你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是虚拟网络 NAT?

虚拟网络 NAT 是一种完全托管且高度可复原的网络地址转换 (NAT) 服务。 虚拟网络 NAT 简化了虚拟网络出站的 Internet 连接。 在子网中配置后,所有出站连接将使用虚拟网络 NAT 的静态公共 IP 地址。

图中显示了 NAT 从内部子网接收流量并将其定向到公共 IP (PIP) 和 IP 前缀。

图:虚拟网络 NAT

虚拟网络 NAT 权益

安全性

使用 NAT 网关时,单个 VM 或其他计算资源不需要公共 IP 地址并且可以保持专用。 没有公共 IP 地址的资源仍然可以通过 NAT 网关的静态公共 IP 地址或前缀访问虚拟网络外的外部源。 还可以关联公共 IP 前缀,以确保将一组连续的 IP 用于出站。 可以基于此可预测 IP 列表配置目标防火墙规则。

复原能力

虚拟网络 NAT 是完全托管的分布式服务。 它不依赖于单个计算实例,例如 VM 或单个物理网关设备。 NAT 网关始终包含具有多个容错域,可以承受多次故障的同时避免服务中断。 软件定义的网络使 NAT 网关具有高复原能力。

可伸缩性

虚拟网络 NAT 已从创建中横向扩展。 无需执行纵向或横向扩展操作。 Azure 管理虚拟网络 NAT 的操作。

NAT 网关资源可以关联到子网,并且该子网中所有计算资源都可以使用 NAT。 虚拟网络中的所有子网都可以使用相同的 NAT 网关资源。 可以通过向 NAT 网关分配最多 16 个 IP 地址来横向扩展出站连接。 NAT 网关关联到公共 IP 前缀时,NAT 网关会自动缩放到出站所需的 IP 地址数。

性能

虚拟网络 NAT 是软件定义的网络服务。 NAT 网关不会影响计算资源的网络带宽。 了解有关 NAT 网关性能的详细信息。

虚拟网络 NAT 基础知识

出站连接

  • 虚拟网络 NAT(NAT 网关)是用于出站连接的推荐方法。 NAT 网关对 SNAT 端口耗尽的限制与默认出站访问负载均衡器的出站规则不同。

  • NAT 网关支持创建从虚拟网络到虚拟网络外部服务的流。 在活动流的响应中仅允许来自 Internet 的返回流量。 虚拟网络外部的服务无法通过 NAT 网关启动入站连接。

  • NAT 网关优先于其他出站方案(包括负载均衡器和实例级公共 IP 地址),并替换子网的默认 Internet 目标。

  • 如果 NAT 网关配置到虚拟网络,而该网络已存在具有出站规则的标准负载均衡器,那么 NAT 网关将接管所有向前移动的出站流量。 在负载均衡器上,现有连接的流量流不会下降。 所有新连接都将使用 NAT 网关。

  • 虚拟设备和 ExpressRoute 的自定义 UDR 的存在会替代 NAT 网关以引导 Internet 绑定流量(路由到 0.0.0.0/0 地址前缀)。

  • 出站连接的操作顺序遵循以下优先顺序:虚拟设备 UDR/ExpressRoute >> NAT 网关 >> 虚拟机上的实例级公共 IP 地址 >> 负载均衡器出站规则 >> 默认系统

  • NAT 网关仅支持 TCP 和 UDP 协议。 不支持 ICMP。

  • NAT 网关会将 TCP Rest (RST) 数据包发送到尝试在不存在的连接流上进行通信的连接终结点。 如果已达到 NAT 网关空闲超时或之前已关闭连接,则此连接流可能不再存在。 当连接终结点收到 NAT 网关 TCP RST 数据包时,这表示连接不再可用。

NAT 网关配置

  • 可为使用 NAT 网关的每个子网定义出站连接。 NAT 网关会处理子网的所有出站流量,而无需任何客户配置。

  • 一个 NAT 网关不能跨越多个虚拟网络。

  • 同一虚拟网络中的多个子网可以使用不同的 NAT 网关或同一 NAT 网关。

  • 多个 NAT 网关不能连接到单个子网。

  • NAT 网关不能部署在网关子网中。

  • NAT 网关资源可以使用最多 16 个 IP 地址,这些地址采用以下任意组合:

    • 公共 IP 地址

    • 公共 IP 前缀

    • 公共 IP 地址和前缀派生自自定义 IP 前缀 (BYOIP),若要了解详细信息,请参阅 自定义 IP 地址前缀 (BYOIP)

  • NAT 网关不能与 IPv6 公共 IP 地址或 IPv6 公共 IP 前缀相关联。 它可以关联到双堆栈子网,但只能使用 IPv4 地址定向出站流量。

  • 与 Azure 防火墙关联时,NAT 网关可用于在中心和分支模型中提供出站连接。 NAT 网关可以关联到中心虚拟网络中的 Azure 防火墙子网,并从对等互连到中心的分支虚拟网络提供出站连接。 若要了解详细信息,请参阅 Azure 防火墙与 NAT 网关的集成

可用性区域

  • NAT 网关可在特定的可用性区域或“无区域”中创建。

  • 创建区域隔离方案时,NAT 网关可以隔离在特定区域中。 此部署称为区域部署。 部署 NAT 网关后,无法更改区域选择。

  • 默认情况下,NAT 网关未置于任何区域中。 非区域 NAT 网关将由 Azure 放置在区域中。

NAT 网关和基本 SKU 资源

  • NAT 网关与标准 SKU 公共 IP 地址、公共 IP 前缀资源或两者的组合相兼容。 可以直接使用公共 IP 前缀,或者在多个 NAT 网关资源之间分配前缀的公共 IP 地址。 NAT 网关会将所有流量梳理到前缀的 IP 地址范围。

  • 基本资源,例如基本负载均衡器或基本公共 IP与虚拟网络 NAT 不兼容。 基本资源必须放置在未与 NAT 网关关联的子网中。 基本负载均衡器和基本公共 IP 可以升级到标准,以便与 NAT 网关一起使用

NAT 网关计时器

  • 在连接关闭后,NAT 网关会保留 SNAT 端口,然后才能对其进行重复使用,以通过 Internet 连接到同一目标终结点。 SNAT 端口重用 TCP 流量计时器持续时间取决于连接的关闭方式。 若要了解详细信息,请参阅端口重用计时器

  • 使用的默认 TCP 空闲超时为 4 分钟,最大可提高到 120 分钟。 流中的任何活动也可以重置空闲计时器,包括 TCP Keepalive。 若要了解详细信息,请参阅空闲超时计时器

  • UDP 流量的空闲超时计时器为 4 分钟,且无法更改。

  • UDP 流量有一个 65 秒的端口重置计时器,必须将端口抑制该时长后,才可将其重复用于同一目标终结点。

定价和 SLA

有关 Azure 虚拟网络 NAT 定价,请参阅 NAT 网关定价

有关 SLA 的详细信息,请参阅虚拟网络 NAT 的 SLA

后续步骤