Co to jest usługa Azure NAT Gateway?

Usługa Azure NAT Gateway to w pełni zarządzana i wysoce odporna usługa translatora adresów sieciowych (NAT). Brama translatora adresów sieciowych platformy Azure umożliwia wszystkim wystąpieniom w podsieci połączenie wychodzące z Internetem, a jednocześnie pozostanie w pełni prywatne. Niechciane połączenia przychodzące z Internetu nie są dozwolone za pośrednictwem bramy translatora adresów sieciowych. Tylko pakiety odbierane jako pakiety odpowiedzi do połączenia wychodzącego mogą przechodzić przez bramę translatora adresów sieciowych.

Brama translatora adresów sieciowych dynamicznie przydziela porty SNAT w celu automatycznego skalowania łączności wychodzącej i minimalizuje ryzyko wyczerpania portów SNAT.

Rysunek: Brama translatora adresów sieciowych platformy Azure

Brama translatora adresów sieciowych platformy Azure jest dostępna w dwóch jednostkach SKU:

• Norma Brama translatora adresów sieciowych jednostki SKU jest strefowa (wdrożona w jednej strefie dostępności) i zapewnia skalowalną łączność wychodzącą dla podsieci w jednej sieci wirtualnej.

• StandardV2 Brama NAT SKU jest strefowo nadmiarowa z wyższą przepływnością niż Standardowa SKU, obsługą IPv6 i obsługą dzienników przepływów.

Brama translatora adresów sieciowych w warstwie Standardowa 2

Brama translatora adresów sieciowych w warstwie StandardV2 zapewnia wszystkie te same funkcje bramy translatora adresów sieciowych jednostki SKU w warstwie Standardowa, takie jak dynamiczna alokacja portów SNAT i bezpieczna łączność wychodząca dla podsieci w sieci wirtualnej. Ponadto brama translatora adresów sieciowych w warstwie StandardowaV2 jest strefowo nadmiarowa, co oznacza, że zapewnia łączność wychodzącą ze wszystkich stref w regionie zamiast jednej strefy, takiej jak brama translatora adresów sieciowych w warstwie Standardowa.

Rysunek: Brama translatora adresów sieciowych w warstwie StandardowaV2 obejmuje wiele stref dostępności w regionie.

Kluczowe możliwości bramy translatora adresów sieciowych w warstwie StandardowaV2

• Strefowo nadmiarowy — działa we wszystkich strefach dostępności w regionie w celu utrzymania łączności podczas awarii pojedynczej strefy.
• Obsługa protokołu IPv6 — obsługuje zarówno publiczne adresy IP IPv4, jak i IPv6 oraz prefiksy dla łączności wychodzącej.
• Większa przepływność — każda brama translatora adresów sieciowych w warstwie Standardowa 2 może zapewnić do 100 Gb/s przepływności danych w porównaniu z 50 Gb/s dla bramy translatora adresów sieciowych w warstwie Standardowa.
• Obsługa dzienników przepływu — udostępnia informacje o ruchu oparte na adresach IP, które ułatwiają monitorowanie i analizowanie przepływów ruchu wychodzącego.

Aby dowiedzieć się więcej na temat wdrażania bramy translatora adresów sieciowych w warstwie StandardowaV2, zobacz Create a StandardV2 NAT Gateway (Tworzenie bramy translatora adresów sieciowych w warstwie StandardowaV2).

Kluczowe ograniczenia bramy translatora adresów sieciowych w warstwie StandardowaV2

• Wymaga publicznych adresów IP lub prefiksów jednostki SKU StandardV2. Publiczne adresy IP jednostki SKU w warstwie Standardowa nie są obsługiwane w przypadku bramy translatora adresów sieciowych w warstwie Standardowa 2.
• Brama translatora adresów sieciowych jednostki SKU w warstwie Standardowa nie może zostać uaktualniona do bramy translatora adresów sieciowych w warstwie Standardowa 2. Musisz najpierw utworzyć bramę translatora adresów sieciowych jednostki SKU w warstwie Standardowa i zastąpić bramę translatora adresów sieciowych jednostki SKU w warstwie Standardowa w podsieci.
• Następujące regiony nie obsługują bramy translatora adresów sieciowych w warstwie StandardowaV2:
  • Kanada Wschodnia
  • Indie Środkowe
  • Chile Środkowe
  • Indonezja Środkowa
  • Izrael Północno-zachodni
  • Malezja Zachodnia
  • Katar Środkowy
  • Środkowe Zjednoczone Emiraty Arabskie
• Narzędzie Terraform nie obsługuje jeszcze bramy translatora adresów sieciowych w warstwie StandardowaV2 i publicznych adresów IP w warstwie StandardowaV2.
• Brama translatora adresów sieciowych w warstwie Standardowa 2 nie obsługuje i nie może być dołączona do delegowanych podsieci dla następujących usług:
  • Azure SQL Managed Instance
  • Azure Container Instances
  • Azure Database dla PostgreSQL – Serwer Elastyczny
  • Azure Database for MySQL — serwer elastyczny
  • Azure Database for MySQL
  • Azure Data Factory — przenoszenie danych
  • Usługi platformy Microsoft Power Platform
  • Azure Stream Analytics
  • Aplikacje internetowe platformy Azure
  • Azure DNS Private Resolver

Znane problemy z bramą translatora adresów sieciowych w warstwie StandardowaV2

• Ruch wychodzący IPv6 przy użyciu reguł ruchu wychodzącego modułu równoważenia obciążenia jest zakłócany, gdy brama TRANSLATOR adresów sieciowych w warstwie StandardowaV2 jest skojarzona z podsiecią. Jeśli potrzebujesz łączności wychodzącej IPv4 i IPv6, użyj reguł ruchu wychodzącego modułu równoważenia obciążenia dla ruchu wychodzącego IPv4 i IPv6 albo użyj standardowej bramy translatora adresów sieciowych dla ruchu IPv4 i reguł ruchu wychodzącego modułu równoważenia obciążenia dla ruchu IPv6.

• Dołączenie NAT Gateway StandardV2 do pustej podsieci utworzonej przed kwietniem 2025 r., bez żadnych maszyn wirtualnych, może spowodować przejście sieci wirtualnej do stanu awarii. Aby przywrócić sieć wirtualną do stanu pomyślnego, usuń bramę translatora adresów sieciowych w warstwie StandardowaV2, utwórz i dodaj maszynę wirtualną do podsieci, a następnie ponownie dołącz bramę translatora adresów sieciowych w warstwie StandardowaV2.

Aby uzyskać więcej informacji na temat znanych problemów i ograniczeń bramy translatora adresów sieciowych w warstwie StandardowaV2, zobacz Znane problemy i ograniczenia bramy translatora adresów sieciowych w warstwie StandardowaV2.

Standardowa brama translatora adresów sieciowych

Brama translatora adresów sieciowych w warstwie Standardowa zapewnia łączność wychodzącą z Internetem i może być skojarzona z podsieciami w tej samej sieci wirtualnej. Brama translatora adresów sieciowych w warstwie Standardowa działa poza pojedynczą strefą dostępności.

*Rysunek: Standardowa brama translatora adresów sieciowych w pojedynczej strefie dostępności.

Korzyści z usługi Azure NAT Gateway

Prosta konfiguracja

Wdrożenia są celowo proste w przypadku bramy translatora adresów sieciowych. Dołącz bramę translatora adresów sieciowych do podsieci i publicznego adresu IP i zacznij od razu łączyć się wychodzące z Internetem. Nie wymaga konserwacji ani konfiguracji routingu. Więcej publicznych adresów IP lub podsieci można dodać później bez wpływu na istniejącą konfigurację.

Poniżej przedstawiono przykład konfigurowania bramy translatora adresów sieciowych:

• Utwórz bramę translatora adresów sieciowych innych niż strefowe lub strefowe.

• Utwórz bramę NAT.

• Przypisz publiczny adres IP lub prefiks publicznego adresu IP.

• Skonfiguruj podsieć tak, aby korzystała z bramy translatora adresów sieciowych.

W razie potrzeby zmodyfikuj limit czasu bezczynności protokołu Transmission Control Protocol (TCP) (opcjonalnie). Przejrzyj czasomierze przed zmianą wartości domyślnej.

Zabezpieczenia

Brama NAT jest oparta na modelu zabezpieczeń sieci Zero Trust i z założenia jest bezpieczna. W przypadku bramy translatora adresów sieciowych wystąpienia prywatne w podsieci nie wymagają publicznych adresów IP, aby uzyskać dostęp do Internetu. Zasoby prywatne mogą uzyskiwać dostęp do źródeł zewnętrznych poza siecią wirtualną przez tłumaczenie adresów sieciowych (SNAT) na statyczne publiczne adresy IP lub prefiksy usługi NAT Gateway. Możesz podać ciągły zestaw adresów IP dla łączności wychodzącej przy użyciu prefiksu publicznego adresu IP. Reguły zapory docelowej można skonfigurować na podstawie tej przewidywalnej listy adresów IP.

Odporność

Usługa Azure NAT Gateway to w pełni zarządzana i rozproszona usługa. Nie zależy to od poszczególnych instancji obliczeniowych, takich jak maszyny wirtualne lub pojedyncze fizyczne urządzenie bramy. Brama translatora adresów sieciowych zawsze ma wiele domen błędów i może obsługiwać wiele awarii bez awarii usługi. Sieć zdefiniowana programowo sprawia, że brama translatora adresów sieciowych jest wysoce odporna.

Skalowalność

Brama translatora adresów sieciowych jest skalowana w poziomie od momentu utworzenia. Nie jest wymagana operacja zwiększania lub skalowania poziomego. Platforma Azure zarządza operacją bramy translatora adresów sieciowych.

Dołącz bramę translatora adresów sieciowych do podsieci, aby zapewnić łączność wychodzącą dla wszystkich zasobów prywatnych w tej podsieci. Wszystkie podsieci w sieci wirtualnej mogą używać tego samego zasobu bramy translatora adresów sieciowych. Łączność wychodząca można skalować w poziomie przez przypisanie maksymalnie 16 publicznych adresów IP lub prefiks publicznego adresu IP o rozmiarze /28 do bramy translatora adresów sieciowych. Gdy brama translatora adresów sieciowych jest skojarzona z prefiksem publicznego adresu IP, jest automatycznie skalowana do liczby adresów IP wymaganych do ruchu wychodzącego.

Wydajność

Azure NAT Gateway to usługa sieciowa zdefiniowana programowo. Każda brama translatora adresów sieciowych może przetwarzać do 50 Gb/s danych zarówno dla ruchu wychodzącego, jak i zwrotnego.

Brama translatora adresów sieciowych nie ma wpływu na przepustowość sieci zasobów obliczeniowych. Dowiedz się więcej o wydajności bramy translatora adresów sieciowych.

Podstawy usługi Azure NAT Gateway

Usługa Azure NAT Gateway zapewnia bezpieczną, skalowalną łączność wychodzącą dla zasobów w sieci wirtualnej. Jest to zalecana metoda dostępu wychodzącego do Internetu.

Łączność wychodząca

• Brama translatora adresów sieciowych jest zalecaną metodą łączności wychodzącej.

  • Aby przeprowadzić migrację dostępu wychodzącego do bramy translatora adresów sieciowych z domyślnego dostępu wychodzącego lub reguł ruchu wychodzącego usługi Load Balancer, zobacz Migrowanie dostępu wychodzącego do usługi Azure NAT Gateway.

• Brama translatora adresów sieciowych zapewnia łączność wychodzącą na poziomie podsieci. Brama translatora adresów sieciowych zastępuje domyślną docelową lokalizację internetową podsieci w celu zapewnienia łączności wychodzącej.

• Brama translatora adresów sieciowych nie wymaga żadnych konfiguracji routingu w tabeli tras podsieci. Po dołączeniu bramy translatora adresów sieciowych do podsieci od razu zapewnia ona łączność wychodzącą.

• Brama translatora adresów sieciowych umożliwia tworzenie przepływów z sieci wirtualnej do usług spoza sieci wirtualnej. Ruch zwrotny z Internetu jest dozwolony tylko w odpowiedzi na aktywny przepływ. Usługi spoza sieci wirtualnej nie mogą inicjować połączenia przychodzącego za pośrednictwem bramy translatora adresów sieciowych.

• Brama translatora adresów sieciowych ma pierwszeństwo przed innymi metodami łączności wychodzącej, w tym modułem równoważenia obciążenia, publicznymi adresami IP na poziomie wystąpienia i usługą Azure Firewall.

• Brama translatora adresów sieciowych ma priorytet nad innymi jawnymi metodami ruchu wychodzącego skonfigurowanymi w sieci wirtualnej dla wszystkich nowych połączeń. Brak spadków przepływu ruchu dla istniejących połączeń przy użyciu innych jawnych metod łączności wychodzącej.

• Brama translatora adresów sieciowych nie ma tych samych ograniczeń wyczerpania portów SNAT, co domyślne reguły dostępu wychodzącego i wychodzącego modułu równoważenia obciążenia.

• Brama translatora adresów sieciowych obsługuje tylko protokoły TCP i User Datagram Protocol (UDP). Protokół ICMP (Internet Control Message Protocol) nie jest obsługiwany.

  • Wystąpienia usług Azure App Services (aplikacje internetowe, interfejsy API REST i zaplecza dla urządzeń przenośnych) za pośrednictwem integracji z siecią wirtualną.

• Podsieć ma domyślną trasę systemową, która automatycznie kieruje ruch z miejscem docelowym 0.0.0.0/0 do Internetu. Po skonfigurowaniu bramy translatora adresów sieciowych do podsieci maszyn wirtualnych w podsieci komunikują się z Internetem przy użyciu publicznego adresu IP bramy translatora adresów sieciowych.

• Podczas tworzenia trasy zdefiniowanej przez użytkownika (UDR) w tabeli tras podsieci dla ruchu 0.0.0.0/0, domyślna ścieżka internetowa dla tego ruchu jest zastępowana. Trasa zdefiniowana przez użytkownika, która wysyła ruch 0.0.0.0/0 do urządzenia wirtualnego lub bramy sieci wirtualnej (VPN Gateway i ExpressRoute) jako typ następnego przeskoku, zastępuje łączność bramy translatora adresów sieciowych z Internetem.

Jak działa brama translatora adresów sieciowych

• Brak konfiguracji tabeli tras — brama translatora adresów sieciowych działa na poziomie podsieci. Po dołączeniu brama translatora adresów sieciowych zapewnia łączność wychodzącą bez konieczności konfigurowania routingu w tabeli tras podsieci.

  • Trasa zdefiniowana przez użytkownika do następnego przeskoku Wirtualne urządzenie lub brama sieci wirtualnej TRANSLATOR adresów IP na poziomie wystąpienia bramy >> translatora >> adresów sieciowych na poziomie wystąpienia maszyny >> wirtualnej reguły >> ruchu wychodzącego modułu równoważenia obciążenia domyślnej trasy systemowej do Internetu.

Konfiguracje bramy translatora adresów sieciowych

• Wiele podsieci w tej samej sieci wirtualnej może używać różnych bram translatora adresów sieciowych lub tej samej bramy translatora adresów sieciowych.

• Nie można dołączyć wielu bram translatora adresów sieciowych do jednej podsieci.

• Brama translatora adresów sieciowych nie może obejmować wielu sieci wirtualnych. Brama translatora adresów sieciowych może jednak służyć do zapewnienia łączności wychodzącej w modelu piasty i szprych. Aby uzyskać więcej informacji, zobacz samouczek bramy translatora adresów sieciowych i szprych.

• Bramy translatora adresów sieciowych nie można wdrożyć w podsieci bramy.

• Zasób bramy translatora adresów sieciowych może używać maksymalnie 16 adresów IP w dowolnej kombinacji następujących typów:

• Nie można dołączyć wielu bram translatora adresów sieciowych do jednej podsieci.

• Brama translatora adresów sieciowych nie może obejmować wielu sieci wirtualnych. Brama translatora adresów sieciowych może jednak służyć do zapewnienia łączności wychodzącej w modelu piasty i szprych. Aby uzyskać więcej informacji, zobacz samouczek bramy translatora adresów sieciowych i szprych.

• Bramy translatora adresów sieciowych nie można wdrożyć w podsieci bramy lub podsieci zawierającej wystąpienia zarządzane SQL.

• Brama translatora adresów sieciowych nie może być skojarzona z publicznym adresem IP IPv6 ani prefiksem publicznego adresu IP IPv6.

• Brama translatora adresów sieciowych może być używana z usługą Load Balancer przy użyciu reguł ruchu wychodzącego, aby zapewnić łączność wychodzącą z dwoma stosami. Zobacz łączność wychodzącą z dwoma stosami za pomocą bramy translatora adresów sieciowych i modułu równoważenia obciążenia.

• Brama translatora adresów sieciowych współdziała z dowolnym interfejsem sieciowym maszyny wirtualnej lub konfiguracją adresu IP. Brama translatora adresów sieciowych może wielokrotnie konfigurować adresy IP w interfejsie sieciowym.

• Brama translatora adresów sieciowych może być skojarzona z podsiecią usługi Azure Firewall w sieci wirtualnej piasty i zapewnić łączność wychodzącą ze szprych wirtualnych sieci równorzędnych do koncentratora. Aby dowiedzieć się więcej, zobacz Integracja usługi Azure Firewall z bramą translatora adresów sieciowych.

Strefy dostępności

• Brama translatora adresów sieciowych jednostki SKU w warstwie Standardowa może zostać utworzona w określonej strefie dostępności lub nie znajduje się w żadnej strefie.

• Brama translatora adresów sieciowych w warstwie Standardowa może być izolowana w określonej strefie podczas tworzenia scenariuszy izolacji strefy. Po wdrożeniu bramy translatora adresów sieciowych nie można zmienić wyboru strefy.

• Brama translatora adresów sieciowych w warstwie Standardowa nie jest domyślnie umieszczana w żadnej strefie . Brama translatora adresów sieciowych niezonowa jest umieszczana w strefie dla Ciebie przez platformę Azure.

• Brama translatora adresów sieciowych jednostki SKU w warstwie StandardowaV2 jest strefowo nadmiarowa i działa we wszystkich strefach dostępności w regionie w celu utrzymania łączności podczas awarii pojedynczej strefy.

Domyślny dostęp wychodzący

• Aby zapewnić bezpieczną łączność wychodzącą z Internetem, zaleca się włączenie podsieci prywatnej , aby zapobiec tworzeniu domyślnych wychodzących adresów IP, a zamiast tego użyć jawnej metody łączności wychodzącej, takiej jak brama translatora adresów sieciowych.

• Niektóre usługi nie działają na maszynie wirtualnej w podsieci prywatnej bez jawnej metody łączności wychodzącej, takiej jak aktywacja systemu Windows i aktualizacje systemu Windows. Aby aktywować lub zaktualizować systemy operacyjne maszyn wirtualnych, takie jak Windows, wymagana jest jawna metoda łączności wychodzącej, taka jak brama translatora adresów sieciowych.

• Aby przeprowadzić migrację dostępu wychodzącego do bramy translatora adresów sieciowych z domyślnego dostępu wychodzącego lub reguł ruchu wychodzącego usługi Load Balancer, zobacz Migrowanie dostępu wychodzącego do usługi Azure NAT Gateway.

Brama translatora adresów sieciowych i podstawowe zasoby

• Standardowa brama translatora adresów sieciowych jest zgodna z publicznymi adresami IP w warstwie Standardowa lub prefiksami publicznych adresów IP. Brama translatora adresów sieciowych w warstwie Standardowa 2 jest zgodna tylko z publicznymi adresami IP w warstwie StandardowaV2 lub prefiksami publicznych adresów IP.

• Bramy translatora adresów sieciowych nie można używać z podsieciami, w których istnieją podstawowe zasoby. Podstawowe zasoby jednostki SKU, takie jak podstawowy moduł równoważenia obciążenia lub podstawowe publiczne adresy IP, nie są zgodne z bramą translatora adresów sieciowych. Podstawowy moduł równoważenia obciążenia i podstawowy publiczny adres IP można uaktualnić do warstwy Standardowa w celu pracy z bramą translatora adresów sieciowych.

  • Aby uzyskać więcej informacji na temat uaktualniania modułu równoważenia obciążenia z warstwy podstawowa do standardu, zobacz Uaktualnianie publicznej usługi Azure Load Balancer w warstwie Podstawowa.

  • Aby uzyskać więcej informacji na temat uaktualniania publicznego adresu IP z podstawowego do standardu, zobacz Uaktualnianie publicznego adresu IP.

  • Aby uzyskać więcej informacji na temat uaktualniania podstawowego publicznego adresu IP dołączonego do maszyny wirtualnej z podstawowej do standardowej, zobacz Uaktualnianie podstawowego publicznego adresu IP dołączonego do maszyny wirtualnej.

Limity czasu połączenia i czasomierze

• Brama translatora adresów sieciowych wysyła pakiet resetowania tcp (RST) dla dowolnego przepływu połączenia, który nie rozpoznaje jako istniejącego połączenia. Przepływ połączenia już nie istnieje, jeśli osiągnięto limit czasu bezczynności bramy translatora adresów sieciowych lub połączenie zostało zamknięte wcześniej.

• Gdy nadawca ruchu w nieistniejącym przepływie połączenia odbiera pakiet TCP RST bramy translatora adresów sieciowych, połączenie nie jest już możliwe do użycia.

• Porty SNAT nie są łatwo dostępne do ponownego użycia w tym samym punkcie końcowym docelowym po zamknięciu połączenia. Brama translatora adresów sieciowych umieszcza porty SNAT w stanie schładzania, zanim będzie można ponownie użyć ich do nawiązania połączenia z tym samym docelowym punktem końcowym.

• Czasy czasomierza ponownego użycia portów SNAT (schładzania) różnią się w zależności od sposobu zamknięcia połączenia. Aby dowiedzieć się więcej, zobacz Czasomierze ponownego użycia portów.

• Jest używany domyślny limit czasu bezczynności protokołu TCP 4 minut i można go zwiększyć do 120 minut. Każde działanie w przepływie może również zresetować czasomierz bezczynności, w tym elementy utrzymania protokołu TCP. Aby dowiedzieć się więcej, zobacz Czasomierze limitu czasu bezczynności.

• Ruch UDP ma limit czasu bezczynności 4 minut, którego nie można zmienić.

• Ruch UDP ma timer ponownego użycia portu ustawiony na 65 sekund, podczas którego port jest zablokowany, zanim będzie dostępny do ponownego użycia dla tego samego punktu końcowego.

Cennik i umowa dotycząca poziomu usług (SLA)

Brama translatora adresów sieciowych w warstwie Standardowa i StandardV2 jest taka sama. Aby uzyskać informacje o cenach usługi Azure NAT Gateway, zobacz Cennik bramy translatora adresów sieciowych.

Aby uzyskać informacje na temat umowy SLA, zobacz Umowa SLA dla usługi Azure NAT Gateway.

Następne kroki

• Aby uzyskać więcej informacji na temat tworzenia i weryfikowania bramy translatora adresów sieciowych, zobacz Szybki start: tworzenie bramy translatora adresów sieciowych przy użyciu witryny Azure Portal.

• Aby wyświetlić film wideo na temat usługi Azure NAT Gateway, zobacz How to get better outbound connectivity using an Azure NAT Gateway (Jak uzyskać lepszą łączność wychodzącą przy użyciu bramy translatora adresów sieciowych platformy Azure).

• Aby uzyskać więcej informacji na temat zasobu bramy translatora adresów sieciowych, zobacz Zasób bramy translatora adresów sieciowych.

• Dowiedz się więcej o usłudze Azure NAT Gateway w następującym module:

  • Moduł szkoleniowy: Wprowadzenie do usługi Azure NAT Gateway.

• Aby uzyskać więcej informacji na temat opcji architektury dla usługi Azure NAT Gateway, zobacz Przegląd platformy Azure Well-Architected Framework w usłudze Azure NAT Gateway.