Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i componenti chiave di una risorsa gateway NAT (Network Address Translation) che consente di fornire connettività in uscita altamente sicura, scalabile e resiliente. Le risorse del gateway NAT fanno parte del servizio Gateway NAT di Azure.
È possibile configurare un gateway NAT nella sottoscrizione tramite client supportati. Questi client includono il portale di Azure, le interfaccia della riga di comando di Azure, le Azure PowerShell, i modelli di Azure Resource Manager o le alternative appropriate.
SKU del Gateway NAT di Azure
Gateway NAT di Azure è disponibile in due SKU: StandardV2 e Standard.
Lo SKU StandardV2 è ridondante a livello di zona per impostazione predefinita. Estende automaticamente più zone di disponibilità in un'area per fornire connettività in uscita continua anche se una zona non è più disponibile.
Lo SKU Standard è una risorsa di zona. Viene distribuito in una zona di disponibilità specifica ed è resiliente all'interno di tale zona.
Un gateway NAT StandardV2 supporta indirizzi IP pubblici IPv4 e IPv6, mentre un gateway NAT Standard supporta solo indirizzi IP pubblici IPv4.
architettura Gateway NAT di Azure
Il gateway NAT di Azure usa SDN (Software Defined Networking) per operare come servizio distribuito completamente gestito. Per impostazione predefinita, un gateway NAT si estende su più domini di errore, consentendo di resistere a più errori senza alcun effetto sul servizio.
Gateway NAT di Azure fornisce SNAT (Source Network Address Translation) per le istanze private all'interno delle subnet associate della rete virtuale Azure. Gli indirizzi IP privati delle macchine virtuali usano SNAT per gli indirizzi IP pubblici statici di un gateway NAT per connettersi in uscita a Internet. Gateway NAT di Azure fornisce anche la traduzione degli indirizzi di rete di destinazione (DNAT) per i pacchetti di risposta solo per connessioni originate in uscita.
Quando un gateway NAT è configurato per una subnet all'interno di una rete virtuale, diventa il tipo di hop successivo predefinito della subnet per tutto il traffico in uscita diretto a Internet. Non sono necessarie configurazioni di routing aggiuntive. Un gateway NAT non fornisce connessioni in ingresso non richieste da Internet. DNAT viene eseguito solo per i pacchetti che arrivano come risposta a un pacchetto in uscita.
Subnet
È possibile collegare un gateway NAT StandardV2 o Standard a più subnet all'interno di una rete virtuale per fornire la connettività in uscita a Internet. Quando un gateway NAT è collegato a una subnet, presuppone la route predefinita a Internet. Il gateway NAT funge da tipo hop successivo per tutto il traffico in uscita destinato a Internet.
I gateway NAT presentano queste limitazioni per le configurazioni di subnet:
Ogni subnet non può avere più di un gateway NAT collegato.
Non è possibile collegare un gateway NAT alle subnet da reti virtuali diverse.
Non è possibile utilizzare un gateway NAT con una subnet del gateway. Una subnet del gateway è una subnet designata per un gateway VPN per inviare traffico crittografato tra una rete virtuale di Azure e un percorso locale.
Indirizzi IP pubblici statici
Un gateway NAT può essere associato a indirizzi IP pubblici statici o prefissi IP pubblici. Se si assegna un prefisso IP pubblico, viene usato l'intero prefisso IP pubblico. È possibile usare direttamente un prefisso IP pubblico o distribuire gli indirizzi IP pubblici del prefisso tra più risorse del gateway NAT. Il gateway NAT invia tutto il traffico all'intervallo di indirizzi IP associato al prefisso.
Si applicano queste condizioni:
Un gateway NAT StandardV2 supporta fino a 16 indirizzi IP pubblici IPv4 e 16 IPv6.
Non è possibile usare un gateway NAT Standard con indirizzi IP pubblici O prefissi IPv6. Un gateway NAT Standard supporta fino a 16 indirizzi IP pubblici IPv4.
Non è possibile usare un gateway NAT con indirizzi IP pubblici per lo SKU Basic.
| SKU di Gateway NAT di Azure | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Sì, supporta prefissi e indirizzi IP pubblici IPv4. | Sì, supporta prefissi e indirizzi IP pubblici IPv6. |
| Normale | Sì, supporta prefissi e indirizzi IP pubblici IPv4. | No, non supporta prefissi e indirizzi IP pubblici IPv6. |
Porte SNAT
L'inventario delle porte SNAT viene fornito dagli indirizzi IP pubblici e/o dai prefissi IP pubblici collegati a un gateway NAT. L'inventario delle porte SNAT è disponibile su richiesta per tutte le istanze all'interno di una subnet collegata al gateway NAT. Non è necessaria alcuna preallocazione delle porte SNAT per ogni istanza.
Per altre informazioni sulle porte SNAT e sul gateway NAT di Azure, vedere Source Network Address Translation (SNAT) con il gateway NAT di Azure.
Quando più subnet all'interno di una rete virtuale vengono collegate alla stessa risorsa gateway NAT, l'inventario delle porte SNAT fornito dal gateway NAT viene condiviso in tutte le subnet.
Le porte SNAT fungono da identificatori univoci per distinguere i flussi di connessione l'uno dall'altro. La stessa porta SNAT può essere usata per connettersi contemporaneamente a endpoint di destinazione differenti.
Diverse porte SNAT vengono usate per stabilire connessioni allo stesso endpoint di destinazione per distinguere i flussi di connessione l'uno dall'altro. Le porte SNAT riutilizzate per connettersi alla stessa destinazione vengono posizionate su un timer di raffreddamento per il riutilizzo prima che possano essere riutilizzate.
Un singolo gateway NAT può essere ridimensionato in base al numero di indirizzi IP pubblici associati. Ogni indirizzo IP pubblico per un gateway NAT fornisce 64.512 porte SNAT per stabilire connessioni in uscita. Un gateway NAT può aumentare fino a più di 1 milione di porte SNAT. TCP e UDP sono inventari delle porte SNAT separati e non sono correlati ai gateway NAT.
Zone di disponibilità
Gateway NAT di Azure ha due SKU: Standard e StandardV2. Per garantire che l'architettura sia resiliente ai guasti zonali, distribuire un gateway NAT StandardV2, perché si tratta di una risorsa ridondante a livello di zona. Quando una zona di disponibilità in un'area diventa inattiva, le nuove connessioni vengono propagate dalle zone integre rimanenti.
Un gateway NAT Standard è una risorsa di zona, il che significa che è possibile distribuirlo e usarlo fuori dalle singole zone di disponibilità. Se la zona associata a un gateway NAT Standard diventa inattiva, l'interruzione influisce sulla connettività in uscita per le subnet associate al gateway NAT.
Per altre informazioni sulle zone di disponibilità e sulle Gateway NAT di Azure, vedere Reliability in Gateway NAT di Azure.
Dopo aver distribuito un gateway NAT, non è possibile modificare la selezione della zona.
Protocolli
Un gateway NAT interagisce con le intestazioni IP e di trasporto dei flussi UDP e TCP. Un gateway NAT è indipendente dai payload a livello di applicazione. Altri protocolli IP, ad esempio ICMP, non sono supportati.
Reimpostazione TCP
Un pacchetto di reimpostazione TCP viene inviato quando un gateway NAT rileva il traffico su un flusso di connessione che non esiste. Il pacchetto di reimpostazione TCP indica all'endpoint ricevente che il flusso di connessione è stato rilasciato e qualsiasi comunicazione futura su questa stessa connessione TCP avrà esito negativo. La reimpostazione TCP è unidirezionale per un gateway NAT.
Il flusso di connessione potrebbe non esistere se:
La connessione ha raggiunto il timeout di inattività dopo un periodo di inattività nel flusso di connessione e la connessione viene eliminata automaticamente.
Il mittente, dal lato rete di Azure o dal lato Internet pubblico, ha inviato il traffico dopo l'eliminazione della connessione.
Il sistema invia un pacchetto di reimpostazione TCP solo quando rileva il traffico sul flusso di connessione eliminato. Questa operazione indica che un pacchetto di reimpostazione TCP potrebbe non essere inviato immediatamente dopo l'eliminazione di un flusso di connessione.
Il sistema invia un pacchetto di reimpostazione TCP in risposta al rilevamento del traffico su un flusso di connessione inesistente, indipendentemente dal fatto che il traffico provenga dal lato di rete Azure o dal lato Internet pubblico.
Timeout di inattività TCP
Un gateway NAT offre un intervallo di timeout di inattività configurabile da 4 minuti a 120 minuti per i protocolli TCP. I protocolli UDP hanno un timeout di inattività non configurabile di 4 minuti.
Quando una connessione diventa inattiva, il gateway NAT rimane sulla porta SNAT fino al timeout della connessione. Poiché i timer di timeout di inattività lunghi possono aumentare inutilmente la probabilità di esaurimento delle porte SNAT, non è consigliabile aumentare la durata del timeout di inattività TCP a più lungo del tempo predefinito di 4 minuti. Il timer inattiva non influisce su un flusso che non passa mai inattiva.
È possibile utilizzare i keepalive TCP per fornire un modello per aggiornare connessioni inattive di lunga durata e rilevare la vitalità degli endpoint. Per altre informazioni, vedere esempi di .NET. Le keepalive TCP vengono visualizzati come riconoscimenti duplicati (ACK) agli endpoint, hanno un carico ridotto e sono invisibili al livello dell'applicazione.
I timer di timeout di inattività UDP non sono configurabili. È consigliabile usare keepalives UDP per assicurarsi che la connessione non raggiunga il valore di timeout di inattività e per mantenere la connessione. A differenza delle connessioni TCP, un keepalive UDP abilitato su un lato della connessione si applica solo al flusso del traffico in una direzione. È necessario abilitare i keepalive UDP su entrambi i lati del flusso di traffico per mantenerlo attivo.
Timer
Timer di riutilizzo delle porte
I timer di riutilizzo delle porte determinano il tempo dopo la chiusura di una connessione durante il quale una porta di origine è in stato di sospensione prima che possa essere riutilizzata per una nuova connessione verso lo stesso endpoint di destinazione dal gateway NAT.
Nella tabella seguente vengono fornite informazioni su quando una porta TCP diventa disponibile per il riutilizzo allo stesso endpoint di destinazione dal gateway NAT.
| Timer | Descrizione | valore |
|---|---|---|
| TCP FIN | Dopo che un pacchetto TCP FIN chiude una connessione, un timer di 65 secondi mantiene la porta SNAT. La porta SNAT è disponibile per il riutilizzo al termine del timer. | 65 secondi |
| TCP RST | Dopo che un pacchetto TCP RST (reset) chiude una connessione, un timer di 16 secondi blocca la porta SNAT. Al termine del timer, la porta è disponibile per il riutilizzo. | 16 secondi |
| TCP semiaperto | Durante la creazione della connessione in cui un endpoint di connessione è in attesa del riconoscimento dall'altro endpoint, inizia un timer di 30 secondi. Se non viene rilevato alcun traffico, la connessione viene chiusa. Dopo la chiusura della connessione, la porta di origine è disponibile per il riutilizzo allo stesso endpoint di destinazione. | 30 secondi |
Per il traffico UDP, dopo la chiusura di una connessione, la porta è in attesa per 65 secondi prima che sia disponibile per il riutilizzo.
Timer di inattività
| Timer | Descrizione | valore |
|---|---|---|
| Timeout di inattività TCP | Le connessioni TCP possono andare inattive quando nessuno degli endpoint trasmette dati per un periodo di tempo prolungato. È possibile configurare un timer da 4 minuti (impostazione predefinita) a 120 minuti (2 ore) per timeout di una connessione inattiva. Il traffico nel flusso reimposta il timer di timeout di inattività. | Configurabile; Da 4 minuti (impostazione predefinita) a 120 minuti |
| Timeout di inattività UDP | Le connessioni UDP possono andare inattive quando gli endpoint non trasmettono dati per un periodo di tempo prolungato. I timer di timeout di inattività UDP sono di 4 minuti e non sono configurabili. Il traffico nel flusso reimposta il timer di timeout di inattività. | Non configurabile; 4 minuti |
Note
Queste impostazioni dei timer sono soggette a modifica. I valori forniti possono essere utili per la risoluzione dei problemi. Al momento non è consigliabile prendere una dipendenza da timer specifici.
Larghezza di banda
Ogni SKU di Gateway NAT di Azure presenta limiti di larghezza di banda:
Un gateway NAT StandardV2 supporta fino a 100 Gbps di velocità effettiva dei dati per ogni risorsa gateway NAT.
Un gateway NAT Standard offre 50 Gbps di velocità effettiva, suddivisa tra i dati in uscita e in ingresso (risposta). La velocità effettiva dei dati è limitata a 25 Gbps per i dati in uscita e 25 Gbps per i dati in ingresso (risposta) per ogni risorsa del gateway NAT Standard.
Prestazioni
I gateway NAT Standard e StandardV2 supportano ognuno fino a 50.000 connessioni simultanee per indirizzo IP pubblico allo stesso endpoint di destinazione tramite Internet per il traffico TCP e UDP.
Ognuno può supportare fino a 2 milioni di connessioni attive contemporaneamente. Il numero di connessioni in un gateway NAT viene conteggiato in base alla tupla a 5 (indirizzo IP di origine, porta di origine, indirizzo IP di destinazione, porta di destinazione e protocollo). Se un gateway NAT supera 2 milioni di connessioni, la disponibilità del percorso dati diminuisce e le nuove connessioni hanno esito negativo.
Un gateway NAT StandardV2 può elaborare fino a 10 milioni di pacchetti al secondo. Un gateway NAT Standard può elaborare fino a 5 milioni di pacchetti al secondo.
Limitazioni
Gli indirizzi IP pubblici Standard e Basic non sono compatibili con i gateway NAT StandardV2. Usare invece IP pubblici StandardV2.
Per creare un indirizzo IP pubblico StandardV2, vedere Creare un indirizzo IP pubblico Azure.
I bilanciatori di carico di base non sono compatibili con i gateway NAT. Usare i servizi di bilanciamento del carico Standard per i gateway NAT Standard e StandardV2.
Per aggiornare un servizio di bilanciamento del carico da Basic a Standard, vedere Upgrade un servizio di bilanciamento del carico pubblico Azure.
Gli INDIRIZZI IP pubblici di base non sono compatibili con i gateway NAT Standard. Usare invece IP pubblici Standard.
Per aggiornare un indirizzo IP pubblico da Basic a Standard, vedere Aggiornare un indirizzo IP pubblico Basic a Standard.
Gateway NAT di Azure non supporta ICMP.
La frammentazione IP non è disponibile per Gateway NAT di Azure.
Gateway NAT di Azure non supporta gli indirizzi IP pubblici con un tipo di configurazione di routing di Internet. Per visualizzare un elenco dei servizi di Azure che supportano Internet configurazione del routing in indirizzi IP pubblici, vedere Servizi supportati per il routing su Internet pubblico.
Gateway NAT di Azure non supporta gli indirizzi IP pubblici con la protezione DDoS abilitata. Per altre informazioni, vedere Limitazioni DDos.
Il gateway NAT di Azure non è supportato in un'architettura di rete hub virtuale protetto (vWAN).
Non è possibile aggiornare un gateway NAT Standard a un gateway NAT StandardV2. Per ottenere la resilienza della zona per le architetture che usano gateway NAT di zona, è necessario distribuire un gateway NAT StandardV2 per sostituire il gateway NAT SKU Standard.
Non è possibile usare indirizzi IP pubblici Standard con un gateway NAT StandardV2. È necessario modificare gli indirizzi IP per nuovi indirizzi IP pubblici StandardV2 per utilizzare un gateway NAT StandardV2.
Per limitazioni più note dei gateway NAT StandardV2, vedere Gateway NAT di Azure SKU.
Contenuti correlati
- Esaminare la panoramica Gateway NAT di Azure.
- Informazioni su metriche e avvisi per Gateway NAT di Azure.
- Scopri come risolvere i problemi di Gateway NAT di Azure.