Что такое NAT виртуальной сети?

Виртуальная сеть NAT — это полностью управляемая и высокоустойчивая служба преобразования сетевых адресов (NAT). NAT в виртуальной сети упрощает исходящее подключение к Интернету для виртуальных сетей. При настройке в подсети все исходящие подключения используют статические общедоступные IP-адреса виртуальной сети NAT.

На рисунке показано, как NAT получает трафик из внутренних подсетей и направляет его на общедоступный IP-адрес (PIP) и префикс IP.

Рисунок. NAT виртуальной сети

Преимущества сети NAT

Безопасность

При использовании NAT отдельные виртуальные машины (или другие ресурсы вычислений) не требуют общедоступных IP-адресов и могут оставаться полностью закрытыми. Такие ресурсы без общедоступного IP-адреса по-прежнему могут обращаться к внешним источникам за пределами виртуальной сети. Можно также связать префикс общедоступного IP-адреса, чтобы гарантировать, что для исходящего трафика будет использоваться непрерывный набор IP. Правила брандмауэра назначения можно настроить на основе списка прогнозируемых IP-адресов.

Устойчивость

NAT — это полностью управляемая и распределенная служба. Он не зависит от каких-либо отдельных экземпляров вычислений, таких как виртуальные машины или одно физическое устройство шлюза. Он использует программно определенную сеть, обеспечивая высокую устойчивость.

Масштабируемость

NAT может быть связан с подсетью и может использоваться всеми ресурсами вычислений в этой подсети. Кроме того, все подсети в виртуальной сети могут использовать один и тот же ресурс. При сопоставлении с префиксом общедоступного IP-адреса он автоматически масштабируется до количества IP-адресов, необходимых для исходящего трафика.

Производительность

NAT не влияет на пропускную способность сети для ресурсов вычислений, так как это программно определенная сетевая служба. Дополнительные сведения о производительности шлюза NAT.

Основы сети NAT

NAT можно создать в определенной зоне доступности и обеспечить избыточность, встроенную в указанную зону. По умолчанию NAT не зональные. При создании сценариев зон доступности NAT можно изолировать в определенной зоне. Это называется развертыванием зональные.

NAT полностью горизонтально масштабируется с самого начала. Не требуются операции по увеличению или расширению. Azure управляет работой NAT. NAT всегда располагает несколькими доменами сбоя и может выдерживать многочисленные сбои без простоя.

  • Исходящие подключения можно определить для каждой подсети с использованием NAT. У нескольких подсетей в одной виртуальной сети могут быть разные ресурсы NAT. Подсеть настраивается путем указания того, какой ресурс шлюза NAT использовать. Весь исходящий трафик для подсети автоматически обрабатывается NAT без каких-либо пользовательских настроек. Определяемые пользователем маршруты не нужны. У NAT есть приоритет над другими сценариями исходящих подключений, и оно заменяет стандартный адрес назначения в Интернете для подсети.

  • NAT поддерживает только протоколы TCP и UDP. Протокол ICMP не поддерживается.

  • Ресурс шлюза NAT может использовать следующее:

    • Общедоступный IP-адрес
    • Префикс общедоступного IP-адреса
  • NAT совместим с общедоступным IP-адресом SKU уровня "Стандартный" или ресурсами префикса общедоступного IP-адреса или сочетанием обоих типов. Вы можете использовать префикс общедоступного IP-адреса напрямую или распространять общедоступные IP-адреса префикса по нескольким ресурсам шлюза NAT. NAT будет очищать весь трафик, кроме трафика в диапазоне IP-адресов префикса. Базовые ресурсы, такие как базовый Load Balancer или базовый общедоступный IP-адрес, несовместимы с NAT. Базовые ресурсы необходимо размещать в подсети, не связанной с шлюзом NAT.

  • NAT не может быть связан с общедоступным IP-адресом IPv6 или префиксом общедоступного IP-адреса IPv6. Однако его можно связать с двойной подсетью с двумя стеками.

  • NAT позволяет создавать потоки из виртуальной сети для служб за пределами виртуальной сети. Возврат трафика из Интернета разрешен только в ответ на активный поток. Службы за пределами виртуальной сети не могут инициировать соединение с экземплярами.

  • NAT не распространяется на несколько виртуальных сетей.

  • Не удается развернуть NAT в подсети шлюза

  • Частная сторона NAT (экземпляры виртуальных машин или другие ресурсы вычислений) отправляет пакеты TCP Reset для попытки взаимодействия по TCP-соединению, которое не существует. Одним из таких примеров являются подключения, время ожидания простоя которых истекло. Следующий полученный пакет вернет сброс TCP по частному IP-адресу, чтобы сообщить о закрытии и принудительно закрыть подключение. Общедоступная сторона NAT не создает пакеты сброса TCP или любой другой трафик. Создается только трафик, генерируемый пользовательской виртуальной сетью.

  • По умолчанию время ожидания в режиме простоя для TCP-подключения равно 4 минутам, но его можно увеличить до 120 минут. Любое действие с потоком также может повлечь сброс таймера простоя, в том числе проверка активности TCP-подключения.

Цены и соглашение об уровне обслуживания

Сведения о ценах см. в разделе Цены на виртуальную сеть. Путь к данным NAT по крайней мере 99,9% доступен.

Дальнейшие действия