Mi az az Azure NAT Gateway?

Az Azure NAT Gateway egy teljes mértékben felügyelt és rendkívül rugalmas hálózati címfordítási (NAT) szolgáltatás. Az Azure NAT Gateway használatával lehetővé teheti, hogy egy privát alhálózat összes példánya kimenő kapcsolatot létesítsen az internethez, miközben teljes mértékben privát marad. Az internetről érkező kéretlen bejövő kapcsolatok nem engedélyezettek NAT-átjárón keresztül. A NAT-átjárón csak a kimenő kapcsolatra válaszcsomagként érkező csomagok haladhatnak át.

A NAT Gateway dinamikus SNAT-portfunkciót biztosít a kimenő kapcsolatok automatikus skálázásához és az SNAT-portok kimerülésének kockázatának csökkentéséhez.

Ábra: Azure NAT Gateway

Az Azure NAT Gateway számos Azure-erőforráshoz biztosít kimenő kapcsolatot, többek között a következőket:

• Azure-beli virtuális gépek vagy virtuálisgép-méretezési csoportok egy privát alhálózatban.

• Azure Kubernetes Services- (AKS-) fürtök.

• Azure Container Group.

• Azure Function Apps.

• Azure Firewall-alhálózat.

• Azure-alkalmazás szolgáltatáspéldányok (webalkalmazások, REST API-k és mobil háttérrendszerek) virtuális hálózati integráción keresztül.

• Azure Databricks vagy virtuális hálózati injektálással.

Az Azure NAT Gateway előnyei

Egyszerű beállítás

Az üzembe helyezéseket szándékosan egyszerűvé teszik a NAT-átjáróval. Csatolja a NAT-átjárót egy alhálózathoz és egy nyilvános IP-címhez, és azonnal kezdjen csatlakozni az internethez. Nincs szükség karbantartási és útválasztási konfigurációkra. Később további nyilvános IP-címek vagy alhálózatok is hozzáadhatók anélkül, hogy hatással lenne a meglévő konfigurációra.

Az alábbi lépések a NAT-átjáró beállítására mutatnak példát:

• Hozzon létre egy nem zónaalapú vagy zonális NAT-átjárót.

• Nyilvános IP-cím vagy nyilvános IP-előtag hozzárendelése.

• Konfigurálja a virtuális hálózati alhálózatot NAT-átjáró használatára.

Szükség esetén módosítsa a Transmission Control Protocol (TCP) tétlen időtúllépését (nem kötelező). Az alapértelmezett beállítás módosítása előtt tekintse át az időzítőket .

Biztonság

A NAT Gateway a nulla megbízhatósági hálózati biztonsági modellre épül, és alapértelmezés szerint biztonságos. A NAT-átjáróval az alhálózaton belüli privát példányoknak nincs szükségük nyilvános IP-címekre az internet eléréséhez. A magánerőforrások a forráshálózati címnek (SNAT) a NAT-átjáró statikus nyilvános IP-címére vagy előtagjaira történő fordításával érhetik el a virtuális hálózaton kívüli külső forrásokat. Nyilvános IP-előtag használatával egyidejű IP-címkészletet biztosíthat a kimenő kapcsolatokhoz. A cél tűzfalszabályok ezen kiszámítható IP-lista alapján konfigurálhatók.

Tartósság

Az Azure NAT Gateway egy teljes mértékben felügyelt és elosztott szolgáltatás. Ez nem függ az egyes számítási példányoktól, például virtuális gépektől vagy egyetlen fizikai átjáróeszköztől. Egy NAT-átjáró mindig több tartalék tartománnyal rendelkezik, és több hibát is képes fenntartani szolgáltatáskimaradás nélkül. A szoftveralapú hálózatkezelés rendkívül rugalmassá teszi a NAT-átjárót.

Méretezhetőség

A NAT-átjáró a létrehozástól kezdve felskálázva lesz. Nincs szükség vertikális felskálázási vagy vertikális felskálázási műveletre. Az Azure felügyeli a NAT-átjáró működését.

Csatolja a NAT-átjárót egy alhálózathoz, hogy kimenő kapcsolatot biztosítson az adott alhálózat összes magánerőforrásához. A virtuális hálózat összes alhálózata ugyanazt a NAT-átjáró-erőforrást használhatja. A kimenő kapcsolat 16 nyilvános IP-cím vagy /28 méretű nyilvános IP-előtag NAT-átjáróhoz rendelésével skálázható ki. Ha egy NAT-átjáró nyilvános IP-előtaghoz van társítva, az automatikusan a kimenő IP-címek számára skálázódik.

Teljesítmény

Az Azure NAT Gateway egy szoftveralapú hálózatkezelési szolgáltatás. Minden NAT-átjáró legfeljebb 50 Gb/s mennyiségű adatot képes feldolgozni a kimenő és a visszatérési forgalomhoz.

A NAT-átjárók nem befolyásolják a számítási erőforrások hálózati sávszélességét. További információ a NAT-átjáró teljesítményéről.

Az Azure NAT Gateway alapjai

Kimenő kapcsolat

• A NAT-átjáró a kimenő kapcsolatok ajánlott módszere.

  • Ha a NAT-átjáróhoz való kimenő hozzáférést az alapértelmezett kimenő hozzáférési vagy terheléselosztó-kimenő szabályokból szeretné migrálni, olvassa el az Azure NAT Gatewayhez való kimenő hozzáférés migrálását.

Feljegyzés

2025 . szeptember 30-án az új üzemelő példányok alapértelmezett kimenő hozzáférése megszűnik. Javasoljuk, hogy inkább a kimenő kapcsolatok explicit formáját használja, például a NAT-átjárót.

• A kimenő forgalom alhálózati szintenként van definiálva NAT-átjáróval. A NAT-átjáró lecseréli az alhálózat alapértelmezett internetes célját.

• A NAT-átjáró használatához nincs szükség forgalomirányítási konfigurációkra.

• A NAT-átjáró lehetővé teszi a folyamatok létrehozását a virtuális hálózatról a virtuális hálózaton kívüli szolgáltatásokra. Az internetről érkező forgalom visszaszolgáltatása csak aktív folyamatra válaszul engedélyezett. A virtuális hálózaton kívüli szolgáltatások nem kezdeményezhetnek bejövő kapcsolatot NAT-átjárón keresztül.

• A NAT-átjáró elsőbbséget élvez más kimenő kapcsolati módszerekkel szemben, beleértve a terheléselosztót, a példányszintű nyilvános IP-címeket és az Azure Firewallt.

• Ha a NAT-átjáró olyan virtuális hálózatra van konfigurálva, ahol már létezik egy másik kimenő kapcsolati módszer, a NAT-átjáró átveszi az összes kimenő forgalmat. Az Azure Load Balancer meglévő kapcsolataihoz nem csökken a forgalom. Minden új kapcsolat NAT-átjárót használ.

• A NAT-átjáró nem rendelkezik ugyanazokkal az SNAT-portkimerülési korlátozásokkal, mint a terheléselosztó alapértelmezett kimenő hozzáférési és kimenő szabályai.

• A NAT-átjáró csak a TCP és a User Datagram Protocol (UDP) protokollokat támogatja. Az Internet Control Message Protocol (ICMP) nem támogatott.

Forgalmi útvonalak

• Az alhálózat egy alapértelmezett rendszerútvonallal rendelkezik, amely a 0.0.0.0/0 célhelyet tartalmazó forgalmat automatikusan az internetre irányítja. Ha a NAT-átjáró az alhálózatra van konfigurálva, az alhálózatban meglévő virtuális gépek internetes kommunikációja a NAT-átjáró nyilvános IP-címének használatával rangsorolja az internetet.

• A NAT-átjárót az alhálózat alapértelmezett internetes útvonalaként felülbírálhatja egy egyéni, felhasználó által definiált útvonal (UDR) létrehozásával a 0.0.0.0/0-s forgalomhoz.

• Ha egy alhálózat 0.0.0.0/0 forgalmához felhasználói útvonalakat (UDR-eket) használnak a virtuális berendezésekhez, a VPN Gatewayhez és az ExpressRoute-hoz, a forgalom nat-átjáró helyett ezekre a szolgáltatásokra irányít.

• A kimenő kapcsolatok a különböző útválasztási és kimenő csatlakozási módszerek közötti sorrendet követik:

  • UDR virtuális berendezéssel / VPN Gateway/ExpressRoute >> NAT-átjáró >> példányszintű nyilvános IP-cím egy virtuális gépen >> Terheléselosztó kimenő szabályok >> alapértelmezett rendszerútvonala az internetre.

NAT-átjáró konfigurációi

• Ugyanazon a virtuális hálózaton belül több alhálózat is használhat különböző NAT-átjárókat vagy ugyanazt a NAT-átjárót.

• Több NAT-átjáró nem csatolható egyetlen alhálózathoz.

• A NAT-átjárók nem képesek több virtuális hálózatra is kiterjedni.

• A NAT-átjárók nem helyezhetők üzembe átjáróalhálózaton.

• A NAT-átjáró-erőforrások legfeljebb 16 IP-címet használhatnak az alábbi típusok tetszőleges kombinációjában:

  • Nyilvános IP-címek.

  • Nyilvános IP-előtagok.

  • Az egyéni IP-előtagokból (BYOIP) származtatott nyilvános IP-címek és előtagok további információt az Egyéni IP-címelőtag (BYOIP) című témakörben talál.

• A NAT-átjáró nem társítható nyilvános IPv6 IP-címhez vagy IPv6 nyilvános IP-előtaghoz.

• A NAT-átjáró a Terheléselosztóval kimenő szabályokkal használható a kettős veremű kimenő kapcsolat biztosításához. Tekintse meg a kettős verem kimenő kapcsolatát a NAT-átjáróval és a Terheléselosztóval.

• A NAT-átjáró bármilyen virtuálisgép-hálózati adapterrel vagy IP-konfigurációval működik. A NAT-átjáró több IP-konfigurációt is képes SNAT-t létrehozni egy hálózati adapteren.

• A NAT-átjáró társítható egy központi virtuális hálózat Azure Firewall-alhálózatához, és kimenő kapcsolatot biztosíthat a központhoz társviszonyban lévő küllős virtuális hálózatokról. További információ: Azure Firewall-integráció a NAT-átjáróval.

Rendelkezésreállási zónák

• Egy NAT-átjáró létrehozható egy adott rendelkezésre állási zónában, vagy egyetlen zónában sem helyezhető el.

• A NAT-átjáró egy adott zónában elkülöníthető zónaelkülönítési forgatókönyvek létrehozásakor. Ezt az üzembe helyezést zonális üzembe helyezésnek nevezzük. A NAT-átjáró üzembe helyezése után a zónakijelölés nem módosítható.

• A NAT-átjáró alapértelmezés szerint nincs zónába helyezve. Az Azure egy zónába helyez egy nem zonális NAT-átjárót .

NAT-átjáró és alapszintű erőforrások

• A NAT-átjáró kompatibilis a szabványos nyilvános IP-címekkel, a nyilvános IP-előtag-erőforrásokkal vagy a kettő kombinációjával.

• Az alapszintű erőforrások, például az alapszintű terheléselosztó vagy az alapszintű nyilvános IP-címek nem kompatibilisek a NAT-átjáróval. A NAT-átjáró nem használható olyan alhálózatokkal, ahol az alapvető erőforrások léteznek. Az alapszintű terheléselosztó és az alapszintű nyilvános IP-cím frissíthető szabványosra a NAT-átjárók használatához.

  • A terheléselosztó alapszintűről standardra való frissítéséről további információt a nyilvános alapszintű Azure Load Balancer frissítése című témakörben talál.

  • A nyilvános IP-címek alapszintűről standardra való frissítéséről további információt a nyilvános IP-címek frissítése című témakörben talál.

  • A virtuális géphez csatolt alapszintű nyilvános IP-cím alapszintűről standardra való frissítéséről további információt a virtuális géphez csatolt alapszintű nyilvános IP-cím frissítése című témakörben talál.

Csatlakozás időkorlátok és időzítők

• A NAT-átjáró TCP Reset (RST) csomagot küld minden olyan kapcsolati folyamathoz, amelyet nem ismer fel meglévő kapcsolatként. A kapcsolati folyamat már nem létezik, ha a NAT-átjáró üresjárati időtúllépését elérte, vagy a kapcsolatot korábban lezárták.

• Ha a nem párhuzamos kapcsolati folyamat forgalmának feladója megkapja a NAT-átjáró TCP RST-csomagját, a kapcsolat már nem használható.

• Az SNAT-portok nem érhetők el újból ugyanarra a célvégpontra a kapcsolat bezárása után. A NAT-átjáró lehűlési állapotba helyezi az SNAT-portokat, mielőtt újra felhasználhatók lennének ugyanahhoz a célvégponthoz való csatlakozáshoz.

• Az SNAT-portok újrahasználati (lehűlési) időzítőjének időtartama a kapcsolat bezárásától függően eltérő a TCP-forgalom esetében. További információ: Port újrafelhasználási időzítők.

• A rendszer 4 perces alapértelmezett TCP-tétlenségi időtúllépést használ, amely akár 120 percre is növelhető. A folyamat bármely tevékenysége alaphelyzetbe állíthatja az üresjárati időzítőt is, beleértve a TCP-megőrzéseket is. További információ: Tétlen időtúllépési időzítők.

• Az UDP-forgalom üresjárati időtúllépési időzítője 4 perc, amely nem módosítható.

• Az UDP-forgalom 65 másodperces port-újrahasználati időzítővel rendelkezik, amelynél a port várakozik, mielőtt felhasználható lenne ugyanahhoz a célvégponthoz.

Díjszabási és szolgáltatásiszint-szerződés (SLA)

Az Azure NAT Gateway díjszabását a NAT-átjáró díjszabásában talál.

Az SLA-val kapcsolatos információkért lásd az Azure NAT Gateway SLA-ját.

Következő lépések

• A NAT-átjárók létrehozásával és érvényesítésével kapcsolatos további információkért tekintse meg a NAT-átjáró azure portalon történő létrehozását ismertető rövid útmutatót.

• Az Azure NAT-átjáróval kapcsolatos további információkról szóló videó megtekintéséhez tekintse meg az Azure NAT-átjáróval való jobb kimenő kapcsolatot.

• A NAT-átjáró erőforrásával kapcsolatos további információkért lásd a NAT-átjáró erőforrását.

• További információ az Azure NAT Gatewayről a következő modulban:

  • Learn modul: Bevezetés az Azure NAT Gateway használatába.

• Az Azure NAT Gateway architektúrabeállításairól további információt az Azure NAT-átjáró Azure Well-Architected Framework-áttekintésében talál.