O que é NAT de Rede Virtual?

NAT da Rede Virtual é um serviço de conversão de endereços de rede (NAT) totalmente gerenciado e altamente resiliente. A NAT da VNet simplifica a conectividade com a Internet de saída para redes virtuais. Quando configurado em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos da NAT da VNet.

A figura mostra uma NAT recebendo tráfego de sub-redes internas e direcionando-o para um IP público (PIP) e um prefixo de IP.

Figura: NAT de Rede Virtual

Benefícios da NAT da VNet

Segurança

Com a NAT, as VMs individuais (ou outros recursos de computação) não precisam de endereços IP públicos e podem permanecer totalmente privadas. Esses recursos sem um endereço IP público ainda podem alcançar fontes externas fora da VNet. Você também pode associar um prefixo de IP público para garantir que um conjunto contíguo de IPs seja usado para saída. As regras de firewall de destino podem ser configuradas com base nessa lista de IP previsível.

Resiliência

A NAT é um serviço totalmente gerenciado e distribuído. Ela não depende de nenhuma instância de computação individual, como VMs ou um único dispositivo de gateway físico. Ele aproveita a rede definida pelo software, tornando-a altamente resiliente.

Escalabilidade

A NAT pode ser associada a uma sub-rede e pode ser usada por todos os recursos de computação nessa sub-rede. Além disso, todas as sub-redes em uma VNet podem aproveitar o mesmo recurso. Quando associada a um prefixo IP público, ela será dimensionada automaticamente para o número de endereços IP necessários para a saída.

Desempenho

A NAT não afetará a largura de banda de rede de seus recursos de computação, pois é um serviço de rede definido pelo software. Saiba mais sobre o desempenho de gateways NAT.

Noções básicas de NAT da VNet

A NAT pode ser criada em uma zona de disponibilidade específica e tem redundância interna dentro da zona especificada. A NAT não é zonal por padrão. Ao criar cenários de zonas de disponibilidade, a NAT pode ser isolada em uma zona específica. Isso é conhecido como uma implantação zonal.

A NAT é totalmente expandido desde o início. Não há nenhuma operação de aumento ou expansão necessária. O Azure gerencia a operação da NAT para você. A NAT sempre tem vários domínios de falha e pode manter várias falhas sem interrupção do serviço.

  • A conectividade de saída pode ser definida para cada sub-rede com a NAT. Várias sub-redes dentro da mesma rede virtual podem ter NATs diferentes. Uma sub-rede é configurada especificando qual recurso de Gateway da NAT deverá ser usado. Todo o tráfego de saída da sub-rede é processado pela NAT automaticamente sem nenhuma configuração do cliente. Rotas definidas pelo usuário não são necessárias. O NAT tem precedência sobre outros cenários de saída e substitui o destino de Internet padrão de uma sub-rede.

  • A NAT dá suporte apenas aos protocolos TCP e UDP. Não há suporte para protocolo ICMP.

  • Um recurso de gateway NAT pode usar:

    • IP público
    • Prefixo de IP público
  • A NAT é compatível com recursos de endereço IP público ou prefixo IP público do SKU Standard ou uma combinação de ambos. Você pode usar um prefixo IP público diretamente ou distribuir os endereços IP públicos do prefixo entre vários recursos do gateway da NAT. A NAT limpará todo o tráfego para o intervalo de endereços IP do prefixo. Os recursos básicos, como o Load Balancer básico ou o IP público básico, não são compatíveis com a NAT. Os recursos básicos devem ser colocados em uma sub-rede não associada a um gateway NAT.

  • A NAT não pode ser associada a um endereço IP público IPv6 ou a um prefixo IP público IPv6. No entanto, ela pode ser associada a uma sub-rede de pilha dupla.

  • A NAT permite que os fluxos sejam criados a partir da rede virtual para serviços fora de sua VNet. O tráfego de retorno da Internet só é permitido em resposta a um fluxo ativo. Serviços fora da VNet não podem iniciar uma conexão com instâncias.

  • A NAT não pode abranger várias redes virtuais.

  • Não é possível implantar a NAT em uma sub-rede de gateway

  • O lado privado da NAT (instâncias de máquina virtual ou outros recursos de computação) envia pacotes de redefinição de TCP para tentativas de comunicação em uma conexão TCP que não existe. Um exemplo são conexões cujo tempo limite de ociosidade foi atingido. O próximo pacote recebido retornará uma Redefinição de TCP para o endereço IP privado a fim de sinalizar e forçar o fechamento da conexão. O lado público da NAT não gera pacotes de Redefinição de TCP nem nenhum outro tráfego. Somente o tráfego produzido pela rede virtual do cliente é emitido.

  • Um tempo limite de ociosidade TCP padrão de 4 minutos é usado e pode ser aumentado para até 120 minutos. Qualquer atividade em um fluxo também pode redefinir o temporizador de ociosidade, incluindo keepalives TCP.

Preço e SLA

Para obter detalhes de preços, confira Preços da Rede Virtual. O caminho de dados da NAT está pelo menos 99,9% disponível.

Próximas etapas