Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los componentes clave del recurso de puerta de enlace NAT que le permiten proporcionar conectividad de salida altamente segura, escalable y resistente. NAT Gateway se puede configurar en la suscripción a través de clientes compatibles. Estos clientes incluyen Azure Portal, la CLI de Azure, Azure PowerShell, plantillas de Resource Manager o alternativas adecuadas.
Importante
La SKU estándar V2 de Azure NAT Gateway está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
SKU de NAT Gateway
NAT Gateway está disponible en dos SKU: StandardV2 y Standard.
Figura 1: SKU Standard y StandardV2 de NAT Gateway.
La SKU StandardV2 es con redundancia de zona de manera predeterminada. Abarca automáticamente varias zonas de disponibilidad en una región, lo que garantiza la conectividad saliente continua incluso si una zona deja de estar disponible.
La SKU Estándar es un recurso zonal. Se implementa en una zona de disponibilidad específica y es resistente dentro de esa zona.
La NAT Gateway de SKU StandardV2 también admite direcciones IP públicas IPv6, mientras que la NAT Gateway de SKU Standard solo admite direcciones IP públicas IPv4.
Arquitectura de NAT Gateway
NAT Gateway de Azure usa redes definidas por software para funcionar como un servicio totalmente administrado y distribuido. Por diseño, NAT Gateway abarca varios dominios de error, lo que le permite resistir varios errores sin ningún efecto en el servicio. NAT Gateway proporciona traducción de direcciones de red de origen (SNAT) para instancias privadas dentro de las subredes asociadas de la red virtual de Azure. Las direcciones IP privadas de las máquinas virtuales se traducen mediante SNAT a las direcciones IP públicas estáticas de una puerta de enlace NAT para establecer conexiones de salida a Internet. NAT Gateway también proporciona traducción de direcciones de red de destino (DNAT) para paquetes de respuesta solamente a una conexión de salida originada.
Figura: puerta de enlace NAT para una salida a Internet
Cuando se configura en una subred dentro de una red virtual, NAT Gateway se convierte en el tipo de próximo salto predeterminado de la subred para todo el tráfico saliente dirigido a Internet. No se requieren configuraciones de enrutamiento adicionales. NAT Gateway no proporciona conexiones entrantes no solicitadas desde Internet. Solo se aplica DNAT a los paquetes que llegan como respuesta a un paquete saliente.
Subredes
NAT Gateway Standard y StandardV2 se puede asociar a varias subredes dentro de una red virtual para proporcionar conectividad saliente a Internet. Cuando NAT Gateway se asocia a una subred, supone la ruta predeterminada a Internet. NAT Gateway actúa como el tipo de próximo salto para todo el tráfico saliente destinado a Internet.
Las siguientes configuraciones de subred no se pueden usar con NAT Gateway:
Cada subred no puede tener más de una NAT Gateway conectada.
NAT Gateway no se puede asociar a subredes de distintas redes virtuales.
Una NAT Gateway no se puede usar con una subred de puerta de enlace. Una subred de puerta de enlace es una subred designada para que una puerta de enlace de VPN envíe tráfico cifrado entre una red virtual de Azure y una ubicación local. Para obtener más información sobre la subred de puerta de enlace, consulte Subred de puerta de enlace.
Direcciones IP públicas estáticas
NAT Gateway se puede asociar a direcciones IP públicas estáticas o prefijos de IP pública. Si asigna un prefijo de IP pública, se usa todo el prefijo. Puede usar un prefijo de IP pública directamente o distribuir las direcciones IP públicas del prefijo entre varios recursos de puerta de enlace de NAT. NAT Gateway envía todo el tráfico hacia el intervalo de direcciones IP del prefijo.
- NAT Gateway StandardV2 admite hasta 16 direcciones IP públicas IPv4 y 16 IPv6.
- NAT Gateway Standard no se puede usar con prefijos o direcciones IP públicas IPv6. Admite hasta 16 direcciones IP públicas IPv4.
- Una NAT Gateway no se puede usar con direcciones IP públicas de SKU básica.
| SKU de NAT Gateway | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Sí, admite direcciones IP públicas IPv4 y prefijos. | Sí, admite direcciones IP públicas IPv6 y prefijos. |
| Estándar | Sí, admite direcciones IP públicas IPv4 y prefijos. | No, no admite direcciones IP públicas IPv6 ni prefijos. |
Puertos SNAT
El inventario de puertos SNAT lo proporcionan las direcciones IP públicas, los prefijos IP públicos o ambos asociados a una NAT Gateway. El inventario de puertos SNAT está disponible a petición para todas las instancias de una subred asociada a la puerta de enlace NAT. No se requiere ninguna asignación previa de puertos SNAT por instancia.
Para obtener más información sobre los puertos SNAT y Azure NAT Gateway, consulte Traducción de direcciones de red de origen (SNAT) con Azure NAT Gateway.
Cuando varias subredes dentro de una red virtual están asociadas al mismo recurso de puerta de enlace NAT, el inventario de puertos SNAT que proporciona NAT Gateway se comparte en todas las subredes.
Los puertos SNAT sirven como identificadores únicos para distinguir distintos flujos de conexión entre sí. El mismo puerto SNAT se puede usar para conectarse a distintos puntos de conexión de destino al mismo tiempo.
Se usan puertos SNAT distintos para establecer conexiones con el mismo punto de conexión de destino a fin de distinguir los distintos flujos de conexión entre sí. Los puertos SNAT que se reutilizan para conectarse al mismo destino se colocan en un temporizador de reutilización (recuperación) antes de poder reutilizarlos.
Figura: asignación de puertos SNAT
Una sola NAT Gateway puede escalar por el número de direcciones IP públicas asociadas a ella. Cada IP pública de puerta de enlace NAT proporciona 64 512 puertos SNAT para establecer conexiones de salida. Una puerta de enlace de red NAT puede escalar hasta un millón de puertos SNAT. TCP y UDP son inventarios de puertos SNAT independientes y no están relacionados con NAT Gateway.
Zonas de disponibilidad
NAT Gateway tiene dos SKU: Standard y StandardV2. Para asegurarse de que la arquitectura es resistente a errores de zona, implemente NAT Gateway StandardV2, ya que es un recurso con redundancia de zona. Cuando una zona de disponibilidad de una región deja de funcionar, las nuevas conexiones fluyen desde las zonas correctas restantes.
Figura: implementación de varias zonas de NAT Gateway StandardV2.
La NAT Gateway Standard es un recurso de zona, lo que significa que se puede implementar y operar fuera de zonas de disponibilidad individuales. Si la zona asociada a NAT Gateway Standard deja de funcionar, la conectividad saliente de las subredes asociadas a NAT Gateway se ve afectada.
Para obtener más información sobre las zonas de disponibilidad y Azure NAT Gateway, consulte Consideraciones de diseño de las zonas de disponibilidad.
Figura: implementación de zona única de NAT Gateway Standard.
Una vez implementada una puerta de enlace NAT, no se puede cambiar la selección de zona.
Protocolos
NAT Gateway interactúa con la IP y los encabezados de transporte IP de los flujos UDP y TCP. NAT Gateway es independiente de las cargas de la capa de aplicaciones. No se admiten otros protocolos IP, como ICMP.
Restablecimiento de TCP
Se envía un paquete de restablecimiento de TCP cuando una puerta de enlace NAT detecta tráfico en un flujo de conexión que no existe. El paquete de restablecimiento de TCP indica al punto de conexión receptor que se ha liberado el flujo de conexión y se producirá un error en cualquier comunicación futura en esta misma conexión TCP. El restablecimiento de TCP es unidireccional para una puerta de enlace NAT.
Es posible que el flujo de conexión no exista si:
Se alcanzó el tiempo de espera de inactividad después de un período de inactividad en el flujo de conexión y la conexión se anula de forma silenciosa.
El emisor, ya sea del lado de red de Azure o del lado de Internet público, envió tráfico después de anularse la conexión.
Solo se envía un paquete de restablecimiento de TCP al detectar tráfico en el flujo de conexión anulado. Esta operación significa que puede que un paquete de restablecimiento de TCP no se envíe inmediatamente después de que se anule un flujo de conexión.
El sistema envía un paquete de restablecimiento de TCP como respuesta a la detección de tráfico en un flujo de conexión inexistente, independientemente de si el tráfico se origina desde la red de Azure o desde Internet público.
Tiempo de espera de inactividad de TCP
Una puerta de enlace NAT proporciona un intervalo de tiempo de espera de inactividad configurable de 4 a 120 minutos para los protocolos TCP. Los protocolos UDP tienen un tiempo de espera de inactividad no configurable de 4 minutos.
Cuando una conexión pasa a estado inactivo, la puerta de enlace NAT se mantiene en el puerto SNAT hasta que se agota el tiempo de espera de la conexión. Dado que los temporizadores de tiempo de espera de inactividad de larga duración pueden aumentar innecesariamente la probabilidad de agotamiento del puerto SNAT, no se recomienda aumentar el tiempo de espera de inactividad de TCP a más de los 4 minutos predeterminados. El temporizador de inactividad no afecta a un flujo que nunca se queda inactivo.
Se pueden usar conexiones persistentes de TCP para proporcionar un patrón de actualización de conexiones de inactividad larga y detección de la ejecución del punto de conexión. Para obtener más información, consulte estos ejemplos de .NET. Estos mensajes aparecen como ACK duplicados en los puntos de conexión, tienen una sobrecarga baja y son invisibles para la capa de aplicaciones.
Los temporizadores de tiempo de espera de inactividad de UDP no son configurables, se deben usar conexiones persistentes UDP para asegurarse de que no se alcanza el valor de tiempo de espera de inactividad y que se mantiene la conexión. A diferencia de las conexiones TCP, una conexión persistente UDP habilitada en un lado de la conexión solo se aplica al flujo de tráfico en una dirección. Las conexiones persistentes de UDP deben estar habilitadas en ambos lados del flujo de tráfico para mantenerlo activo.
Temporizadores
Temporizadores de reutilización de puertos
Los temporizadores de reutilización de puertos determinan la cantidad de tiempo después de que una conexión se cierre que un puerto de origen está en espera antes de que se pueda reutilizar para que una nueva conexión vaya al mismo punto de conexión de destino mediante NAT Gateway.
En la tabla siguiente se proporciona información sobre cuándo un puerto TCP está disponible para reutilizarlo en el mismo punto de conexión de destino mediante la puerta de enlace NAT.
| Timer | Descripción | Value |
|---|---|---|
| TCP FIN | Después de que un paquete TCP FIN cierre una conexión, se activa un temporizador de 65 segundos que mantiene inactivo el puerto SNAT. El puerto SNAT está disponible para su reutilización después de que finalice el temporizador. | 65 segundos |
| TCP RST | Después de que una conexión se cierre mediante un paquete TCP RST (restablecimiento), se activa un temporizador de 16 segundos que mantiene inactivo el puerto SNAT. Cuando finaliza el temporizador, el puerto está disponible para su reutilización. | 16 segundos |
| TCP semiabierto | Durante el establecimiento de la conexión en el que un punto de conexión está esperando la confirmación del otro punto de conexión, se activa un temporizador de 30 segundos. Si no se detecta tráfico, se cierra la conexión. Una vez se cierra la conexión, el puerto de origen está disponible para reutilizarlo en el mismo punto de conexión de destino. | 30 segundos |
Para el tráfico UDP, después de cerrarse una conexión, el puerto está en espera durante 65 segundos antes de estar disponible para su reutilización.
Temporizadores de tiempo de espera de inactividad
| Timer | Descripción | Value |
|---|---|---|
| Tiempo de espera de inactividad de TCP | Las conexiones TCP pueden estar inactivas cuando no se transmite ningún dato entre ambos puntos de conexión durante un período de tiempo prolongado. Un temporizador se puede configurar de 4 minutos (valor predeterminado) a 120 minutos (2 horas) para agotar el tiempo de espera de una conexión inactiva. El tráfico del flujo restablece el temporizador de tiempo de espera de inactividad. | Configurable; de 4 minutos (valor predeterminado) a 120 minutos |
| Tiempo de espera de inactividad UDP | Las conexiones TCP pueden estar inactivas cuando no se transmite ningún dato entre ambos puntos de conexión durante un período de tiempo prolongado. Los temporizadores de tiempo de espera de inactividad UDP son de 4 minutos y no son configurables. El tráfico del flujo restablece el temporizador de tiempo de espera de inactividad. | No configurable; 4 minutos |
Nota:
Esta configuración del temporizador está sujeta a cambios. Los valores se proporcionan como ayuda para la solución de problemas y no se debe asumir una dependencia de temporizadores concretos en este momento.
Ancho de banda
Hay diferentes límites de ancho de banda para cada SKU de NAT Gateway. La NAT Gateway de SKU StandardV2 admite hasta 100 Gbps de rendimiento de datos por cada recurso de puerta de enlace NAT. NAT Gateway de SKU Standard proporciona 50 Gbps de rendimiento, que se divide entre los datos salientes y entrantes (respuesta). El rendimiento de los datos se limita a una velocidad de 25 Gbps para los datos salientes y 25 Gbps para los datos entrantes (respuesta) por recurso de NAT Gateway Standard.
Rendimiento
Las puertas de enlace NAT estándar y estándar V2 admiten hasta 50 000 conexiones simultáneas por dirección IP pública al mismo punto final de destino a través de Internet para el tráfico TCP y UDP.
Cada uno puede admitir hasta 2 millones de conexiones activas simultáneamente. El número de conexiones en NAT Gateway se cuenta en función de la tupla de 5 (dirección IP de origen, puerto de origen, dirección IP de destino, puerto de destino y protocolo). Si la puerta de enlace NAT supera los 2 millones de conexiones, la disponibilidad de la ruta de datos rechaza y se produce un error en las nuevas conexiones.
NAT Gateway StandardV2 puede procesar hasta 10 millones de paquetes por segundo. NAT Gateway Standard puede procesar hasta 5 millones de paquetes por segundo.
Limitaciones
Las direcciones IP públicas estándar y básicas no son compatibles con NAT Gateway StandardV2. En su lugar, use direcciones IP públicas de StandardV2.
- Para crear una dirección IP pública de StandardV2, consulte Creación de una IP pública de Azure.
Los equilibradores de carga básicos no son compatibles con NAT Gateway. Use equilibradores de carga estándar para NAT Gateways Standard y StandardV2.
- Para actualizar un equilibrador de carga de básico a estándar, consulte Actualización de una instancia pública de Azure Load Balancer.
Las direcciones IP públicas básicas no son compatibles con NAT Gateway Standard. En su lugar, use direcciones IP públicas estándar.
Para actualizar una dirección IP pública de básica a estándar, consulte Actualización de la dirección IP pública básica a estándar
La puerta de enlace de red NAT no admite ICMP
La fragmentación IP no está disponible para NAT Gateway.
NAT Gateway no admite direcciones IP públicas con el tipo de configuración de enrutamiento Internet. Para ver una lista de los servicios de Azure compatibles con la configuración de enrutamiento de Internet en IP públicas, consulte los servicios compatibles para el enrutamiento a través de la Internet pública.
No se admiten direcciones IP públicas que tengan habilitada la protección contra DDoS con una puerta de enlace NAT. Para obtener más información, consulte Limitaciones de DDoS.
NAT Gateway de Azure no se admite en una arquitectura de red de centro virtual protegido (vWAN).
La puerta de enlace NAT de SKU Standard no se puede actualizar a NAT Gateway de SKU StandardV2. Debe implementar el NAT Gateway de SKU StandardV2 y reemplazar el NAT Gateway de SKU Standard para lograr resiliencia zonal en las arquitecturas que utilizan puertas de enlace NAT zonales.
Las direcciones IP públicas de SKU estándar no se pueden usar con NAT Gateway StandardV2. Debe reasignar IPs a las nuevas direcciones IP públicas del SKU StandardV2 para utilizar el NAT Gateway StandardV2.
Para obtener más limitaciones conocidas de StandardV2 NAT Gateway, consulte SKU de puerta de enlace NAT.
Pasos siguientes
Consulte Azure NAT Gateway.
Obtenga información sobre las métricas y alertas de la puerta de enlace NAT.