Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um Gateway da NAT do Azure é um serviço de Conversão de Endereços de Rede (NAT) totalmente gerenciado e altamente resiliente. Você pode usar o Gateway da NAT do Azure para permitir que todas as instâncias em uma sub-rede privada se conectem de saída à Internet, mantendo-se totalmente privadas. Conexões de entrada não solicitadas da Internet não são permitidas por meio de um Gateway de NAT. Somente os pacotes que chegam como pacotes de resposta para uma conexão de saída podem passar por um Gateway nat.
O Gateway da NAT fornece funcionalidade de porta SNAT dinâmica para dimensionar automaticamente a conectividade de saída e reduzir o risco de esgotamento da porta SNAT.
Figura: Gateway da NAT do Azure
O Gateway da NAT do Azure fornece conectividade de saída para muitos recursos do Azure, incluindo:
Máquinas virtuais do Azure ou conjuntos de dimensionamento de máquinas virtuais em uma sub-rede privada.
Instâncias dos Serviços de Aplicativos do Azure (aplicativos Web, APIs REST e back-ends para dispositivos móveis) por meio da integração de rede virtual.
Benefícios do Gateway da NAT do Azure
Configuração simples
As implantações são intencionalmente simplificada com o Gateway de NAT. Anexe o Gateway nat a uma sub-rede e endereço IP público e comece a se conectar de saída à Internet imediatamente. Não é necessário fazer manutenção ou configurar o roteamento. Mais IPs públicos ou sub-redes podem ser adicionados posteriormente sem efeito à sua configuração existente.
As etapas a seguir são um exemplo de como configurar um Gateway nat:
Crie um Gateway NAT não zonal ou zonal.
Crie um prefixo IP ou endereço IP públicos.
Configure uma sub-rede de rede virtual para usar um Gateway nat.
Se necessário, modifique o tempo limite ocioso do protocolo TCP (opcional). Examine os temporizadores antes de alterar o padrão.
Segurança
O Gateway de NAT é criado no modelo de segurança de rede Zero Trust e é seguro por padrão. Com o Gateway de NAT, as instâncias privadas em uma sub-rede não precisam de endereços IP públicos para acessar a Internet. Os recursos privados podem alcançar fontes externas fora da rede virtual por meio da conversão de endereços de rede de origem (SNAT) para os prefixos ou endereços IP públicos estáticos do Gateway nat. Você pode fornecer um conjunto contíguo de IPs para conectividade de saída usando um prefixo IP público. As regras de firewall de destino podem ser configuradas com base nessa lista de IP previsível.
Resiliência
O Gateway da NAT do Azure é um serviço totalmente gerenciado e distribuído. Ele não depende de instâncias de computação individuais, como máquinas virtuais ou um único dispositivo de gateway físico. Um Gateway nat sempre tem vários domínios de falha e pode sustentar várias falhas sem interrupção de serviço. A rede definida pelo software torna um Gateway nat altamente resiliente.
Escalabilidade
O Gateway de NAT é expandido da criação. Não é necessária uma operação de aumento gradual de capacidade ou de expansão. O Azure gerencia a operação do Gateway de NAT para você.
Anexe o Gateway nat a uma sub-rede para fornecer conectividade de saída para todos os recursos privados nessa sub-rede. Todas as sub-redes em uma rede virtual podem usar o mesmo recurso de Gateway de NAT. A conectividade de saída pode ser ampliada atribuindo até 16 endereços IP públicos ou um prefixo IP público de tamanho /28 ao Gateway nat. Quando um Gateway nat é associado a um prefixo IP público, ele é dimensionado automaticamente para o número de endereços IP necessários para saída.
Desempenho
O Gateway nat do Azure é um serviço de rede definido pelo software. Cada Gateway nat pode processar até 50 Gbps de dados para tráfego de saída e retorno.
Um Gateway de NAT não afeta a largura de banda de rede dos recursos de computação. Saiba mais sobre o desempenho do Gateway de NAT.
Noções básicas do Gateway da NAT do Azure
Conectividade de saída
O Gateway de NAT é o método recomendado para conectividade de saída.
- Para migrar o acesso de saída para um Gateway nat do acesso de saída padrão ou das regras de saída do Load Balancer, consulte Migrar o acesso de saída para o Gateway nat do Azure.
Observação
Em 30 de setembro de 2025, novas redes virtuais terão o padrão de usar sub-redes privadas, o que significa que o acesso de saída padrão não será mais fornecido por padrão e esse método de saída explícito deve ser habilitado para alcançar pontos de extremidade públicos na Internet e dentro da Microsoft. É recomendável usar uma forma explícita de conectividade de saída, como o Gateway de NAT.
O Gateway nat fornece conectividade de saída em um nível de sub-rede. O Gateway nat substitui o destino padrão da Internet de uma sub-rede para fornecer conectividade de saída.
O Gateway nat não requer nenhuma configuração de roteamento em uma tabela de rotas de sub-rede. Depois que o Gateway nat é anexado a uma sub-rede, ele fornece conectividade de saída imediatamente.
O Gateway de NAT permite que os fluxos sejam criados da rede virtual para os serviços fora de sua rede virtual. O tráfego de retorno da internet só é permitido em resposta a um fluxo ativo. Os serviços fora da rede virtual não podem iniciar uma conexão de entrada por meio do Gateway nat.
O Gateway nat tem precedência sobre outros métodos de conectividade de saída, incluindo um Load Balancer, endereços IP públicos no nível da instância e Firewall do Azure.
O Gateway de NAT tem prioridade sobre outros métodos de saída explícitos configurados em uma rede virtual para todas as novas conexões. Não há quedas no fluxo de tráfego para conexões existentes usando outros métodos explícitos de conectividade de saída.
O Gateway nat não tem as mesmas limitações de esgotamento da porta SNAT, assim como o acesso de saída padrão e as regras de saída de um Load Balancer.
O Gateway nat dá suporte apenas a protocolos TCP e UDP (User Datagram Protocol). Não há suporte para protocolo ICMP.
Rotas de tráfego
A sub-rede tem uma rota padrão do sistema que roteia o tráfego com o destino 0.0.0.0/0 para a Internet automaticamente. Depois que o Gateway nat é configurado para a sub-rede, as máquinas virtuais na sub-rede se comunicam com a Internet usando o IP público do Gateway nat.
Ao criar uma rota definida pelo usuário (UDR) na tabela de rotas da sua sub-rede para o tráfego 0.0.0.0/0, o caminho padrão da internet para esse tráfego é substituído. Uma UDR que envia o tráfego 0.0.0.0/0 para uma solução de virtualização ou um gateway de rede virtual (Gateway de VPN e ExpressRoute) como o tipo de próximo salto substitui a conectividade do Gateway NAT com a Internet.
A conectividade de saída segue a seguinte ordem de precedência entre diferentes métodos de roteamento e conectividade de saída:
- UDR para a solução de virtualização de próximo salto ou endereço IP público no nível da Instância do Gateway >> nat de rede >> virtual em uma rota de sistema padrão de regras >> de saída do Load Balancer de máquina >> virtual para a Internet.
Configurações do Gateway de NAT
Várias sub-redes na mesma rede virtual podem usar gateways NAT diferentes ou o mesmo Gateway nat.
Vários Gateways NAT não podem ser anexados a uma única sub-rede.
Um Gateway nat não pode abranger várias redes virtuais. No entanto, o Gateway da NAT pode ser usado para fornecer conectividade de saída em um modelo de hub e spoke. Para obter mais informações, consulte o tutorial de hub e spoke do Gateway de NAT.
Um Gateway nat não pode ser implantado em uma sub-rede de gateway.
Um recurso do Gateway de NAT pode usar até 16 endereços IP em qualquer combinação dos seguintes tipos:
Endereços de IP públicos.
Prefixos IP públicos.
Endereços e prefixos IP públicos derivados de prefixos IP personalizados (BYOIP) para saber mais, consulte Prefixo de endereço IP personalizado (BYOIP).
O Gateway nat não pode ser associado a um endereço IP público IPv6 ou ao prefixo IP público IPv6.
O Gateway de NAT pode ser usado com o Load Balancer usando regras de saída para fornecer conectividade de saída de pilha dupla. Consulte a conectividade de saída de pilha dupla com o Gateway nat e o Load Balancer.
O Gateway de NAT funciona com qualquer interface de rede de máquina virtual ou configuração de IP. O Gateway nat pode SNAT várias configurações de IP em um adaptador de rede.
O Gateway de NAT pode ser associado a uma sub-rede do Firewall do Azure em uma rede virtual de hub e fornecer conectividade de saída de redes virtuais spoke emparelhadas com o hub. Para saber mais, confira a integração do Firewall do Azure com o Gateway de NAT.
Zonas de disponibilidade
Um Gateway de NAT pode ser criado em uma zona de disponibilidade específica ou colocado em nenhuma zona.
O Gateway nat pode ser isolado em uma zona específica quando você cria cenários de isolamento de zona. Depois que o Gateway nat é implantado, a seleção de zona não pode ser alterada.
O Gateway nat é colocado em nenhuma zona por padrão. Um Gateway NAT nonzonal é colocado em uma zona para você pelo Azure.
Gateway nat e recursos básicos
O Gateway nat é compatível com endereços IP públicos padrão ou prefixos IP públicos ou uma combinação de ambos.
O Gateway nat não pode ser usado com sub-redes em que existam recursos básicos. Recursos básicos de SKU, como Load Balancer básico ou IPs públicos básicos, não são compatíveis com o Gateway nat. O Load Balancer básico e o IP público básico podem ser atualizados para o padrão para trabalhar com um Gateway nat.
Para obter mais informações sobre como atualizar um Load Balancer do básico para o padrão, consulte Atualizar um Azure Load Balancer básico público.
Para obter mais informações sobre como fazer upgrade de um IP público de Básico para Standard, confira Fazer upgrade de um endereço IP público.
Para obter mais informações sobre como fazer upgrade de um IP público Básico anexado a uma máquina virtual de Básico para Standard, confira Fazer upgrade de um IP público Básico anexado a uma máquina virtual.
Tempo limite de conexão e temporizadores
O Gateway nat envia um pacote RST (redefinição de TCP) para qualquer fluxo de conexão que ele não reconhece como uma conexão existente. O fluxo de conexão não existe mais se o tempo limite de ociosidade do Gateway nat foi atingido ou a conexão foi fechada anteriormente.
Quando o remetente do tráfego no fluxo de conexão inexistente recebe o pacote TCP RST do Gateway nat, a conexão não é mais utilizável.
As portas SNAT não estão prontamente disponíveis para reutilização para o mesmo ponto de extremidade de destino após o fechamento de uma conexão. O Gateway de NAT coloca as portas SNAT em um estado de resfriamento antes que elas possam ser reutilizados para se conectarem ao mesmo ponto de extremidade de destino.
As durações do temporizador de reutilização (resfriamento) da porta SNAT variam para o tráfego TCP, dependendo de como a conexão é fechada. Para saber mais, confira Temporizadores de reutilização de porta.
Um tempo limite de ociosidade TCP padrão de 4 minutos é usado e pode ser aumentado para até 120 minutos. Qualquer atividade em um fluxo também pode redefinir o temporizador de ociosidade, incluindo keepalives TCP. Para saber mais, confira Temporizadores de tempo limite ocioso.
O tráfego UDP tem um temporizador de tempo limite ocioso de 4 minutos que não pode ser alterado.
O tráfego UDP tem um temporizador de redefinição de porta de 65 segundos para o qual uma porta fica em espera antes de ficar disponível para reutilização no mesmo ponto de extremidade de destino.
Preços e Contrato de Nível de Serviço (SLA)
Para obter preços do Gateway nat do Azure, consulte os preços do Gateway nat.
Para obter informações sobre o SLA, confira SLA do Gateway da NAT do Azure.
Próximas etapas
Para obter mais informações sobre como criar e validar um Gateway nat, consulte Início Rápido: Criar um Gateway nat usando o portal do Azure.
Para exibir um vídeo sobre mais informações sobre o Gateway nat do Azure, confira Como obter melhor conectividade de saída usando um Gateway NAT do Azure.
Para obter mais informações sobre o recurso do Gateway de NAT, consulte o recurso do Gateway de NAT.
Saiba mais sobre o Gateway da NAT do Azure no seguinte módulo:
Para obter mais informações sobre opções de arquitetura para o Gateway nat do Azure, consulte a análise do Azure Well-Architected Framework de um Gateway NAT do Azure.