Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os principais componentes de um recurso de gateway de NAT (conversão de endereços de rede) que permitem que ele forneça conectividade de saída altamente segura, escalonável e resiliente. Os recursos do gateway nat fazem parte do serviço Gateway da NAT do Azure.
Você pode configurar um gateway NAT em sua assinatura por meio de clientes compatíveis. Esses clientes incluem o portal Azure, os modelos de CLI do Azure, Azure PowerShell, Azure Resource Manager ou as alternativas apropriadas.
SKUs de Gateway da NAT do Azure
Gateway da NAT do Azure está disponível em dois SKUs: StandardV2 e Standard.
O SKU StandardV2 é redundante por zona por padrão. Ele abrange automaticamente várias zonas de disponibilidade em uma região para fornecer conectividade de saída contínua, mesmo que uma zona fique indisponível.
O SKU Standard é um recurso zonal. Ele é implantado em uma zona de disponibilidade específica e é resiliente dentro dessa zona.
Um gateway NAT StandardV2 dá suporte a IPv4 e IPv6 públicos, enquanto um gateway NAT Standard dá suporte apenas a IPs públicos IPv4.
arquitetura Gateway da NAT do Azure
O Gateway da NAT do Azure usa a rede definida pelo software para operar como um serviço distribuído totalmente gerenciado. Por design, um gateway nat abrange vários domínios de falha, permitindo que ele resista a várias falhas sem nenhum efeito para o serviço.
Gateway da NAT do Azure fornece SNAT (conversão de endereços de rede de origem) para instâncias privadas nas sub-redes associadas de sua rede virtual Azure. Os IPs privados das máquinas virtuais usam SNAT para se conectar à Internet por meio dos endereços IP públicos estáticos de um gateway NAT. O Gateway da NAT do Azure também oferece tradução de endereços de rede de destino (DNAT) para pacotes de resposta exclusivamente em conexões iniciadas de saída.
Quando um gateway NAT é configurado para uma sub-rede dentro de uma rede virtual, torna-se o tipo de próximo salto padrão da sub-rede para todo o tráfego de saída direcionado à Internet. Nenhuma configuração de roteamento extra é necessária. Um gateway nat não fornece conexões de entrada não solicitadas da Internet. O DNAT é executado apenas para pacotes que chegam como uma resposta a um pacote de saída.
Sub-redes
Você pode anexar um gateway STANDARDV2 ou NAT Standard a várias sub-redes em uma rede virtual para fornecer conectividade de saída à Internet. Quando um gateway NAT é anexado a uma sub-rede, ele assume a rota padrão para a Internet. O Gateway da NAT serve como o tipo de próximo salto para todo o tráfego de saída destinado à Internet.
Os gateways NAT têm essas limitações para configurações de sub-rede:
Cada sub-rede não pode ter mais de um gateway NAT anexado.
Você não pode anexar um gateway NAT a sub-redes de diferentes redes virtuais.
Você não pode usar um gateway NAT com uma sub-rede de gateway. Uma sub-rede de gateway é uma sub-rede designada para um gateway de VPN para enviar o tráfego criptografado entre uma rede virtual do Azure e um ambiente local.
Endereços IP públicos estáticos
Um Gateway NAT pode ser associado a endereços IP públicos estáticos ou prefixos IP públicos. Se você atribuir um prefixo de IP público, o prefixo inteiro do IP público será usado. Você pode usar um prefixo de IP público diretamente ou distribuir os endereços IP públicos do prefixo entre vários recursos do Gateway da NAT. O gateway da NAT envia todo o tráfego no intervalo de endereços IP do prefixo.
Essas condições se aplicam:
Um gateway NAT StandardV2 dá suporte a até 16 endereços IP públicos IPv4 e 16 IPv6.
Você não pode usar um gateway NAT padrão com endereços IP públicos IPv6 ou prefixos. Um gateway NAT Padrão dá suporte a até 16 endereços IP públicos IPv4.
Você não pode usar um gateway da NAT com endereços IP públicos para o SKU Básico.
| SKU do Gateway da NAT do Azure | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Sim, dá suporte a prefixos e endereços IP públicos IPv4. | Sim, dá suporte a prefixos e endereços IP públicos IPv6. |
| Standard | Sim, dá suporte a prefixos e endereços IP públicos IPv4. | Não, não dá suporte a prefixos e endereços IP públicos IPv6. |
Portas SNAT
O inventário de portas SNAT é fornecido pelos endereços IP públicos, pelos prefixos de IP público ou por ambos, anexados a um gateway da NAT. O inventário de porta SNAT está disponível sob demanda para todas as instâncias dentro de uma sub-rede anexada ao Gateway NAT. Nenhuma pré-alocação de portas SNAT por instância é necessária.
Para obter mais informações sobre as portas SNAT e o Gateway da NAT do Azure, confira SNAT (conversão de endereços de rede de origem) com o Gateway da NAT do Azure.
Quando várias sub-redes dentro de uma rede virtual são anexadas ao mesmo recurso de gateway nat, o inventário de porta SNAT que o gateway NAT fornece é compartilhado em todas as sub-redes.
As portas SNAT servem como identificadores exclusivos para distinguir fluxos de conexão uns dos outros. A mesma porta SNAT pode ser usada para se conectar a pontos de extremidade de destino diferentes ao mesmo tempo.
Portas SNAT diferentes são usadas para fazer conexões com o mesmo ponto de extremidade de destino , a fim de distinguir fluxos de conexão uns dos outros. As portas SNAT que estão sendo reutilizadas para se conectar ao mesmo destino são colocadas em um temporizador de espera para reutilização antes que possam ser reutilizadas.
Um único gateway nat pode ser dimensionado pelo número de endereços IP públicos associados a ele. Cada endereço IP público para um gateway NAT fornece 64.512 portas SNAT para conexões de saída. "Um Gateway NAT pode escalar até mais de 1 milhão de portas SNAT." TCP e UDP são inventários de porta SNAT separados e não estão relacionados a gateways NAT.
Zonas de disponibilidade
Gateway da NAT do Azure tem dois SKUs: Standard e StandardV2. Para garantir que sua arquitetura seja resiliente a falhas zonais, implante um gateway NAT StandardV2, pois ele é um recurso com redundância de zona. Quando uma zona de disponibilidade em uma região fica inativa, novas conexões fluem das zonas íntegras restantes.
Um gateway NAT Padrão é um recurso zonal, o que significa que você pode implantá-lo e operá-lo fora de zonas de disponibilidade individuais. Se a zona associada a um gateway NAT Standard falhar, a interrupção afetará a conectividade de saída para as sub-redes associadas ao gateway NAT.
Para obter mais informações sobre zonas de disponibilidade e Gateway da NAT do Azure, consulte Reliability no Gateway da NAT do Azure.
Depois de implantar um gateway nat, você não pode alterar a seleção de zona.
Protocolos
O gateway da NAT interage com os cabeçalhos de IP e transporte IP de fluxos UDP e TCP. Um gateway NAT é independente dos conteúdos da camada de aplicação. Não há suporte para outros protocolos IP, como o ICMP.
Redefinição de TCP
Um pacote de redefinição de TCP é enviado quando um gateway da NAT detecta um tráfego em um fluxo de conexão que não existe. O pacote de redefinição de TCP indica ao ponto de extremidade de recebimento que o fluxo de conexão foi liberado e qualquer comunicação futura nessa mesma conexão TCP falhará. A redefinição de TCP é unidirecional para um gateway NAT.
O fluxo de conexão poderá não existir se:
A conexão atingiu o tempo limite ocioso após um período de inatividade no fluxo de conexão, e a conexão é descartada silenciosamente.
O remetente, do lado da rede do Azure ou do lado da Internet pública, enviou um tráfego após a conexão ser removida.
O sistema envia um pacote de redefinição TCP somente quando detecta o tráfego no fluxo de conexão descartado. Essa operação significa que um pacote de redefinição TCP pode não ser enviado imediatamente após a queda de um fluxo de conexão.
O sistema envia um pacote de redefinição de TCP em resposta à detecção de tráfego em um fluxo de conexão inexistente, independentemente de o tráfego ser proveniente do lado da rede Azure ou do lado da Internet pública.
Tempo limite ocioso de TCP
Um gateway da NAT fornece um intervalo de tempo limite ocioso configurável de 4 a 120 minutos para protocolos TCP. Os protocolos UDP têm um tempo limite ocioso não configurável de 4 minutos.
Quando uma conexão fica ociosa, o gateway da NAT mantém a porta de SNAT até que a conexão atinja o tempo limite ocioso. Como temporizadores de tempo limite ocioso longos podem aumentar desnecessariamente a probabilidade de esgotamento de portas de SNAT, não é recomendável aumentar a duração do tempo limite ocioso TCP para mais do que o tempo padrão de quatro minutos. O temporizador de tempo limite ocioso não afeta um fluxo que nunca fica ocioso.
Use keepalives TCP para fornecer um padrão de atualização de conexões ociosas por longos períodos e detecção de atividade do ponto de extremidade. Para obter mais informações, consulte these .NET exemplos. Os keepalives TCP aparecem como ACKs (confirmações duplicadas) para os endpoints, têm baixa sobrecarga e são invisíveis para a camada de aplicação.
Temporizadores de tempo ocioso do UDP não são configuráveis. Você deve usar keepalives UDP para garantir que a conexão não atinja o valor de tempo limite ocioso e manter a conexão. Ao contrário das conexões TCP, um keepalive UDP habilitado em um lado da conexão se aplica apenas ao fluxo de tráfego em uma direção. Ative os keepalives UDP em ambos os lados do fluxo de tráfego para manter o fluxo de tráfego ativo.
Temporizadores
Temporizadores de reutilização de porta
Os temporizadores de reutilização da porta determinam a quantidade de tempo após o fechamento de uma conexão em que uma porta de origem fica em espera antes de poder ser reutilizada para que uma nova conexão seja direcionada ao mesmo endpoint de destino pelo gateway NAT.
A tabela a seguir fornece informações sobre quando uma porta TCP fica disponível para reutilização para o mesmo ponto de extremidade de destino pelo gateway da NAT.
| Temporizador | Descrição | Valor |
|---|---|---|
| TCP FIN | Depois que um pacote TCP FIN fecha uma conexão, um temporizador de 65 segundos mantém a porta SNAT pressionada. A porta SNAT fica disponível para reutilização após o término do temporizador. | 65 segundos |
| TCP RST | Depois que um pacote TCP RST (redefinição) fecha uma conexão, um temporizador de 16 segundos mantém bloqueada a porta SNAT. Quando o temporizador zerar, a porta ficará disponível para reutilização. | 16 segundos |
| TCP semiaberto | Durante o estabelecimento da conexão em que um ponto de extremidade de conexão está aguardando a confirmação do outro ponto de extremidade, um temporizador de 30 segundos é iniciado. Se nenhum tráfego é detectado, a conexão é fechada. Depois que a conexão for fechada, a porta de origem estará disponível para reutilização para o mesmo ponto de extremidade de destino. | 30 segundos |
Para o tráfego UDP, após o fechamento de uma conexão, a porta fica em espera por 65 segundos antes de estar disponível para reutilização.
Temporizadores de tempo limite ocioso
| Temporizador | Descrição | Valor |
|---|---|---|
| Tempo limite ocioso de TCP | As conexões TCP podem ficar ociosas quando nenhum ponto de extremidade transmite dados por um período prolongado de tempo. Você pode configurar um temporizador de 4 minutos (padrão) a 120 minutos (2 horas) para cronometrar uma conexão ociosa. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Configurável; 4 minutos (padrão) a 120 minutos |
| Tempo limite de ociosidade do UDP | As conexões UDP podem ficar ociosas quando os pontos de extremidade não transmitem dados por um período prolongado de tempo. Os temporizadores de tempo limite ocioso de UDP são de 4 minutos e não são configuráveis. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Não configurável; 4 minutos |
Observação
Essas configurações de temporizador estão sujeitas a alterações. Os valores fornecidos podem ajudar na solução de problemas. Você não deve depender de temporizadores específicos no momento.
Bandwidth
Cada SKU de Gateway da NAT do Azure tem limites de largura de banda:
Um gateway da NAT StandardV2 dá suporte a até 100 Gbps de taxa de transferência de dados por recurso.
Um gateway NAT padrão fornece 50 Gbps de largura de banda, que é dividida entre o tráfego de saída e o tráfego de entrada (resposta). A taxa de transferência de dados é limitada a 25 Gbps para saída e 25 Gbps para dados de entrada (resposta) por recurso do Gateway da NAT Standard.
Desempenho
Os gateways NAT Standard e StandardV2 dão suporte a até 50.000 conexões simultâneas por endereço IP público para o mesmo ponto de extremidade de destino pela Internet para tráfego TCP e UDP.
Cada um pode dar suporte a até 2 milhões de conexões ativas simultaneamente. O número de conexões em um gateway NAT é contado com base na tupla de 5 (endereço IP de origem, porta de origem, endereço IP de destino, porta de destino e protocolo). Se um gateway NAT exceder 2 milhões de conexões, a disponibilidade do caminho de dados diminuirá e novas conexões falharão.
Um gateway NAT StandardV2 pode processar até 10 milhões de pacotes por segundo. Um gateway nat padrão pode processar até 5 milhões de pacotes por segundo.
Limitações
Os IPs públicos Standard e Basic não são compatíveis com gateways NAT StandardV2. Em vez disso, use IPs públicos StandardV2.
Para criar um IP público StandardV2, consulte Criar um IP público Azure.
Os balanceadores de carga básicos não são compatíveis com gateways NAT. Use balanceadores de carga Standard para Gateways da NAT Standard e StandardV2.
Para atualizar um balanceador de carga do Basic para o Standard, consulte Upgrade um balanceador de carga público Azure.
Os IPs públicos básicos não são compatíveis com Gateways NAT Padrão. Em vez disso, use IPs públicos Standard.
Para atualizar um endereço IP público do Basic para o Standard, consulte Atualizar um endereço IP público básico para Standard.
Gateway da NAT do Azure não dá suporte ao ICMP.
A fragmentação de IP não está disponível para o Gateway da NAT do Azure.
Gateway da NAT do Azure não dá suporte a endereços IP públicos com um tipo de configuração de roteamento de Internet. Para ver uma lista de serviços de Azure que dão suporte à configuração de roteamento Internet em IPs públicos, consulte Supported services for routing over the public Internet.
Gateway da NAT do Azure não dá suporte a IPs públicos com proteção contra DDoS habilitada. Para obter mais informações, consulte Limitações de DDoS.
Não há suporte do Gateway da NAT do Azure em arquiteturas de rede de hub virtual seguro (vWAN).
Você não pode atualizar um gateway NAT Standard para um gateway NAT StandardV2. Para obter resiliência de zona para arquiteturas que usam gateways NAT zonais, você deve implantar um gateway NAT StandardV2 para substituir o gateway NAT SKU Standard.
Não é possível usar IPs públicos Standard com um gateway da NAT StandardV2. Reatribua novos IPs públicos StandardV2 para usar um gateway da NAT StandardV2.
Para obter mais limitações conhecidas dos gateways da NAT StandardV2, consulte SKUs do Gateway da NAT do Azure.
Conteúdo relacionado
- Revise a visão geral do Gateway da NAT do Azure.
- Saiba mais sobre métricos e alertas para Gateway da NAT do Azure.
- Saiba como solucionar problemas do Gateway da NAT do Azure.