Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los componentes clave de un recurso de puerta de enlace de traducción de direcciones de red (NAT) que permiten proporcionar conectividad de salida altamente segura, escalable y resistente. Los recursos de puerta de enlace NAT forman parte del servicio Azure NAT Gateway.
Puede configurar una puerta de enlace NAT en la suscripción a través de clientes compatibles. Estos clientes incluyen el portal de Azure, el CLI de Azure, el Azure PowerShell, las plantillas de Azure Resource Manager o las alternativas adecuadas.
SKUs de Azure NAT Gateway
Azure NAT Gateway está disponible en dos SKU: StandardV2 y Standard.
La SKU StandardV2 es redundante en zona por defecto. Abarca automáticamente varias zonas de disponibilidad en una región para proporcionar conectividad de salida continua incluso si una zona deja de estar disponible.
La SKU estándar es un recurso zonal. Se implementa en una zona de disponibilidad específica y es resistente dentro de esa zona.
Una puerta de enlace NAT standardV2 admite direcciones IP públicas IPv4 e IPv6, mientras que una puerta de enlace NAT estándar solo admite direcciones IP públicas IPv4.
arquitectura de Azure NAT Gateway
NAT Gateway de Azure usa redes definidas por software para funcionar como un servicio totalmente administrado y distribuido. Por diseño, una puerta de enlace NAT abarca varios dominios de error, lo que le permite resistir varios errores sin ningún efecto en el servicio.
Azure NAT Gateway proporciona traducción de direcciones de red de origen (SNAT) para instancias privadas dentro de las subredes asociadas de la red virtual de Azure. Las direcciones IP privadas de las máquinas virtuales usan SNAT para las direcciones IP públicas estáticas de una puerta de enlace NAT para conectarse de salida a Internet. Azure NAT Gateway también proporciona traducción de direcciones de red de destino (DNAT) para paquetes de respuesta solo a una conexión de origen saliente.
Cuando una puerta de enlace NAT está configurada en una subred dentro de una red virtual, se convierte en el tipo de próximo salto predeterminado de la subred para todo el tráfico saliente dirigido a Internet. No se requieren configuraciones de enrutamiento adicionales. Una puerta de enlace NAT no proporciona conexiones entrantes no solicitadas desde Internet. DNAT solo se realiza para paquetes que llegan como respuesta a un paquete saliente.
Subredes
Puede adjuntar una puerta de enlace NAT StandardV2 o Standard a varias subredes dentro de una red virtual para proporcionar conectividad saliente a Internet. Cuando una puerta de enlace NAT está conectada a una subred, supone la ruta predeterminada a Internet. La puerta de enlace NAT actúa como tipo de próximo salto para todo el tráfico saliente que se dirige a Internet.
Las puertas de enlace NAT tienen estas limitaciones para las configuraciones de subred:
Cada subred no puede tener más de una puerta de enlace NAT conectada.
No se puede conectar una puerta de enlace NAT a subredes de diferentes redes virtuales.
No se puede usar una puerta de enlace NAT con una subred de puerta de enlace. Una subred de puerta de enlace es una subred designada para que una puerta de enlace de VPN envíe tráfico cifrado entre una red virtual de Azure y una ubicación local.
Direcciones IP públicas estáticas
Un gateway NAT se puede asociar a direcciones IP públicas estáticas o prefijos de dirección IP pública. Si asigna un prefijo de IP pública, se usa todo el prefijo. Puede usar un prefijo de IP pública directamente o distribuir las direcciones IP públicas del prefijo entre varios recursos de puerta de enlace de NAT. La puerta de enlace NAT envía todo el tráfico al rango de direcciones IP del prefijo.
Estas condiciones se aplican:
Una puerta de enlace NAT standardV2 admite hasta 16 direcciones IP públicas IPv4 y 16 IPv6.
No puede usar una puerta de enlace NAT estándar con direcciones IP públicas IPv6 o prefijos. Una puerta de enlace NAT estándar admite hasta 16 direcciones IP públicas IPv4.
No puede usar una puerta de enlace NAT con direcciones IP públicas para la SKU básica.
| SKU de Puerta de enlace NAT de Azure | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Sí, admite direcciones IP públicas IPv4 y prefijos. | Sí, admite direcciones IP públicas IPv6 y prefijos. |
| Estándar | Sí, admite direcciones IP públicas IPv4 y prefijos. | No, no admite direcciones IP públicas IPv6 ni prefijos. |
Puertos SNAT
El inventario de puertos SNAT lo proporcionan las direcciones IP públicas, los prefijos IP públicos o ambos asociados a una NAT Gateway. El inventario de puertos SNAT está disponible a petición para todas las instancias de una subred conectada a la puerta de enlace NAT. No se requiere ninguna asignación previa de puertos SNAT por instancia.
Para obtener más información sobre los puertos SNAT y Azure NAT Gateway, consulte Traducción de direcciones de red de origen (SNAT) con Azure NAT Gateway.
Cuando hay varias subredes dentro de una red virtual conectadas al mismo recurso de puerta de enlace NAT, el inventario de puertos SNAT que proporciona la puerta de enlace NAT se comparte en todas las subredes.
Los puertos SNAT sirven como identificadores únicos para distinguir los flujos de conexión entre sí. El mismo puerto SNAT se puede usar para conectarse a distintos puntos de conexión de destino al mismo tiempo.
Los distintos puertos SNAT se usan para establecer conexiones con el mismo punto de conexión de destino para distinguir los flujos de conexión entre sí. Los puertos SNAT que se reutilizan para conectarse al mismo destino se colocan en un temporizador de enfriamiento antes de que se puedan reutilizar.
Una sola puerta de enlace NAT puede escalar por el número de direcciones IP públicas asociadas a ella. Cada dirección IP pública de una puerta de enlace NAT proporciona 64 512 puertos SNAT para establecer conexiones salientes. Una puerta de enlace NAT puede aumentar hasta más de un millón de puertos SNAT. TCP y UDP son inventarios de puertos SNAT independientes y no están relacionados con las puertas de enlace NAT.
Zonas de disponibilidad
Azure NAT Gateway tiene dos SKU: Standard y StandardV2. Para asegurarse de que la arquitectura es resistente a errores zonales, implemente una puerta de enlace NAT standardV2, ya que es un recurso con redundancia de zona. Cuando una zona de disponibilidad de una región deja de funcionar, las nuevas conexiones fluyen desde las zonas correctas restantes.
Una puerta de enlace NAT estándar es un recurso zonal, lo que significa que puede implementarla y operarla fuera de zonas de disponibilidad individuales. Si la zona asociada a una puerta de enlace NAT estándar deja de funcionar, la interrupción afecta a la conectividad saliente de las subredes asociadas a la puerta de enlace NAT.
Para obtener más información sobre las zonas de disponibilidad y los Azure NAT Gateway, consulte Reliability en Azure NAT Gateway.
Después de implementar una puerta de enlace NAT, no puede cambiar la selección de zona.
Protocolos
Una puerta de enlace NAT interactúa con los encabezados IP y los encabezados de transporte IP de los flujos TCP y UDP. Una puerta de enlace NAT es independiente de las cargas de capa de aplicación. No se admiten otros protocolos IP, como ICMP.
Restablecimiento de TCP
Se envía un paquete de restablecimiento de TCP cuando una puerta de enlace NAT detecta tráfico en un flujo de conexión que no existe. El paquete de restablecimiento TCP indica al punto de conexión receptor que se ha liberado el flujo de conexión y se producirá un error en cualquier comunicación futura en esta misma conexión TCP. El restablecimiento de TCP es unidireccional para una puerta de enlace NAT.
Es posible que el flujo de conexión no exista si:
La conexión alcanzó el tiempo de espera por inactividad, y se elimina sin notificación.
El emisor, ya sea del lado de red de Azure o del lado de Internet público, envió tráfico después de anularse la conexión.
El sistema envía un paquete de restablecimiento TCP solo cuando detecta el tráfico en el flujo de conexión descartado. Esta operación significa que es posible que un paquete de restablecimiento TCP no se envíe inmediatamente, después de que caiga un flujo de conexión.
El sistema envía un paquete de restablecimiento TCP en respuesta a la detección del tráfico en un flujo de conexión inexistente, independientemente de si el tráfico se origina desde el lado de red Azure o el lado público de Internet.
Tiempo de espera de inactividad de TCP
Una puerta de enlace NAT proporciona un intervalo de tiempo de espera de inactividad configurable de 4 a 120 minutos para los protocolos TCP. Los protocolos UDP tienen un tiempo de espera de inactividad no configurable de 4 minutos.
Cuando una conexión deja de estar inactiva, la puerta de enlace NAT se mantiene en el puerto SNAT hasta que se agota el tiempo de espera de la conexión. Dado que los temporizadores de tiempo de espera de inactividad largos pueden aumentar innecesariamente la probabilidad de agotamiento de puertos SNAT, no se recomienda aumentar la duración del tiempo de espera de inactividad de TCP a más tiempo que el tiempo de espera predeterminado de 4 minutos. El temporizador de inactividad no afecta a un flujo que nunca se queda inactivo.
Puede usar keepalives de TCP para proporcionar un patrón de actualización de conexiones inactivas largas y detección de vida del punto de conexión. Para obtener más información, vea these .NET examples. Los keepalives TCP aparecen como confirmaciones duplicadas (ACK) para los puntos de conexión, tienen una sobrecarga baja y son invisibles para la capa de aplicación.
Los temporizadores de inactividad de UDP no se pueden configurar. Debe usar paquetes de mantenimiento UDP para garantizar que la conexión no alcance el valor de tiempo de espera por inactividad, y así mantener la conexión. A diferencia de las conexiones TCP, un keepalive UDP habilitado en un lado de la conexión solo se aplica al flujo de tráfico en una dirección. Debe habilitar los keepalives UDP en ambos lados del flujo de tráfico para mantenerlo activo.
Temporizadores
Temporizadores de reutilización de puertos
Los temporizadores de reutilización de puertos determinan la cantidad de tiempo después de que una conexión se cierre que un puerto de origen está retenido antes de que pueda ser reutilizado para una nueva conexión que vaya al mismo punto de destino mediante la puerta de enlace NAT.
En la tabla siguiente se proporciona información sobre cuándo un puerto TCP está disponible para reutilizarlo en el mismo punto de conexión de destino mediante la puerta de enlace NAT.
| Timer | Descripción | Value |
|---|---|---|
| TCP FIN | Una vez que un paquete TCP FIN cierra una conexión, un temporizador de 65 segundos mantiene presionado el puerto SNAT. El puerto SNAT está disponible para su reutilización después de que finalice el temporizador. | 65 segundos |
| TCP RST | Una vez que un paquete TCP RST (restablecimiento) cierra una conexión, un temporizador de 16 segundos bloquea el puerto SNAT. Cuando finaliza el temporizador, el puerto está disponible para su reutilización. | 16 segundos |
| TCP semiabierto | Durante el establecimiento de la conexión en el que un punto de conexión está esperando la confirmación del otro punto de conexión, comienza un temporizador de 30 segundos. Si no se detecta tráfico, se cierra la conexión. Una vez que se cierra la conexión, el puerto de origen está disponible para su reutilización en el mismo punto de conexión de destino. | 30 segundos |
Para el tráfico UDP, después de cerrar una conexión, el puerto está en espera durante 65 segundos antes de que esté disponible para su reutilización.
Temporizadores de tiempo de espera de inactividad
| Timer | Descripción | Value |
|---|---|---|
| Tiempo de espera de inactividad de TCP | Las conexiones TCP pueden estar inactivas cuando ninguno de los puntos de conexión transmite ningún dato durante un período prolongado de tiempo. Puede configurar un temporizador de 4 minutos (valor predeterminado) a 120 minutos (2 horas) para agotar el tiempo de espera de una conexión inactiva. El tráfico del flujo restablece el temporizador de tiempo de espera de inactividad. | Configurable; 4 minutos (valor predeterminado) a 120 minutos |
| Tiempo de espera de inactividad UDP | Las conexiones UDP pueden estar inactivas cuando los puntos de conexión no transmiten datos durante un período prolongado de tiempo. Los temporizadores de tiempo de espera de inactividad UDP son de 4 minutos y no son configurables. El tráfico del flujo restablece el temporizador de tiempo de espera de inactividad. | No configurable; 4 minutos |
Nota:
Esta configuración del temporizador está sujeta a cambios. Los valores proporcionados pueden ayudar con la solución de problemas. No debe depender de temporizadores específicos en este momento.
Ancho de banda
Cada SKU de Azure NAT Gateway tiene límites de ancho de banda:
Una puerta de enlace NAT standardV2 admite hasta 100 Gbps de rendimiento de datos por recurso de puerta de enlace NAT.
Una puerta de enlace NAT estándar proporciona 50 Gbps de rendimiento, que se divide entre los datos salientes y entrantes (respuesta). El rendimiento de los datos se limita a una velocidad de 25 Gbps para los datos salientes y 25 Gbps para los datos entrantes (respuesta) por recurso de NAT Gateway Standard.
Rendimiento
Las NAT gateways Estándar y StandardV2 admiten hasta 50 000 conexiones simultáneas por dirección IP pública al mismo punto de conexión de destino a través de Internet para el tráfico TCP y UDP.
Cada uno puede admitir hasta 2 millones de conexiones activas simultáneamente. El número de conexiones en una puerta de enlace NAT se cuenta en función de la tupla de 5 (dirección IP de origen, puerto de origen, dirección IP de destino, puerto de destino y protocolo). Si una puerta de enlace NAT supera los 2 millones de conexiones, disminuye la disponibilidad del camino de datos y fallan las nuevas conexiones.
Una puerta de enlace NAT standardV2 puede procesar hasta 10 millones de paquetes por segundo. Una puerta de enlace NAT estándar puede procesar hasta 5 millones de paquetes por segundo.
Limitaciones
Las direcciones IP públicas estándar y básicas no son compatibles con las puertas de enlace NAT standardV2. En su lugar, use direcciones IP públicas de StandardV2.
Para crear una dirección IP pública standardV2, consulte Crear una dirección IP pública Azure.
Los equilibradores de carga básicos no son compatibles con las puertas de enlace NAT. Use equilibradores de carga estándar para NAT Gateways Standard y StandardV2.
Para actualizar un equilibrador de carga de Básico a Estándar, consulte Upgrade un equilibrador de carga público Azure.
Las direcciones IP públicas básicas no son compatibles con las puertas de enlace NAT estándar. En su lugar, use direcciones IP públicas estándar.
Para actualizar una dirección IP pública de Básico a Estándar, consulte Actualización de una dirección IP pública básica a Estándar.
Azure NAT Gateway no admite ICMP.
La fragmentación de IP no está disponible para Azure NAT Gateway.
Azure NAT Gateway no admite direcciones IP públicas con un tipo de configuración de enrutamiento de Internet. Para ver una lista de servicios de Azure que admiten la Internet configuración de enrutamiento en direcciones IP públicas, consulte Servicios compatibles para el enrutamiento a través de la red pública de Internet.
Azure NAT Gateway no admite direcciones IP públicas con la protección contra DDoS habilitada. Para obtener más información, consulte Limitaciones de DDoS.
NAT Gateway de Azure no se admite en una arquitectura de red de centro virtual protegido (vWAN).
No se puede actualizar una puerta de enlace NAT estándar a una puerta de enlace NAT standardV2. Para lograr la resistencia de zona para las arquitecturas que usan puertas de enlace NAT zonales, debe implementar una puerta de enlace NAT standardV2 para reemplazar la puerta de enlace NAT de SKU estándar.
No puede usar direcciones IP públicas estándar con una puerta de enlace NAT de StandardV2. Debe reasignar a las nuevas direcciones IP públicas de StandardV2 para utilizar una puerta de enlace NAT de StandardV2.
Para obtener más limitaciones conocidas de las puertas de enlace NAT de StandardV2, consulte Azure NAT Gateway SKUs.
Contenido relacionado
- Revise la información general del Azure NAT Gateway.
- Obtenga información sobre métricas y alertas para Azure NAT Gateway.
- Aprenda a solucionar problemas de Azure NAT Gateway.