Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os principais componentes do recurso de gateway da NAT que permitem que ele forneça uma conectividade de saída altamente segura, escalável e resiliente. O Gateway da NAT pode ser configurado em sua assinatura por meio de clientes com suporte. Esses clientes incluem o portal do Azure, a CLI do Azure, o Azure PowerShell, os modelos do Resource Manager ou alternativas apropriadas.
Arquitetura do Gateway da NAT
O Gateway da NAT usa a rede definida pelo software para operar como um serviço totalmente gerenciado e distribuído. Como o Gateway da NAT tem vários domínios de falha, ele tem a capacidade de suportar várias falhas sem nenhum efeito no serviço.
O Gateway da NAT fornece SNAT (conversão de endereços de rede de origem) para instâncias privadas nas sub-redes da sua rede virtual do Azure. Quando configurados em uma sub-rede, os IPs privados nas sub-redes são convertidos pela SNAT em endereços IP públicos estáticos de um gateway da NAT para se conectarem à saída pela Internet. O Gateway da NAT também fornece a conversão de endereço de rede de destino (DNAT) para pacotes de resposta somente para uma conexão originada da saída.
Figura: Gateway da NAT do Azure para saída para a Internet
Quando configurado para uma sub-rede em uma rede virtual, o Gateway da NAT torna-se o tipo de próximo salto padrão da sub-rede para todo o tráfego de saída direcionado para a Internet. Nenhuma configuração de roteamento extra é necessária. O Gateway da NAT não fornece conexões de entrada não solicitadas da Internet. O DNAT só é executado para pacotes que chegam como uma resposta a um pacote de saída.
Sub-redes
Um Gateway da NAT pode ser anexado a várias sub-redes em uma rede virtual para fornecer conectividade de saída à Internet. Quando o Gateway da NAT é conectado a uma sub-rede, ele assume a rota padrão para a Internet. Em seguida, o Gateway da NAT será o tipo de próximo salto para todo o tráfego de saída destinado à Internet.
As seguintes configurações de sub-rede não podem ser usadas com o Gateway da NAT:
Quando o Gateway da NAT é conectado a uma sub-rede, ele assume a rota padrão para a Internet. Apenas um gateway da NAT pode servir como rota padrão para a Internet para uma sub-rede.
O Gateway da NAT não pode ser anexado a sub-redes de redes virtuais diferentes.
O Gateway da NAT não pode ser usado com uma sub-rede de gateway. Uma sub-rede de gateway é uma sub-rede designada para um gateway de VPN para enviar o tráfego criptografado entre uma rede virtual do Azure e um ambiente local. Para obter mais informações sobre a sub-rede de gateway, confira Sub-rede de gateway.
Endereços IP públicos estáticos
O Gateway da NAT pode ser associado a endereços IP públicos estáticos ou prefixos de IP público para fornecer a conectividade de saída. O Gateway da NAT dá suporte a endereços IPv4. Um gateway da NAT pode usar endereços IP públicos ou prefixos em qualquer combinação, em um total de até 16 endereços IP. Se você atribuir um prefixo de IP público, o prefixo inteiro do IP público será usado. Você pode usar um prefixo IP público diretamente ou distribuir os endereços IP públicos do prefixo entre vários recursos do gateway da NAT. O gateway da NAT prepara todo o tráfego para o intervalo de endereços IP do prefixo.
O Gateway da NAT não pode ser usado com endereços IP públicos IPv6 ou prefixos.
O Gateway de NAT não pode ser usado com endereços IP públicos de SKU básicos.
Portas SNAT
O inventário de portas SNAT é fornecido pelos endereços IP públicos, pelos prefixos de IP público ou por ambos, anexados a um gateway da NAT. O inventário de portas SNAT é disponibilizado sob demanda para todas as instâncias em uma sub-rede anexada ao gateway da NAT. Nenhuma pré-alocação de portas SNAT por instância é necessária.
Para obter mais informações sobre as portas SNAT e o Gateway da NAT do Azure, confira SNAT (conversão de endereços de rede de origem) com o Gateway da NAT do Azure.
Quando várias sub-redes em uma rede virtual são anexadas ao mesmo recurso do gateway da NAT, o inventário de portas SNAT fornecido pelo Gateway da NAT é compartilhado entre todas as sub-redes.
As portas SNAT servem como identificadores exclusivos para distinguir fluxos de conexão diferentes uns dos outros. A mesma porta SNAT pode ser usada para se conectar a pontos de extremidade de destino diferentes ao mesmo tempo.
Portas SNAT diferentes são usadas para fazer conexões com o mesmo ponto de extremidade de destino, a fim de distinguir fluxos de conexão diferentes uns dos outros. As portas SNAT que estão sendo reutilizadas para se conectar ao mesmo destino são colocadas em um temporizador de resfriamento de reutilização antes que possam ser reutilizadas.
Figura: alocação da porta SNAT
Um único gateway da NAT pode dimensionar até 16 endereços IP. Cada IP do gateway da NAT fornece 64.512 portas SNAT para fazer conexões de saída. Um gateway da NAT pode ser escalado verticalmente para mais de 1 milhão de portas SNAT. O TCP e o UDP são inventários de portas de SNAT separados e não estão relacionados ao Gateway da NAT.
Zonas de disponibilidade
Um gateway da NAT pode ser criado em uma zona de disponibilidade específica ou não ser colocado em nenhuma zona. Quando um gateway da NAT não é colocado em nenhuma zona, o Azure seleciona uma zona na qual o gateway da NAT ficará localizado.
Endereços IP públicos com redundância de zona podem ser usados com recursos do gateway da NAT de zona ou sem zona.
A recomendação é configurar um gateway da NAT para zonas de disponibilidade individuais. Além disso, ele deve ser anexado a sub-redes com instâncias privadas da mesma zona. Para obter mais informações sobre as zonas de disponibilidade e o Gateway da NAT do Azure, confira Considerações sobre o design de zonas de disponibilidade.
Depois que um gateway da NAT é implantado, a seleção de zona não pode ser alterada.
Protocolos
O Gateway da NAT interage com o IP e os cabeçalhos de transporte de IP dos fluxos do UDP e do TCP. O Gateway da NAT é independente de conteúdos de camada de aplicativo. Não há suporte para outros protocolos IP.
Redefinição de TCP
Um pacote de redefinição de TCP é enviado quando um gateway da NAT detecta um tráfego em um fluxo de conexão que não existe. O pacote de redefinição de TCP indica para o ponto de extremidade de recebimento que a liberação do fluxo de conexão ocorreu e qualquer comunicação futura nessa mesma conexão TCP falhará. A redefinição de TCP é unidirecional para um gateway da NAT.
O fluxo de conexão pode não existir se:
O tempo limite ocioso foi atingido após um período de inatividade no fluxo de conexão e a conexão é silenciosamente removida.
O remetente, do lado da rede do Azure ou do lado da Internet pública, enviou um tráfego após a conexão ser removida.
Um pacote de redefinição de TCP é enviado somente ao detectar o tráfego no fluxo de conexão removido. Essa operação significa que um pacote de redefinição TCP pode não ser enviado imediatamente após a queda do fluxo de conexão.
O sistema envia um pacote de redefinição de TCP em resposta à detecção de tráfego em um fluxo de conexão inexistente, independentemente de o tráfego ser proveniente do lado da rede do Azure ou do lado da Internet pública.
Tempo limite ocioso de TCP
Um gateway da NAT fornece um intervalo de tempo limite ocioso configurável de 4 a 120 minutos para protocolos TCP. Os protocolos UDP têm um tempo limite ocioso não configurável de 4 minutos.
Quando uma conexão fica ociosa, o gateway da NAT mantém-se na porta SNAT até que a conexão atinja o tempo limite ocioso. Como os temporizadores longos de tempo limite ocioso podem aumentar desnecessariamente a probabilidade de esgotamento da porta SNAT, não é recomendável aumentar a duração do tempo limite ocioso de TCP para mais tempo do que o tempo padrão de 4 minutos. O temporizador de tempo limite ocioso não afeta um fluxo que nunca fica ocioso.
As keep alives TCP podem ser usadas para fornecer um padrão de atualização de conexões ociosas por longos períodos e detecção de atividade do ponto de extremidade. Para obter mais informações, consulte estes exemplos do .NET. As keep alives TCP aparecem como ACKs duplicados para os pontos de extremidade, representam pouca sobrecarga e são invisíveis para a camada do aplicativo.
Os temporizadores de tempo limite ocioso de UDP não são configuráveis, as keep alives de UDP devem ser usadas para garantir que o valor do tempo imite ocioso não seja atingido e que a conexão seja mantida. Ao contrário das conexões TCP, uma keep alive de UDP habilitada em um lado da conexão somente se aplica ao fluxo de tráfego em uma direção. As keep alives de UDP deverão ser habilitadas em ambos os lados do fluxo de tráfego para manter o fluxo de tráfego ativo.
Temporizadores
Temporizadores de reutilização de porta
Os temporizadores de reutilização da porta determinam a quantidade de tempo após o fechamento de uma conexão em que uma porta de origem está em espera antes de poder ser reutilizada para que uma nova conexão vá para o mesmo ponto de extremidade de destino pelo gateway da NAT.
A tabela a seguir fornece informações sobre quando uma porta TCP fica disponível para reutilização para o mesmo ponto de extremidade de destino pelo gateway da NAT.
| Temporizador | Descrição | Valor |
|---|---|---|
| TCP FIN | Depois que uma conexão é fechada por um pacote TCP FIN, um temporizador de 65 segundos que mantém a porta SNAT inoperante é ativado. A porta SNAT fica disponível para reutilização após o término do temporizador. | 65 segundos |
| TCP RST | Depois que uma conexão é fechada por um pacote TCP RST (redefinição), é ativado um temporizador de 16 segundos que mantém a porta SNAT inoperante. Quando o temporizador zerar, a porta ficará disponível para reutilização. | 16 segundos |
| TCP semiaberto | Durante o estabelecimento da conexão em que um ponto de extremidade de conexão está aguardando a confirmação do outro ponto de extremidade, um temporizador de 30 segundos é ativado. Se nenhum tráfego é detectado, a conexão é fechada. Depois que a conexão for fechada, a porta de origem estará disponível para reutilização no mesmo ponto de extremidade de destino. | 30 segundos |
Para o tráfego UDP, após o fechamento de uma conexão, a porta fica inoperante por 65 segundos antes de ficar disponível para reutilização.
Temporizadores de tempo limite ocioso
| Temporizador | Descrição | Valor |
|---|---|---|
| Tempo limite ocioso de TCP | As conexões TCP podem ficar ociosas quando nenhum dado é transmitido entre os pontos de extremidade por um período prolongado. Um temporizador pode ser configurado de quatro minutos (padrão) a 120 minutos (duas horas) para tempo limite de uma conexão que ficou ociosa. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Configurável; quatro minutos (padrão) a 120 minutos |
| Tempo limite de ociosidade do UDP | As conexões UDP podem ficar ociosas quando nenhum dado é transmitido entre os pontos de extremidade por um período prolongado. Os temporizadores de tempo limite ocioso de UDP são de 4 minutos e não são configuráveis. O tráfego no fluxo redefine o temporizador de tempo limite ocioso. | Não configurável; 4 minutos |
Observação
Essas configurações de temporizador estão sujeitas a alterações. Os valores são fornecidos para auxiliar a solucionar problemas e você não deverá ficar na dependência de temporizadores específicos nesse momento.
Largura de Banda
Cada gateway da NAT pode fornecer até um total de 50 Gbps de taxa de transferência. O limite da taxa de transferência de dados é dividido entre dados de saída e de entrada (resposta). A taxa de transferência de dados é limitada a 25 Gbps para dados de saída e 25 Gbps para dados de entrada (resposta) por recurso de gateway da NAT. Você pode dividir suas implantações em várias sub-redes e atribuir a cada sub-rede ou grupo de sub-redes um gateway da NAT para escala horizontal.
Desempenho
Um gateway da NAT pode dar suporte a até 50.000 conexões simultâneas por endereço IP público para o mesmo ponto de extremidade de destino pela Internet para tráfego TCP e UDP. O gateway da NAT pode processar 1 milhão de pacotes por segundo e escalar verticalmente até 5 milhões de pacotes por segundo.
O gateway da NAT pode dar suporte a até 2 milhões de conexões ativas simultaneamente. O número de conexões no Gateway da NAT é contado com base na tupla de 5 (endereço IP de origem, porta de origem, endereço IP de destino, porta de destino e protocolo). Se o Gateway da NAT exceder 2 milhões de conexões, a disponibilidade do datapath diminuirá e novas conexões falharão.
Limitações
Os endereços IP públicos Básicos e os balanceadores de carga Básicos não são compatíveis com o gateway da NAT. Em vez disso, use IPs públicos e balanceadores de carga de SKU Standard.
Para atualizar um balanceador de carga de Básico para Standard, confira Atualizar o Load Balancer público do Azure
Para atualizar um endereço IP público de Básico para Standard, consulte Atualizar um endereço IP público
O gateway da NAT não dá suporte ao ICMP
A fragmentação de IP não está disponível para o Gateway da NAT.
O Gateway da NAT não dá suporte a endereços IP públicos com a configuração de roteamento do tipo Internet. Para ver uma lista de serviços do Azure que dão suporte à configuração de roteamento Internet em IPs públicos, confira Serviços com suporte para roteamento pela Internet pública.
Não há suporte para IPs públicos com a proteção contra DDoS habilitada com o gateway da NAT. Para obter mais informações, consulte Limitações de DDoS.
Não há suporte do Gateway da NAT do Azure em arquiteturas de rede de hub virtual seguro (vWAN).
Próximas etapas
ReviseGateway da NAT do Azure.
Saiba mais sobre métricas e alertas do gateway da NAT.
Saiba como solucionar problemas do gateway da NAT.