Co to jest usługa Azure NAT Gateway?

Usługa Azure NAT Gateway to w pełni zarządzana i wysoce odporna usługa translatora adresów sieciowych (NAT). Azure NAT Gateway umożliwia wszystkim instancjom w podsieci prywatnej nawiązywanie połączeń wychodzących do internetu, zachowując pełną prywatność. Niechciane połączenia przychodzące z Internetu nie są dozwolone przez bramę NAT. Tylko pakiety przychodzące jako odpowiedzi do połączenia wychodzącego mogą przechodzić przez bramę NAT.

Brama NAT zapewnia dynamiczną funkcjonalność portów SNAT, aby automatycznie rozszerzać łączność wychodzącą i zmniejszać ryzyko wyczerpania portów SNAT.

Rysunek: Brama translatora adresów sieciowych platformy Azure

Usługa Azure NAT Gateway zapewnia łączność wychodzącą dla wielu zasobów platformy Azure, w tym:

• Maszyny wirtualne platformy Azure lub zestawy skalowania maszyn wirtualnych w podsieci prywatnej.

• Klastry usług Azure Kubernetes Services (AKS).

• Grupa kontenerów platformy Azure.

• Aplikacje funkcji platformy Azure.

• Podsieć Azure Firewall.

• Wystąpienia usług Azure App Services (aplikacje internetowe, interfejsy API REST i zaplecza dla urządzeń przenośnych) za pośrednictwem integracji z siecią wirtualną.

• Usługa Azure Databricks lub iniekcja sieci wirtualnej.

Korzyści z usługi Azure NAT Gateway

Prosta konfiguracja

Wdrożenia są celowo uproszczone dzięki bramie NAT. Dołącz bramę NAT do podsieci i publicznego adresu IP, aby od razu rozpocząć połączenia wychodzące z Internetem. Nie wymaga konserwacji ani konfiguracji routingu. Więcej publicznych adresów IP lub podsieci można dodać później bez wpływu na istniejącą konfigurację.

Poniżej przedstawiono przykład konfigurowania bramy NAT:

• Utwórz bezstrefową lub strefową bramę NAT.

• Przypisz publiczny adres IP lub prefiks publicznego adresu IP.

• Skonfiguruj podsieć sieci wirtualnej do używania bramy NAT.

W razie potrzeby zmodyfikuj limit czasu bezczynności protokołu Transmission Control Protocol (TCP) (opcjonalnie). Przejrzyj czasomierze przed zmianą wartości domyślnej.

Zabezpieczenia

Brama NAT jest oparta na modelu zabezpieczeń sieci w oparciu o zerowe zaufanie i jest domyślnie zabezpieczona. W przypadku bramy NAT wystąpienia prywatne w podsieci nie wymagają publicznych adresów IP, aby dostać się do internetu. Zasoby prywatne mogą uzyskiwać dostęp do źródeł zewnętrznych poza siecią wirtualną przez translację adresów sieciowych źródłowych (SNAT) na statyczne publiczne adresy IP lub prefiksy bramy NAT. Możesz podać ciągły zestaw adresów IP dla łączności wychodzącej przy użyciu prefiksu publicznego adresu IP. Reguły zapory docelowej można skonfigurować na podstawie tej przewidywalnej listy adresów IP.

Odporność

Usługa Azure NAT Gateway to w pełni zarządzana i rozproszona usługa. Nie zależy to od poszczególnych instancji obliczeniowych, takich jak maszyny wirtualne lub pojedyncze fizyczne urządzenie bramowe. Brama NAT zawsze ma wiele obszarów awarii i może wytrzymać wiele awarii bez zakłóceń w działaniu usługi. Programowo zdefiniowana sieć sprawia, że brama translatora adresów sieciowych jest wysoce odporna.

Skalowalność

Brama translatora adresów sieciowych od momentu utworzenia jest skalowana horyzontalnie. Nie jest wymagana operacja zwiększania skali ani zwiększania skali w poziomie. Azure zarządza działaniem bramy NAT za Ciebie.

Dołącz bramę NAT do podsieci, aby zapewnić łączność wychodzącą dla wszystkich zasobów prywatnych w tej podsieci. Wszystkie podsieci w sieci wirtualnej mogą używać tego samego zasobu bramy NAT. Łączność wychodzącą można rozszerzać, przypisując do bramy NAT do 16 publicznych adresów IP lub prefiks publicznego adresu IP o rozmiarze /28. Gdy brama NAT zostaje skojarzona z prefiksem publicznego adresu IP, automatycznie skaluje się do liczby adresów IP potrzebnych do ruchu wychodzącego.

Wydajność

Usługa Azure NAT Gateway to usługa sieci zdefiniowana programowo. Każda brama translatora adresów sieciowych może przetwarzać do 50 Gb/s danych zarówno dla ruchu wychodzącego, jak i zwrotnego.

Brama NAT nie ma wpływu na przepustowość sieci twoich zasobów obliczeniowych. Dowiedz się więcej o wydajności bramy NAT.

Podstawy usługi Azure NAT Gateway

Łączność wychodząca

• NAT gateway jest zalecaną metodą zapewniania łączności wychodzącej.

  • Aby przeprowadzić migrację dostępu wychodzącego do bramy NAT z domyślnego dostępu wychodzącego lub reguł ruchu wychodzącego modułu równoważenia obciążenia, zobacz Migrowanie dostępu wychodzącego do bramy NAT platformy Azure.

Uwaga

30 września 2025 r. zostanie wycofany domyślny dostęp wychodzący dla nowych wdrożeń. Zaleca się użycie wyraźnej formy połączenia wychodzącego, takiej jak brama NAT.

• Wyjście jest definiowane na poziomie podsieci z bramą NAT. Brama NAT zastępuje domyślne miejsce docelowe w Internecie podsieci.

• Konfiguracje routingu ruchu nie są wymagane do korzystania z bramy NAT.

• Brama NAT umożliwia tworzenie połączeń z sieci wirtualnej do usług znajdujących się poza siecią wirtualną. Ruch zwrotny z Internetu jest dozwolony tylko w odpowiedzi na aktywny przepływ. Usługi spoza sieci wirtualnej nie mogą zainicjować połączenia przychodzącego za pośrednictwem bramy NAT.

• Brama NAT ma pierwszeństwo przed innymi metodami łączności wychodzącej, w tym modułem równoważenia obciążenia, publicznymi adresami IP przypisanymi do maszyn wirtualnych oraz usługą Azure Firewall.

• Gdy brama NAT jest skonfigurowana w sieci wirtualnej, w której istnieje już inna metoda łączności wychodzącej, brama NAT przejmuje cały ruch wychodzący. Brak spadków przepływu ruchu dla istniejących połączeń w usłudze Azure Load Balancer. Wszystkie nowe połączenia używają bramy NAT.

• Brama translatora adresów sieciowych nie ma tych samych ograniczeń wyczerpania portów SNAT, co domyślny dostęp wychodzący i reguły wychodzące modułu równoważenia obciążenia.

• Brama NAT obsługuje tylko protokoły TCP i UDP. Protokół ICMP (Internet Control Message Protocol) nie jest obsługiwany.

Trasy ruchu

• Podsieć ma domyślną trasę systemową, która automatycznie kieruje ruch z miejscem docelowym 0.0.0.0/0 do Internetu. Po skonfigurowaniu bramy NAT do podsieci, komunikacja maszyn wirtualnych istniejących w podsieci z Internetem będzie odbywać się z priorytetem użycia publicznego adresu IP bramy NAT.

• Podczas tworzenia trasy zdefiniowanej przez użytkownika (UDR) w tabeli tras podsieci dla ruchu 0.0.0.0/0, domyślna ścieżka internetowa dla tego ruchu jest zastępowana. Trasa zdefiniowana przez użytkownika, która wysyła ruch 0.0.0.0/0 do urządzenia wirtualnego lub bramy sieci wirtualnej (brama VPN i ExpressRoute) jako typ następnego przeskoku, zamiast tego nadpisuje łączność bramy NAT z Internetem.

• Łączność wychodząca jest zgodna z tą kolejnością pierwszeństwa między różnymi metodami routingu i łączności wychodzącej:

  • Trasa zdefiniowana przez użytkownika do następnego przeskoku do wirtualnego urządzenia lub bramy sieci wirtualnej >> Brama NAT >> na poziomie wystąpienia adresu IP publicznego na maszynie wirtualnej >> Reguły ruchu wychodzącego modułu równoważenia obciążenia oraz domyślna trasa systemowa do Internetu.

Konfiguracje bramy NAT

• Wiele podsieci w tej samej sieci wirtualnej może używać różnych bram translatora adresów sieciowych lub tej samej bramy translatora adresów sieciowych.

• Nie można dołączyć wielu bram NAT do jednej podsieci.

• Brama translatora adresów sieciowych nie może obejmować wielu sieci wirtualnych. Brama translatora adresów sieciowych może jednak służyć do zapewnienia łączności wychodzącej w modelu piasty i szprych. Aby uzyskać więcej informacji, zobacz samouczek dotyczący architektury hub-and-spoke dla bramy NAT.

• Brama NAT nie może być wdrożona w podsieci bramy.

• Zasób bramy NAT może używać maksymalnie 16 adresów IP w dowolnej kombinacji następujących typów:

  • Publiczne adresy IP.

  • Prefiksy publicznych adresów IP.

  • Publiczne adresy IP i prefiksy pochodzące z niestandardowych prefiksów IP (BYOIP), aby dowiedzieć się więcej, zobacz Niestandardowy prefiks adresu IP (BYOIP) .

• Brama NAT nie może być skojarzona z publicznym adresem IP IPv6 ani prefiksem publicznego adresu IP IPv6.

• Brama NAT może być używana z modułem równoważenia obciążenia przy użyciu reguł ruchu wychodzącego w celu zapewnienia łączenia dwustackowego wychodzącego. Zobacz Łączność wychodząca z podwójnym stosem z bramą translatora adresów sieciowych i modułem równoważenia obciążenia.

• Brama NAT współdziała z dowolnym interfejsem sieciowym maszyny wirtualnej lub konfiguracją adresu IP. Brama translatora adresów sieciowych może wielokrotnie konfigurować adresy IP w interfejsie sieciowym.

• Brama translatora adresów sieciowych może być skojarzona z podsiecią usługi Azure Firewall w sieci wirtualnej piasty i zapewnić łączność wychodzącą z sieci wirtualnych szprych równorzędnych do koncentratora. Aby dowiedzieć się więcej, przeczytaj Integracja usługi Azure Firewall z bramą NAT.

Strefy dostępności

• Bramę NAT można utworzyć w określonej strefie dostępności lub umieścić poza strefą.

• Brama NAT może być odizolowana w określonej strefie podczas tworzenia scenariuszy izolacji strefy. To wdrożenie jest nazywane wdrożeniem strefowym. Po wdrożeniu bramy NAT nie można zmienić strefy.

• Brama NAT nie jest domyślnie umieszczana w żadnej strefie. Brama NAT bezstrefowa jest umieszczana w strefie dla Ciebie przez platformę Azure.

Brama NAT i podstawowe zasoby

• Brama NAT jest zgodna ze standardowymi publicznymi adresami IP, zasobami prefiksu publicznego adresu IP lub kombinacją obu tych opcji.

• Podstawowe zasoby, takie jak podstawowy load balancer lub podstawowe publiczne adresy IP, nie są zgodne z bramą NAT. Brama NAT nie może być używana z podsieciami, w których istnieją podstawowe zasoby. Podstawowy moduł równoważenia obciążenia i podstawowy publiczny adres IP można uaktualnić do standardu, aby działać z bramą NAT.

  • Aby uzyskać więcej informacji na temat uaktualniania modułu równoważenia obciążenia z podstawowego do standardu, zobacz Uaktualnianie publicznego podstawowego modułu równoważenia obciążenia azure.

  • Aby uzyskać więcej informacji na temat uaktualniania publicznego adresu IP z podstawowego do standardu, zobacz Uaktualnianie publicznego adresu IP.

  • Aby uzyskać więcej informacji na temat uaktualniania podstawowego publicznego adresu IP dołączonego do maszyny wirtualnej z podstawowej do standardowej, zobacz Uaktualnianie podstawowego publicznego adresu IP dołączonego do maszyny wirtualnej.

Limity czasu połączenia i czasomierze

• Brama NAT wysyła pakiet resetowania protokołu TCP (RST) dla dowolnego przepływu danych, który nie jest rozpoznawany jako istniejące połączenie. Przepływ połączenia już nie istnieje, jeśli osiągnięto limit czasu bezczynności bramy NAT lub połączenie zostało zamknięte wcześniej.

• Gdy nadawca ruchu na nieistniejącym przepływie połączenia otrzymuje pakiet TCP RST bramy NAT, połączenie nie jest już możliwe do wykorzystania.

• Porty SNAT nie są łatwo dostępne do ponownego użycia w tym samym punkcie końcowym docelowym po zamknięciu połączenia. Brama NAT umieszcza porty SNAT w stanie wyłączenia, zanim będzie można ponownie ich użyć do połączenia z tym samym docelowym punktem.

• Czasy czasomierza ponownego użycia portów SNAT (schładzania) różnią się w zależności od sposobu zamknięcia połączenia. Aby dowiedzieć się więcej, zobacz Czasomierze ponownego użycia portów.

• Jest używany domyślny limit czasu bezczynności protokołu TCP 4 minut i można go zwiększyć do 120 minut. Każde działanie w przepływie może również zresetować czasomierz bezczynności, w tym elementy utrzymania protokołu TCP. Aby dowiedzieć się więcej, zobacz Czasomierze limitu czasu bezczynności.

• Ruch UDP ma limit czasu bezczynności 4 minut, którego nie można zmienić.

• Ruch UDP ma timer ponownego użycia portu ustawiony na 65 sekund, podczas którego port jest zablokowany, zanim będzie dostępny do ponownego użycia dla tego samego punktu końcowego.

Cennik i umowa dotycząca poziomu usług (SLA)

Aby uzyskać informacje o cenach usługi Azure NAT Gateway, zobacz Cennik usługi NAT Gateway.

Aby uzyskać informacje na temat umowy SLA, zobacz Umowa SLA dla usługi Azure NAT Gateway.

Następne kroki

• Aby uzyskać więcej informacji na temat tworzenia i weryfikowania bramy translatora adresów sieciowych, zobacz Szybki start: tworzenie bramy translatora adresów sieciowych przy użyciu witryny Azure Portal.

• Aby wyświetlić film wideo z dodatkowymi informacjami na temat bramy NAT Azure, zobacz Jak uzyskać lepszą łączność wychodzącą przy użyciu bramy NAT Azure.

• Aby uzyskać więcej informacji na temat zasobu bramy NAT, zobacz Zasób bramy NAT.

• Dowiedz się więcej o usłudze Azure NAT Gateway w następującym module:

  • Moduł szkoleniowy: Wprowadzenie do usługi Azure NAT Gateway.

• Aby uzyskać więcej informacji na temat opcji architektury dla usługi Azure NAT Gateway, zobacz przegląd platformy Azure Well-Architected Framework dotyczący bramy NAT w Azure.