Azure NAT Gateway nedir?

Azure NAT Gateway, tam olarak yönetilen ve yüksek oranda dayanıklı bir Ağ Adresi Çevirisi (NAT) hizmetidir. Özel alt ağdaki tüm örneklerin tamamen özel kalırken İnternet'e bağlanmasına izin vermek için Azure NAT Gateway'i kullanabilirsiniz. nat ağ geçidi üzerinden internetten istenmeyen gelen bağlantılara izin verilmez. Yalnızca giden bağlantıya yanıt paketi olarak gelen paketler NAT ağ geçidinden geçebilir.

NAT Gateway, giden bağlantıyı otomatik olarak ölçeklendirmek ve SNAT bağlantı noktası tükenmesi riskini azaltmak için dinamik SNAT bağlantı noktası işlevselliği sağlar.

Şekil: Azure NAT Ağ Geçidi

Azure NAT Gateway, aşağıdakiler dahil olmak üzere birçok Azure kaynağı için giden bağlantı sağlar:

• Özel bir alt ağda Azure sanal makineleri veya sanal makine ölçek kümeleri.

• Azure Kubernetes Services (AKS) kümeleri.

• Azure Container group.

• Azure İşlev Uygulamaları.

• alt ağı Azure Güvenlik Duvarı.

• sanal ağ tümleştirmesi aracılığıyla Hizmetler örneklerini (web uygulamaları, REST API'leri ve mobil arka uçlar) Azure Uygulaması.

• Azure Databricks veya sanal ağ ekleme ile.

Azure NAT Gateway avantajları

Basit Kurulum

Dağıtımlar, NAT ağ geçidi ile kasıtlı olarak basit hale getirilir. Nat ağ geçidini bir alt ağa ve genel IP adresine ekleyin ve giden İnternet'e hemen bağlanmaya başlayın. Gerekli bakım ve yönlendirme yapılandırmaları sıfırdır. Daha sonra mevcut yapılandırmanıza etkisi olmadan daha fazla genel IP veya alt ağ eklenebilir.

Aşağıdaki adımlar, NAT ağ geçidi ayarlama örneğidir:

• Bölgesel olmayan veya bölgesel NAT ağ geçidi oluşturun.

• Genel IP adresi veya genel IP ön eki atayın.

• Sanal ağ alt ağını NAT ağ geçidi kullanacak şekilde yapılandırın.

Gerekirse İletim Denetimi Protokolü (TCP) boşta kalma zaman aşımını (isteğe bağlı) değiştirin. Varsayılanı değiştirmeden önce zamanlayıcıları gözden geçirin.

Güvenlik

NAT Ağ Geçidi sıfır güven ağ güvenlik modeli üzerine kurulmuştur ve varsayılan olarak güvenlidir. NAT ağ geçidi ile, bir alt ağ içindeki özel örneklerin İnternet'e ulaşmak için genel IP adreslerine ihtiyacı yoktur. Özel kaynaklar, kaynak ağ adresini NAT ağ geçidinin statik genel IP adreslerine veya ön eklerine çevirerek (SNAT) sanal ağ dışındaki dış kaynaklara ulaşabilir. Genel IP ön eki kullanarak giden bağlantı için bitişik bir IP kümesi sağlayabilirsiniz. Hedef güvenlik duvarı kuralları bu tahmin edilebilir IP listesine göre yapılandırılabilir.

Dayanıklılık

Azure NAT Gateway, tam olarak yönetilen ve dağıtılmış bir hizmettir. Vm'ler gibi tek tek işlem örneklerine veya tek bir fiziksel ağ geçidi cihazına bağlı değildir. NAT ağ geçidi her zaman birden çok hata etki alanına sahiptir ve hizmet kesintisi olmadan birden çok hatayı sürdürebilir. Yazılım tanımlı ağ, NAT ağ geçidini yüksek oranda dayanıklı hale getirir.

Ölçeklenebilirlik

NAT ağ geçidinin ölçeği oluşturmadan genişletilir. Yükseltme veya genişletme işlemi gerekmez. Azure, NAT ağ geçidinin çalışmasını sizin için yönetir.

Bu alt ağdaki tüm özel kaynaklar için giden bağlantı sağlamak üzere bir alt ağa NAT ağ geçidi ekleyin. Sanal ağdaki tüm alt ağlar aynı NAT ağ geçidi kaynağını kullanabilir. Nat ağ geçidine en fazla 16 genel IP adresi veya /28 boyutlu genel IP ön eki atanarak giden bağlantının ölçeği genişletilebilir. Nat ağ geçidi bir genel IP ön eki ile ilişkilendirildiğinde, giden ip adresi için gereken IP adresi sayısına otomatik olarak ölçeklendirilir.

Performans

Azure NAT Gateway, yazılım tanımlı bir ağ hizmetidir. Her NAT ağ geçidi hem giden hem de dönüş trafiği için 50 Gb/sn'ye kadar veri işleyebilir.

NAT ağ geçidi, işlem kaynaklarınızın ağ bant genişliğini etkilemez. NAT ağ geçidinin performansı hakkında daha fazla bilgi edinin.

Azure NAT Gateway ile ilgili temel bilgiler

Giden bağlantı

• NAT ağ geçidi, giden bağlantı için önerilen yöntemdir.

  • Varsayılan giden erişim veya yük dengeleyici giden kurallarından nat ağ geçidine giden erişimi geçirmek için bkz . Azure NAT Gateway'e giden erişimi geçirme.

Not

30 Eylül 2025'te, yeni dağıtımlar için varsayılan giden erişim kullanımdan kaldırılacaktır. Bunun yerine NAT ağ geçidi gibi açık bir giden bağlantı biçimi kullanmanız önerilir.

• Çıkış, NAT ağ geçidi ile alt ağ düzeyinde tanımlanır. NAT ağ geçidi, bir alt ağın varsayılan İnternet hedefinin yerini alır.

• NAT ağ geçidini kullanmak için trafik yönlendirme yapılandırmaları gerekli değildir.

• NAT ağ geçidi, sanal ağdan sanal ağınızın dışındaki hizmetlere akış oluşturulmasına olanak tanır. İnternet'ten gelen trafiğe yalnızca etkin bir akışa yanıt olarak izin verilir. Sanal ağınızın dışındaki hizmetler NAT ağ geçidi üzerinden gelen bağlantı başlatamaz.

• NAT ağ geçidi yük dengeleyici, örnek düzeyinde genel IP adresleri ve Azure Güvenlik Duvarı gibi diğer giden bağlantı yöntemlerine göre önceliklidir.

• NAT ağ geçidi, farklı bir giden bağlantı yönteminin zaten mevcut olduğu bir sanal ağa yapılandırıldığında, NAT ağ geçidi ileriye doğru giden tüm giden trafiği devralır. Azure Load Balancer'daki mevcut bağlantılar için trafik akışında herhangi bir düşüş yoktur. Tüm yeni bağlantılar NAT ağ geçidini kullanır.

• NAT ağ geçidinin SNAT bağlantı noktası tükenmesi sınırlamaları, yük dengeleyicinin varsayılan giden erişim ve giden kurallarıyla aynı sınırlamalara sahip değildir.

• NAT ağ geçidi yalnızca TCP ve Kullanıcı Veri Birimi Protokolü (UDP) protokollerini destekler. İnternet Denetim İletisi Protokolü (ICMP) desteklenmez.

Trafik yolları

• Alt ağ, hedef 0.0.0.0/0 olan trafiği otomatik olarak İnternet'e yönlendiren bir sistem varsayılan yoluna sahiptir. NAT ağ geçidi alt ağa yapılandırıldıktan sonra alt ağda bulunan sanal makinelerden İnternet'e iletişim, NAT ağ geçidinin genel IP'sini kullanarak önceliklendirilir.

• 0.0.0.0/0 trafiği için özel bir kullanıcı tanımlı yol (UDR) oluşturarak NAT ağ geçidini bir alt ağın sistem varsayılan İnternet yolu olarak geçersiz kılabilirsiniz.

• Bir alt ağın 0.0.0.0/0 trafiği için sanal gereçler, VPN Gateway ve ExpressRoute için Kullanıcı Tanımlı Yolların (UDR) varlığı trafiğin NAT ağ geçidi yerine bu hizmetlere yönlendir olmasına neden olur.

• Giden bağlantı, farklı yönlendirme ve giden bağlantı yöntemleri arasında şu öncelik sırasını izler:

  • Sanal gereç / VPN Gateway / ExpressRoute >> NAT ağ geçidi >> ile UDR Sanal makinedeki >> Örnek düzeyinde genel IP adresi Yük dengeleyici giden kuralları >> varsayılan sistem İnternet'e yönlendirilir.

NAT ağ geçidi yapılandırmaları

• Aynı sanal ağ içindeki birden çok alt ağ farklı NAT ağ geçitleri veya aynı NAT ağ geçidi kullanabilir.

• Birden çok NAT ağ geçidi tek bir alt ağa eklenemez.

• NAT ağ geçidi birden çok sanal ağa yayılamaz.

• NAT ağ geçidi bir ağ geçidi alt aya dağıtılamaz.

• NAT ağ geçidi kaynağı, aşağıdaki türlerin herhangi bir bileşiminde en fazla 16 IP adresi kullanabilir:

  • Genel IP adresleri.

  • Genel IP ön ekleri.

  • Özel IP ön eklerinden (BYOIP) türetilen genel IP adresleri ve ön ekleri hakkında daha fazla bilgi edinmek için bkz . Özel IP adresi ön eki (BYOIP).

• NAT ağ geçidi bir IPv6 genel IP adresi veya IPv6 genel IP ön eki ile ilişkilendirilemiyor.

• NAT ağ geçidi, çift yığınlı giden bağlantı sağlamak için giden kuralları kullanılarak Yük dengeleyici ile kullanılabilir. Bkz . NAT ağ geçidi ve Yük dengeleyici ile çift yığın giden bağlantısı.

• NAT ağ geçidi herhangi bir sanal makine ağ arabirimi veya IP yapılandırmasıyla çalışır. NAT ağ geçidi, bir ağ arabiriminde birden çok IP yapılandırması SNAT yapabilir.

• NAT ağ geçidi, merkez sanal ağındaki bir Azure Güvenlik Duvarı alt ağıyla ilişkilendirilebilir ve merkezle eşlenen uç sanal ağlarından giden bağlantı sağlayabilir. Daha fazla bilgi edinmek için bkz. NAT ağ geçidiyle Azure Güvenlik Duvarı tümleştirme.

Kullanılabilirlik alanları

• NAT ağ geçidi belirli bir kullanılabilirlik alanında oluşturulabilir veya hiçbir bölgeye yerleştirilemedi.

• Bölge yalıtım senaryoları oluşturduğunuzda NAT ağ geçidi belirli bir bölgede yalıtılabilir. Bu dağıtım, bölgesel dağıtım olarak adlandırılır. NAT ağ geçidi dağıtıldıktan sonra bölge seçimi değiştirilemez.

• NAT ağ geçidi varsayılan olarak hiçbir bölgeye yerleştirilmemiştir. Bölgesel olmayan NAT ağ geçidi, Azure tarafından sizin için bir bölgeye yerleştirilir.

NAT ağ geçidi ve temel kaynaklar

• NAT ağ geçidi standart genel IP adresleri veya genel IP ön eki kaynaklarıyla veya her ikisinin birleşimiyle uyumludur.

• Temel yük dengeleyici veya temel genel IP'ler gibi temel kaynaklar NAT ağ geçidiyle uyumlu değildir. NAT ağ geçidi, temel kaynakların bulunduğu alt ağlarla kullanılamaz. Temel yük dengeleyici ve temel genel IP, NAT ağ geçidiyle çalışmak için standarda yükseltilebilir.

  • Yük dengeleyiciyi temelden standarda yükseltme hakkında daha fazla bilgi için bkz . Genel temel Azure Load Balancer'ı yükseltme.

  • Genel IP'yi temelden standarda yükseltme hakkında daha fazla bilgi için bkz . Genel IP adresini yükseltme.

  • Bir sanal makineye bağlı temel genel IP'yi temelden standarda yükseltme hakkında daha fazla bilgi için bkz . Sanal makineye bağlı temel bir genel IP'yi yükseltme.

Bağlan ion zaman aşımları ve zamanlayıcılar

• NAT ağ geçidi, mevcut bağlantı olarak tanımadığı tüm bağlantı akışları için bir TCP Sıfırlama (RST) paketi gönderir. NAT ağ geçidi boşta kalma zaman aşımına ulaşıldıysa veya bağlantı daha önce kapatıldıysa bağlantı akışı artık yok.

• Var olmayan bağlantı akışındaki trafiğin göndereni NAT ağ geçidi TCP RST paketini aldığında, bağlantı artık kullanılamaz.

• SNAT bağlantı noktaları, bağlantı kapatıldıktan sonra aynı hedef uç noktada yeniden kullanılabilir durumda değildir. NAT ağ geçidi, aynı hedef uç noktaya bağlanmak için yeniden kullanılamadan önce SNAT bağlantı noktalarını bekleme durumuna alır.

• SNAT bağlantı noktası yeniden kullanımı (seyrek erişim) süreölçer süreleri, bağlantının kapanma şekline bağlı olarak TCP trafiği için farklılık gösterir. Daha fazla bilgi edinmek için bkz . Bağlantı Noktası Yeniden Kullanım Zamanlayıcıları.

• 4 dakikalık varsayılan TCP boşta kalma zaman aşımı kullanılır ve 120 dakikaya kadar artırılabilir. Akış üzerindeki herhangi bir etkinlik, TCP korumaları da dahil olmak üzere boşta kalan süreölçerini de sıfırlayabilir. Daha fazla bilgi edinmek için bkz . Boşta Kalma Zaman Aşımı Zamanlayıcıları.

• UDP trafiğinin 4 dakikalık boşta kalma zaman aşımı süreölçeri vardır ve bu süre değiştirilemez.

• UDP trafiğinin 65 saniyelik bir bağlantı noktası yeniden kullanım süreölçeri vardır ve bağlantı noktası aynı hedef uç noktada yeniden kullanılabilir duruma gelmeden önce beklemede kalır.

Fiyatlandırma ve Hizmet Düzeyi Sözleşmesi (SLA)

Azure NAT Gateway fiyatlandırması için bkz . NAT ağ geçidi fiyatlandırması.

SLA hakkında bilgi için bkz . Azure NAT Gateway için SLA.

Sonraki adımlar

• NAT ağ geçidi oluşturma ve doğrulama hakkında daha fazla bilgi için bkz . Hızlı Başlangıç: Azure portalını kullanarak NAT ağ geçidi oluşturma.

• Azure NAT Gateway hakkında daha fazla bilgi içeren bir video görüntülemek için bkz . Azure NAT ağ geçidi kullanarak daha iyi giden bağlantı elde etme.

• NAT ağ geçidi kaynağı hakkında daha fazla bilgi için bkz . NAT ağ geçidi kaynağı.

• Aşağıdaki modülde Azure NAT Gateway hakkında daha fazla bilgi edinin:

  • Learn modülü: Azure NAT Gateway'e giriş.

• Azure NAT Gateway mimari seçenekleri hakkında daha fazla bilgi için bkz . Azure NAT ağ geçidinin Azure İyi Tasarlanmış Çerçeve incelemesi.