Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve os componentes-chave de um recurso de gateway de tradução de endereços de rede (NAT) que lhe permitem fornecer conectividade de saída altamente segura, escalável e resiliente. Os recursos de gateway NAT fazem parte do serviço Azure NAT Gateway.
Pode configurar um gateway NAT na sua subscrição através de clientes suportados. Estes clientes incluem o portal Azure, a CLI do Azure, Azure PowerShell, templates do Azure Resource Manager ou alternativas apropriadas.
Códigos de Produto do Gateway NAT da Azure
O Azure NAT Gateway está disponível em dois SKUs: StandardV2 e Standard.
SKU StandardV2 é redundante por zona por predefinição. Atravessa automaticamente várias zonas de disponibilidade numa região para garantir conectividade de saída contínua, mesmo que uma zona fique indisponível.
O SKU Standard é um recurso zonal. Está implantado numa zona de disponibilidade específica e é resiliente dentro dessa zona.
Um gateway NAT StandardV2 suporta IPv4 e IPv6 IPs públicos, enquanto um gateway NAT Standard suporta apenas IPs públicos IPv4.
Arquitetura do Azure NAT Gateway
O Azure NAT Gateway utiliza redes definidas por software para operar como um serviço totalmente gerido e distribuído. Por design, um gateway NAT abrange múltiplos domínios de falha, permitindo-lhe suportar múltiplas falhas sem qualquer efeito no serviço.
O Azure NAT Gateway fornece tradução de endereços de rede de origem (SNAT) para instâncias privadas dentro das sub-redes associadas da sua rede virtual Azure. Os IPs privados das máquinas virtuais utilizam SNAT para os endereços IP públicos estáticos de um gateway NAT, permitindo a conexão de saída para a internet. O Azure NAT Gateway também fornece tradução de endereços de rede de destino (DNAT) apenas para pacotes de resposta a uma ligação originada pela saída.
Quando um gateway NAT é configurado numa sub-rede dentro de uma rede virtual, torna-se o próximo salto padrão da sub-rede para todo o tráfego de saída direcionado para a internet. Não são necessárias configurações de roteamento extras. Um gateway NAT não fornece ligações de entrada não solicitadas da internet. O DNAT é realizado apenas para pacotes que chegam como resposta a um pacote de saída.
Sub-redes
Pode ligar um gateway StandardV2 ou Standard NAT a múltiplas subredes dentro de uma rede virtual para fornecer conectividade de saída à internet. Quando um gateway NAT está ligado a uma sub-rede, assume a rota padrão para a internet. O gateway NAT serve como o próximo ponto de salto para todo o tráfego de saída destinado à internet.
Os gateways NAT apresentam estas limitações para configurações de sub-rede:
Cada sub-rede não pode ter mais do que um gateway NAT ligado.
Não podes ligar um gateway NAT a sub-redes de diferentes redes virtuais.
Não é possível usar um NAT gateway com uma gateway subnet. Uma sub-rede de gateway é uma sub-rede designada para um gateway VPN enviar tráfego criptografado entre uma rede virtual do Azure e um local físico.
Endereços IP públicos estáticos
Um gateway NAT pode ser associado a endereços IP públicos estáticos ou prefixos IP públicos. Se você atribuir um prefixo IP público, todo o prefixo IP público será usado. Pode usar um prefixo IP público diretamente ou distribuir os endereços IP públicos do prefixo por vários recursos de gateway NAT. O gateway NAT envia todo o tráfego para a gama de endereços IP do prefixo.
Estas condições aplicam-se:
Um gateway NAT StandardV2 suporta até 16 endereços IP públicos IPv4 e 16 IPv6.
Não é possível usar um gateway NAT Standard com endereços IP públicos IPv6 ou prefixos. Um gateway NAT Standard suporta até 16 endereços IP públicos IPv4.
Não podes usar um gateway NAT com endereços IP públicos para o SKU Básico.
| Azure NAT Gateway código SKU | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Sim, suporta endereços IP públicos IPv4 e prefixos. | Sim, suporta endereços IP públicos IPv6 e prefixos. |
| Standard | Sim, suporta endereços IP públicos IPv4 e prefixos. | Não, não suporta endereços IP públicos IPv6 nem prefixos. |
Portas SNAT
O inventário de portas SNAT é fornecido pelos endereços IP públicos, prefixos de IP públicos, ou ambos ligados a um gateway NAT. O inventário de portas SNAT está disponível sob demanda para todas as instâncias dentro de uma sub-rede ligada ao gateway NAT. Nenhuma pré-alocação de portas SNAT por instância é necessária.
Para obter mais informações sobre portas SNAT e Azure NAT Gateway, consulte Source Network Address Translation (SNAT) with Azure NAT Gateway.
Quando múltiplas sub-redes dentro de uma rede virtual estão ligadas ao mesmo recurso de gateway NAT, o inventário de portas SNAT que o gateway NAT fornece é partilhado entre todas as sub-redes.
As portas SNAT servem como identificadores únicos para distinguir os fluxos de ligação entre si. A mesma porta SNAT pode ser usada para se conectar a diferentes pontos de extremidade de destino ao mesmo tempo.
Diferentes portas SNAT são usadas para fazer ligações ao mesmo ponto final de destino , de modo a distinguir os fluxos de ligação entre si. Portas SNAT reutilizadas para ligar ao mesmo destino são colocadas num temporizador de reutilização antes de poderem ser reutilizadas.
Um único gateway NAT pode escalar pelo número de endereços IP públicos associados a ele. Cada endereço IP público de um gateway NAT fornece 64.512 portas SNAT para efetuar ligações de saída. Um gateway NAT pode escalar para mais de 1 milhão de portas SNAT. TCP e UDP são inventários de portas SNAT separados e não estão relacionados com gateways NAT.
Zonas de disponibilidade
Azure NAT Gateway tem dois SKUs: Standard e StandardV2. Para garantir que a sua arquitetura é resiliente a falhas zonais, implemente um gateway NAT StandardV2, porque é um recurso redundante em zona. Quando uma zona de disponibilidade numa região diminui, novas ligações surgem das zonas restantes saudáveis.
Um gateway NAT Standard é um recurso zonal, o que significa que pode implementá-lo e operá-lo a partir de zonas de disponibilidade individuais. Se a zona associada a um gateway NAT Standard cair, a falha afeta a conectividade de saída das sub-redes associadas ao gateway NAT.
Para mais informações sobre zonas de disponibilidade e Azure NAT Gateway, consulte Fiabilidade em Azure NAT Gateway.
Depois de implantares um gateway NAT, não podes alterar a seleção de zonas.
Protocolos
Um gateway NAT interage com os cabeçalhos de transporte IP e IP dos fluxos UDP e TCP. Um gateway NAT é agnóstico em relação às cargas úteis da camada de aplicação. Outros protocolos IP, como o ICMP, não são suportados.
Redefinição de TCP
Um pacote de redefinição de TCP é enviado quando um gateway NAT deteta tráfego em um fluxo de conexão que não existe. O pacote de reinício TCP indica ao endpoint receptor que o fluxo de ligação foi libertado e que qualquer comunicação futura nesta mesma ligação TCP falhará. O reset TCP é unidirecional para um gateway NAT.
O fluxo de ligação pode não existir se:
A conexão atingiu o tempo limite de inatividade após um período de inatividade no fluxo de conexão, e a conexão é interrompida sem aviso.
O remetente, do lado da rede do Azure ou do lado público da Internet, enviou tráfego depois que a conexão caiu.
O sistema envia um pacote de reset TCP apenas quando deteta tráfego no fluxo de ligação caído. Esta operação significa que um pacote de reset TCP pode não ser enviado imediatamente após uma queda de fluxo de ligação.
O sistema envia um pacote de reset TCP em resposta à deteção de tráfego num fluxo de ligação inexistente, independentemente de o tráfego ter origem no lado da rede Azure ou do lado da internet pública.
Tempo limite de inatividade TCP
Um gateway NAT fornece um intervalo de tempo limite ocioso configurável de 4 minutos a 120 minutos para protocolos TCP. Os protocolos UDP têm um tempo limite de inatividade não configurável de 4 minutos.
Quando uma ligação fica inativa, o gateway NAT mantém a porta SNAT ocupada até que o tempo de espera da ligação expirar. Como os tempos de espera longos podem aumentar desnecessariamente a probabilidade de esgotamento das portas SNAT, não recomendamos que aumente a duração do tempo de espera inativo do TCP para mais do que o tempo padrão de 4 minutos. O temporizador ocioso não afeta um fluxo que nunca fica ocioso.
Pode usar o TCP keepalives para fornecer um padrão de atualização de ligações longas de inatividade e deteção de vivacidade dos endpoints. Para mais informações, consulte estes .NET exemplos. As funcionalidades de keepalive TCP aparecem como reconhecimentos duplicados (ACKs) para os endpoints, têm baixa sobrecarga e são invisíveis para a camada de aplicação.
Os temporizadores de tempo de espera do UDP não são configuráveis. Deverás utilizar keepalives UDP para garantir que a ligação não atinge o valor do tempo limite de inatividade e para manter a ligação. Ao contrário das ligações TCP, um UDP keepalive ativado de um lado da ligação aplica-se apenas ao fluxo de tráfego numa direção. Deve ativar UDP keepalives em ambos os lados do fluxo de tráfego para manter o fluxo de tráfego ativo.
Temporizadores
Temporizadores de reutilização de portas
Os temporizadores de reutilização de portas determinam o tempo após o encerramento de uma ligação em que uma porta de origem está em hold-down antes de poder ser reutilizada para que uma nova ligação vá ao mesmo destino final pelo gateway NAT.
A tabela a seguir fornece informações sobre quando uma porta TCP fica disponível para reutilização no mesmo ponto de extremidade de destino pelo gateway NAT.
| Temporizador | Descrição | valor |
|---|---|---|
| TCP FIN | Depois de um pacote TCP FIN fechar uma ligação, um temporizador de 65 segundos mantém a porta SNAT presa. A porta SNAT está disponível para reutilização após o término do temporizador. | 65 segundos |
| TCP RST | Após um pacote TCP RST (reset) fechar uma ligação, um temporizador de 16 segundos mantém a porta SNAT inativa. Quando o temporizador termina, a porta fica disponível para reutilização. | 16 segundos |
| TCP semiaberto | Durante o estabelecimento da ligação, quando um dos pontos finais da ligação está à espera de confirmação do outro endpoint, inicia-se um temporizador de 30 segundos. Se nenhum tráfego for detetado, a conexão será fechada. Após o encerramento da ligação, a porta de origem fica disponível para reutilização no mesmo ponto final de destino. | 30 segundos |
No tráfego UDP, após o encerramento da ligação, a porta fica em espera durante 65 segundos antes de estar disponível para reutilização.
Temporizadores de tempo de inatividade
| Temporizador | Descrição | valor |
|---|---|---|
| Tempo limite de inatividade TCP | As ligações TCP podem ficar inativas quando nenhum dos endpoints transmite dados durante um período prolongado. Podes configurar um temporizador de 4 minutos (por defeito) para 120 minutos (2 horas) para esgotar uma ligação ociosa. O tráfego no fluxo reinicia o temporizador de timeout de inatividade. | Configurável; 4 minutos (padrão) a 120 minutos |
| Tempo limite de inatividade UDP | As ligações UDP podem ficar inativas quando os endpoints não transmitem dados durante um período prolongado. Os temporizadores de tempo limite ocioso UDP são de 4 minutos e não são configuráveis. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Não configurável; 4 minutos |
Nota
Estas definições do temporizador estão sujeitas a alterações. Os valores fornecidos podem ajudar na resolução de problemas. Não deves depender de temporizadores específicos neste momento.
Bandwidth
Cada SKU do Azure NAT Gateway tem limites de largura de banda:
Um NAT gateway StandardV2 suporta até 100 Gbps de largura de banda de dados por recurso de gateway NAT.
Um gateway NAT Standard fornece 50 Gbps de largura de banda, que é dividido entre tráfego de saída e de entrada (resposta). A largura de banda é limitada a 25 Gbps para dados de saída e 25 Gbps para dados de entrada (resposta) por recurso de gateway NAT Standard.
Desempenho
Os gateways NAT Standard e StandardV2 suportam cada um até 50.000 ligações concorrentes por endereço IP público para o mesmo endpoint de destino via internet para tráfego TCP e UDP.
Cada uma pode suportar até 2 milhões de ligações ativas em simultâneo. O número de ligações num gateway NAT é contado com base no 5-tupla (endereço IP de origem, porta de origem, endereço IP de destino, porta de destino e protocolo). Se um gateway NAT ultrapassar 2 milhões de ligações, a disponibilidade do caminho de dados diminui e as novas ligações falham.
Um gateway NAT StandardV2 pode processar até 10 milhões de pacotes por segundo. Um gateway NAT Standard pode processar até 5 milhões de pacotes por segundo.
Limitações
Os IPs públicos Standard e Basic não são compatíveis com gateways NAT StandardV2. Use em vez disso IPs públicos StandardV2.
Para criar um IP público StandardV2, veja Criar um IP público Azure.
Balanceadores de carga básicos não são compatíveis com gateways NAT. Utilize balanceadores de carga Standard tanto para gateways NAT Standard como StandardV2.
Para atualizar um balanceador de carga de Basic para Standard, veja Atualize um balanceador de carga público Azure.
Os IPs públicos básicos não são compatíveis com os gateways NAT Standard. Use IPs públicos padrão em vez disso.
Para atualizar um endereço IP público de Basic para Standard, veja Atualizar um endereço IP público Basic para Standard.
O Azure NAT Gateway não suporta ICMP.
A fragmentação IP não está disponível para o Azure NAT Gateway.
Azure NAT Gateway não suporta endereços IP públicos com configuração de roteamento do tipo Internet. Para ver uma lista de serviços de Azure que suportam a configuração de encaminhamento Internet em IPs públicos, veja Serviços suportados para roteamento sobre a internet pública.
O Azure NAT Gateway não suporta IPs públicos com proteção DDoS ativada. Para obter mais informações, consulte Limitações de DDoS.
O Azure NAT Gateway não é suportado numa arquitetura de rede virtual hub segura (vWAN).
Não podes atualizar um gateway NAT Standard para um gateway NAT StandardV2. Para alcançar resiliência de zonas em arquiteturas que utilizam gateways NAT zonais, deve implementar um gateway NAT StandardV2 para substituir o gateway NAT do SKU Standard.
Não podes usar IPs públicos Standard com um gateway NAT StandardV2. Deve alterar os seus IPs para novos IPs públicos StandardV2 para poder utilizar um gateway NAT StandardV2.
Para limitações mais conhecidas dos gateways NAT StandardV2, veja Azure NAT Gateway SKUs.
Conteúdo relacionado
- Consulte a visão geral do Azure NAT Gateway.
- Saiba mais sobre métricas e alertas para Azure NAT Gateway.
- Aprenda a resolver problemas Azure NAT Gateway.