O que é o Gateway de NAT do Azure?

O Azure NAT Gateway é um serviço NAT (Network Address Translation) totalmente gerenciado e altamente resiliente. Pode usar o Azure NAT Gateway para permitir que todas as instâncias de uma sub-rede se conectem para a internet, mantendo-se totalmente privadas. Não são permitidas ligações de entrada não solicitadas da Internet através de um gateway NAT. Somente os pacotes que chegam como pacotes de resposta a uma conexão de saída podem passar por um gateway NAT.

O NAT Gateway aloca dinamicamente portas SNAT para escalar automaticamente a conectividade de saída e minimizar o risco de esgotamento das portas SNAT.

Figura: Azure NAT Gateway

O Azure NAT Gateway está disponível em dois SKUs:

• Standard O SKU NAT Gateway é zonal (implementado numa única zona de disponibilidade) e fornece conectividade escalável de saída para sub-redes numa única rede virtual.

• StandardV2 O SKU NAT Gateway é redundante em zona , com maior débito do que o SKU Standard, suporte a IPv6 e suporte a log de fluxo.

StandardV2 NAT Gateway

O Gateway NAT StandardV2 oferece todas as mesmas funcionalidades do Gateway NAT SKU Standard, como alocação dinâmica de portas SNAT e conectividade segura de saída para sub-redes dentro de uma rede virtual. Além disso, o StandardV2 NAT Gateway é redundante por zona, o que significa que fornece conectividade de saída a partir de todas as zonas de uma região, em vez de uma única zona como o Standard NAT Gateway.

Figura: O Gateway NAT StandardV2 abrange várias zonas de disponibilidade numa região.

Principais capacidades do Gateway NAT StandardV2

• Redundante de zona - opera em todas as zonas de disponibilidade de uma região para manter a conectividade durante uma única falha de zona.
• Suporte IPv6 - suporta endereços IP públicos IPv4 e IPv6 e prefixos para conectividade de saída.
• Maior débito – cada Gateway NAT StandardV2 pode fornecer até 100 Gbps de débito de dados, comparado com 50 Gbps para o Gateway NAT Standard.
• Suporte a registos de fluxo - fornece informação de tráfego baseada em IP para ajudar a monitorizar e analisar os fluxos de tráfego de saída.

Para saber mais sobre como implementar o StandardV2 NAT Gateway, consulte Criar um StandardV2 NAT Gateway.

Principais limitações do StandardV2 NAT Gateway

• Requer endereços IP públicos ou prefixos do SKU StandardV2. IPs públicos de SKU padrão não são suportados com o Gateway NAT StandardV2.
• O Standard SKU NAT Gateway não pode ser atualizado para o StandardV2 NAT Gateway. Deve primeiro criar o StandardV2 SKU NAT Gateway e substituir o Standard SKU NAT Gateway na sua subrede.
• As seguintes regiões não suportam o StandardV2 NAT Gateway:
  • Leste do Canadá
  • Índia Central
  • Chile Central
  • Indonésia Central
  • Israel Noroeste
  • Oeste da Malásia
  • Catar Central
  • E.A.U. Central
• O Terraform ainda não suporta implementações de Gateways NAT StandardV2 e IP Públicos StandardV2.
• O StandardV2 NAT Gateway não suporta e não pode ser ligado a sub-redes delegadas para os seguintes serviços:
  • Azure SQL Managed Instance
  • Azure Container Instances
  • Base de Dados do Azure para PostgreSQL – Servidor Flexível
  • Banco de Dados do Azure para MySQL - Servidor Flexível
  • Base de Dados do Azure para MySQL
  • Azure Data Factory - Movimento de Dados
  • Serviços Microsoft Power Platform
  • Azure Stream Analytics
  • Aplicativos Web do Azure
  • Azure DNS Private Resolver

Problemas conhecidos do StandardV2 NAT Gateway

• O tráfego de saída IPv6 usando as regras de saída do balanceador de carga é interrompido quando o StandardV2 NAT Gateway está associado a uma subrede. Se precisar de conectividade de saída IPv4 e IPv6, use regras de saída do Load Balancer para tráfego IPv4 e IPv6 ou use o Standard NAT Gateway para tráfego IPv4 e as regras de saída do Load Balancer para tráfego IPv6.

• Ligar um Gateway NAT StandardV2 a uma sub-rede vazia criada antes de abril de 2025 sem quaisquer máquinas virtuais pode fazer com que a rede virtual entre num estado de falha. Para devolver a rede virtual a um estado bem-sucedido, remova o Gateway NAT StandardV2, crie e adicione uma máquina virtual à sub-rede e depois volte a ligar o Gateway NAT StandardV2.

Para mais informações sobre problemas conhecidos e limitações do StandardV2 NAT Gateway, consulte Problemas e limitações conhecidos do StandardV2 NAT Gateway.

Gateway NAT Padrão

O NAT Gateway Standard fornece conectividade de saída à internet e pode ser associado a sub-redes dentro da mesma rede virtual. O NAT Gateway Standard opera a partir de uma única zona de disponibilidade.

*Figura: Gateway NAT padrão numa única zona de disponibilidade.

Benefícios do Azure NAT Gateway

Configuração simples

As implantações são intencionalmente simplificadas com o NAT Gateway. Anexe o NAT Gateway a uma sub-rede e a um endereço IP público e comece a se conectar à Internet imediatamente. Não há necessidade de manutenção e configurações de roteamento. Mais IPs ou sub-redes públicas podem ser adicionados posteriormente sem efeito à sua configuração existente.

As etapas a seguir são um exemplo de como configurar um gateway NAT:

• Crie um gateway NAT não zonal ou zonal.

• Crie um gateway NAT.

• Atribua um endereço IP público ou prefixo IP público.

• Configure uma sub-rede para usar um gateway NAT.

Se necessário, modifique o tempo limite de inatividade do protocolo TCP (Transmission Control Protocol) (opcional). Revise os temporizadores antes de alterar o padrão.

Segurança

O NAT Gateway baseia-se no modelo de segurança de rede Zero Trust e é seguro por predefinição. Com o NAT Gateway, as instâncias privadas dentro de uma sub-rede não precisam de endereços IP públicos para acessar a Internet. Os recursos privados podem alcançar fontes externas fora da rede virtual por conversão de endereço de rede de origem (SNAT) para endereços IP públicos estáticos ou prefixos do NAT Gateway. Você pode fornecer um conjunto contíguo de IPs para conectividade de saída usando um prefixo IP público. As regras de firewall de destino podem ser configuradas com base nesta lista de IP previsível.

Resiliência

O Azure NAT Gateway é um serviço totalmente gerenciado e distribuído. Ele não depende de instâncias de computação individuais, como máquinas virtuais ou um único dispositivo de gateway físico. Um gateway NAT sempre tem vários domínios de falha e pode sustentar várias falhas sem interrupção de serviço. A rede definida por software torna um gateway NAT altamente resiliente.

Escalabilidade

O NAT Gateway é expandido desde a criação. Não é necessária uma operação de "ramp-up" (aumento gradual) ou "scale-out" (aumento de escala). O Azure gerencia a operação do NAT Gateway para você.

Anexe o Gateway NAT a uma sub-rede para fornecer conectividade de saída para todos os recursos privados nessa sub-rede. Todas as sub-redes em uma rede virtual podem usar o mesmo recurso de gateway NAT. A conectividade de saída pode ser ampliada atribuindo até 16 endereços IP públicos ou um prefixo IP público de tamanho /28 ao NAT Gateway. Quando um gateway NAT é associado a um prefixo IP público, ele é automaticamente dimensionado para o número de endereços IP necessários para a saída.

Desempenho

O Azure NAT Gateway é um serviço de rede definido por software. Cada gateway NAT pode processar até 50 Gbps de dados para tráfego de saída e retorno.

Um gateway NAT não afeta a largura de banda de rede dos seus recursos de computação. Saiba mais sobre o desempenho do NAT Gateway.

Noções básicas do Azure NAT Gateway

O Azure NAT Gateway fornece conectividade de saída segura e escalável para recursos numa rede virtual. É o método recomendado para acesso externo à internet.

Conectividade de saída

• NAT Gateway é o método recomendado para conectividade de saída.

  • Para migrar o acesso de saída para um Gateway NAT a partir do acesso de saída padrão ou das regras de saída do Balanceador de Carga, consulte Migrar acesso de saída para o Gateway NAT do Azure.

• O NAT Gateway fornece conectividade de saída em um nível de sub-rede. O Gateway NAT substitui o destino padrão da Internet de uma sub-rede para fornecer conectividade de saída.

• O NAT Gateway não requer nenhuma configuração de roteamento em uma tabela de rotas de sub-rede. Depois que o NAT Gateway é conectado a uma sub-rede, ele fornece conectividade de saída imediatamente.

• O NAT Gateway permite a criação de fluxos da rede virtual para os serviços fora da sua rede virtual. O tráfego de retorno da Internet só é permitido em resposta a um fluxo ativo. Os serviços fora da sua rede virtual não podem iniciar uma ligação de entrada através do NAT Gateway.

• O Gateway NAT tem precedência sobre outros métodos de conectividade de saída, incluindo um Balanceador de Carga, endereços IP públicos no nível da instância e Firewall do Azure.

• O NAT Gateway tem prioridade sobre outros métodos de saída explícitos configurados em uma rede virtual para todas as novas conexões. Não há quedas no fluxo de tráfego para conexões existentes usando outros métodos explícitos de conectividade de saída.

• O NAT Gateway não tem as mesmas limitações de exaustão da porta SNAT que o acesso de saída padrão e as regras de saída de um Balanceador de Carga.

• O NAT Gateway suporta apenas protocolos TCP e UDP (User Datagram Protocol). O ICMP (Internet Control Message Protocol) não é suportado.

  • Instâncias dos Serviços de Aplicativo do Azure (aplicativos Web, APIs REST e back-ends móveis) por meio da integração de rede virtual.

• A sub-rede tem uma rota padrão do sistema que roteia o tráfego com destino 0.0.0.0/0 para a Internet automaticamente. Depois que o Gateway NAT é configurado para a sub-rede, as máquinas virtuais na sub-rede se comunicam com a Internet usando o IP público do Gateway NAT.

• Quando você cria uma rota definida pelo usuário (UDR) em sua tabela de rotas de sub-rede para o tráfego 0.0.0.0/0, o caminho padrão da Internet para esse tráfego é substituído. Um UDR que envia tráfego 0.0.0.0/0 para um dispositivo virtual ou um gateway de rede virtual (Gateway VPN e Rota Expressa) como o próximo tipo de salto, em vez disso, substitui a conectividade do Gateway NAT com a Internet.

Como funciona o gateway NAT

• Sem configuração de tabela de roteamento - o gateway NAT opera ao nível de uma subrede. Após a ligação, o gateway NAT fornece conectividade de saída sem necessitar de configurações de encaminhamento na tabela de rotas de sub-rede.

  • UDR para o próximo salto Dispositivo virtual ou gateway de >> rede virtual Gateway NAT Endereço >> IP público no nível da instância em uma máquina >> virtual Balanceador de carga regras >> de saída padrão rota do sistema para a Internet.

Configurações de gateway NAT

• Várias sub-redes dentro da mesma rede virtual podem usar diferentes gateways NAT ou o mesmo gateway NAT.

• Vários gateways NAT não podem ser conectados a uma única sub-rede.

• Um gateway NAT não pode abranger várias redes virtuais. No entanto, o NAT Gateway pode ser usado para fornecer conectividade de saída em um modelo de hub e spoke. Para obter mais informações, consulte o hub e o tutorial spoke do NAT Gateway.

• Um gateway NAT não pode ser implantado em uma sub-rede de gateway.

• Um recurso de gateway NAT pode usar até 16 endereços IP em qualquer combinação dos seguintes tipos:

• Vários gateways NAT não podem ser conectados a uma única sub-rede.

• Um gateway NAT não pode abranger várias redes virtuais. No entanto, o NAT Gateway pode ser usado para fornecer conectividade de saída em um modelo de hub e spoke. Para obter mais informações, consulte o hub e o tutorial spoke do NAT Gateway.

• Um NAT Gateway não pode ser implementado numa sub-rede ou sub-rede de gateway que contenha Instâncias Geridas SQL.

• O Gateway NAT não pode ser associado a um endereço IP público IPv6 ou a um prefixo IP público IPv6.

• O NAT Gateway pode ser usado com o Load Balancer usando regras de saída para fornecer conectividade de saída de pilha dupla. Consulte a conectividade de saída de pilha dupla com o NAT Gateway e o Load Balancer.

• O Gateway NAT funciona com qualquer interface de rede de máquina virtual ou configuração de IP. NAT Gateway pode SNAT várias configurações IP em uma interface de rede.

• O Gateway NAT pode ser associado a uma sub-rede do Firewall do Azure em uma rede virtual de hub e fornecer conectividade de saída de redes virtuais spoke emparelhadas ao hub. Para saber mais, consulte Integração do Firewall do Azure com o NAT Gateway.

Zonas de disponibilidade

• Um Gateway NAT SKU Standard pode ser criado numa zona de disponibilidade específica ou colocado em nenhuma zona.

• O NAT Gateway padrão pode ser isolado numa zona específica quando crias cenários de isolamento de zona. Depois que o Gateway NAT é implantado, a seleção de zona não pode ser alterada.

• O NAT Gateway padrão é colocado em nenhuma zona por defeito. Um Gateway NAT não zonal é colocado em uma zona para você pelo Azure.

• Um Gateway NAT SKU StandardV2 é redundante por zona e opera em todas as zonas de disponibilidade de uma região para manter a conectividade durante uma única falha de zona.

Acesso de saída padrão

• Para garantir conectividade de saída segura à internet, recomenda-se ativar subredes privadas para evitar a criação de IPs de saída por defeito e, em vez disso, usar um método explícito de conectividade de saída, como o gateway NAT.

• Certos serviços não funcionam numa máquina virtual numa sub-rede privada sem um método explícito de conectividade de saída, como a Ativação do Windows e as Atualizações do Windows. Para ativar ou atualizar sistemas operativos de máquinas virtuais, como o Windows, é necessário um método explícito de conectividade de saída, como gateway NAT.

• Para migrar o acesso de saída para um Gateway NAT a partir do acesso de saída padrão ou das regras de saída do Balanceador de Carga, consulte Migrar acesso de saída para o Gateway NAT do Azure.

Gateway NAT e recursos básicos

• O Gateway NAT Standard é compatível com endereços IP públicos padrão ou prefixos IP públicos. O StandardV2 NAT Gateway é compatível apenas com endereços IP públicos StandardV2 ou prefixos de IP públicos.

• O NAT Gateway não pode ser usado com sub-redes onde existem recursos básicos. Recursos básicos de SKU, como o Load Balancer básico ou IPs públicos básicos, não são compatíveis com o NAT Gateway. O balanceador de carga básico e o IP público básico podem ser atualizados para o padrão para funcionar com um gateway NAT.

  • Para obter mais informações sobre como atualizar um Balanceador de Carga do básico para o padrão, consulte Atualizar um Balanceador de Carga do Azure básico público.

  • Para obter mais informações sobre como atualizar um IP público do básico para o padrão, consulte Atualizar um endereço IP público.

  • Para obter mais informações sobre como atualizar um IP público básico anexado a uma máquina virtual de básico para padrão, consulte Atualizar um IP público básico anexado a uma máquina virtual.

Tempos limite de conexão e temporizadores

• O Gateway NAT envia um pacote TCP Reset (RST) para qualquer fluxo de conexão que ele não reconhece como uma conexão existente. O fluxo de conexão não existe mais se o tempo limite ocioso do NAT Gateway foi atingido ou se a conexão foi fechada anteriormente.

• Quando o remetente do tráfego no fluxo de conexão inexistente recebe o pacote TCP RST do Gateway NAT, a conexão não é mais utilizável.

• As portas SNAT não estão prontamente disponíveis para reutilização no mesmo ponto de extremidade de destino após o fechamento de uma conexão. O NAT Gateway coloca as portas SNAT em um estado de resfriamento antes que elas possam ser reutilizadas para se conectar ao mesmo ponto de extremidade de destino.

• As durações do temporizador de reutilização (resfriamento) da porta SNAT variam para o tráfego TCP, dependendo de como a conexão é fechada. Para saber mais, consulte Temporizadores de reutilização de portas.

• Um tempo limite de inatividade TCP padrão de 4 minutos é usado e pode ser aumentado para até 120 minutos. Qualquer atividade em um fluxo também pode redefinir o temporizador ocioso, incluindo keepalives TCP. Para saber mais, consulte Temporizadores de tempo limite ocioso.

• O tráfego UDP tem um temporizador de tempo limite ocioso de 4 minutos que não pode ser alterado.

• O tráfego UDP tem um temporizador de reutilização de porta de 65 segundos para o qual uma porta está suspensa antes de estar disponível para reutilização no mesmo ponto de extremidade de destino.

Preços e Acordo de Nível de Serviço (SLA)

O NAT Gateway Standard e o StandardV2 têm o mesmo preço. Para obter os preços do Gateway NAT do Azure, consulte Preços do Gateway NAT.

Para obter informações sobre o SLA, consulte SLA para Azure NAT Gateway.

Próximos passos

• Para obter mais informações sobre como criar e validar um Gateway NAT, consulte Guia de início rápido: criar um gateway NAT usando o portal do Azure.

• Para ver um vídeo sobre mais informações sobre o Gateway NAT do Azure, consulte Como obter uma melhor conectividade de saída utilizando um Gateway NAT do Azure.

• Para obter mais informações sobre o recurso NAT Gateway, consulte Recurso NAT Gateway.

• Saiba mais sobre o Azure NAT Gateway no seguinte módulo:

  • Módulo de aprendizagem: Introdução ao Azure NAT Gateway.

• Para obter mais informações sobre opções de arquitetura para o Gateway NAT do Azure, consulte Revisão do Azure Well-Architected Framework de um Gateway NAT do Azure.