Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die wichtigsten Komponenten der NAT-Gatewayressource beschrieben, die das Bereitstellen einer hochgradig sicheren, skalierbaren und resilienten ausgehenden Konnektivität ermöglichen. NAT-Gateway kann in Ihrem Abonnement über unterstützte Clients konfiguriert werden. Zu diesen Clients gehören Azure-Portal, Azure CLI, Azure PowerShell, Resource Manager-Vorlagen oder geeignete Alternativen.
Von Bedeutung
Das Standard-V2-SKU-Azure NAT-Gateway befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
NAT-Gateway-SKUs
NAT-Gateway ist in zwei SKUs verfügbar: StandardV2 und Standard.
Abbildung 1: Standard- und StandardV2-SKUs des NAT-Gateways.
StandardV2-SKU ist standardmäßig zonenredundant. Sie erstreckt sich automatisch über mehrere Verfügbarkeitszonen in einer Region, wobei sichergestellt wird, dass die ausgehende Verbindung fortgesetzt wird, auch wenn eine Zone nicht mehr verfügbar ist.
Standard-SKU ist eine zonale Ressource. Sie wird in einer bestimmten Verfügbarkeitszone bereitgestellt und ist innerhalb dieser Zone robust.
StandardV2-SKU-NAT-Gateway unterstützt auch öffentliche IPs von IPv6, während standardmäßiges SKU-NAT-Gateway nur IPv4 öffentliche IPs unterstützt.
NAT Gateway-Architektur
Azure NAT Gateway verwendet softwaredefinierte Netzwerke, um als vollständig verwalteter, verteilter Dienst zu arbeiten. Standardmäßig umfasst NAT-Gateway mehrere Fehlerdomänen, sodass es mehreren Fehlern standhält, ohne dass der Dienst wirksam wird. NAT-Gateway stellt die Quellnetzwerkadressenübersetzung (Source Network Address Translation, SNAT) für private Instanzen innerhalb der zugehörigen Subnetze Ihres virtuellen Azure-Netzwerks bereit. Die privaten IP-Adressen der virtuellen Computern werden per SNAT in die statischen öffentlichen IP-Adressen eines NAT-Gateways übersetzt, um eine ausgehende Verbindung mit dem Internet herzustellen. NAT Gateway stellt auch Adressenübersetzung für das Zielnetzwerk (Destination Network Address Translation, DNAT) für Antwortpakete nur für ausgehende Verbindungen bereit.
Abbildung: NAT Gateway für ausgehenden Datenverkehr zum Internet
Wenn NAT Gateway für ein Subnetz innerhalb eines virtuellen Netzwerks konfiguriert wird, wird NAT Gateway zum standardmäßigen nächsten Hoptyp des Subnetzes für den gesamten ausgehenden Datenverkehr an das Internet. Es sind keine zusätzlichen Routingkonfigurationen erforderlich. NAT Gateway stellt keine nicht angeforderten eingehenden Verbindungen aus dem Internet bereit. DNAT wird nur für Pakete durchgeführt, die als Antwort auf ein ausgehendes Paket eingehen.
Subnetze
StandardV2- und Standard-NAT-Gateway können an mehrere Subnetze innerhalb eines virtuellen Netzwerks angefügt werden, um ausgehende Verbindungen mit dem Internet bereitzustellen. Wenn ein NAT-Gateway an ein Subnetz angefügt ist, wird davon ausgegangen, dass die Standardroute zum Internet erfolgt. NAT Gateway dient als nächster Hoptyp für den gesamten ausgehenden Datenverkehr, der für das Internet bestimmt ist.
Die folgenden Subnetzkonfigurationen können nicht mit NAT-Gateway verwendet werden:
An jedes Subnetz kann nur eine NAT Gateway-Instanz angefügt werden.
NAT-Gateway kann nicht an Subnetze aus verschiedenen virtuellen Netzwerken angefügt werden.
NAT-Gateway kann nicht mit einem Gateway-Subnetz verwendet werden. Ein Gatewaysubnetz ist ein bestimmtes Subnetz für ein VPN-Gateway, das verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort sendet. Weitere Informationen zum Gatewaysubnetz finden Sie unter Gatewaysubnetz.
Statische öffentliche IP-Adressen
NAT-Gateway kann statischen öffentlichen IP-Adressen oder öffentlichen IP-Präfixen zugeordnet werden. Wenn Sie ein Präfix für öffentliche IP-Adressen zuweisen, wird dieses vollständig verwendet. Sie können ein öffentliches IP-Präfix direkt verwenden oder die öffentlichen IP-Adressen des Präfixes über mehrere NAT-Gatewayressourcen verteilen. NAT-Gateway sendet den gesamten Datenverkehr an den Bereich der IP-Adressen des Präfixes.
- StandardV2 NAT-Gateway unterstützt bis zu 16 öffentliche IPv4- und 16 IPv6-IP-Adressen.
- Standardmäßiges NAT-Gateway kann nicht mit öffentlichen IPv6-IP-Adressen oder Präfixen verwendet werden. Es unterstützt bis zu 16 öffentliche IPv4-IP-Adressen.
- NAT-Gateway kann nicht mit grundlegenden öffentlichen SKU-IP-Adressen verwendet werden.
| NAT-Gateway-SKU | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Ja, unterstützt öffentliche IPv4-IP-Adressen und Präfixe. | Ja, unterstützt öffentliche IPv6-IP-Adressen und Präfixe. |
| Norm | Ja, unterstützt öffentliche IPv4-IP-Adressen und Präfixe. | Nein, unterstützt keine öffentlichen IPv6-IP-Adressen und Präfixe. |
SNAT-Ports
Das SNAT-Portinventar wird von öffentlichen IP-Adressen, öffentlichen IP-Präfixen oder beidem bereitgestellt, die an ein NAT-Gateway angefügt sind. Das SNAT-Portinventar wird allen Instanzen innerhalb eines Subnetzes, das an das NAT-Gateway angefügt ist, bei Bedarf zur Verfügung gestellt. Es ist keine vorherige Zuteilung von SNAT-Ports pro Instanz erforderlich.
Weitere Informationen zu SNAT-Ports und Azure NAT Gateway finden Sie unter Adressenübersetzung für das Quellnetzwerk (Source Network Address Translation, SNAT) mit Azure NAT Gateway.
Wenn mehrere Subnetze innerhalb eines virtuellen Netzwerks an dieselbe NAT-Gatewayressource angefügt sind, wird das von NAT Gateway bereitgestellte SNAT-Portinventar von allen Subnetzen gemeinsam genutzt.
SNAT-Ports dienen als eindeutige Bezeichner, um unterschiedliche Verbindungsflows voneinander zu unterscheiden. Derselbe SNAT-Port kann für die gleichzeitige Verbindung mit verschiedenen Zielendpunkten verwendet werden.
Verschiedene SNAT-Ports werden für Verbindungen mit dem gleichen Zielendpunkt verwendet, um verschiedene Verbindungsflows voneinander zu unterscheiden. Für SNAT-Ports, die für eine Verbindung mit demselben Ziel wiederverwendet werden, gilt ein Timer zur Wiederverwendung mit Abklingzeit, bevor sie wiederverwendet werden können.
Abbildung: SNAT-Portzuordnung
Ein einzelnes NAT-Gateway kann um die Anzahl der damit verbundenen öffentlichen IP-Adressen skaliert werden. Jede öffentliche IP-Adresse des NAT-Gateways bietet 64.512 SNAT-Ports für das Herstellen ausgehender Verbindungen. Ein NAT-Gateway kann bis auf über 1 Million SNAT-Ports skaliert werden. Bei TCP und UDP handelt es sich um separate SNAT-Portinventare, und sie hängen nicht mit NAT Gateway zusammen.
Verfügbarkeitszonen
DAS NAT-Gateway verfügt über zwei SKUs – Standard und StandardV2. Um sicherzustellen, dass Ihre Architektur widerstandsfähig gegen Zonenfehler ist, stellen Sie standardV2 NAT-Gateway bereit, da es sich um eine zonenredundante Ressource handelt. Wenn eine Verfügbarkeitszone in einer Region ausfällt, fließen neue Verbindungen aus den verbleibenden intakten Zonen.
Abbildung: Mehrzonenbereitstellung des StandardV2 NAT-Gateways.
Standardmäßiges NAT-Gateway ist eine zonale Ressource, was bedeutet, dass es aus einzelnen Verfügbarkeitszonen bereitgestellt und ausgeführt werden kann. Wenn die Zone, die dem NAT-Standardgateway zugeordnet ist, ausfällt, werden ausgehende Verbindungen für die Subnetze, die dem NAT-Gateway zugeordnet sind, beeinträchtigt.
Weitere Informationen zu Verfügbarkeitszonen und Azure NAT Gateway finden Sie unter Überlegungen zum Entwurf für Verfügbarkeitszonen.
Abbildung: Bereitstellung einer einzelnen Zone des Standard-NAT-Gateways.
Nachdem ein NAT-Gateway bereitgestellt wurde, kann die Zonenauswahl nicht geändert werden.
Protokolle
NAT Gateway interagiert mit IP- und IP-Transportheadern von UDP- und TCP-Datenflüssen. NAT Gateway ist gegenüber Nutzlasten auf Anwendungsebene agnostisch. Andere IP-Protokolle, z. B. ICMP, werden nicht unterstützt.
TCP-Zurücksetzung
Ein TCP-Zurücksetzungspaket wird gesendet, wenn ein NAT-Gateway Datenverkehr für einen Verbindungsflow erkennt, der nicht vorhanden ist. Das TCP-Zurücksetzungspaket zeigt dem empfangenden Endpunkt an, dass der Verbindungsfluss freigegeben wurde und jede zukünftige Kommunikation über dieselbe TCP-Verbindung fehlgeschlagen wird. Die TCP-Zurücksetzung ist unidirektional für ein NAT-Gateway.
Der Verbindungsflow ist unter folgenden Umständen möglicherweise nicht vorhanden:
Der Leerlauftimeout wurde nach einer Zeit der Inaktivität für den Verbindungsfluss erreicht, und die Verbindung wird automatisch getrennt.
Der Absender, entweder aus dem Azure-Netzwerk oder aus dem öffentlichen Internet, hat nach dem Trennen der Verbindung Daten gesendet.
Ein TCP-Zurücksetzungspaket wird nur gesendet, wenn Datenverkehr für den getrennten Verbindungsflow erkannt wird. Dieser Vorgang bedeutet, dass ein TCP-Zurücksetzungspaket möglicherweise nicht sofort gesendet wird, nachdem ein Verbindungsflow unterbrochen wird.
Das System sendet ein TCP-Zurücksetzungspaket als Reaktion auf die Erkennung von Datenverkehr in einem nicht vorhandenen Verbindungsflow, unabhängig davon, ob der Datenverkehr von der Azure-Netzwerkseite oder der öffentlichen Internetseite stammt.
TCP-Leerlauftimeout
Ein NAT-Gateway bietet eine konfigurierbare Leerlauftimeout-Spanne von 4 bis 120 Minuten für TCP-Protokolle. Für UDP-Protokolle gilt ein nicht konfigurierbarer Leerlauftimeout von 4 Minuten.
Wenn eine Verbindung in den Leerlauf übergeht, hält das NAT-Gateway den SNAT-Port so lange besetzt, bis die Verbindung vollständig im Leerlauf ist. Da lange Timer für Leerlauftimeouts die Wahrscheinlichkeit einer SNAT-Portauslastung unnötig erhöhen können, wird nicht empfohlen, die Dauer des TCP-Leerlauftimeouts auf einen Wert zu erhöhen, der über dem Standardwert von vier Minuten liegt. Der Leerlauftimer wirkt sich nicht auf einen Flow aus, der sich nie im Leerlauf befindet.
TCP-Keepalives können als Muster für die Aktualisierung von Verbindungen mit langer Leerlaufzeit sowie für die Erkennung des Livezustands von Endpunkten verwendet werden. Weitere Informationen finden Sie in diesen .NET-Beispielen. TCP-Keep-Alives werden als doppelte ACK-Vorgänge für die Endpunkte angezeigt und sind mit geringem Aufwand verbunden und für die Anwendungsschicht unsichtbar.
Timer für UDP-Leerlauftimeouts sind nicht konfigurierbar. Daher sollten UDP-Keepalives verwendet werden, um sicherzustellen, dass der Wert des Leerlauftimeouts nicht erreicht und die Verbindung aufrechterhalten wird. Im Gegensatz zu TCP-Verbindungen gilt ein UDP-Keepalive, das auf einer Seite der Verbindung aktiviert wurde, nur für den Datenverkehrsfluss in eine Richtung. UDP-Keepalives müssen auf beiden Seiten des Datenverkehrsflusses aktiviert werden, um den Datenverkehrsfluss aktiv zu halten.
Timer
Timer für die Wiederverwendung von Ports
Portwiederverwendungszeitgeber bestimmen die Zeitspanne, nachdem eine Verbindung geschlossen wurde, während der ein Quellport gesperrt ist, bevor er vom NAT-Gateway für eine neue Verbindung zum selben Zielendpunkt wiederverwendet werden kann.
Die folgende Tabelle enthält Informationen dazu, wann ein TCP-Port für die Wiederverwendung für denselben Zielendpunkt durch das NAT-Gateway verfügbar wird.
| Zeitgeber | BESCHREIBUNG | Wert |
|---|---|---|
| TCP FIN (TCP-Beendigung) | Nachdem eine Verbindung durch ein TCP FIN-Paket geschlossen wurde, wird ein 65-Sekunden-Timer aktiviert, der den SNAT-Port sperrt. Der SNAT-Port steht nach Ablauf des Timers zur Wiederverwendung zur Verfügung. | 65 Sekunden |
| TCP RST (TCP-Zurücksetzung) | Nachdem eine Verbindung durch ein TCP RST-Paket (zurücksetzen) geschlossen wurde, wird ein 16-Sekunden-Timer aktiviert, der den SNAT-Port inaktiv hält. Der Port steht nach Ablauf des Timers zur Wiederverwendung zur Verfügung. | 16 Sekunden |
| TCP half open (TCP halb geöffnet) | Während der Verbindungseinrichtung, bei der ein Verbindungsendpunkt auf die Bestätigung des anderen Endpunkts wartet, wird ein 30-Sekunden-Timer aktiviert. Wird kein Datenverkehr erkannt, wird die Verbindung geschlossen. Nachdem die Verbindung geschlossen wird, ist der Quellport zur Wiederverwendung für denselben Zielendpunkt verfügbar. | 30 Sekunden |
Bei UDP-Datenverkehr ist der Port nach dem Schließen einer Verbindung 65 Sekunden lang gesperrt, bevor er für die Wiederverwendung verfügbar ist.
Timer für Leerlauftimeouts
| Zeitgeber | BESCHREIBUNG | Wert |
|---|---|---|
| TCP-Leerlauftimeout | TCP-Verbindungen können sich in einem Leerlaufzustand befinden, wenn zwischen beiden Endpunkten für längere Zeit keine Daten übertragen werden. Ein Timer kann von 4 Minuten (Standard) bis zu 120 Minuten (2 Stunden) konfiguriert werden, um eine inaktive Verbindung zu trennen. Durch Datenverkehr im Datenfluss wird der Timer für das Leerlauftimeout zurückgesetzt. | Konfigurierbar zwischen vier Minuten (Standardwert) und 120 Minuten |
| UDP-Leerlauftimeout | UDP-Verbindungen können sich in einem Leerlaufzustand befinden, wenn zwischen beiden Endpunkten für längere Zeit keine Daten übertragen werden. Timer für UDP-Timeouts betragen vier Minuten und können nicht konfiguriert werden. Durch Datenverkehr im Datenfluss wird der Timer für das Leerlauftimeout zurückgesetzt. | Nicht konfigurierbar; vier Minuten |
Hinweis
Diese Zeitgebereinstellungen können sich ändern. Die Werte werden bereitgestellt, um bei der Problembehandlung zu helfen, und Sie sollten sich derzeit nicht auf bestimmte Timer verlassen.
Bandbreite
Es gibt unterschiedliche Bandbreitenbeschränkungen für jede SKU des NAT-Gateways. StandardV2-SKU-NAT-Gateway unterstützt bis zu 100 GBit/s des Datendurchsatzes pro NAT-Gatewayressource. Standard-SKU-NAT-Gateway bietet 50 GBit/s Durchsatz, der zwischen ausgehenden und eingehenden Daten (Antwort) aufgeteilt wird. Der Datendurchsatz ist auf 25 GBit/s für ausgehende und 25 GBit/s für eingehende (Antwort)-Daten pro Standard-NAT-Gatewayressource begrenzt.
Leistung
Standard- und StandardV2-NAT-Gateway unterstützen jeweils bis zu 50.000 gleichzeitige Verbindungen pro öffentliche IP-Adresse mit demselben Zielendpunkt über das Internet für TCP- und UDP-Datenverkehr.
Jede kann bis zu 2 Millionen aktive Verbindungen gleichzeitig unterstützen. Die Anzahl der Verbindungen auf NAT-Gateway wird basierend auf dem 5-Tupel (Quell-IP-Adresse, Quellport, Ziel-IP-Adresse, Zielport und Protokoll) gezählt. Wenn das NAT-Gateway 2 Millionen Verbindungen übersteigt, verringert sich die Verfügbarkeit der Datenpfade, und neue Verbindungen schlagen fehl.
Das StandardV2-NAT-Gateway kann bis zu 10M-Pakete pro Sekunde verarbeiten. Standardmäßiges NAT-Gateway kann bis zu 5M-Pakete pro Sekunde verarbeiten.
Einschränkungen
Standard- und grundlegende öffentliche IPs sind nicht mit dem StandardV2 NAT-Gateway kompatibel. Verwenden Sie stattdessen öffentliche StandardV2-IPs.
- Informationen zum Erstellen einer öffentlichen StandardV2-IP finden Sie unter Erstellen einer öffentlichen Azure-IP
Grundlegende Lastenausgleichsgeräte sind nicht mit NAT-Gateway kompatibel. Verwenden Sie Standardlastenausgleichsgeräte für Standard- und StandardV2-NAT-Gateways.
- Informationen zum Durchführen eines Load Balancer-Upgrades vom Tarif „Basic“ auf den Tarif „Standard“ finden Sie unter Durchführen eines Upgrades für eine öffentliche Azure Load Balancer-Instanz.
Grundlegende öffentliche IPs sind nicht mit dem Standard-NAT-Gateway kompatibel. Verwenden Sie stattdessen öffentliche Standard-IPs.
Informationen zum Upgrade einer öffentlichen IP-Adresse von Basic auf Standard finden Sie unter Upgrade Basic Public IP Address to Standard
ICMP wird vom NAT-Gateway nicht unterstützt.
IP-Fragmentierung ist für NAT Gateway nicht verfügbar.
NAT Gateway unterstützt keine öffentlichen IP-Adressen mit dem Routingkonfigurationstyp Internet. Eine Liste der Azure-Dienste, die die Routingkonfiguration Internet für öffentliche IP-Adressen unterstützen, finden Sie unter Unterstützte Dienste für das Routing über das öffentliche Internet.
Öffentliche IP-Adressen mit aktiviertem DDoS-Schutz werden mit NAT-Gateway nicht unterstützt. Weitere Informationen finden Sie unter DDoS-Einschränkungen.
Das Azure NAT-Gateway wird in einer gesicherten vWAN-Architektur (Virtual Hub Network) nicht unterstützt.
Standard-SKU-NAT-Gateway kann nicht auf StandardV2-SKU-NAT-Gateway aktualisiert werden. Sie müssen das StandardV2-SKU-NAT-Gateway bereitstellen und das Standard-SKU-NAT-Gateway ersetzen, um die Zonenresilienz für Architekturen mit zonalen NAT-Gateways zu erreichen.
Öffentliche Standard-SKU-IPs können nicht mit StandardV2 NAT-Gateway verwendet werden. Sie müssen neue öffentliche IP-Adressen der StandardV2-SKU zuweisen, um NAT Gateway vom Typ „StandardV2“ verwenden zu können.
Weitere bekannte Einschränkungen des StandardV2 NAT-Gateways finden Sie unter NAT-Gateway-SKUs.
Nächste Schritte
Bewerten Sie Azure NAT Gateway.
Informieren Sie sich über Metriken und Warnungen für NAT Gateway.
Informieren Sie sich über die Problembehandlung für NAT Gateway.