Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les composants clés d’une ressource de passerelle NAT (Network Address Translation) qui lui permettent de fournir une connectivité sortante hautement sécurisée, évolutive et résiliente. Les ressources de passerelle NAT font partie du service Azure NAT Gateway.
Vous pouvez configurer une passerelle NAT dans votre abonnement par le biais de clients pris en charge. Ces clients incluent le portail Azure, les Azure CLI, les Azure PowerShell, les modèles de Azure Resource Manager ou les alternatives appropriées.
Références SKU pour les passerelles NAT Azure
Azure NAT Gateway est disponible dans deux références SKU : StandardV2 et Standard.
La référence SKU StandardV2 est redondante interzone par défaut. Il s’étend automatiquement sur plusieurs zones de disponibilité dans une région pour fournir une connectivité sortante continue même si une zone devient indisponible.
La référence SKU Standard est une ressource zonale. Il est déployé dans une zone de disponibilité spécifique et est résilient dans cette zone.
Une passerelle NAT StandardV2 prend en charge les adresses IP publiques IPv4 et IPv6, tandis qu’une passerelle NAT standard prend uniquement en charge les adresses IP publiques IPv4.
architecture de Azure NAT Gateway
NAT Gateway d’Azure utilise la mise en réseau définie par logiciel pour fonctionner en tant que service entièrement géré et distribué. Par conception, une passerelle NAT s’étend sur plusieurs domaines d’erreur, ce qui lui permet de résister à plusieurs défaillances sans aucun effet sur le service.
Azure NAT Gateway fournit la traduction d’adresses réseau source (SNAT) pour les instances privées au sein des sous-réseaux associés de votre réseau virtuel Azure. Les adresses IP privées des machines virtuelles utilisent SNAT pour les adresses IP publiques statiques d'une passerelle NAT afin d'établir une connexion sortante vers Internet. Azure NAT Gateway fournit également la traduction d’adresses réseau de destination (DNAT) uniquement pour les paquets de réponse des connexions initiées vers l'extérieur.
Lorsqu’une passerelle NAT est configurée sur un sous-réseau au sein d’un réseau virtuel, elle devient le type de tronçon suivant par défaut du sous-réseau pour tout le trafic sortant dirigé vers Internet. Aucune configuration de routage supplémentaire n’est requise. Une passerelle NAT ne fournit pas de connexions entrantes non sollicitées à partir d’Internet. DNAT est effectuée uniquement pour les paquets qui arrivent en réponse à un paquet sortant.
Sous-réseaux
Vous pouvez attacher une passerelle NAT StandardV2 ou Standard à plusieurs sous-réseaux au sein d’un réseau virtuel pour fournir une connectivité sortante à Internet. Lorsqu’une passerelle NAT est attachée à un sous-réseau, elle suppose l’itinéraire par défaut vers Internet. La passerelle NAT sert de type d'étape suivante pour le trafic sortant vers Internet.
Les passerelles NAT présentent ces limitations pour les configurations de sous-réseau :
Chaque sous-réseau ne peut pas avoir plusieurs passerelles NAT attachées.
Vous ne pouvez pas attacher une passerelle NAT à des sous-réseaux provenant de différents réseaux virtuels.
Vous ne pouvez pas utiliser une passerelle NAT avec un sous-réseau de passerelle. Un sous-réseau de passerelle est un sous-réseau désigné pour une passerelle VPN afin d’envoyer le trafic chiffré entre un réseau virtuel Azure et un emplacement local.
Adresses IP publiques statiques
Une passerelle NAT peut être associée à des adresses IP publiques statiques ou à des préfixes d’adresses IP publiques. Si vous affectez un préfixe IP public, le préfixe IP public entier est utilisé. Vous pouvez utiliser directement un préfixe d’adresse IP publique ou distribuer les adresses IP publiques du préfixe entre plusieurs ressources de passerelle NAT. La passerelle NAT envoie tout le trafic à la plage d’adresses IP du préfixe.
Ces conditions s’appliquent :
Une passerelle NAT StandardV2 prend en charge jusqu’à 16 adresses IP publiques IPv4 et 16 IPv6.
Vous ne pouvez pas utiliser une passerelle NAT Standard avec des adresses IP publiques IPv6 ou des préfixes. Une passerelle NAT standard prend en charge jusqu’à 16 adresses IP publiques IPv4.
Vous ne pouvez pas utiliser une passerelle NAT avec des adresses IP publiques pour la référence SKU de base.
| référence SKU Azure NAT Gateway | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Oui, prend en charge les adresses IP publiques IPv4 et les préfixes. | Oui, prend en charge les adresses IP publiques IPv6 et les préfixes. |
| Norme | Oui, prend en charge les adresses IP publiques IPv4 et les préfixes. | Non, ne prend pas en charge les adresses IP publiques IPv6 et les préfixes. |
Ports SNAT
L’inventaire des ports SNAT est fourni par les adresses IP publiques, les préfixes d’adresses IP publiques ou les deux attachés à une passerelle NAT. L’inventaire des ports SNAT est disponible à la demande pour toutes les instances d’un sous-réseau attaché à la passerelle NAT. Aucune préallocation des ports SNAT par instance n’est requise.
Pour plus d’informations sur les ports SNAT et la passerelle NAT Azure, consultez SNAT (Source Network Address Translation) avec Azure NAT Gateway .
Lorsque plusieurs sous-réseaux au sein d’un réseau virtuel sont attachés à la même ressource de passerelle NAT, l’inventaire des ports SNAT fourni par la passerelle NAT est partagé entre tous les sous-réseaux.
Les ports SNAT servent d’identificateurs uniques pour distinguer les flux de connexion les uns des autres. Le même port SNAT peut être utilisé pour se connecter à différents points de terminaison de destination en même temps.
Différents ports SNAT sont utilisés pour établir des connexions au même point de terminaison de destination afin de distinguer les flux de connexion les uns des autres. Les ports SNAT réutilisés pour se connecter à la même destination sont placés sur un minuteur de refroidissement de réutilisation avant de pouvoir être réutilisés.
Une passerelle NAT unique peut être mise à l’échelle par le nombre d’adresses IP publiques associées. Chaque adresse IP publique pour une passerelle NAT fournit 64 512 ports SNAT pour établir des connexions sortantes. Une passerelle NAT peut monter en puissance jusqu’à plus de 1 million de ports SNAT. TCP et UDP sont des inventaires de ports SNAT distincts et ne sont pas liés aux passerelles NAT.
Zones de disponibilité
Azure NAT Gateway a deux références SKU : Standard et StandardV2. Pour vous assurer que votre architecture est résiliente aux défaillances zonales, déployez une passerelle NAT StandardV2, car il s’agit d’une ressource redondante interzone. Lorsqu’une zone de disponibilité d’une région tombe en panne, les nouvelles connexions proviennent des zones saines restantes.
Une passerelle NAT standard est une ressource zonale, ce qui signifie que vous pouvez la déployer et l’exploiter à partir de zones de disponibilité individuelles. Si la zone associée à une passerelle NAT standard tombe en panne, la panne affecte la connectivité sortante pour les sous-réseaux associés à la passerelle NAT.
Pour plus d’informations sur les zones de disponibilité et les Azure NAT Gateway, consultez Reliability in Azure NAT Gateway.
Après avoir déployé une passerelle NAT, vous ne pouvez pas modifier la sélection de zone.
Protocoles
Une passerelle NAT interagit avec les en-têtes de transport IP et IP des flux UDP et TCP. Une passerelle NAT est indépendante des charges utiles de couche application. D’autres protocoles IP, tels que ICMP, ne sont pas pris en charge.
Réinitialisation du protocole TCP
Un paquet de réinitialisation TCP est envoyé lorsqu’une passerelle NAT détecte le trafic sur un flux de connexion qui n’existe pas. Le paquet de réinitialisation TCP indique au point de terminaison de réception que le flux de connexion a été libéré et toute communication future sur cette même connexion TCP échoue. La réinitialisation TCP est unidirectionnelle pour une passerelle NAT.
Le flux de connexion peut ne pas exister si :
La connexion a atteint le délai d’inactivité après une période d’inactivité sur le flux de connexion, et la connexion est supprimée en mode silencieux.
L’expéditeur, côté réseau Azure ou côté Internet public, a envoyé le trafic après la suppression de la connexion.
Le système envoie un paquet de réinitialisation TCP uniquement lorsqu’il détecte le trafic sur le flux de connexion supprimé. Cette opération signifie qu’un paquet de réinitialisation TCP peut ne pas être envoyé immédiatement après la suppression d’un flux de connexion.
Le système envoie un paquet de réinitialisation TCP en réponse à la détection du trafic sur un flux de connexion inexistant, que le trafic provient du côté réseau Azure ou de l’internet public.
Délai d’inactivité TCP
Une passerelle NAT fournit une plage de délai d’inactivité configurable de 4 minutes à 120 minutes pour les protocoles TCP. Les protocoles UDP ont un délai d’inactivité non configuré de 4 minutes.
Lorsqu’une connexion est inactive, la passerelle NAT se maintient sur le port SNAT jusqu’à ce que la connexion expire. Étant donné que les minuteurs de délai d’inactivité longs peuvent augmenter inutilement la probabilité d’épuisement des ports SNAT, nous vous déconseillons d’augmenter la durée du délai d’inactivité TCP pour plus de 4 minutes par défaut. Le minuteur d’inactivité n’affecte pas un flux qui n’est jamais inactif.
Vous pouvez utiliser les keepalives TCP pour fournir un modèle d’actualisation des connexions inactives longues et de la détection de la durée de vie du point de terminaison. Pour plus d’informations, consultez ces exemples .NET. Les keepalives TCP apparaissent comme des acusés de réception en double (ACK) aux points de terminaison, imposent une faible surcharge et sont invisibles pour la couche applicative.
Les minuteurs de délai d’inactivité UDP ne sont pas configurables. Vous devez utiliser les keepalives UDP pour vous assurer que la connexion n’atteint pas la valeur du délai d’inactivité et pour maintenir la connexion. Contrairement aux connexions TCP, un keepalive UDP activé sur un côté de la connexion s’applique uniquement au flux de trafic dans une direction. Vous devez activer les keepalives UDP sur les deux côtés du flux de trafic pour le maintenir actif.
Minuteurs
Minuteurs de réutilisation de port
Les temporisateurs de réutilisation des ports déterminent la durée après la fermeture d'une connexion pendant laquelle un port source est en période d'attente avant de pouvoir être réutilisé pour une nouvelle connexion vers le même point de terminaison par la passerelle NAT.
Le tableau suivant fournit des informations sur le moment où un port TCP devient disponible pour la réutilisation vers le même point de terminaison de destination par la passerelle NAT.
| Minuterie | Description | Valeur |
|---|---|---|
| TCP FIN | Une fois qu’un paquet TCP FIN ferme une connexion, un minuteur de 65 secondes maintient le port SNAT actif. Le port SNAT est disponible pour la réutilisation après la fin du minuteur. | 65 secondes |
| TCP RST | Une fois qu’un paquet TCP RST (réinitialisation) ferme une connexion, un minuteur de 16 secondes conserve le port SNAT. Une fois le minuteur arrivé à son terme, le port peut être réutilisé. | 16 secondes |
| TCP demi-ouvert | Lors de l'établissement de la connexion, lorsque l'un des points de terminaison attend l'accusé de réception de l'autre, un minuteur de 30 secondes démarre. Si aucun trafic n’est détecté, la connexion se ferme. Une fois la connexion fermée, le port source est disponible pour la réutilisation vers le même point de terminaison de destination. | 30 secondes |
Pour le trafic UDP, après la fermeture d’une connexion, le port est en attente pendant 65 secondes avant qu’il soit disponible pour la réutilisation.
Minuterie d’inactivité
| Minuterie | Description | Valeur |
|---|---|---|
| Délai d’inactivité TCP | Les connexions TCP peuvent être inactives quand aucun point de terminaison ne transmet de données pendant une période prolongée. Vous pouvez configurer un minuteur de 4 minutes (par défaut) à 120 minutes (2 heures) pour expirer une connexion inactive. Le trafic sur le flux réinitialise le minuteur de délai d’inactivité. | Configurable; 4 minutes (par défaut) à 120 minutes |
| Délai d’inactivité UDP | Les connexions UDP peuvent être inactives lorsque les points de terminaison ne transmettent pas de données pendant une période prolongée. Les minuteurs de délai d’inactivité UDP sont de 4 minutes et ne sont pas configurables. Le trafic sur le flux réinitialise le minuteur de délai d’inactivité. | Non configurable ; 4 minutes |
Remarque
Ces paramètres de minuteur sont susceptibles d’être modifiés. Les valeurs fournies peuvent vous aider à résoudre les problèmes. Vous ne devez pas prendre de dépendance sur des minuteurs spécifiques pour l’instant.
Bande passante
Chaque référence SKU de Azure NAT Gateway a des limites de bande passante :
Une passerelle NAT StandardV2 prend en charge jusqu’à 100 Gbits/s de débit de données par ressource de passerelle NAT.
Une passerelle NAT standard fournit 50 Gbits/s de débit, qui est fractionnée entre les données sortantes et entrantes (réponse). Le débit des données est limité à 25 Gbits/s pour les données sortantes et à 25 Gbits/s pour les données entrantes (réponse) via une ressource de passerelle NAT Standard.
Performances
Les passerelles NAT Standard et StandardV2 prennent chacune en charge jusqu’à 50 000 connexions simultanées par adresse IP publique au même point de terminaison de destination sur Internet pour le trafic TCP et UDP.
Chacun peut prendre en charge jusqu’à 2 millions de connexions actives simultanément. Le nombre de connexions sur une passerelle NAT est compté en fonction du quintuplet (adresse IP source, port source, adresse IP de destination, port de destination et protocole). Si une passerelle NAT dépasse 2 millions de connexions, la disponibilité du chemin de données diminue et les nouvelles connexions échouent.
Une passerelle NAT StandardV2 peut traiter jusqu’à 10 millions de paquets par seconde. Une passerelle NAT standard peut traiter jusqu’à 5 millions de paquets par seconde.
Limites
Les adresses IP publiques standard et de base ne sont pas compatibles avec les passerelles NAT StandardV2. Utilisez plutôt des adresses IP publiques StandardV2.
Pour créer une adresse IP publique StandardV2, consultez Créer une adresse IP publique Azure.
Les équilibreurs de charge de base ne sont pas compatibles avec les passerelles NAT. Utilisez des équilibreurs de charge standard pour les passerelles NAT Standard et StandardV2.
Pour mettre à niveau un équilibreur de charge de Basic vers Standard, consultez Upgrader un équilibreur de charge public Azure.
Les adresses IP publiques de base ne sont pas compatibles avec les passerelles NAT standard. Utilisez plutôt des adresses IP publiques Standard.
Pour mettre à niveau une adresse IP publique de Basic vers Standard, consultez Mettre à niveau une adresse IP publique de base vers Standard.
Azure NAT Gateway ne prend pas en charge ICMP.
La fragmentation IP n'est pas disponible pour Azure NAT Gateway.
Azure NAT Gateway ne prend pas en charge les adresses IP publiques avec un type de configuration de routage de Internet. Pour afficher la liste des services Azure qui prennent en charge la configuration de routage Internet sur les adresses IP publiques, consultez Services pris en charge pour le routage via l’Internet public.
Azure NAT Gateway ne prend pas en charge les adresses IP publiques avec la protection DDoS activée. Pour plus d’informations, consultez Limitations DDoS.
NAT Gateway Azure n’est pas prise en charge dans une architecture de réseau de hub virtuel sécurisé (vWAN).
Vous ne pouvez pas mettre à niveau une passerelle NAT Standard vers une passerelle NAT StandardV2. Pour obtenir une résilience de zone pour les architectures qui utilisent des passerelles NAT zonales, vous devez déployer une passerelle NAT StandardV2 pour remplacer la passerelle NAT de référence SKU Standard.
Vous ne pouvez pas utiliser d’adresses IP publiques Standard avec une passerelle NAT StandardV2. Vous devez re-IP aux nouvelles adresses IP publiques StandardV2 pour utiliser une passerelle NAT StandardV2.
Pour connaître les limitations plus connues des passerelles NAT StandardV2, consultez Azure NAT Gateway références SKU.
Contenu connexe
- Passez en revue la vue d’ensemble Azure NAT Gateway.
- Découvrez métriques et alertes pour Azure NAT Gateway.
- Découvrez comment dépanner Azure NAT Gateway.