Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de belangrijkste onderdelen van een NAT-gatewayresource (Network Address Translation) beschreven waarmee deze zeer veilige, schaalbare en flexibele uitgaande connectiviteit kan bieden. NAT-gatewaybronnen maken deel uit van de Azure NAT Gateway-service.
U kunt een NAT-gateway in uw abonnement configureren via ondersteunde clients. Deze clients omvatten de Azure portal, de Azure CLI, Azure PowerShell, Azure Resource Manager sjablonen of geschikte alternatieven.
Azure NAT Gateway-artikelnummers
Azure NAT Gateway is beschikbaar in twee SKU's: StandardV2 en Standard.
De StandardV2-SKU is standaard zone-redundant ingesteld. Het omvat automatisch meerdere beschikbaarheidszones in een regio om continue uitgaande connectiviteit te bieden, zelfs als één zone niet beschikbaar is.
De Standard-SKU is een zonegebonden resource. Deze wordt geïmplementeerd in een specifieke beschikbaarheidszone en is tolerant binnen die zone.
Een StandardV2 NAT-gateway ondersteunt IPv4- en IPv6 openbare IP-adressen, terwijl een Standard NAT-gateway alleen IPv4 openbare IP-adressen ondersteunt.
Azure NAT Gateway architectuur
Azure NAT Gateway maakt gebruik van softwaregedefinieerde netwerken om te werken als een volledig beheerde, gedistribueerde service. Een NAT-gateway omvat standaard meerdere foutdomeinen, zodat deze bestand is tegen meerdere fouten zonder dat dit van invloed is op de service.
Azure NAT Gateway biedt SNAT (Source Network Address Translation) voor privé-exemplaren binnen de bijbehorende subnetten van uw Azure virtueel netwerk. De privé-IP-adressen van de virtuele machines gebruiken SNAT voor de statische openbare IP-adressen van een NAT-gateway om uitgaand verbinding te maken met internet. Azure NAT Gateway biedt ook DNAT (Destination Network Address Translation) voor antwoordpakketten naar uitsluitend een van buitenaf geïnitieerde verbinding.
Wanneer een NAT-gateway is geconfigureerd voor een subnet in een virtueel netwerk, wordt dit het standaard volgende hoptype van het subnet voor al het uitgaande verkeer dat naar internet wordt omgeleid. Er zijn geen extra routeringsconfiguraties vereist. Een NAT-gateway biedt geen ongevraagde binnenkomende verbindingen van internet. DNAT wordt alleen uitgevoerd voor pakketten die binnenkomen als reactie op een uitgaand pakket.
Subnetten
U kunt een StandardV2- of Standard NAT-gateway koppelen aan meerdere subnetten binnen een virtueel netwerk om uitgaande connectiviteit met internet te bieden. Wanneer een NAT-gateway aan een subnet is gekoppeld, neemt het de standaardroute naar internet over. De NAT-gateway fungeert als het volgende hoptype voor al het uitgaande verkeer dat is bestemd voor internet.
NAT-gateways hebben deze beperkingen voor subnetconfiguraties:
Aan elk subnet kan niet meer dan één NAT-gateway zijn gekoppeld.
U kunt een NAT-gateway niet koppelen aan subnetten van verschillende virtuele netwerken.
U kunt geen NAT-gateway gebruiken met een gatewaysubnet. Een gatewaysubnet is een aangewezen subnet voor een VPN-gateway voor het verzenden van versleuteld verkeer tussen een virtueel Azure-netwerk en een on-premises locatie.
Statische openbare IP-adressen
Een NAT-gateway kan worden gekoppeld aan statische openbare IP-adressen of openbare IP-voorvoegsels. Als u een openbaar IP-voorvoegsel toewijst, wordt het volledige openbare IP-voorvoegsel gebruikt. U kunt een openbaar IP-voorvoegsel rechtstreeks gebruiken of de openbare IP-adressen van het voorvoegsel distribueren over meerdere NAT-gatewaybronnen . De NAT-gateway verzendt al het verkeer naar de IP-adressen binnen het prefix-bereik.
Deze voorwaarden zijn van toepassing:
Een StandardV2 NAT-gateway ondersteunt maximaal 16 IPv4- en 16 openbare IP-adressen voor IPv6.
U kunt geen Standard NAT-gateway gebruiken met openbare IPv6-IP-adressen of voorvoegsels. Een Standaard NAT-gateway ondersteunt maximaal 16 openbare IPv4-IP-adressen.
U kunt geen NAT-gateway gebruiken met openbare IP-adressen voor de Basic-SKU.
| Azure NAT Gateway SKU | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Ja, ondersteunt openbare IPv4-IP-adressen en voorvoegsels. | Ja, ondersteunt openbare IPv6-IP-adressen en voorvoegsels. |
| Standaard | Ja, ondersteunt openbare IPv4-IP-adressen en voorvoegsels. | Nee, biedt geen ondersteuning voor openbare IPv6-IP-adressen en voorvoegsels. |
SNAT-poorten
De inventarisatie van SNAT-poorten wordt verzorgd door de openbare IP-adressen, openbare IP-voorvoegsels of beide die aan een NAT-gateway zijn gekoppeld. SNAT-poortinventaris is op aanvraag beschikbaar voor alle exemplaren binnen een subnet dat is gekoppeld aan de NAT-gateway. Er is geen voorbezetting van SNAT-poorten per exemplaar vereist.
Zie SNAT (Source Network Address Translation) met Azure NAT Gateway voor meer informatie over SNAT-poorten en Azure NAT Gateway.
Wanneer meerdere subnetten in een virtueel netwerk zijn gekoppeld aan dezelfde NAT-gatewayresource, wordt de SNAT-poortinventaris die de NAT-gateway biedt, gedeeld in alle subnetten.
SNAT-poorten fungeren als unieke id's om verbindingsstromen van elkaar te onderscheiden. Dezelfde SNAT-poort kan tegelijkertijd worden gebruikt om verbinding te maken met verschillende doeleindpunten .
Verschillende SNAT-poorten worden gebruikt om verbindingen met hetzelfde doeleindpunt te maken om verbindingsstromen van elkaar te onderscheiden. SNAT-poorten die opnieuw worden gebruikt om verbinding te maken met dezelfde bestemming, worden geplaatst op een afkoeltimer voor hergebruik voordat ze opnieuw kunnen worden gebruikt.
Eén NAT-gateway kan worden geschaald op basis van het aantal openbare IP-adressen dat eraan is gekoppeld. Elk openbaar IP-adres voor een NAT-gateway biedt 64.512 SNAT-poorten om uitgaande verbindingen te maken. Een NAT-gateway kan omhoog schalen naar meer dan 1 miljoen SNAT-poorten. TCP en UDP zijn afzonderlijke SNAT-poortinventarisaties en zijn niet gerelateerd aan NAT-gateways.
Beschikbaarheidszones
Azure NAT Gateway heeft twee SKU's: Standard en StandardV2. Als u ervoor wilt zorgen dat uw architectuur bestand is tegen zonegebonden fouten, implementeert u een StandardV2 NAT-gateway, omdat dit een zone-redundante resource is. Wanneer een beschikbaarheidszone in een regio uitvalt, stromen nieuwe verbindingen van de resterende gezonde zones.
Een Standaard NAT-gateway is een zonegebonden resource, wat betekent dat u deze kunt implementeren en uitvoeren vanuit afzonderlijke beschikbaarheidszones. Als de zone die is gekoppeld aan een Standard NAT-gateway uitvalt, is de storing van invloed op uitgaande connectiviteit voor de subnetten die zijn gekoppeld aan de NAT-gateway.
Zie Reliability in Azure NAT Gateway voor meer informatie over beschikbaarheidszones en Azure NAT Gateway.
Nadat u een NAT-gateway hebt geïmplementeerd, kunt u de zoneselectie niet wijzigen.
Protocollen
Een NAT-gateway communiceert met IP- en IP-transportheaders van UDP- en TCP-stromen. Een NAT-gateway is onafhankelijk van applicatielaagpakketten. Andere IP-protocollen, zoals ICMP, worden niet ondersteund.
Opnieuw instellen van TCP
Er wordt een TCP-resetpakket verzonden wanneer een NAT-gateway verkeer detecteert op een verbindingsstroom die niet bestaat. Het TCP-resetpakket geeft aan aan het ontvangende eindpunt dat de verbindingsstroom is vrijgegeven en dat toekomstige communicatie op dezelfde TCP-verbinding mislukt. TCP-reset is unidirectioneel voor een NAT-gateway.
De verbindingsstroom bestaat mogelijk niet als:
De verbinding heeft de time-out voor inactiviteit bereikt na een periode van inactiviteit op het verbindingsproces, en de verbinding wordt stilletjes beëindigd.
De afzender, van de Netwerkzijde van Azure of van de openbare internetzijde, heeft verkeer verzonden nadat de verbinding is verbroken.
Het systeem verzendt alleen een TCP-resetpakket wanneer het verkeer op de verbroken verbindingsstroom detecteert. Deze bewerking betekent dat een TCP-resetpakket mogelijk niet meteen wordt verzonden nadat een verbindingsstroom is verwijderd.
Het systeem verzendt een TCP-resetpakket als reactie op het detecteren van verkeer op een niet-bestaande verbindingsstroom, ongeacht of het verkeer afkomstig is van de Azure netwerkzijde of de openbare internetzijde.
TCP inactieve timeout
Een NAT-gateway biedt een configureerbaar time-outbereik van 4 minuten tot 120 minuten voor TCP-protocollen. UDP-protocollen hebben een niet-geconfigureerde time-out voor inactiviteit van 4 minuten.
Wanneer een verbinding inactief gaat, wordt de NAT-gateway op de SNAT-poort vastgezet totdat er een time-out optreedt voor de verbinding. Omdat lange time-outtimers voor inactiviteit de kans op uitputting van SNAT-poorten onnodig kunnen verhogen, raden we u niet aan om de time-outduur van TCP-inactiviteit te verhogen naar langer dan de standaardtijd van 4 minuten. De niet-actieve timer heeft geen invloed op een stroom die nooit inactief gaat.
U kunt TCP-keepalives gebruiken om een patroon te bieden van het vernieuwen van lange niet-actieve verbindingen en detectie van eindpunt liveness. Zie e .NET voorbeelden voor meer informatie. TCP-keepalives worden weergegeven als dubbele bevestigingen (ACK's) voor de eindpunten, hebben een laag overhead en zijn onzichtbaar voor de toepassingslaag.
Tijdslimieten voor inactiviteit van UDP kunnen niet worden geconfigureerd. Gebruik UDP-keepalives om ervoor te zorgen dat de verbinding niet de time-outwaarde voor inactiviteit bereikt en om de verbinding te onderhouden. In tegenstelling tot TCP-verbindingen is het inschakelen van een UDP-keepalive aan één kant van de verbinding alleen van toepassing op de verkeersstroom in één richting. U moet UDP-keepalives aan beide zijden van de verkeersstroom inschakelen om de verkeersstroom actief te houden.
Tijdklokken
Timers voor opnieuw gebruiken van poort
Timers voor opnieuw gebruiken van poorten bepalen de hoeveelheid tijd nadat een verbinding is gesloten dat een bronpoort in bewaring staat voordat deze opnieuw kan worden gebruikt voor een nieuwe verbinding om door de NAT-gateway naar hetzelfde doeleindpunt te gaan.
De volgende tabel bevat informatie over wanneer een TCP-poort beschikbaar is voor hergebruik naar hetzelfde doeleindpunt door de NAT-gateway.
| Tijdmeter | Beschrijving | Waarde |
|---|---|---|
| TCP FIN | Nadat een TCP FIN-pakket een verbinding heeft gesloten, houdt een timer van 65 seconden de SNAT-poort in. De SNAT-poort is beschikbaar voor hergebruik nadat de timer is beëindigd. | 65 seconden |
| TCP RST | Nadat een TCP RST-pakket (opnieuw instellen) een verbinding heeft gesloten, houdt een timer van 16 seconden de SNAT-poort in. Wanneer de timer afloopt, is de poort beschikbaar voor hergebruik. | 16 seconden |
| TCP half open verbinding | Tijdens het instellen van de verbinding waarbij het ene verbindingseindpunt wacht op bevestiging van het andere eindpunt, begint een timer van 30 seconden. Als er geen verkeer wordt gedetecteerd, wordt de verbinding gesloten. Nadat de verbinding is gesloten, is de bronpoort beschikbaar voor hergebruik naar hetzelfde doeleindpunt. | 30 seconden |
Voor UDP-verkeer, nadat een verbinding is gesloten, wordt de poort 65 seconden in bewaring geplaatst voordat deze beschikbaar is voor hergebruik.
Tijdslimieten voor inactiviteit
| Tijdmeter | Beschrijving | Waarde |
|---|---|---|
| TCP inactieve timeout | TCP-verbindingen kunnen inactief gaan wanneer geen van beide eindpunten gegevens gedurende een langere periode verzendt. U kunt een timer van 4 minuten (standaard) tot 120 minuten (2 uur) configureren om een niet-actieve verbinding te time-outen. Verkeer op de stroom stelt de time-outtimer voor inactiviteit opnieuw in. | Configureerbare; 4 minuten (standaard) tot 120 minuten |
| Time-out voor niet-actieve UDP | UDP-verbindingen kunnen inactief gaan wanneer eindpunten gedurende langere tijd geen gegevens verzenden. Time-outtimers voor inactiviteit van UDP zijn vier minuten en kunnen niet worden geconfigureerd. Verkeer op de stroom stelt de time-outtimer voor inactiviteit opnieuw in. | Niet configureerbaar; 4 minuten |
Notitie
Deze timerinstellingen zijn onderhevig aan wijzigingen. De opgegeven waarden kunnen helpen bij het oplossen van problemen. U moet op dit moment geen afhankelijkheid nemen van specifieke timers.
Bandbreedte
Elke SKU van Azure NAT Gateway heeft bandbreedtelimieten:
Een StandardV2 NAT-gateway ondersteunt maximaal 100 Gbps aan gegevensdoorvoer per NAT-gatewayresource.
Een Standaard NAT-gateway biedt 50 Gbps doorvoer, die wordt gesplitst tussen uitgaande en binnenkomende (antwoord) gegevens. Gegevensdoorvoer is beperkt met 25 Gbps voor uitgaande en 25 Gbps voor binnenkomende (antwoord) gegevens per Standaard NAT-gatewayresource.
Prestaties
Standaard- en StandardV2 NAT-gateways ondersteunen elk maximaal 50.000 gelijktijdige verbindingen per openbaar IP-adres naar hetzelfde doeleindpunt via internet voor TCP- en UDP-verkeer.
Elk kan maximaal 2 miljoen actieve verbindingen tegelijk ondersteunen. Het aantal verbindingen op een NAT-gateway wordt geteld op basis van de 5 tuples (bron-IP-adres, bronpoort, doel-IP-adres, doelpoort en protocol). Als er meer dan 2 miljoen verbindingen zijn met een NAT-gateway, neemt de beschikbaarheid van het gegevenspad af en mislukken nieuwe verbindingen.
Een StandardV2 NAT-gateway kan maximaal 10 miljoen pakketten per seconde verwerken. Een Standaard NAT-gateway kan maximaal 5 miljoen pakketten per seconde verwerken.
Beperkingen
Openbare IP-adressen van Standard en Basic zijn niet compatibel met StandardV2 NAT-gateways. Gebruik in plaats daarvan openbare IP-adressen van StandardV2.
Zie Maak een openbaar IP-adres van Azure om een openbaar IP-adres van StandardV2 te maken.
Basic load balancers zijn niet compatibel met NAT-gateways. Gebruik Standard load balancers voor zowel Standard- als StandardV2 NAT-gateways.
Zie Upgrade an Azure public load balancer als u een load balancer wilt upgraden van Basic naar Standard.
Basis openbare IP-adressen zijn niet compatibel met standaard NAT-gateways. Gebruik in plaats daarvan openbare IP-adressen van standard.
Als u een openbaar IP-adres wilt upgraden van Basic naar Standard, raadpleegt u Upgrade a Basic public IP address to Standard.
Azure NAT Gateway biedt geen ondersteuning voor ICMP.
IP-fragmentatie is niet beschikbaar voor Azure NAT Gateway.
Azure NAT Gateway biedt geen ondersteuning voor openbare IP-adressen met een routeringsconfiguratietype van Internet. Zie Ondersteunde services voor routering via het openbare internet voor een lijst van Azure-services die de internet routering configuratie op openbare IP's ondersteunen.
Azure NAT Gateway biedt geen ondersteuning voor openbare IP-adressen waarvoor DDoS-beveiliging is ingeschakeld. Zie DDoS-beperkingen voor meer informatie.
Azure NAT Gateway wordt niet ondersteund in een beveiligde vWAN-architectuur (Virtual Hub Network).
U kunt geen standard NAT-gateway upgraden naar een StandardV2 NAT-gateway. Als u zonetolerantie wilt bereiken voor architecturen die gebruikmaken van zonegebonden NAT-gateways, moet u een StandardV2 NAT-gateway implementeren om de Standard SKU NAT-gateway te vervangen.
U kunt geen openbare IP-adressen van Standard gebruiken met een StandardV2 NAT-gateway. U moet de IP-adressen opnieuw toewijzen naar nieuwe openbare StandardV2 IP's om een StandardV2 NAT-gateway te gebruiken.
Zie Azure NAT Gateway-SKU's voor meer bekende beperkingen van StandardV2 NAT-gateways.
Verwante inhoud
- Bekijk het overzicht van Azure NAT Gateway.
- Meer informatie over metrics en waarschuwingen voor Azure NAT Gateway.
- Leer hoe u problemen met Azure NAT Gateway oplost.