Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver de viktigaste komponenterna i en NAT-gatewayresurs (network address translation) som gör att den kan tillhandahålla mycket säker, skalbar och elastisk utgående anslutning. NAT-gatewayresurser är en del av Azure NAT Gateway-tjänsten.
Du kan konfigurera en NAT-gateway i din prenumeration via klienter som stöds. Dessa klienter omfattar Azure-portalen, Azure CLI, Azure PowerShell, Azure Resource Manager mallar eller lämpliga alternativ.
Azure NAT Gateway-SKU:er
Azure NAT Gateway finns i två SKU:er: StandardV2 och Standard.
StandardV2 SKU är zonredundant som standard. Den omfattar automatiskt flera tillgänglighetszoner i en region för att tillhandahålla fortsatt utgående anslutning även om en zon blir otillgänglig.
Standard-SKU:n är en zonindelad resurs. Den distribueras till en specifik tillgänglighetszon och är elastisk inom den zonen.
En StandardV2 NAT-gateway stöder offentliga IP-adresser för IPv4 och IPv6, medan en NAT-standardgateway endast stöder offentliga IP-adresser för IPv4.
Azure NAT Gateway arkitektur
Azure NAT Gateway använder programvarudefinierade nätverk för att fungera som en fullständigt hanterad, distribuerad tjänst. En NAT-gateway sträcker sig avsiktligt över flera feldomäner, vilket gör att den kan motstå flera fel utan någon effekt på tjänsten.
Azure NAT Gateway tillhandahåller källnätverksadressöversättning (SNAT) för privata instanser i de associerade undernäten i ditt Azure virtuella nätverk. De privata IP-adresserna för de virtuella datorerna använder SNAT för en NAT-gateways statiska offentliga IP-adresser för att ansluta utgående till Internet. Azure NAT Gateway tillhandahåller även målnätverksadressöversättning (DNAT) endast för svarspaket till en utgående uppkopplad förbindelse.
När en NAT-gateway konfigureras till ett undernät i ett virtuellt nätverk blir den undernätets standardtyp för nästa hopp för all utgående trafik som dirigeras till Internet. Inga extra routningskonfigurationer krävs. En NAT-gateway tillhandahåller inte oönskad inkommande anslutningar från Internet. DNAT utförs endast för paket som anländer som svar på ett utgående paket.
Undernät
Du kan koppla en StandardV2- eller Standard NAT-gateway till flera undernät i ett virtuellt nätverk för att tillhandahålla utgående anslutning till Internet. När en NAT-gateway är ansluten till ett undernät förutsätter den standardvägen till Internet. NAT-gatewayen fungerar som nästa hopptyp för all utgående trafik som är avsedd för Internet.
NAT-gatewayer har dessa begränsningar för undernätskonfigurationer:
Varje undernät får inte ha fler än en NAT-gateway ansluten.
Du kan inte koppla en NAT-gateway till undernät från olika virtuella nätverk.
Du kan inte använda en NAT-gateway med ett gateway-undernät. Ett gateway-undernät är ett särskilt undernät för en VPN-gateway för att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats.
Statiska offentliga IP-adresser
En NAT-gateway kan associeras med statiska offentliga IP-adresser eller offentliga IP-prefix. Om du tilldelar ett offentligt IP-prefix används hela det offentliga IP-prefixet. Du kan använda ett offentligt IP-prefix direkt eller distribuera prefixets offentliga IP-adresser över flera NAT-gatewayresurser. NAT-gatewayen skickar all trafik till intervallet med IP-adresser för prefixet.
Dessa villkor gäller:
En StandardV2 NAT-gateway stöder upp till 16 offentliga IP-adresser för IPv4 och 16 IPv6.
Du kan inte använda en NAT-standardgateway med offentliga IPv6-IP-adresser eller prefix. En NAT-standardgateway stöder upp till 16 offentliga IP-adresser för IPv4.
Du kan inte använda en NAT-gateway med offentliga IP-adresser för basic-SKU:n.
| Azure NAT Gateway SKU | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | Ja, stöder offentliga IP-adresser och prefix för IPv4. | Ja, stöder offentliga IP-adresser och prefix för IPv6. |
| Norm | Ja, stöder offentliga IP-adresser och prefix för IPv4. | Nej, stöder inte offentliga IP-adresser och prefix för IPv6. |
SNAT-portar
SNAT-portinventeringen tillhandahålls av offentliga IP-adresser, offentliga IP-prefix eller båda, som är kopplade till en NAT-gateway. SNAT-portinventeringen är tillgänglig på begäran för alla instanser i ett undernät som är kopplat till NAT-gatewayen. Ingen förallokering av SNAT-portar per instans krävs.
Mer information om SNAT-portar och Azure NAT Gateway finns i SNAT (Source Network Address Translation) med Azure NAT Gateway.
När flera undernät i ett virtuellt nätverk är anslutna till samma NAT-gatewayresurs delas SNAT-portinventeringen som NAT-gatewayen tillhandahåller över alla undernät.
SNAT-portar fungerar som unika identifierare för att skilja anslutningsflöden från varandra. Samma SNAT-port kan användas för att ansluta till olika målslutpunkter samtidigt.
Olika SNAT-portar används för att upprätta anslutningar till samma målslutpunkt för att skilja anslutningsflöden från varandra. SNAT-portar som återanvänds för anslutning till samma destination placeras på en återanvändningsfördröjningstimer innan de kan återanvändas.
En enda NAT-gateway kan skalas efter antalet offentliga IP-adresser som är associerade med den. Varje offentlig IP-adress för en NAT-gateway tillhandahåller 64 512 SNAT-portar för att upprätta utgående anslutningar. En NAT-gateway kan skala upp till mer än 1 miljon SNAT-portar. TCP och UDP är separata SNAT-portinventeringar och är inte relaterade till NAT-gatewayer.
Tillgänglighetszoner
Azure NAT Gateway har två SKU:er: Standard och StandardV2. För att säkerställa att arkitekturen är motståndskraftig mot zonfel distribuerar du en StandardV2 NAT-gateway eftersom det är en zonredundant resurs. När en tillgänglighetszon i en region slutar fungera flödar nya anslutningar från de återstående felfria zonerna.
En NAT-standardgateway är en zonindelad resurs, vilket innebär att du kan distribuera och använda den från enskilda tillgänglighetszoner. Om zonen som är associerad med en NAT-standardgateway går ner påverkar avbrottet utgående anslutning för de undernät som är associerade med NAT-gatewayen.
Mer information om tillgänglighetszoner och Azure NAT Gateway finns i Reliability i Azure NAT Gateway.
När du har distribuerat en NAT-gateway kan du inte ändra zonvalet.
Protokoll
En NAT-gateway interagerar med IP- och IP-transporthuvuden för UDP- och TCP-flöden. En NAT-gateway är agnostisk för nyttolaster på programnivå. Andra IP-protokoll, till exempel ICMP, stöds inte.
TCP-återställning
Ett TCP-återställningspaket skickas när en NAT-gateway identifierar trafik i ett anslutningsflöde som inte finns. TCP-återställningspaketet anger för den mottagande slutpunkten att anslutningsflödet släpptes och all framtida kommunikation om samma TCP-anslutning misslyckas. TCP-återställningsprocessen är enkelriktad för en NAT-gateway.
Anslutningsflödet kanske inte finns om:
Anslutningen nådde tidsgränsen för inaktivitet efter en period av inaktivitet i anslutningsflödet och anslutningen avbryts tyst.
Avsändaren, antingen från Azure-nätverkssidan eller från den offentliga Internetsidan, skickade trafik efter att anslutningen avbröts.
Systemet skickar endast ett TCP-återställningspaket när det identifierar trafik i det borttagna anslutningsflödet. Den här åtgärden innebär att ett TCP-återställningspaket kanske inte skickas direkt när ett anslutningsflöde har upphört.
Systemet skickar ett TCP-återställningspaket som svar på identifiering av trafik i ett icke-existerande anslutningsflöde, oavsett om trafiken kommer från Azure nätverkssidan eller den offentliga Internetsidan.
Tidsgräns för TCP-inaktivitet
En NAT-gateway ger ett konfigurerbart tidsgränsintervall för inaktivitet på 4 minuter till 120 minuter för TCP-protokoll. UDP-protokoll har en icke-konfigurerbar tidsgräns för inaktivitet på 4 minuter.
När en anslutning blir inaktiv, behåller NAT-gatewayen SNAT-porten tills den inaktiva tidsgränsen löper ut. Eftersom långa tidsgränser för inaktivitet i onödan kan öka risken för överbelastning av SNAT-portar, rekommenderar vi inte att du ökar TCP-tidsgränsen för inaktivitet till längre än standardtiden på 4 minuter. Timern för inaktivitet påverkar inte ett flöde som aldrig blir inaktivt.
Du kan använda TCP keepalives för att tillhandahålla ett mönster för att hålla långa inaktiva anslutningar uppdaterade och identifiering av aktivitet för slutpunkter. Mer information finns i de här .NET exempel. TCP keepalives framstår som duplicerade bekräftelser (ACK) till slutpunkterna, har låg överbelastning och är osynliga för applikationslagret.
Tidsgränser för UDP-inaktivitet kan inte konfigureras. Du bör använda UDP keepalives för att säkerställa att anslutningen inte når tidsgränsvärdet för inaktivitet och för att underhålla anslutningen. Till skillnad från TCP-anslutningar gäller en UDP keepalive aktiverad på ena sidan av anslutningen endast för trafikflödet i en riktning. Du måste aktivera UDP keepalives på båda sidor av trafikflödet för att hålla trafikflödet vid liv.
Tidtagare
Tidtagare för återanvändning av portar
Perioden för återanvändning av portar bestämmer den tid efter det att en anslutning har stängts då en källport är i viloläge innan den kan återanvändas för en ny anslutning till samma destination via NAT-gatewayen.
Följande tabell innehåller information om när en TCP-port blir tillgänglig för återanvändning till samma målslutpunkt av NAT-gatewayen.
| Tidtagarur | beskrivning | Värde |
|---|---|---|
| TCP FIN | Efter att ett TCP FIN-paket har stängt en anslutning, håller en 65-sekunders timer kvar SNAT-porten. SNAT-porten är tillgänglig för återanvändning när timern är slut. | 65 sekunder |
| TCP RST | När ett TCP RST-paket (återställning) stänger en anslutning, blockerar en 16-sekunders timer SNAT-porten. När timern slutar är porten tillgänglig för återanvändning. | 16 sekunder |
| TCP halvöppet | Under etablering av anslutning där en slutpunkt för anslutningen väntar på bekräftelse från den andra slutpunkten börjar en timer på 30 sekunder. Om ingen trafik identifieras stängs anslutningen. När anslutningen har stängts är källporten tillgänglig för återanvändning till samma målslutpunkt. | 30 sekunder |
När en anslutning har stängts för UDP-trafik är porten nedspärrad i 65 sekunder innan den är tillgänglig för återanvändning.
Timers för inaktivitet/timeout
| Tidtagarur | beskrivning | Värde |
|---|---|---|
| Tidsgräns för TCP-inaktivitet | TCP-anslutningar kan vara inaktiva när ingen av slutpunkterna överför några data under en längre tid. Du kan konfigurera en timer från 4 minuter (standard) till 120 minuter (2 timmar) för att timeout en inaktiv anslutning. Trafik i flödet återställer timern för timeout vid inaktivitet. | Konfigurerbara; 4 minuter (standard) till 120 minuter |
| Tidsgräns för UDP-inaktivitet | UDP-anslutningar kan gå inaktiva när slutpunkter inte överför data under en längre tid. UDP-tidur för inaktivitet är 4 minuter och kan inte konfigureras. Trafik i flödet återställer timern för timeout vid inaktivitet. | Inte konfigurerbar; 4 minuter |
Kommentar
Dessa timerinställningar kan komma att ändras. De angivna värdena kan vara till hjälp vid felsökning. Du bör inte vara beroende av specifika timers just nu.
Bandbredd
Varje SKU för Azure NAT Gateway har bandbreddsgränser:
En STANDARDV2 NAT-gateway stöder upp till 100 Gbit/s dataflöde per NAT-gatewayresurs.
En NAT-standardgateway tillhandahåller 50 Gbit/s dataflöde, som delas mellan utgående och inkommande data (svar). Dataflödet är begränsat till 25 Gbit/s för utgående och 25 Gbit/s för inkommande data (svar) per STANDARD NAT-gatewayresurs.
Prestanda
Standard- och StandardV2 NAT-gatewayer stöder upp till 50 000 samtidiga anslutningar per offentlig IP-adress till samma målslutpunkt via Internet för TCP- och UDP-trafik.
Var och en kan ha stöd för upp till 2 miljoner aktiva anslutningar samtidigt. Antalet anslutningar på en NAT-gateway räknas baserat på 5-tuppeln (käll-IP-adress, källport, mål-IP-adress, målport och protokoll). Om en NAT-gateway överskrider 2 miljoner anslutningar minskar datasökvägens tillgänglighet och nya anslutningar misslyckas.
En STANDARDV2 NAT-gateway kan bearbeta upp till 10 miljoner paket per sekund. En NAT-standardgateway kan bearbeta upp till 5 miljoner paket per sekund.
Begränsningar
Offentliga IP-adresser för Standard och Basic är inte kompatibla med StandardV2 NAT-gatewayer. Använd offentliga IP-adresser för StandardV2 i stället.
Information om hur du skapar en offentlig IP-adress för StandardV2 finns i Skapa en Azure offentlig IP.
Grundläggande lastbalanserare är inte kompatibla med NAT-gatewayer. Använd Standard-lastbalanserare för både Standard- och StandardV2 NAT-gatewayer.
Information om hur du uppgraderar en lastbalanserare från Basic till Standard finns i Uppgradera en Azure offentlig lastbalanserare.
Grundläggande offentliga IP-adresser är inte kompatibla med NAT-standardgatewayer. Använd offentliga IP-adresser för standard i stället.
Information om hur du uppgraderar en offentlig IP-adress från Basic till Standard finns i Uppgradera en grundläggande offentlig IP-adress till Standard.
Azure NAT Gateway stöder inte ICMP.
IP-fragmentering är inte tillgängligt för Azure NAT Gateway.
Azure NAT Gateway stöder inte offentliga IP-adresser med en routningskonfigurationstyp av Internet. En lista över Azure tjänster som stöder Internet routningskonfiguration på offentliga IP-adresser finns i Supported services for routing over the public internet.
Azure NAT Gateway stöder inte offentliga IP-adresser med DDoS-skydd aktiverat. Mer information finns i DDoS-begränsningar.
Azure NAT Gateway stöds inte i en säker virtuell hubbnätverksarkitektur (vWAN).
Du kan inte uppgradera en NAT-standardgateway till en StandardV2 NAT-gateway. För att uppnå zonresiliens för arkitekturer som använder zonala NAT-gatewayer måste du distribuera en StandardV2 NAT-gateway för att ersätta Standard SKU NAT-gatewayen.
Du kan inte använda offentliga STANDARD-IP-adresser med en StandardV2 NAT-gateway. Du måste ändra IP till nya offentliga StandardV2-IP-adresser för att använda en StandardV2 NAT-gateway.
Mer kända begränsningar för StandardV2 NAT-gatewayer finns i Azure NAT Gateway SKU:er.
Relaterat innehåll
- Granska översikten Azure NAT Gateway.
- Lär dig mer om metrics och aviseringar för Azure NAT Gateway.
- Lär dig hur du felsöker Azure NAT Gateway.