Co to jest usługa Azure NAT Gateway?
Usługa Azure NAT Gateway to w pełni zarządzana i wysoce odporna usługa translatora adresów sieciowych (NAT). Brama translatora adresów sieciowych platformy Azure umożliwia wszystkim wystąpieniom w podsieci prywatnej połączenie wychodzące z Internetem, a jednocześnie pozostanie w pełni prywatne. Niechciane połączenia przychodzące z Internetu nie są dozwolone za pośrednictwem bramy translatora adresów sieciowych. Tylko pakiety przychodzące jako pakiety odpowiedzi do połączenia wychodzącego mogą przechodzić przez bramę translatora adresów sieciowych.
Brama translatora adresów sieciowych udostępnia dynamiczne funkcje portów SNAT w celu automatycznego skalowania łączności wychodzącej i zmniejszenia ryzyka wyczerpania portów SNAT.
Rysunek: Brama translatora adresów sieciowych platformy Azure
Usługa Azure NAT Gateway zapewnia łączność wychodzącą dla wielu zasobów platformy Azure, w tym:
Maszyny wirtualne platformy Azure lub zestawy skalowania maszyn wirtualnych w podsieci prywatnej.
Klastry usług Azure Kubernetes Services (AKS).
Grupa kontenerów platformy Azure.
Aplikacje funkcji platformy Azure.
Podsieć usługi Azure Firewall.
aplikacja systemu Azure Wystąpienia usług (aplikacje internetowe, interfejsy API REST i zaplecza dla urządzeń przenośnych) za pośrednictwem integracji z siecią wirtualną.
Usługa Azure Databricks lub iniekcja sieci wirtualnej.
Korzyści z usługi Azure NAT Gateway
Prosta konfiguracja
Wdrożenia są celowo proste z bramą translatora adresów sieciowych. Dołącz bramę translatora adresów sieciowych do podsieci i publicznego adresu IP i zacznij od razu łączyć się wychodzące z Internetem. Wymagana jest zerowa konserwacja i konfiguracja routingu. Więcej publicznych adresów IP lub podsieci można dodać później bez wpływu na istniejącą konfigurację.
Poniżej przedstawiono przykład konfigurowania bramy translatora adresów sieciowych:
Utwórz niezonową lub strefową bramę translatora adresów sieciowych.
Przypisz publiczny adres IP lub prefiks publicznego adresu IP.
Skonfiguruj podsieć sieci wirtualnej do używania bramy translatora adresów sieciowych.
W razie potrzeby zmodyfikuj limit czasu bezczynności protokołu Transmission Control Protocol (TCP) (opcjonalnie). Przejrzyj czasomierze przed zmianą wartości domyślnej.
Zabezpieczenia
Brama translatora adresów sieciowych jest oparta na modelu zabezpieczeń sieci zerowego zaufania i jest domyślnie bezpieczna. W przypadku bramy translatora adresów sieciowych wystąpienia prywatne w podsieci nie wymagają publicznych adresów IP, aby uzyskać dostęp do Internetu. Zasoby prywatne mogą uzyskiwać dostęp do źródeł zewnętrznych poza siecią wirtualną przez tłumaczenie adresów sieciowych (SNAT) na statyczne publiczne adresy IP lub prefiksy bramy translatora adresów sieciowych. Możesz podać ciągły zestaw adresów IP dla łączności wychodzącej przy użyciu prefiksu publicznego adresu IP. Reguły zapory docelowej można skonfigurować na podstawie tej przewidywalnej listy adresów IP.
Odporność
Usługa Azure NAT Gateway to w pełni zarządzana i rozproszona usługa. Nie zależy to od poszczególnych wystąpień obliczeniowych, takich jak maszyny wirtualne lub pojedyncze urządzenie bramy fizycznej. Brama translatora adresów sieciowych zawsze ma wiele domen błędów i może obsługiwać wiele awarii bez awarii usługi. Sieć zdefiniowana programowo sprawia, że brama translatora adresów sieciowych jest wysoce odporna.
Skalowalność
Brama translatora adresów sieciowych jest skalowana w poziomie od momentu utworzenia. Nie jest wymagana operacja zwiększania skali ani zwiększania skali w poziomie. Platforma Azure zarządza operacją bramy translatora adresów sieciowych.
Dołącz bramę translatora adresów sieciowych do podsieci, aby zapewnić łączność wychodzącą dla wszystkich zasobów prywatnych w tej podsieci. Wszystkie podsieci w sieci wirtualnej mogą używać tego samego zasobu bramy translatora adresów sieciowych. Łączność wychodząca można skalować w poziomie przez przypisanie maksymalnie 16 publicznych adresów IP lub prefiks publicznego adresu IP o rozmiarze /28 do bramy translatora adresów sieciowych. Gdy brama translatora adresów sieciowych jest skojarzona z prefiksem publicznego adresu IP, jest automatycznie skalowana do liczby adresów IP wymaganych do ruchu wychodzącego.
Wydajność
Usługa Azure NAT Gateway to usługa sieci zdefiniowana programowo. Każda brama translatora adresów sieciowych może przetwarzać do 50 Gb/s danych zarówno dla ruchu wychodzącego, jak i zwrotnego.
Brama translatora adresów sieciowych nie ma wpływu na przepustowość sieci zasobów obliczeniowych. Dowiedz się więcej o wydajności bramy translatora adresów sieciowych.
Podstawy usługi Azure NAT Gateway
Łączność wychodząca
Brama translatora adresów sieciowych jest zalecaną metodą łączności wychodzącej.
- Aby przeprowadzić migrację dostępu wychodzącego do bramy translatora adresów sieciowych z domyślnego dostępu wychodzącego lub reguł ruchu wychodzącego modułu równoważenia obciążenia, zobacz Migrowanie dostępu wychodzącego do bramy translatora adresów sieciowych platformy Azure.
Uwaga
30 września 2025 r. zostanie wycofany domyślny dostęp wychodzący dla nowych wdrożeń. Zaleca się użycie jawnej formy łączności wychodzącej, takiej jak brama translatora adresów sieciowych.
Ruch wychodzący jest definiowany na poziomie podsieci z bramą translatora adresów sieciowych. Brama translatora adresów sieciowych zastępuje domyślną docelową lokalizację internetową podsieci.
Konfiguracje routingu ruchu nie są wymagane do korzystania z bramy translatora adresów sieciowych.
Brama translatora adresów sieciowych umożliwia tworzenie przepływów z sieci wirtualnej do usług spoza sieci wirtualnej. Ruch zwrotny z Internetu jest dozwolony tylko w odpowiedzi na aktywny przepływ. Usługi spoza sieci wirtualnej nie mogą zainicjować połączenia przychodzącego za pośrednictwem bramy translatora adresów sieciowych.
Brama translatora adresów sieciowych ma pierwszeństwo przed innymi metodami łączności wychodzącej, w tym modułem równoważenia obciążenia, publicznymi adresami IP na poziomie wystąpienia i usługą Azure Firewall.
Gdy brama translatora adresów sieciowych jest skonfigurowana do sieci wirtualnej, w której istnieje już inna metoda łączności wychodzącej, brama translatora adresów sieciowych przejmuje cały ruch wychodzący do przodu. Brak spadków przepływu ruchu dla istniejących połączeń w usłudze Azure Load Balancer. Wszystkie nowe połączenia używają bramy translatora adresów sieciowych.
Brama translatora adresów sieciowych nie ma tych samych ograniczeń wyczerpania portów SNAT, co domyślne reguły dostępu wychodzącego i wychodzącego modułu równoważenia obciążenia.
Brama translatora adresów sieciowych obsługuje tylko protokoły TCP i User Datagram Protocol (UDP). Protokół ICMP (Internet Control Message Protocol) nie jest obsługiwany.
Trasy ruchu
Podsieć ma domyślną trasę systemową, która automatycznie kieruje ruch z miejscem docelowym 0.0.0.0/0 do Internetu. Po skonfigurowaniu bramy translatora adresów sieciowych do podsieci komunikacja z maszyn wirtualnych istniejących w podsieci do Internetu będzie określać priorytety przy użyciu publicznego adresu IP bramy translatora adresów sieciowych.
Bramę translatora adresów sieciowych można zastąpić jako domyślną trasę systemową podsieci do Internetu przy użyciu tworzenia niestandardowej trasy zdefiniowanej przez użytkownika (UDR) dla ruchu 0.0.0.0/0.
Obecność tras zdefiniowanych przez użytkownika (UDR) dla urządzeń wirtualnych, bramy sieci VPN i usługi ExpressRoute dla ruchu podsieci 0.0.0.0/0 powoduje kierowanie ruchu do tych usług zamiast bramy translatora adresów sieciowych.
Łączność wychodząca jest zgodna z tą kolejnością pierwszeństwa między różnymi metodami routingu i łączności wychodzącej:
- Trasa zdefiniowana przez użytkownika z wirtualnym urządzeniem/bramą sieci VPN / bramą >> translatora adresów sieciowych usługi ExpressRoute >> publiczny adres IP na poziomie wystąpienia maszyny >> wirtualnej Reguły >> ruchu wychodzącego modułu równoważenia obciążenia domyślną trasą systemową do Internetu.
Konfiguracje bramy translatora adresów sieciowych
Wiele podsieci w tej samej sieci wirtualnej może używać różnych bram translatora adresów sieciowych lub tej samej bramy translatora adresów sieciowych.
Nie można dołączyć wielu bram translatora adresów sieciowych do jednej podsieci.
Brama translatora adresów sieciowych nie może obejmować wielu sieci wirtualnych.
Bramy translatora adresów sieciowych nie można wdrożyć w podsieci bramy.
Zasób bramy translatora adresów sieciowych może używać maksymalnie 16 adresów IP w dowolnej kombinacji następujących typów:
Publiczne adresy IP.
Prefiksy publicznych adresów IP.
Publiczne adresy IP i prefiksy pochodzące z niestandardowych prefiksów IP (BYOIP), aby dowiedzieć się więcej, zobacz Niestandardowy prefiks adresu IP (BYOIP) .
Brama translatora adresów sieciowych nie może być skojarzona z publicznym adresem IP IPv6 ani prefiksem publicznego adresu IP IPv6.
Brama translatora adresów sieciowych może być używana z modułem równoważenia obciążenia przy użyciu reguł ruchu wychodzącego w celu zapewnienia łączności wychodzącej z dwoma stosami. Zobacz Łączność wychodząca z podwójnym stosem z bramą translatora adresów sieciowych i modułem równoważenia obciążenia.
Brama translatora adresów sieciowych współdziała z dowolnym interfejsem sieciowym maszyny wirtualnej lub konfiguracją adresu IP. Brama translatora adresów sieciowych może wielokrotnie konfigurować adresy IP w interfejsie sieciowym.
Brama translatora adresów sieciowych może być skojarzona z podsiecią usługi Azure Firewall w sieci wirtualnej piasty i zapewnić łączność wychodzącą z sieci wirtualnych szprych równorzędnych do koncentratora. Aby dowiedzieć się więcej, zobacz Integracja usługi Azure Firewall z bramą translatora adresów sieciowych.
Strefy dostępności
Bramę translatora adresów sieciowych można utworzyć w określonej strefie dostępności lub umieścić w żadnej strefie.
Brama translatora adresów sieciowych może być odizolowana w określonej strefie podczas tworzenia scenariuszy izolacji strefy. To wdrożenie jest nazywane wdrożeniem strefowym. Po wdrożeniu bramy translatora adresów sieciowych nie można zmienić wyboru strefy.
Brama translatora adresów sieciowych nie jest domyślnie umieszczana w żadnej strefie . Brama translatora adresów sieciowych nienależących do stref jest umieszczana w strefie dla Ciebie przez platformę Azure.
Brama translatora adresów sieciowych i podstawowe zasoby
Brama translatora adresów sieciowych jest zgodna ze standardowymi publicznymi adresami IP lub zasobami prefiksu publicznego adresu IP lub kombinacją obu tych adresów.
Podstawowe zasoby, takie jak podstawowy moduł równoważenia obciążenia lub podstawowe publiczne adresy IP, nie są zgodne z bramą translatora adresów sieciowych. Bramy translatora adresów sieciowych nie można używać z podsieciami, w których istnieją podstawowe zasoby. Podstawowy moduł równoważenia obciążenia i podstawowy publiczny adres IP można uaktualnić do warstwy Standardowa w celu pracy z bramą translatora adresów sieciowych.
Aby uzyskać więcej informacji na temat uaktualniania modułu równoważenia obciążenia z podstawowego do standardu, zobacz Uaktualnianie publicznego podstawowego modułu równoważenia obciążenia azure.
Aby uzyskać więcej informacji na temat uaktualniania publicznego adresu IP z podstawowego do standardu, zobacz Uaktualnianie publicznego adresu IP.
Aby uzyskać więcej informacji na temat uaktualniania podstawowego publicznego adresu IP dołączonego do maszyny wirtualnej z podstawowej do standardowej, zobacz Uaktualnianie podstawowego publicznego adresu IP dołączonego do maszyny wirtualnej.
limity czasu Połączenie ion i czasomierze
Brama translatora adresów sieciowych wysyła pakiet resetowania protokołu TCP (RST) dla dowolnego przepływu połączenia, który nie rozpoznaje jako istniejącego połączenia. Przepływ połączenia już nie istnieje, jeśli osiągnięto limit czasu bezczynności bramy translatora adresów sieciowych lub połączenie zostało zamknięte wcześniej.
Gdy nadawca ruchu w nieistniejącym przepływie połączenia odbiera pakiet TCP RST bramy translatora adresów sieciowych, połączenie nie jest już możliwe do użycia.
Porty SNAT nie są łatwo dostępne do ponownego użycia w tym samym punkcie końcowym docelowym po zamknięciu połączenia. Brama translatora adresów sieciowych umieszcza porty SNAT w stanie schładzania, zanim będzie można ponownie użyć ich do nawiązania połączenia z tym samym docelowym punktem końcowym.
Czasy czasomierza ponownego użycia portów SNAT (schładzania) różnią się w zależności od sposobu zamknięcia połączenia. Aby dowiedzieć się więcej, zobacz Ponowne użycie portów czasomierzy.
Jest używany domyślny limit czasu bezczynności protokołu TCP 4 minut i można go zwiększyć do 120 minut. Każde działanie w przepływie może również zresetować czasomierz bezczynności, w tym elementy utrzymania protokołu TCP. Aby dowiedzieć się więcej, zobacz Czasomierze limitu czasu bezczynności.
Ruch UDP ma limit czasu bezczynności 4 minut, którego nie można zmienić.
Ruch UDP ma czasomierz ponownego użycia portu 65 sekund, dla którego port jest wstrzymany, zanim będzie dostępny do ponownego użycia w tym samym punkcie końcowym docelowym.
Cennik i umowa dotycząca poziomu usług (SLA)
Aby uzyskać informacje o cenach usługi Azure NAT Gateway, zobacz Cennik bramy translatora adresów sieciowych.
Aby uzyskać informacje na temat umowy SLA, zobacz Umowa SLA dla usługi Azure NAT Gateway.
Następne kroki
Aby uzyskać więcej informacji na temat tworzenia i weryfikowania bramy translatora adresów sieciowych, zobacz Szybki start: tworzenie bramy translatora adresów sieciowych przy użyciu witryny Azure Portal.
Aby wyświetlić film wideo na temat usługi Azure NAT Gateway, zobacz Jak uzyskać lepszą łączność wychodzącą przy użyciu bramy translatora adresów sieciowych platformy Azure.
Aby uzyskać więcej informacji na temat zasobu bramy translatora adresów sieciowych, zobacz Zasób bramy translatora adresów sieciowych.
Dowiedz się więcej o usłudze Azure NAT Gateway w następującym module:
Aby uzyskać więcej informacji na temat opcji architektury dla usługi Azure NAT Gateway, zobacz Artykuł Azure Well-Architected Framework review of an Azure NAT gateway (Przegląd platformy Azure Well-Architected Framework dla bramy translatora adresów sieciowych platformy Azure).