什麼是 Azure NAT Gateway?

  • 發行項

Azure NAT 閘道是完全受控且復原性高的網路位址轉譯 (NAT) 服務。 您可以使用 Azure NAT 閘道讓私人子網中的所有實例連線到因特網,同時保持完全私人。 不允許透過 NAT 閘道從因特網進行未經請求的輸入連線。 只有以回應封包的形式抵達輸出連線的封包才能通過NAT閘道。

NAT 閘道提供動態 SNAT 埠功能,可自動調整輸出連線能力,並降低 SNAT 埠耗盡的風險。

圖顯示 NAT 接收來自內部子網的流量,並將它導向至公用 IP(PIP) 和 IP 前置詞。

圖:Azure NAT 閘道

Azure NAT 閘道提供許多 Azure 資源的輸出連線能力,包括:

Azure NAT 閘道優點

簡單設定

部署是刻意使用 NAT 閘道來簡化的。 將 NAT 閘道連結至子網和公用 IP 位址,並開始立即連線到因特網的輸出。 不需要維護及路由設定。 稍後可以新增更多公用IP或子網,而不會影響您現有的組態。

下列步驟是如何設定 NAT 閘道的範例:

  • 建立非區域或區域性 NAT 閘道。

  • 指派公用 IP 位址或公用 IP 首碼。

  • 設定要使用 NAT 閘道的虛擬網路子網路。

如有必要,請修改傳輸控制通訊協定 (TCP) 閑置逾時 (選擇性)。 在變更預設值之前,請先檢查計時器

安全性

NAT 閘道是以零信任網路安全性模型為基礎建置,且預設為安全。 使用 NAT 閘道,子網路內的私人執行個體就不需要公用 IP 位址來連線到網際網路。 私人資源可以透過來源網路位址轉譯 (SNAT) 到 NAT 閘道的靜態公用 IP 位址或前綴,連線到虛擬網路外部的外部來源。 您可以使用公用IP前置詞,為輸出連線提供連續的IP集合。 您可以根據此可預測 IP 清單來設定目的地防火牆規則。

復原

Azure NAT 閘道是一種完全受控的分散式服務。 其不會依賴個別的計算執行個體,例如 VM 或單一實體閘道裝置。 NAT 閘道一律有多個容錯網域並可承受多次失敗,而不會發生服務中斷。 軟體定義的網路讓 NAT 閘道具有高度復原性。

延展性

NAT 閘道會從建立時就進行了擴增。 不需要增強或擴增作業。 Azure 會為您管理 NAT 閘道的作業。

將 NAT 閘道連結至子網,以提供該子網中所有私人資源的輸出連線能力。 虛擬網路中的所有子網都可以使用相同的 NAT 閘道資源。 輸出連線可透過將最多16個公用IP位址或 /28大小的公用IP前置綴指派給NAT閘道,來相應放大。 當 NAT 閘道與公用 IP 前置詞建立關聯時,其會自動調整為輸出所需的 IP 位址數目。

效能

Azure NAT 閘道是一種軟體定義的網路連接服務。 每個 NAT 閘道最多可處理輸出和傳回流量的 50 Gbps 數據。

NAT 閘道不會影響計算資源的網路頻寬。 深入了解 NAT 閘道的效能

Azure NAT 閘道基本知識

輸出連線

注意

2025 年 9 月 30 日, 新部署的預設輸出存取 將會淘汰。 建議改用明確的輸出連線形式,例如 NAT 閘道。

  • 輸出是在具有 NAT 閘道的每個子網層級定義。 NAT 閘道會取代子網的預設因特網目的地。

  • 流量路由設定不需要使用NAT閘道。

  • NAT 閘道可讓您建立從虛擬網路到虛擬網路外部服務的流程。 只有在回應作用中流量時,才允許從網際網路傳回流量。 虛擬網路外部的服務無法透過 NAT 閘道起始輸入連線。

  • NAT 閘道優先於其他輸出連線方法,包括負載平衡器、實例層級公用IP位址,以及 Azure 防火牆。

  • 當 NAT 閘道設定為已存在不同輸出連線方法的虛擬網路時,NAT 閘道會接管所有輸出流量向前移動。 Azure Load Balancer 上現有連線的流量流量不會下降。 所有新的連線都會使用 NAT 閘道。

  • NAT 閘道沒有與預設輸入存取負載平衡器輸入規則相同的 SNAT 連接埠耗盡限制。

  • NAT 閘道僅支援 TCP 和使用者數據報通訊協定 (UDP) 通訊協定。 不支援因特網控制訊息通訊協定(ICMP)。

流量路由

  • 子網有系統 預設路由,可自動將目的地為0.0.0.0.0/0的流量路由 傳送至因特網。 將 NAT 閘道設定為子網之後,從子網中現有的虛擬機到因特網的通訊會優先使用 NAT 閘道的公用 IP。

  • 您可以針對 0.0.0.0/0 流量建立自定義使用者定義路由,將 NAT 閘道覆寫為子網的系統預設路由至因特網。

  • 虛擬設備的使用者定義路由、VPN 閘道,以及子網0.0.0.0/0流量的ExpressRoute存在會導致流量路由至這些服務,而不是 NAT 閘道。

  • 輸出連線遵循不同路由和輸出連線方法之間的優先順序:

    • UDR 與虛擬設備/VPN 閘道/ExpressRoute >> NAT 閘道>>實例層級公用IP位址在虛擬機>>負載平衡器輸出規則>>預設系統路由至因特網。

NAT 閘道設定

  • 相同虛擬網路的多個子網路可以使用不同 NAT 閘道或相同 NAT 閘道。

  • 多個 NAT 閘道無法連結至單一子網路。

  • NAT 閘道無法跨越多個虛擬網路。

  • NAT 閘道無法在閘道子網路中部署。

  • NAT 閘道資源可在下列類型的任何組合中使用最多 16 個 IP 位址:

    • 公用 IP 位址。

    • 公用IP前置詞。

    • 若要深入了解衍生自自訂 IP 位址首碼 (BYOIP) 的功用 IP 位址和前置詞,請參閱自訂 IP 位址首碼 (BYOIP)

  • NAT 閘道無法與 IPv6 共用 IP 位址或 IPv6 公用 IP 前置詞建立關聯。

  • NAT 閘道可以搭配使用輸出規則的負載平衡器使用,以提供雙堆棧輸出連線能力。 請參閱 與 NAT 閘道和負載平衡器的雙重堆疊輸出連線。

  • NAT 閘道可與任何虛擬機網路介面或IP組態搭配運作。 NAT 閘道可以在網路介面上 SNAT 多個IP組態。

  • NAT 閘道可以與中樞虛擬網路中的 Azure 防火牆子網相關聯,以及提供從輪輻虛擬網路對中樞進行對等連線的輸出連線能力。 若要深入了解,請參閱 Azure 防火牆與 NAT 閘道整合

可用性區域

  • NAT 閘道可以在特定可用性區域中建立,或放在 任何區域中

  • 當您建立區域隔離案例時,可以將 NAT 閘道隔離在特定區域中。 此部署稱為區域性部署。 部署 NAT 閘道之後,就無法變更區域選取項目。

  • NAT 閘道預設不會置於 任何區域中 。 Azure 會為您將無區域 NAT 閘道置於區域中。

NAT 閘道和基本資源

  • NAT 閘道與標準公用IP位址或公用IP前綴資源或兩者的組合相容。

  • 基本資源 (例如基本負載平衡器或基本公用 IP) 與 NAT 閘道不相容。 NAT 閘道無法與基本資源存在的子網搭配使用。 基本負載平衡器和基本公用IP可以升級為標準,以使用NAT閘道。

連線 逾時和定時器

  • NAT 閘道會針對無法辨識為現有連線的任何連線流程傳送 TCP 重設 (RST) 封包。 如果達到 NAT 閘道閒置逾時或先前已關閉連線,連線流程就不再存在。

  • 當非存在連線流程上的流量傳送者收到 NAT 閘道 TCP RST 封包時,就無法再使用連線。

  • 在連線關閉之後,SNAT 埠無法輕易地重複使用至相同的目的地端點。 NAT 閘道會將 SNAT 埠置於非經常性存取狀態,才能重複使用它們來連線到相同的目的地端點。

  • SNAT 埠重複使用 (冷卻) 定時器持續時間會因連線關閉方式而有所不同。 若要深入了解,請參閱連接埠重複使用計時器

  • 預設 TCP 會使用 4 分鐘的閒置逾時,且最多可增加到 120 分鐘。 流量上的任何活動也都可以重設閒置計時器,包括 TCP Keepalive。 若要深入瞭解,請參閱閒置逾時計時器

  • UDP 流量的閒置逾時計時器為 4 分鐘,無法變更。

  • UDP 流量的埠重複使用定時器為 65 秒,埠在可供重複使用至相同的目的地連接點之前,會保留埠。

定價和服務等級協定 (SLA)

如需 Azure NAT 閘道的定價,請參閱 NAT 閘道定價

如需 SLA 的相關資訊,請參閱 Azure NAT 閘道的 SLA

下一步