Azure NAT 閘道資源
本文說明 NAT 閘道資源的主要元件,可讓其提供高度安全、可調整且具彈性的輸出連線能力。 您可以透過 Azure 入口網站、Azure CLI、Azure PowerShell、Resource Manager 範本或適當的替代方案,在您的訂用帳戶中設定其中一些元件。
NAT 閘道架構
NAT 閘道會使用軟體定義的網路功能,以分散式且完全受控的服務的形式運作。 由於 NAT 閘道有多個容錯網域,因此能夠承受多個失敗,而不會對服務造成任何影響。
NAT 閘道會為 Azure 虛擬網路子網內的私人實例提供來源網路位址轉換 (SNAT)。 在子網上設定時,子網內的私人IP會將 SNAT 傳送至 NAT 閘道的靜態公用IP位址,以連線到因特網。 NAT 閘道也提供目的地網路位址轉換 (DNAT),以便只將回應封包傳送至輸出原始連線。
圖:將連線輸出至網際網路的 NAT 閘道
當 NAT 閘道連結至虛擬網路內的子網時,NAT 閘道會假設所有導向至因特網的輸出流量的預設下一個躍點類型。 不需要額外的路由設定。 NAT 閘道不提供來自因特網的未經請求的輸入連線。 DNAT 只會針對以響應輸出封包的形式抵達的封包執行。
子網路
NAT 閘道可以連結至虛擬網路內的多個子網,以提供因特網的輸出連線。 當 NAT 閘道連結至子網時,它會假設預設路由至因特網。 NAT 閘道將會是所有輸出流量目的地為因特網的下一個躍點類型。
下列子網組態無法與 NAT 閘道搭配使用:
當 NAT 閘道連結至子網時,它會假設預設路由至因特網。 只有一個 NAT 閘道可作為子網因特網的預設路由。
NAT 閘道無法連結至來自不同虛擬網路的子網。
NAT 閘道無法與閘道子網搭配使用。 閘道子網是 VPN 閘道的指定子網,可傳送 Azure 虛擬網路與內部部署位置之間的加密流量。 如需閘道子網的詳細資訊,請參閱 閘道子網。
靜態公用 IP 位址
NAT 閘道可以與靜態公用IP位址或公用IP前綴相關聯,以提供輸出連線。 NAT 閘道支援 IPv4 位址。 NAT 閘道可以在任意組合中使用公用IP位址或前置詞,最多16個IP位址。 如果您指派公用 IP 首碼,則會使用整個公用 IP 首碼。 您可以直接使用公用 IP 前置詞,或將前置詞的公用 IP 位址散發到多個 NAT 閘道資源。 NAT 閘道會清理前置詞 IP 位址範圍的所有流量。
NAT 閘道無法與 IPv6 公用IP位址或前置詞搭配使用。
NAT 閘道無法與基本 SKU 公用 IP 位址搭配使用。
SNAT 埠
SNAT 埠清查是由公用IP位址、公用IP前綴或兩者都附加至 NAT 閘道所提供。 SNAT 埠清查會隨選提供給連結至 NAT 閘道之子網內的所有實例。 每個實例不需要預先配置 SNAT 埠。
如需 SNAT 埠和 Azure NAT 閘道的詳細資訊,請參閱 使用 Azure NAT 閘道的來源網路位址轉換(SNAT)。
當虛擬網路內的多個子網連結至相同的 NAT 閘道資源時,NAT 閘道所提供的 SNAT 埠清查會跨所有子網共用。
SNAT 埠可作為唯一標識碼,以區分不同的連線流程彼此。 相同的 SNAT 埠 可用來同時連線到 不同的目的地端點 。
不同的 SNAT 埠可用來建立與相同目的地連接點的連線,以便區別不同的連線流程。 重複使用以連線到相同目的地的 SNAT 埠會放在重複使用冷卻定時器上,才能重複使用。
圖:SNAT 埠配置
單一 NAT 閘道最多可擴大至 16 個 IP 位址。 每個 NAT 閘道公用 IP 位址提供 64,512 個 SANT 連接埠以建立輸出連線。 NAT 閘道可以相應增加至超過100萬個SNAT埠。 TCP 和 UDP 是個別的 SNAT 連接埠清查,與 NAT 閘道無關。
可用性區域
NAT 閘道可以在特定可用性區域中建立,或放在 任何區域中。 當 NAT 閘道置於無區域時,Azure 會選取要位於 NAT 閘道的區域。
區域備援公用IP位址可以搭配區域或無區域NAT閘道資源使用。
建議將 NAT 閘道設定為個別可用性區域。 此外,它應該附加至具有來自相同區域之私人實例的子網。 如需可用性區域和 Azure NAT 閘道的詳細資訊,請參閱 可用性區域設計考慮。
部署 NAT 閘道之後,就無法變更區域選取範圍。
通訊協定
NAT 閘道會與 UDP 和 TCP 流程的 IP 和 IP 傳輸標頭互動。 NAT 閘道與應用層承載無關。 不支援其他 IP 通訊協定。
TCP 重設
當 NAT 閘道偵測到不存在連線流程上的流量時,會傳送 TCP 重設封包。 TCP 重設封包會向接收端點指出連線流程的發行已發生,且未來在此相同 TCP 連線上的通訊將會失敗。 TCP 重設是 NAT 閘道的單向。
如果:
閑置逾時是在連線流程上閑置一段時間后達到,且聯機會以無訊息方式卸除。
傳送者,無論是從 Azure 網路端還是從公用因特網端傳送流量,在聯機中斷之後傳送流量。
TCP 重設封包只會在偵測已卸除連線流程上的流量時傳送。 此作業表示在連線流程卸除之後,可能不會立即傳送 TCP 重設封包。
不論流量來自 Azure 網路端還是公用因特網端,系統都會傳送 TCP 重設封包,以響應偵測非存在連線流程上的流量。
TCP 閒置逾時
NAT 閘道可為 TCP 通訊協定提供 4 分鐘到 120 分鐘的可設定閒置逾時範圍。 UDP 通訊協議的閑置逾時為 4 分鐘。
當連線閑置時,NAT 閘道會保留至 SNAT 埠,直到連線閒置逾時為止。由於長時間閑置逾時定時器可能會不必要地增加 SNAT 埠耗盡的可能性,因此不建議將 TCP 閑置逾時持續時間增加到超過默認時間 4 分鐘。 閑置定時器不會影響永遠不會閑置的流程。
TCP keepalive 可用來提供重新整理長閒置連線和端點活躍度偵測的模式。 如需詳細資訊,請參閱這些 .NET 文章。 TCP Keepalive 會顯示為端點的重複 ACK、低負擔,且對應用程式層而言不可見。
UDP 閒置逾時計時器無法設定,UDP Keepalive 應可用於確保不會達到閒置逾時值,且持續連線。 不同於 TCP 連線,在連線一端啟用的 UDP Keepalive 僅套用至單一方向的流量流程。 必須在流量流程兩端啟用 UDP Keepalive,才能讓流程保持運作。
計時器
連接埠重複使用計時器
埠重複使用定時器會決定連線關閉來源埠處於保留狀態之後的時間量,然後才能重複使用它,讓 NAT 閘道移至相同的目的地端點。
下表提供 TCP 連接埠何時可供 NAT 閘道重複使用至相同目的地端點的相關信息。
| 計時器 | 描述 | 值 |
|---|---|---|
| TCP FIN | TCP FIN 封包關閉連線之後,會啟動 65 秒定時器,以保留 SNAT 埠。 SNAT 埠可在定時器結束時重複使用。 | 65 秒 |
| TCP RST | TCP RST 封包關閉連線後,會啟動 16 秒定時器,以保留 SNAT 埠。 計時器結束時,連接埠可供重複使用。 | 16 秒 |
| TCP 半開放 | 建立連線期間,連線端點正在等候另一端點的通知,系統會啟用 30 秒計時器。 如果未偵測到任何流量,連線就會關閉。 連線關閉之後,來源埠就可供重複使用至相同的目的地端點。 | 30 秒 |
針對 UDP 流量,在連線關閉之後,埠會在可供重複使用之前保留 65 秒。
閒置逾時計時器
| 計時器 | 描述 | 值 |
|---|---|---|
| TCP 閒置逾時 | 當任一端點之間長時間沒有傳輸任何資料時,TCP 連線可能會閒置。 計時器可以設定為 4 分鐘 (預設) 到 120 分鐘 (2 小時),讓閒置的連線逾時。 流程上的流量會重設閑置逾時定時器。 | 可設定;4 分鐘 (預設) - 120 分鐘 |
| UDP 閒置逾時 | 當任一端點之間長時間沒有傳輸任何資料時,UDP 連線可能會閒置。 UDP 閒置逾時計時器為 4 分鐘且無法設定。 流程上的流量會重設閑置逾時定時器。 | 無法設定;4 分鐘 |
注意
這些計時器設定可能隨時變更。 提供這些值是為了協助進行疑難排解,而您此時不應完全按照特定計時器的設定。
頻寬
每個 NAT 閘道最多可提供 50 Gbps 的輸送量。 數據輸送量速率限制會在輸出和輸入(回應)數據之間分割。 每個 NAT 閘道資源的輸入(回應)數據速率限製為 25 Gbps,每個 NAT 閘道資源的輸入 (回應) 資料速率限制為 25 Gbps。 您可以將部署分割成多個子網,並將每個子網或子網群組指派給 NAT 閘道以相應放大。
效能
NAT 閘道最多可支援每個公用IP位址 最多50,000個並行連線到因特網上的相同目的地端點 ,以進行TCP和UDP。 NAT 閘道可以處理每秒 100 萬個封包,並相應增加至每秒 500 萬個封包。
NAT 閘道隨時可支援的連線總數最多為200萬。 如果 NAT 閘道超過 200 萬個連線,您將會看到資料路徑可用性下降,而新的連線將會失敗。
限制
基本負載平衡器和基本公用IP位址與 NAT 閘道不相容。 請改用標準 SKU Load Balancer 和公用 IP。
若要將 Load Balancer 從基本升級為標準,請參閱升級 Azure 公用 Load Balancer
若要將公用 IP 位址從基本升級為標準,請參閱升級公用 IP 位址
NAT 閘道不支援 ICMP
NAT 閘道無法使用IP片段。
NAT 閘道不支援具有路由組態類型 因特網的公用IP位址。 若要查看在公用IP上支援路由 設定因特網 的 Azure 服務清單,請參閱 支援透過公用因特網路由的支持服務。
NAT 閘道不支援已啟用 DDoS 保護的公用IP。 如需詳細資訊,請參閱 DDoS 限制。
下一步
檢閱 Azure NAT 閘道。
了解 NAT 閘道的計量和警示。
了解如何針對 NAT 閘道進行疑難排解。