Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il gateway NAT di Azure è un servizio NAT (Network Address Translation) completamente gestito e altamente resiliente. È possibile usare il gateway NAT di Azure per consentire a tutte le istanze in una subnet privata di connettersi in uscita a Internet pur rimanendo completamente private. Le connessioni in ingresso non richieste da Internet non sono consentite tramite un gateway NAT. Solo i pacchetti in arrivo come pacchetti di risposta a una connessione in uscita possono passare attraverso un gateway NAT.
Il gateway NAT offre funzionalità di porta SNAT dinamiche per aumentare automaticamente la connettività in uscita e ridurre il rischio di esaurimento delle porte SNAT.
Figura: Gateway NAT di Azure
Il gateway NAT di Azure offre connettività in uscita per molte risorse di Azure, tra cui:
Macchine virtuali di Azure o set di scalabilità di macchine virtuali in una subnet privata.
Istanze di Servizi app di Azure (applicazioni Web, API REST e back-end per dispositivi mobili) tramite l'integrazione della rete virtuale.
Vantaggi del gateway NAT di Azure
Configurazione semplice
Le distribuzioni sono intenzionalmente semplificate con il gateway NAT. Collegare immediatamente il gateway NAT a una subnet e a un indirizzo IP pubblico e avviare la connessione in uscita a Internet. Non sono necessarie configurazioni di manutenzione e routing. Più indirizzi IP pubblici o subnet possono essere aggiunti in un secondo momento senza alcun effetto sulla configurazione esistente.
La procedura seguente illustra come configurare un gateway NAT:
Creare un gateway NAT non di zona o di zona.
Assegnare un indirizzo IP pubblico o un prefisso IP pubblico.
Configurare una subnet di rete virtuale per l'uso di un gateway NAT.
Se necessario, modificare il timeout di inattività TCP (Transmission Control Protocol) (facoltativo). Controllare i timer prima di cambiare il valore predefinito.
Security
Il gateway NAT è basato sul modello di sicurezza di rete Zero Trust ed è sicuro per impostazione predefinita. Con il gateway NAT, le istanze private all'interno di una subnet non necessitano di indirizzi IP pubblici per raggiungere Internet. Le risorse private possono raggiungere origini esterne all'esterno della rete virtuale tramite la conversione degli indirizzi di rete di origine (SNAT) in indirizzi IP pubblici o prefissi statici del gateway NAT. È possibile fornire un set contiguo di indirizzi IP per la connettività in uscita usando un prefisso IP pubblico. Le regole del firewall di destinazione possono essere configurate in base a questo elenco di indirizzi IP prevedibili.
Resilienza
Il gateway NAT di Azure è un servizio completamente gestito e distribuito. Non dipende da singole istanze di calcolo, ad esempio macchine virtuali o da un singolo dispositivo gateway fisico. Un gateway NAT ha sempre più di un dominio di errore e può sostenere più errori senza interruzioni del servizio. La rete definita dal software rende un gateway NAT altamente resiliente.
Scalabilità
Il gateway NAT viene scalato a partire dalla creazione. Non è necessaria un'operazione di potenziamento o aumento delle prestazioni. Azure gestisce automaticamente il funzionamento del gateway NAT.
Collegare il gateway NAT a una subnet per fornire la connettività in uscita per tutte le risorse private in tale subnet. Tutte le subnet in una rete virtuale possono usare la stessa risorsa gateway NAT. La connettività in uscita può essere ridimensionata assegnando fino a 16 indirizzi IP pubblici o un prefisso IP pubblico di dimensioni /28 al gateway NAT. Quando un gateway NAT è associato a un prefisso IP pubblico, viene automaticamente ridimensionato fino al numero di indirizzi IP necessari per il traffico in uscita.
Prestazioni
Il gateway NAT di Azure è un servizio di rete definito da software. Ogni gateway NAT può elaborare fino a 50 Gbps di dati sia per il traffico in uscita che per il traffico di ritorno.
Un gateway NAT non influisce sulla larghezza di banda di rete delle risorse di calcolo. Altre informazioni sulle prestazioni del gateway NAT.
Nozioni di base sul gateway NAT di Azure
Connettività in uscita
Il gateway NAT è il metodo consigliato per la connettività in uscita.
- Per eseguire la migrazione dell'accesso in uscita a un gateway NAT dalle regole predefinite per l'accesso in uscita o il servizio di bilanciamento del carico, vedere Eseguire la migrazione dell'accesso in uscita al gateway NAT di Azure.
Note
Il 30 settembre 2025, per impostazione predefinita, le nuove reti virtuali usano subnet private, ovvero l'accesso in uscita predefinito non verrà più fornito per impostazione predefinita e tale metodo esplicito in uscita deve essere abilitato per raggiungere gli endpoint pubblici su Internet e all'interno di Microsoft. È consigliabile usare invece una forma esplicita di connettività in uscita, ad esempio il gateway NAT.
Il gateway NAT offre connettività in uscita a livello di subnet. Il gateway NAT sostituisce la destinazione Internet predefinita di una subnet per fornire connettività in uscita.
Il gateway NAT non richiede configurazioni di routing in una tabella di route subnet. Dopo che il gateway NAT è collegato a una subnet, fornisce immediatamente la connettività in uscita.
Il gateway NAT consente la creazione di flussi dalla rete virtuale ai servizi all'esterno della rete virtuale. Il traffico restituito da Internet è consentito solo in risposta a un flusso attivo. I servizi all'esterno della rete virtuale non possono avviare una connessione in ingresso tramite il gateway NAT.
Il gateway NAT ha la precedenza su altri metodi di connettività in uscita, tra cui un servizio di bilanciamento del carico, indirizzi IP pubblici a livello di istanza e Firewall di Azure.
Il gateway NAT ha la priorità su altri metodi in uscita espliciti configurati in una rete virtuale per tutte le nuove connessioni. Non sono presenti interruzioni del flusso di traffico per le connessioni esistenti usando altri metodi espliciti di connettività in uscita.
Il gateway NAT non presenta le stesse limitazioni di esaurimento delle porte SNAT dell'accesso in uscita predefinito e delle regole in uscita di un servizio di bilanciamento del carico.
Il gateway NAT supporta solo protocolli TCP e User Datagram Protocol (UDP). Il protocollo Internet Control Message Protocol (ICMP) non è supportato.
Route del traffico
La subnet ha una route predefinita di sistema che instrada automaticamente il traffico con destinazione 0.0.0.0/0 a Internet. Dopo aver configurato il gateway NAT per la subnet, le macchine virtuali nella subnet comunicano a Internet usando l'indirizzo IP pubblico del gateway NAT.
Quando si crea una route definita dall'utente (UDR) nella tabella di route della subnet per il traffico 0.0.0.0/0, viene eseguito l'override del percorso Internet predefinito per questo traffico. Route definita dall'utente che invia il traffico 0.0.0.0/0 a un'appliance virtuale o a un gateway di rete virtuale (gateway VPN e ExpressRoute) come tipo hop successivo sostituisce invece la connettività del gateway NAT a Internet.
La connettività in uscita segue questo ordine di precedenza tra diversi metodi di connettività in uscita e routing:
- Route definita dall'utente a Appliance virtuale hop successivo o gateway di rete virtuale >> Gateway NAT >> Indirizzo IP pubblico a livello di istanza su una macchina virtuale >> Regole di uscita del bilanciamento del carico >> Route predefinita del sistema verso Internet.
Configurazioni del gateway NAT
Più subnet all'interno della stessa rete virtuale possono usare gateway NAT diversi o lo stesso gateway NAT.
Non è possibile collegare più gateway NAT a una singola subnet.
Un gateway NAT non può estendersi su più reti virtuali. Tuttavia, il gateway NAT può essere usato per fornire connettività in uscita in un modello hub-spoke. Per altre informazioni, vedere l'esercitazione sull'hub del gateway NAT e spoke.
Non è possibile distribuire un gateway NAT in una subnet del gateway.
Una risorsa gateway NAT può usare fino a 16 indirizzi IP in qualsiasi combinazione dei tipi seguenti:
indirizzi IP pubblici.
Prefissi indirizzi IP pubblici.
Indirizzi IP pubblici e prefissi derivati da prefissi IP personalizzati (BYOIP); per altre informazioni, vedere Prefisso indirizzo IP personalizzato (BYOIP).
Un gateway NAT non può essere associato a un indirizzo IP pubblico o a un prefisso di IP pubblico IPv6.
Il gateway NAT può essere usato con il servizio di bilanciamento del carico usando delle regole in uscita per fornire connettività in uscita dual stack. Vedere Connettività in uscita dual stack con il gateway NAT e Load balancer.
Il gateway NAT funziona con qualsiasi interfaccia di rete della macchina virtuale o configurazione IP. Il gateway NAT può eseguire SNAT più configurazioni IP in un'interfaccia di rete.
Il gateway NAT può essere associato a una subnet di Firewall di Azure in una rete virtuale hub e fornire connettività in uscita da reti virtuali spoke con peering all'hub. Per altre informazioni, vedere Integrazione di Firewall di Azure con il gateway NAT.
Zone di disponibilità
È possibile creare un gateway NAT in una zona di disponibilità specifica o in nessuna zona.
Il gateway NAT può essere isolato in una zona specifica quando si creano scenari di isolamento della zona. Dopo la distribuzione del gateway NAT, la selezione della zona non può essere modificata.
Il gateway NAT viene inserito in nessuna zona per impostazione predefinita. Un gateway NAT non di zona viene inserito in una zona per l'utente da Azure.
Gateway NAT e risorse di base
Il gateway NAT è compatibile con indirizzi IP pubblici standard o prefissi IP pubblici o una combinazione di entrambi.
Il gateway NAT non può essere usato con subnet in cui esistono risorse di base. Le risorse SKU di base, ad esempio Load Balancer di base o indirizzi IP pubblici di base, non sono compatibili con il gateway NAT. Il bilanciamento del carico di base o l'IP pubblico di base possono essere aggiornati a standard per l'uso con un gateway NAT.
Per altre informazioni sull'aggiornamento di un servizio di bilanciamento del carico da di base a standard, vedere Aggiornare un'istanza di Azure Load Balancer di base pubblica.
Per altre informazioni sull'aggiornamento di un indirizzo IP pubblico da di base a standard, vedere Aggiornare un indirizzo IP pubblico.
Per altre informazioni sull'aggiornamento di un indirizzo IP pubblico di base collegato a una macchina virtuale da di base a standard, vedere Aggiornare un indirizzo IP pubblico di base collegato a una macchina virtuale.
Timeout e timer di connessione
Il gateway NAT invia un pacchetto TCP Reset (RST) per qualsiasi flusso di connessione non riconosciuto come una connessione esistente. Il flusso di connessione non è più esistente se è stato raggiunto il timeout di inattività del gateway NAT o se la connessione è stata chiusa in precedenza.
Quando il mittente del traffico nel flusso di connessione non esistente riceve il pacchetto TCP RST del gateway NAT, la connessione non è più utilizzabile.
Le porte SNAT non sono immediatamente disponibili per il riutilizzo allo stesso endpoint di destinazione in seguito alla chiusura di una connessione. Il gateway NAT mette le porte SNAT in uno stato di raffreddamento prima che possano essere riutilizzate per connettersi allo stesso endpoint di destinazione.
Le durate del timer di riutilizzo delle porte SNAT (ad accesso sporadico) variano per il traffico TCP a seconda della modalità di chiusura della connessione. Per altre informazioni, vedere Timer di riutilizzo delle porte.
Viene usato un timeout di inattività TCP predefinito di 4 minuti, che può essere aumentato fino a 120 minuti. Qualsiasi attività in un flusso può anche reimpostare il timer di inattività, inclusi i keep-alive TCP. Per altre informazioni, vedere Timer di timeout di inattività.
Il traffico UDP ha un timer di timeout di inattività di 4 minuti che non può essere modificato.
Il traffico UDP ha un timer di riutilizzo delle porte pari a 65 secondi, durante i quali una porta rimane in attesa prima di poter essere riutilizzata verso lo stesso endpoint di destinazione.
Prezzi e contratto di servizio
Per i prezzi del gateway NAT di Azure, vedere Prezzi del gateway NAT.
Per informazioni sul contratto di servizio, vedere Contratto di servizio per il gateway NAT di Azure.
Passaggi successivi
Per altre informazioni sulla creazione e la convalida di un gateway NAT, vedere Guida introduttiva: Creare un gateway NAT usando il portale di Azure.
Per visualizzare un video su altre informazioni sul gateway NAT di Azure, vedere Come ottenere una migliore connettività in uscita usando un gateway NAT di Azure.
Per altre informazioni sulla risorsa gateway NAT, vedere Risorsa gateway NAT.
Altre informazioni sul gateway NAT di Azure sono disponibili nel modulo seguente:
Per altre informazioni sulle opzioni di architettura per il gateway NAT di Azure, vedere Panoramica di Well-Architected Framework di Azure di un gateway NAT di Azure.