Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure NAT Gateway är en fullständigt hanterad och mycket elastisk NAT-tjänst (Network Address Translation). Använd Azure NAT Gateway för att låta alla instanser i ett undernät ansluta utgående till Internet samtidigt som de förblir helt privata. En NAT-gateway tillåter inte oönskad inkommande anslutningar från Internet. Endast paket som tas emot som svarspaket till en utgående anslutning kan passera genom en NAT-gateway.
Azure NAT Gateway dynamiskt allokerar säkra NAT-portar (SNAT) för att automatiskt skala utgående anslutningar och minimera risken för SNAT-portöverbelastning.
Azure NAT Gateway finns i två SKU:er:
Standard är zonindelad (distribuerad till en enda tillgänglighetszon) och ger skalbar utgående anslutning för undernät i ett enda virtuellt nätverk.
StandardV2 är zonredundant och ger högre dataflöde än standard-SKU, IPv6-stöd och flödesloggstöd.
Standardartikelnummer
Du kan associera en NAT-standardgateway med undernät i samma virtuella nätverk för att tillhandahålla utgående anslutning till Internet. En NAT-standardgateway fungerar från en enda tillgänglighetszon.
StandardV2 SKU
StandardV2 SKU för Azure NAT Gateway tillhandahåller samma funktioner i standard-SKU:n, till exempel dynamisk SNAT-portallokering och säker utgående anslutning för undernät i ett virtuellt nätverk. Dessutom är StandardV2 zonredundant, vilket innebär att det ger utgående anslutning från alla zoner i en region i stället för en enda zon.
Viktiga funktioner i StandardV2
- Zonredundans: Körs i alla tillgänglighetszoner i en region för att upprätthålla anslutningen vid ett fel i en zon.
- Stöd för IPv6: Stöder både offentliga IPv4- och IPv6-ip-adresser och prefix för utgående anslutning.
- Högre dataflöde: Ger upp till 100 Gbit/s dataflöde per NAT-gateway, jämfört med 50 Gbit/s för STANDARD NAT-gatewayer.
- Stöd för flödeslogg: Tillhandahåller IP-baserad trafikinformation som hjälper dig att övervaka och analysera utgående trafikflöden.
Mer information om hur du distribuerar en StandardV2 NAT-gateway finns i Skapa en StandardV2 NAT-gateway.
Viktiga begränsningar för StandardV2
StandardV2 SKU kräver offentliga STANDARDV2-IP-adresser eller prefix. Offentliga STANDARD-IP-adresser stöds inte med StandardV2.
Du kan inte uppgradera Standard SKU till StandardV2 SKU. Du måste skapa en StandardV2 NAT-gateway för att ersätta NAT-standardgatewayen i undernätet.
Följande regioner stöder inte StandardV2 NAT-gatewayer:
- Canada East
- Centrala Chile
- Centrala Indonesien
- Nordvästra Israel
- Malaysia, västra
- Qatar Central
- Sverige, södra
- Västra centrala USA
- West India
En StandardV2 NAT-gateway stöder inte och kan inte kopplas till delegerade undernät för följande tjänster:
- Azure SQL Managed Instance
- Azure Container Instances
- Azure-databasen för PostgreSQL
- Azure Database for MySQL
- Azure Data Factory (dataflytt)
- Microsoft Power Platform
- Azure Stream Analytics
- Azure Container Apps
- Funktionen Web Apps i Azure App Service
- Azure DNS privat lösare
Kända problem med StandardV2
Utgående IPv6-trafik som använder regler för utgående lastbalanserare avbryts när du associerar en StandardV2 NAT-gateway med ett undernät. Om du behöver både utgående IPv4- och IPv6-anslutning använder du antingen:
- Regler för utgående lastbalanserare för både IPv4- och IPv6-trafik
- En NAT-standardgateway för IPv4-trafik och utgående regler för lastbalanserare för IPv6-trafik
Om du kopplar en StandardV2 NAT-gateway till ett tomt undernät som skapades före april 2025 utan virtuella datorer kan det virtuella nätverket hamna i ett feltillstånd. Om du vill återställa det virtuella nätverket till ett lyckat tillstånd tar du bort StandardV2 NAT-gatewayen, skapar och lägger till en virtuell dator i undernätet och kopplar sedan tillbaka StandardV2 NAT-gatewayen.
Utgående anslutningar som använder en lastbalanserare, Azure Firewall eller offentliga IP-adresser på VM-instansnivå kan avbrytas när du lägger till en StandardV2 NAT-gateway i ett undernät. Alla nya utgående nettoanslutningar använder NAT-gatewayen StandardV2.
Mer information om kända problem och begränsningar för StandardV2 SKU för Azure NAT Gateway finns i Known-begränsningar.
Azure NAT Gateway fördelar
Enkel installation
Distributioner med Azure NAT Gateway är avsiktligt enkla. Koppla en NAT-gateway till ett undernät och en offentlig IP-adress och börja ansluta utgående till Internet direkt. Inga underhålls- eller routningskonfigurationer krävs. Du kan lägga till fler offentliga IP-adresser eller undernät senare utan att påverka din befintliga konfiguration.
Följande steg visar ett exempel på hur du konfigurerar en NAT-gateway:
Skapa en icke-zonindelad eller zonindelad NAT-gateway.
Tilldela en offentlig IP-adress eller ett offentligt IP-prefix.
Konfigurera ett undernät att använda NAT-gatewayen.
Om det behövs ändrar du timeout för TCP(Transmission Control Protocol) för inaktivitet (valfritt). Granska timers innan du ändrar standardvärdet.
Säkerhet
Azure NAT Gateway bygger på Nulová dôvera (Zero Trust) nätverkssäkerhetsmodell. När du använder Azure NAT Gateway behöver privata instanser i ett undernät inte offentliga IP-adresser för att nå Internet. Privata resurser kan nå externa källor utanför det virtuella nätverket med hjälp av SNAT för statiska offentliga IP-adresser eller prefix i Azure NAT Gateway.
Du kan ange en sammanhängande uppsättning IP-adresser för utgående anslutning med hjälp av ett offentligt IP-prefix. Du kan konfigurera målbrandväggsregler baserat på den här förutsägbara IP-listan.
Motståndskraft
Azure NAT Gateway är en fullständigt hanterad och distribuerad tjänst. Det beror inte på enskilda beräkningsinstanser, till exempel virtuella datorer eller en enda fysisk gatewayenhet. En NAT-gateway har alltid flera feldomäner och kan hantera flera fel utan avbrott i tjänsten. Programvarudefinierade nätverk gör en NAT-gateway mycket motståndskraftig.
Skalbarhet
En NAT-gateway skalas ut från skapandet. Ingen upp- eller utskalningsåtgärd krävs. Azure hanterar driften av en NAT-gateway åt dig.
Koppla en NAT-gateway till ett undernät för att tillhandahålla utgående anslutning för alla privata resurser i det undernätet. Alla undernät i ett virtuellt nätverk kan använda samma NAT-gatewayresurs. Du kan skala ut utgående anslutning genom att tilldela upp till 16 offentliga IP-adresser till en NAT-gateway. När du associerar en NAT-gateway med ett offentligt IP-prefix skalar den automatiskt till det antal IP-adresser som behövs för utgående trafik.
Prestanda
Azure NAT Gateway är en programvarudefinierad nätverkstjänst. Varje NAT-gateway kan bearbeta upp till 50 Gbit/s data för både utgående och returtrafik.
En NAT-gateway påverkar inte nätverksbandbredden för dina beräkningsresurser. Mer information finns i Prestanda.
Azure NAT Gateway grunderna
Azure NAT Gateway ger säker, skalbar utgående anslutning för resurser i ett virtuellt nätverk.
Utgående anslutning
Azure NAT Gateway är den metod som vi rekommenderar för utgående anslutning.
Information om hur du migrerar utgående åtkomst till en NAT-gateway från utgående standardregler för utgående åtkomst eller lastbalanserare finns i Migrera utgående åtkomst till Azure NAT Gateway.
Anteckning
Från och med den 31 mars 2026 använder nya virtuella nätverk som standard privata undernät. Standardåtkomst för utgående trafik tillhandahålls inte som standard. Använd en explicit form av utgående anslutning i stället, till exempel Azure NAT Gateway.
Azure NAT Gateway ger utgående anslutning på undernätsnivå. Den ersätter standardmålet för Internet för ett undernät för att tillhandahålla utgående anslutning.
Azure NAT Gateway kräver inga routningskonfigurationer i en routningstabell för undernätet. När du har bifogat en NAT-gateway till ett undernät ger den utgående anslutning direkt.
Azure NAT Gateway tillåter att flöden skapas från det virtuella nätverket till tjänsterna utanför ditt virtuella nätverk. Returtrafik från Internet tillåts endast som svar på ett aktivt flöde. Tjänster utanför det virtuella nätverket kan inte initiera en inkommande anslutning via en NAT-gateway.
Azure NAT Gateway har företräde framför andra utgående anslutningsmetoder, inklusive en lastbalanserare, offentliga IP-adresser på instansnivå och Azure Firewall.
Azure NAT Gateway prioriterar andra explicita utgående metoder som konfigurerats i ett virtuellt nätverk för alla nya anslutningar. Det finns inga droppar i trafikflödet för befintliga anslutningar som använder andra explicita metoder för utgående anslutning.
Azure NAT Gateway har inte samma begränsningar för SNAT-portöverbelastning som default utgående åtkomst och outbound-regler för en lastbalanserare.
Azure NAT Gateway stöder endast UDP-protokoll (TCP- och User Datagram Protocol). Internet Control Message Protocol (ICMP) stöds inte.
Azure NAT Gateway stöder Azure App Service-instanser (webbprogram, REST-API:er och mobila serverdelar) via virtual nätverksintegrering.
Undernätet har en systemstandardväg som dirigerar trafik med mål 0.0.0.0/0 till Internet automatiskt. När du har konfigurerat en NAT-gateway till undernätet kommunicerar virtuella datorer i undernätet med Internet med hjälp av nat-gatewayens offentliga IP-adress.
När du skapar en användardefinierad väg (UDR) i undernätsrutttabellen för 0.0.0.0/0-trafik åsidosätter du standardsökvägen till Internet för den här trafiken. En UDR som skickar 0.0.0.0/0-trafik till en virtuell installation eller en virtuell nätverksgateway (Azure VPN Gateway och Azure ExpressRoute) som nästa hopptyp åsidosätter i stället NAT-gatewayanslutningen till Internet.
Här är flödet:
UDR to next hop virtual appliance or virtual network gateway NAT gateway instance-level public IP address on a virtual machine load balancer outbound rules default system route to the Internet .UDR to next hop virtual appliance or virtual network gateway >> NAT gateway >> instance-level public IP address on a virtual machine >> load balancer outbound rules >> default system route to the internet.
NAT-gatewaykonfigurationer
Flera undernät i samma virtuella nätverk kan använda olika NAT-gatewayer eller samma NAT-gateway.
Du kan inte koppla flera NAT-gatewayer till ett enda undernät.
En NAT-gateway kan inte sträcka sig över flera virtuella nätverk. Du kan dock använda en NAT-gateway för att tillhandahålla utgående anslutning i en hub-and-spoke-modell. Mer information finns i självstudien Azure NAT Gateway hub-and-spoke.
En standard-NAT-gatewayresurs kan använda upp till 16 offentliga IP-adresser för IPv4. En STANDARDV2 NAT-gatewayresurs kan använda upp till 16 offentliga IP-adresser för IPv4 och 16 IPv6.
Du kan inte distribuera en NAT-gateway i ett gatewayundernät eller ett undernät som innehåller SQL-hanterade instanser.
Azure NAT Gateway fungerar med alla vm-nätverksgränssnitt eller IP-konfigurationer. En NAT-gateway kan använda SNAT för flera IP-konfigurationer i ett nätverksgränssnitt.
Du kan associera en NAT-gateway med ett Azure Firewall undernät i ett virtuellt hubbnätverk och tillhandahålla utgående anslutning från virtuella ekernätverk som är peerkopplade till hubben. Mer information finns i article om Azure Firewall integrering med Azure NAT Gateway.
Tillgänglighetszoner
Du kan skapa en NAT-standardgateway i en specifik tillgänglighetszon eller placera den i Ingen zon.
Du kan isolera en NAT-standardgateway i en specifik zon när du skapar en zonindelad NAT-gateway. När du har distribuerat NAT-gatewayen kan du inte ändra zonvalet.
Som standard placeras en NAT-standardgateway i Ingen zon. Azure placerar en nonzonal NAT-gateway i en zon åt dig.
En StandardV2 NAT-gateway är zonredundant och fungerar i alla tillgänglighetszoner i en region för att upprätthålla anslutningen vid ett fel i en enda zon.
Standardåtkomst för utgående trafik
Om du vill tillhandahålla säker utgående anslutning till Internet aktiverar du ett privat undernät. Med den här metoden förhindrar du att standardutgående IP-adresser skapas och i stället använder du en explicit metod för utgående anslutning, till exempel en NAT-gateway.
Vissa tjänster fungerar inte på en virtuell dator i ett privat undernät utan en explicit metod för utgående anslutning, till exempel Windows Aktivering och Windows Uppdateringar. Aktivering eller uppdatering av virtuella datoroperativsystem, till exempel Windows, kräver en explicit metod för utgående anslutning, till exempel en NAT-gateway.
Information om hur du migrerar utgående åtkomst till en NAT-gateway från utgående standardregler för utgående åtkomst eller lastbalanserare finns i Migrera utgående åtkomst till Azure NAT Gateway.
Anteckning
Från och med den 31 mars 2026 använder nya virtuella nätverk som standard privata undernät. Standardåtkomst för utgående trafik tillhandahålls inte längre som standard. Du måste aktivera en explicit utgående metod för att nå offentliga slutpunkter på Internet och inom Microsoft. Använd en explicit form av utgående anslutning i stället, som en NAT-gateway.
Azure NAT Gateway och grundläggande resurser
En NAT-standardgateway fungerar med offentliga IP-standardadresser eller offentliga IP-prefix. En StandardV2 NAT-gateway fungerar endast med offentliga StandardV2-IP-adresser eller offentliga IP-prefix.
Du kan inte använda Azure NAT Gateway med undernät som har grundläggande resurser. Resurser för basic-SKU:n, till exempel en grundläggande lastbalanserare eller grundläggande offentliga IP-adresser, fungerar inte med Azure NAT Gateway. Du kan uppgradera en grundläggande lastbalanserare och grundläggande offentlig IP-adress till Standard för att arbeta med en NAT-gateway.
Mer information om hur du uppgraderar en lastbalanserare från Basic till Standard finns i Uppgradera en grundläggande lastbalanserare.
Mer information om hur du uppgraderar en offentlig IP-adress från Basic till Standard finns i Uppgradera en offentlig IP-adress.
Mer information om hur du uppgraderar en offentlig IP-adress som är kopplad till en virtuell dator från Basic till Standard finns i Uppgradera en offentlig IP-adress som är kopplad till en virtuell dator.
Tidsgränser för anslutningar och timers
Azure NAT Gateway skickar ett RST-paket (TCP Reset) för alla anslutningsflöden som inte identifieras som en befintlig anslutning. Anslutningsflödet finns inte längre om tidsgränsen för Azure NAT Gateway inaktivitet nås eller om anslutningen stängdes tidigare.
När avsändaren av trafik i det obefintliga anslutningsflödet tar emot Azure NAT Gateway TCP RST-paket kan anslutningen inte längre användas.
SNAT-portar är inte lättillgängliga för återanvändning till samma målslutpunkt när en anslutning har stängts. Azure NAT Gateway placerar SNAT-portar i ett lågfrekvent läge innan de kan återanvändas för att ansluta till samma målslutpunkt.
Varaktigheten för återanvändning av SNAT-portar (cooldown) varierar för TCP-trafik, beroende på hur anslutningen stängs. Mer information finns i Portåteranvändningstimers.
Den Azure NAT Gateway timeout-timern för TCP-inaktivitet är som standard 4 minuter men kan ökas upp till 120 minuter. Alla aktiviteter i ett flöde kan återställa den inaktiva timern, inklusive TCP keepalives. Mer information finns i Timers för timeout för inaktivitet.
UDP-trafik har en tidsgräns för inaktivitet på 4 minuter som du inte kan ändra.
UDP-trafik har en portåteranvändningstid på 65 sekunder. Under den här tiden är en port i undantagsläget innan den är tillgänglig för återanvändning till samma målslutpunkt.
Priser och SLA
Standard- och StandardV2 NAT-gatewayer är samma pris. Mer information finns i Priser för Azure NAT Gateway.
Information om serviceavtalet (SLA) finns i serviceavtalen Microsoft serviceavtal för online služby.
Relaterat innehåll
Mer information om hur du skapar och validerar en NAT-gateway finns i Quickstart: Skapa en NAT-gateway med hjälp av Azure-portalen.
Om du vill visa en video som innehåller mer information om Azure NAT Gateway kan du läsa Så här får du bättre utgående anslutning med hjälp av Azure NAT Gateway.
Mer information om NAT-gatewayresursen finns i NAT-gatewayresursen.