Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure NAT Gateway é um serviço de Tradução de Endereços de Rede (NAT) totalmente gerido e altamente resiliente. Use o Azure NAT Gateway para permitir que todas as instâncias numa sub-rede se conectem à internet, mantendo-se totalmente privadas. Um NAT Gateway não permite ligações de entrada não solicitadas a partir da internet. Somente os pacotes que chegam como pacotes de resposta a uma conexão de saída podem passar por um gateway NAT.
O NAT Gateway aloca dinamicamente portas SNAT para escalar automaticamente a conectividade de saída e minimizar o risco de esgotamento das portas SNAT.
Azure NAT Gateway está disponível em dois SKUs:
Standard O SKU NAT Gateway é zonal (implementado numa única zona de disponibilidade) e fornece conectividade escalável de saída para sub-redes numa única rede virtual.
StandardV2 O SKU NAT Gateway é redundante em zona , com maior débito do que o SKU Standard, suporte a IPv6 e suporte a log de fluxo.
StandardV2 NAT Gateway
O Gateway NAT StandardV2 oferece todas as mesmas funcionalidades do Gateway NAT SKU Standard, como alocação dinâmica de portas SNAT e conectividade segura de saída para sub-redes dentro de uma rede virtual. Além disso, o StandardV2 NAT Gateway é redundante por zona, o que significa que fornece conectividade de saída a partir de todas as zonas de uma região, em vez de uma única zona como o Standard NAT Gateway.
Figura: O Gateway NAT StandardV2 abrange várias zonas de disponibilidade numa região.
Principais capacidades do Gateway NAT StandardV2
- Redundante de zona - opera em todas as zonas de disponibilidade de uma região para assegurar a conectividade em caso de falha numa única zona.
- Suporte IPv6 - suporta endereços IP públicos IPv4 e IPv6 e prefixos para conectividade de saída.
- Maior largura de banda – cada Gateway NAT StandardV2 pode fornecer até 100 Gbps de largura de banda, comparado com 50 Gbps do Gateway NAT Standard.
- Suporte a registos de fluxo - fornece informação de tráfego baseada em IP para ajudar a monitorizar e analisar os fluxos de tráfego de saída.
Para saber mais sobre como implementar o StandardV2 NAT Gateway, consulte Criar um StandardV2 NAT Gateway.
Principais limitações do StandardV2 NAT Gateway
- Requer endereços IP públicos ou prefixos do SKU StandardV2. IPs públicos de SKU padrão não são suportados com o Gateway NAT StandardV2.
- O Standard SKU NAT Gateway não pode ser atualizado para o StandardV2 NAT Gateway. Deve primeiro criar o StandardV2 SKU NAT Gateway e substituir o Standard SKU NAT Gateway na sua subrede.
- O Terraform ainda não suporta a anexação de endereços IPv6 StandardV2 IP públicos ao StandardV2 NAT Gateway. IPv4 IPs públicos StandardV2 podem ser ligados ao StandardV2 NAT Gateway com Terraform. Nenhum outro cliente é afetado.
- As seguintes regiões não suportam o StandardV2 NAT Gateway:
- Leste do Canadá
- Chile Central
- Indonésia Central
- Israel Noroeste
- Oeste da Malásia
- Catar Central
- Sul da Suécia
- E.U.A. Centro-Oeste
- Índia Ocidental
- O StandardV2 NAT Gateway não suporta e não pode ser ligado a sub-redes delegadas para os seguintes serviços:
- Azure SQL Managed Instance
- Azure Container Instances (Instâncias de Contêiner do Azure)
- Base de Dados do Azure para PostgreSQL - Flexible Server
- Azure Database para MySQL - Servidor Flexível
- Base de Dados Azure para MySQL
- Azure Data Factory - Movimentação de Dados
- Serviços Microsoft Power Platform
- Azure Stream Analytics
- Azure Aplicações Web
- Azure Container Apps
- DNS do Azure Private Resolver
Problemas conhecidos do StandardV2 NAT Gateway
O tráfego de saída IPv6 que utiliza regras de saída do Balanceador de Carga é interrompido quando se associa o Gateway NAT StandardV2 a uma subrede. Se precisar de conectividade de saída IPv4 e IPv6, use regras de saída do Load Balancer para tráfego IPv4 e IPv6 ou use o Standard NAT Gateway para tráfego IPv4 e as regras de saída do Load Balancer para tráfego IPv6.
Ligar um gateway NAT StandardV2 a uma sub-rede vazia criada antes de abril de 2025 sem quaisquer máquinas virtuais pode causar um estado de falha na rede virtual. Para devolver a rede virtual a um estado bem-sucedido, remova o StandardV2 NAT Gateway, crie e adicione uma máquina virtual à sub-rede, e depois volte a ligar o StandardV2 NAT Gateway.
As ligações de saída que utilizam Load Balancer, Azure Firewall ou IPs públicos ao nível de instância de máquina virtual podem ser interrompidas quando adiciona um gateway NAT StandardV2 a uma subrede. Todas as novas ligações de saída usam o gateway NAT StandardV2.
Para mais informações sobre problemas conhecidos e limitações do StandardV2 NAT Gateway, consulte Problemas e limitações conhecidos do StandardV2 NAT Gateway.
Gateway NAT Padrão
Pode associar o Standard NAT Gateway a sub-redes dentro da mesma rede virtual para fornecer conectividade de saída à internet. O NAT Gateway Standard opera a partir de uma única zona de disponibilidade.
*Figura: Gateway NAT padrão numa única zona de disponibilidade.
Benefícios do Azure NAT Gateway
Configuração simples
As implementações com NAT Gateway são intencionalmente simples. Ligue o NAT Gateway a uma sub-rede e a um endereço IP público, e inicie a ligação de saída à internet de imediato. Não há necessidade de manutenção e configurações de roteamento. Podes adicionar mais IPs ou sub-redes públicas mais tarde sem afetar a tua configuração atual.
Os passos seguintes mostram um exemplo de como configurar um NAT Gateway:
Crie um gateway NAT não zonal ou zonal.
Crie um gateway NAT.
Atribua um endereço IP público ou prefixo IP público.
Configure uma sub-rede para usar um gateway NAT.
Se necessário, modifique o tempo limite de inatividade do protocolo TCP (Transmission Control Protocol) (opcional). Revise os temporizadores antes de alterar o padrão.
Segurança
O NAT Gateway é construído sobre o modelo de segurança de rede Confiança Zero e é seguro por defeito. Ao usar o NAT Gateway, as instâncias privadas dentro de uma sub-rede não precisam de endereços IP públicos para aceder à internet. Os recursos privados podem alcançar fontes externas fora da rede virtual por conversão de endereço de rede de origem (SNAT) para endereços IP públicos estáticos ou prefixos do NAT Gateway. Você pode fornecer um conjunto contíguo de IPs para conectividade de saída usando um prefixo IP público. Pode configurar regras de firewall de destino com base nesta lista de IPs previsível.
Resiliência
Azure NAT Gateway é um serviço totalmente gerido e distribuído. Ele não depende de instâncias de computação individuais, como máquinas virtuais ou um único dispositivo de gateway físico. Um gateway NAT sempre tem vários domínios de falha e pode sustentar várias falhas sem interrupção de serviço. A rede definida por software torna um gateway NAT altamente resiliente.
Escalabilidade
O NAT Gateway é automaticamente expandido a partir da sua criação. Não é necessária uma operação de aumento de capacidade ou expansão de recursos. O Azure gere a operação do NAT Gateway por si.
Anexe o Gateway NAT a uma sub-rede para fornecer conectividade de saída para todos os recursos privados nessa sub-rede. Todas as sub-redes em uma rede virtual podem usar o mesmo recurso de gateway NAT. Pode escalar a conectividade de saída atribuindo até 16 endereços IP públicos ao NAT Gateway. Quando associa um NAT Gateway a um prefixo IP público, ele escala automaticamente para o número de endereços IP necessários para a saída.
Desempenho
Azure NAT Gateway é um serviço de rede definido por software. Cada gateway NAT pode processar até 50 Gbps de dados para tráfego de saída e retorno.
Um gateway NAT não afeta a largura de banda de rede dos seus recursos de computação. Para mais informações, consulte o desempenho do NAT Gateway.
Conceitos básicos do Azure NAT Gateway
O Azure NAT Gateway fornece conectividade de saída segura e escalável para recursos numa rede virtual. É o método recomendado para acesso externo à internet.
Conectividade de saída
NAT Gateway é o método recomendado para conectividade de saída.
- Para migrar o acesso de saída padrão para um NAT Gateway, a partir do acesso de saída padrão ou das regras de saída do Balanceador de Carga, consulte Migrar acesso de saída para Azure NAT Gateway.
Nota
A 31 de março de 2026, as novas redes virtuais irão usar sub-redes privadas por defeito, pelo que o acesso de saída por defeito não é fornecido. Use uma forma explícita de conectividade de saída, como o NAT Gateway.
O NAT Gateway fornece conectividade de saída em um nível de sub-rede. O Gateway NAT substitui o destino padrão da Internet de uma sub-rede para fornecer conectividade de saída.
O NAT Gateway não requer nenhuma configuração de roteamento em uma tabela de rotas de sub-rede. Depois de ligar o NAT Gateway a uma subrede, ele fornece conectividade de saída imediatamente.
O NAT Gateway permite a criação de fluxos da rede virtual para os serviços fora da sua rede virtual. O tráfego de retorno da Internet só é permitido em resposta a um fluxo ativo. Serviços fora da sua rede virtual não conseguem iniciar uma ligação de entrada através do NAT Gateway.
O NAT Gateway tem prioridade sobre outros métodos de conectividade de saída, incluindo um Balanceador de Carga, endereços IP públicos ao nível da instância e o Azure Firewall.
O NAT Gateway tem prioridade sobre outros métodos de saída explícitos configurados em uma rede virtual para todas as novas conexões. Não há quedas no fluxo de tráfego para conexões existentes usando outros métodos explícitos de conectividade de saída.
O NAT Gateway não tem as mesmas limitações de esgotamento de portas SNAT que o acesso de saída padrão e as regras de saída de um Balanceador de Carga.
O NAT Gateway suporta apenas protocolos TCP e UDP (User Datagram Protocol). O ICMP (Internet Control Message Protocol) não é suportado.
- Instâncias do Aplicação Azure AD Services (aplicações web, APIs REST e backends móveis) através da integração de rede virtual.
A sub-rede tem uma rota padrão do sistema que roteia o tráfego com destino 0.0.0.0/0 para a Internet automaticamente. Depois de configurar o NAT Gateway para a sub-rede, as máquinas virtuais na sub-rede comunicam com a internet usando o IP público do NAT Gateway.
Quando criar uma rota definida pelo utilizador (UDR) na tabela de rotas da sua sub-rede para tráfego 0.0.0.0/0, anula o caminho predefinido da internet para esse tráfego. Um UDR que envia tráfego 0.0.0.0/0 para um appliance virtual ou um gateway de rede virtual (Gateway de VPN e ExpressRoute) como tipo de próximo salto substitui a conectividade do Gateway NAT com a internet.
Como funciona o gateway NAT
Sem configuração de tabela de rotas - o gateway NAT funciona ao nível da subrede. Quando adiciona, o gateway NAT dá-lhe conectividade de saída sem precisar de configurações de routing na tabela de roteamento da subnet.
- UDR para o próximo salto do appliance virtual ou gateway de rede virtual >> NAT gateway >> Endereço IP público ao nível da instância numa máquina virtual >> regras de saída do Balanceador de Carga >> rota padrão do sistema para a internet.
Configurações de gateway NAT
Várias sub-redes dentro da mesma rede virtual podem usar diferentes gateways NAT ou o mesmo gateway NAT.
Não podes ligar múltiplos NAT Gateways a uma única subrede.
Um NAT Gateway não pode abranger múltiplas redes virtuais. No entanto, pode usar um NAT Gateway para fornecer conectividade de saída num modelo hub and spoke. Para obter mais informações, consulte o tutorial de hub and spoke do NAT Gateway.
Um recurso Standard SKU NAT Gateway pode usar até 16 endereços IP públicos IPv4. O StandardV2 SKU NAT Gateway pode usar até 16 endereços IP públicos IPv4 e 16 IPv6.
Não podes implementar um NAT Gateway numa sub-rede de gateway ou numa sub-rede que contenha Instâncias Geridas SQL.
O Gateway NAT funciona com qualquer interface de rede de máquina virtual ou configuração de IP. NAT Gateway pode realizar SNAT em várias configurações de IP numa interface de rede.
Pode associar o NAT Gateway a uma sub-rede do Azure Firewall numa rede virtual central e fornecer conectividade de saída a partir de redes virtuais satélite emparelhadas com a rede central. Para saber mais, consulte Azure Firewall integração com o NAT Gateway.
Zonas de disponibilidade
Pode criar um Gateway NAT SKU Standard numa zona de disponibilidade específica ou colocá-lo em nenhuma zona.
Podes isolar um Gateway NAT Standard numa zona específica quando crias um Gateway NAT zonal. Depois de implantares o NAT Gateway, não podes alterar a seleção de zonas.
Por defeito, um Gateway NAT Standard não é colocado em nenhuma zona. Azure coloca um não zonal NAT Gateway numa zona para si.
Um Gateway NAT SKU StandardV2 é redundante por zona e opera em todas as zonas de disponibilidade de uma região para manter a conectividade durante uma única falha de zona.
Acesso de saída padrão
Para fornecer uma ligação segura à internet, ative a sub-rede privada para evitar a criação de IPs de saída por defeito e, em vez disso, utilize um método explícito de conectividade de saída, como um gateway de NAT.
Certos serviços não funcionam numa máquina virtual numa sub-rede privada sem um método explícito de conectividade de saída, como o Windows Activation e o Windows Updates. Para ativar ou atualizar sistemas operativos de máquinas virtuais, como o Windows, é necessário um método explícito de conectividade de saída, como o gateway NAT.
Para migrar o acesso de saída padrão para um NAT Gateway, a partir do acesso de saída padrão ou das regras de saída do Balanceador de Carga, consulte Migrar acesso de saída para Azure NAT Gateway.
Nota
A 31 de março de 2026, as novas redes virtuais irão usar por predefinição sub-redes privadas, o que significa que o acesso de saída não será mais fornecido automaticamente, e deve ativar um método explícito de saída para alcançar endereços públicos na Internet e dentro da Microsoft. Use uma forma explícita de conectividade de saída, como o NAT Gateway.
Gateway NAT e recursos básicos
O Gateway NAT Standard funciona com endereços IP públicos padrão ou prefixos IP públicos. O Gateway NAT StandardV2 funciona apenas com endereços IP públicos StandardV2 ou prefixos de IP públicos.
Não podes usar o NAT Gateway com sub-redes que tenham recursos básicos. Recursos básicos de SKU, como o Balanceador de Carga básico ou IPs públicos básicos, não funcionam com o NAT Gateway. Podes atualizar o Balanceador de Carga básico e o IP público básico para standard para funcionar com um NAT Gateway.
Para obter mais informações sobre como atualizar um Balanceador de Carga do Azure de básico para standard, consulte Atualizar um Balanceador de Carga do Azure básico público.
Para obter mais informações sobre como atualizar um IP público do básico para o padrão, consulte Atualizar um endereço IP público.
Para obter mais informações sobre como atualizar um IP público básico anexado a uma máquina virtual de básico para padrão, consulte Atualizar um IP público básico anexado a uma máquina virtual.
Tempos limite de conexão e temporizadores
O Gateway NAT envia um pacote TCP Reset (RST) para qualquer fluxo de conexão que ele não reconhece como uma conexão existente. O fluxo de ligação deixa de existir se o timeout do NAT Gateway for atingido ou se a ligação tiver sido encerrada anteriormente.
Quando o remetente do tráfego no fluxo de conexão inexistente recebe o pacote TCP RST do Gateway NAT, a conexão não é mais utilizável.
As portas SNAT não estão prontamente disponíveis para reutilização no mesmo ponto de extremidade de destino após o fechamento de uma conexão. O NAT Gateway coloca as portas SNAT num estado de recarga antes de poderem ser reutilizadas para se ligar ao mesmo destino final.
A duração do temporizador de reutilização de portas SNAT (cooldown) varia para o tráfego TCP de acordo com a forma como a conexão é encerrada. Para saber mais, consulte Temporizadores de Reutilização de Portas.
O temporizador de inatividade do NAT Gateawy TCP tem por defeito 4 minutos, mas pode ser aumentado até 120 minutos. Qualquer atividade num fluxo pode reiniciar o temporizador de repouso, incluindo o TCP keepalives. Para saber mais, consulte Temporizadores de tempo limite ocioso.
O tráfego UDP tem um temporizador de espera de 4 minutos que não podes alterar.
O tráfego UDP tem um temporizador de reutilização de porta de 65 segundos durante o qual uma porta está em espera antes de estar disponível para reutilização no mesmo ponto de extremidade de destino.
Acordo de preços e nível de serviço (SLA)
O NAT Gateway Standard e o StandardV2 têm o mesmo preço. Para Azure NAT Gateway preços, veja NAT Gateway pricing.
Para informações sobre o SLA, consulte SLA para Azure NAT Gateway.
Próximos passos
Para mais informações sobre como criar e validar um Gateway NAT, consulte Quickstart: Criar um Gateway NAT usando o portal Azure.
Para ver um vídeo com mais informações sobre Azure NAT Gateway, veja Como obter melhor conectividade de saída usando um Azure NAT Gateway.
Para obter mais informações sobre o recurso NAT Gateway, consulte Recurso NAT Gateway.
Saiba mais sobre o Azure NAT Gateway no seguinte módulo:
Para mais informações sobre as opções de arquitetura para o Azure NAT Gateway, consulte a Análise da Estrutura Bem-Planejada do Azure de um Azure NAT Gateway.