Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure NAT Gateway is een volledig beheerde en zeer tolerante NAT-service (Network Address Translation). Gebruik Azure NAT Gateway om alle exemplaren in een subnet uitgaand verbinding te laten maken met internet terwijl het volledig privé blijft. Een NAT-gateway staat niet ongevraagde binnenkomende verbindingen van internet toe. Alleen pakketten die binnenkomen als antwoordpakketten voor een uitgaande verbinding, kunnen via een NAT-gateway worden doorgegeven.
Azure NAT Gateway dynamisch beveiligde NAT-poorten (SNAT) toewijst om uitgaande connectiviteit automatisch te schalen en het risico op uitputting van SNAT-poorten te minimaliseren.
Azure NAT Gateway is beschikbaar in twee SKU's:
Standard is zonegebonden (geïmplementeerd in één beschikbaarheidszone) en biedt schaalbare uitgaande connectiviteit voor subnetten in één virtueel netwerk.
StandardV2 is zone-redundant en biedt hogere doorvoer dan de standard-SKU, IPv6-ondersteuning en ondersteuning voor stroomlogboeken.
Standaard SKU
U kunt een Standard NAT-gateway koppelen aan subnetten in hetzelfde virtuele netwerk om uitgaande connectiviteit met internet te bieden. Een Standaard NAT-gateway werkt vanuit één beschikbaarheidszone.
StandardV2-SKU
De StandardV2-SKU van Azure NAT Gateway biedt dezelfde functionaliteit van de Standard-SKU, zoals dynamische SNAT-poorttoewijzing en beveiligde uitgaande connectiviteit voor subnetten binnen een virtueel netwerk. Daarnaast is StandardV2 zone-redundant, wat betekent dat het uitgaande connectiviteit biedt vanuit alle zones in een regio in plaats van één zone.
Belangrijkste mogelijkheden van StandardV2
- Zoneredundantie: werkt in alle beschikbaarheidszones in een regio om connectiviteit te behouden tijdens een storing in één zone.
- IPv6-ondersteuning: ondersteunt zowel openbare IPv4- als IPv6-adressen en voorvoegsels voor uitgaande connectiviteit.
- Hogere doorvoer: biedt maximaal 100 Gbps aan gegevensdoorvoer per NAT-gateway, vergeleken met 50 Gbps voor Standard NAT-gateways.
- Ondersteuning voor stroomlogboeken: biedt op IP gebaseerde verkeersinformatie om uitgaande verkeersstromen te bewaken en te analyseren.
Zie Een StandardV2 NAT-gateway maken voor meer informatie over het implementeren van een StandardV2 NAT-gateway.
Belangrijke beperkingen van StandardV2
Voor de StandardV2-SKU zijn openbare IP-adressen of voorvoegsels van StandardV2 vereist. Standaard openbare IP-adressen worden niet ondersteund met StandardV2.
U kunt de Standard-SKU niet upgraden naar de StandardV2-SKU. U moet een StandardV2 NAT-gateway maken om de Standard NAT-gateway in uw subnet te vervangen.
De volgende regio's bieden geen ondersteuning voor StandardV2 NAT-gateways:
- Canada East
- Chili - centraal
- Indonesië - centraal
- Israël Noordwest
- West-Maleisië
- Qatar Central
- Zuid-Zweden
- West-Centraal VS
- West India
Een StandardV2 NAT-gateway biedt geen ondersteuning en kan niet worden gekoppeld aan gedelegeerde subnetten voor de volgende services:
- Azure SQL Managed Instance
- Azure Container Instances
- Azure-database voor PostgreSQL
- Azure Database for MySQL
- Azure Data Factory (gegevensverplaatsing)
- Microsoft Power Platform
- Azure Stream Analytics
- Azure Container Apps
- De Web Apps-functie van Azure App Service
- Azure DNS privé-resolver
Bekende problemen met StandardV2
Uitgaand IPv6-verkeer dat gebruikmaakt van uitgaande load balancer-regels, wordt onderbroken wanneer u een StandardV2 NAT-gateway koppelt aan een subnet. Als u zowel uitgaande IPv4- als IPv6-connectiviteit nodig hebt, gebruikt u een van de volgende opties:
- Uitgaande regels voor load balancer voor zowel IPv4- als IPv6-verkeer
- Een standaard NAT-gateway voor IPv4-verkeer en uitgaande regels van de load balancer voor IPv6-verkeer
Als u een StandardV2 NAT-gateway koppelt aan een leeg subnet dat vóór april 2025 is gemaakt zonder virtuele machines (VM's), kan dit ertoe leiden dat het virtuele netwerk de status Mislukt krijgt. Als u het virtuele netwerk wilt terugsturen naar een geslaagde status, verwijdert u de Nat-gateway StandardV2, maakt en voegt u een VIRTUELE machine toe aan het subnet en koppelt u de Nat-gateway StandardV2 opnieuw.
Uitgaande verbindingen die gebruikmaken van een load balancer, Azure Firewall of openbare IP-adressen op VM-niveau, worden mogelijk onderbroken wanneer u een StandardV2 NAT-gateway toevoegt aan een subnet. Alle volledig nieuwe uitgaande verbindingen maken gebruik van de StandardV2 NAT-gateway.
Zie Known limitations voor meer informatie over bekende problemen en beperkingen van de StandardV2-SKU van Azure NAT Gateway.
Azure NAT Gateway voordelen
Eenvoudige instellingen
Implementaties met Azure NAT Gateway zijn opzettelijk eenvoudig. Koppel een NAT-gateway aan een subnet en openbaar IP-adres en begin direct verbinding te maken met internet. Er zijn geen onderhouds- of routeringsconfiguraties vereist. U kunt later meer openbare IP-adressen of subnetten toevoegen zonder dat dit van invloed is op uw bestaande configuratie.
In de volgende stappen ziet u een voorbeeld van het instellen van een NAT-gateway:
Maak een niet-zonale of zonegebonden NAT-gateway.
Wijs een openbaar IP-adres of een openbaar IP-voorvoegsel toe.
Configureer een subnet voor het gebruik van de NAT-gateway.
Wijzig indien nodig de time-out voor inactiviteit van Transmission Control Protocol (TCP) (optioneel). Bekijk timers voordat u de standaardinstelling wijzigt.
Beveiliging
Azure NAT Gateway is gebaseerd op het Zero Trust netwerkbeveiligingsmodel. Wanneer u Azure NAT Gateway gebruikt, hebben privé-exemplaren binnen een subnet geen openbare IP-adressen nodig om internet te bereiken. Privébronnen kunnen externe bronnen buiten het virtuele netwerk bereiken met behulp van SNAT voor statische openbare IP-adressen of voorvoegsels in Azure NAT Gateway.
U kunt een aaneengesloten set IP-adressen opgeven voor uitgaande connectiviteit met behulp van een openbaar IP-voorvoegsel. U kunt doelfirewallregels configureren op basis van deze voorspelbare IP-lijst.
Veerkracht
Azure NAT Gateway is een volledig beheerde en gedistribueerde service. Dit is niet afhankelijk van afzonderlijke rekenprocessen, zoals virtuele machines of één fysiek gatewayapparaat. Een NAT-gateway heeft altijd meerdere foutdomeinen en kan meerdere storingen zonder servicestoringen ondersteunen. Softwaregedefinieerde netwerken maken een NAT-gateway zeer tolerant.
Schaalbaarheid
Een NAT-gateway wordt vanaf het moment van aanmaken geschaald. Er is geen opschaling of uitschaalbewerking vereist. Azure beheert de werking van een NAT-gateway voor u.
Koppel een NAT-gateway aan een subnet om uitgaande connectiviteit te bieden voor alle privébronnen in dat subnet. Alle subnetten in een virtueel netwerk kunnen dezelfde NAT-gatewayresource gebruiken. U kunt uitgaande connectiviteit schalen door maximaal 16 openbare IP-adressen toe te wijzen aan een NAT-gateway. Wanneer u een NAT-gateway koppelt aan een openbaar IP-voorvoegsel, wordt automatisch geschaald naar het aantal IP-adressen dat nodig is voor uitgaand verkeer.
Prestaties
Azure NAT Gateway is een softwaregedefinieerde netwerkservice. Elke NAT-gateway kan maximaal 50 Gbps aan gegevens verwerken voor zowel uitgaand als retourverkeer.
Een NAT-gateway heeft geen invloed op de netwerkbandbreedte van uw rekenresources. Zie Performancevoor meer informatie.
basisbeginselen van Azure NAT Gateway
Azure NAT Gateway biedt veilige, schaalbare uitgaande connectiviteit voor resources in een virtueel netwerk.
Uitgaande connectiviteit
Azure NAT Gateway is de methode die wordt aanbevolen voor uitgaande connectiviteit.
Zie Migrate outbound access to Azure NAT Gateway als u uitgaande toegang naar een NAT-gateway wilt migreren vanaf standaard uitgaande toegang of load balancer-uitgaande regels.
Notitie
Vanaf 31 maart 2026 worden nieuwe virtuele netwerken standaard gebruikt voor het gebruik van privésubnetten. Standaard uitgaande toegang wordt niet standaard verstrekt. Gebruik in plaats daarvan een expliciete vorm van uitgaande connectiviteit, zoals Azure NAT Gateway.
Azure NAT Gateway biedt uitgaande connectiviteit op subnetniveau. Het vervangt de standaardinternetbestemming van een subnet om uitgaande connectiviteit te bieden.
Azure NAT Gateway vereist geen routeringsconfiguraties in een subnetroutetabel. Nadat u een NAT-gateway hebt gekoppeld aan een subnet, biedt deze direct uitgaande connectiviteit.
Azure NAT Gateway maakt het mogelijk verkeer te laten verlopen vanuit het virtuele netwerk naar de services buiten uw virtuele netwerk. Retourverkeer van internet is alleen toegestaan als reactie op een actieve stroom. Services buiten uw virtuele netwerk kunnen geen binnenkomende verbinding starten via een NAT-gateway.
Azure NAT Gateway heeft voorrang op andere uitgaande connectiviteitsmethoden, waaronder een load balancer, openbare IP-adressen op exemplaarniveau en Azure Firewall.
Azure NAT Gateway heeft prioriteit boven andere expliciete uitgaande methoden die zijn geconfigureerd in een virtueel netwerk voor alle nieuwe verbindingen. Er zijn geen dalingen in de verkeersstroom voor bestaande verbindingen die gebruikmaken van andere expliciete methoden voor uitgaande connectiviteit.
Azure NAT Gateway heeft niet dezelfde beperkingen met betrekking tot SNAT-poortuitputting als default outbound access en outbound rules van een load balancer.
Azure NAT Gateway ondersteunt alleen UDP-protocollen (TCP en User Datagram Protocol). ICMP (Internet Control Message Protocol) wordt niet ondersteund.
Azure NAT Gateway ondersteunt Azure App Service exemplaren (webtoepassingen, REST API's en mobiele back-ends) via virtuele netwerkintegratie.
Het subnet heeft een standaardroute van het systeem waarmee verkeer automatisch naar internet wordt gerouteerd met bestemming 0.0.0.0/0. Nadat u een NAT-gateway hebt geconfigureerd voor het subnet, communiceren virtuele machines in het subnet met internet met behulp van het openbare IP-adres van de NAT-gateway.
Wanneer u een door de gebruiker gedefinieerde route (UDR) maakt in uw subnetroutetabel voor verkeer van 0.0.0.0/0, overschrijft u het standaardinternetpad voor dit verkeer. Een UDR die verkeer van 0.0.0.0/0 naar een virtueel apparaat of een virtuele netwerkgateway (Azure VPN-gateway en Azure ExpressRoute) verzendt als het volgende hoptype, overschrijft in plaats daarvan de NAT-gatewayconnectiviteit met internet.
Hier is het verloop:
UDR naar de volgende hop, virtuele appliance of virtuele netwerkgateway >> NAT-gateway op exemplaarniveau >> openbaar IP-adres op een virtuele machine >> uitgaande regels van de load balancer >> standaardsysteemroute naar het internet.
NAT-gatewayconfiguraties
Meerdere subnetten binnen hetzelfde virtuele netwerk kunnen verschillende NAT-gateways of dezelfde NAT-gateway gebruiken.
U kunt niet meerdere NAT-gateways koppelen aan één subnet.
Een NAT-gateway kan niet meerdere virtuele netwerken omvatten. U kunt echter een NAT-gateway gebruiken om uitgaande connectiviteit te bieden in een hub-and-spoke-model. Voor meer informatie, zie de tutorial Azure NAT Gateway hub-and-spoke.
Een standaard NAT-gatewayresource kan maximaal 16 openbare IP-adressen van IPv4 gebruiken. Een StandardV2 NAT-gatewayresource kan maximaal 16 IPv4- en 16 openbare IPv6-IP-adressen gebruiken.
U kunt een NAT-gateway niet implementeren in een gatewaysubnet of een subnet dat beheerde SQL-exemplaren bevat.
Azure NAT Gateway werkt met iedere VM-netwerkinterface of IP-configuratie. Een NAT-gateway kan SNAT gebruiken voor meerdere IP-configuraties op een netwerkinterface.
U kunt een NAT-gateway koppelen aan een Azure Firewall subnet in een virtueel hubnetwerk en uitgaande connectiviteit bieden van virtuele spoke-netwerken die zijn gekoppeld aan de hub. Zie de article over Azure Firewall integratie met Azure NAT Gateway voor meer informatie.
Beschikbaarheidszones
U kunt een Standard NAT-gateway maken in een specifieke beschikbaarheidszone of deze in geen zone plaatsen.
U kunt een Standard NAT-gateway in een specifieke zone isoleren wanneer u een zonegebonden NAT-gateway maakt. Nadat u de NAT-gateway hebt geïmplementeerd, kunt u de zoneselectie niet wijzigen.
Standaard wordt een Standaard NAT-gateway in geen zone geplaatst. Azure plaatst een nonzonal NAT-gateway in een zone voor u.
Een StandardV2 NAT-gateway is zone-redundant en werkt in alle beschikbaarheidszones in een regio om connectiviteit te behouden tijdens een storing in één zone.
Standaarduitgaand toegang
Schakel een privésubnet in om beveiligde uitgaande connectiviteit met internet te bieden. Met deze aanpak voorkomt u het maken van standaard uitgaande IP-adressen en gebruikt u in plaats daarvan een expliciete methode voor uitgaande connectiviteit, zoals een NAT-gateway.
Bepaalde services werken niet op een virtuele machine in een privésubnet zonder een expliciete methode voor uitgaande connectiviteit, zoals Windows Activering en Windows Updates. Voor het activeren of bijwerken van VM-besturingssystemen, zoals Windows, is een expliciete methode voor uitgaande connectiviteit vereist, zoals een NAT-gateway.
Zie Migratie van uitgaande toegang naar Azure NAT Gateway voor het migreren van de uitgaande toegang van een standaarduitgangstoegang of load balancer-uitgangsregels naar een NAT-gateway.
Notitie
Vanaf 31 maart 2026 worden nieuwe virtuele netwerken standaard gebruikt voor het gebruik van privésubnetten. Standaardtoegang voor uitgaand verkeer is niet meer standaard beschikbaar. U moet een expliciete uitgaande methode inschakelen om openbare eindpunten op internet en binnen Microsoft te bereiken. Gebruik in plaats daarvan een expliciete vorm van uitgaande connectiviteit, zoals een NAT-gateway.
Azure NAT Gateway en basisbronnen
Een Standaard NAT-gateway werkt met standaard openbare IP-adressen of openbare IP-voorvoegsels. Een StandardV2 NAT-gateway werkt alleen met openbare StandardV2-IP-adressen of openbare IP-voorvoegsels.
U kunt Azure NAT Gateway niet gebruiken met subnetten met Basic-resources. Resources voor de Basic-SKU, zoals een Basic-load balancer of openbare IP-adressen van Basic, werken niet met Azure NAT Gateway. U kunt een Basic load balancer en een publiek Basic-IP-adres upgraden naar Standard om te werken met een NAT gateway.
Zie Een basic load balancer upgraden voor meer informatie over het upgraden van een load balancer van Basic naar Standard.
Zie Een openbaar IP-adres upgraden van Basic naar Standard voor meer informatie over het upgraden van een openbaar IP-adres.
Zie Een openbaar IP-adres upgraden dat is gekoppeld aan een virtuele machine van Basic naar Standard voor meer informatie over het upgraden van een openbaar IP-adres dat is gekoppeld aan een virtuele machine.
Verbindingstime-outs en timers
Azure NAT Gateway verzendt een TCP Reset-pakket (RST) voor een verbindingsstroom die niet wordt herkend als een bestaande verbinding. De verbindingsstroom bestaat niet meer als de Azure NAT Gateway time-out voor inactiviteit is bereikt of de verbinding eerder is gesloten.
Wanneer de afzender van verkeer op de niet-bestaande verbindingsstroom het Azure NAT Gateway TCP RST-pakket ontvangt, kan de verbinding niet meer worden gebruikt.
SNAT-poorten zijn niet direct beschikbaar voor hergebruik naar hetzelfde doeleindpunt nadat een verbinding is gesloten. Azure NAT Gateway SNAT-poorten in een cooldown-status plaatst voordat ze opnieuw kunnen worden gebruikt om verbinding te maken met hetzelfde doeleindpunt.
De duur van het opnieuw gebruiken van SNAT-poorten (cooldown) varieert voor TCP-verkeer, afhankelijk van hoe de verbinding wordt gesloten. Zie Timers voor opnieuw gebruiken van poort voor meer informatie.
De time-outtimer voor inactiviteit van TCP Azure NAT Gateway is standaard ingesteld op 4 minuten, maar kan tot 120 minuten worden verhoogd. Elke activiteit in een flow kan de timer voor inactiviteit opnieuw instellen, inclusief TCP-keepalives. Voor meer informatie, zie inactiviteits-timeout timers.
UDP-verkeer heeft een time-outtimer van 4 minuten die u niet kunt wijzigen.
UDP-verkeer heeft een timer voor opnieuw gebruiken van poorten van 65 seconden. Voor deze periode bevindt een poort zich in een hold-down status voordat deze beschikbaar is voor hergebruik naar hetzelfde bestemmingsendpoint.
Prijzen en Service Level Agreement (SLA)
Standard- en StandardV2 NAT-gateways zijn dezelfde prijs. Zie Azure NAT Gateway prijzen voor meer informatie.
Zie de Microsoft SLA's voor onlineservices voor informatie over de SLA (Service Level Agreement).
Verwante inhoud
Zie Quickstart: Een NAT-gateway maken met behulp van de Azure-portal voor meer informatie over het maken en valideren van een NAT-gateway.
Zie Het verkrijgen van een betere uitgaande connectiviteit met behulp van Azure NAT Gateway voor een video met meer informatie over Azure NAT Gateway.
Zie nat-gatewayresource voor meer informatie over de NAT-gatewayresource.