什麼是 Azure NAT Gateway?

Azure NAT 閘道是完全受控且具有高度彈性的網路位址轉換 (NAT) 服務。 您可以使用 Azure NAT 閘道讓私人子網中的所有實例連線到因特網,同時保持完全私人。 不允許透過 NAT 閘道從因特網進行未經請求的輸入連線。 只有以回應封包的形式抵達輸出連線的封包才能通過NAT閘道。

NAT 閘道提供動態 SNAT 埠功能,可自動調整輸出連線能力,並降低 SNAT 埠耗盡的風險。

Figure shows a NAT receiving traffic from internal subnets and directing it to a public IP (PIP) and an IP prefix.

圖:Azure NAT 閘道

Azure NAT 閘道提供許多 Azure 資源的輸出連線能力,包括:

Azure NAT 閘道優點

簡單設定

部署是刻意使用 NAT 閘道來簡化的。 將 NAT 閘道連結至子網和公用 IP 位址,並開始立即連線到因特網的輸出。 不需要維護及路由設定。 稍後可以新增更多公用IP或子網,而不會影響您現有的組態。

下列步驟是如何設定 NAT 閘道的範例:

  • 建立非區域或區域性 NAT 閘道。

  • 指派公用IP位址或公用IP前綴。

  • 設定虛擬網路子網以使用NAT閘道。

如有必要,請修改傳輸控制通訊協定 (TCP) 閑置逾時 (選擇性)。 在變更預設值之前,請先檢閱定時器。

安全性

NAT 閘道是以零信任網路安全性模型為基礎建置,且預設為安全。 使用 NAT 閘道時,子網內的私人實例不需要公用IP位址才能連線到因特網。 私人資源可以透過來源網路位址轉譯 (SNAT) 到 NAT 閘道的靜態公用 IP 位址或前綴,連線到虛擬網路外部的外部來源。 您可以使用公用IP前置詞,為輸出連線提供連續的IP集合。 您可以根據這個可預測的IP清單來設定目的地防火牆規則。

復原

Azure NAT 閘道是完全受控和分散式服務。 它不相依於個別的計算實例,例如 VM 或單一實體閘道裝置。 NAT 閘道一律有多個容錯網域,而且可以維持多個失敗,而不會發生服務中斷。 軟體定義的網路功能讓NAT閘道具有高度彈性。

延展性

NAT 閘道會從建立相應放大。 不需要相應增加或相應放大作業。 Azure 會為您管理 NAT 閘道的作業。

將 NAT 閘道連結至子網,以提供該子網中所有私人資源的輸出連線能力。 虛擬網路中的所有子網都可以使用相同的NAT閘道資源。 輸出連線可透過將最多16個公用IP位址或 /28大小的公用IP前置綴指派給NAT閘道,來相應放大。 當 NAT 閘道與公用 IP 前置新聞聯時,會自動調整為輸出所需的IP位址數目。

效能

Azure NAT 閘道是軟體定義的網路服務。 每個 NAT 閘道最多可處理輸出和傳回流量的 50 Gbps 數據。

NAT 閘道不會影響計算資源的網路頻寬。 深入瞭解 NAT 閘道的效能

Azure NAT 閘道基本概念

輸出連線

注意

2025 年 9 月 30 日, 新部署的預設輸出存取 將會淘汰。 建議改用明確的輸出連線形式,例如 NAT 閘道。

  • 輸出是在具有 NAT 閘道的每個子網層級定義。 NAT 閘道會取代子網的預設因特網目的地。

  • 流量路由設定不需要使用NAT閘道。

  • NAT 閘道允許從虛擬網路建立流程到虛擬網路外部的服務。 只允許從因特網傳回流量,以回應作用中的流程。 虛擬網路外部的服務無法透過NAT閘道起始輸入連線。

  • NAT 閘道優先於其他輸出連線方法,包括負載平衡器、實例層級公用IP位址,以及 Azure 防火牆。

  • 當 NAT 閘道設定為已存在不同輸出連線方法的虛擬網路時,NAT 閘道會接管所有輸出流量向前移動。 Azure Load Balancer 上現有連線的流量流量不會下降。 所有新的連線都會使用 NAT 閘道。

  • NAT 閘道沒有與負載平衡器的預設輸出存取輸出規則相同的 SNAT 連接埠耗盡限制。

  • NAT 閘道僅支援 TCP 和使用者數據報通訊協定 (UDP) 通訊協定。 不支援因特網控制訊息通訊協定(ICMP)。

流量路由

  • NAT 閘道會在設定時取代子網 的系統預設路由 至因特網。 當 NAT 閘道連結至子網時,0.0.0.0/0 前置詞中的所有流量都會路由傳送至 NAT 閘道,再將輸出至因特網。

  • 您可以針對 0.0.0.0/0 流量建立自定義使用者定義路由,將 NAT 閘道覆寫為子網的系統預設路由至因特網。

  • 虛擬設備的使用者定義路由(UDR)存在、VPN 閘道,以及子網 0.0.0.0/0 流量的 ExpressRoute 會導致流量路由至這些服務,而不是 NAT 閘道。

  • 輸出連線遵循不同路由和輸出連線方法之間的優先順序:

    • 虛擬機>>負載平衡器輸出規則>>預設系統路由傳送至因特網的虛擬設備 UDR/VPN 閘道/ExpressRoute >> NAT 閘道>>實例層級公用 IP 位址。

NAT 閘道組態

  • 相同虛擬網路內的多個子網可以使用不同的NAT閘道或相同的NAT閘道。

  • 多個 NAT 閘道無法連結至單一子網。

  • NAT 閘道無法跨越多個虛擬網路。

  • NAT 閘道無法部署在閘道子網

  • NAT 閘道資源可在下列類型的任何組合中使用最多 16 個 IP 位址:

  • NAT 閘道無法與 IPv6 公用 IP 位址或 IPv6 公用 IP 前置相關聯。

  • NAT 閘道可以搭配使用輸出規則的負載平衡器使用,以提供雙堆棧輸出連線能力。 請參閱 與 NAT 閘道和負載平衡器的雙重堆疊輸出連線。

  • NAT 閘道可與任何虛擬機網路介面或IP組態搭配運作。 NAT 閘道可以在網路介面上 SNAT 多個IP組態。

  • NAT 閘道可以與中樞虛擬網路中的 Azure 防火牆 子網相關聯,並提供與中樞對等互連之輪輻虛擬網路的輸出連線。 若要深入瞭解,請參閱 Azure 防火牆 與 NAT 閘道整合。

可用性區域

  • NAT 閘道可以在特定可用性區域中建立,或放在 任何區域中

  • 當您建立 區域隔離案例時,NAT 閘道可以在特定區域中隔離。 此部署稱為區域性部署。 部署 NAT 閘道之後,就無法變更區域選取範圍。

  • NAT 閘道預設不會置於 任何區域中 。 Azure 會將非區域 NAT 閘道 放在區域中。

NAT 閘道和基本資源

  • NAT 閘道與標準公用IP位址或公用IP前綴資源或兩者的組合相容。

  • 基本資源,例如基本負載平衡器或基本公用IP與NAT閘道不相容。 NAT 閘道無法與基本資源存在的子網搭配使用。 基本負載平衡器和基本公用IP可以升級為標準,以使用NAT閘道。

連線 逾時和定時器

  • NAT 閘道會針對無法辨識為現有連線的任何連線流程傳送 TCP 重設 (RST) 封包。 如果達到 NAT 閘道閒置逾時或先前已關閉連線,連線流程就不再存在。

  • 當非存在連線流程上的流量傳送者收到 NAT 閘道 TCP RST 封包時,就無法再使用連線。

  • 在連線關閉之後,SNAT 埠無法輕易地重複使用至相同的目的地端點。 NAT 閘道會將 SNAT 埠置於非經常性存取狀態,才能重複使用它們來連線到相同的目的地端點。

  • SNAT 埠重複使用 (冷卻) 定時器持續時間會因連線關閉方式而有所不同。 若要深入瞭解,請參閱 埠重複使用定時器

  • 默認 TCP 閑置逾時為 4 分鐘,最多可增加 120 分鐘。 流程上的任何活動也可以重設閑置定時器,包括 TCP Keepalives。 若要深入瞭解,請參閱 閑置逾時定時器

  • UDP 流量的閒置逾時定時器為 4 分鐘,無法變更。

  • UDP 流量的埠重複使用定時器為 65 秒,埠在可供重複使用至相同的目的地連接點之前,會保留埠。

定價和服務等級協定 (SLA)

如需 Azure NAT 閘道定價,請參閱 NAT 閘道定價

如需 SLA 的相關信息,請參閱 Azure NAT 閘道的 SLA。

下一步