什麼是 Azure NAT Gateway?
Azure NAT 閘道是完全受控且復原性高的網路位址轉譯 (NAT) 服務。 您可以使用 Azure NAT 閘道讓私人子網中的所有實例連線到因特網,同時保持完全私人。 不允許透過 NAT 閘道從因特網進行未經請求的輸入連線。 只有以回應封包的形式抵達輸出連線的封包才能通過NAT閘道。
NAT 閘道提供動態 SNAT 埠功能,可自動調整輸出連線能力,並降低 SNAT 埠耗盡的風險。
圖:Azure NAT 閘道
Azure NAT 閘道提供許多 Azure 資源的輸出連線能力,包括:
私人子網中的 Azure 虛擬機或虛擬機擴展集。
透過虛擬網路整合,Azure App 服務 實例(Web 應用程式、REST API 和行動後端)。
Azure Databricks 或虛擬網路 插入。
Azure NAT 閘道優點
簡單設定
部署是刻意使用 NAT 閘道來簡化的。 將 NAT 閘道連結至子網和公用 IP 位址,並開始立即連線到因特網的輸出。 不需要維護及路由設定。 稍後可以新增更多公用IP或子網,而不會影響您現有的組態。
下列步驟是如何設定 NAT 閘道的範例:
建立非區域或區域性 NAT 閘道。
指派公用 IP 位址或公用 IP 首碼。
設定要使用 NAT 閘道的虛擬網路子網路。
如有必要,請修改傳輸控制通訊協定 (TCP) 閑置逾時 (選擇性)。 在變更預設值之前,請先檢查計時器。
安全性
NAT 閘道是以零信任網路安全性模型為基礎建置,且預設為安全。 使用 NAT 閘道,子網路內的私人執行個體就不需要公用 IP 位址來連線到網際網路。 私人資源可以透過來源網路位址轉譯 (SNAT) 到 NAT 閘道的靜態公用 IP 位址或前綴,連線到虛擬網路外部的外部來源。 您可以使用公用IP前置詞,為輸出連線提供連續的IP集合。 您可以根據此可預測 IP 清單來設定目的地防火牆規則。
復原
Azure NAT 閘道是一種完全受控的分散式服務。 其不會依賴個別的計算執行個體,例如 VM 或單一實體閘道裝置。 NAT 閘道一律有多個容錯網域並可承受多次失敗,而不會發生服務中斷。 軟體定義的網路讓 NAT 閘道具有高度復原性。
延展性
NAT 閘道會從建立時就進行了擴增。 不需要增強或擴增作業。 Azure 會為您管理 NAT 閘道的作業。
將 NAT 閘道連結至子網,以提供該子網中所有私人資源的輸出連線能力。 虛擬網路中的所有子網都可以使用相同的 NAT 閘道資源。 輸出連線可透過將最多16個公用IP位址或 /28大小的公用IP前置綴指派給NAT閘道,來相應放大。 當 NAT 閘道與公用 IP 前置詞建立關聯時,其會自動調整為輸出所需的 IP 位址數目。
效能
Azure NAT 閘道是一種軟體定義的網路連接服務。 每個 NAT 閘道最多可處理輸出和傳回流量的 50 Gbps 數據。
NAT 閘道不會影響計算資源的網路頻寬。 深入了解 NAT 閘道的效能。
Azure NAT 閘道基本知識
輸出連線
NAT 閘道是輸出連線能力的建議方法。
- 若要從預設輸出存取或負載平衡器輸出規則將輸出存取移轉至 NAT 閘道,請參閱將輸出存取移轉至 Azure NAT 閘道。
注意
2025 年 9 月 30 日, 新部署的預設輸出存取 將會淘汰。 建議改用明確的輸出連線形式,例如 NAT 閘道。
輸出是在具有 NAT 閘道的每個子網層級定義。 NAT 閘道會取代子網的預設因特網目的地。
流量路由設定不需要使用NAT閘道。
NAT 閘道可讓您建立從虛擬網路到虛擬網路外部服務的流程。 只有在回應作用中流量時,才允許從網際網路傳回流量。 虛擬網路外部的服務無法透過 NAT 閘道起始輸入連線。
NAT 閘道優先於其他輸出連線方法,包括負載平衡器、實例層級公用IP位址,以及 Azure 防火牆。
當 NAT 閘道設定為已存在不同輸出連線方法的虛擬網路時,NAT 閘道會接管所有輸出流量向前移動。 Azure Load Balancer 上現有連線的流量流量不會下降。 所有新的連線都會使用 NAT 閘道。
NAT 閘道僅支援 TCP 和使用者數據報通訊協定 (UDP) 通訊協定。 不支援因特網控制訊息通訊協定(ICMP)。
流量路由
子網有系統 預設路由,可自動將目的地為0.0.0.0.0/0的流量路由 傳送至因特網。 將 NAT 閘道設定為子網之後,從子網中現有的虛擬機到因特網的通訊會優先使用 NAT 閘道的公用 IP。
您可以針對 0.0.0.0/0 流量建立自定義使用者定義路由,將 NAT 閘道覆寫為子網的系統預設路由至因特網。
虛擬設備的使用者定義路由、VPN 閘道,以及子網0.0.0.0/0流量的ExpressRoute存在會導致流量路由至這些服務,而不是 NAT 閘道。
輸出連線遵循不同路由和輸出連線方法之間的優先順序:
- UDR 與虛擬設備/VPN 閘道/ExpressRoute >> NAT 閘道>>實例層級公用IP位址在虛擬機>>負載平衡器輸出規則>>預設系統路由至因特網。
NAT 閘道設定
相同虛擬網路的多個子網路可以使用不同 NAT 閘道或相同 NAT 閘道。
多個 NAT 閘道無法連結至單一子網路。
NAT 閘道無法跨越多個虛擬網路。
NAT 閘道無法在閘道子網路中部署。
NAT 閘道資源可在下列類型的任何組合中使用最多 16 個 IP 位址:
公用 IP 位址。
公用IP前置詞。
若要深入了解衍生自自訂 IP 位址首碼 (BYOIP) 的功用 IP 位址和前置詞,請參閱自訂 IP 位址首碼 (BYOIP)。
NAT 閘道無法與 IPv6 共用 IP 位址或 IPv6 公用 IP 前置詞建立關聯。
NAT 閘道可以搭配使用輸出規則的負載平衡器使用,以提供雙堆棧輸出連線能力。 請參閱 與 NAT 閘道和負載平衡器的雙重堆疊輸出連線。
NAT 閘道可與任何虛擬機網路介面或IP組態搭配運作。 NAT 閘道可以在網路介面上 SNAT 多個IP組態。
NAT 閘道可以與中樞虛擬網路中的 Azure 防火牆子網相關聯,以及提供從輪輻虛擬網路對中樞進行對等連線的輸出連線能力。 若要深入了解,請參閱 Azure 防火牆與 NAT 閘道整合。
可用性區域
NAT 閘道可以在特定可用性區域中建立,或放在 任何區域中。
當您建立區域隔離案例時,可以將 NAT 閘道隔離在特定區域中。 此部署稱為區域性部署。 部署 NAT 閘道之後,就無法變更區域選取項目。
NAT 閘道預設不會置於 任何區域中 。 Azure 會為您將無區域 NAT 閘道置於區域中。
NAT 閘道和基本資源
NAT 閘道與標準公用IP位址或公用IP前綴資源或兩者的組合相容。
基本資源 (例如基本負載平衡器或基本公用 IP) 與 NAT 閘道不相容。 NAT 閘道無法與基本資源存在的子網搭配使用。 基本負載平衡器和基本公用IP可以升級為標準,以使用NAT閘道。
如需將負載平衡器從基本升級為標準的詳細資訊,請參閱 升級公用基本 Azure Load Balancer。
如需將公用IP從基本升級為標準的詳細資訊,請參閱 升級公用IP位址。
如需將附加至虛擬機的基本公用IP從基本升級為標準的詳細資訊,請參閱 升級附加至虛擬機的基本公用IP。
連線 逾時和定時器
NAT 閘道會針對無法辨識為現有連線的任何連線流程傳送 TCP 重設 (RST) 封包。 如果達到 NAT 閘道閒置逾時或先前已關閉連線,連線流程就不再存在。
當非存在連線流程上的流量傳送者收到 NAT 閘道 TCP RST 封包時,就無法再使用連線。
在連線關閉之後,SNAT 埠無法輕易地重複使用至相同的目的地端點。 NAT 閘道會將 SNAT 埠置於非經常性存取狀態,才能重複使用它們來連線到相同的目的地端點。
SNAT 埠重複使用 (冷卻) 定時器持續時間會因連線關閉方式而有所不同。 若要深入了解,請參閱連接埠重複使用計時器。
預設 TCP 會使用 4 分鐘的閒置逾時,且最多可增加到 120 分鐘。 流量上的任何活動也都可以重設閒置計時器,包括 TCP Keepalive。 若要深入瞭解,請參閱閒置逾時計時器。
UDP 流量的閒置逾時計時器為 4 分鐘,無法變更。
UDP 流量的埠重複使用定時器為 65 秒,埠在可供重複使用至相同的目的地連接點之前,會保留埠。
定價和服務等級協定 (SLA)
如需 Azure NAT 閘道的定價,請參閱 NAT 閘道定價。
如需 SLA 的相關資訊,請參閱 Azure NAT 閘道的 SLA。
下一步
如需建立及驗證 NAT 閘道的詳細資訊,請參閱快速入門:使用 Azure 入口網站 建立 NAT 閘道。
若要檢視 Azure NAT 閘道的詳細資訊影片,請參閱如何使用 Azure NAT 閘道取得更佳的輸出連線能力。
如需 NAT 閘道資源的詳細資訊,請參閱 NAT 閘道資源。
在下列課程模組中深入瞭解 Azure NAT 閘道:
如需 Azure NAT 閘道架構選項的詳細資訊,請參閱 Azure NAT 閘道的 Azure 架構架構檢閱。