什么是 Azure NAT 网关？

Azure NAT 网关是一种完全托管且高度可复原的网络地址转换 (NAT) 服务。 可以使用 Azure NAT 网关让子网中的所有实例能够出站连接到 Internet，同时保持完全专用。 不允许来自 Internet 的未经请求的入站连接通过 NAT 网关。 只有作为响应数据包到达出站连接的数据包才能通过 NAT 网关。

NAT 网关动态分配 SNAT 端口以自动缩放出站连接，并最大程度地降低 SNAT 端口耗尽的风险。

Azure NAT 网关图

Azure NAT 网关在两个 SKU 中可用：

• 标准 SKU NAT 网关是区域性的（部署到单个可用性区域），并为单个虚拟网络中的子网提供可缩放的出站连接。

• StandardV2 SKU NAT 网关是 区域冗余 ，吞吐量高于标准 SKU、IPv6 支持和流日志支持。

标准 V2 NAT 网关

标准 V2 NAT 网关提供标准 SKU NAT 网关的所有相同功能，例如动态 SNAT 端口分配，以及虚拟网络中子网的安全出站连接。 此外，标准 V2 NAT 网关是区域冗余网关，这意味着它提供来自一个地区中所有区域（而不是单个区域，例如标准 NAT 网关）的出站连接。

图：标准 V2 NAT 网关跨越一个地区中的多个可用性区域。

标准 V2 NAT 网关的主要功能

• 区域冗余 - 跨一个地区中的所有可用性区域运行，以在单个区域故障期间保持连接。
• IPv6 支持 - 支持 IPv4 和 IPv6 公共 IP 地址和前缀进行出站连接。
• 更高的吞吐量 - 每个标准 V2 NAT 网关最多可提供 100 Gbps 的数据吞吐量，而标准 NAT 网关的吞吐量为 50 Gbps。
• 流日志支持 - 提供基于 IP 的流量信息以帮助监视和分析出站流量流。

若要详细了解如何部署标准 V2 NAT 网关，请参阅创建标准 V2 NAT 网关。

标准 V2 NAT 网关的关键限制

• 需要标准 V2 SKU 公共 IP 地址或前缀。 标准 V2 NAT 网关不支持标准 SKU 公共 IP。
• 标准 SKU NAT 网关无法升级到标准 V2 NAT 网关。 必须先创建标准 V2 SKU NAT 网关，并替换子网上的标准 SKU NAT 网关。
• 以下地区不支持标准 V2 NAT 网关：
  • 加拿大东部
  • 印度中部
  • 智利中部
  • 印度尼西亚中部
  • 以色列西北部
  • 马来西亚西部
  • 卡塔尔中部
  • 阿拉伯联合酋长国中部
• Terraform 尚不支持标准 V2 NAT 网关和标准 V2 公共 IP 部署。
• 标准 V2 NAT 网关不支持，并且无法附加到以下服务的委托子网：
  • Azure SQL 托管实例
  • Azure 容器实例
  • Azure Database for PostgreSQL - 灵活的服务器
  • Azure Database for MySQL - 灵活服务器
  • Azure Database for MySQL
  • Azure 数据工厂 - 数据移动
  • Microsoft Power Platform 服务
  • Azure 流分析
  • Azure Web 应用
  • Azure DNS 专用解析程序

标准 V2 NAT 网关的已知问题

• 将标准 V2 NAT 网关与一个子网关联时，使用负载均衡器出站规则的 IPv6 出站流量中断。 如果你同时需要 IPv4 和 IPv6 出站连接，请对 IPv4 和 IPv6 流量使用负载均衡器出站规则，或者对 IPv4 流量使用标准 NAT 网关并对 IPv6 流量使用负载均衡器出站规则。

• 将 StandardV2 NAT 网关附加到2025年4月之前创建的空子网，如果其中没有任何虚拟机，可能会导致虚拟网络进入故障状态。 若要将虚拟网络返回到成功状态，请删除 StandardV2 NAT 网关，创建虚拟机并将其添加到子网，然后重新附加 StandardV2 NAT 网关。

有关标准 V2 NAT 网关的已知问题和限制的详细信息，请参阅标准 V2 NAT 网关已知问题和限制。

标准 NAT 网关

标准 NAT 网关提供与 Internet 的出站连接，并且可以与同一虚拟网络中的子网相关联。 标准 NAT 网关在单个可用性区域外运行。

*图：单个可用性区域中的标准 NAT 网关。

Azure NAT 网关的优势

简单设置

使用 NAT 网关有意简化部署。 将 NAT 网关附加到子网和公共 IP 地址，并开始立即连接到 Internet。 无需任何维护和路由配置。 以后可以添加更多公共 IP 或子网，而不会影响现有配置。

以下步骤是有关如何设置 NAT 网关的示例：

• 创建非区域或区域 NAT 网关。

• 创建 NAT 网关。

• 分配公共 IP 地址或公共 IP 前缀。

• 将子网配置为使用 NAT 网关。

如有必要，请修改传输控制协议 (TCP) 空闲超时（可选）。 在更改默认值之前，请查看计时器。

安全性

NAT 网关基于零信任网络安全模型构建，默认情况下是安全的。 使用 NAT 网关时，子网中的专用实例不需要公共 IP 地址即可访问 Internet。 专用资源可以通过源网络地址转换 (SNAT) 到 NAT 网关的静态公共 IP 地址或前缀来访问虚拟网络外部的外部源。 可以使用公共 IP 前缀为出站连接提供一组连续的 IP。 可以基于此可预测 IP 列表配置目标防火墙规则。

复原

Azure NAT 网关是一种完全托管的分布式服务。 它不依赖于单个计算实例，例如虚拟机或单个物理网关设备。 NAT 网关始终具有多个容错域，可以承受多次故障的同时避免服务中断。 软件定义的网络使 NAT 网关具有高复原能力。

可伸缩性

NAT 网关会在创建后进行横向扩展。 不需要逐步增加或横向扩展操作。 Azure 将自动管理 NAT 网关的操作。

将 NAT 网关附加到子网，为该子网中的所有专用资源提供出站连接。 虚拟网络中的所有子网都可以使用同一 NAT 网关资源。 可以通过向 NAT 网关分配最多 16 个公共 IP 地址或 /28 大小的公共 IP 前缀来横向扩展出站连接。 当 NAT 网关关联到公共 IP 前缀时，它会自动扩展到出站所需的 IP 地址数。

性能

Azure NAT 网关是软件定义的网络服务。 每个 NAT 网关最多可以处理出站流量和返回流量的 50 Gbps 数据。

NAT 网关不会影响计算资源的网络带宽。 详细了解 NAT 网关的性能。

Azure NAT 网关基本信息

Azure NAT 网关为虚拟网络中的资源提供安全、可缩放的出站连接。 对于对 Internet 的出站访问，这是推荐方法。

出站连接

• NAT 网关是出站连接的建议方法。

  • 要从默认出站访问或负载均衡器出站规则迁移到 NAT 网关的出站访问，请参阅迁移到 Azure NAT 网关的出站访问。

• NAT 网关在子网级别提供出站连接。 NAT 网关替换子网的默认 Internet 目标以提供出站连接。

• NAT 网关不需要子网路由表上的任何路由配置。 NAT 网关附加到子网后，会立即提供出站连接。

• NAT 网关支持创建从虚拟网络到虚拟网络外部服务的流。 在活动流的响应中仅允许来自 Internet 的返回流量。 虚拟网络之外的服务无法通过 NAT 网关发起入站连接。

• NAT 网关优先于其他出站连接方法，包括负载均衡器、实例级公共 IP 地址和 Azure 防火墙。

• NAT 网关优先于虚拟网络中为所有新连接配置的其他显式出站方法。 使用其他显式出站连接方法的现有连接，流量不会下降。

• NAT 网关对 SNAT 端口耗尽的限制与默认出站访问和负载均衡器的出站规则不同。

• NAT 网关仅支持 TCP 和用户数据报协议 (UDP) 协议。 不支持 Internet 控制消息协议 (ICMP)。

  • 通过虚拟网络集成的 Azure 应用服务实例（Web 应用程序、REST API 和移动后端）。

• 子网具有系统默认路由，它将目标为 0.0.0.0/0 的流量自动路由到 Internet。 将 NAT 网关配置为子网后，子网中的虚拟机将使用 NAT 网关的公共 IP 与 Internet 通信。

• 在子网路由表中为 0.0.0.0/0 流量创建用户定义的路由 (UDR)，将重写此流量的默认 Internet 路径。 将 0.0.0.0/0 流量发送到虚拟设备或虚拟网络网关（VPN 网关和 ExpressRoute）的 UDR，因为下一个跃点类型会替代与 Internet 的 NAT 网关连接。

NAT 网关的工作原理

• 无路由表配置 - NAT 网关在子网级别运行。 附加后，NAT 网关提供出站连接，无需子网路由表上的路由配置。

  • UDR 到下一个跃点虚拟设备或虚拟网关 >> NAT 网关 >> 虚拟机上的实例级公共 IP 地址 >> 负载均衡器出站规则 >> 通往 Internet 的默认系统路由。

NAT 网关配置

• 同一虚拟网络中的多个子网可以使用不同的 NAT 网关或同一 NAT 网关。

• 多个 NAT 网关不能连接到单个子网。

• 一个 NAT 网关不能跨越多个虚拟网络。 但是，NAT 网关可用于在中心和分支模型中提供出站连接。 有关详细信息，请参阅 NAT 网关中心和分支教程。

• NAT 网关不能部署在网关子网中。

• NAT 网关资源最多可以使用 16 个 IP 地址，可以采用以下类型的任意组合：

• 多个 NAT 网关不能连接到单个子网。

• 一个 NAT 网关不能跨越多个虚拟网络。 但是，NAT 网关可用于在中心和分支模型中提供出站连接。 有关详细信息，请参阅 NAT 网关中心和分支教程。

• NAT 网关不能部署在包含 SQL 托管实例的网关子网或子网中。

• NAT 网关不能与 IPv6 公共 IP 地址或 IPv6 公共 IP 前缀相关联。

• NAT 网关可与使用出站规则的负载均衡器配合使用以提供双堆栈出站连接。 请参阅与 NAT 网关和负载均衡器建立双堆栈出站连接。

• NAT 网关适用于任何虚拟机网络接口或 IP 配置。 NAT 网关可以对网络接口上的多个 IP 配置进行 SNAT 操作。

• NAT 网关可以关联到中心虚拟网络中的 Azure 防火墙子网，并提供与中心对等互连的辐射虚拟网络的出站连接。 要了解详细信息，请参阅 Azure 防火墙与 NAT 网关的集成。

可用性区域

• 标准 SKU NAT 网关可在特定的可用性区域中创建，或不置于任何区域中。

• 创建区域隔离场景时，可以在特定区域中隔离标准 NAT 网关。 部署 NAT 网关后，无法更改区域选择。

• 默认情况下，标准 NAT 网关不置于任何区域中。 非区域 NAT 网关由 Azure 放置在区域中。

• 标准 V2 SKU NAT 网关是区域冗余网关，可跨一个地区中的所有可用性区域上运行，以在单个区域故障期间保持连接。

默认出站访问

• 为了提供与 Internet 的安全出站连接，建议启用专用子网，以防止创建默认的出站 IP，而是使用显式的出站连接方法，例如 NAT 网关。

• 如果没有显式的出站连接方法，某些服务在专用子网中的虚拟机上不起作用，例如 Windows 激活和 Windows 更新。 若要激活或更新虚拟机作系统（如 Windows），需要显式的出站连接方法，例如 NAT 网关。

• 要从默认出站访问或负载均衡器出站规则迁移到 NAT 网关的出站访问，请参阅迁移到 Azure NAT 网关的出站访问。

NAT 网关和基本资源

• 标准 NAT 网关与标准公共 IP 地址或公共 IP 前缀兼容。 标准 V2 NAT 网关仅与标准 V2 公共 IP 地址或公共 IP 前缀兼容。

• NAT 网关不能用于存在基本资源的子网。 基本 SKU 资源（例如基本负载均衡器或基本公共 IP）与 NAT 网关不兼容。 基本负载均衡器和基本公共 IP 可以升级到标准，以便与 NAT 网关一起使用。

  • 有关将负载均衡器从基本升级到标准的详细信息，请参阅升级公共基本 Azure 负载均衡器。

  • 有关如何将公共 IP 从基本 IP 升级到标准的详细信息，请参阅升级公共 IP 地址。

  • 有关如何将附加到虚拟机的基本公共 IP 从基本升级到标准的详细信息，请参阅升级附加到虚拟机的基本公共 IP。

连接超时和计时器

• NAT 网关为它无法识别为现有连接的任何连接流发送 TCP 重置 (RST) 数据包。 如果达到 NAT 网关空闲超时或连接提前关闭，则连接流不再存在。

• 当未存在的连接流上的流量发送方接收 NAT 网关 TCP RST 数据包时，连接不再可用。

• 连接关闭后，SNAT 端口将无法随时重新用于同一目标终结点。 NAT 网关将 SNAT 端口置于冷却状态，然后才能重复使用它们以连接到同一目标终结点。

• SNAT 端口重用 TCP 流量计时器的持续时间取决于连接的关闭方式。 若要了解详细信息，请参阅端口重复使用计时器。

• 使用的默认 TCP 空闲超时为 4 分钟，最大可提高到 120 分钟。 流中的任何活动也可以重置空闲计时器，包括 TCP Keepalive。 若要了解详细信息，请参阅空闲超时计时器。

• UDP 流量的空闲超时计时器为 4 分钟，且无法更改。

• UDP 流量有一个 65 秒的端口重用计时器，必须将端口抑制该时长后，才可将其重复用于同一目标终结点。

定价和服务级别协议 (SLA)

标准 NAT 网关和标准 V2 NAT 网关的价格相同。 有关 Azure NAT 网关定价，请参阅 NAT 网关定价。

有关 SLA 的信息，请参阅 Azure NAT 网关的 SLA。

后续步骤

• 有关创建和验证 NAT 网关的详细信息，请参阅快速入门：使用 Azure 门户创建 NAT 网关。

• 要查看有关 Azure NAT 网关的详细信息的视频，请参阅如何使用 Azure NAT 网关获取更好的出站连接。

• 有关 NAT 网关资源的详细信息，请参阅 NAT 网关资源。

• 通过以下模块详细了解 Azure NAT 网关：

  • Learn 模块：Azure VPN 网关简介。

• 有关 Azure NAT 网关的体系结构选项的详细信息，请参阅 Azure NAT 网关的 Azure 架构良好的框架评审。