Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os principais componentes do recurso de gateway da NAT que permitem que ele forneça uma conectividade de saída altamente segura, escalável e resiliente. O Gateway da NAT pode ser configurado em sua assinatura por meio de clientes com suporte. Esses clientes incluem o portal do Azure, a CLI do Azure, o Azure PowerShell, os modelos do Resource Manager ou alternativas apropriadas.
Importante
O Gateway da NAT do Azure no SKU Standard V2 está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
SKUs de Gateway da NAT
O Gateway da NAT está disponível em dois SKUs: StandardV2 e Standard.
Figura 1: SKUs Standard e StandardV2 do Gateway da NAT.
O SKU StandardV2 possui redundância de zona por padrão. Ele se estende automaticamente entre várias zonas de disponibilidade em uma região, garantindo a conectividade de saída contínua mesmo que uma zona fique indisponível.
O SKU Standard é um recurso de zona. Ele é implantado em uma zona de disponibilidade específica e é resiliente dentro dessa zona.
O Gateway da NAT do SKU StandardV2 também dá suporte a IPs públicos IPv6, enquanto o Gateway da NAT do SKU Standard só dá suporte a IPs públicos IPv4.
Arquitetura do Gateway da NAT
O Gateway da NAT do Azure usa a rede definida pelo software para operar como um serviço distribuído totalmente gerenciado. Por design, o Gateway da NAT abrange vários domínios de falha, permitindo que resista a várias falhas sem nenhum efeito no serviço. O Gateway da NAT fornece conversão de endereços de rede (SNAT) de origem para instâncias privadas nas sub-redes associadas da rede virtual do Azure. Os IPs privados das máquinas virtuais SNAT para os endereços IP públicos estáticos de um Gateway da NAT para se conectarem à Internet. O Gateway da NAT também fornece a conversão de endereço de rede de destino (DNAT) para pacotes de resposta somente para uma conexão originada da saída.
Figura: Gateway da NAT do Azure para saída para a Internet
Quando configurado para uma sub-rede em uma rede virtual, o Gateway da NAT torna-se o tipo de próximo salto padrão da sub-rede para todo o tráfego de saída direcionado para a Internet. Nenhuma configuração de roteamento extra é necessária. O Gateway da NAT não fornece conexões de entrada não solicitadas da Internet. O DNAT só é executado para pacotes que chegam como uma resposta a um pacote de saída.
Sub-redes
O Gateway da NAT Standard e StandardV2 podem ser anexados a várias sub-redes em uma rede virtual para fornecer conectividade de saída à Internet. Quando o Gateway da NAT é conectado a uma sub-rede, ele assume a rota padrão para a Internet. O Gateway da NAT serve como o tipo de próximo salto para todo o tráfego de saída destinado à Internet.
As seguintes configurações de sub-rede não podem ser usadas com o Gateway da NAT:
Cada sub-rede não pode ter mais de um Gateway da NAT anexado.
O Gateway da NAT não pode ser anexado a sub-redes de redes virtuais diferentes.
O Gateway da NAT não pode ser usado com uma sub-rede de gateway. Uma sub-rede de gateway é uma sub-rede designada para um gateway de VPN para enviar o tráfego criptografado entre uma rede virtual do Azure e um ambiente local. Para obter mais informações sobre a sub-rede de gateway, confira Sub-rede de gateway.
Endereços IP públicos estáticos
O Gateway da NAT pode ser associado a endereços IP públicos estáticos ou prefixos de IP público. Se você atribuir um prefixo de IP público, o prefixo inteiro do IP público será usado. Você pode usar um prefixo de IP público diretamente ou distribuir os endereços IP públicos do prefixo entre vários recursos do Gateway da NAT. O Gateway da NAT envia todo o tráfego para o intervalo de endereços IP do prefixo.
- O Gateway da NAT StandardV2 dá suporte a até 16 endereços IP públicos IPv4 e 16 IPv6.
- O Gateway da NAT Standard não pode ser usado com prefixos ou endereços IP públicos IPv6. Ele dá suporte a até 16 endereços IP públicos IPv4.
- O Gateway de NAT não pode ser usado com endereços IP públicos de SKU básicos.
| SKU de gateway NAT | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Sim, dá suporte a prefixos e endereços IP públicos IPv4. | Sim, dá suporte a prefixos e endereços IP públicos IPv6. |
| Standard | Sim, dá suporte a prefixos e endereços IP públicos IPv4. | Não, não dá suporte a prefixos e endereços IP públicos IPv6. |
Portas SNAT
O inventário de portas SNAT é fornecido pelos endereços IP públicos, pelos prefixos de IP público ou por ambos, anexados a um gateway da NAT. O inventário de portas SNAT é disponibilizado sob demanda para todas as instâncias em uma sub-rede anexada ao gateway da NAT. Nenhuma pré-alocação de portas SNAT por instância é necessária.
Para obter mais informações sobre as portas SNAT e o Gateway da NAT do Azure, confira SNAT (conversão de endereços de rede de origem) com o Gateway da NAT do Azure.
Quando várias sub-redes em uma rede virtual são anexadas ao mesmo recurso do gateway da NAT, o inventário de portas SNAT fornecido pelo Gateway da NAT é compartilhado entre todas as sub-redes.
As portas SNAT servem como identificadores exclusivos para distinguir fluxos de conexão diferentes uns dos outros. A mesma porta SNAT pode ser usada para se conectar a pontos de extremidade de destino diferentes ao mesmo tempo.
Portas SNAT diferentes são usadas para fazer conexões com o mesmo ponto de extremidade de destino, a fim de distinguir fluxos de conexão diferentes uns dos outros. As portas SNAT que estão sendo reutilizadas para se conectar ao mesmo destino são colocadas em um temporizador de resfriamento de reutilização antes que possam ser reutilizadas.
Figura: alocação da porta SNAT
Um Gateway da NAT individual pode ser escalado pelo número de endereços IP públicos associados a ele. Cada IP do gateway da NAT fornece 64.512 portas SNAT para fazer conexões de saída. Um gateway da NAT pode ser escalado verticalmente para mais de 1 milhão de portas SNAT. O TCP e o UDP são inventários de portas de SNAT separados e não estão relacionados ao Gateway da NAT.
Zonas de disponibilidade
O Gateway da NAT tem dois SKUs: Standard e StandardV2. Para garantir que a sua arquitetura seja resiliente a falhas de zona, implante o Gateway da NAT StandardV2, pois ele é um recurso com redundância de zona. Quando uma zona de disponibilidade em uma região fica inativa, novas conexões fluem das zonas íntegras restantes.
Figura: Implantação de várias zonas do Gateway da NAT StandardV2.
O Gateway da NAT Standard é um recurso de zona, o que significa que ele pode ser implantado e operar fora de zonas de disponibilidade individuais. Se a zona associada ao Gateway da NAT Standard falhar, a conectividade de saída para as sub-redes associadas ao Gateway da NAT será afetada.
Para obter mais informações sobre as zonas de disponibilidade e o Gateway da NAT do Azure, confira Considerações sobre o design de zonas de disponibilidade.
Figura: Implantação de zona única do Gateway da NAT Standard.
Depois que um gateway da NAT é implantado, a seleção de zona não pode ser alterada.
Protocolos
O Gateway da NAT interage com o IP e os cabeçalhos de transporte de IP dos fluxos do UDP e do TCP. O Gateway da NAT é independente de conteúdos de camada de aplicativo. Não há suporte para outros protocolos IP, como o ICMP.
Redefinição de TCP
Um pacote de redefinição de TCP é enviado quando um gateway da NAT detecta um tráfego em um fluxo de conexão que não existe. O pacote de redefinição de TCP indica para o ponto de extremidade de recebimento que a liberação do fluxo de conexão ocorreu e qualquer comunicação futura nessa mesma conexão TCP falhará. A redefinição de TCP é unidirecional para um gateway da NAT.
O fluxo de conexão pode não existir se:
O tempo limite ocioso foi atingido após um período de inatividade no fluxo de conexão e a conexão é silenciosamente removida.
O remetente, do lado da rede do Azure ou do lado da Internet pública, enviou um tráfego após a conexão ser removida.
Um pacote de redefinição de TCP é enviado somente ao detectar o tráfego no fluxo de conexão removido. Essa operação significa que um pacote de redefinição TCP pode não ser enviado imediatamente após a queda do fluxo de conexão.
O sistema envia um pacote de redefinição de TCP em resposta à detecção de tráfego em um fluxo de conexão inexistente, independentemente de o tráfego ser proveniente do lado da rede do Azure ou do lado da Internet pública.
Tempo limite ocioso de TCP
Um gateway da NAT fornece um intervalo de tempo limite ocioso configurável de 4 a 120 minutos para protocolos TCP. Os protocolos UDP têm um tempo limite ocioso não configurável de 4 minutos.
Quando uma conexão fica ociosa, o gateway da NAT mantém-se na porta SNAT até que a conexão atinja o tempo limite ocioso. Como os temporizadores longos de tempo limite ocioso podem aumentar desnecessariamente a probabilidade de esgotamento da porta SNAT, não é recomendável aumentar a duração do tempo limite ocioso de TCP para mais tempo do que o tempo padrão de 4 minutos. O temporizador de tempo limite ocioso não afeta um fluxo que nunca fica ocioso.
As keep alives TCP podem ser usadas para fornecer um padrão de atualização de conexões ociosas por longos períodos e detecção de atividade do ponto de extremidade. Para obter mais informações, consulte estes exemplos do .NET. As keep alives TCP aparecem como ACKs duplicados para os pontos de extremidade, representam pouca sobrecarga e são invisíveis para a camada do aplicativo.
Os temporizadores de tempo limite ocioso de UDP não são configuráveis, as keep alives de UDP devem ser usadas para garantir que o valor do tempo imite ocioso não seja atingido e que a conexão seja mantida. Ao contrário das conexões TCP, uma keep alive de UDP habilitada em um lado da conexão somente se aplica ao fluxo de tráfego em uma direção. As keep alives de UDP deverão ser habilitadas em ambos os lados do fluxo de tráfego para manter o fluxo de tráfego ativo.
Temporizadores
Temporizadores de reutilização de porta
Os temporizadores de reutilização da porta determinam a quantidade de tempo após o fechamento de uma conexão em que uma porta de origem está em espera antes de poder ser reutilizada para que uma nova conexão vá para o mesmo ponto de extremidade de destino pelo gateway da NAT.
A tabela a seguir fornece informações sobre quando uma porta TCP fica disponível para reutilização para o mesmo ponto de extremidade de destino pelo gateway da NAT.
| Temporizador | Descrição | Valor |
|---|---|---|
| TCP FIN | Depois que uma conexão é fechada por um pacote TCP FIN, um temporizador de 65 segundos que mantém a porta SNAT inoperante é ativado. A porta SNAT fica disponível para reutilização após o término do temporizador. | 65 segundos |
| TCP RST | Depois que uma conexão é fechada por um pacote TCP RST (redefinição), é ativado um temporizador de 16 segundos que mantém a porta SNAT inoperante. Quando o temporizador zerar, a porta ficará disponível para reutilização. | 16 segundos |
| TCP semiaberto | Durante o estabelecimento da conexão em que um ponto de extremidade de conexão está aguardando a confirmação do outro ponto de extremidade, um temporizador de 30 segundos é ativado. Se nenhum tráfego é detectado, a conexão é fechada. Depois que a conexão for fechada, a porta de origem estará disponível para reutilização no mesmo ponto de extremidade de destino. | 30 segundos |
Para o tráfego UDP, após o fechamento de uma conexão, a porta fica inoperante por 65 segundos antes de ficar disponível para reutilização.
Temporizadores de tempo limite ocioso
| Temporizador | Descrição | Valor |
|---|---|---|
| Tempo limite ocioso de TCP | As conexões TCP podem ficar ociosas quando nenhum dado é transmitido entre os pontos de extremidade por um período prolongado. Um temporizador pode ser configurado de quatro minutos (padrão) a 120 minutos (duas horas) para tempo limite de uma conexão que ficou ociosa. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Configurável; quatro minutos (padrão) a 120 minutos |
| Tempo limite de ociosidade do UDP | As conexões UDP podem ficar ociosas quando nenhum dado é transmitido entre os pontos de extremidade por um período prolongado. Os temporizadores de tempo limite ocioso de UDP são de 4 minutos e não são configuráveis. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Não configurável; 4 minutos |
Observação
Essas configurações de temporizador estão sujeitas a alterações. Os valores são fornecidos para auxiliar a solucionar problemas e você não deverá ficar na dependência de temporizadores específicos nesse momento.
Bandwidth
Há diferentes limites de largura de banda para cada SKU do Gateway da NAT. O Gateway da NAT de SKU StandardV2 dá suporte a até 100 Gbps de taxa de transferência de dados por recurso do Gateway da NAT. O Gateway da NAT de SKU Standard fornece 50 Gbps de taxa de transferência, que é dividida entre dados de saída e de entrada (resposta). A taxa de transferência de dados é limitada a 25 Gbps para saída e 25 Gbps para dados de entrada (resposta) por recurso do Gateway da NAT Standard.
Desempenho
Cada Gateway da NAT Standard e StandardV2 dá suporte a até 50.000 conexões simultâneas por endereço IP público para o mesmo ponto de extremidade de destino pela Internet para tráfego TCP e UDP.
Cada um pode dar suporte a até 2 milhões de conexões ativas simultaneamente. O número de conexões no Gateway da NAT é contado com base na tupla de 5 (endereço IP de origem, porta de origem, endereço IP de destino, porta de destino e protocolo). Se o Gateway da NAT exceder 2 milhões de conexões, a disponibilidade do datapath diminuirá e novas conexões falharão.
O Gateway da NAT StandardV2 pode processar até 10 milhões de pacotes por segundo. O Gateway da NAT Standard pode processar até 5 milhões de pacotes por segundo.
Limitações
Os IPs públicos Standard e básicos não são compatíveis com o Gateway da NAT StandardV2. Em vez disso, use IPs públicos StandardV2.
- Para criar um IP público StandardV2, veja Criar um IP público do Azure
Os balanceadores de carga básicos não são compatíveis com o Gateway da NAT. Use balanceadores de carga Standard para Gateways da NAT Standard e StandardV2.
- Para atualizar um balanceador de carga de Básico para Standard, confira Atualizar o Load Balancer público do Azure
Os IPs públicos Básicos não são compatíveis com o Gateway da NAT Standard. Em vez disso, use IPs públicos Standard.
Para atualizar um endereço IP público do básico para o Standard, veja Atualizar um endereço IP público básico para Standard
O gateway da NAT não dá suporte ao ICMP
A fragmentação de IP não está disponível para o Gateway da NAT.
O Gateway da NAT não dá suporte a endereços IP públicos com a configuração de roteamento do tipo Internet. Para ver uma lista de serviços do Azure que dão suporte à configuração de roteamento Internet em IPs públicos, confira Serviços com suporte para roteamento pela Internet pública.
Não há suporte para IPs públicos com a proteção contra DDoS habilitada com o gateway da NAT. Para obter mais informações, consulte Limitações de DDoS.
Não há suporte do Gateway da NAT do Azure em arquiteturas de rede de hub virtual seguro (vWAN).
O Gateway da NAT de SKU Standard não pode ser atualizado para o Gateway da NAT de SKU StandardV2. Você deve implantar o Gateway da NAT de SKU StandardV2 e substituir o Gateway da NAT de SKU Standard para obter resiliência de zona para arquiteturas usando Gateways da NAT zonais.
Os IPs públicos do SKU Standard não podem ser usados com o Gateway da NAT StandardV2. Você deve recriar o IP para novos IPs públicos de SKU StandardV2 para usar o Gateway da NAT StandardV2.
Para obter as limitações mais conhecidas do Gateway da NAT StandardV2, veja SKUs do Gateway da NAT.
Próximas etapas
ReviseGateway da NAT do Azure.
Saiba mais sobre métricas e alertas do gateway da NAT.
Saiba como solucionar problemas do gateway da NAT.