Dela via


Vad är Azure NAT Gateway?

Azure NAT Gateway är en fullständigt hanterad och mycket elastisk NAT-tjänst (Network Address Translation). Du kan använda Azure NAT Gateway för att låta alla instanser i ett privat undernät ansluta utgående till Internet samtidigt som de förblir helt privata. Oönskade inkommande anslutningar från Internet tillåts inte via en NAT-gateway. Endast paket som anländer som svarspaket till en utgående anslutning kan passera genom en NAT-gateway.

NAT Gateway tillhandahåller dynamiska SNAT-portfunktioner för att automatiskt skala utgående anslutningar och minska risken för SNAT-portöverbelastning.

Bild visar en NAT som tar emot trafik från interna undernät och dirigerar den till en offentlig IP-adress.

Bild: Azure NAT Gateway

Azure NAT Gateway tillhandahåller utgående anslutning för många Azure-resurser, inklusive:

Azure NAT Gateway-fördelar

Enkel installation

Distributioner görs avsiktligt enkla med NAT-gateway. Koppla NAT-gatewayen till ett undernät och en offentlig IP-adress och börja ansluta utgående till Internet direkt. Det krävs inga underhålls- och routningskonfigurationer. Fler offentliga IP-adresser eller undernät kan läggas till senare utan att det påverkar din befintliga konfiguration.

Följande steg är ett exempel på hur du konfigurerar en NAT-gateway:

  • Skapa en icke-zonindelad eller zonindelad NAT-gateway.

  • Tilldela en offentlig IP-adress eller ett offentligt IP-prefix.

  • Konfigurera undernätet för virtuellt nätverk så att det använder en NAT-gateway.

Om det behövs ändrar du timeout för TCP(Transmission Control Protocol) för inaktivitet (valfritt). Granska timers innan du ändrar standardvärdet.

Säkerhet

NAT Gateway bygger på nätverkssäkerhetsmodellen noll förtroende och är säker som standard. Med NAT-gateway behöver privata instanser i ett undernät inte offentliga IP-adresser för att nå Internet. Privata resurser kan nå externa källor utanför det virtuella nätverket genom att översätta källnätverksadressen (SNAT) till NAT-gatewayens statiska offentliga IP-adresser eller prefix. Du kan ange en sammanhängande uppsättning IP-adresser för utgående anslutning med hjälp av ett offentligt IP-prefix. Målbrandväggsregler kan konfigureras baserat på den här förutsägbara IP-listan.

Motståndskraft

Azure NAT Gateway är en fullständigt hanterad och distribuerad tjänst. Det beror inte på enskilda beräkningsinstanser, till exempel virtuella datorer eller en enda fysisk gatewayenhet. En NAT-gateway har alltid flera feldomäner och kan hantera flera fel utan avbrott i tjänsten. Programvarudefinierade nätverk gör en NAT-gateway mycket motståndskraftig.

Skalbarhet

NAT-gatewayen skalas ut från skapandet. Det krävs ingen upp- eller utskalningsåtgärd. Azure hanterar driften av NAT-gateway åt dig.

Koppla NAT-gatewayen till ett undernät för att tillhandahålla utgående anslutning för alla privata resurser i undernätet. Alla undernät i ett virtuellt nätverk kan använda samma NAT-gatewayresurs. Utgående anslutning kan skalas ut genom att tilldela upp till 16 offentliga IP-adresser eller ett offentligt IP-prefix i /28-storlek till NAT-gatewayen. När en NAT-gateway är associerad med ett offentligt IP-prefix skalar den automatiskt till det antal IP-adresser som behövs för utgående trafik.

Prestanda

Azure NAT Gateway är en programvarudefinierad nätverkstjänst. Varje NAT-gateway kan bearbeta upp till 50 Gbit/s data för både utgående och returtrafik.

En NAT-gateway påverkar inte nätverksbandbredden för dina beräkningsresurser. Läs mer om NAT-gatewayens prestanda.

Grunderna i Azure NAT Gateway

Utgående anslutning

Kommentar

Den 30 september 2025 dras den utgående standardåtkomsten för nya distributioner tillbaka. Vi rekommenderar att du använder en explicit form av utgående anslutning i stället, till exempel NAT-gateway.

  • Utgående definieras på undernätsnivå med NAT-gateway. NAT-gateway ersätter standardmålet för Internet för ett undernät.

  • Konfigurationer för trafikroutning krävs inte för att använda NAT-gateway.

  • MED NAT-gatewayen kan flöden skapas från det virtuella nätverket till tjänsterna utanför det virtuella nätverket. Returtrafik från Internet tillåts endast som svar på ett aktivt flöde. Tjänster utanför ditt virtuella nätverk kan inte initiera en inkommande anslutning via NAT-gatewayen.

  • NAT-gateway har företräde framför andra utgående anslutningsmetoder, inklusive en lastbalanserare, offentliga IP-adresser på instansnivå och Azure Firewall.

  • När NAT-gatewayen är konfigurerad till ett virtuellt nätverk där det redan finns en annan utgående anslutningsmetod tar NAT-gatewayen över all utgående trafik framåt. Det finns inga droppar i trafikflödet för befintliga anslutningar i Azure Load Balancer. Alla nya anslutningar använder NAT-gateway.

  • NAT-gatewayen har inte samma begränsningar för SNAT-portöverbelastning som standardregler för utgående åtkomst och utgående trafik i en lastbalanserare.

  • NAT-gateway stöder endast UDP-protokoll (TCP- och User Datagram Protocol). Internet Control Message Protocol (ICMP) stöds inte.

Förbindelseleder

  • Undernätet har en systemstandardväg som dirigerar trafik med mål 0.0.0.0/0 till Internet automatiskt. När NAT-gatewayen har konfigurerats till undernätet prioriteras kommunikationen från de virtuella datorer som finns i undernätet till Internet med hjälp av nat-gatewayens offentliga IP-adress.

  • När du skapar en användardefinierad väg (UDR) i undernätsroutningstabellen för 0.0.0.0/0-trafik, åsidosättas standardsökvägen till Internet för den här trafiken. En UDR som skickar 0.0.0.0/0-trafik till en virtuell installation eller en virtuell nätverksgateway (VPN Gateway och ExpressRoute) som nästa hopptyp åsidosätter i stället NAT-gatewayanslutningen till Internet.

  • Utgående anslutning följer den här prioritetsordningen mellan olika routnings- och utgående anslutningsmetoder:

    • UDR till nästa hopp Virtuell installation eller virtuell nätverksgateway >> nat gateway >> instansnivå offentlig IP-adress på en virtuell dator >> Lastbalanserare utgående regler >> standard systemväg till Internet.

NAT-gatewaykonfigurationer

  • Flera undernät i samma virtuella nätverk kan antingen använda olika NAT-gatewayer eller samma NAT-gateway.

  • Flera NAT-gatewayer kan inte kopplas till ett enda undernät.

  • En NAT-gateway kan inte sträcka sig över flera virtuella nätverk.

  • Det går inte att distribuera en NAT-gateway i ett gatewayundernät.

  • En NAT-gatewayresurs kan använda upp till 16 IP-adresser i valfri kombination av följande typer:

    • Offentliga IP-adresser.

    • Offentliga IP-prefix.

    • Offentliga IP-adresser och prefix som härleds från anpassade IP-prefix (BYOIP) finns i BYOIP (Custom IP address prefix).

  • NAT-gatewayen kan inte associeras till en offentlig IPv6-IP-adress eller ett offentligt IP-prefix för IPv6.

  • NAT-gateway kan användas med lastbalanserare med utgående regler för att tillhandahålla utgående anslutningar med dubbla staplar. Se utgående anslutning med dubbla staplar med NAT-gateway och lastbalanserare.

  • NAT-gatewayen fungerar med alla nätverksgränssnitt eller IP-konfigurationer för virtuella datorer. NAT-gateway kan SNAT flera IP-konfigurationer i ett nätverksgränssnitt.

  • NAT-gateway kan associeras med ett Azure Firewall-undernät i ett virtuellt navnätverk och tillhandahålla utgående anslutning från virtuella ekernätverk som är peerkopplade till hubben. Mer information finns i Azure Firewall-integrering med NAT-gateway.

Tillgänglighetszoner

  • En NAT-gateway kan skapas i en specifik tillgänglighetszon eller placeras i ingen zon.

  • NAT-gateway kan isoleras i en specifik zon när du skapar scenarier för zonisolering. Den här distributionen kallas zonindelad distribution. När NAT-gatewayen har distribuerats kan zonvalet inte ändras.

  • NAT-gatewayen placeras som standard i ingen zon . En nat-gateway som inte är zonindelad placeras i en zon åt dig av Azure.

NAT-gateway och grundläggande resurser

  • NAT-gatewayen är kompatibel med offentliga STANDARD-IP-adresser eller offentliga IP-prefixresurser eller en kombination av båda.

  • Grundläggande resurser, till exempel grundläggande lastbalanserare eller grundläggande offentliga IP-adresser, är inte kompatibla med NAT-gateway. NAT-gateway kan inte användas med undernät där det finns grundläggande resurser. Grundläggande lastbalanserare och grundläggande offentlig IP-adress kan uppgraderas till standard för att fungera med en NAT-gateway.

Tidsgränser för anslutningar och timers

  • NAT-gatewayen skickar ett RST-paket (TCP Reset) för alla anslutningsflöden som inte identifieras som en befintlig anslutning. Anslutningsflödet finns inte längre om tidsgränsen för INAKTIVITET för NAT-gatewayen uppnåddes eller om anslutningen stängdes tidigare.

  • När avsändaren av trafik i det icke-existerande anslutningsflödet tar emot NAT Gateway TCP RST-paketet kan anslutningen inte längre användas.

  • SNAT-portar är inte lättillgängliga för återanvändning till samma målslutpunkt när en anslutning har stängts. NAT-gatewayen placerar SNAT-portar i lågfrekvent tillstånd innan de kan återanvändas för att ansluta till samma målslutpunkt.

  • Varaktigheten för återanvändning av SNAT-portar (nedkylning) varierar för TCP-trafik beroende på hur anslutningen stängs. Mer information finns i Timers för återanvändning av portar.

  • En standardtidsgräns för TCP-inaktivitet på 4 minuter används och kan ökas till upp till 120 minuter. Alla aktiviteter i ett flöde kan också återställa timern för inaktivitet, inklusive TCP keepalives. Mer information finns i Timers för timeout för inaktivitet.

  • UDP-trafik har en timeout-timer på 4 minuter som inte kan ändras.

  • UDP-trafik har en portåteranvändningstimer på 65 sekunder för vilken en port hålls nere innan den är tillgänglig för återanvändning till samma målslutpunkt.

Pris- och serviceavtal (SLA)

Priser för Azure NAT Gateway finns i PRISER för NAT Gateway.

Mer information om serviceavtalet finns i SLA för Azure NAT Gateway.

Nästa steg