Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure NAT Gateway är en fullständigt hanterad och mycket elastisk NAT-tjänst (Network Address Translation). Du kan använda Azure NAT Gateway för att låta alla instanser i ett privat undernät ansluta utgående till Internet samtidigt som de förblir helt privata. Oönskade inkommande anslutningar från Internet tillåts inte via en NAT Gateway. Endast paket som anländer som svarspaket till en utgående anslutning kan passera genom en NAT Gateway.
NAT Gateway tillhandahåller dynamiska SNAT-portfunktioner för att automatiskt skala utgående anslutningar och minska risken för SNAT-portöverbelastning.
Bild: Azure NAT Gateway
Azure NAT Gateway tillhandahåller utgående anslutning för många Azure-resurser, inklusive:
Virtuella Azure-datorer eller VM-skalningsuppsättningar i ett privat undernät.
Azure App Services-instanser (webbprogram, REST-API:er och mobila serverdelar) via integrering av virtuella nätverk.
Azure Databricks eller med virtuell nätverksinmatning.
Azure NAT Gateway-fördelar
Enkel installation
Distributioner görs avsiktligt enkla med NAT Gateway. Koppla NAT Gateway till ett undernät och en offentlig IP-adress och börja ansluta utgående till Internet direkt. Det krävs inga underhålls- och routningskonfigurationer. Fler offentliga IP-adresser eller undernät kan läggas till senare utan att det påverkar din befintliga konfiguration.
Följande steg är ett exempel på hur du konfigurerar en NAT Gateway:
Skapa en nat-gateway som inte är zonindelad eller zonindelad.
Tilldela en offentlig IP-adress eller ett offentligt IP-prefix.
Konfigurera ett virtuellt nätverksundernät så att det använder en NAT-gateway.
Om det behövs ändrar du timeout för TCP(Transmission Control Protocol) för inaktivitet (valfritt). Granska timers innan du ändrar standardvärdet.
Säkerhet
NAT Gateway bygger på nätverkssäkerhetsmodellen Zero Trust och är säker som standard. Med NAT Gateway behöver privata instanser i ett undernät inte offentliga IP-adresser för att nå Internet. Privata resurser kan nå externa källor utanför det virtuella nätverket genom att översätta källnätverksadressen (SNAT) till NAT Gateways statiska offentliga IP-adresser eller prefix. Du kan ange en sammanhängande uppsättning IP-adresser för utgående anslutning med hjälp av ett offentligt IP-prefix. Regler för målbrandväggar kan konfigureras baserat på den här förutsägbara IP-listan.
Motståndskraft
Azure NAT Gateway är en fullständigt hanterad och distribuerad tjänst. Det beror inte på enskilda beräkningsinstanser, till exempel virtuella datorer eller en enda fysisk gatewayenhet. En NAT Gateway har alltid flera feldomäner och kan hantera flera fel utan avbrott i tjänsten. Programvarudefinierade nätverk gör en NAT Gateway mycket motståndskraftig.
Skalbarhet
NAT Gateway skalas ut från skapandet. Det krävs ingen upp- eller utskalningsåtgärd. Azure hanterar driften av NAT Gateway åt dig.
Koppla NAT Gateway till ett undernät för att tillhandahålla utgående anslutning för alla privata resurser i undernätet. Alla undernät i ett virtuellt nätverk kan använda samma NAT Gateway-resurs. Utgående anslutning kan skalas ut genom att tilldela upp till 16 offentliga IP-adresser eller ett offentligt IP-prefix i /28-storlek till NAT Gateway. När en NAT Gateway är associerad med ett offentligt IP-prefix skalar den automatiskt till det antal IP-adresser som behövs för utgående trafik.
Prestanda
Azure NAT Gateway är en programvarudefinierad nätverkstjänst. Varje NAT Gateway kan bearbeta upp till 50 Gbit/s data för både utgående och returtrafik.
En NAT Gateway påverkar inte nätverksbandbredden för dina beräkningsresurser. Läs mer om NAT Gateways prestanda.
Grunderna i Azure NAT Gateway
Utgående anslutning
NAT Gateway är den rekommenderade metoden för utgående anslutning.
- Information om hur du migrerar utgående åtkomst till en NAT Gateway från utgående standardåtkomst eller utgående regler för Load Balancer finns i Migrera utgående åtkomst till Azure NAT Gateway.
Anteckning
Den 30 september 2025 kommer nya virtuella nätverk som standard att använda privata undernät, vilket innebär att standardutgående åtkomst inte längre tillhandahålls som standard, och den explicita utgående metoden måste aktiveras för att nå offentliga slutpunkter på Internet och inom Microsoft. Vi rekommenderar att du använder en explicit form av utgående anslutning i stället, till exempel NAT Gateway.
NAT Gateway tillhandahåller utgående anslutning på undernätsnivå. NAT Gateway ersätter standardmålet för Internet för ett undernät för att tillhandahålla utgående anslutning.
NAT Gateway kräver inga routningskonfigurationer i en undernätsvägstabell. När NAT Gateway är ansluten till ett undernät ger den utgående anslutning direkt.
MED NAT Gateway kan flöden skapas från det virtuella nätverket till tjänsterna utanför det virtuella nätverket. Returtrafik från Internet tillåts endast som svar på ett aktivt flöde. Tjänster utanför det virtuella nätverket kan inte initiera en inkommande anslutning via NAT Gateway.
NAT Gateway har företräde framför andra utgående anslutningsmetoder, inklusive en lastbalanserare, offentliga IP-adresser på instansnivå och Azure Firewall.
NAT Gateway prioriteras framför andra explicita utgående metoder som konfigurerats i ett virtuellt nätverk för alla nya anslutningar. Det finns inga avbrott i trafikflödet för befintliga anslutningar med andra explicita metoder för utgående anslutningar.
NAT Gateway har inte samma begränsningar för SNAT-portöverbelastning som standardregler för utgående åtkomst och utgående trafik i en lastbalanserare.
NAT Gateway stöder endast UDP-protokoll (TCP- och User Datagram Protocol). Internet Control Message Protocol (ICMP) stöds inte.
Trafikrutter
Undernätet har en systemstandardväg som dirigerar trafik med mål 0.0.0.0/0 till Internet automatiskt. När NAT Gateway har konfigurerats för undernätet kommunicerar virtuella datorer i undernätet till Internet med hjälp av nat-gatewayens offentliga IP-adress.
När du skapar en användardefinierad väg (UDR) i undernätsroutningstabellen för 0.0.0.0/0-trafik, åsidosättas standardsökvägen till Internet för den här trafiken. En UDR som skickar 0.0.0.0/0-trafik till en virtuell installation eller en virtuell nätverksgateway (VPN Gateway och ExpressRoute) som nästa hopptyp åsidosätter i stället NAT Gateway-anslutningen till Internet.
Utgående anslutning följer den här prioritetsordningen mellan olika routnings- och utgående anslutningsmetoder:
- UDR till nästa hopp Virtuell installation eller virtuell nätverksgateway >> nat gateway >> instansnivå offentlig IP-adress på en virtuell dator >> Load Balancer utgående regler >> standard systemväg till Internet.
NAT Gateway-konfigurationer
Flera undernät i samma virtuella nätverk kan antingen använda olika NAT-gatewayer eller samma NAT-gateway.
Flera NAT-gatewayer kan inte kopplas till ett enda undernät.
En NAT-gateway kan inte sträcka sig över flera virtuella nätverk. NAT Gateway kan dock användas för att tillhandahålla utgående anslutning i en hubb- och ekermodell. Mer information finns i självstudiekursen om NAT Gateway-hubb och eker.
Det går inte att distribuera en NAT-gateway i ett gatewayundernät.
En NAT Gateway-resurs kan använda upp till 16 IP-adresser i valfri kombination av följande typer:
Offentliga IP-adresser.
Offentliga IP-prefix.
Offentliga IP-adresser och prefix som härleds från anpassade IP-prefix (BYOIP), för att lära dig mer, se Custom IP address prefix (BYOIP).
NAT Gateway kan inte associeras till en offentlig IPv6-IP-adress eller ett offentligt IP-prefix för IPv6.
NAT Gateway kan användas med Load Balancer med utgående regler för att tillhandahålla utgående anslutningar med dubbla staplar. Se utgående anslutning med dubbla staplar med NAT Gateway och Load Balancer.
NAT Gateway fungerar med alla virtuella datornätverksgränssnitt eller IP-konfigurationer. NAT Gateway kan SNAT flera IP-konfigurationer i ett nätverksgränssnitt.
NAT Gateway kan associeras med ett Azure Firewall-undernät i ett virtuellt hubbnätverk och tillhandahålla utgående anslutning från virtuella ekernätverk som är peerkopplade till hubben. Mer information finns i Azure Firewall-integrering med NAT Gateway.
Tillgänglighetszoner
En NAT-gateway kan skapas i en specifik tillgänglighetszon eller placeras i ingen zon.
NAT Gateway kan isoleras i en specifik zon när du skapar scenarier för zonisolering. När NAT Gateway har distribuerats kan zonvalet inte ändras.
NAT Gateway placeras i ingen zon som standard. En nat-gateway som inte är zonbaserad placeras i en zon åt dig av Azure.
NAT Gateway och grundläggande resurser
NAT Gateway är kompatibel med offentliga STANDARD-IP-adresser eller offentliga IP-prefix eller en kombination av båda.
NAT Gateway kan inte användas med undernät där det finns grundläggande resurser. Grundläggande SKU-resurser, till exempel grundläggande lastbalanserare eller grundläggande offentliga IP-adresser, är inte kompatibla med NAT Gateway. Grundläggande lastbalanserare och grundläggande offentlig IP-adress kan uppgraderas till standard för att fungera med en NAT Gateway.
Mer information om hur du uppgraderar en lastbalanserare från basic till standard finns i Uppgradera en offentlig grundläggande Azure Load Balancer.
Mer information om hur du uppgraderar en offentlig IP-adress från basic till standard finns i Uppgradera en offentlig IP-adress.
Mer information om hur du uppgraderar en grundläggande offentlig IP-adress som är kopplad till en virtuell dator från basic till standard finns i Uppgradera en grundläggande offentlig IP-adress som är kopplad till en virtuell dator.
Tidsgränser för anslutningar och timers
NAT Gateway skickar ett RST-paket (TCP Reset) för alla anslutningsflöden som inte identifieras som en befintlig anslutning. Anslutningsflödet finns inte längre om tidsgränsen för INAKTIVITET för NAT Gateway uppnåddes eller om anslutningen stängdes tidigare.
När avsändaren av trafik i det icke-existerande anslutningsflödet tar emot NAT Gateway TCP RST-paketet kan anslutningen inte längre användas.
SNAT-portar är inte lättillgängliga för återanvändning till samma målslutpunkt när en anslutning har stängts. NAT Gateway placerar SNAT-portar i ett lågfrekvent tillstånd innan de kan återanvändas för att ansluta till samma målslutpunkt.
Återanvändningstiden för SNAT-portar (nedkylningstid) varierar för TCP-trafik beroende på hur anslutningen stängs. Mer information finns i Timers för återanvändning av portar.
En standardtidsgräns för TCP-inaktivitet på 4 minuter används och kan ökas till upp till 120 minuter. Alla aktiviteter i ett flöde kan också återställa timern för inaktivitet, inklusive TCP keepalives. För mer information, se Time-out-timers för inaktivitet.
UDP-trafik har en timeout-timer på 4 minuter som inte kan ändras.
UDP-trafik har en portåteranvändningstimer på 65 sekunder för vilken en port hålls nere innan den är tillgänglig för återanvändning till samma målslutpunkt.
Pris- och serviceavtal (SLA)
Priser för Azure NAT Gateway finns i PRISER för NAT Gateway.
Mer information om serviceavtalet finns i SLA för Azure NAT Gateway.
Nästa steg
Mer information om hur du skapar och validerar en NAT-gateway finns i Snabbstart: Skapa en NAT Gateway med hjälp av Azure-portalen.
Om du vill visa en video om mer information om Azure NAT Gateway kan du läsa Så här får du bättre utgående anslutning med hjälp av en Azure NAT Gateway.
Mer information om NAT Gateway-resursen finns i NAT Gateway-resursen.
Läs mer om Azure NAT Gateway i följande modul:
Mer information om arkitekturalternativ för Azure NAT Gateway finns i Azure Well-Architected Framework-granskning av en Azure NAT Gateway.