Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure NAT Gateway ist ein vollständig verwalteter und äußerst resilienter NAT-Dienst (Network Address Translation, Netzwerkadressenübersetzung). Sie können das Azure NAT-Gateway verwenden, um alle Instanzen in einem Subnetz ausgehend mit dem Internet zu verbinden, während sie vollständig privat bleiben. Nicht angeforderte eingehende Verbindungen aus dem Internet sind über ein NAT Gateway nicht zulässig. Es können nur Pakete über ein NAT Gateway weitergeleitet werden, die als Antwortpakete an eine ausgehende Verbindung eingehen.
NAT-Gateway weist SNAT-Ports dynamisch zu, um ausgehende Verbindungen automatisch zu skalieren und das Risiko der SNAT-Portausschöpfung zu minimieren.
Von Bedeutung
Das Standard-V2-SKU Azure NAT Gateway befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Abbildung: Azure NAT Gateway
Das Azure NAT-Gateway ist in zwei SKUs verfügbar:
Norm SKU-NAT-Gateway ist zonal (in einer einzelnen Verfügbarkeitszone bereitgestellt) und bietet skalierbare ausgehende Konnektivität für Subnetze in einem einzigen virtuellen Netzwerk.
StandardV2 SKU-NAT-Gateway ist zonenredundant mit einem höheren Durchsatz als die Standard-SKU, IPv6-Unterstützung und Flussprotokollunterstützung.
StandardV2 NAT-Gateway
StandardV2 NAT Gateway bietet alle funktionen des Standard-SKU-NAT-Gateways, z. B. dynamische SNAT-Portzuweisung und sichere ausgehende Konnektivität für Subnetze innerhalb eines virtuellen Netzwerks. Darüber hinaus ist StandardV2 NAT-Gateway zonenredundant, d. h., es bietet ausgehende Konnektivität von allen Zonen in einer Region anstelle einer einzelnen Zone wie standard NAT Gateway.
Abbildung: StandardV2 NAT Gateway erstreckt sich über mehrere Verfügbarkeitszonen in einer Region.
Wichtige Funktionen des StandardV2 NAT-Gateways
- Zonenredundant – funktioniert über alle Verfügbarkeitszonen in einer Region, um die Konnektivität während eines Ausfalls einer einzelnen Zone aufrechtzuerhalten.
- IPv6-Unterstützung – unterstützt sowohl öffentliche IPv4- als auch IPv6-IP-Adressen und Präfixe für ausgehende Verbindungen.
- Höherer Durchsatz – jedes StandardV2 NAT-Gateway kann bis zu 100 GBit/s datendurchsatz im Vergleich zu 50 GBit/s für das Standard-NAT-Gateway bereitstellen.
- Unterstützung von Ablaufprotokollen – stellt IP-basierte Datenverkehrsinformationen bereit, um ausgehende Datenverkehrsflüsse zu überwachen und zu analysieren.
Weitere Informationen zum Bereitstellen von StandardV2 NAT-Gateway finden Sie unter Create a StandardV2 NAT Gateway.
Wichtige Einschränkungen des StandardV2 NAT-Gateways
- Erfordert öffentliche StandardV2-SKU-IP-Adressen oder Präfixe. Öffentliche Standard-SKU-IPs werden nicht mit StandardV2 NAT-Gateway unterstützt.
- Standardmäßiges SKU-NAT-Gateway kann nicht auf das StandardV2 NAT-Gateway aktualisiert werden. Sie müssen zuerst das StandardV2-SKU-NAT-Gateway erstellen und das Standard-SKU-NAT-Gateway in Ihrem Subnetz ersetzen.
- Die folgenden Regionen unterstützen kein StandardV2 NAT-Gateway:
- Canada East
- Zentralindien
- Chile Zentral
- Indonesien Zentral
- Israel Nordwest
- Malaysia, Westen
- Qatar Central
- UAE Central
- Terraform unterstützt noch nicht die Bereitstellungen für StandardV2 NAT Gateway und StandardV2 Public IP.
- Das StandardV2-NAT-Gateway unterstützt nicht und kann für die folgenden Dienste nicht an delegierte Subnetze angefügt werden:
- Verwaltete Azure SQL-Instanz
- Azure-Containerinstanzen
- Azure Database for PostgreSQL – Flexible Server
- Azure Database for MySQL – Flexibler Server
- Azure-Datenbank für MySQL
- Azure Data Factory – Datenverschiebung
- Microsoft Power Platform-Dienste
- Azure Stream Analytics
- Azure-Web-Apps
- Azure DNS Private Resolver
Bekannte Probleme des StandardV2 NAT-Gateways
Der ausgehende IPv6-Datenverkehr gemäß den Lastenausgleichsregeln wird unterbrochen, wenn einem Subnetz das StandardV2-NAT-Gateway zugewiesen ist. Wenn Sie sowohl IPv4- als auch IPv6-ausgehende Konnektivität benötigen, verwenden Sie entweder ausgehende Lastenausgleichsregeln für IPv4- und IPv6-Datenverkehr oder standard NAT-Gateway für IPv4-Datenverkehr und ausgehende Lastenausgleichsregeln für IPv6-Datenverkehr.
Das Anfügen eines StandardV2-NAT-Gateways an ein leeres Subnetz, das vor April 2025 erstellt wurde und keine virtuellen Maschinen enthält, kann dazu führen, dass das virtuelle Netzwerk in einen fehlerhaften Zustand gerät. Um das virtuelle Netzwerk in einen erfolgreichen Zustand zurückzugeben, entfernen Sie standardV2 NAT-Gateway, erstellen und fügen Sie dem Subnetz einen virtuellen Computer hinzu, und fügen Sie es dann erneut an das StandardV2 NAT-Gateway an.
Weitere Informationen zu bekannten Problemen und Einschränkungen des StandardV2 NAT-Gateways finden Sie unter Bekannte Probleme und Einschränkungen des StandardV2 NAT-Gateways.
NAT-Standardgateway
Standardmäßiges NAT-Gateway bietet ausgehende Verbindungen mit dem Internet und kann subnetzen innerhalb desselben virtuellen Netzwerks zugeordnet werden. Ein standardmäßiges NAT-Gateway wird in einer einzelnen Verfügbarkeitszone betrieben.
*Abbildung: Standardmäßiges NAT-Gateway in einer einzelnen Verfügbarkeitszone.
Vorteile von Azure NAT Gateway
Einfache Einrichtung
Bereitstellungen gestalten sich mit NAT Gateway bewusst einfach. Fügen Sie ein NAT Gateway an ein Subnetz und eine öffentliche IP-Adresse an, und starten Sie sofort damit, eine ausgehende Verbindung mit dem Internet herzustellen. Es sind keinerlei Wartungs- und Routingkonfigurationen erforderlich. Weitere öffentliche IP-Adressen oder Subnetze können später ohne Auswirkungen auf Ihre vorhandene Konfiguration hinzugefügt werden.
Die folgenden Schritte sind ein Beispiel für das Einrichten eines NAT Gateways:
Erstellen Sie eine nicht zonale oder eine zonale NAT Gateway-Instanz.
Erstellen eines NAT-Gateways.
Weisen Sie eine öffentliche IP-Adresse oder ein Präfix für öffentliche IP-Adressen zu.
Konfigurieren Sie ein Subnetz für die Verwendung eines NAT-Gateways.
Ändern Sie bei Bedarf das TCP-Leerlauftimeout (Transmission Control Protocol) (optional). Lesen Sie den Abschnitt Timer, bevor Sie die Standardeinstellung ändern.
Sicherheit
NAT-Gateway basiert auf dem Zero Trust-Netzwerksicherheitsmodell und ist standardmäßig sicher. Mit NAT Gateway benötigen private Instanzen innerhalb eines Subnetzes keine öffentlichen IP-Adressen, um das Internet zu erreichen. Private Ressourcen können externe Quellen außerhalb des virtuellen Netzwerks durch SNAT (Source Network Address Translating) an die statischen öffentlichen IP-Adressen oder Präfixe von NAT Gateway erreichen. Sie können eine zusammenhängende Gruppe von IP-Adressen für ausgehende Verbindungen bereitstellen, indem Sie ein öffentliches IP-Präfix verwenden. Basierend auf dieser vorhersagbaren IP-Adressliste können Zielfirewallregeln konfiguriert werden.
Resilienz
Azure NAT Gateway ist ein vollständig verwalteter und verteilter Dienst. Es hängt nicht von einzelnen Computeinstanzen wie virtuellen Computern oder einem einzelnen physischen Gatewaygerät ab. Ein NAT Gateway verfügt immer über mehrere Fehlerdomänen und kann mehrere Fehler ohne Dienstausfall überstehen. Softwaredefinierte Netzwerke machen ein NAT Gateway äußerst resilient.
Skalierbarkeit
NAT Gateway wird ab der Erstellung aufskaliert. Es ist kein Anlauf- oder Skalierungsvorgang erforderlich. Die NAT Gateway-Instanz wird von Azure für Sie verwaltet.
Fügen Sie ein NAT Gateway an ein Subnetz an, um ausgehende Verbindungen für alle privaten Ressourcen in diesem Subnetz bereitzustellen. Alle Subnetze in einem virtuellen Netzwerk können dieselbe NAT Gateway-Ressource nutzen. Die ausgehende Konnektivität kann durch Zuweisen von bis zu 16 öffentlichen IP-Adressen oder eines Präfixes für öffentliche IP-Adressen der Größe 28 zu NAT Gateway hochskaliert werden. Bei Zuordnung eines NAT Gateways zu einem Präfix für öffentliche IP-Adressen erfolgt eine automatische Skalierung auf die Anzahl der IP-Adressen, die für den ausgehenden Datenverkehr benötigt werden.
Leistung
Azure NAT Gateway ist ein softwaredefinierter Netzwerkdienst. Jedes NAT Gateway kann Daten im Umfang von bis zu 50 GBit/s für ausgehenden und eingehenden Datenverkehr verarbeiten.
Ein NAT Gateway wirkt sich nicht auf die Netzwerkbandbreite Ihrer Computeressourcen aus. Erfahren Sie mehr über die Leistung von NAT Gateway.
Grundlagen von Azure NAT Gateway
Azure NAT Gateway bietet sichere, skalierbare ausgehende Konnektivität für Ressourcen in einem virtuellen Netzwerk. Es ist die empfohlene Methode für ausgehenden Zugriff auf das Internet.
Ausgehende Konnektivität
NAT Gateway ist die empfohlene Methode für ausgehende Verbindungen.
- Informationen dazu, wie Sie den Zugriff in ausgehender Richtung vom Standardzugriff in ausgehender Richtung oder von Ausgangsregeln für den Lastenausgleich zu einem NAT Gateway migrieren, finden Sie unter Migrieren des ausgehenden Zugriffs auf Azure NAT Gateway.
Hinweis
Am 31. März 2026 werden neue virtuelle Netzwerke standardmäßig private Subnetze verwenden, was bedeutet, dass standardmäßiger ausgehender Zugriff nicht mehr bereitgestellt wird. Es wird empfohlen, stattdessen eine explizite Form ausgehender Konnektivität wie ein NAT Gateway zu verwenden.
NAT Gateway bietet ausgehende Konnektivität auf Subnetzebene. NAT Gateway ersetzt das standardmäßige Internetziel eines Subnetzes, um ausgehende Konnektivität bereitzustellen.
NAT Gateway erfordert keine Routingkonfigurationen in einer Subnetz-Routingtabelle. Nachdem das NAT Gateway an ein Subnetz angefügt wurde, stellt es sofort ausgehende Konnektivität bereit.
NAT Gateway ermöglicht es, Datenflüsse vom virtuellen Netzwerk zu den Diensten außerhalb Ihres virtuellen Netzwerks zu erstellen. Aus dem Internet zurückfließender Datenverkehr ist nur als Antwort auf einen aktiven Datenfluss zulässig. Dienste außerhalb Ihres virtuellen Netzwerks können keine eingehende Verbindung über NAT Gateway initiieren
NAT Gateway besitzt Vorrang vor anderen ausgehenden Konnektivitätsmethoden, einschließlich des Lastenausgleichs, öffentlicher IP-Adressen auf Instanzebene und Azure Firewall.
NAT Gateway hat Vorrang vor anderen expliziten ausgehenden Methoden, die in einem virtuellen Netzwerk für alle neuen Verbindungen konfiguriert sind. Es gibt keine Abnahmen im Datenverkehrsfluss für bestehende Verbindungen, die andere explizite Methoden der ausgehenden Konnektivität verwenden.
Für NAT Gateway gelten nicht die gleichen Beschränkungen bezüglich der SNAT-Portauslastung wie für den Standardzugriff in ausgehender Richtung und die Ausgangsregeln für einen Lastenausgleich.
NAT Gateway unterstützt nur die Protokolle TCP und UDP (User Datagram Protocol). Internet Control Message-Protokoll (ICMP) wird nicht unterstützt.
- Azure App Services-Instanzen (Webanwendungen, REST-APIs und mobile Back-Ends) durch die Integration virtueller Netzwerke
Das Subnetz verfügt über eine Systemstandardroute, die Datenverkehr mit dem Ziel 0.0.0.0/0 automatisch an das Internet weiterleitet. Nachdem NAT Gateway für das Subnetz konfiguriert wurde, kommunizieren virtuelle Computer im Subnetz über die öffentliche IP-Adresse des NAT Gateways mit dem Internet.
Wenn Sie eine benutzerdefinierte Route (UDR) in Ihrer Subnetzroutentabelle für 0.0.0.0/0 Datenverkehr erstellen, wird der Standardinternetpfad für diesen Datenverkehr außer Kraft gesetzt. Eine UDR, die an 0.0.0.0/0 gerichteten Datenverkehr an eine virtuelle Appliance oder ein virtuelles Netzwerkgateway (VPN Gateway und ExpressRoute) als nächsten Hoptyp sendet, setzt die NAT Gateway-Konnektivität mit dem Internet außer Kraft.
Funktionsweise des NAT-Gateways
Keine Routingtabellenkonfiguration – NAT-Gateway wird auf Subnetzebene betrieben. Nach dem Anfügen stellt NAT-Gateway ausgehende Verbindungen bereit, ohne dass Routingkonfigurationen in der Subnetzroutentabelle erforderlich sind.
- UDR zum nächsten Hop „Virtuelles Gerät“ oder „Virtuelles Netzwerkgateway“ >> „NAT Gateway“ >> „Öffentliche IP-Adresse auf Instanzebene auf einem virtuellen Computer“ >> „Ausgangsregeln zum Lastenausgleich“ >> „Standardsystemroute zum Internet“.
NAT Gateway-Konfigurationen
Mehrere Subnetze innerhalb desselben virtuellen Netzwerks können entweder ein NAT Gateway oder unterschiedliche NAT Gateways verwenden.
Es können nicht mehrere NAT Gateways an ein einzelnes Subnetz angefügt werden.
Ein NAT Gateway kann nicht mehrere virtuelle Netzwerke umfassen. NAT Gateway kann jedoch verwendet werden, um ausgehende Konnektivität an ein Hub-and-Spoke-Modell bereitzustellen. Weitere Informationen finden Sie im Hub-and-Spoke-Tutorial für NAT Gateway.
Ein NAT Gateway kann nicht in einem Gatewaysubnetz bereitgestellt werden.
Eine NAT Gateway-Ressource kann bis zu 16 IP-Adressen in einer beliebigen Kombination der folgenden Typen verwenden:
Es können nicht mehrere NAT Gateways an ein einzelnes Subnetz angefügt werden.
Ein NAT Gateway kann nicht mehrere virtuelle Netzwerke umfassen. NAT Gateway kann jedoch verwendet werden, um ausgehende Konnektivität an ein Hub-and-Spoke-Modell bereitzustellen. Weitere Informationen finden Sie im Hub-and-Spoke-Tutorial für NAT Gateway.
Ein NAT-Gateway kann nicht in einem Gateway-Subnetz oder Subnetz bereitgestellt werden, das SQL Managed Instances enthält.
NAT Gateway kann keiner öffentlichen IPv6-Adresse und keinem Präfix für öffentliche IPv6-Adressen zugeordnet werden.
NAT Gateway kann mit dem Lastenausgleich und Ausgangsregeln verwendet werden, um ausgehende Dual Stack-Konnektivität bereitzustellen. Weitere Informationen finden Sie unter Ausgehende Dual Stack-Konnektivität mit NAT Gateway und einem öffentlichen Lastenausgleich konfigurieren.
NAT Gateway funktioniert mit einer beliebigen Netzwerkschnittstelle oder IP-Konfiguration einer VM. NAT Gateway kann SNAT für mehrere IP-Konfigurationen in einer Netzwerkschnittstelle bereitstellen.
NAT Gateway kann einem Azure Firewall-Subnetz in einem virtuellen Hubnetzwerk zugeordnet werden und ausgehende Konnektivität aus virtuellen Spoke-Netzwerken bereitstellen, die durch Peering mit dem Hub verknüpft sind. Weitere Informationen finden Sie unter Azure Firewall-Integration mit NAT Gateway.
Verfügbarkeitszonen
Ein Standard-SKU-NAT-Gateway kann in einer bestimmten Verfügbarkeitszone erstellt oder in keiner Zone platziert werden.
Standardmäßiges NAT-Gateway kann in einer bestimmten Zone isoliert werden, wenn Sie Zonenisolationsszenarien erstellen. Nachdem NAT Gateway bereitgestellt wurde, kann die Zonenauswahl nicht geändert werden.
Standardmäßig wird das NAT-Standardgateway in keiner Zone platziert. Ein nicht zonales NAT Gateway wird von Azure für Sie in einer Zone platziert.
Ein StandardV2-SKU-NAT-Gateway ist zonenredundant und arbeitet in allen Verfügbarkeitszonen in einer Region, um die Konnektivität während eines Ausfalls einer einzelnen Zone aufrechtzuerhalten.
Standardmäßiger ausgehender Zugriff
Um eine sichere ausgehende Verbindung mit dem Internet bereitzustellen, empfiehlt es sich, ein privates Subnetz zu aktivieren , um die Erstellung von standardmäßigen ausgehenden IPs zu verhindern und stattdessen eine explizite Methode für ausgehende Verbindungen wie NAT-Gateway zu verwenden.
Bestimmte Dienste funktionieren nicht auf einem virtuellen Computer in einem privaten Subnetz ohne eine explizite Methode der ausgehenden Konnektivität, z. B. Windows-Aktivierung und Windows-Updates. Zum Aktivieren oder Aktualisieren von Betriebssystemen virtueller Computer, z. B. Windows, ist eine explizite Methode der ausgehenden Konnektivität erforderlich, z. B. NAT-Gateway.
Informationen dazu, wie Sie den Zugriff in ausgehender Richtung vom Standardzugriff in ausgehender Richtung oder von Ausgangsregeln für den Lastenausgleich zu einem NAT Gateway migrieren, finden Sie unter Migrieren des ausgehenden Zugriffs auf Azure NAT Gateway.
Hinweis
Am 31. März 2026 werden neue virtuelle Netzwerke standardmäßig private Subnetze verwenden, was bedeutet, dass standardmäßiger ausgehender Zugriff nicht mehr standardmäßig bereitgestellt wird und dass explizite ausgehende Methode aktiviert werden muss, um öffentliche Endpunkte im Internet und in Microsoft zu erreichen. Es wird empfohlen, stattdessen eine explizite Form ausgehender Konnektivität wie ein NAT Gateway zu verwenden.
NAT Gateway und grundlegende Ressourcen
Standardmäßiges NAT-Gateway ist mit öffentlichen Standard-IP-Adressen oder öffentlichen IP-Präfixen kompatibel. StandardV2 NAT-Gateway ist nur mit öffentlichen StandardV2-IP-Adressen oder öffentlichen IP-Präfixen kompatibel.
NAT Gateway kann nicht mit Subnetzen verwendet werden, in denen Basic-Ressourcen vorhanden sind. Basic-SKU-Ressourcen wie Load Balancer Basic oder öffentliche IP-Adressen der Basic-SKU sind nicht mit NAT Gateway kompatibel. Für Load Balancer Basic und öffentliche Basic-IP-Adressen kann ein Upgrade auf „Standard“ durchgeführt werden, um die Verwendung mit einem NAT Gateway zu ermöglichen.
Informationen zum Upgrade einer Load Balancer-Instanz von „Basic“ auf „Standard“ finden Sie unter Durchführen eines Upgrades für eine öffentliche Azure Load Balancer-Instanz.
Informationen zum Upgraden einer öffentlichen IP-Adresse von „Basic“ auf „Standard“ finden Sie unter Durchführen eines Upgrades für eine öffentliche IP-Adresse mithilfe des Azure-Portals.
Informationen zum Upgraden einer öffentlichen IP-Adresse, die an einen virtuellen Computer angefügt ist, von „Basic“ auf „Standard“ finden Sie unter Aktualisieren öffentlicher IP-Adressen, die an eine VM angefügt sind, von Basic zu Standard.
Verbindungstimeouts und Timer
NAT Gateway sendet ein TCP Reset (RST)-Paket für jeden Verbindungsfluss, der nicht als vorhandene Verbindung erkannt wird. Der Verbindungsfluss ist nicht mehr vorhanden, wenn das Leerlauftimeout von NAT Gateway erreicht wurde oder die Verbindung zuvor geschlossen wurde.
Wenn der Absender des Datenverkehrs im nicht vorhandenen Verbindungsfluss das TCP-RST-Paket von NAT Gateway empfängt, kann die Verbindung nicht mehr verwendet werden.
SNAT-Ports sind nach dem Schließen einer Verbindung nicht sofort zur Wiederverwendung für denselben Zielendpunkt verfügbar. NAT Gateway versetzt SNAT-Ports in einen Abklingzustand, bevor sie wiederverwendet werden können, um eine Verbindung mit demselben Zielendpunkt herzustellen.
Die Zeitdauer des Timers zur Wiederverwendung von SNAT-Ports (Abklingzeit) für TCP-Datenverkehr variiert und hängt davon ab, wie die Verbindung geschlossen wird. Weitere Informationen finden Sie unter Timer für die Wiederverwendung von Ports.
Standardmäßig wird ein TCP-Leerlauftimeout von vier Minuten verwendet, das auf bis zu 120 Minuten erhöht werden kann. Bei allen Aktivitäten eines Datenflusses kann auch der Leerlaufzeitgeber, einschließlich TCP-Keep-Alives, zurückgesetzt werden. Weitere Informationen finden Sie unter Timer für Leerlauftimeouts.
Für UDP-Datenverkehr gilt ein Leerlauftimeout von 4 Minuten, das nicht geändert werden kann.
Der UDP-Datenverkehr verfügt über einen Wiederverwendungstimer für den Port mit einer Dauer 65 Sekunden, für die ein Port geschlossen bleibt, bevor er zur Wiederverwendung für denselben Zielendpunkt verfügbar ist.
Preise und Vereinbarung zum Servicelevel (SLA)
Standard- und StandardV2-NAT-Gateway sind zum gleichen Preis. Informationen zu Preisen für NAT Gateway finden Sie unter NAT Gateway – Preise.
Informationen zur SLA finden Sie unter SLA für Azure NAT Gateway.
Nächste Schritte
Informationen zum Erstellen und Validieren eines NAT Gateways finden Sie unter Schnellstart: Erstellen eines NAT Gateways mithilfe des Azure-Portals.
Ein Video mit weiteren Informationen zu Azure NAT Gateway finden Sie unter Erzielen einer besseren ausgehenden Konnektivität mithilfe einer Azure NAT Gateway-Instanz.
Weitere Informationen zur NAT Gateway-Ressource finden Sie unter NAT Gateway-Ressource.
Weitere Informationen zu Azure NAT Gateway finden Sie im folgenden Modul:
Weitere Informationen zu Architekturoptionen für Azure NAT Gateway finden Sie unter Azure Well-Architected Framework-Bewertung eines Azure NAT Gateways.