Perguntas frequentes para Azure NAT Gateway

O Azure NAT Gateway é uma solução totalmente gerida e altamente resiliente de conectividade de saída para redes virtuais do Azure. Para obter conectividade de saída segura e escalável, anexe um gateway NAT a sub-redes dentro de uma rede virtual e a pelo menos um endereço IP público estático.

Veja os preços do Azure NAT Gateway.

Ver os limites do Azure NAT Gateway.

O número de recursos de gateway NAT permitidos por subscrição por região varia consoante o tipo de categoria de oferta, como teste gratuito, pay-as-you-go, Fornecedor de Soluções em Nuvem (CSP) e Enterprise Agreement. Os tipos de oferta do Enterprise Agreement e CSP permitem até 1.000 recursos de gateway NAT. Os tipos de ofertas patrocinadas e de pagamento conforme o uso podem ter até 100 recursos de NAT gateway. Todos os outros tipos de oferta, como teste gratuito, podem ter até 15 recursos de gateway NAT.

Não, um recurso de gateway NAT não pode ser usado com mais de uma assinatura de cada vez. Para obter orientação passo a passo, consulte Criar e configurar um gateway NAT após uma mudança de região.

Não, um gateway NAT não pode ser movido entre assinaturas, regiões ou grupos de recursos. Um novo gateway NAT deve ser criado para a outra assinatura, região ou grupo de recursos.

Um gateway NAT fornece conectividade de saída de uma rede virtual. O tráfego de retorno em resposta direta a um fluxo de saída também pode passar por um gateway NAT. Nenhum tráfego de entrada diretamente da Internet pode passar por um gateway NAT.

Para o Gateway NAT SKU Standard, utilize registos de fluxo de rede virtual. Os registos de fluxo Rede Virtual (VNet) são uma funcionalidade do Observador de Rede do Azure que regista informações sobre o tráfego IP a fluir através de uma rede virtual. Os dados de fluxo dos registos de fluxo de rede virtual são enviados para o Armazenamento do Azure. A partir daí, você pode acessar os dados e exportá-los para qualquer ferramenta de visualização, solução de gerenciamento de eventos e informações de segurança (SIEM) ou sistema de deteção de intrusão (IDS).

Os logs de fluxo de VNet fornecem informações de conexão para suas máquinas virtuais. As informações de conexão contêm o IP e a porta de origem e o IP e a porta de destino e o estado da conexão. A direção do fluxo de tráfego e o tamanho do tráfego em número de pacotes e bytes enviados também são registrados. O IP de origem e a porta especificados no log de fluxo da rede virtual são para a máquina virtual e não para o gateway NAT.

Para obter orientações gerais sobre como criar e gerenciar logs de fluxo de rede virtual, consulte Gerenciar logs de fluxo de rede virtual.

Para o Gateway NAT StandardV2, estão disponíveis registos de fluxo de gateway NAT que fornecem informação ao nível IP sobre o tráfego que passa através do gateway NAT. Para mais informações, consulte Analisar o tráfego de NAT Gateway com registos de fluxo.

Para excluir um recurso de gateway NAT, o recurso deve primeiro ser desassociado da sub-rede. Depois que o recurso de gateway NAT for desassociado de todas as sub-redes, ele poderá ser excluído. Para obter orientação, consulte Remover um recurso de gateway NAT de uma sub-rede existente e excluir o recurso.

Não, um gateway NAT não suporta fragmentação IP para TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol).

StandardV2 NAT Gateway é uma nova oferta SKU do serviço Azure NAT Gateway. O StandardV2 NAT Gateway oferece suporte para redundância de zonas, limites melhorados de processamento de dados, suporte IPv6, registos de fluxo e maior escalabilidade em comparação com o Standard NAT Gateway original. Para mais informações, consulte SKUs de Gateway NAT.

Não, não podes atualizar um Standard NAT Gateway existente para um StandardV2 NAT Gateway. Para migrar do Standard para o StandardV2 NAT Gateway, crie um novo recurso de gateway NAT StandardV2 e associe-o à sua subrede.

Sim, para saber mais veja os problemas conhecidos e limitações do StandardV2 NAT Gateway.

Não, não há diferenças de preços. O NAT Gateway Standard e o StandardV2 têm o mesmo preço. Para mais informações, consulte Azure NAT Gateway preços para mais informações.

Não, Endereços de IP Públicos Standard não podem ser usados com o Gateway NAT do StandardV2. Para utilizar o StandardV2 NAT Gateway, é necessário usar endereços IP públicos StandardV2. Para mais informações, consulte SKUs de Gateway NAT.

Não, um Gateway NAT StandardV2 só pode ser ligado a uma única rede virtual de cada vez.

As mesmas métricas disponíveis para o Standard NAT Gateway também estão disponíveis para o StandardV2 NAT Gateway. Para mais informações, consulte métricas de gateway NAT.

Não, o StandardV2 NAT Gateway está disponível na maioria das regiões públicas. Para saber mais sobre quais regiões ainda não são suportadas para o StandardV2 NAT Gateway, consulte limitações conhecidas.

A métrica SNAT Connection Count mostra o número de novas conexões SNAT (conversão de endereços de rede) de origem feitas por segundo. A métrica Total SNAT Connection Count mostra o número total de conexões ativas em um recurso de gateway NAT.

Não há nenhuma métrica de uso de porta SNAT para um gateway NAT. Utilize as métricas de Contagem de Conexão SNAT e Contagem Total de Conexão SNAT para ajudar a avaliar a capacidade SNAT do seu recurso de gateway NAT.

As métricas do gateway NAT podem ser recuperadas usando a API REST de métricas. Em alternativa, pode selecionar Partilhar e depois Transferir para Excel a partir do painel de métricas do gateway NAT no portal Azure.

Não, as métricas do gateway NAT não podem ser exportadas usando configurações de diagnóstico. As métricas do gateway NAT são multidimensionais. As configurações de diagnóstico não suportam a exportação de métricas multidimensionais.

Um gateway NAT estabelece automaticamente uma conexão de saída com a Internet depois de ser anexado a um endereço IP público ou a um prefixo e a uma sub-rede. Um gateway NAT tem prioridade sobre o Balanceador de Carga do Azure com regras de saída configuradas, endereços IP públicos a nível de instância em máquinas virtuais (VMs) e o Azure Firewall para conectividade de saída.

Não, não há interrupção nas conexões. As ligações existentes com o serviço de saída anterior (Balanceador de Carga, Azure Firewall, endereços IP públicos ao nível das instâncias) continuam a funcionar até essas ligações fecharem. Depois que um gateway NAT é adicionado à sub-rede da rede virtual, todas as novas conexões usam um gateway NAT para fazer conexões de saída.

No entanto, existe um problema conhecido com o Gateway NAT StandardV2 e com as conexões já estabelecidas que utilizam um balanceador de carga, um firewall ou um IP público a nível de instância de máquina virtual. As ligações existentes com outros métodos de conectividade de saída serão interrompidas após a adição do StandardV2 NAT Gateway a uma subrede. Todas as novas ligações irão usar o Gateway NAT StandardV2. Para saber mais, consulte os problemas conhecidos.

Não, um endereço IP público de um gateway NAT não pode se conectar diretamente a um IP privado pela Internet.

Todas as conexões ativas associadas a um endereço IP público terminam quando o endereço IP público é removido. Se o recurso de gateway NAT tiver vários IPs públicos, o novo tráfego será distribuído entre os IPs atribuídos.

Há algumas razões possíveis pelas quais poderás estar a ver um IP diferente a ser usado para a ligação de saída em relação àquele associado ao teu gateway NAT. Para ajudar a resolver problemas, consulte o guia de resolução de problemas de conectividade Azure NAT Gateway.

Não, o NAT Gateway não é compatível com o modo FTP ativo. Quando o gateway NAT está configurado, o canal cliente e o canal de dados para o modo FTP ativo usam IPs diferentes, pelo que o servidor FTP considera a ligação como inválida. Para obter mais informações, consulte o guia de solução de problemas de conectividade do gateway NAT sobre falhas de conexão para o modo ativo ou passivo de FTP.

O gateway NAT pode ser usado com o modo FTP passivo, mas somente quando um endereço IP público é configurado para o gateway NAT. O modo passivo FTP não funciona com um gateway NAT configurado com um prefixo IP público ou vários endereços IP públicos. Quando um gateway NAT com vários endereços IP públicos envia tráfego de saída, ele seleciona aleatoriamente um de seus endereços IP públicos para o endereço IP de origem. O modo passivo FTP falha quando os dados e os canais de controle usam endereços IP de origem diferentes. Para obter mais informações, consulte o guia de solução de problemas de conectividade do gateway NAT sobre falhas de conexão para o modo ativo ou passivo de FTP.

Não, os IPs públicos dos gateways NAT não são usados para ligar a contas de armazenamento na mesma região. Os serviços implementados na mesma região que uma conta de armazenamento Azure utilizam endereços IP privados do Azure para comunicação. Não pode restringir o acesso a serviços específicos do Azure com base na sua faixa pública de endereços IP de saída. Para obter mais informações, consulte restrições para regras de rede IP.

Um gateway NAT usa o caminho de internet padrão do sistema de uma sub-rede para rotear o tráfego para a Internet. O tráfego não passa por um gateway NAT se uma rota definida pelo usuário for criada para direcionar o tráfego 0.0.0.0/0 para o próximo dispositivo virtual de rede (NVA) do tipo salto ou um gateway de rede virtual.

Nenhuma configuração na tabela de rotas de sub-rede é necessária para iniciar a conexão de saída com um gateway NAT. Quando um gateway NAT é atribuído a uma sub-rede, o gateway NAT torna-se o próximo ponto de encaminhamento para todo o tráfego destinado à Internet. O tráfego pode começar a se conectar de saída à Internet assim que o gateway NAT é atribuído a uma sub-rede e a pelo menos um endereço IP público.

Sim, um gateway NAT pode ser implantado sem um endereço IP público ou prefixo e sub-rede. No entanto, ele não estará operacional até que você anexe pelo menos um endereço IP público ou prefixo e uma sub-rede.

Sim, os endereços IP públicos no seu gateway NAT são fixos e não são alterados.

Um gateway NAT pode usar até 16 endereços IP públicos. Um gateway NAT pode usar qualquer combinação de endereços IP públicos e prefixos IP públicos totalizando 16 endereços. Um gateway NAT suporta os seguintes tamanhos de prefixo: /28 (16 endereços), /29 (8 endereços), /30 (4 endereços) e /31 (2 endereços).

Pode usar prefixos e endereços de IP públicos derivados de prefixos de IP personalizados, também conhecidos pelo termo bring your own IP (BYOIP), com o gateway NAT SKU Standard. IPs personalizados não são suportados com o StandardV2 NAT Gateway. Para saber mais, consulte Prefixo de endereço IP personalizado (BYOIP).

O gateway NAT SKU padrão não suporta endereços IP públicos IPv6. O Gateway NAT StandardV2 pode ser associado a até 16 endereços IP públicos IPv6 ou a um prefixo de tamanho /124.

Não, um gateway NAT não suporta endereços IP públicos com a preferência de encaminhamento "internet." Para ver uma lista de serviços Azure que suportam o tipo de configuração de encaminhamento "internet" em IPs públicos, veja Serviços suportados para encaminhamento sobre a internet pública.

Não, um gateway NAT não suporta endereços IP públicos com a proteção contra DDoS ativada. Os IPs protegidos contra DDoS são geralmente mais críticos para o tráfego de entrada, uma vez que a maioria dos ataques DDoS são projetados para sobrecarregar os recursos do alvo, inundando-os com um grande volume de tráfego de entrada. Para obter mais informações sobre IPs protegidos contra DDoS, consulte Limitações de DDoS.

Sim, você pode alterar os endereços IP públicos associados a um gateway NAT existente. Se você precisar alterar o endereço IP público em seu gateway NAT, consulte Adicionar ou remover um endereço IP público para obter orientação. Os IPs públicos do SKU StandardV2 não funcionam com o Standard NAT Gateway. Os IPs públicos do SKU StandardV2 funcionam apenas com o Gateway NAT StandardV2.

Seus recursos de sub-rede podem usar qualquer um dos endereços IP públicos anexados ao gateway NAT para conectividade de saída. Cada vez que uma nova conexão de saída é feita através de um gateway NAT, o IP público de saída é selecionado aleatoriamente.

N.º Não há suporte para atribuição de IP a sub-redes ou instâncias de VM específicas em uma sub-rede configurada pelo gateway NAT.

Não, um gateway NAT não pode ser conectado a várias redes virtuais.

Sim, o gateway NAT pode ser associado a até 800 sub-redes numa rede virtual. Não é necessário estar associado a todas as sub-redes dentro de uma rede virtual.

Não, um gateway NAT não pode ser associado a uma sub-rede do gateway. As sub-redes de gateway são reservadas para recursos de gateway VPN e não são compatíveis com implantações de gateway NAT. Para usar um gateway NAT, anexe-o a qualquer outra sub-rede dentro da mesma rede virtual.

Não, um gateway NAT opera com base nas propriedades da sub-rede, portanto, vários gateways NAT não podem ser anexados a uma única sub-rede.

O tráfego das redes virtuais spoke pode ser encaminhado para a rede virtual centralizada do hub através de um NVA ou Azure Firewall. Um gateway NAT pode então fornecer conectividade de saída para todas as redes virtuais spoke a partir da rede de hub centralizada. Para configurar um gateway NAT numa arquitetura hub-and-spoke com NVAs, consulte Usar um gateway NAT numa rede hub-and-spoke. Para usar um gateway NAT com Azure Firewall numa configuração hub-and-spoke, veja Integrar um gateway NAT com Azure Firewall.

Um gateway NAT padrão pode ser zonal ou colocado em "zona não". Um gateway NAT sem zona é colocado numa zona para si pelo Azure. Um gateway NAT zonal é associado a uma zona específica pelo usuário quando o gateway NAT é criado. O Gateway NAT StandardV2 é apenas redundante por zona. Se uma única zona falhar numa região, o Gateway NAT StandardV2 consegue manter-se operacional e fornecer conectividade de saída a partir das restantes zonas operacionais. A configuração zonal de um gateway NAT não pode ser alterada após a implantação.

Endereços IP públicos e prefixos da SKU Standard com redundância de zona podem ser associados tanto a um gateway NAT SKU Standard sem zona quanto a um gateway zonal. Os IPs públicos do SKU StandardV2 são apenas redundantes por zona e só podem ser usados com o Gateway NAT StandardV2, que também é redundante por zona. Para mais informações, consulte Azure NAT Gateway e zonas de disponibilidade.

Não, o gateway NAT Standard e StandardV2 não é compatível com recursos SKU básicos. Para saber mais, consulte Azure NAT Gateway fundamentos. Atualize o seu balanceador de carga básico e endereço IP público básico para padrão de modo a funcionar com um gateway NAT. Para mais ajuda:

• Para atualizar um balanceador de carga básico para o padrão, veja Atualizar o balanceador de carga público do Azure.
• Para atualizar um IP público básico para padrão, consulte Atualizar um endereço IP público.
• Para atualizar um IP público básico com uma VM anexada para padrão, consulte Atualizar um endereço IP público básico com uma VM conectada.

Não, não há qualquer tempo de inatividade ao adicionar um gateway NAT a uma sub-rede onde o acesso de saída por defeito está a ser usado. Depois de o gateway NAT ser adicionado à subrede, todas as novas ligações começam a usar gateway NAT em vez do acesso de saída predefinido. Quaisquer conexões existentes com acesso de saída por defeito persistem até que as conexões sejam encerradas.

Você pode configurar um método explícito de conectividade de saída para suas máquinas virtuais usarem antes de habilitar o recurso de sub-rede privada, como o Gateway NAT, para garantir que elas continuem a ter conectividade de saída com a Internet.

Em alguns casos, um IP de saída padrão ainda é atribuído a máquinas virtuais numa sub-rede não privada, mesmo quando está configurado um NAT Gateway ou um UDR a direcionar o tráfego para um NVA/firewall. Isto não implica que os IPs de saída padrão sejam utilizados, exceto se os métodos explícitos de conectividade de saída forem removidos. Para remover completamente os IPs de saída padrão, a sub-rede deve ser privada e as máquinas virtuais devem ser interrompidas e deslocalizadas.

Para conexões TCP, o temporizador de tempo limite ocioso tem como padrão 4 minutos e é configurável até 120 minutos. Se você precisar manter fluxos de conexão longos, use keepalives TCP em vez de estender o temporizador de tempo limite ocioso. TCP keepalives mantêm as conexões ativas por um período mais longo.

O temporizador de tempo limite de inatividade UDP está definido para 4 minutos e não é configurável.

Quando uma conexão TCP/UDP é fechada, a porta é colocada em um período de resfriamento antes de poder ser reutilizada para se conectar ao mesmo ponto de extremidade de destino. Para obter mais informações, consulte Temporizadores de reutilização de porta SNAT. As conexões que vão para um destino diferente podem usar uma porta SNAT imediatamente. Para mais informações, consulte SNAT com Azure NAT Gateway.

Sim, um gateway NAT pode ser usado com o Serviço de Aplicações do Azure para permitir que aplicações direcionem o tráfego de saída para a internet a partir de uma rede virtual. Para utilizar esta integração entre um gateway NAT e o Serviço de Aplicações do Azure, é necessário ativar a integração regional com rede virtual. Para orientação sobre como ativar a integração de rede virtual com um gateway NAT, consulte integração do Azure NAT Gateway.

Sim. StandardV2 e Standard NAT Gateway podem ser implementados tanto com um Managed NAT Gateway como com um NAT Gateway atribuído a utilizador. Para mais informações sobre a integração do NAT gateway com Azure Kubernetes Service, consulte Managed NAT Gateway.

Para gerenciar um cluster AKS, o cluster interage com seu servidor de API. Em clusters não privados, o tráfego de clusters de servidores API é encaminhado e processado através do tipo de saída do cluster. Quando o tipo de saída do cluster é definido como Gateway NAT, o tráfego do servidor de API é processado como tráfego público através do gateway NAT. Para evitar que o tráfego do servidor de API seja processado como tráfego público, considere usar um cluster privado ou usar o recurso API Server VNet Integration (em pré-visualização).

Sim, um gateway NAT pode ser usado com o Azure Firewall. Recomenda-se usar o StandardV2 NAT Gateway com um firewall redundante por zona. Para mais informações sobre a integração de gateways NAT com o Azure Firewall, consulte Ajustar a capacidade das portas SNAT com um gateway NAT.

Sim, a adição de uma gateway NAT a uma subrede com endpoints de serviço não afeta os endpoints. Endpoints de serviço de Rede Virtual permitem uma rota mais específica para o tráfego para o serviço Azure de destino que representam. O tráfego para o endpoint de serviço atravessa a rede principal do Azure em vez de usar a internet. Recomendamos o Private Link em vez dos endpoints de serviço quando se liga à plataforma Azure como serviço (PaaS) diretamente a partir da sua rede Azure.

Sim. Se ativar a conectividade segura do cluster no seu espaço de trabalho, um gateway NAT pode ser usado com o Azure Databricks de duas formas:

• Se usar conectividade segura em cluster com a rede virtual padrão criada pelo Azure Databricks, o Azure Databricks cria automaticamente um gateway NAT para tráfego de saída das subredes do seu espaço de trabalho. O gateway NAT é criado dentro do grupo de recursos geridos que o Azure Databricks gere. Não é possível modificar esse grupo de recursos ou quaisquer recursos provisionados nele.
• Se você habilitar a conectividade segura de cluster em seu espaço de trabalho que usa injeção de rede virtual, poderá implantar um gateway NAT nas duas sub-redes do espaço de trabalho para fornecer conectividade de saída. Nesse caso, você pode modificar a configuração para requisitos de conectividade de saída personalizados. Para obter mais informações, consulte Conectividade segura de cluster.

Não, o gateway NAT não pode ser usado numa subrede SQL Managed Instance.

Próximos passos

Se a sua pergunta não estiver listada aqui, envie comentários sobre esta página com a sua pergunta. Esta informação criará um problema no GitHub para a equipa de produto, garantindo que todas as nossas perguntas valiosas para os clientes são respondidas.