Wat is een Azure NAT-gateway?

Azure NAT Gateway is een volledig beheerde en zeer tolerante NAT-service (Network Address Translation). U kunt Azure NAT Gateway gebruiken om alle exemplaren in een subnet uitgaand verbinding te laten maken met internet terwijl u volledig privé blijft. Ongevraagde binnenkomende verbindingen van internet zijn niet toegestaan via een NAT-gateway. Alleen pakketten die binnenkomen als antwoordpakketten naar een uitgaande verbinding, kunnen via een NAT-gateway worden doorgegeven.

NAT Gateway wijst SNAT-poorten dynamisch toe om uitgaande connectiviteit automatisch te schalen en het risico op SNAT-poortuitputting te minimaliseren.

Azure NAT Gateway is beschikbaar in twee SKU's:

• Standaard SKU NAT-gateway is zonegebonden (geïmplementeerd in één beschikbaarheidszone) en biedt schaalbare uitgaande connectiviteit voor subnetten in één virtueel netwerk.

• StandardV2 SKU NAT Gateway is zone-redundant met hogere doorvoer dan de Standard SKU, evenals IPv6-ondersteuning en ondersteuning voor verkeerslogboeken.

StandardV2 NAT-gateway

StandardV2 NAT Gateway biedt dezelfde functionaliteit van de Standard SKU NAT-gateway, zoals dynamische SNAT-poorttoewijzing en beveiligde uitgaande connectiviteit voor subnetten binnen een virtueel netwerk. Daarnaast is StandardV2 NAT-gateway zone-redundant, wat betekent dat deze uitgaande connectiviteit biedt vanuit alle zones in een regio in plaats van één zone, zoals Standard NAT Gateway.

Afbeelding: StandardV2 NAT-gateway omvat meerdere beschikbaarheidszones in een regio.

Belangrijkste mogelijkheden van StandardV2 NAT-gateway

• Zone-redundant: werkt in alle beschikbaarheidszones in een regio om de connectiviteit te behouden tijdens een storing in één zone.
• IPv6-ondersteuning : ondersteunt zowel openbare IPv4- als IPv6-adressen en voorvoegsels voor uitgaande connectiviteit.
• Hogere doorvoer : elke StandardV2 NAT-gateway kan maximaal 100 Gbps aan gegevensdoorvoer bieden, vergeleken met 50 Gbps voor Standard NAT Gateway.
• Ondersteuning voor stroomlogboeken - biedt op IP gebaseerde verkeersinformatie om uitgaande verkeersstromen te bewaken en te analyseren.

Zie Een StandardV2 NAT-gateway maken voor meer informatie over het implementeren van StandardV2 NAT Gateway.

Belangrijke beperkingen van StandardV2 NAT-gateway

• Vereist openbare IP-adressen of voorvoegsels van StandardV2 SKU. Openbare IP-adressen van standard-SKU's worden niet ondersteund met StandardV2 NAT-gateway.
• Standaard-SKU NAT-gateway kan niet worden geüpgraded naar StandardV2 NAT-gateway. U moet eerst StandardV2 SKU NAT Gateway maken en Standard SKU NAT Gateway vervangen in uw subnet.
• De volgende regio's bieden geen ondersteuning voor StandardV2 NAT-gateway:
  • Brazilië - zuidoost
  • Canada East
  • Centraal-India
  • Chili - centraal
  • Indonesië - centraal
  • Israël Noordwest
  • West-Maleisië
  • Qatar Central
  • Zuid-Zweden
  • UAE Central
  • West-Centraal VS
  • West India
• Terraform biedt nog geen ondersteuning voor StandardV2 NAT Gateway en StandardV2 Openbare IP-implementaties.
• StandardV2 NAT-gateway biedt geen ondersteuning en kan niet worden gekoppeld aan gedelegeerde subnetten voor de volgende services:
  • Azure SQL Managed Instance (een beheerde database-instantie van Azure)
  • Azure Container Instances (Azure-containerinstanties)
  • Azure Database voor PostgreSQL - Flexibele Server
  • Azure Database voor MySQL - Flexibele Server
  • Azure-database voor MySQL
  • Azure Data Factory - Gegevensverplaatsing
  • Microsoft Power Platform-services
  • Azure Stream Analytics
  • Azure Web Apps
  • Azure Container Apps - een dienst van Microsoft waarmee je containers kunt uitvoeren en beheren in de cloud.
  • Azure DNS Private Resolver (privé-resolver voor DNS)

Bekende problemen met StandardV2 NAT-gateway

• Uitgaand IPv6-verkeer met behulp van uitgaande load balancer-regels wordt onderbroken wanneer StandardV2 NAT-gateway is gekoppeld aan een subnet. Als u zowel IPv4- als IPv6-uitgaande connectiviteit nodig hebt, gebruikt u uitgaande regels voor load balancer voor zowel IPv4- als IPv6-verkeer of gebruikt u Standard NAT Gateway voor uitgaand IPv4-verkeer en uitgaande regels voor load balancer voor IPv6-verkeer.

• Als u een StandardV2 NAT-gateway koppelt aan een leeg subnet dat vóór april 2025 is gemaakt zonder virtuele machines, kan dit ertoe leiden dat het virtuele netwerk de status Mislukt krijgt. Als u het virtuele netwerk wilt terugsturen naar een geslaagde status, verwijdert u StandardV2 NAT-gateway, maakt en voegt u een virtuele machine toe aan het subnet en koppelt u de Nat-gateway StandardV2 opnieuw.

• Uitgaande verbindingen met behulp van load balancer, Azure Firewall of openbare IP-adressen op het niveau van een virtuele machine kunnen worden onderbroken bij het toevoegen van een StandardV2 NAT-gateway aan een subnet. Alle netto nieuwe uitgaande verbindingen zullen gebruikmaken van StandardV2 NAT-gateway.

Zie StandardV2 NAT Gateway bekende problemen en beperkingen voor bekende problemen en beperkingen voor StandardV2 NAT Gateway voor meer informatie over bekende problemen en beperkingen.

Standaard NAT-gateway

Standard NAT Gateway biedt uitgaande connectiviteit met internet en kan worden gekoppeld aan subnetten binnen hetzelfde virtuele netwerk. Standard NAT Gateway werkt vanuit één beschikbaarheidszone.

*Afbeelding: Standard NAT Gateway in één beschikbaarheidszone.

Voordelen van Azure NAT Gateway

Eenvoudige installatie

Implementaties zijn opzettelijk eenvoudig gemaakt met NAT Gateway. Koppel nat-gateway aan een subnet en openbaar IP-adres en begin direct verbinding te maken met internet. Er zijn geen onderhouds- en routeringsconfiguraties vereist. Meer openbare IP-adressen of subnetten kunnen later worden toegevoegd zonder dat dit van kracht is op uw bestaande configuratie.

De volgende stappen zijn een voorbeeld van het instellen van een NAT-gateway:

• Maak een niet-zonegebonden of zonegebonden NAT-gateway.

• Maak een NAT-gateway.

• Wijs een openbaar IP-adres of een openbaar IP-voorvoegsel toe.

• Configureer een subnet voor het gebruik van een NAT-gateway.

Wijzig indien nodig de time-out voor inactiviteit van Transmission Control Protocol (TCP) (optioneel). Bekijk timers voordat u de standaardinstelling wijzigt.

Beveiliging

NAT Gateway is gebaseerd op het Zero Trust-netwerkbeveiligingsmodel en is standaard beveiligd. Met NAT Gateway hebben privé-exemplaren binnen een subnet geen openbare IP-adressen nodig om internet te bereiken. Privébronnen kunnen externe bronnen buiten het virtuele netwerk bereiken door het adres van het bronnetwerk (SNAT) te vertalen naar de statische openbare IP-adressen of voorvoegsels van NAT Gateway. U kunt een aaneengesloten set IP-adressen opgeven voor uitgaande connectiviteit met behulp van een openbaar IP-voorvoegsel. Doelfirewallregels kunnen worden geconfigureerd op basis van deze voorspelbare IP-lijst.

Veerkracht

Azure NAT Gateway is een volledig beheerde en gedistribueerde service. Dit is niet afhankelijk van afzonderlijke rekenprocessen, zoals virtuele machines of één fysiek gatewayapparaat. Een NAT-gateway heeft altijd meerdere foutdomeinen en kan meerdere storingen ondersteunen zonder serviceonderbreking. Softwaregedefinieerde netwerken maken een NAT-gateway zeer tolerant.

Schaalbaarheid

NAT-gateway wordt uitgeschaald na het maken. Er is geen ramp-up- of uitschaalbewerking vereist. Azure beheert de werking van NAT Gateway voor u.

Koppel NAT Gateway aan een subnet om uitgaande connectiviteit te bieden voor alle privébronnen in dat subnet. Alle subnetten in een virtueel netwerk kunnen dezelfde NAT Gateway-resource gebruiken. Uitgaande connectiviteit kan worden uitgeschaald door maximaal 16 openbare IP-adressen of een openbaar IP-voorvoegsel met een /28-grootte toe te wijzen aan NAT Gateway. Wanneer een NAT-gateway is gekoppeld aan een openbaar IP-voorvoegsel, wordt automatisch geschaald naar het aantal IP-adressen dat nodig is voor uitgaand verkeer.

Prestaties

Azure NAT Gateway is een softwaregedefinieerde netwerkservice. Elke NAT-gateway kan maximaal 50 Gbps aan gegevens verwerken voor zowel uitgaand als retourverkeer.

Een NAT-gateway heeft geen invloed op de netwerkbandbreedte van uw rekenresources. Meer informatie over de prestaties van NAT Gateway.

Basisbeginselen van Azure NAT Gateway

Azure NAT Gateway biedt veilige, schaalbare uitgaande connectiviteit voor resources in een virtueel netwerk. Dit is de aanbevolen methode voor uitgaande toegang tot internet.

Uitgaande connectiviteit

• NAT Gateway is de aanbevolen methode voor uitgaande connectiviteit.

  • Zie Uitgaande toegang migreren naar Azure NAT Gateway om uitgaande toegang naar een NAT-gateway te migreren vanaf standaard uitgaande toegang of uitgaande regels van Load Balancer.

• NAT Gateway biedt uitgaande connectiviteit op subnetniveau. NAT Gateway vervangt de standaardinternetbestemming van een subnet om uitgaande connectiviteit te bieden.

• Nat Gateway vereist geen routeringsconfiguraties in een subnetroutetabel. Nadat nat-gateway is gekoppeld aan een subnet, biedt deze direct uitgaande connectiviteit.

• Met NAT Gateway kunnen stromen worden gemaakt vanuit het virtuele netwerk naar de services buiten uw virtuele netwerk. Retourverkeer van internet is alleen toegestaan als reactie op een actieve stroom. Services buiten uw virtuele netwerk kunnen geen binnenkomende verbinding starten via NAT Gateway.

• NAT Gateway heeft voorrang op andere uitgaande connectiviteitsmethoden, waaronder een Load Balancer, openbare IP-adressen op exemplaarniveau en Azure Firewall.

• NAT Gateway heeft prioriteit boven andere expliciete uitgaande methoden die zijn geconfigureerd in een virtueel netwerk voor alle nieuwe verbindingen. Er zijn geen dalingen in de verkeersstroom voor bestaande verbindingen met behulp van andere expliciete methoden voor uitgaande connectiviteit.

• NAT Gateway heeft niet dezelfde beperkingen van SNAT-poortuitputting als standaard uitgaande toegang en uitgaande regels van een Load Balancer.

• NAT Gateway biedt alleen ondersteuning voor TCP- en UDP-protocollen (User Datagram Protocol). ICMP (Internet Control Message Protocol) wordt niet ondersteund.

  • Azure-app Services-exemplaren (webtoepassingen, REST API's en mobiele back-ends) via integratie van virtuele netwerken.

• Het subnet heeft een standaardroute van het systeem waarmee verkeer automatisch naar internet wordt gerouteerd met bestemming 0.0.0.0/0. Nadat NAT Gateway is geconfigureerd voor het subnet, communiceren virtuele machines in het subnet met internet via het openbare IP-adres van de NAT-gateway.

• Wanneer u een door de gebruiker gedefinieerde route (UDR) maakt in uw subnetroutetabel voor verkeer van 0.0.0.0/0, wordt het standaardinternetpad voor dit verkeer overschreven. Een UDR die 0.0.0.0/0-verkeer verzendt naar een virtueel apparaat of een virtuele netwerkgateway (VPN Gateway en ExpressRoute) als het volgende hoptype overschrijft in plaats daarvan de NAT-gatewayverbinding met internet.

Hoe de NAT-gateway werkt

• Geen routetabelconfiguratie : NAT-gateway werkt op subnetniveau. Na het koppelen biedt nat-gateway uitgaande connectiviteit zonder routeringsconfiguraties in de routetabel van het subnet.

  • UDR naar het volgende hop virtuele apparaat of virtuele netwerkgateway >> NAT Gateway-exemplaarniveau >> openbaar IP-adres op een virtuele machine >> load balancer uitgaande regels >> standaardsysteemroute naar internet.

NAT-gatewayconfiguraties

• Meerdere subnetten binnen hetzelfde virtuele netwerk kunnen verschillende NAT-gateways of dezelfde NAT-gateway gebruiken.

• Meerdere NAT-gateways kunnen niet aan één subnet worden gekoppeld.

• Een NAT-gateway kan niet meerdere virtuele netwerken omvatten. NAT Gateway kan echter worden gebruikt om uitgaande connectiviteit in een hub- en spoke-model te bieden. Zie de zelfstudie over de NAT Gateway-hub en spoke voor meer informatie.

• Een NAT-gateway kan niet worden geïmplementeerd in een gatewaysubnet.

• Een NAT Gateway-resource kan maximaal 16 IP-adressen gebruiken in een combinatie van de volgende typen:

• Meerdere NAT-gateways kunnen niet aan één subnet worden gekoppeld.

• Een NAT-gateway kan niet meerdere virtuele netwerken omvatten. NAT Gateway kan echter worden gebruikt om uitgaande connectiviteit in een hub- en spoke-model te bieden. Zie de zelfstudie over de NAT Gateway-hub en spoke voor meer informatie.

• Een NAT-gateway kan niet worden geïmplementeerd in een gatewaysubnet of subnet met SQL Managed Instances.

• NAT-gateway kan niet worden gekoppeld aan een openbaar IPv6-IP-adres of IPv6 openbaar IP-voorvoegsel.

• NAT Gateway kan worden gebruikt met Load Balancer met behulp van uitgaande regels om uitgaande connectiviteit met dubbele stack te bieden. Zie uitgaande connectiviteit van dubbele stack met NAT Gateway en Load Balancer.

• NAT Gateway werkt met elke netwerkinterface of IP-configuratie van virtuele machines. NAT Gateway kan meerdere IP-configuraties van SNAT in een netwerkinterface.

• NAT Gateway kan worden gekoppeld aan een Azure Firewall-subnet in een virtueel hubnetwerk en uitgaande connectiviteit bieden van virtuele spoke-netwerken die zijn gekoppeld aan de hub. Zie Azure Firewall-integratie met NAT Gateway voor meer informatie.

Beschikbaarheidszones

• Een standaard-SKU NAT-gateway kan worden gemaakt in een specifieke beschikbaarheidszone of in geen zone worden geplaatst.

• Standaard NAT-gateway kan worden geïsoleerd in een specifieke zone wanneer u een zonegebonden NAT-gateway maakt. Nadat de NAT-gateway is geïmplementeerd, kan de zoneselectie niet worden gewijzigd.

• Standaard NAT-gateway wordt standaard in geen zone geplaatst. Een niet-zonegebonden NAT-gateway wordt door Azure in een zone voor u geplaatst.

• Een StandardV2 SKU NAT-gateway is zone-redundant en werkt in alle beschikbaarheidszones in een regio om connectiviteit te behouden tijdens een storing in één zone.

Standaarduitgaand toegang

• Om beveiligde uitgaande connectiviteit met internet te bieden, is het raadzaam om privésubnet in te schakelen om te voorkomen dat er standaard uitgaande IP-adressen worden gemaakt en in plaats daarvan een expliciete methode voor uitgaande connectiviteit zoals NAT-gateway wordt gebruikt.

• Bepaalde services werken niet op een virtuele machine in een privésubnet zonder een expliciete methode voor uitgaande connectiviteit, zoals Windows-activering en Windows-updates. Voor het activeren of bijwerken van besturingssystemen van virtuele machines, zoals Windows, is een expliciete methode voor uitgaande connectiviteit vereist, zoals NAT-gateway.

• Zie Uitgaande toegang migreren naar Azure NAT Gateway om uitgaande toegang naar een NAT-gateway te migreren vanaf standaard uitgaande toegang of uitgaande regels van Load Balancer.

NAT-gateway en basisbronnen

• Standaard NAT-gateway is compatibel met standaard openbare IP-adressen of openbare IP-voorvoegsels. StandardV2 NAT-gateway is alleen compatibel met openbare STANDAARDV2-IP-adressen of openbare IP-voorvoegsels.

• NAT Gateway kan niet worden gebruikt met subnetten waar basisbronnen bestaan. Basis-SKU-resources, zoals basic Load Balancer of openbare IP-adressen, zijn niet compatibel met NAT Gateway. Basic Load Balancer en eenvoudig openbaar IP-adres kunnen worden geüpgraded naar standaard om te werken met een NAT-gateway.

  • Zie Een openbare Azure Load Balancer upgraden voor meer informatie over het upgraden van een load balancer van basic naar standaard.

  • Zie Een openbaar IP-adres upgraden voor meer informatie over het upgraden van een openbaar IP-adres van basic naar standaard.

  • Zie Een openbaar BASIS-IP-adres upgraden dat is gekoppeld aan een virtuele machine van basic naar standaard voor meer informatie over het upgraden van een openbaar BASIS-IP-adres dat is gekoppeld aan een virtuele machine.

Verbindingstime-outs en timers

• NAT-gateway verzendt een TCP Reset-pakket (RST) voor elke verbindingsstroom die niet wordt herkend als een bestaande verbinding. De verbindingsstroom bestaat niet meer als de time-out voor inactiviteit van de NAT-gateway is bereikt of als de verbinding eerder is gesloten.

• Wanneer de afzender van het verkeer op de niet-bestaande verbindingsstroom het TCP RST-pakket van de NAT-gateway ontvangt, is de verbinding niet meer bruikbaar.

• SNAT-poorten zijn niet direct beschikbaar voor hergebruik naar hetzelfde doeleindpunt nadat een verbinding is gesloten. Nat Gateway plaatst SNAT-poorten in een afkoelstatus voordat ze opnieuw kunnen worden gebruikt om verbinding te maken met hetzelfde doeleindpunt.

• De duur van het opnieuw gebruiken van SNAT-poorten (afkoeltijd) varieert voor TCP-verkeer, afhankelijk van hoe de verbinding wordt gesloten. Voor meer informatie, zie Porthergebruik timers.

• Er wordt een standaardtime-out voor TCP-inactiviteit van 4 minuten gebruikt, die tot 120 minuten worden verhoogd. Elke activiteit in een stroom kan ook de inactiviteitstimer opnieuw instellen, inclusief TCP-keepalives. Zie Time-outtimers voor inactiviteit voor meer informatie.

• UDP-verkeer heeft een time-outtimer van 4 minuten die niet kan worden gewijzigd.

• UDP-verkeer heeft een timer voor opnieuw gebruiken van poorten van 65 seconden waarvoor een poort in bewaring is voordat deze beschikbaar is voor hergebruik naar hetzelfde doeleindpunt.

Prijzen en Service Level Agreement (SLA)

Standard en StandardV2 NAT Gateway zijn dezelfde prijs. Zie prijzen voor NAT Gateway voor prijzen voor Azure NAT Gateway.

Zie SLA voor Azure NAT Gateway voor meer informatie over de SLA.

Volgende stappen

• Zie de quickstart: Een NAT-gateway maken met behulp van Azure Portal voor meer informatie over het maken en valideren van een NAT-gateway.

• Als u een video wilt bekijken over meer informatie over Azure NAT Gateway, raadpleegt u Hoe u een betere uitgaande connectiviteit krijgt met behulp van een Azure NAT-gateway.

• Zie nat-gatewayresource voor meer informatie over de NAT-gatewayresource.

• Meer informatie over Azure NAT Gateway vindt u in de volgende module:

  • Learn-module: Inleiding tot Azure NAT Gateway.

• Zie Azure Well-Architected Framework-beoordeling van een Azure NAT-gateway voor meer informatie over architectuuropties voor Azure NAT Gateway.