Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шлюз NAT Azure — это полностью управляемая и высоко отказоустойчивая служба преобразования сетевых адресов (NAT). Вы можете использовать шлюз Azure NAT, чтобы все экземпляры в частной подсети могли подключаться к интернету, оставаясь полностью частными. Незапрошенные входящий трафик из Интернета не разрешены через шлюз NAT. Только пакеты, поступающие в качестве пакетов ответа для исходящего подключения, могут передаваться через шлюз NAT.
Шлюз NAT предоставляет динамические функции портов SNAT для автоматического масштабирования исходящего подключения и снижения риска нехватки портов SNAT.
Рисунок. Шлюз NAT Azure
Шлюз NAT Azure обеспечивает исходящее подключение для многих ресурсов Azure, в том числе:
Виртуальные машины Azure или масштабируемые наборы виртуальных машин в частной подсети.
Группа контейнеров Azure.
Экземпляры служб приложений Azure (веб-приложения, REST API и мобильные серверные части) через интеграцию виртуальной сети.
Azure Databricks или с внедрением виртуальной сети.
Преимущества шлюза NAT Azure
Простая настройка
Развертывания намеренно упрощаются с помощью шлюза NAT. Подключите шлюз NAT к подсети и общедоступному IP-адресу и сразу же подключите исходящий трафик к Интернету. Требуется нулевая конфигурация обслуживания и маршрутизации. Более общедоступные IP-адреса или подсети можно добавлять позже без влияния на существующую конфигурацию.
Ниже приведен пример настройки шлюза NAT.
Создайте незональный или зональный шлюз NAT.
Назначьте общедоступный IP-адрес или префикс общедоступного IP-адреса.
Настройте подсеть виртуальной сети для использования шлюза NAT.
При необходимости измените время ожидания простоя протокола управления передачей (TCP) (необязательно). Проверьте таймеры, прежде чем изменять значения по умолчанию.
Безопасность
Шлюз NAT основан на модели безопасности сети "Нулевое доверие" и по умолчанию является безопасным. При использовании шлюза NAT частные экземпляры в подсети не нуждаются в общедоступных IP-адресах для доступа к Интернету. Частные ресурсы могут обращаться к внешним источникам за пределами виртуальной сети по исходному сетевому адресу, переводя (SNAT) на статические общедоступные IP-адреса или префиксы шлюза NAT. Вы можете предоставить непрерывный набор IP-адресов для исходящего подключения с помощью префикса общедоступного IP-адреса. На основе этого предсказуемого списка IP-адресов можно настроить правила брандмауэра назначения.
Устойчивость
Шлюз NAT Azure — это полностью управляемая и распределенная служба. Это не зависит от отдельных вычислительных экземпляров, таких как виртуальные машины или одно физическое устройство шлюза. Шлюз NAT всегда содержит несколько доменов сбоя и может поддерживать несколько сбоев без сбоя службы. Программно-определяемая сеть обеспечивает высокую устойчивость шлюза NAT.
Масштабируемость
Шлюз NAT масштабируется после создания. Не требуется операция увеличения или масштабирования. Azure управляет операцией шлюза NAT.
Подключите шлюз NAT к подсети, чтобы обеспечить исходящее подключение для всех частных ресурсов в этой подсети. Все подсети в виртуальной сети могут использовать один и тот же ресурс шлюза NAT. Исходящее подключение можно масштабировать, назначив до 16 общедоступных IP-адресов или префикс общедоступного IP-адреса размером /28 для шлюза NAT. Если шлюз NAT связан с префиксом общедоступного IP-адреса, он автоматически масштабируется до количества IP-адресов, необходимых для исходящего трафика.
Производительность
Шлюз NAT Azure — это программно-определяемая сетевая служба. Каждый шлюз NAT может обрабатывать до 50 Гбит/с данных для исходящего и возвращаемого трафика.
Шлюз NAT не влияет на пропускную способность сети вычислительных ресурсов. Дополнительные сведения о производительности шлюза NAT.
Основы шлюза NAT Azure
Исходящее соединение
Шлюз NAT — это рекомендуемый метод для исходящего подключения.
- Сведения о переносе исходящего доступа к шлюзу NAT из исходящего доступа по умолчанию или правил исходящего трафика Load Balancer см. в статье "Миграция исходящего доступа к шлюзу NAT Azure".
Примечание.
30 сентября 2025 г. новые виртуальные сети по умолчанию будут использовать частные подсети, что означает, что исходящий доступ по умолчанию больше не будет предоставлен по умолчанию, и этот явный исходящий метод должен быть включен для доступа к общедоступным конечным точкам в Интернете и в Корпорации Майкрософт. Вместо этого рекомендуется использовать явную форму исходящего подключения, например шлюз NAT.
Шлюз NAT обеспечивает исходящее подключение на уровне подсети. Шлюз NAT заменяет назначение интернета по умолчанию подсети для обеспечения исходящего подключения.
Шлюз NAT не требует конфигураций маршрутизации в таблице маршрутов подсети. После подключения шлюза NAT к подсети он предоставляет исходящее подключение сразу.
Шлюз NAT позволяет создавать потоки из виртуальной сети в службы за пределами виртуальной сети. Возврат трафика из Интернета разрешен только в ответ на активный поток. Службы за пределами виртуальной сети не могут инициировать входящий трафик через шлюз NAT.
Шлюз NAT имеет приоритет над другими методами исходящего подключения, включая Load Balancer, общедоступные IP-адреса уровня экземпляра и брандмауэр Azure.
Шлюз NAT имеет приоритет над другими явными исходящими методами, настроенными в виртуальной сети для всех новых подключений. Исходящий поток трафика для существующих подключений не прерывается благодаря использованию других явных методов подключения.
Шлюз NAT не имеет одинаковых ограничений на исчерпание портов SNAT, как и правила исходящего трафика и исходящего трафика подсистемы балансировки нагрузки по умолчанию.
Шлюз NAT поддерживает только протоколы ПРОТОКОЛА TCP и пользовательской диаграммы данных (UDP). Протокол сообщений управления Интернетом (ICMP) не поддерживается.
Маршруты трафика
Подсеть имеет системный маршрут по умолчанию, который направляет трафик с назначением 0.0.0.0/0 в Интернет автоматически. После настройки шлюза NAT подсети виртуальные машины в подсети взаимодействуют с Интернетом с помощью общедоступного IP-адреса шлюза NAT.
При создании определяемого пользователем маршрута (UDR) в таблице маршрутов подсети для трафика 0.0.0.0/0 стандартный маршрут в интернет для этого трафика заменяется. UDR, который отправляет трафик 0.0.0.0/0/0 на виртуальное устройство или шлюз виртуальной сети (VPN-шлюз и ExpressRoute) в качестве типа следующего прыжка, вместо этого переопределяет подключение шлюза NAT к Интернету.
Исходящее подключение следует этому порядку приоритета между различными методами маршрутизации и исходящего подключения:
- UDR для следующего прыжка Виртуальный модуль или общедоступный IP-адрес шлюза шлюза виртуальной сети >> на уровне общедоступного IP-адреса шлюза >> виртуальной машины >> Load Balancer >> по умолчанию использует системный маршрут по умолчанию к Интернету.
Конфигурации шлюза NAT
Несколько подсетей в одной виртуальной сети могут использовать разные шлюзы NAT или один и тот же шлюз NAT.
Несколько шлюзов NAT нельзя подключить к одной подсети.
Шлюз NAT не может охватывать несколько виртуальных сетей. Однако шлюз NAT можно использовать для обеспечения исходящего подключения в модели концентратор-спица. Дополнительные сведения см. в руководстве по концентратору шлюза NAT и периферийным клиентам.
Шлюз NAT не может быть развернут в подсети шлюза.
Ресурс шлюза NAT может использовать до 16 IP-адресов в любом сочетании следующих типов:
Общедоступные IP-адреса.
Префиксы общедоступного IP-адреса.
Общедоступные IP-адреса и префиксы, производные от пользовательских префиксов IP-адресов (BYOIP), чтобы узнать больше, см. Префикс пользовательского IP-адреса (BYOIP).
Шлюз NAT не может быть связан с общедоступным IP-адресом IPv6 или префиксом общедоступного IP-адреса IPv6.
Шлюз NAT можно использовать с Load Balancer с помощью правил исходящего трафика для обеспечения исходящего подключения с двумя стеками. См. два исходящих подключения стека с помощью шлюза NAT и Load Balancer.
Шлюз NAT работает с любым сетевым интерфейсом виртуальной машины или конфигурацией IP-адресов. Шлюз NAT может использовать несколько IP-конфигураций SNAT в сетевом интерфейсе.
Шлюз NAT может быть связан с подсетью брандмауэра Azure в виртуальной сети концентратора и предоставлять исходящее подключение из периферийных виртуальных сетей, пиринговых к концентратору. Дополнительные сведения см. в статье "Интеграция брандмауэра Azure с шлюзом NAT".
Зоны доступности
Шлюз NAT можно создать в определенной зоне доступности или поместить в нее.
Шлюз NAT можно изолировать в определенной зоне при создании сценариев изоляции зоны. После развертывания шлюза NAT невозможно изменить выбор зоны.
Шлюз NAT по умолчанию не помещается в зону . Незональный шлюз NAT помещается в зону для вас в Azure.
Шлюз NAT и основные ресурсы
Шлюз NAT совместим со стандартными общедоступными IP-адресами или префиксами общедоступных IP-адресов или сочетанием обоих.
Шлюз NAT нельзя использовать с подсетями, где существуют основные ресурсы. Базовые ресурсы SKU, такие как базовый балансировщик нагрузки или базовые общедоступные IP-адреса, несовместимы с шлюзом NAT. Базовая подсистема балансировки нагрузки и базовый общедоступный IP-адрес можно обновить до уровня "Стандартный", чтобы работать с шлюзом NAT.
Дополнительные сведения об обновлении Load Balancer с уровня "Базовый" до уровня "Стандартный" см. в статье Об обновлении общедоступного базового Azure Load Balancer.
Дополнительные сведения об обновлении общедоступного IP-адреса с уровня "базовый" до "стандартный" см. в статье об обновлении общедоступного IP-адреса.
Дополнительные сведения об обновлении базового общедоступного IP-адреса, подключенного к виртуальной машине с базовой до стандартной, см. в статье Об обновлении базового общедоступного IP-адреса, подключенного к виртуальной машине.
Время ожидания подключения и таймеры
Шлюз NAT отправляет пакет сброса TCP (RST) для любого потока подключения, который он не распознает как существующее подключение. Поток подключения больше не существует, если достигнуто время ожидания простоя шлюза NAT или подключение было закрыто ранее.
Когда отправитель трафика в неисправном потоке подключения получает пакет TCP RST шлюза NAT, подключение больше не используется.
Порты SNAT недоступны для повторного использования в той же конечной точке назначения после закрытия подключения. Шлюз NAT помещает порты SNAT в состояние охлаждения, прежде чем их можно повторно использовать для подключения к той же конечной точке назначения.
Продолжительность таймера повторного использования порта SNAT для TCP-трафика (период охлаждения) зависит от способа закрытия соединения. Дополнительные сведения см. в разделе Таймеры повторного использования портов.
По умолчанию время ожидания в режиме простоя для TCP-подключения равно 4 минутам, но его можно увеличить до 120 минут. Любое действие с потоком также может привести к сбросу таймера ожидания, включая TCP keepalives. Дополнительные сведения см. в разделе Таймеры тайм-аута простоя.
Трафик UDP имеет время ожидания простоя в течение 4 минут, которые нельзя изменить.
Трафик UDP имеет таймер повторного использования порта в 65 секунд, в течение которых порт находится на удержании, прежде чем он будет доступен для повторного использования на той же конечной точке.
Соглашение о ценах и уровне обслуживания (SLA)
Цены на шлюз NAT Azure см. в разделе цен на шлюз NAT.
Дополнительные сведения об уровне обслуживания см. в статье об уровне обслуживания для шлюза NAT Azure.
Следующие шаги
Дополнительные сведения о создании и проверке шлюза NAT см. в кратком руководстве по созданию шлюза NAT с помощью портала Azure.
Дополнительные сведения о шлюзе Azure NAT см. в статье "Как улучшить исходящее подключение с помощью шлюза Azure NAT".
Дополнительные сведения о ресурсе шлюза NAT см. в разделе "Ресурс шлюза NAT".
Дополнительные сведения о шлюзе Azure NAT см. в следующем модуле:
Дополнительные сведения об параметрах архитектуры для шлюза NAT Azure см. в статье azure Well-Architected Framework для проверки шлюза NAT Azure.