Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um Gateway da NAT do Azure é um serviço de Conversão de Endereços de Rede (NAT) totalmente gerenciado e altamente resiliente. Você pode usar o Gateway da NAT do Azure para permitir que todas as instâncias em uma sub-rede se conectem de saída à Internet, mantendo-se totalmente privadas. Conexões de entrada não solicitadas da Internet não são permitidas por meio de um Gateway da NAT. Somente os pacotes que chegam como pacotes de resposta a uma conexão de saída podem passar por um Gateway da NAT.
O Gateway da NAT aloca dinamicamente portas SNAT para dimensionar automaticamente a conectividade de saída e minimizar o risco de esgotamento da porta SNAT.
Importante
O Gateway da NAT do Azure no SKU Standard V2 está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Figura: Gateway da NAT do Azure
O Gateway da NAT do Azure está disponível em dois SKUs:
O Gateway da NAT no SKU Standard é zonal (implantado em uma única zona de disponibilidade) e fornece conectividade de saída escalonável para sub-redes em uma única rede virtual.
O Gateway da NAT de SKU StandardV2 é com redundância de zona com taxa de transferência maior do que o SKU Standard, além de suporte a IPv6 e suporte ao log de fluxo.
StandardV2 NAT Gateway
O Gateway da NAT StandardV2 fornece todas as mesmas funcionalidades do Gateway da NAT de SKU Standard, como alocação de porta SNAT dinâmica e conectividade de saída segura para sub-redes em uma rede virtual. Além disso, o Gateway da NAT StandardV2 é com redundância de zona, o que significa que ele fornece conectividade de saída de todas as zonas em uma região em vez de uma única zona, como o Gateway da NAT Standard.
Figura: o Gateway da NAT StandardV2 abrange várias zonas de disponibilidade em uma região.
Principais funcionalidades do Gateway da NAT StandardV2
- Com redundância de zona: opera em todas as zonas de disponibilidade em uma região para manter a conectividade durante uma falha em uma única zona.
- Suporte a IPv6 — dá suporte a IPs IPv4 e IPv6 e prefixos para conectividade de saída.
- Taxa de transferência mais alta — cada Gateway da NAT StandardV2 pode fornecer até 100 Gbps de taxa de transferência de dados, em comparação com 50 Gbps para o Gateway da NAT Standard.
- Suporte a logs de fluxo: fornece informações de tráfego baseadas em IP para ajudar a monitorar e analisar fluxos de tráfego de saída.
Para saber mais sobre como implantar o Gateway da NAT StandardV2, veja Criar um Gateway da NAT StandardV2.
Principais limitações do Gateway da NAT StandardV2
- Requer os prefixos ou IPs do SKU StandardV2. Não há suporte para IPs públicos de SKU Standard com o Gateway da NAT StandardV2.
- O Gateway da NAT de SKU Standard não pode ser atualizado para o Gateway da NAT StandardV2. Primeiro, é preciso criar o Gateway da NAT no SKU StandardV2 e substituir o Gateway da NAT no SKU Standard em sua sub-rede.
- As seguintes regiões não dão suporte ao Gateway da NAT StandardV2:
- Leste do Canadá
- Índia Central
- Chile Central
- Indonésia Central
- Noroeste de Israel
- Oeste da Malásia
- Catar Central
- EAU Central
- O Terraform ainda não dá suporte a implantações de IP público StandardV2 e Gateway da NAT StandardV2.
- O Gateway da NAT StandardV2 não dá suporte e não pode ser anexado a sub-redes delegadas para os seguintes serviços:
- Instância Gerenciada de SQL do Azure
- Instâncias de Contêiner do Azure
- Banco de Dados Azure para PostgreSQL - Servidor Flexível
- Banco de Dados do Azure para MySQL – Servidor flexível
- Banco de Dados do Azure para MySQL
- Azure Data Factory — Movimentação de dados
- Serviços do Microsoft Power Platform
- Azure Stream Analytics
- Aplicativos Web do Azure
- Resolvedor Privado de DNS do Azure
Problemas conhecidos do Gateway da NAT StandardV2
O tráfego de saída IPv6 usando regras de saída do balanceador de carga é interrompido quando o Gateway da NAT StandardV2 está associado a uma sub-rede. Se você precisar de conectividade de saída IPv4 e IPv6, use as regras de saída do balanceador de carga para o tráfego IPv4 e IPv6 ou use o Gateway da NAT Standard para o tráfego IPv4 e regras de saída do balanceador de carga para o tráfego IPv6.
Anexar um Gateway NAT StandardV2 a uma sub-rede vazia criada antes de abril de 2025 sem máquinas virtuais pode fazer com que a rede virtual entre em um estado com falha. Para retornar a rede virtual a um estado bem-sucedido, remova o Gateway NAT StandardV2, crie e adicione uma máquina virtual à sub-rede e, em seguida, reanexe o Gateway NAT StandardV2.
Para obter mais informações sobre problemas conhecidos e limitações do Gateway da NAT StandardV2, veja problemas conhecidos e limitações do Gateway da NAT StandardV2.
Gateway da NAT Standard
O Gateway da NAT Standard fornece conectividade de saída com a Internet e pode ser associado a sub-redes na mesma rede virtual. O Gateway da NAT Standard opera fora de uma única zona de disponibilidade.
*Figura: Gateway da NAT Standard em uma única zona de disponibilidade.
Benefícios do Gateway da NAT do Azure
Configuração simples
As implantações são intencionalmente simplificadas com o Gateway da NAT. Anexe o Gateway da NAT a uma sub-rede e endereço IP público e comece a fazer conexão de saída com a Internet imediatamente. Não é necessário fazer manutenção ou configurar o roteamento. Mais IPs públicos ou sub-redes podem ser adicionados posteriormente sem efeito à sua configuração existente.
As etapas a seguir são um exemplo de como configurar um Gateway da NAT:
Crie um Gateway da NAT zonal ou não zonal.
Crie um gateway da NAT.
Crie um prefixo IP ou endereço IP públicos.
Configure uma sub-rede para usar um o Gateway da NAT.
Se necessário, modifique o tempo limite ocioso do protocolo TCP (opcional). Examine os temporizadores antes de alterar o padrão.
Segurança
O Gateway de NAT é criado no modelo de segurança de rede Zero Trust e é seguro por padrão. Com o Gateway da NAT, as instâncias privadas em uma sub-rede não precisam de endereços IP públicos para acessar a Internet. Os recursos privados podem alcançar fontes externas fora da rede virtual por SNAT (conversão de endereços de rede de origem) para os prefixos ou endereços IP públicos estáticos do Gateway da NAT. Você pode fornecer um conjunto contíguo de IPs para conectividade de saída usando um prefixo IP público. As regras de firewall de destino podem ser configuradas com base nessa lista de IP previsível.
Resiliência
O Gateway da NAT do Azure é um serviço totalmente gerenciado e distribuído. Ele não depende de instâncias de computação individuais, como máquinas virtuais ou um único dispositivo de gateway físico. O Gateway da NAT sempre tem vários domínios de falha e pode manter várias falhas sem interrupção do serviço. Com a rede definida por software, o Gateway da NAT fica altamente resiliente.
Escalabilidade
O Gateway da NAT é escalado horizontalmente desde a criação. Não é necessária uma operação de aumento gradual de capacidade ou de expansão. O Azure gerencia a operação do Gateway da NAT para você.
Anexe o Gateway da NAT a uma sub-rede para fornecer conectividade de saída para todos os recursos privados nessa sub-rede. Todas as sub-redes em uma rede virtual podem usar o mesmo recurso do Gateway da NAT. A conectividade de saída pode ser escalada horizontalmente atribuindo até 16 endereços IP públicos ou um prefixo IP público de tamanho /28 ao Gateway da NAT. Quando um Gateway da NAT é associado a um prefixo IP público, ele é dimensionado automaticamente para o número de endereços IP necessários para a saída.
Desempenho
O Gateway da NAT do Azure é um serviço de rede definida por software. Cada Gateway da NAT pode processar até 50 Gbps de dados para tráfego de saída e de retorno.
Um Gateway da NAT não afeta a largura de banda da rede dos recursos de computação. Saiba mais sobre o Desempenho do Gateway da NAT.
Noções básicas do Gateway da NAT do Azure
O Gateway da NAT do Azure fornece conectividade de saída segura e escalonável para recursos em uma rede virtual. É o método recomendado para acesso de saída à Internet.
Conectividade de saída
O Gateway da NAT é o método recomendado para conectividade de saída.
- Para migrar o acesso externo a um Gateway da NAT a partir das regras de saída do balanceador de carga ou acesso de saída padrão, consulte Migrar o acesso de saída para o Gateway da NAT do Azure.
Observação
Em 31 de março de 2026, novas redes virtuais usarão as sub-redes privadas, o que significa que o acesso de saída padrão não será mais fornecido por padrão. Em vez disso, é recomendável usar uma forma explícita de conectividade de saída, como o Gateway da NAT.
O Gateway da NAT fornece conectividade de saída em um nível de sub-rede. O Gateway da NAT substitui o destino padrão da Internet de uma sub-rede para fornecer conectividade de saída.
O Gateway da NAT não requer nenhuma configuração de roteamento em uma tabela de rotas de sub-rede. Depois que o Gateway da NAT é anexado a uma sub-rede, ele fornece conectividade de saída imediatamente.
O Gateway da NAT permite que os fluxos sejam criados da rede virtual para os serviços fora da rede virtual. O tráfego de retorno da internet só é permitido em resposta a um fluxo ativo. Os serviços fora da rede virtual não podem iniciar uma conexão de entrada por meio do Gateway da NAT.
O Gateway da NAT tem precedência sobre outros métodos de conectividade de saída, incluindo um balanceador de carga, endereços IP públicos no nível da instância e Firewall do Azure.
O Gateway da NAT tem prioridade sobre outros métodos de saída explícitos configurados em uma rede virtual para todas as novas conexões. Não há quedas no fluxo de tráfego para conexões existentes usando outros métodos explícitos de conectividade de saída.
O Gateway da NAT não tem as mesmas limitações de esgotamento de porta SNAT que o acesso de saída padrão e as regras de saída de um balanceador de carga.
O Gateway da NAT dá suporte apenas a protocolos TCP e UDP. Não há suporte para protocolo ICMP.
- Instâncias dos Serviços de Aplicativos do Azure (aplicativos Web, APIs REST e back-ends para dispositivos móveis) por meio da integração de rede virtual.
A sub-rede tem uma rota padrão do sistema que roteia o tráfego com o destino 0.0.0.0/0 para a Internet automaticamente. Depois que o Gateway da NAT é configurado para a sub-rede, as máquinas virtuais na sub-rede se comunicam com a Internet usando o IP público do Gateway da NAT.
Ao criar uma rota definida pelo usuário (UDR) na tabela de rotas da sua sub-rede para o tráfego 0.0.0.0/0, o caminho padrão da internet para esse tráfego é substituído. Uma UDR que direciona o tráfego 0.0.0.0/0 para uma solução de virtualização ou um gateway de rede virtual (Gateway de VPN e ExpressRoute) como o tipo de próximo salto, em vez disso, substitui a conectividade do Gateway da NAT com a internet.
Como funciona o Gateway da NAT
Nenhuma configuração de tabela de rotas — o Gateway da NAT opera em um nível de sub-rede. Depois de anexado, o Gateway da NAT fornece conectividade de saída sem a necessidade de configurações de roteamento na tabela de rotas de sub-rede.
- UDR com solução de virtualização ou Gateway de VPN de próximo salto >> Gateway da NAT >> Endereço IP público no nível da instância em uma máquina virtual >> Regras de saída de balanceador de carga >> rota padrão do sistema para a Internet.
Configurações do Gateway da NAT
Várias sub-redes dentro da mesma rede virtual podem usar Gateways da NAT diferentes ou o mesmo Gateway da NAT.
Vários Gateways da NAT não podem ser anexados a uma só sub-rede.
O Gateway da NAT não pode abranger várias redes virtuais. No entanto, o Gateway da NAT pode ser usado para fornecer conectividade de saída em um modelo de hub e spoke. Para obter mais informações, consulte o Tutorial de hub e spoke do Gateway da NAT.
Um Gateway da NAT não pode ser implantado em uma sub-rede de gateway.
Um recurso de Gateway da NAT pode usar até 16 endereços IP em qualquer combinação dos seguintes tipos:
Vários Gateways da NAT não podem ser anexados a uma só sub-rede.
O Gateway da NAT não pode abranger várias redes virtuais. No entanto, o Gateway da NAT pode ser usado para fornecer conectividade de saída em um modelo de hub e spoke. Para obter mais informações, consulte o Tutorial de hub e spoke do Gateway da NAT.
Um Gateway da NAT não pode ser implantado em uma sub-rede de gateway ou sub-rede contendo Instâncias Gerenciadas de SQL.
O Gateway da NAT não pode ser associado a um endereço IP público IPv6 nem a um prefixo IP público IPv6.
O Gateway da NAT pode ser usado com o balanceador de carga usando regras de saída para fornecer conectividade de saída de pilha dupla. Confira conectividade de saída de pilha dupla com o Gateway da NAT e o balanceador de carga.
O Gateway da NAT funciona com qualquer adaptador de rede de máquina virtual ou configuração de IP. O Gateway da NAT pode fazer SNAT de várias configurações IP em um adaptador de rede.
O Gateway da NAT pode ser associado a uma sub-rede do Firewall do Azure em uma rede virtual de hub e fornecer conectividade de saída de redes virtuais spoke emparelhadas com o hub. Para saber mais, confira Integração do Firewall do Azure com o Gateway da NAT.
Zonas de disponibilidade
Um Gateway da NAT no SKU Standard pode ser criado em uma zona de disponibilidade específica ou ser colocado em nenhuma zona.
O Gateway da NAT Standard pode ser isolado em uma zona específica quando você cria cenários de isolamento de zona. Depois que o Gateway da NAT é implantado, a seleção de zona não pode ser alterada.
O Gateway da NAT Standard é colocado em nenhuma zona por padrão. Um Gateway da NAT não zonal é colocado em uma zona para você pelo Azure.
O Gateway da NAT no SKU StandardV2 é com redundância de zona e opera em todas as zonas de disponibilidade em uma região para manter a conectividade durante uma falha em uma única zona.
Acesso de saída padrão
Para fornecer conectividade de saída segura à Internet, é recomendável habilitar a sub-rede privada para impedir a criação de IPs de saída padrão e usar um método explícito de conectividade de saída, como o Gateway da NAT.
Determinados serviços não funcionam em uma máquina virtual em uma sub-rede privada sem um método explícito de conectividade de saída, como Ativação do Windows e Atualizações do Windows. Para ativar ou atualizar sistemas operacionais de máquina virtual, como o Windows, é necessário um método explícito de conectividade de saída, como o Gateway da NAT.
Para migrar o acesso externo a um Gateway da NAT a partir das regras de saída do balanceador de carga ou acesso de saída padrão, consulte Migrar o acesso de saída para o Gateway da NAT do Azure.
Observação
Em 31 de março de 2026, novas redes virtuais usarão as sub-redes privadas, o que significa que o acesso de saída padrão não será mais fornecido por padrão e esse método de saída explícito deve ser habilitado para alcançar pontos de extremidade públicos na Internet e dentro da Microsoft. Em vez disso, é recomendável usar uma forma explícita de conectividade de saída, como o Gateway da NAT.
Gateway da NAT e recursos básicos
O Gateway da NAT Standard é compatível com IPs Standard ou prefixos de IP público. O Gateway da NAT StandardV2 é compatível apenas com IPs StandardV2 ou prefixos de IP públicos.
O Gateway da NAT não pode ser usado com sub-redes em que existam recursos básicos. Os recursos de SKU Básico, como o balanceador de carga Básico ou os IPs públicos básicos, não são compatíveis com o Gateway da NAT. O balanceador de carga básico e o IP público básico podem ser atualizados para o standard para funcionar com um Gateway da NAT.
Para obter mais informações sobre como fazer upgrade de um balanceador de carga de Básico para Standard, confira Fazer upgrade de um Azure Load Balancer Básico público.
Para obter mais informações sobre como fazer upgrade de um IP público de Básico para Standard, confira Fazer upgrade de um endereço IP público.
Para obter mais informações sobre como fazer upgrade de um IP público Básico anexado a uma máquina virtual de Básico para Standard, confira Fazer upgrade de um IP público Básico anexado a uma máquina virtual.
Tempo limite de conexão e temporizadores
O Gateway da NAT envia um pacote RST (Redefinição de TCP) para qualquer fluxo de conexão que ele não reconhece como uma conexão existente. O fluxo de conexão não existe mais se o tempo limite de ociosidade do Gateway da NAT tiver sido atingido ou a conexão tiver sido encerrada anteriormente.
Quando o remetente do tráfego no fluxo de conexão inexistente recebe o pacote RST TCP do Gateway da NAT, a conexão não é mais utilizável.
As portas SNAT não estão prontamente disponíveis para reutilização para o mesmo ponto de extremidade de destino após o fechamento de uma conexão. O Gateway da NAT coloca as portas SNAT em um estado de resfriamento antes que elas possam ser reutilizadas para se conectarem ao mesmo ponto de extremidade de destino.
As durações do temporizador de reutilização (resfriamento) da porta SNAT variam para o tráfego TCP, dependendo de como a conexão é fechada. Para saber mais, confira Temporizadores de reutilização de porta.
Um tempo limite de ociosidade TCP padrão de 4 minutos é usado e pode ser aumentado para até 120 minutos. Qualquer atividade em um fluxo também pode redefinir o temporizador de ociosidade, incluindo keepalives TCP. Para saber mais, confira Temporizadores de tempo limite ocioso.
O tráfego UDP tem um temporizador de tempo limite ocioso de 4 minutos que não pode ser alterado.
O tráfego UDP tem um temporizador de redefinição de porta de 65 segundos para o qual uma porta fica em espera antes de ficar disponível para reutilização no mesmo ponto de extremidade de destino.
Preços e Contrato de Nível de Serviço (SLA)
O Gateway da NAT Standard e StandardV2 têm o mesmo preço. Para saber o preço do Gateway da NAT do Azure, confira Preços do Gateway da NAT.
Para obter informações sobre o SLA, confira SLA do Gateway da NAT do Azure.
Próximas etapas
Para obter mais informações sobre como criar e validar um Gateway da NAT, confira Início rápido: criar um Gateway da NAT usando o portal do Azure.
Para ver um vídeo de como obter mais informações sobre o Gateway da NAT do Azure, confira Como aprimorar a conectividade de saída usando um Gateway da NAT do Azure.
Para obter mais informações sobre o recurso de Gateway da NAT, confira Recurso de Gateway da NAT.
Saiba mais sobre o Gateway da NAT do Azure no seguinte módulo:
Para obter mais informações sobre opções de arquitetura para o Gateway da NAT do Azure, confira Revisão do Azure Well-Architected Framework de um Gateway da NAT do Azure.