¿Qué es NAT de Virtual Network?
Virtual Network NAT es un servicio de traducción de direcciones de red (NAT) totalmente administrado y muy resistente. Virtual Network NAT simplifica la conectividad a Internet de salida para las redes virtuales. Cuando se configura en una subred, toda la conectividad saliente usa las direcciones IP públicas estáticas de Virtual Network NAT.
Ilustración: Virtual Network NAT
Ventajas de Virtual Network NAT
Seguridad
Con una puerta de enlace NAT, las máquinas virtuales individuales u otros recursos de proceso, no necesitan direcciones IP públicas y pueden permanecer privadas. Estos recursos, a pesar de no tener una dirección IP pública, pueden llegar a orígenes externos fuera de la red virtual. También puede asociar un prefijo de IP pública para asegurarse de que se usará un conjunto contiguo de direcciones IP para la salida. Las reglas de firewall de destino se pueden configurar en función de esta lista de direcciones IP predecibles.
Resistencia
La VIrtual Network NAT es un servicio totalmente administrado y distribuido. No depende de instancias de proceso individuales, como máquinas virtuales o un solo dispositivo de puerta de enlace físico. Las redes definidas por software hacen que una puerta de enlace NAT sea altamente resistente.
Escalabilidad
Virtual Network NAT se escala horizontalmente desde la creación. No existe ninguna operación de aumento ni de escalabilidad horizontal. Azure administra automáticamente la operación de Virtual Network NAT por ti. Una puerta de enlace NAT siempre tiene varios dominios de error y puede soportar varios errores sin que se interrumpa el servicio.
Un recurso de puerta de enlace NAT se puede asociar a una subred y se puede usar en todos los recursos de proceso de esa subred. Todas las subredes de una red virtual pueden usar el mismo recurso. Cuando una puerta de enlace NAT se asocia a un prefijo de IP pública, se escala automáticamente al número de direcciones IP necesarias para la salida.
Rendimiento
Virtual Network NAT es un servicio de red definido por software. Una puerta de enlace NAT no afectará al ancho de banda de red de los recursos de proceso. Descubra más sobre las métricas de la puerta de enlace NAT.
Fundamentos de Virtual Network NAT
Se puede crear una puerta de enlace NAT en una zona de disponibilidad específica. Virtual Network NAT no se coloca en ninguna zona de forma predeterminada. Azure coloca una puerta de enlace NAT no zonal en una zona para usted y no proporciona una garantía de redundancia. Al crear escenarios de zonas de disponibilidad, una puerta de enlace NAT se puede aislar en una zona específica. Esta implementación se denomina implementación zonal. Una vez implementada la puerta de enlace NAT, no se puede cambiar la selección de zona.
Se puede definir la conectividad de salida para todas las subredes con una puerta de enlace NAT. Distintas subredes dentro de la misma red virtual pueden tener diferentes puertas de enlace NAT. Varias subredes dentro de la misma red virtual pueden usar la misma puerta de enlace NAT. Para configurar una subred, es preciso especificar qué recurso de puerta de enlace de NAT se debe usar. Todo el tráfico de salida para la subred lo procesa la puerta de enlace NAT automáticamente sin que el cliente tenga que configurar nada. Una puerta de enlace NAT tiene prioridad sobre otros escenarios de salida y reemplaza el destino de Internet predeterminado de una subred.
La presencia de UDR personalizas para aplicaciones virtuales y ExpressRoute invalida la puerta de enlace NAT para dirigir el tráfico enlazado a Internet (enrutar al prefijo de dirección 0.0.0.0/0). Consulte Solución de problemas de puerta de enlace NAT para obtener más información.
Virtual Network NAT solo admite protocolos TCP y UDP. No se admite ICMP.
Un recurso de puerta de enlace NAT puede usar hasta 16 direcciones IP en cualquier combinación de:
Direcciones IP públicas
Prefijos de IP públicas
Direcciones IP públicas y prefijos derivados de prefijos IP personalizados (BYOIP), para más información, consulte Prefijo de dirección IP personalizada (BYOIP)
Virtual Network NAT es compatible con direcciones IP públicas de la SKU estándar, con recursos de prefijo de IP pública o con una combinación de ambos. Puede usar un prefijo de IP pública directamente o distribuir las direcciones IP públicas del prefijo entre varios recursos de puerta de enlace de NAT. La puerta de enlace NAT limpiará todo el tráfico hacia el intervalo de direcciones IP del prefijo.
Los recursos básicos, como Load Balancer básico o las direcciones IP públicas básicas, no son compatibles con Virtual Network NAT. Los recursos básicos deben colocarse en una subred no asociada a una instancia de puerta de enlace NAT. El equilibrador de carga básico y la dirección IP pública básica se pueden actualizar al nivel estándar para que funcionen con una puerta de enlace NAT
Para actualizar un equilibrador de carga básico a estándar, consulte Actualización de Azure Load Balancer de público básico a público estándar.
Para actualizar una IP pública básica a estándar, consulte Actualización de una dirección IP pública.
Una puerta de enlace NAT no se puede asociar a una dirección IP pública IPv6 ni a un prefijo IP público IPv6. Se puede asociar a una subred de pila dual, pero solo podrá dirigir el tráfico saliente con una dirección IPv4.
Virtual Network NAT es el método recomendado para la conectividad de salida. Una puerta de enlace NAT no tiene las mismas limitaciones de agotamiento de puertos de SNAT que el acceso saliente predeterminado y que las reglas de salida de un equilibrador de carga.
- Para migrar el acceso saliente a una puerta de enlace NAT desde el acceso saliente predeterminado o las reglas salientes de un equilibrador de carga, consulte Migración del acceso de salida a Azure Virtual Network NAT.
Una puerta de enlace NAT permite crear flujos entre la red virtual y los servicios que se encuentran fuera de ella. El tráfico de retorno de Internet solo se permite en respuesta a un flujo activo. Los servicios fuera de la red virtual no pueden iniciar una conexión de entrada a través de la puerta de enlace NAT.
Una puerta de enlace de red NAT no puede abarcar varias redes virtuales
No se pueden asociar varias puertas de enlace NAT a una sola subred
No se puede implementar una puerta de enlace NAT en una subred de puerta de enlace
Las instancias de máquina virtual u otros recursos de proceso, envían paquetes de restablecimiento de TCP o intentan comunicarse en una conexión TCP que no existe. Un ejemplo son las conexiones que han alcanzado el tiempo de espera de inactividad. El siguiente paquete recibido devolverá un restablecimiento de TCP a la dirección IP privada para señalar y forzar el cierre de la conexión. El lado público de una puerta de enlace NAT no genera paquetes de restablecimiento de TCP ni ningún otro tipo de tráfico. Solo se emite el tráfico generado por la red virtual del cliente.
Se usa un tiempo de espera de inactividad de TCP predeterminado de 4 minutos que se puede aumentar hasta 120. Cualquier actividad de un flujo puede restablecer también el temporizador de actividad, lo que incluye mensajes TCP Keepalive.
Precios y contrato de nivel de servicio
Para obtener Azure Virtual Network NAT precios, consulte Precios de la puerta de enlace NAT.
Para obtener información sobre el Acuerdo de Nivel de Servicio, consulte Sla for Virtual Network NAT.
Pasos siguientes
Para crear una puerta de enlace NAT y asegurarse de que sea correcta, consulte Inicio rápido: crear una puerta de enlace NAT usando el Azure Portal.
Para ver un vídeo sobre más información sobre Azure Virtual Network NAT, consulte Cómo mejorar la conectividad saliente mediante una puerta de enlace de Azure NAT.
Conozca los recursos de puerta de enlace NAT.
Módulo de aprendizaje: Introducción a Azure Virtual Network NAT