Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шлюз NAT Azure — это полностью управляемая и высоко отказоустойчивая служба преобразования сетевых адресов (NAT). Вы можете использовать шлюз Azure NAT, чтобы все экземпляры в частной подсети могли подключаться к интернету, оставаясь полностью частными. Незапрошенные входящие подключения из Интернета не разрешены через шлюз NAT. Только пакеты, поступающие в качестве пакетов ответа для исходящего подключения, могут передаваться через шлюз NAT.
Шлюз NAT предоставляет динамические функции портов SNAT для автоматического масштабирования исходящего подключения и снижения риска нехватки портов SNAT.
Рисунок. Шлюз NAT Azure
Шлюз NAT Azure обеспечивает исходящее подключение для многих ресурсов Azure, в том числе:
Виртуальные машины Azure или масштабируемые наборы виртуальных машин в частной подсети.
Группа контейнеров Azure.
Экземпляры служб приложений Azure (веб-приложения, REST API и мобильные серверные части) через интеграцию виртуальной сети.
Azure Databricks или с внедрением виртуальной сети.
Преимущества шлюза NAT Azure
Простая настройка
Развертывания намеренно упрощаются с помощью шлюза NAT. Подключите шлюз NAT к подсети и общедоступному IP-адресу и сразу же подключите исходящий трафик к Интернету. Требуется нулевая конфигурация обслуживания и маршрутизации. Более общедоступные IP-адреса или подсети можно добавлять позже без влияния на существующую конфигурацию.
Ниже приведен пример настройки шлюза NAT.
Создайте незональный или зональный шлюз NAT.
Назначьте общедоступный IP-адрес или префикс общедоступного IP-адреса.
Настройте использование шлюза NAT в подсети виртуальной сети.
При необходимости измените время ожидания простоя протокола управления передачей (TCP) (необязательно). Проверьте таймеры, прежде чем изменять значения по умолчанию.
Безопасность
Шлюз NAT основан на модели безопасности сети нулевого доверия и по умолчанию является безопасным. При использовании шлюза NAT частные экземпляры в подсети не нуждаются в общедоступных IP-адресах для доступа к Интернету. Частные ресурсы могут достигать внешних источников за пределами виртуальной сети, преобразуя исходный сетевой адрес (SNAT) в статические общедоступные IP-адреса или префиксы шлюза NAT. Вы можете предоставить непрерывный набор IP-адресов для исходящего подключения с помощью префикса общедоступного IP-адреса. На основе этого предсказуемого списка IP-адресов можно настроить правила брандмауэра назначения.
Устойчивость
Шлюз NAT Azure — это полностью управляемая и распределенная служба. Она не зависит от отдельных вычислительных экземпляров, таких как виртуальные машины или одно физическое устройство шлюза. Шлюз NAT всегда располагает несколькими доменами сбоя и может выдерживать многочисленные сбои без простоя. Программно-определяемая сеть обеспечивает высокую устойчивость шлюза NAT.
Масштабируемость
Шлюз NAT масштабируется с момента создания. Не требуется выполнять операции по развертыванию или масштабированию. Azure управляет операцией шлюза NAT для вас.
Подключите шлюз NAT к подсети, чтобы обеспечить исходящее подключение ко всем частным ресурсам в этой подсети. Все подсети в виртуальной сети могут использовать один и тот же ресурс шлюза NAT. Исходящее подключение может быть масштабировано путем назначения до 16 публичных IP-адресов или префикса публичного IP-адреса размером /28 для шлюза NAT. Если шлюз NAT связан с префиксом общедоступного IP-адреса, выполняется автоматическое масштабирование до количества IP-адресов, необходимых для исходящего подключения.
Производительность
Шлюз NAT Azure — это сервис, основанный на программно-определяемых сетях. Каждый шлюз NAT может обрабатывать до 50 Гбит/с данных для исходящего и возвращаемого трафика.
Шлюз NAT не влияет на пропускную способность сети вычислительных ресурсов. Узнайте подробнее о производительности шлюза NAT.
Основы шлюза NAT Azure
Исходящее соединение
Шлюз NAT — это рекомендуемый метод для исходящего подключения.
- Чтобы перенести исходящий доступ к шлюзу NAT из исходящего доступа по умолчанию или правил исходящего трафика для балансировки нагрузки, см. Миграция исходящего доступа к шлюзу NAT Azure.
Примечание.
30 сентября 2025 года исходящий доступ по умолчанию для новых развертываний будет прекращён. Вместо этого рекомендуется использовать явную форму исходящего подключения, например шлюз NAT.
Настройка исходящего трафика производится на уровне каждой подсети с помощью NAT-шлюза. Шлюз NAT заменяет назначение интернета по умолчанию подсети.
Конфигурации маршрутизации трафика не требуются для использования шлюза NAT.
Шлюз NAT позволяет создавать потоки из виртуальной сети к службам за пределами вашей виртуальной сети. Возврат трафика из Интернета разрешен только в ответ на активный поток. Службы за пределами виртуальной сети не могут инициировать входящие подключения через шлюз NAT.
Шлюз NAT имеет приоритет над другими методами исходящего подключения, включая подсистему балансировки нагрузки, общедоступные IP-адреса уровня экземпляра и Брандмауэр Azure.
Если шлюз NAT настроен на виртуальную сеть, в которой уже существует другой метод исходящего подключения, шлюз NAT перенаправит весь исходящий трафик вперед. В Azure Load Balancer нет перебоев в потоке трафика для существующих подключений. Все новые подключения используют шлюз NAT.
Шлюз NAT не испытывает таких же ограничений из-за исчерпания портов SNAT, как исходящий доступ по умолчанию и правила для исходящего трафика в балансировщике нагрузки.
Шлюз NAT поддерживает только протоколы TCP и UDP. Протокол сообщений управления Интернетом (ICMP) не поддерживается.
Маршруты трафика
Подсеть имеет системный маршрут по умолчанию, который направляет трафик с назначением 0.0.0.0/0 в Интернет автоматически. После настройки шлюза NAT в подсети, обмен данными между виртуальными машинами, существующими в подсети, к интернету будет использовать общедоступный IP-адрес шлюза NAT в качестве приоритета.
При создании определяемого пользователем маршрута (UDR) в таблице маршрутов подсети для трафика 0.0.0.0/0 стандартный маршрут в интернет для этого трафика заменяется. Пользовательская маршрутная таблица (UDR), которая направляет трафик 0.0.0.0/0 на виртуальное устройство или шлюз виртуальной сети (VPN-шлюз и ExpressRoute) в качестве следующего узла, переопределяет подключение шлюза NAT к Интернету.
Исходящее подключение следует этому порядку приоритета между различными методами маршрутизации и исходящего подключения:
- UDR к следующему узлу Виртуальный модуль или шлюз виртуальной сети >> шлюз NAT >> публичный IP-адрес на уровне экземпляра виртуальной машины >> правила исходящего трафика балансировщика нагрузки >> маршрут по умолчанию к Интернету.
Конфигурации шлюза NAT
Несколько подсетей в одной виртуальной сети могут использовать один или несколько разных шлюзов NAT.
К одной подсети невозможно прикрепить несколько шлюзов NAT.
Шлюз NAT не распространяется на несколько виртуальных сетей. Однако шлюз NAT можно использовать для обеспечения исходящего подключения в модели концентратор-спица. Дополнительные сведения см. в руководстве по концентратору шлюза NAT и периферийным устройствам.
Шлюз NAT нельзя развернуть в подсети шлюза.
Ресурс шлюза NAT может использовать до 16 IP-адресов в любом сочетании следующих типов:
Общедоступные IP-адреса.
Префиксы общедоступного IP-адреса.
Общедоступные IP-адреса и префиксы, производные от пользовательских префиксов IP-адресов (BYOIP), чтобы узнать больше, см. Префикс пользовательского IP-адреса (BYOIP).
Шлюз NAT нельзя связать с общедоступными IP-адресами IPv6 или префиксом общедоступных IP-адресов IPv6.
Шлюз NAT можно использовать с подсистемой балансировки нагрузки с помощью правил исходящего трафика для обеспечения исходящего подключения с двумя стеками. См. двойное стековое исходящее подключение с помощью шлюза NAT и балансировщика нагрузки.
Шлюз NAT работает с любым сетевым интерфейсом виртуальной машины или конфигурацией IP-адресов. Шлюз NAT может выполнять SNAT для нескольких IP-конфигураций на сетевом интерфейсе.
Шлюз NAT можно связать с подсетью Azure Firewall в виртуальной сети-концентраторе, чтобы обеспечить исходящее подключение из периферийных виртуальных сетей, объединённых пирингом с концентратором. Дополнительные сведения см. в статье Интеграция Брандмауэра Azure с шлюзом NAT.
Зоны доступности
Шлюз NAT можно создать в определенной зоне доступности или поместить в никакую зону.
Шлюз NAT можно изолировать в определенной зоне при создании сценариев изоляции зоны. Это развертывание называется зональным развертыванием. После развертывания шлюза NAT невозможно изменить выбор зоны.
Шлюз NAT по умолчанию не размещается в никакую зону. Незональный шлюз NAT размещается в зоне для вас в Azure.
Шлюз NAT и основные ресурсы
Шлюз NAT совместим со стандартными общедоступными IP-адресами или ресурсами префикса общедоступных IP-адресов или сочетанием обоих.
Базовые ресурсы, такие как базовая подсистема балансировки нагрузки или основные общедоступные IP-адреса, несовместимы с шлюзом NAT. Шлюз NAT нельзя использовать с подсетями, где существуют основные ресурсы. Базовая подсистема балансировки нагрузки и базовый общедоступный IP-адрес можно обновить до уровня "Стандартный", чтобы работать с шлюзом NAT.
Дополнительные сведения об обновлении подсистемы балансировки нагрузки с уровня "Базовый" до уровня "Стандартный" см. в статье Об обновлении общедоступной базовой подсистемы балансировки нагрузки Azure.
Дополнительные сведения об обновлении общедоступного IP-адреса с уровня "базовый" до "стандартный" см. в статье об обновлении общедоступного IP-адреса.
Дополнительные сведения об обновлении базового общедоступного IP-адреса, подключенного к виртуальной машине с базовой до стандартной, см. в статье Об обновлении базового общедоступного IP-адреса, подключенного к виртуальной машине.
Время ожидания подключения и таймеры
Шлюз NAT отправляет пакет сброса TCP (RST) для любого потока подключения, который он не распознает как существующее подключение. Поток подключения больше не существует, если достигнуто время ожидания простоя шлюза NAT или подключение было закрыто ранее.
Когда отправитель трафика в несуществующем потоке подключения получает пакет TCP RST шлюза NAT, подключение больше не пригодно для использования.
Порты SNAT недоступны для повторного использования в той же конечной точке назначения после закрытия подключения. Шлюз NAT помещает порты SNAT в состояние охлаждения, прежде чем их можно повторно использовать для подключения к той же конечной точке назначения.
Продолжительность таймера повторного использования порта SNAT для TCP-трафика (период охлаждения) зависит от способа закрытия соединения. Дополнительные сведения см. в разделе Таймеры повторного использования портов.
По умолчанию время ожидания в режиме простоя для TCP-подключения равно 4 минутам, но его можно увеличить до 120 минут. Любое действие с потоком также может привести к сбросу таймера ожидания, включая TCP keepalives. Дополнительные сведения см. в разделе Таймеры тайм-аута простоя.
Трафик UDP имеет время ожидания простоя в течение 4 минут, которые нельзя изменить.
Трафик UDP имеет таймер повторного использования порта в 65 секунд, в течение которых порт находится на удержании, прежде чем он будет доступен для повторного использования на той же конечной точке.
Соглашение о ценах и уровне обслуживания (SLA)
Цены на шлюз NAT Azure см. в разделе Цены на шлюз NAT.
Дополнительные сведения об уровне обслуживания см. в статье об уровне обслуживания для шлюза NAT Azure.
Следующие шаги
Дополнительные сведения о создании и проверке шлюза NAT см. в разделе Краткое руководство: создание шлюза NAT с помощью портала Azure.
Дополнительные сведения о шлюзе NAT Azure см. в статье "Как улучшить исходящее подключение с помощью шлюза Azure NAT".
Для получения дополнительной информации о ресурсе шлюза NAT, см. NAT gateway resource.
Дополнительные сведения о шлюзе Azure NAT см. в следующем модуле:
Дополнительные сведения о параметрах архитектуры для шлюза NAT Azure см. в разделе Обзор шлюза NAT Azure в Azure Well-Architected Framework.