исходящих подключений. Шлюз NAT не имеет ограничений по портам SNAT, определенных для исходящего доступа по умолчанию и в правилах для исходящего трафика подсистемы балансировки нагрузки.

• Шлюз NAT позволяет создавать потоки из виртуальной сети к службам за пределами вашей виртуальной сети. Возврат трафика из Интернета разрешен только в ответ на активный поток. Службы за пределами виртуальной сети не могут инициировать входящие подключения через шлюз NAT.

  • Чтобы перейти с исходящего доступа по умолчанию или правил для исходящего трафика подсистемы балансировки нагрузки на использование исходящего доступа в шлюзе NAT, см. статью Перенос исходящего доступа в NAT виртуальных сетей Azure.

• Шлюз NAT имеет приоритет над другими сценариями исходящего трафика (включая подсистему балансировки нагрузки и общедоступные IP-адреса на уровне экземпляра). Он заменяет целевое назначение в Интернете, используемое для подсети по умолчанию.

• После настройки NAT для виртуальной сети, в которой уже существует стандартная подсистема балансировки нагрузки с правилами исходящего трафика, шлюз NAT возьмет на себя на весь исходящий трафик. Поток трафика для существующих подключений через подсистему балансировки нагрузки прерываться не будет. Все новые подключения будут использовать шлюз NAT.

• При наличии определяемых пользователем маршрутов для виртуальных устройств и ExpressRoute выполняется переопределение шлюза NAT для направления трафика, связанного с Интернетом (маршрутизация к префиксу адреса 0.0.0.0/0).

• Порядок операций для исходящего подключения: UDR виртуального устройства/ExpressRoute >> Шлюз NAT >> Общедоступные IP-адреса на уровне экземпляра на виртуальных машинах >> Правила исходящего трафика подсистемы балансировки нагрузки >> Настройки системы по умолчанию

• Шлюз NAT поддерживает только протоколы TCP и HTTP. ICMP не поддерживается.

• Шлюз NAT отправляет пакет TCP Rest (RST) в конечную точку подключения, которая пытается связаться с потоком подключения, который не существует. Этот поток подключения может больше не существовать, если было достигнуто время ожидания простоя шлюза NAT или подключение было закрыто ранее. Когда конечная точка подключения получает пакет TCP RST шлюза NAT, это означает, что подключение больше не поддерживается.

Конфигурации шлюза NAT

• Исходящие подключения можно определить для каждой подсети с шлюзом NAT. Весь исходящий трафик для подсети обрабатывается шлюзом NAT без каких-либо пользовательских настроек.

• Шлюз NAT не распространяется на несколько виртуальных сетей.

• Несколько подсетей в одной виртуальной сети могут использовать один или несколько разных шлюзов NAT.

• К одной подсети невозможно прикрепить несколько шлюзов NAT.

• Шлюз NAT нельзя развернуть в подсети шлюза.

• Ресурс шлюза NAT может использовать до 16 IP-адресов в любом сочетании следующих типов IP-адресов:

  • Общедоступные IP-адреса

  • Префиксы общедоступных IP-адресов

  • Общедоступные IP-адреса и префиксы, производные от пользовательских префиксов IP-адресов (BYOIP). Дополнительные сведения см. в статье Настраиваемый префикс IP-адресов (BYOIP).

• Шлюз NAT нельзя связать с общедоступными IP-адресами IPv6 или префиксом общедоступных IP-адресов IPv6. Он может быть связан с подсетью с двумя стеками, но сможет направлять исходящий трафик только с адресом IPv4.

• Шлюз NAT можно использовать для обеспечения исходящих подключений в звездообразной модели при сопоставлении с Брандмауэр Azure. Шлюз NAT можно связать с подсетью Брандмауэр Azure в центральной виртуальной сети и обеспечить исходящие подключения из периферийных виртуальных сетей, пиринговых к концентратору. Дополнительные сведения см. в статье интеграция Брандмауэр Azure со шлюзом NAT.

Зоны доступности

• Шлюз NAT можно создать в определенной зоне доступности или разместить "без привязки к зоне".

• Шлюз NAT можно изолировать в определенной зоне при создании сценариев изоляции зоны. Это развертывание называется зональным развертыванием. После развертывания шлюза NAT выбор зоны изменить нельзя.

• Шлюз NAT по умолчанию размещается без привязки к зоне. Незональный шлюз NAT помещается в зону azure.

Шлюз NAT и базовые ресурсы SKU

• Шлюз NAT совместима с ресурсами префикса общедоступного IP-адреса, ресурсами общедоступного IP-адреса ценовой категории "Стандартный" или их сочетанием. Вы можете использовать префикс общедоступного IP-адреса напрямую или распространять общедоступные IP-адреса префикса по нескольким ресурсам шлюза NAT. Шлюз NAT будет фильтровать весь трафик к диапазону IP-адресов префикса.

• Базовые ресурсы, такие как Load Balancer цен. категории "Базовый" или базовый общедоступный IP-адрес, несовместимы с NAT виртуальных сетей. Базовые ресурсы должны быть размещены в подсети, не связанной с шлюзом NAT. Для работы с шлюзом NAT Load Balancer и общедоступный IP-адрес, относящиеся к ценовой категории "Базовый", можно обновить до ценовой категории "Стандартный".

  • Обновление подсистемы балансировки нагрузки с уровня "Базовый" до уровня "Стандартный" см. в статье Обновление общедоступного базового Azure Load Balancer.

  • Обновление общедоступного IP-адреса с уровня " Базовый" на стандартный см. в статье Обновление общедоступного IP-адреса.

Таймеры шлюза NAT

• Шлюз NAT удерживает порты SNAT после закрытия подключения, прежде чем он будет доступен для повторного использования для подключения к той же конечной точке назначения через Интернет. Период удержания до повторного использования порта SNAT для трафика TCP зависит от того, как было закрыто подключение. Дополнительные сведения см. в разделе Таймеры повторного использования портов.

• По умолчанию время ожидания в режиме простоя для TCP-подключения равно 4 минутам, но его можно увеличить до 120 минут. Любое действие с потоком также может повлечь сброс таймера простоя, в том числе проверка активности TCP-подключения. Дополнительные сведения см. в разделе Таймеры тайм-аута простоя.

• Трафик UDP имеет таймер времени ожидания простоя 4 минуты, который нельзя изменить.

• Трафик UDP имеет таймер сброса порта 65 секунд, в течение которого порт находится в удержании, прежде чем он будет доступен для повторного использования в той же конечной точке назначения.

Цены и соглашение об уровне обслуживания

Сведения о ценах на NAT виртуальных сетей Azure см. в разделе Цены на шлюз NAT.

Сведения об SLA см. в статье SLA для NAT виртуальных сетей.

Дальнейшие действия

• Чтобы создать и проверить шлюз NAT, см. статью Краткое руководство. Создание шлюза NAT с помощью портала Azure.

• Посмотрите видео о NAT виртуальных сетей Azure: Как улучшить исходящие подключения с помощью шлюза NAT Azure.

• Ознакомьтесь с дополнительными сведениями о ресурсе шлюза NAT.

• Модуль Learn "Введение в NAT виртуальных сетей Azure".

• Дополнительные сведения о вариантах архитектуры для Azure виртуальная сеть NAT см. в статье Azure Well-Architected Framework review of an Azure NAT gateway (Обзор azure Well-Architected Framework для шлюза Azure NAT).