Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les composants clés de la ressource de passerelle NAT qui lui permettent de fournir une connectivité sortante hautement sécurisée, évolutive et résiliente. NAT Gateway peut être configurée dans votre abonnement par le biais de clients pris en charge. Ces clients incluent le portail Azure, Azure CLI, Azure PowerShell, les modèles Resource Manager ou les alternatives appropriées.
Important
La passerelle Azure NAT SKU V2 Standard est actuellement en version préliminaire. Consultez les Conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour les conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
SKU de NAT Gateway
NAT Gateway est disponible dans deux références SKU : StandardV2 et Standard.
Figure 1 : références SKU Standard et StandardV2 de NAT Gateway.
La référence SKU StandardV2 est redondante interzone par défaut. Il s’étend automatiquement sur plusieurs zones de disponibilité dans une région, garantissant une connectivité sortante continue même si une zone devient indisponible.
La référence SKU standard est une ressource zonale. Il est déployé dans une zone de disponibilité spécifique et est résilient dans cette zone.
NAT Gateway de référence SKU StandardV2 prend également en charge les adresses IP publiques IPv6, tandis que la passerelle NAT de référence SKU Standard prend uniquement en charge les adresses IP publiques IPv4.
Architecture de la passerelle NAT
NAT Gateway d’Azure utilise la mise en réseau définie par logiciel pour fonctionner en tant que service entièrement géré et distribué. De par sa conception, NAT Gateway couvre plusieurs domaines de défaillance, ce qui lui permet de résister à plusieurs pannes sans aucun effet sur le service. NAT Gateway fournit la traduction d’adresses réseau source (SNAT) pour les instances privées au sein de sous-réseaux associés de votre réseau virtuel Azure. Adresses IP privées des machines virtuelles SNAT vers les adresses IP publiques statiques d’une passerelle NAT pour se connecter sortant à Internet. La passerelle NAT fournit également la traduction d’adresses réseau de destination (DNAT) pour les paquets de réponse vers une connexion sortante uniquement.
Figure : passerelle NAT pour l’accès Internet sortant
Lorsqu’elle est configurée sur un sous-réseau au sein d’un réseau virtuel, NAT Gateway devient le type de tronçon suivant par défaut du sous-réseau pour tout le trafic sortant dirigé vers Internet. Aucune configuration de routage supplémentaire n’est requise. La passerelle NAT ne fournit pas de connexions entrantes non sollicitées à partir d’Internet. La DNAT est effectuée uniquement pour les paquets qui arrivent en réponse à un paquet sortant.
Sous-réseaux
Une NAT Gateway Standard et StandardV2 peut être attachée à plusieurs sous-réseaux au sein d’un réseau virtuel pour fournir une connectivité sortante à Internet. Lorsque NAT Gateway est attachée à un sous-réseau, elle suppose l’itinéraire par défaut vers Internet. NAT Gateway sert de type de saut suivant pour tout le trafic sortant destiné à Internet.
Les configurations de sous-réseau suivantes ne peuvent pas être utilisées avec la NAT Gateway :
Chaque sous-réseau ne peut pas avoir plusieurs NAT Gateway attachées.
NAT Gateway ne peut pas être attachée à des sous-réseaux provenant de différents réseaux virtuels.
NAT Gateway ne peut pas être utilisée avec un sous-réseau de passerelle. Un sous-réseau de passerelle est un sous-réseau désigné pour une passerelle VPN afin d’envoyer le trafic chiffré entre un réseau virtuel Azure et un emplacement local. Pour plus d’informations sur le sous-réseau de passerelle, consultez sous-réseau de passerelle.
Adresses IP publiques statiques
NAT Gateway peut être associée à des adresses IP publiques statiques ou à des préfixes IP publics. Si vous affectez un préfixe IP public, le préfixe IP public entier est utilisé. Vous pouvez utiliser directement un préfixe d’adresse IP publique ou distribuer les adresses IP publiques du préfixe entre plusieurs ressources de passerelle NAT. La passerelle NAT envoie tout le trafic vers la plage d’adresses IP du préfixe.
- NAT Gateway StandardV2 prend en charge jusqu’à 16 adresses IP publiques IPv4 et 16 IPv6.
- NAT Gateway Standard ne peut pas être utilisée avec des adresses IP publiques IPv6 ou des préfixes. Il prend en charge jusqu’à 16 adresses IP publiques IPv4.
- NAT Gateway ne peut pas être utilisée avec des adresses IP publiques de référence SKU de base.
| NAT Gateway SKU | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Oui, prend en charge les adresses IP publiques IPv4 et les préfixes. | Oui, prend en charge les adresses IP publiques IPv6 et les préfixes. |
| Norme | Oui, prend en charge les adresses IP publiques IPv4 et les préfixes. | Non, ne prend pas en charge les adresses IP publiques IPv6 et les préfixes. |
Ports SNAT
L’inventaire des ports SNAT est fourni par les adresses IP publiques, les préfixes d’adresses IP publiques ou les deux attachés à une passerelle NAT. L’inventaire des ports SNAT est rendu disponible à la demande pour toutes les instances d’un sous-réseau attaché à la passerelle NAT. Aucune préallocation des ports SNAT par instance n’est requise.
Pour plus d’informations sur les ports SNAT et la passerelle NAT Azure, consultez SNAT (Source Network Address Translation) avec Azure NAT Gateway .
Lorsque plusieurs sous-réseaux au sein d’un réseau virtuel sont attachés à la même ressource de passerelle NAT, l’inventaire des ports SNAT fourni par la passerelle NAT est partagé sur tous les sous-réseaux.
Les ports SNAT servent d’identificateurs uniques pour distinguer les différents flux de connexion les uns des autres. Le même port SNAT peut être utilisé pour se connecter à différents points de terminaison de destination en même temps.
Différents ports SNAT sont utilisés pour établir des connexions au même point de terminaison de destination afin de distinguer les différents flux de connexion les uns des autres. Les ports SNAT réutilisés pour se connecter à la même destination sont placés sur réutiliser le minuteur de refroidissement avant de pouvoir être réutilisés.
Figure : paramétrer l’allocation de ports SNAT
Une passerelle NAT unique peut être mise à l’échelle en fonction du nombre d’adresses IP publiques qui lui sont associées. Chaque adresse IP publique de passerelle NAT fournit 64 512 ports SNAT pour réaliser des connexions sortantes. Une passerelle NAT peut monter en puissance jusqu’à plus de 1 million de ports SNAT. TCP et UDP sont des inventaires de ports SNAT distincts et ne sont pas liés à la passerelle NAT.
Zones de disponibilité
NAT Gateway a deux références SKU : Standard et StandardV2. Pour vous assurer que votre architecture est résiliente aux défaillances zonales, déployez la passerelle NAT StandardV2 comme il s’agit d’une ressource redondante interzone. Lorsqu’une zone de disponibilité d’une région tombe en panne, les nouvelles connexions proviennent des zones saines restantes.
Figure : déploiement multizone de NAT Gateway StandardV2.
La passerelle NAT standard est une ressource zonale, ce qui signifie qu’elle peut être déployée et fonctionner hors des zones de disponibilité individuelles. Si la zone associée à la passerelle NAT standard tombe en panne, la connectivité sortante pour les sous-réseaux associés à la passerelle NAT est affectée.
Pour plus d’informations sur les zones de disponibilité et la passerelle NAT Azure, consultez Considérations relatives à la conception des zones de disponibilité.
Figure : déploiement de zone unique de NAT Gateway standard.
Une fois qu’une passerelle NAT est déployée, la sélection de zone ne peut pas être modifiée.
Protocoles
La passerelle NAT interagit avec les en-têtes de transport IP et IP des flux UDP et TCP. La passerelle NAT est indépendante des charges utiles de la couche d’application. D’autres protocoles IP, tels que ICMP, ne sont pas pris en charge.
Réinitialisation du protocole TCP
Un paquet de réinitialisation TCP est envoyé lorsqu’une passerelle NAT détecte le trafic sur un flux de connexion qui n’existe pas. Le paquet de réinitialisation TCP indique au point d'extrémité récepteur que le flux de connexion a été libéré et que toute communication future sur cette même connexion TCP échouera. La réinitialisation TCP est unidirectionnelle pour une passerelle NAT.
Le flux de connexion peut ne pas exister si :
Le délai d’inactivité a été atteint après une période d’inactivité sur le flux de connexion et la connexion est supprimée en mode silencieux.
L’expéditeur, côté réseau Azure ou côté Internet public, a envoyé le trafic après la suppression de la connexion.
Un paquet de réinitialisation TCP est envoyé uniquement lors de la détection du trafic sur le flux de connexion supprimé. Cette opération signifie qu’un paquet de réinitialisation TCP peut ne pas être envoyé immédiatement une fois qu’un flux de connexion s’annule.
Le système envoie un paquet de réinitialisation TCP en réponse à la détection du trafic sur un flux de connexion inexistant, que le trafic provient du côté réseau Azure ou de l’Internet public.
Délai d’inactivité TCP
Une passerelle NAT fournit une plage de délai d’inactivité configurable de 4 minutes à 120 minutes pour les protocoles TCP. Les protocoles UDP ont un délai d’inactivité non configuré de 4 minutes.
Lorsqu’une connexion est inactive, la passerelle NAT se maintient sur le port SNAT jusqu’à ce que la connexion expire. Étant donné que les minuteurs de délai d’inactivité longs peuvent augmenter inutilement la probabilité d’épuisement des ports SNAT, il n’est pas recommandé d’augmenter la durée du délai d’inactivité TCP à plus longtemps que la durée par défaut de 4 minutes. Le minuteur d’inactivité n’affecte pas un flux qui n’est jamais inactif.
Les keepalives TCP permettent de fournir un modèle d’actualisation des longues connexions inactives et de détection de la durée de vie du point de terminaison. Pour plus d’informations, consultez ces exemples .NET. Les conservations de connexion active TCP apparaissent comme des accusés de réception en double sur les points de terminaison, leur surcharge est faible et elles sont invisibles pour la couche Application.
Étant donné que les minuteurs de délai d’inactivité UDP ne sont pas configurables, des keepalives UDP doivent être utilisés pour s’assurer que la valeur de délai d’inactivité n’est pas atteinte et que la connexion est maintenue. Contrairement aux connexions TCP, un keepalive UDP activé sur un côté de la connexion s’applique uniquement au flux de trafic dans une direction. Les keepalives UDP doivent être activés sur les deux côtés du flux de trafic afin de maintenir le flux de trafic actif.
Minuteurs
Minuteurs de réutilisation des ports
Les temporisateurs de réutilisation des ports déterminent le délai pendant lequel un port source reste bloqué après la fermeture d'une connexion avant de pouvoir être réutilisé pour une nouvelle connexion vers le même point de terminaison de destination par la passerelle NAT.
Le tableau suivant fournit des informations sur le moment où un port TCP devient disponible pour la réutilisation vers le même point de terminaison de destination par la passerelle NAT.
| Minuterie | Description | Valeur |
|---|---|---|
| TCP FIN | Une fois qu’une connexion se ferme par un paquet TCP FIN, un minuteur de 65 secondes est activé qui conserve le port SNAT. Le port SNAT est disponible pour la réutilisation après la fin du minuteur. | 65 secondes |
| TCP RST | Une fois qu’une connexion se ferme par un paquet TCP RST (réinitialisation), un minuteur de 16 secondes est activé qui conserve le port SNAT. Une fois le minuteur arrivé à son terme, le port peut être réutilisé. | 16 secondes |
| TCP demi-ouvert | Durant l’établissement d’une connexion où un point de terminaison de connexion attend l’accusé de réception de l’autre point de terminaison, un minuteur de 30 secondes est activé. Si aucun trafic n’est détecté, la connexion se ferme. Une fois la connexion fermée, le port source peut être réutilisé sur le même point de terminaison de destination. | 30 secondes |
Pour le trafic UDP, après la fermeture d’une connexion, le port est en attente pendant 65 secondes avant de pouvoir être réutilisé.
Minuteurs de délai d’inactivité
| Minuterie | Description | Valeur |
|---|---|---|
| Délai d’inactivité TCP | Les connexions TCP peuvent rester inactives lorsqu’aucune donnée n’est transmise entre un ou plusieurs points de terminaison pendant une période donnée. Un minuteur peut être configuré de 4 minutes (par défaut) à 120 minutes (2 heures) pour expirer une connexion inactive. Le trafic sur le flux réinitialise le minuteur de délai d’inactivité. | Configurable : 4 secondes à 120 minutes (par défaut) : 30 minutes |
| Délai d’inactivité UDP | Les connexions UDP peuvent rester inactives lorsqu’aucune donnée n’est transmise entre un ou plusieurs points de terminaison pendant une période donnée. Les minuteurs de délai d’inactivité UDP sont de 4 minutes et ne sont pas configurables. Le trafic sur le flux réinitialise le minuteur de délai d’inactivité. | Non configurable ; 4 minutes |
Remarque
Ces paramètres de minuteur sont susceptibles d’être modifiés. Les valeurs sont fournies pour vous aider à résoudre les problèmes et vous ne devez pas prendre de dépendance sur des minuteurs spécifiques pour l’instant.
Bande passante
Il existe différentes limites de bande passante pour chaque référence SKU de NAT Gateway. NAT Gateway de référence SKU StandardV2 prend en charge jusqu’à 100 Gbits/s de débit de données par ressource de passerelle NAT. NAT Gateway de référence SKU Standard fournit 50 Gbits/s de débit, qui est fractionnée entre les données sortantes et entrantes (réponse). Le débit des données est limité à 25 Gbits/s pour les données sortantes et à 25 Gbits/s pour les données entrantes (réponse) via une ressource de passerelle NAT Standard.
Performances
Les passerelles NAT Standard et StandardV2 prennent chacune en charge jusqu'à 50 000 connexions simultanées par adresse IP publique vers le même point de terminaison de destination sur Internet pour le trafic TCP et UDP.
Chacun peut prendre en charge jusqu’à 2 millions de connexions actives simultanément. Le nombre de connexions sur NAT Gateway est compté sur la base du quintuplet (adresse IP source, port source, adresse IP destination, port destination et protocole). Si la passerelle NAT dépasse 2 millions de connexions, la disponibilité du chemin de données diminue et les nouvelles connexions échouent.
La passerelle NAT StandardV2 peut traiter jusqu’à 10 M de paquets par seconde. La passerelle NAT Standard peut traiter jusqu’à 5 Millions de paquets par seconde.
Limites
Les adresses IP publiques standard et de base ne sont pas compatibles avec la passerelle NAT StandardV2. Utilisez plutôt des adresses IP publiques StandardV2.
- Pour créer une adresse IP publique StandardV2, consultez Créer une adresse IP publique Azure
Les équilibreurs de charge de base ne sont pas compatibles avec la passerelle NAT. Utilisez des équilibreurs de charge standard pour les passerelles NAT Standard et StandardV2.
- Pour mettre à niveau un équilibreur de charge De base vers le niveau Standard, consultez Mettre à niveau l’équilibreur de charge public Azure.
Les adresses IP publiques de base ne sont pas compatibles avec la passerelle NAT Standard. Utilisez plutôt des adresses IP publiques Standard.
Pour mettre à niveau une adresse IP publique De base vers une adresse IP Standard, consultez Mettre à niveau l'adresse IP publique de base vers l'adresse IP publique standard
La passerelle NAT ne prend pas en charge ICMP
La fragmentation IP n’est pas disponible pour la passerelle NAT.
La passerelle NAT ne prend pas en charge les adresses IP publiques avec le type de configuration de routage Internet. Pour afficher la liste des services Azure qui prennent en charge la configuration du routage Internet sur les adresses IP publiques, consultez services pris en charge pour le routage via l’Internet public.
Les adresses IP publiques avec protection DDoS activée ne sont pas prises en charge avec la passerelle NAT. Pour plus d’informations, consultez Limitations DDoS.
NAT Gateway Azure n’est pas prise en charge dans une architecture de réseau de hub virtuel sécurisé (vWAN).
NAT Gateway SKU Standard ne peut pas être mise à niveau vers la NAT Gateway de référence SKU StandardV2. Vous devez déployer NAT Gateway SKU StandardV2 et remplacer la passerelle NAT de référence SKU Standard pour obtenir une résilience interzone pour les architectures à l’aide de passerelles NAT zonales.
Les adresses IP publiques de référence SKU standard ne peuvent pas être utilisées avec la NAT Gateway StandardV2. Vous devez réaffecter de nouvelles adresses IP publiques au SKU StandardV2 pour utiliser la NAT Gateway StandardV2.
Pour connaître les limitations plus connues de la passerelle NAT StandardV2, consultez SKU de NAT Gateway.
Étapes suivantes
Passez en revue Azure NAT Gateway.
Découvrez les métriques et les alertes pour la passerelle NAT.
Découvrez comment résoudre les problèmes de passerelle NAT.