Che cos'è il NAT di rete virtuale?

Nat di rete virtuale è un servizio NAT (Network Address Translation) completamente gestito e altamente resiliente. NAT VNet semplifica la connettività Internet in uscita per le reti virtuali. Se configurata in una subnet, tutta la connettività in uscita usa gli indirizzi IP pubblici statici del NAT della rete virtuale.

Figure shows a NAT receiving traffic from internal subnets and directing it to a public IP (PIP) and an IP prefix.

Figura: NAT di rete virtuale

Vantaggi nat di VNet

Sicurezza

Con NAT, le singole macchine virtuali (o altre risorse di elaborazione) non hanno bisogno di indirizzi IP pubblici e possono rimanere completamente private. Queste risorse senza un indirizzo IP pubblico possono comunque raggiungere origini esterne all'esterno della rete virtuale. È anche possibile associare un prefisso IP pubblico per assicurarsi che un set contiguo di indirizzi IP sia usato per la posta in uscita. Le regole del firewall di destinazione possono quindi essere configurate in base a questo elenco IP prevedibile.

Resilienza

NAT è un servizio completamente gestito e distribuito. Non dipende da singole istanze di calcolo, ad esempio macchine virtuali o un singolo dispositivo gateway fisico. Sfrutta la rete definita dal software per renderla altamente resiliente.

Scalabilità

Nat può essere associato a una subnet e può essere usato da tutte le risorse di calcolo in tale subnet. Inoltre, tutte le subnet in una rete virtuale possono sfruttare la stessa risorsa. Quando è associato a un prefisso IP pubblico, verrà automaticamente ridimensionato in base al numero di indirizzi IP necessari per la posta in uscita.

Prestazioni

NAT non influisce sulla larghezza di banda di rete delle risorse di elaborazione, perché si tratta di un servizio di rete definito dal software. Altre informazioni sulle prestazioni del gateway NAT.

Nozioni di base sul NAT di VNet

Nat può essere creato in una specifica area di disponibilità e ha ridondanza integrata all'interno dell'area specificata. NAT è non zonale per impostazione predefinita. Quando si creano scenari di zone di disponibilità, NAT può essere isolato in un'area specifica. Questa operazione è nota come distribuzione zonale.

NAT è completamente scalabile dall'inizio. Non è necessaria un'operazione di scalabilità orizzontale o verticale. Azure gestisce il funzionamento di NAT. NAT ha sempre più domini di errore e può sostenere più errori senza interruzione del servizio.

  • È possibile definire la connettività in uscita per ogni subnet con NAT. Più subnet all'interno della stessa rete virtuale possono avere naTs diversi. Oppure più subnet all'interno della stessa rete virtuale possono usare lo stesso NAT. Una subnet viene configurata specificando quale risorsa gateway NAT usare. Tutto il traffico in uscita per la subnet viene elaborato automaticamente da NAT senza alcuna configurazione del cliente. Le route definite dall'utente non sono necessarie. NAT ha la precedenza su altri scenari in uscita e sostituisce la destinazione Internet predefinita di una subnet.

  • NAT supporta solo i protocolli TCP e UDP. ICMP non è supportato.

  • Una risorsa gateway NAT può usare:

    • IP pubblico
    • Prefisso IP pubblico
  • NAT è compatibile con l'indirizzo IP pubblico SKU standard o con le risorse del prefisso IP pubblico o con una combinazione di entrambi. È possibile usare direttamente un prefisso IP pubblico o distribuire gli indirizzi IP pubblici del prefisso in più risorse gateway NAT. NAT pulirà tutto il traffico verso l'intervallo di indirizzi IP del prefisso. Le risorse di base, ad esempio Basic Load Balancer o Basic Public IP, non sono compatibili con NAT. Le risorse di base devono essere inserite in una subnet non associata a un gateway NAT. Basic Load Balancer e Basic Public IP possono essere aggiornati a standard per poter usare il gateway NAT.

  • NAT è il metodo consigliato per la connettività in uscita. Un gateway NAT non ha le stesse limitazioni dell'esaurimento delle porte SNAT, come le regole predefinite per l'accesso in uscita e le regole in uscita di un servizio di bilanciamento del carico.

    • Per eseguire la migrazione dell'accesso in uscita al gateway NAT dall'accesso in uscita predefinito o dalle regole in uscita di un servizio di bilanciamento del carico, vedere Eseguire la migrazione dell'accesso in uscita al NAT di rete virtuale di Azure
  • Nat non può essere associato a un indirizzo IP pubblico IPv6 o a un prefisso IP pubblico IPv6. Tuttavia, può essere associato a una subnet a doppio stack.

  • NAT consente di creare flussi dalla rete virtuale ai servizi esterni alla rete virtuale. Il traffico di ritorno da Internet è consentito solo in risposta a un flusso attivo. I servizi esterni alla rete virtuale non possono avviare una connessione alle istanze.

  • NAT non può estendersi su più reti virtuali.

  • Non è possibile collegare più NAT a una singola subnet.

  • Non è possibile distribuire NAT in una subnet del gateway

  • Il lato privato del NAT (istanze di macchine virtuali o altre risorse di elaborazione) invia pacchetti di reimpostazione TCP per i tentativi di comunicazione su una connessione TCP inesistente. Un esempio è le connessioni che hanno raggiunto il timeout di inattività. Il pacchetto successivo ricevuto restituirà un tcp reset all'indirizzo IP privato per segnalare e forzare la chiusura della connessione. Il lato pubblico di NAT non genera pacchetti di reimpostazione TCP o altro traffico. Viene generato solo il traffico prodotto dalla rete virtuale del cliente.

  • Viene usato un timeout di inattività TCP predefinito di 4 minuti e può essere aumentato fino a 120 minuti. Qualsiasi attività in un flusso può anche reimpostare il timer di inattività, inclusi i keepalives TCP.

Prezzi e contratto di servizio

Per informazioni dettagliate sui prezzi, vedere Prezzi della rete virtuale. Il percorso dati NAT è disponibile almeno il 99,9%.

Passaggi successivi