Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure NAT Gateway — это полностью управляемая и высоко отказоустойчивая служба преобразования сетевых адресов (NAT). Используйте Azure NAT Gateway, чтобы разрешить всем экземплярам в подсети выходить в интернет, оставаясь полностью частными. Шлюз NAT не разрешает незапрошенные входящие подключения из Интернета. Только пакеты, поступающие в качестве пакетов ответа для исходящего подключения, могут передаваться через шлюз NAT.
Azure NAT Gateway динамически выделяет безопасные порты NAT (SNAT) для автоматического масштабирования исходящего подключения и минимизации риска исчерпания портов SNAT.
Azure NAT Gateway доступен в двух SKU:
Стандартный зональный (развернутый в одной зоне доступности) и предоставляет масштабируемое исходящее подключение для подсетей в одной виртуальной сети.
StandardV2 является избыточным по зонам и обеспечивает более высокую пропускную способность, чем стандартная SKU, а также поддержку IPv6 и журналов потоков.
Стандартный артикул
Шлюз NAT уровня "Стандартный" можно связать с подсетями в той же виртуальной сети, чтобы обеспечить исходящее подключение к Интернету. Шлюз NAT уровня "Стандартный" работает из одной зоны доступности.
StandardV2 SKU
SKU StandardV2 Azure NAT Gateway обеспечивает все те же функции SKU уровня «Стандартный», включая такие функции, как динамическое выделение портов SNAT и безопасное исходящее подключение для подсетей в виртуальной сети. Кроме того, StandardV2 обладает избыточностью на уровне зон, что означает, что он предоставляет выходящее подключение из всех зон региона вместо одной зоны.
Ключевые возможности StandardV2
- Зональная избыточность: Работает через все зоны доступности в регионе для поддержания подключенности во время сбоя одной зоны.
- Поддержка IPv6: поддерживает общедоступные IP-адреса IPv4 и IPv6 и префиксы для исходящего подключения.
- Высокая пропускная способность: обеспечивает до 100 Гбит/с пропускной способности данных на шлюз NAT по сравнению с 50 Гбит/с для шлюзов NAT уровня "Стандартный".
- Поддержка журнала потоков. Предоставляет сведения о трафике на основе IP-адресов, помогающие отслеживать и анализировать исходящие потоки трафика.
Дополнительные сведения о развертывании шлюза NAT StandardV2 см. в статье "Создание шлюза NAT StandardV2".
Основные ограничения StandardV2
SKU StandardV2 требует наличия общедоступных IP-адресов или префиксов типа StandardV2. Общедоступные IP-адреса уровня "Стандартный" не поддерживаются в StandardV2.
Вы не можете обновить номер SKU уровня "Стандартный" до номера SKU StandardV2. Необходимо создать шлюз NAT StandardV2, чтобы заменить шлюз NAT уровня "Стандартный" в подсети.
Следующие регионы не поддерживают шлюзы NAT StandardV2:
- Canada East
- Центральная Чили
- Центральная Индонезия
- Израиль северо-запад
- Западная Малайзия
- Qatar Central
- Южная Швеция
- West India
Известные проблемы StandardV2
Исходящий трафик IPv6, использующий правила исходящего трафика подсистемы балансировки нагрузки, нарушается при связывании шлюза NAT StandardV2 с подсетью. Если требуется исходящее подключение IPv4 и IPv6, используйте одно из следующих вариантов:
- Правила исходящего трафика балансировщика нагрузки для IPv4 и IPv6
- Стандартный шлюз NAT для трафика IPv4 и правила исходящего трафика балансировщика нагрузки для IPv6.
Исходящие подключения, использующие подсистему балансировки нагрузки, Брандмауэр Azure или общедоступные IP-адреса уровня виртуальной машины, могут быть прерваны при добавлении шлюза NAT StandardV2 в подсеть. Все новые исходящие подключения используют шлюз NAT StandardV2.
Дополнительные сведения о известных проблемах и ограничениях номера SKU StandardV2 Azure NAT Gateway см. в разделе Известные ограничения.
преимущества Azure NAT Gateway
Простая настройка
Развертывания с Azure NAT Gateway намеренно просты. Подключите шлюз NAT к подсети и общедоступному IP-адресу и сразу же подключите исходящий трафик к Интернету. Не требуются конфигурации обслуживания или маршрутизации. Вы можете добавить более общедоступные IP-адреса или подсети позже, не затрагивая существующую конфигурацию.
В следующих шагах показано, как настроить шлюз NAT:
Создайте незональный или зональный шлюз NAT.
Назначьте общедоступный IP-адрес или префикс общедоступного IP-адреса.
Настройте подсеть для использования шлюза NAT.
При необходимости измените время ожидания простоя протокола управления передачей (TCP) (необязательно). Проверьте таймеры, прежде чем изменять значения по умолчанию.
Безопасность
Azure NAT Gateway основан на модели безопасности сети "Никому не доверяй". При использовании Azure NAT Gateway частные экземпляры в подсети не требуют общедоступных IP-адресов для доступа к Интернету. Частные ресурсы могут достигать внешних источников за пределами виртуальной сети с помощью SNAT для статических общедоступных IP-адресов или префиксов в Azure NAT Gateway.
Вы можете предоставить непрерывный набор IP-адресов для исходящего подключения с помощью префикса общедоступного IP-адреса. Правила брандмауэра назначения можно настроить на основе этого прогнозируемого списка IP-адресов.
Устойчивость
Azure NAT Gateway — это полностью управляемая и распределенная служба. Это не зависит от отдельных вычислительных экземпляров, таких как виртуальные машины или одно физическое устройство шлюза. Шлюз NAT всегда имеет несколько доменов отказа и может выдерживать несколько отказов без прерывания работы служб. Программно-определяемая сеть обеспечивает высокую устойчивость шлюза NAT.
Масштабируемость
Шлюз NAT масштабируется с момента создания. Не требуется операция наращивания или горизонтального масштабирования. Azure управляет эксплуатацией шлюза NAT для вас.
Подключите шлюз NAT к подсети, чтобы обеспечить исходящее подключение ко всем частным ресурсам в этой подсети. Все подсети в виртуальной сети могут использовать один и тот же ресурс шлюза NAT. Вы можете масштабировать исходящее подключение, назначив до 16 общедоступных IP-адресов шлюзу NAT. При связывании шлюза NAT с префиксом общедоступного IP-адреса он автоматически масштабируется до количества IP-адресов, необходимых для исходящего трафика.
Производительность
Azure NAT Gateway — это программно-определяемая сетевая служба. Каждый шлюз NAT может обрабатывать до 50 Гбит/с данных для исходящего и возвращаемого трафика.
Шлюз NAT не влияет на пропускную способность сети вычислительных ресурсов. Дополнительные сведения см. в разделе "Производительность".
основы Azure NAT Gateway
Azure NAT Gateway обеспечивает безопасное масштабируемое исходящее подключение для ресурсов в виртуальной сети.
Исходящее соединение
Azure NAT Gateway — это метод, который рекомендуется использовать для исходящего подключения.
Сведения о переносе исходящего доступа к шлюзу NAT из исходящего доступа по умолчанию или правил исходящего трафика подсистемы балансировки нагрузки см. в статье Migrate outbound access to Azure NAT Gateway.
Примечание.
По состоянию на 31 марта 2026 г. новые виртуальные сети по умолчанию используют частные подсети. Исходящий доступ по умолчанию не предоставляется по умолчанию. Вместо этого используйте явную форму исходящего подключения, например Azure NAT Gateway.
Azure NAT Gateway обеспечивает исходящее подключение на уровне подсети. Он заменяет маршрут по умолчанию в интернет для предоставления исходящей связи подсети.
Azure NAT Gateway не требует конфигураций маршрутизации в таблице маршрутов подсети. После подключения шлюза NAT к подсети он предоставляет исходящее подключение сразу.
Azure NAT Gateway позволяет создавать потоки из виртуальной сети в службы за пределами виртуальной сети. Возврат трафика из Интернета разрешен только в ответ на активный поток. Службы за пределами виртуальной сети не могут инициировать входящий трафик через шлюз NAT.
Azure NAT Gateway имеет приоритет над другими методами исходящего подключения, включая подсистему балансировки нагрузки, общедоступные IP-адреса уровня экземпляра и Брандмауэр Azure.
Azure NAT Gateway принимает приоритет над другими явными исходящими методами, настроенными в виртуальной сети для всех новых подключений. Отсутствуют падения в потоке трафика для существующих подключений, использующих другие явные методы исходящего подключения.
Azure NAT Gateway не имеет таких же ограничений на исчерпание портов SNAT, как default исходящий доступ и исходящие правила балансировщика нагрузки.
Azure NAT Gateway поддерживает только протоколы TCP и UDP. Протокол сообщений управления Интернетом (ICMP) не поддерживается.
Azure NAT Gateway поддерживает экземпляры Служба приложений Azure (веб-приложения, интерфейсы REST API и мобильные серверные части) через виртуальную сетевую интеграцию.
Подсеть имеет системный маршрут по умолчанию, который направляет трафик с назначением 0.0.0.0/0 в Интернет автоматически. После настройки шлюза NAT в подсети виртуальные машины в подсети взаимодействуют с Интернетом с помощью общедоступного IP-адреса шлюза NAT.
При создании определяемого пользователем маршрута (UDR) в таблице маршрутов подсети для трафика 0.0.0.0/0 вы переопределите стандартный путь к Интернету для этого трафика. UDR, который отправляет трафик 0.0.0.0/0 на виртуальное устройство или шлюз виртуальной сети (Azure VPN Gateway и Azure ExpressRoute) как следующий тип перехода, тем самым переопределяет подключение шлюза NAT к Интернету.
Вот последовательность:
UDR для следующего перехода к виртуальному устройству или виртуальному сетевому шлюзу >> NAT шлюз >> общедоступного IP-адреса на виртуальной машине на уровне экземпляра >> правила исходящего трафика балансировщика нагрузки >> системный маршрут по умолчанию в Интернет.
Конфигурации шлюза NAT
Несколько подсетей в одной виртуальной сети могут использовать разные шлюзы NAT или один и тот же шлюз NAT.
Вы не можете подключить несколько шлюзов NAT к одной подсети.
Шлюз NAT не может охватывать несколько виртуальных сетей. Однако шлюз NAT можно использовать для обеспечения исходящего подключения в модели концентратора и периферийной модели. Дополнительные сведения см. в руководстве Azure NAT Gateway hub-and-spoke.
Ресурс шлюза NAT уровня "Стандартный" может использовать до 16 общедоступных IP-адресов IPv4. Ресурс шлюза NAT StandardV2 может использовать до 16 IPv4 и 16 общедоступных IP-адресов IPv6.
Невозможно развернуть шлюз NAT в подсети шлюза или подсети, содержащей управляемые экземпляры SQL.
Azure NAT Gateway работает с любым сетевым интерфейсом виртуальной машины или IP-конфигурацией. Шлюз NAT может использовать SNAT для нескольких IP-конфигураций в сетевом интерфейсе.
Шлюз NAT можно связать с подсетью Брандмауэр Azure в концентраторе виртуальной сети и обеспечить исходящее подключение из периферийных виртуальных сетей, пиринговых к концентратору. Дополнительные сведения см. в статье article об интеграции Брандмауэр Azure с Azure NAT Gateway.
Зоны доступности
Шлюз NAT уровня "Стандартный" можно создать в определенной зоне доступности или разместить его в зоне "Нет".
Шлюз NAT уровня "Стандартный" можно изолировать в определенной зоне при создании зонального шлюза NAT. После развертывания шлюза NAT невозможно изменить выбор зоны.
По умолчанию шлюз NAT уровня "Стандартный" помещается в зону "Нет". Azure размещает незональный шлюз NAT nonzonal NAT в зону.
Шлюз NAT StandardV2, имеющий отказоустойчивость по зонам, работает во всех зонах доступности региона для поддержания подключения в случае сбоя одной из зон.
Исходящий доступ по умолчанию
Чтобы обеспечить безопасное исходящее подключение к Интернету, включите частную подсеть. С помощью этого подхода вы предотвращаете создание исходящих IP-адресов по умолчанию и вместо этого используйте явный метод исходящего подключения, например шлюз NAT.
Некоторые службы не работают на виртуальной машине в частной подсети без специального метода выхода в интернет, например Активация Windows и Обновления Windows. Для активации или обновления операционных систем виртуальных машин, таких как Windows, требуется явный метод исходящего подключения, например шлюз NAT.
Сведения о переносе исходящего доступа к шлюзу NAT из исходящего доступа по умолчанию или правил исходящего трафика подсистемы балансировки нагрузки см. в статье Migrate outbound access to Azure NAT Gateway.
Примечание.
По состоянию на 31 марта 2026 г. новые виртуальные сети по умолчанию используют частные подсети. Исходящий доступ по умолчанию больше не предоставляется. Необходимо включить явный исходящий метод для доступа к общедоступным конечным точкам в Интернете и в Microsoft. Вместо этого используйте явную форму исходящего подключения, например шлюз NAT.
Azure NAT Gateway и базовые ресурсы
Шлюз NAT уровня "Стандартный" работает со стандартными общедоступными IP-адресами или префиксами общедоступных IP-адресов. Шлюз NAT StandardV2 работает только с общедоступными IP-адресами StandardV2 или префиксами общедоступных IP-адресов.
Вы не можете использовать Azure NAT Gateway с подсетями с базовыми ресурсами. Ресурсы для SKU уровня "Базовый", такие как балансировщик нагрузки уровня "Базовый" или публичные IP-адреса уровня "Базовый", не работают с Azure NAT Gateway. Вы можете обновить базовый балансировщик нагрузки и общедоступный IP-адрес уровня "Базовый" до уровня "Стандартный", чтобы работать с шлюзом NAT.
Дополнительные сведения об обновлении подсистемы балансировки нагрузки с уровня "Базовый" до уровня "Стандартный" см. в статье об обновлении базовой подсистемы балансировки нагрузки.
Дополнительные сведения об обновлении общедоступного IP-адреса с уровня "Базовый" до "Стандартный" см. в разделе "Обновление общедоступного IP-адреса".
Дополнительные сведения об обновлении общедоступного IP-адреса, подключенного к виртуальной машине с уровня "Базовый" до "Стандартный", см. в статье об обновлении общедоступного IP-адреса, подключенного к виртуальной машине.
Время ожидания подключения и таймеры
Azure NAT Gateway отправляет пакет сброса TCP (RST) для любого потока подключения, который он не распознает как существующее подключение. Поток подключения больше не существует, если достигнуто Azure NAT Gateway время ожидания простоя или подключение было закрыто ранее.
Когда отправитель трафика в потоке несуществующего подключения получает пакет TCP RST от Azure NAT Gateway, подключение больше не может использоваться.
Порты SNAT недоступны для повторного использования в той же конечной точке назначения после закрытия подключения. Azure NAT Gateway помещает порты SNAT в состояние охлаждения до повторного использования для подключения к той же конечной точке назначения.
Длительность таймера повторного использования порта SNAT (cooldown) для TCP-трафика варьируется в зависимости от того, как завершается подключение. Для получения дополнительной информации смотрите таймеры повторного использования портов.
Время ожидания простоя TCP Azure NAT Gateway по умолчанию — 4 минуты, но может быть увеличено до 120 минут. Любое действие в потоке может сбросить таймер простоя, включая TCP keepalive-сообщения. Подробнее см. в разделе таймеры простоя.
Трафик UDP имеет время ожидания простоя в течение 4 минут, которые нельзя изменить.
Трафик UDP имеет таймер повторного использования порта в 65 секунд. В течение этого периода порт находится в режиме удержания, прежде чем он будет доступен для повторного использования в той же конечной точке назначения.
Цены и соглашение об уровне обслуживания
Шлюзы NAT уровня "Стандартный" и "Стандартный V2" имеют одинаковую цену. Дополнительные сведения см. в разделе о ценах на шлюз Azure NAT.
Для получения информации о соглашении об уровне обслуживания (SLA) см. Соглашения Microsoft об уровне обслуживания для онлайн-сервисов.
Связанный контент
Дополнительные сведения о создании и проверке шлюза NAT см. в статье Quickstart: создание шлюза NAT с помощью портала Azure.
Чтобы получить дополнительную информацию об Azure NAT Gateway, смотрите видео Как улучшить выходящее подключение с помощью Azure NAT Gateway.
Дополнительные сведения о ресурсе шлюза NAT см. в разделе ресурса шлюза NAT.