Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ознакомьтесь с этой статьей, чтобы ознакомиться с рекомендациями по проектированию виртуальных сетей с помощью шлюза NAT.
Подключение к Интернету с помощью шлюза NAT
Шлюз NAT рекомендуется использовать для всех рабочих нагрузок, где необходимо подключиться к общедоступной конечной точке через Интернет. Исходящее подключение происходит сразу после развертывания шлюза NAT с подсетью и по крайней мере одним общедоступным IP-адресом. Для начала подключения исходящего трафика к шлюзу NAT не требуются конфигурации маршрутизации. Шлюз NAT становится маршрутом по умолчанию подсети к Интернету.
В присутствии других исходящих конфигураций в виртуальной сети, таких как балансировщик нагрузки или общедоступные IP-адреса уровня экземпляра (IL PIPs), шлюз NAT имеет приоритет для исходящего подключения. Новый исходящий и входящий трафик использует шлюз NAT. Нет времени простоя при исходящем подключении после добавления шлюза NAT в подсеть с существующими исходящими конфигурациями.
Использование шлюза NAT StandardV2 для обеспечения избыточности между зонами
Зоны доступности — это физически отдельные группы центров обработки данных в каждом регионе Azure. При сбое одной из зон службы могут переключаться на одну из оставшихся работоспособных зон.
Шлюз NAT StandardV2 поддерживает сценарии зоны доступности.
При развертывании шлюза NAT StandardV2 исходящие подключения могут поступать из любой зоны в регионе. При снижении зоны некоторые из полетных подключений из неработоспособной зоны могут быть затронуты, но все новые подключения выходят из оставшихся здоровых зон.
Дополнительные сведения см. в разделе "Зоны доступности шлюза NAT".
Масштабирование шлюза NAT для удовлетворения требований динамической рабочей нагрузки
Масштабирование шлюза NAT в основном является функцией управления общими доступными запасами портов SNAT.
При масштабировании рабочей нагрузки предполагается, что для каждого потока требуется новый порт SNAT, а затем масштабируйте общее количество доступных IP-адресов для исходящего трафика. Тщательно рассмотрите масштаб, который вы разрабатываете, а затем выделите IP-адреса. Шлюз NAT требует достаточной инвентаризации портов SNAT для ожидаемых пиковых исходящих потоков для всех подсетей, подключенных к шлюзу NAT.
По мере исчерпания SNAT-портов, потоки подключения могут стать неуспешными.
Рекомендации по масштабированию
Каждый общедоступный IP-адрес шлюза NAT предоставляет 64 512 портов SNAT для выполнения исходящих подключений. Шлюз NAT может масштабировать до более чем 1 миллиона портов SNAT.
SNAT сопоставляет частные адреса в подсети с одним или несколькими общедоступными IP-адресами, подключенными к шлюзу NAT, переопределяя исходный адрес и исходный порт в процессе. При создании нескольких подключений к одной конечной точке назначения используется новый порт SNAT. Новый порт SNAT должен использоваться для различения разных потоков подключения друг от друга, поступающих в то же место назначения.
Потоки подключения, поступающие в разные конечные точки назначения, могут повторно использовать один и тот же порт SNAT одновременно. По возможности подключения через порт SNAT, отправленные в разные назначения, повторно используются. При подходе к исчерпанию портов SNAT потоки могут не завершиться успешно.
Для примера SNAT см. примеры потоков SNAT для шлюза NAT.
Подключение к службам Azure с помощью приватного канала
Подключение из виртуальной сети Azure к службам Azure PaaS можно сделать непосредственно через магистраль Azure и обойти Интернет. При обходе Интернета для подключения к другим службам Azure PaaS вы освобождаете порты SNAT и снижаете риск исчерпания портов SNAT. Приватный канал следует использовать, если это возможно для подключения к службам PaaS Azure, чтобы освободить инвентаризацию портов SNAT.
Приватный канал использует частные IP-адреса ваших виртуальных машин или других вычислительных ресурсов вашей сети Azure для прямого и безопасного подключения к службам Azure PaaS через backbone Azure. См. список доступных служб Azure, поддерживаемых Приватный канал.
Примечание
Корпорация Майкрософт рекомендует использовать Приватный канал Azure для безопасного и закрытого доступа к службам, размещенным в Azure. Конечные точки службы также можно использовать для подключения непосредственно к службам PaaS Azure через магистраль Azure.
Предоставление исходящего и входящего подключения для виртуальной сети Azure
Шлюз NAT, подсистема балансировки нагрузки и общедоступные IP-адреса уровня экземпляров учитывают направление потока и могут сосуществовать в одной виртуальной сети для обеспечения беспрепятственного исходящего и входящего подключения. Входящий трафик через подсистему балансировки нагрузки или общедоступные IP-адреса уровня экземпляра преобразуется отдельно от исходящего трафика через шлюз NAT.
Частные экземпляры используют шлюз NAT для исходящего трафика и любого трафика ответа в исходящий поток. Частные экземпляры используют общедоступные IP-адреса уровня экземпляра или подсистему балансировки нагрузки для входящего трафика и любого ответного трафика на входящий инициированный поток.
В следующих примерах демонстрируется сосуществование подсистемы балансировки нагрузки или общедоступных IP-адресов на уровне экземпляра с шлюзом NAT. Входящий трафик проходит через подсистему балансировки нагрузки или общедоступный IP-адрес. Исходящий трафик проходит через шлюз NAT.
Шлюз NAT и виртуальная машина с общедоступным IP-адресом уровня экземпляра
Рис. Шлюз NAT и виртуальная машина с общедоступным IP-адресом уровня экземпляра
| Ресурс | Направление потока трафика | Используемый метод подключения |
|---|---|---|
| ВМ (подсеть 1) | Входящий Исходящий |
Шлюз NAT уровня экземпляра общедоступного IP-адреса |
| Масштабируемый набор виртуальных машин (подсеть 1) | Входящий Исходящий |
NAT шлюз NA |
| Виртуальные машины (подсеть 2) | Входящий Исходящий |
NAT шлюз NA |
Виртуальная машина использует шлюз NAT для исходящего и возвращаемого трафика. Входящий трафик передается через общедоступный IP-адрес уровня экземпляра, напрямую связанный с виртуальной машиной в подсети 1. Масштабируемый набор виртуальных машин из подсети 1 и виртуальные машины из подсети 2 могут осуществлять единственный выход и получать ответный трафик только через шлюз NAT. Исходящий трафик не может быть получен.
Шлюз NAT и виртуальная машина со стандартной общедоступной подсистемой балансировки нагрузки
Рис. Шлюз NAT и виртуальная машина со стандартной общедоступной подсистемой балансировки нагрузки
| Ресурс | Направление потока трафика | Используемый метод подключения |
|---|---|---|
| Масштабируемый набор виртуальных машин (подсеть 1) и виртуальная машина | Входящий Исходящий |
Балансировщик нагрузки шлюз NAT |
| Виртуальные машины (подсеть 2) | Входящий Исходящий |
NAT шлюз NA |
Шлюз NAT заменяет любую исходящую конфигурацию из правила балансировки нагрузки или правил исходящего трафика на балансировщике нагрузки. Экземпляры виртуальных машин в серверном пуле используют шлюз NAT для отправки исходящего трафика и получения возвращаемого трафика. Исходящий трафик передается через подсистему балансировки нагрузки для всех экземпляров виртуальных машин (Подсеть 1) в серверном пуле подсистемы балансировки нагрузки. Виртуальные машины из подсети 2 могут передавать исходящий трафик и получать ответный трафик только через шлюз NAT. Исходящий трафик не может быть получен.
Шлюз NAT и виртуальная машина с общедоступным IP-адресом уровня экземпляра и стандартной общедоступной подсистемой балансировки нагрузки
Рис. Шлюз NAT и виртуальная машина с общедоступным IP-адресом уровня экземпляра и стандартной общедоступной подсистемой балансировки нагрузки
| Ресурс | Направление потока трафика | Используемый метод подключения |
|---|---|---|
| ВМ (подсеть 1) | Входящий Исходящий |
Шлюз NAT уровня экземпляра общедоступного IP-адреса |
| Масштабируемый набор виртуальных машин (подсеть 1) | Входящий Исходящий |
Балансировщик нагрузки шлюз NAT |
| Виртуальные машины (подсеть 2) | Входящий Исходящий |
NAT шлюз NA |
Шлюз NAT заменяет любую исходящую конфигурацию из правила балансировки нагрузки или правил исходящего трафика на балансировщике нагрузки и публичных IP-адресах уровня экземпляров на виртуальной машине. Все виртуальные машины в подсетях 1 и 2 используют шлюз NAT исключительно для исходящего и возвращаемого трафика. Общедоступные IP-адреса уровня экземпляра имеют приоритет над подсистемой балансировки нагрузки. Виртуальная машина в подсети 1 использует общедоступный IP-адрес уровня экземпляра для входящего трафика. Масштабируемые наборы виртуальных машин не имеют публичных IP-адресов на уровне экземпляра.
Использование помеченных общедоступных IP-адресов с шлюзом NAT
Теги служб представляют группу IP-адресов из данной службы Azure. Корпорация Майкрософт управляет префиксом адреса, охватываемым тегом службы, и автоматически обновляет тег службы по мере изменения адресов, что снижает сложность управления сетевыми правилами безопасности.
Общедоступные IP-адреса службы можно использовать с шлюзом NAT для обеспечения исходящего подключения к Интернету. Чтобы добавить общедоступный IP-адрес службы в шлюз NAT, его можно подключить с помощью любого из доступных клиентов в Azure, таких как портал, CLI или PowerShell. Дополнительные сведения см. в статье о добавлении и удалении общедоступных IP-адресов для шлюза NAT .
Примечание
Шлюз NAT не поддерживает общедоступные IP-адреса с предпочтениями маршрутизации "Интернет". Шлюз NAT поддерживает только общедоступные IP-адреса, которые направляются по глобальной сети Майкрософт.
Мониторинг исходящего сетевого трафика с помощью журналов потоков виртуальной сети
Чтобы собрать аналитические сведения о трафике для шлюза NAT стандартного SKU, рекомендуется использовать журналы потоков виртуальной сети. Журналы потоков виртуальной сети — это функция наблюдателя за сетями Azure, которая регистрирует сведения о IP-трафике, который проходит через виртуальную сеть. Чтобы отслеживать исходящий трафик, поступающий из виртуальной машины за шлюзом NAT, включите журналы потоков виртуальной сети.
Инструкции по включению журналов потоков виртуальной сети см. в статье "Управление журналами потоков виртуальной сети".
Рекомендуется получить доступ к данным журнала в рабочих областях Log Analytics , где можно также запрашивать и фильтровать данные для исходящего трафика. Дополнительные сведения об использовании Log Analytics см. в руководстве по Log Analytics.
Дополнительные сведения о схеме журнала потоков виртуальной сети см. в схеме аналитики трафика и агрегации данных.
Примечание
Журналы потоков виртуальной сети отображают только частные IP-адреса экземпляров виртуальных машин, подключающиеся к Интернету. Журналы потоков виртуальной сети не показывают, на какой общедоступный IP-адрес NAT-шлюза был подвергнут SNAT частный IP-адрес виртуальной машины для установления исходящих соединений.
Шлюз NAT StandardV2 поддерживает журналы потоков шлюза NAT через Azure Monitor. Журналы потоков шлюза NAT предоставляют сведения о трафике уровня IP для передачи трафика через шлюз NAT StandardV2. Дополнительные сведения см. в статье "Анализ трафика шлюза NAT с помощью журналов потоков".
Шлюз NAT и определяемые пользователем маршруты
Шлюз NAT полагается на стандартный маршрут подсети 0.0.0.0/0 к следующему узлу в интернете для преобразования исходящего трафика NAT (SNAT) в интернет.
Если вы создаете определяемый пользователем маршрут (UDR), который отправляет трафик 0.0.0.0/0 на виртуальное устройство в качестве следующего прыжка, переопределяется маршрут по умолчанию системы "Интернет". В результате весь исходящий трафик отправляется виртуальному устройству вместо шлюза NAT.
Обычное использование этого шаблона — принудительное туннелирование: переадресация всего трафика с адреса 0.0.0.0/0 на виртуальное устройство, например VPN-шлюз или ExpressRoute. Затем устройство может перенаправить трафик в локальную сеть, где он выходит в Интернет под локальными системами безопасности, мониторинга и контроля соответствия. В этом сценарии шлюз NAT обходится и не обеспечивает исходящее подключение к Интернету.
Если вместо этого настроить UDR с указанием следующего узла = Интернет, исходящий трафик продолжает направляться через шлюз NAT. Шлюз NAT выполняет SNAT для этого трафика.
Этот подход особенно полезен в сценариях, когда определенные назначения, такие как конечная точка службы управления ключами (KMS), должна быть достигнута через Интернет. В этом случае можно создать UDR с помощью:
Назначение = адрес службы KMS
Следующий прыжок = Интернет
С этой конфигурацией шлюз NAT обрабатывает SNAT и трафик к конечной точке KMS успешно передается через Интернет.
Использование шлюза NAT вместо исходящего доступа по умолчанию
При развертывании виртуальной машины в виртуальной сети без явно определенного метода исходящего подключения он назначается исходящий общедоступный IP-адрес по умолчанию. Этот IP-адрес обеспечивает исходящее подключение из ресурсов к Интернету и к другим общедоступным конечным точкам в Корпорации Майкрософт и называется исходящим IP-адресом по умолчанию. IP-адрес исходящего доступа по умолчанию принадлежит корпорации Майкрософт и подлежит изменению без уведомления. Конечный пользователь не видит этот общедоступный IP-адрес для исходящего доступа по умолчанию. Этот общедоступный IP-адрес исходящего доступа по умолчанию не рекомендуется для рабочих нагрузок.
Защита исходящего подключения к Интернету путем включения частной подсети. Частная подсеть предотвращает создание новых исходящих IP-адресов по умолчанию для виртуальных машин в подсети. Вместо этого используйте явный метод исходящего подключения, например шлюза NAT.
Это важно
31 марта 2026 г. новые виртуальные сети по умолчанию будут использовать частные подсети, что означает, что исходящий доступ по умолчанию больше не будет предоставлен, и этот явный исходящий метод должен быть включен для доступа к общедоступным конечным точкам в Интернете и в Microsoft. Вместо этого рекомендуется использовать явную форму исходящего подключения, например шлюз NAT.
Некоторые службы не работают на виртуальной машине в частной подсети без явного метода исходящего подключения, например активации Windows и обновлений Windows. Для активации или обновления операционных систем виртуальных машин, таких как Windows, требуется явный метод исходящего подключения, например шлюз NAT.
Limitations
Шлюз NAT не поддерживается в конфигурации концентратора vWAN.
Для шлюза NAT StandardV2 требуются общедоступные IP-адреса и префиксы SKU StandardV2. Общедоступные IP-адреса стандартных SKU не поддерживаются.
Шлюз NAT StandardV2 не поддерживает пользовательские префиксы IP-адресов (BYOIP)
Управляемый шлюз NAT версии 2 для рабочих нагрузок AKS теперь находится в предварительной версии. Дополнительные сведения см. в статье [Создание шлюза NAT для кластера AKS](Создание управляемого или назначаемого пользователем шлюза NAT для кластера Службы Azure Kubernetes (AKS) — Служба Azure Kubernetes | Microsoft Learn
Шлюз NAT StandardV2 доступен в выборе регионов Azure. Он недоступен в следующих регионах:
- Canada East
- Центральная Чили
- Центральная Индонезия
- Израиль северо-запад
- Западная Малайзия
- Qatar Central
- West India
- Южная Швеция