O que é o Gateway da NAT do Azure?

  • 10 minutos

Como engenheiro chefe de sistemas e administrador do Azure responsável por resolver os problemas de conectividade atuais com as VMs do Azure, sua primeira etapa é entender o histórico tecnológico e as funcionalidades de Gateway da NAT do Azure.

O Gateway da NAT do Azure é um serviço de nuvem totalmente gerenciado que é executado no Azure. É altamente resiliente, escalonável e fácil de configurar. Quando você usa o Gateway da NAT do Azure com suas redes virtuais existentes no Azure, as VMs individuais ou outros recursos do Azure podem permanecer totalmente privados, a menos que hospedem serviços que aceitem conexões de entrada da Internet. Toda a conectividade de saída iniciada por meio de sua rede virtual usa os endereços IP públicos estáticos do Gateway da NAT.

Visão geral do NAT

O NAT não é uma nova tecnologia. Ele foi usado há décadas para mapear endereços IP locais para endereços públicos. Uma das principais finalidades do NAT é salvar endereços IPv4 públicos, o que é especialmente útil para ISPs (provedores de serviços de Internet). Essas empresas podem usar o NAT para mapear um escopo de muitos endereços IPv4 privados para apenas um endereço IP público ou para alguns endereços IP públicos.

O NAT também é usado em residências e redes locais. Se você tem um roteador doméstico que o conecta à Internet, provavelmente a NAT foi implementado. Isso ocorre de modo a que todos os seus dispositivos sejam roteados para a internet usando apenas um endereço IP público. A NAT também oculta seu espaço de endereço interno para que todo o tráfego de saída pareça vir de um único endereço IP público. O endereço IP é atribuído a um roteador ou dispositivo de gateway.

Ao usar o NAT, é importante entender as portas do TCP ( protocolo TCP) e a finalidade delas. A conversão de endereços de porta permite que cada host em uma rede privada se comunique na Internet usando um único endereço IP público, para que cada caminho de comunicação seja estabelecido em uma porta TCP exclusiva. O processo é o seguinte:

  1. Um dispositivo na rede privada estabelece uma conexão com um recurso na internet. A NAT substitui o endereço IP do dispositivo interno no cabeçalho do pacote pelo endereço IP externo do dispositivo NAT.

  2. A conversão de endereços de porta, em seguida, atribui à conexão um número de porta de um pool de portas disponíveis.

  3. Esse número da porta é inserido no campo porta de origem no cabeçalho do pacote, e o pacote é encaminhado para a Internet.

  4. O dispositivo NAT registra uma entrada em uma tabela de conversão de rede:

    • Para cada conexão estabelecida, essa entrada contém o endereço IP interno, a porta de origem original e a porta de origem convertida.
    • Os pacotes subsequentes do mesmo endereço IP de origem interno e número da porta sempre são convertidos no mesmo endereço IP externo e número da porta.

  5. O computador que está recebendo um pacote que passou pelo NAT estabelece uma conexão com a porta e o endereço IP especificados no pacote alterado, alheios ao fato de que o endereço fornecido está sendo convertido.

O diagrama a seguir ilustra o processo do NAT.

O processo de conversão de endereços de rede entre um host e um servidor.

Observação

O NAT é usado principalmente para estabelecer conexões de saída com a Internet. No entanto, ele não pode gerenciar diretamente as conexões de entrada da Internet. Você precisa usar tecnologias diferentes para essa finalidade.

Serviço NAT no Azure

Ao criar uma rede virtual no Azure, você atribui um espaço de endereço privado e cria uma ou mais sub-redes para essa rede. Quando você cria uma VM no Azure e a coloca nessa rede virtual, ela obterá o endereço IP local dessa respectiva rede. Se você quiser aceitar conexões da Internet de saída nessa VM, também poderá atribuir um objeto de endereço IP público a essa VM.

Observação

As VMs do Azure às quais você não atribui um endereço IP público ainda podem acessar a Internet usando a conversão de endereços de rede do Azure ou a conversão de endereços de porta. No entanto, nesses casos, você não pode controlar qual endereço IP público será usado para conexões de saída. Você também não pode habilitar conexões de entrada ou usar o RDP (protocolo RDP) para se conectar a essas VMs de fora; em vez disso, você precisará usar um host do Azure Bastion.

Para ajudar a garantir a conectividade de saída segura, controlável e escalonável para VMs do Azure e outros recursos, você pode criar uma instância do serviço de Gateway da NAT do Azure. Em seguida, você atribui a instância a uma ou mais sub-redes na mesma rede virtual no Azure.

O serviço de Gateway da NAT do Azure a converter com segurança seus endereços IP privados em um endereço IP público, conforme ilustra o seguinte diagrama:

O Gateway da NAT do Azure é atribuído a duas sub-redes em uma rede virtual e converte endereços IP privados em IP público.