Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve os principais componentes do recurso de gateway NAT que permitem fornecer conectividade de saída altamente segura, escalável e resiliente. O NAT Gateway pode ser configurado na sua subscrição através de clientes suportados. Estes clientes incluem o portal Azure, Azure CLI, Azure PowerShell, templates do Resource Manager ou alternativas apropriadas.
Importante
O Standard V2 SKU Azure NAT Gateway está atualmente em pré-visualização. Consulte os Termos de Utilização Complementares das Visualizações Prévias do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão em beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
NAT Gateway SKUs
O NAT Gateway está disponível em dois SKUs: StandardV2 e Standard.
Figura 1: SKUs Standard e StandardV2 do NAT Gateway.
O SKU StandardV2 é redundante por zonas por defeito. Estende-se automaticamente por várias zonas de disponibilidade numa região, garantindo a continuidade da conectividade de saída mesmo que uma zona fique indisponível.
O SKU Standard é um recurso zonal. É implantado numa zona de disponibilidade específica e é resiliente dentro dessa zona.
O StandardV2 SKU NAT Gateway também suporta IPv6 IPv6 IP públicos, enquanto o Standard SKU NAT Gateway só suporta IPv4 IPv4 IP públicos.
Arquitetura do gateway NAT
O Azure NAT Gateway utiliza redes definidas por software para operar como um serviço totalmente gerido e distribuído. Por design, o NAT Gateway abrange múltiplos domínios de falha, permitindo-lhe suportar múltiplas falhas sem qualquer efeito no serviço. O NAT Gateway fornece tradução de endereços de rede de origem (SNAT) para instâncias privadas dentro das sub-redes associadas da sua rede virtual Azure. Os IPs privados das máquinas virtuais são SNAT para os endereços IP públicos estáticos de um gateway NAT para se ligar de saída à internet. O NAT Gateway também fornece conversão de endereços de rede de destino (DNAT) para pacotes de resposta apenas para uma conexão originada de saída.
Figura: Gateway NAT para saída para a Internet
Quando configurado para uma sub-rede dentro de uma rede virtual, o NAT Gateway torna-se o tipo padrão de próximo salto da sub-rede para todo o tráfego de saída direcionado para a internet. Não são necessárias configurações de roteamento extras. O NAT Gateway não fornece conexões de entrada não solicitadas da Internet. O DNAT só é executado para pacotes que chegam como resposta a um pacote de saída.
Sub-redes
O StandardV2 e o Standard NAT Gateway podem ser ligados a múltiplas sub-redes dentro de uma rede virtual para fornecer conectividade de saída à internet. Quando o NAT Gateway está ligado a uma sub-rede, assume a rota padrão para a internet. O NAT Gateway serve como o próximo tipo de salto para todo o tráfego de saída destinado à internet.
As seguintes configurações de sub-redes não podem ser usadas com o NAT Gateway:
Cada sub-rede não pode ter mais do que um NAT Gateway ligado.
O NAT Gateway não pode ser ligado a sub-redes de diferentes redes virtuais.
O NAT Gateway não pode ser usado com uma sub-rede de gateway. Uma sub-rede de gateway é uma sub-rede designada para um gateway VPN enviar tráfego criptografado entre uma rede virtual do Azure e o local local. Para obter mais informações sobre a sub-rede do gateway, consulte Sub-rede do gateway.
Endereços IP públicos estáticos
O NAT Gateway pode ser associado a endereços IP públicos estáticos ou prefixos de IP públicos. Se você atribuir um prefixo IP público, todo o prefixo IP público será usado. Pode usar um prefixo IP público diretamente ou distribuir os endereços IP públicos do prefixo por vários recursos de gateway NAT. O gateway NAT envia todo o tráfego para o intervalo de endereços IP do prefixo.
- O StandardV2 NAT Gateway suporta até 16 endereços IPv4 e 16 IPv6 públicos.
- O NAT Gateway padrão não pode ser usado com endereços IP públicos IPv6 ou prefixos. Suporta até 16 endereços IP públicos IPv4.
- O NAT Gateway não pode ser usado com endereços IP públicos básicos de SKU.
| NAT Gateway SKU | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Sim, suporta endereços IP públicos IPv4 e prefixos. | Sim, suporta endereços IP públicos IPv6 e prefixos. |
| Standard | Sim, suporta endereços IP públicos IPv4 e prefixos. | Não, não suporta endereços IP públicos IPv6 nem prefixos. |
Portas SNAT
O inventário de portas SNAT é fornecido pelos endereços IP públicos, prefixos de IP públicos, ou ambos ligados a um gateway NAT. O inventário de portas SNAT é disponibilizado sob demanda para todas as instâncias dentro de uma sub-rede conectada ao gateway NAT. Nenhuma pré-alocação de portas SNAT por instância é necessária.
Para obter mais informações sobre portas SNAT e Azure NAT Gateway, consulte Source Network Address Translation (SNAT) with Azure NAT Gateway.
Quando várias sub-redes dentro de uma rede virtual são conectadas ao mesmo recurso de gateway NAT, o inventário de porta SNAT fornecido pelo gateway NAT é compartilhado em todas as sub-redes.
As portas SNAT servem como identificadores exclusivos para distinguir diferentes fluxos de conexão uns dos outros. A mesma porta SNAT pode ser usada para se conectar a diferentes pontos de extremidade de destino ao mesmo tempo.
Diferentes portas SNAT são usadas para fazer conexões com o mesmo ponto de extremidade de destino, a fim de distinguir diferentes fluxos de conexão uns dos outros. As portas SNAT que estão sendo reutilizadas para se conectar ao mesmo destino são colocadas em um temporizador de resfriamento de reutilização antes de poderem ser reutilizadas.
Figura: Alocação de porta SNAT
Um único gateway NAT pode escalar pelo número de endereços IP públicos associados a ele. Cada endereço IP público do gateway NAT fornece 64.512 portas SNAT para fazer conexões de saída. Um gateway NAT pode ser dimensionado para mais de 1 milhão de portas SNAT. TCP e UDP são inventários de porta SNAT separados e não estão relacionados ao NAT Gateway.
Zonas de disponibilidade
O NAT Gateway tem dois SKUs – Standard e StandardV2. Para garantir que a sua arquitetura é resiliente a falhas zonais, implemente o gateway NAT StandardV2, pois é um recurso redundante em zona. Quando uma zona de disponibilidade numa região diminui, novas ligações surgem das zonas restantes saudáveis.
Figura: Implementação multi-zona do Gateway NAT StandardV2.
O gateway NAT padrão é um recurso zonal, o que significa que pode ser implementado e operar a partir de zonas de disponibilidade individuais. Se a zona associada ao gateway NAT Standard cair, então a conectividade de saída das subredes associadas ao gateway NAT é afetada.
Para obter mais informações sobre zonas de disponibilidade e o Gateway NAT do Azure, consulte Considerações de design de zonas de disponibilidade.
Figura: Implementação de zona única do Gateway NAT Padrão.
Depois que um gateway NAT é implantado, a seleção de zona não pode ser alterada.
Protocolos
O gateway NAT interage com cabeçalhos de transporte IP e IP de fluxos UDP e TCP. O NAT Gateway é agnóstico às cargas úteis da camada de aplicação. Outros protocolos IP, como o ICMP, não são suportados.
Redefinição de TCP
Um pacote de redefinição de TCP é enviado quando um gateway NAT deteta tráfego em um fluxo de conexão que não existe. O pacote de reset TCP indica ao endpoint recetor que o fluxo de ligação foi libertado e que qualquer comunicação futura nesta mesma ligação TCP falhará. A redefinição de TCP é unidirecional para um gateway NAT.
O fluxo de conexão pode não existir se:
O tempo limite ocioso foi atingido após um período de inatividade no fluxo de conexão e a conexão é silenciosamente descartada.
O remetente, do lado da rede do Azure ou do lado público da Internet, enviou tráfego depois que a conexão caiu.
Um pacote de redefinição de TCP é enviado somente após a deteção de tráfego no fluxo de conexão descartado. Esta operação significa que um pacote de redefinição de TCP pode não ser enviado imediatamente depois que um fluxo de conexão cai.
O sistema envia um pacote de redefinição de TCP em resposta à deteção de tráfego em um fluxo de conexão inexistente, independentemente de o tráfego ser originado do lado da rede do Azure ou do lado público da Internet.
Tempo limite de inatividade TCP
Um gateway NAT fornece um intervalo de tempo limite ocioso configurável de 4 minutos a 120 minutos para protocolos TCP. Os protocolos UDP têm um tempo limite de inatividade não configurável de 4 minutos.
Quando uma conexão fica ociosa, o gateway NAT mantém a porta SNAT até que a conexão ociosa atinja o tempo limite. Como os temporizadores de tempo limite de ociosidade longos podem aumentar desnecessariamente a probabilidade de exaustão da porta SNAT, não é recomendado aumentar a duração do tempo limite de ociosidade TCP para mais do que o tempo padrão de 4 minutos. O temporizador ocioso não afeta um fluxo que nunca fica ocioso.
Os keepalives TCP podem ser usados para fornecer um padrão de atualização de longas conexões ociosas e deteção de vida do ponto final. Para obter mais informações, consulte estes exemplos do .NET. Os keepalives TCP aparecem como ACKs duplicados para os pontos de extremidade, são baixos e invisíveis para a camada de aplicação.
Os temporizadores de tempo limite ocioso UDP não são configuráveis, os keepalives UDP devem ser usados para garantir que o valor de tempo limite ocioso não seja atingido e que a conexão seja mantida. Ao contrário das conexões TCP, um keepalive UDP habilitado em um lado da conexão só se aplica ao fluxo de tráfego em uma direção. Os keepalives UDP devem ser ativados em ambos os lados do fluxo de tráfego, a fim de manter o fluxo de tráfego vivo.
Temporizadores
Temporizadores de reutilização de porta
Os temporizadores de reutilização de portas determinam o tempo após o encerramento de uma ligação em que uma porta de origem está em hold down antes de poder ser reutilizada para que uma nova ligação vá ao mesmo ponto final de destino pelo gateway NAT.
A tabela a seguir fornece informações sobre quando uma porta TCP fica disponível para reutilização no mesmo ponto de extremidade de destino pelo gateway NAT.
| Temporizador | Description | valor |
|---|---|---|
| FINO TCP | Depois que uma conexão é fechada por um pacote TCP FIN, um temporizador de 65 segundos é ativado que mantém pressionada a porta SNAT. A porta SNAT está disponível para reutilização após o término do temporizador. | 65 segundos |
| TCP RST | Depois que uma conexão é fechada por um pacote TCP RST (reset), um temporizador de 16 segundos é ativado que mantém pressionada a porta SNAT. Quando o temporizador termina, a porta fica disponível para reutilização. | 16 segundos |
| TCP semiaberto | Durante o estabelecimento da conexão, onde um ponto de extremidade de conexão está aguardando confirmação do outro ponto de extremidade, um temporizador de 30 segundos é ativado. Se nenhum tráfego for detetado, a conexão será fechada. Quando a conexão é fechada, a porta de origem fica disponível para reutilização no mesmo ponto de extremidade de destino. | 30 segundos |
Para o tráfego UDP, depois que uma conexão é fechada, a porta fica pressionada por 65 segundos antes de estar disponível para reutilização.
Temporizadores de tempo limite ociosos
| Temporizador | Description | valor |
|---|---|---|
| Tempo limite de inatividade TCP | As conexões TCP podem ficar ociosas quando nenhum dado é transmitido entre qualquer um dos pontos finais por um período prolongado de tempo. Um temporizador pode ser configurado de 4 minutos (por defeito) a 120 minutos (2 horas) para apagar uma ligação ociosa. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Configurável; 4 minutos (padrão) - 120 minutos |
| Tempo limite de inatividade UDP | As conexões UDP podem ficar ociosas quando nenhum dado é transmitido entre qualquer um dos pontos finais por um período prolongado de tempo. Os temporizadores de tempo limite ocioso UDP são de 4 minutos e não são configuráveis. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Não configurável; 4 minutos |
Nota
Estas definições do temporizador estão sujeitas a alterações. Os valores são fornecidos para ajudar na resolução de problemas e não deve depender de temporizadores específicos neste momento.
Bandwidth
Existem diferentes limites de largura de banda para cada SKU do NAT Gateway. O StandardV2 SKU NAT Gateway suporta até 100 Gbps de débito de dados por recurso de gateway NAT. O Standard SKU NAT Gateway fornece 50 Gbps de débito, que é dividido entre dados de saída e de entrada (resposta). O débito de dados é limitado a 25 Gbps para saída e 25 Gbps para dados de entrada (resposta) por recurso de gateway NAT Standard.
Desempenho
Gateways NAT Standard e StandardV2 suportam cada um até 50.000 ligações concorrentes por endereço IP público para o mesmo ponto final de destino via internet para tráfego TCP e UDP.
Cada uma pode suportar até 2 milhões de ligações ativas em simultâneo. O número de ligações no NAT Gateway é contado com base na 5-tupla (endereço IP de origem, porta de origem, endereço IP de destino, porta de destino e protocolo). Se o gateway NAT ultrapassar 2 milhões de ligações, a disponibilidade do caminho de dados diminui e as novas ligações falham.
O gateway NAT StandardV2 pode processar até 10M de pacotes por segundo. O gateway NAT padrão pode processar até 5M de pacotes por segundo.
Limitações
IPs públicos padrão e básicos não são compatíveis com o gateway NAT StandardV2. Use IPs públicos StandardV2 em vez disso.
- Para criar um IP público StandardV2, veja Criar IP Pública Azure
Os balanceadores de carga básicos não são compatíveis com gateways NAT. Utilize balanceadores de carga Standard tanto para gateways NAT Standard como StandardV2.
- Para atualizar um balanceador de carga do básico para o padrão, consulte Atualizar o Balanceador de Carga Pública do Azure
IPs públicos básicos não são compatíveis com o gateway NAT Standard. Use IPs públicos padrão em vez disso.
Para atualizar um endereço IP público de básico para padrão, veja Atualizar Endereço IP Público Básico para Padrão
O gateway NAT não suporta ICMP
A fragmentação de IP não está disponível para o NAT Gateway.
O NAT Gateway não suporta endereços IP públicos com o tipo de configuração de roteamento internet. Para ver uma lista de serviços do Azure que dão suporte à configuração de roteamento da Internet em IPs públicos, consulte Serviços com suporte para roteamento pela Internet pública.
IPs públicos com proteção contra DDoS ativada não são suportados com gateway NAT. Para obter mais informações, consulte Limitações de DDoS.
O Azure NAT Gateway não é suportado numa arquitetura de rede virtual hub segura (vWAN).
O Standard SKU NAT Gateway não pode ser atualizado para o StandardV2 SKU NAT Gateway. Deve implementar o StandardV2 SKU NAT Gateway e substituir o Standard SKU NAT Gateway para alcançar resiliência de zonas para arquiteturas que utilizam gateways NAT zonais.
Os IPs públicos dos SKUs Standard não podem ser usados com o Gateway NAT StandardV2. Tem de re-IP IPs públicos de novos SKUs StandardV2 para usar o StandardV2 NAT Gateway.
Para limitações mais conhecidas do StandardV2 NAT Gateway, veja SKUs de NAT Gateway.
Próximos passos
Analise o Azure NAT Gateway.
Saiba mais sobre métricas e alertas para gateway NAT.
Saiba como solucionar problemas de gateway NAT.