Qu’est-ce que le service NAT de Réseau virtuel ?What is Virtual Network NAT?

Le service NAT (traduction d’adresses réseau) de Réseau virtuel simplifie la connectivité Internet sortante uniquement pour les réseaux virtuels.Virtual Network NAT (network address translation) simplifies outbound-only Internet connectivity for virtual networks. Quand il est configuré sur un sous-réseau, toute la connectivité sortante utilise vos adresses IP publiques statiques spécifiées.When configured on a subnet, all outbound connectivity uses your specified static public IP addresses. Une connectivité sortante est possible sans équilibreur de charge ni adresses IP publiques directement attachées aux machines virtuelles.Outbound connectivity is possible without load balancer or public IP addresses directly attached to virtual machines. NAT est complètement managé et hautement résilient.NAT is fully managed and highly resilient.

Figure depicts a NAT receiving traffic from internal subnets and directing it to a public IP (PIP) and an IP prefix.

Figure : Service NAT de Réseau virtuelFigure: Virtual Network NAT

Adresses IP statiques pour le trafic sortant uniquementStatic IP addresses for outbound-only

Une connectivité sortante peut être définie pour chaque sous-réseau avec NAT.Outbound connectivity can be defined for each subnet with NAT. Plusieurs sous-réseaux au sein du même réseau virtuel peuvent avoir différents services NAT.Multiple subnets within the same virtual network can have different NATs. Un sous-réseau est configuré en spécifiant la ressource de passerelle NAT à utiliser.A subnet is configured by specifying which NAT gateway resource to use. Tous les flux sortants UDP et TCP en provenance de toute instance de machine virtuelle utilisent la traduction d’adresses réseau (NAT).All UDP and TCP outbound flows from any virtual machine instance will use NAT.

NAT est compatible avec les ressources d’adresses IP publiques ou les ressources de préfixes d’adresses IP publiques de la référence SKU standard, ou avec une combinaison des deux.NAT is compatible with standard SKU public IP address resources or public IP prefix resources or a combination of both. Vous pouvez utiliser directement un préfixe d’adresse IP publique ou distribuer les adresses IP publiques du préfixe entre plusieurs ressources de passerelle NAT.You can use a public IP prefix directly or distribute the public IP addresses of the prefix across multiple NAT gateway resources. NAT nettoie tout le trafic vers la plage d’adresses IP du préfixe.NAT will groom all traffic to the range of IP addresses of the prefix. Tout filtrage des adresses IP de vos déploiements est à présent très simple.Any IP filtering of your deployments is now easy.

Tout le trafic sortant du sous-réseau est traité par NAT automatiquement sans aucune configuration par le client.All outbound traffic for the subnet is processed by NAT automatically without any customer configuration. Les routes définies par l’utilisateur ne sont pas nécessaires.User-defined routes aren't necessary. NAT est prioritaire sur les autres scénarios de trafic sortant et remplace la destination Internet par défaut d’un sous-réseau.NAT takes precedence over other outbound scenarios and replaces the default Internet destination of a subnet.

SNAT à la demande avec plusieurs adresses IP à mettre à l’échelleOn-demand SNAT with multiple IP addresses for scale

NAT utilise la « traduction d’adresses réseau de port » (PNAT ou PAT) et est recommandé pour la plupart des charges de travail.NAT uses "port network address translation" (PNAT or PAT) and is recommended for most workloads. Les charges de travail dynamiques ou divergentes peuvent être facilement adaptées à l’allocation de flux de trafic sortant à la demande.Dynamic or divergent workloads can be easily accommodated with on-demand outbound flow allocation. Sont ainsi évités une planification préalable, une préallocation et un surprovisionnement des ressources sortantes.Extensive pre-planning, pre-allocation, and ultimately overprovisioning of outbound resources is avoided. Les ressources de port SNAT sont partagées et disponibles sur tous les sous-réseaux à l’aide d’une ressource de passerelle NAT spécifique. Elles sont fournies en cas de besoin.SNAT port resources are shared and available across all subnets using a specific NAT gateway resource and are provided when needed.

Une adresse IP publique attachée à NAT fournit jusqu’à 64 000 flux simultanés pour respectivement UDP et TCP.A public IP address attached to NAT provides up to 64,000 concurrent flows for UDP and TCP respectively. Vous pouvez commencer avec une seule adresse IP et évoluer jusqu’à 16 adresses IP à l’aide d’adresses IP publiques ou de préfixes IP publics, ou les deux.You can start with a single IP address and scale up to 16 IP addresses using public IP addresses or public IP prefixes or both. Une ressource de passerelle NAT utilisera toutes les adresses IP associées à la ressource pour les connexions sortantes à partir de tous les sous-réseaux configurés avec la même ressource de passerelle NAT.A NAT gateway resource will use all IP addresses associated with the resource for outbound connections from all subnets configured with the same NAT gateway resource.

NAT autorise la création de flux depuis le réseau virtuel vers Internet.NAT allows flows to be created from the virtual network to the Internet. Le trafic de retour provenant d’Internet est uniquement autorisé en réponse à un flux actif.Return traffic from the Internet is only allowed in response to an active flow.

Contrairement au service SNAT de flux sortant d’équilibreur de charge, NAT ne présente aucune restriction quant à l’adresse IP privée d’une instance de machine virtuelle pouvant établir des connexions sortantes.Unlike load balancer outbound SNAT, NAT has no restrictions on which private IP of a virtual machine instance can make outbound connections. Les configurations IP principales et secondaires peuvent créer une connexion Internet sortante avec NAT.Primary and secondary IP configurations can create outbound Internet connection with NAT.

Coexistence des trafics entrant et sortantCoexistence of inbound and outbound

NAT est compatible avec les ressources SKU standard suivantes :NAT is compatible with the following standard SKU resources:

  • Équilibrage de chargeLoad balancer
  • Adresse IP publiquePublic IP address
  • Préfixe d’adresse IP publiquePublic IP prefix

Utilisées avec NAT, ces ressources fournissent une connectivité Internet entrante à vos sous-réseaux.When used together with NAT, these resources provide inbound Internet connectivity to your subnet(s). NAT fournit toute la connectivité Internet sortante à partir de vos sous-réseaux.NAT provides all outbound Internet connectivity from your subnet(s).

NAT et les fonctionnalités de la référence SKU standard compatibles connaissent la direction dans laquelle le flux a démarré.NAT and compatible Standard SKU features are aware of the direction the flow was started. Des scénarios de trafic entrant et sortant peuvent coexister.Inbound and outbound scenarios can coexist. Ces scénarios reçoivent les traductions d’adresses réseau appropriées, car ces fonctionnalités connaissent la direction du flux.These scenarios will receive the correct network address translations because these features are aware of the flow direction.

Figure depicts a NAT gateway that supports outbound traffic to the internet from a virtual network and inbound traffic with an instance-level public IP and a public load balancer.

Figure : Direction du flux NAT de Réseau virtuelFigure: Virtual Network NAT flow direction

Complètement managé et hautement résilientFully managed, highly resilient

NAT a déjà fait l’objet d’un scale-out complet dès le départ.NAT is fully scaled out from the start. Aucune opération de montée en puissance ni de scale-out n’est nécessaire.There's no ramp up or scale-out operation required. Azure gère le fonctionnement de NAT pour vous.Azure manages the operation of NAT for you. NAT a toujours plusieurs domaines d’erreur et peut supporter plusieurs défaillances sans interruption de service.NAT always has multiple fault domains and can sustain multiple failures without service outage.

Réinitialisation TCP pour les flux non reconnusTCP Reset for unrecognized flows

Le côté privé de NAT envoie des paquets de réinitialisation TCP pour les tentatives de communication sur une connexion TCP qui n’existe pas.The private side of NAT sends TCP Reset packets for attempts to communicate on a TCP connection that doesn't exist. Par exemple, des connexions ont atteint le délai d’inactivité.One example is connections that have reached idle timeout. Le paquet reçu suivant retourne une réinitialisation TCP à l’adresse IP privée pour signaler et forcer la fermeture de la connexion.The next packet received will return a TCP Reset to the private IP address to signal and force connection closure.

Le côté public de NAT ne génère pas de paquets de réinitialisation TCP ni tout autre trafic.The public side of NAT doesn't generate TCP Reset packets or any other traffic. Seul le trafic produit par le réseau virtuel du client est émis.Only traffic produced by the customer's virtual network is emitted.

Délai d’inactivité TCP configurableConfigurable TCP idle timeout

Un délai d’inactivité TCP par défaut de 4 minutes est utilisé et peut être augmenté à 120 minutes maximum.A default TCP idle timeout of 4 minutes is used and can be increased to up to 120 minutes. Toute activité sur un flux peut également réinitialiser le délai d’inactivité, y compris les conservations de connexion active TCP.Any activity on a flow can also reset the idle timer, including TCP keepalives.

Isolement régional ou zonal avec des zones de disponibilitéRegional or zone isolation with availability zones

Par défaut, le service NAT est régional.NAT is regional by default. Quand vous créez des scénarios de zones de disponibilité, NAT peut être isolé dans une zone spécifique (déploiement zonal).When creating availability zones scenarios, NAT can be isolated in a specific zone (zonal deployment).

Figure depicts three zonal stacks, each of which contains a NAT gateway and a subnet.

Figure : Service NAT de Réseau virtuel avec des zones de disponibilitéFigure: Virtual Network NAT with availability zones

Métriques multidimensionnelles pour l’observabilitéMulti-dimensional metrics for observability

Vous pouvez superviser le fonctionnement de votre NAT par le biais de métriques multidimensionnelles exposées dans Azure Monitor.You can monitor the operation of your NAT through multi-dimensional metrics exposed in Azure Monitor. Ces métriques peuvent servir à observer l’utilisation et à résoudre les problèmes.These metrics can be used to observe the usage and for troubleshooting. Les ressources de passerelle NAT exposent les métriques suivantes :NAT gateway resources expose the following metrics:

  • OctetsBytes
  • PaquetsPackets
  • Paquets ignorésDropped Packets
  • Nombre total de connexions SNATTotal SNAT connections
  • Transitions d’état de connexion SNAT par intervalle.SNAT connection state transitions per interval.

Contrat SLASLA

En disponibilité générale, le chemin de données NAT est au moins disponible à 99,9 %.At general availability, NAT data path is at least 99.9% available.

TarifsPricing

Pour plus d'informations sur les tarifs, consultez Tarification des réseaux virtuels.For pricing details, see Virtual Network pricing.

DisponibilitéAvailability

Le service NAT de réseau virtuel et la ressource de passerelle NAT sont disponibles dans toutes les régions des clouds Azure.Virtual Network NAT and the NAT gateway resource are available in all regions of all Azure clouds regions.

SuggestionsSuggestions

Nous aimerions savoir comment nous pouvons améliorer le service.We want to know how we can improve the service. Proposez-nous de nouvelles fonctionnalités et votez pour celles que vous préférez en nous contactant sur UserVoice for NAT.Propose and vote on what we should build next at UserVoice for NAT.

LimitesLimitations

  • NAT est compatible avec des ressources d’adresses IP publiques, de préfixes d’adresses IP publiques et d’équilibreur de charge de la référence SKU standard.NAT is compatible with standard SKU public IP, public IP prefix, and load balancer resources. Les ressources de base (par exemple, un équilibreur de charge de base) et tous les produits qui en dérivent ne sont pas compatibles avec NAT.Basic resources, such as basic load balancer, and any products derived from them aren't compatible with NAT. Les ressources de base doivent être placées sur un sous-réseau non configuré avec NAT.Basic resources must be placed on a subnet not configured with NAT.
  • La famille d’adresses IPv4 est prise en charge.IPv4 address family is supported. NAT n’interagit pas avec la famille d’adresses IPv6.NAT doesn't interact with IPv6 address family. NAT ne peut pas être déployé sur un sous-réseau avec un préfixe IPv6.NAT can't be deployed on a subnet with an IPv6 prefix.
  • NAT ne peut pas s’étendre sur plusieurs réseaux virtuels.NAT can't span multiple virtual networks.

Étapes suivantesNext steps