什麼是 Azure NAT 閘道？

Azure NAT 閘道 是一個完全受管理且高度韌性的網路位址轉換（NAT）服務。 使用 Azure NAT 閘道 讓子網內的所有實例都能連接到網際網路，同時保持完全私密。 NAT 閘道器不允許來自網際網路的未經請求的入站連線。 只有以回應封包的形式抵達輸出連線的封包才能通過NAT閘道。

Azure NAT 閘道 會動態分配安全 NAT（SNAT）埠，以自動擴展出站連線，並降低 SNAT 埠耗盡的風險。

Azure NAT 閘道 有兩個 SKU 版本：

• 標準 為區域性（部署於單一可用性區域），並在單一虛擬網路中為子網提供可擴展的外出連接。

• StandardV2 具備區域冗餘性，且提供比標準 SKU 更高的吞吐量、IPv6 支援及流量日誌支援。

標準 SKU

你可以將標準 NAT 閘道器與同一虛擬網路中的子網關聯，提供對網際網路的外接連線。 標準 NAT 閘道器運作於單一可用區域。

StandardV2 SKU

Azure NAT 閘道 的 StandardV2 SKU 提供與標準 SKU 相同的功能，例如動態 SNAT 埠分配及虛擬網路內子網的安全外出連線。 此外，StandardV2 具備區域冗餘性，意即提供區域內所有區域的出站連接，而非單一區域。

StandardV2 的主要功能

• 區域冗餘：跨區域所有可用區域運作，以在單一區域故障時維持連線。
• IPv6 支援：支援 IPv4 與 IPv6 公共 IP 位址及出站連線前綴。
• 更高吞吐量：每個 NAT 閘道可提供高達 100 Gbps 的資料吞吐量，而標準 NAT 閘道器僅有 50 Gbps。
• 流量日誌支援：提供基於 IP 的流量資訊，協助監控與分析出站流量。

若要學習如何部署 StandardV2 NAT 閘道器，請參閱 建立 StandardV2 NAT 閘道器。

StandardV2 的主要限制

• StandardV2 SKU 要求 StandardV2 的公共 IP 位址或前綴。 標準公共 IP 不支援 StandardV2。

• 你不能把標準 SKU 升級到 StandardV2 SKU。 你必須建立一個 StandardV2 NAT 閘道來取代你子網上的標準 NAT 閘道。

• 以下區域不支援 StandardV2 NAT 閘道器：

  • 加拿大東部
  • 智利中部
  • 印尼中部
  • 以色列西北地區
  • 馬來西亞西部
  • 卡達中部
  • 瑞典南部
  • 印度西部

StandardV2 已知的問題

• 使用 Load Balancer 出站規則的 IPv6 出站流量，當你將 StandardV2 NAT 閘道與子網關聯時，會被中斷。 如果你同時需要 IPv4 和 IPv6 的外撥連線，請使用以下任一：

  • IPv4 與 IPv6 流量的負載平衡器出站規則
  • IPv4 流量的標準 NAT 閘道器，以及 IPv6 流量的負載平衡器出站規則

• 使用負載平衡器、Azure 防火牆或 VM 實例層級的公共 IP 進行的出站連線，當您在子網中新增 StandardV2 NAT 閘道時，可能會中斷。 所有新的出站連線皆使用 StandardV2 NAT 閘道器。

欲了解更多關於 Azure NAT 閘道 StandardV2 SKU 已知問題與限制的資訊，請參見 Known limitations。

Azure NAT 閘道的優勢

簡單設定

使用 Azure NAT 閘道 的部署設計是刻意簡化的。 將 NAT 閘道連接到子網路和公共 IP 位址，並立即開始外接網路。 無需維護或路由配置。 你可以之後再加更多公共 IP 或子網路，而不會影響你現有的設定。

以下步驟展示了如何設置 NAT 閘道器的範例：

1. 建立非區域或區域NAT閘道器。

2. 指派公用 IP 位址或公用 IP 首碼。

3. 設定一個子網以使用 NAT 閘道器。

如有必要，請修改傳輸控制通訊協定 (TCP) 閑置逾時 (選擇性)。 在變更預設值之前，請先檢查計時器。

安全性

Azure NAT 閘道 是建立在 零信任 網路安全模型之上。 使用 Azure NAT 閘道 時，子網內的私有實例不需要公共 IP 位址就能連上網際網路。 私有資源可以使用 SNAT ，透過 Azure NAT 閘道 中的靜態公用 IP 位址或前綴來存取虛擬網路外的外部來源。

您可以使用公用 IP 前置詞，為輸出連線提供連續的 IP 集合。 你可以根據這個可預測的 IP 清單來設定目的地防火牆規則。

災害復原

Azure NAT 閘道 是一個完全受管理且分散式的服務。 它不相依於個別的計算實例，例如虛擬機或單一實體網關裝置。 NAT 閘道器總是有多個故障域，能夠承受多次故障而不會導致服務中斷。 軟體定義網路使 NAT 閘道具有高度韌性。

延展性

NAT Gateway 從建立時即已相應放大。 不需要進行逐步增加或擴展容量的作業。 Azure 會幫你管理 NAT 閘道器的運作。

將 NAT 閘道連接到子網路，為該子網內所有私有資源提供出站連線。 虛擬網路中的所有子網都可以使用相同的 NAT 閘道資源。 你可以透過將最多 16 個公共 IP 位址分配到 NAT 閘道器來擴展出站連線。 當你將 NAT 閘道與公開 IP 前綴關聯時，它會自動擴展到出站所需的 IP 位址數量。

效能

Azure NAT 閘道 是一種軟體定義網路服務。 每個 NAT 閘道器可處理高達 50 Gbps 的資料，涵蓋出站與回程流量。

NAT 閘道器不會影響你運算資源的網路頻寬。 如需詳細資訊，請參閱效能。

Azure NAT 閘道 基礎知識

Azure NAT 閘道 提供虛擬網路中資源的安全且可擴展的外站連線。

輸出連線能力

• 我們推薦的 Azure NAT 閘道 是外接連線的方法。

  若要將NAT閘道的出站存取權從預設出站存取或負載平衡器規則遷移，請參見將出站存取遷移至Azure NAT 閘道。

  附註

  自 2026 年 3 月 31 日起，新的虛擬網路預設使用私有子網。 預設不提供外撥存取。 改用明確的外站連線形式，例如 Azure NAT 閘道。

• Azure NAT 閘道 提供子網層級的出站連線。 它取代子網的預設網際網路目的地，以提供出站連線。

• Azure NAT 閘道 不需要在子網路路由表上設定任何路由設定。 當你將 NAT 閘道連接到子網後，它會立即提供出站連線。

• Azure NAT 閘道 允許從虛擬網路建立流向虛擬網路外的服務。 網際網路回程流量只有在回應活躍流量時才允許。 虛擬網路外的服務無法透過 NAT 閘道發起入站連線。

• Azure NAT 閘道 優先於其他出站連接方式，包括負載平衡器、實例層級公共 IP 位址及 Azure 防火牆。

• 針對所有新連線，Azure NAT 閘道 會優先於虛擬網路中設定的其他明確傳出方法。 使用其他明確傳出連線方法的現有連線，不會發生流量流程中斷。

• Azure NAT 閘道 不會有預設傳出存取和負載平衡器傳出規則相同的 SNAT 連接埠耗盡限制。

• Azure NAT 閘道 支援 TCP、使用者資料報協定（UDP）及網際網路控制訊息協定（ICMP）（Echo 請求與回聲回覆）。

  附註

  Azure StandardV2 NAT 閘道支援 IPv4 與 IPv6 的外發網際網路控制訊息協定（ICMP）Echo Request 與 Echo Reply（ping）。 此功能為預設提供，無需額外設定。 你可以使用 ping 工具（ICMP Echo）來驗證外撥連線，並快速診斷工作負載的可達性問題。 關於驗證連接性的步驟，請參見 「驗證 NAT 閘道連接性」。

• Azure NAT 閘道 支援 Azure App 服務 實例（網頁應用程式、REST API 及行動後端），透過 虛擬網路整合。

• 子網路有系統預設路由，會自動將目的地為0.0.0.0.0/0 的流量路由傳送至網際網路。 將 NAT Gateway 設定至子網路之後，子網路中的虛擬機器會使用 NAT Gateway 的公共 IP 與網際網路通訊。

• 當你在子網路路由表中為 0.0.0.0/0 流量建立使用者定義路由（UDR）時，你會覆蓋該流量的預設網路路徑。 若 UDR 將 0.0.0.0/0 流量傳送至虛擬設備或虛擬網路閘道（Azure VPN 閘道與 Azure ExpressRoute）作為下一跳類型，則會取代 NAT 閘道對網際網路的連線。

  以下是流程：

  連至下一個躍點虛擬設備或虛擬網路閘道的 UDR >> NAT 閘道 >> 虛擬機器上的執行個體層級公共 IP 位址 >> 負載平衡器傳出規則 >> 連至網際網路的預設系統路由。

NAT 閘道設定

• 同一虛擬網路中的多個子網可以使用不同的 NAT 閘道，或共用相同的 NAT 閘道。

• 你不能把多個 NAT 閘道器接到同一個子網。

• NAT 閘道器無法跨越多個虛擬網路。 不過，你可以使用 NAT 閘道器來提供樞紐輻射模式的外接連線。 如需詳細資訊，請參閱 Azure NAT 閘道 中樞與輪輻教學課程。

• 標準 NAT 閘道資源最多可使用 16 個 IPv4 公共 IP 位址。 一個 StandardV2 NAT 閘道資源最多可使用 16 個 IPv4 及 16 個 IPv6 公共 IP 位址。

• 你無法在閘 道子網 或包含 SQL 管理實例的子網路中部署 NAT 閘道。

• Azure NAT 閘道 可支援任何虛擬機網路介面或 IP 設定。 NAT 閘道器可以在網路介面上使用 SNAT 進行多個 IP 配置。

• 您可以將 NAT Gateway 與中樞虛擬網路中的 Azure 防火牆子網路建立關聯，並從對等互連至中樞的輪輻虛擬網路提供傳出連線能力。 欲了解更多，請參閱關於 Azure 防火牆 與 Azure NAT 閘道 整合的文章。

可用性區域

• 你可以在特定可用區建立標準 NAT 閘道，或放在 無區。

• 當你建立 區域 NAT 閘道時，可以在特定區域隔離標準 NAT 閘道。 部署 NAT 閘道器後，區域選擇無法更改。

• 預設情況下，標準 NAT 閘道器會被放置在 無區域。 Azure會在某個區域放置一個非區域 NAT 閘道。

• StandardV2 NAT 閘道具有區域冗餘性，能在區域內所有可用區域運作，以在單一區域故障時維持連線。

預設輸出存取

• 為了提供安全的外出網際網路連線，請 啟用私人子網。 透過這種方法，你可以避免建立預設的出站 IP，而是使用明確的出站連接方式，例如 NAT 閘道器。

• 某些服務在私有子網路的虛擬機器上無法運作，除非有明確的外接連接方式，例如 Windows 啟用與 Windows 更新。 啟用或更新虛擬機作業系統（如 Windows）需要明確的出站連接方式，例如NAT閘道。

• 若要將NAT閘道的出站存取權從預設出站存取或負載平衡器規則遷移，請參見將出站存取遷移至Azure NAT 閘道。

附註

自 2026 年 3 月 31 日起，新的虛擬網路預設使用私有子網。 預設的出站存取 權不再自動提供。 您必須啟用明確的外發方式，才能在網際網路及 Microsoft 內部的公共端點取得存取。 改用明確的外接連線方式，比如 NAT 閘道器。

Azure NAT 閘道和基本資源

• 標準 NAT 閘道器使用標準公用 IP 位址或公用 IP 前綴。 StandardV2 NAT 閘道器僅能使用公用 IP 位址或公用 IP 前綴。

• 你無法在有基本資源的子網使用 Azure NAT 閘道。 Basic SKU 的資源，例如 Basic 負載平衡器或 Basic 公共 IP，無法與 Azure NAT 閘道 相容。 你可以將 Basic 負載平衡器和 Basic 公共 IP 升級成 Standard，以便搭配 NAT 閘道器運作。

  • 欲了解更多關於將負載平衡器從 Basic 升級為標準的資訊，請參見 「升級基本負載平衡器」。

  • 欲了解更多關於將公共 IP 從 Basic 升級為標準的資訊，請參閱 「升級公共 IP 位址」。

  • 欲了解更多關於將連接虛擬機的公共 IP 從 Basic 升級為標準的資訊，請參閱 「升級附加於虛擬機的 Basic 公共 IP」。

連線逾時和計時器

• Azure NAT 閘道 會對任何它不識別為現有連線的連線流發送 TCP 重置（RST）封包。 如果達到 Azure NAT 閘道 閒置逾時，或連線已提前關閉，連線流程就不再存在。

• 當不存在的連線流上的流量發送者收到 Azure NAT 閘道 TCP RST 封包時，該連線就無法使用。

• 在連線關閉之後，便無法重複使用 SNAT 連接埠連線至相同的目的地端點。 Azure NAT 閘道 會將 SNAT 埠口置於冷卻狀態，才能重新使用以連接同一目的地端點。

• TCP 流量的 SNAT 埠重用（冷卻）計時器時間會依連線關閉方式而異。 欲了解更多，請參閱 埠重用計時器。

• Azure NAT 閘道 TCP 的閒置逾時計時器預設為 4 分鐘，但可延長至 120 分鐘。 流程上的任何活動（包括 TCP keepalive）都可以重設閒置計時器。 欲了解更多，請參閱 閒置暫停計時器。

• UDP 流量的閒置逾時計時器為 4 分鐘，且無法變更。

• UDP 流量的埠重用計時器為 65 秒。 在此持續期間內，連接埠會處於保留狀態，之後才可供相同目的地端點重複使用。

價格和 SLA

標準和 StandardV2 NAT 閘道器價格相同。 更多資訊請參閱 Azure NAT 閘道 價格。

關於服務水準協議（SLA）的資訊，請參閱Microsoft 的線上服務 SLA。

相關內容

• 欲了解更多關於建立與驗證 NAT 閘道器的資訊，請參見 快速入門：使用 Azure portal 建立 NAT 閘道。

• 欲觀看提供更多Azure NAT 閘道資訊的影片，請參見如何使用 Azure NAT 閘道獲得更好的外站連線。

• 欲了解更多關於 NAT 閘道資源的資訊，請參閱 NAT 閘道資源。