Vad är Virtual Network NAT?

Virtual Network NAT (network address translation) förenklar utgående endast Internetanslutning för virtuella nätverk. När den konfigureras i ett undernät använder alla utgående anslutningar dina angivna statiska offentliga IP-adresser. Utgående anslutningar är möjliga utan lastbalanserare eller offentliga IP-adresser som är direkt kopplade till virtuella datorer. NAT är fullständigt hanterad och mycket motståndskraftig.

Figure depicts a NAT receiving traffic from internal subnets and directing it to a public IP (PIP) and an IP prefix.

Bild: Virtual Network NAT

Statiska IP-adresser endast för utgående

Utgående anslutning kan definieras för varje undernät med NAT. Flera undernät i samma virtuella nätverk kan ha olika NAT:er. Ett undernät konfigureras genom att ange vilken NAT-gatewayresurs som ska användas. Alla utgående UDP- och TCP-flöden från alla instanser av virtuella datorer använder NAT.

NAT är kompatibelt med offentliga IP-adressresurser eller offentliga IP-prefixresurser eller en kombination av båda. Du kan använda ett offentligt IP-prefix direkt eller distribuera de offentliga IP-adresserna för prefixet över flera NAT-gatewayresurser. NAT kommer att trimma all trafik till prefixets IP-adressintervall. Nu är det enkelt att filtrera IP-adresser för dina distributioner.

All utgående trafik för undernätet bearbetas automatiskt av NAT utan någon kundkonfiguration. Användardefinierade vägar är inte nödvändiga. NAT har företräde framför andra utgående scenarier och ersätter standardmålet för ett undernät.

SNAT på begäran med flera IP-adresser för skalning

NAT använder "portnätverksadressöversättning" (PNAT eller PAT) och rekommenderas för de flesta arbetsbelastningar. Dynamiska eller avvikande arbetsbelastningar kan enkelt anpassas med allokering av utgående flöde på begäran. Omfattande förplanering, förallokering och slutligen överetablering av utgående resurser undviks. SNAT-portresurser delas och är tillgängliga i alla undernät med hjälp av en specifik NAT-gatewayresurs och tillhandahålls när det behövs.

En offentlig IP-adress som är kopplad till NAT ger upp till 64 000 samtidiga flöden för UDP respektive TCP. Du kan börja med en enskild IP-adress och skala upp till 16 IP-adresser med offentliga IP-adresser eller offentliga IP-prefix eller båda. En NAT-gatewayresurs använder alla IP-adresser som är associerade med resursen för utgående anslutningar från alla undernät som konfigurerats med samma NAT-gatewayresurs.

NAT gör att flöden kan skapas från det virtuella nätverket till Internet. Returtrafik från Internet tillåts endast som svar på ett aktivt flöde.

Till skillnad från utgående SNAT för lastbalanserare har NAT inga begränsningar för vilka privata IP-adresser för en instans av en virtuell dator kan göra utgående anslutningar. Primära och sekundära IP-konfigurationer kan skapa utgående Internetanslutning med NAT.

Samexistens för inkommande och utgående

NAT är kompatibelt med följande standard-SKU-resurser:

  • Lastbalanserare
  • Offentlig IP-adress
  • Offentligt IP-prefix

När de används tillsammans med NAT ger dessa resurser inkommande Internetanslutning till dina undernät. NAT tillhandahåller alla utgående Internetanslutningar från dina undernät.

NAT och kompatibla standard-SKU-funktioner är medvetna om riktningen som flödet startades i. Inkommande och utgående scenarier kan samexistera. De här scenarierna får rätt översättningar av nätverksadresser eftersom dessa funktioner är medvetna om flödesriktningen.

Figure depicts a NAT gateway that supports outbound traffic to the internet from a virtual network and inbound traffic with an instance-level public IP and a public load balancer.

Bild: Virtual Network NAT flödesriktning

Fullständigt hanterad, mycket motståndskraftig

NAT skalas ut helt från början. Det krävs ingen start- eller utskalningsåtgärd. Azure hanterar NAT-driften åt dig. NAT har alltid flera feldomäner och kan hantera flera fel utan avbrott i tjänsten.

TCP-återställning för okända flöden

Den privata sidan av NAT skickar TCP-återställningspaket för försök att kommunicera på en TCP-anslutning som inte finns. Ett exempel är anslutningar som har nått tidsgränsen för inaktivitet. Nästa paket som tas emot returnerar en TCP-återställning till den privata IP-adressen för att signalera och tvinga anslutningsnedstängning.

Den offentliga sidan av NAT genererar inte TCP-återställningspaket eller annan trafik. Endast trafik som genereras av kundens virtuella nätverk genereras.

Konfigurerbar tidsgräns för TCP-inaktivitet

En standard-timeout för TCP-inaktivitet på 4 minuter används och kan ökas till upp till 120 minuter. Alla aktiviteter i ett flöde kan också återställa den inaktiva timern, inklusive TCP-keepalives.

Regional isolering eller zonisolering med tillgänglighetszoner

NAT är regional som standard. När du skapar scenarier med tillgänglighetszoner kan NAT isoleras i en specifik zon (zonindeerad distribution).

Figure depicts three zonal stacks, each of which contains a NAT gateway and a subnet.

Bild: Virtual Network NAT med tillgänglighetszoner

Flerdimensionella mått för observerbarhet

Du kan övervaka driften av din NAT via flerdimensionella mått som exponeras i Azure Monitor. Dessa mått kan användas för att observera användningen och för felsökning. NAT-gatewayresurser exponerar följande mått:

  • Byte
  • Paket
  • Bort ignorerade paket
  • Totalt antal SNAT-anslutningar
  • SNAT-anslutningstillståndsövergångar per intervall.

SLA

Vid allmän tillgänglighet är NAT-datasökvägen minst 99,9 % tillgänglig.

Priser

Prisinformation finns i Virtual Network priser.

Tillgänglighet

Virtual Network NAT och NAT-gatewayresursen är tillgängliga i alla regioner i alla Azure-molnregioner.

Förslag

Vi vill veta hur vi kan förbättra tjänsten. Föreslå och rösta på vad vi ska bygga härnäst på UserVoice för NAT.

Begränsningar

  • NAT är kompatibelt med offentlig IP-standard-SKU, offentliga IP-prefix och lastbalanseringsresurser. Grundläggande resurser, till exempel grundläggande lastbalanserare och produkter som härleds från dem, är inte kompatibla med NAT. Grundläggande resurser måste placeras i ett undernät som inte har konfigurerats med NAT.
  • IPv4-adressfamilj stöds. NAT interagerar inte med IPv6-adressfamiljen. NAT kan inte distribueras i ett undernät med ett IPv6-prefix.
  • NAT kan inte sträcka sig över flera virtuella nätverk.

Nästa steg