你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure NAT 网关是完全托管且高度复原的网络地址转换(NAT)服务。 使用 Azure NAT 网关 可使子网中的所有实例向外连接到 Internet,同时保持完全私有。 NAT 网关不允许来自 Internet 的未经请求的入站连接。 只有作为响应数据包到达出站连接的数据包才能直通 NAT 网关。
Azure NAT 网关动态分配安全 NAT (SNAT) 端口以自动缩放出站连接,并最大程度地降低 SNAT 端口耗尽的风险。
Azure NAT 网关在两个 SKU 中可用:
标准 是区域性(部署到单个可用性区域),并为单个虚拟网络中的子网提供可缩放的出站连接。
StandardV2 是区域冗余的,提供比标准 SKU、IPv6 支持和流日志支持更高的吞吐量。
标准 SKU
可以将标准 NAT 网关与同一虚拟网络中的子网相关联,以提供与 Internet 的出站连接。 标准 NAT 网关从单个可用性区域运行。
StandardV2 SKU
Azure NAT 网关 StandardV2 SKU 提供标准 SKU 的所有相同功能,例如动态 SNAT 端口分配,以及虚拟网络中子网的安全出站连接。 此外,StandardV2 是区域冗余的,这意味着它提供区域中的所有区域的出站连接,而不是单个区域。
StandardV2 的主要功能
- 区域冗余:跨区域中的所有可用性区域运行,以在单个区域故障期间保持连接。
- IPv6 支持:支持出站连接的 IPv4 和 IPv6 公共 IP 地址和前缀。
- 更高的吞吐量:每个 NAT 网关提供高达 100 Gbps 的数据吞吐量,而标准 NAT 网关的吞吐量为 50 Gbps。
- 流日志支持:提供基于 IP 的流量信息,以帮助监视和分析出站流量流。
若要详细了解如何部署 StandardV2 NAT 网关,请参阅 创建 StandardV2 NAT 网关。
StandardV2 的主要限制
StandardV2 SKU 需要 StandardV2 公共 IP 地址或前缀。 StandardV2 不支持标准公共 IP。
无法将标准 SKU 升级到 StandardV2 SKU。 必须创建 StandardV2 NAT 网关才能替换子网上的标准 NAT 网关。
以下区域不支持 StandardV2 NAT 网关:
- 加拿大东部
- 智利中部
- 印度尼西亚中部
- 以色列西北部
- 马来西亚西部
- 卡塔尔中部
- 瑞典南部
- 美国中西部
- 印度西部
StandardV2 NAT 网关不支持,并且无法附加到以下服务的委托子网:
- Azure SQL 托管实例
- Azure 容器实例
- Azure Database for PostgreSQL
- Azure Database for MySQL
- Azure 数据工厂(数据传输)
- Microsoft Power Platform
- Azure 流分析
- Azure 容器应用
- Azure 应用服务的 Web 应用功能
- Azure DNS 专用解析程序
StandardV2 的已知问题
将 StandardV2 NAT 网关与子网关联时,使用负载均衡器出站规则的 IPv6 出站流量会中断。 如果需要 IPv4 和 IPv6 出站连接,请使用以下任一项:
- IPv4 和 IPv6 流量的负载均衡器出站规则
- IPv4 流量的标准 NAT 网关和 IPv6 流量的负载均衡器出站规则
将 StandardV2 NAT 网关附加到 2025 年 4 月之前创建的空子网(没有任何虚拟机)可能会导致虚拟网络进入失败状态。 若要将虚拟网络返回到成功状态,请删除 StandardV2 NAT 网关,创建 VM 并将其添加到子网,然后重新附加 StandardV2 NAT 网关。
将 StandardV2 NAT 网关添加到子网时,使用负载均衡器、Azure 防火墙或 VM 实例级公共 IP 的出站连接可能会中断。 所有新增的出站连接都使用 StandardV2 NAT 网关。
Azure NAT 网关 StandardV2 SKU 的已知问题和限制的详细信息,请参阅 已知限制。
Azure NAT 网关优势
安装简单
部署使用“Azure NAT 网关”是刻意简化的。 将 NAT 网关附加到子网和公共 IP 地址,并立即开始出站连接到 Internet。 无需维护或路由配置。 以后可以添加更多公共 IP 或子网,而不会影响现有配置。
以下步骤演示了如何设置 NAT 网关的示例:
创建非区域或区域 NAT 网关。
分配公共 IP 地址或公共 IP 前缀。
将子网配置为使用 NAT 网关。
如有必要,请修改传输控制协议 (TCP) 空闲超时(可选)。 在更改默认值之前,请查看计时器。
安全性
Azure NAT 网关基于零信任网络安全模型构建。 使用Azure NAT 网关时,子网中的专用实例无需公共 IP 地址即可访问 Internet。 专用资源可以通过对Azure NAT 网关中的静态公共 IP 地址或前缀使用 SNAT 访问虚拟网络外部的外部源。
可以使用公共 IP 前缀为出站连接提供一组连续的 IP。 可以根据此可预测 IP 列表配置目标防火墙规则。
复原
Azure NAT 网关是完全托管的分布式服务。 它不依赖于单个计算实例,例如虚拟机或单个物理网关设备。 NAT 网关始终具有多个容错域,可以在不发生服务中断的情况下持续多次故障。 软件定义的网络使 NAT 网关具有高度弹性。
可伸缩性
NAT 网关会在创建后进行横向扩展。 无需进行启动或扩展规模操作。 Azure 为您管理 NAT 网关的操作。
将 NAT 网关附加到子网,为该子网中的所有专用资源提供出站连接。 虚拟网络中的所有子网都可以使用相同的 NAT 网关资源。 可以通过向 NAT 网关分配最多 16 个公共 IP 地址来横向扩展出站连接。 将 NAT 网关与公共 IP 前缀相关联时,它会自动扩展到出站所需的 IP 地址数。
性能
Azure NAT 网关是软件定义的网络服务。 每个 NAT 网关最多可以处理数据的传出和返回流量,总量可达 50 Gbps。
NAT 网关不会影响计算资源的网络带宽。 有关更多信息,请参阅性能。
Azure NAT 网关基础知识
Azure NAT 网关为虚拟网络中的资源提供安全、可缩放的出站连接。
出站连接
Azure NAT 网关是建议进行出站连接的方法。
若要将出站访问从默认出站访问或负载均衡器出站规则迁移到 Azure NAT 网关,请参阅 将出站访问迁移到 Azure NAT 网关。
注意
从 2026 年 3 月 31 日开始,新的虚拟网络默认使用专用子网。 默认情况下不提供默认出站访问。 请改用显式形式的出站连接,例如Azure NAT 网关。
Azure NAT 网关在子网级别提供出站连接。 它将替换子网的默认 Internet 目标以提供出站连接。
Azure NAT 网关不需要子网路由表上的任何路由配置。 将 NAT 网关附加到子网后,它会立即提供出站连接。
Azure NAT 网关允许从虚拟网络向外部服务创建连接流。 仅当与活动流相关时,才允许来自 Internet 的返回流量。 虚拟网络外部的服务无法通过 NAT 网关启动入站连接。
Azure NAT 网关优先于其他出站连接方法,包括负载均衡器、实例级公共 IP 地址和Azure 防火墙。
Azure NAT 网关优先于虚拟网络中为所有新连接配置的其他显式出站方法。 对于使用其他出站连接的显式方法的现有连接,流量流不会下降。
Azure NAT 网关对 SNAT 端口耗尽的限制与默认出站访问和负载均衡器的出站规则不同。
Azure NAT 网关仅支持 TCP 和用户数据报协议(UDP)协议。 不支持 Internet 控制消息协议 (ICMP)。
Azure NAT 网关通过虚拟网络集成支持Azure 应用服务实例(Web 应用程序、REST API 和移动后端)。
子网具有系统默认路由,它将目标为 0.0.0.0/0 的流量自动路由到 Internet。 将 NAT 网关配置为子网后,子网中的虚拟机将使用 NAT 网关的公共 IP 与 Internet 通信。
在子网路由表中为 0.0.0.0/0 流量创建用户定义的路由 (UDR),你将重写此流量的默认 Internet 路径。 改用将 0.0.0.0/0 流量发送到虚拟设备或虚拟网络网关(Azure VPN 网关和 Azure ExpressRoute)的 UDR 作为下一个跃点类型,会替代 NAT 网关与 Internet 的连接。
流程如下:
UDR 到下一个跃点虚拟设备或虚拟网关 >> NAT 网关 >> 虚拟机上的实例级公共 IP 地址 >> 负载均衡器出站规则 >> 通往 Internet 的默认系统路由。
NAT 网关配置
同一虚拟网络中的多个子网可以使用不同的 NAT 网关或相同的 NAT 网关。
无法将多个 NAT 网关附加到单个子网。
NAT 网关不能跨越多个虚拟网络。 但你可以使用 NAT 网关在中心辐射型模型中提供出站连接。 有关详细信息,请参阅 Azure NAT 网关 中心辐射网络教程。
标准 NAT 网关资源最多可以使用 16 个 IPv4 公共 IP 地址。 StandardV2 NAT 网关资源最多可以使用 16 个 IPv4 和 16 个 IPv6 公共 IP 地址。
Azure NAT 网关适用于任何 VM 网络接口或 IP 配置。 NAT 网关可以将 SNAT 用于网络接口上的多个 IP 配置。
可以将 NAT 网关关联到中心虚拟网络中的 Azure 防火墙子网,并从对等互连到中心的分支虚拟网络提供出站连接。 若要了解详细信息,请参阅 有关 Azure 防火墙 与 Azure NAT 网关 集成的文章。
可用性区域
可以在特定的可用性区域中创建标准 NAT 网关,或将其置于 “无”区域中。
创建 区域 NAT 网关时,可以在特定区域中隔离标准 NAT 网关。 部署 NAT 网关后,无法更改区域选择。
默认情况下,标准 NAT 网关放置在 “无”区域中。 Azure 会将非区域性 NAT 网关置于某个区域中。
StandardV2 NAT 网关是区域冗余网关,可在区域中的所有可用性区域上运行,以在单个区域故障期间保持连接。
默认出站访问
若要提供与 Internet 的安全出站连接, 请启用专用子网。 使用此方法,可以阻止创建默认出站 IP,而是使用出站连接的显式方法,例如 NAT 网关。
某些服务在没有显式出站连接方法(例如Windows激活和Windows更新)的情况下,在专用子网中的虚拟机上不起作用。 激活或更新 VM 操作系统(如Windows)需要显式的出站连接方法,例如 NAT 网关。
若要将出站访问从默认出站访问或负载均衡器出站规则迁移到 Azure NAT 网关,请参阅 将出站访问迁移到 Azure NAT 网关。
注意
从 2026 年 3 月 31 日开始,新的虚拟网络默认使用专用子网。 默认情况下不再提供默认出站访问。 必须启用显式出站方法才能访问 Internet 中和 Microsoft 中的公共终结点。 请改用显式形式的出站连接,例如 NAT 网关。
Azure NAT 网关和基本资源
标准 NAT 网关适用于标准公共 IP 地址或公共 IP 前缀。 StandardV2 NAT 网关仅适用于 StandardV2 公共 IP 地址或公共 IP 前缀。
不能将Azure NAT 网关用于具有基本资源的子网。 基本 SKU 的资源(例如基本负载均衡器或基本公共 IP)不适用于Azure NAT 网关。 可以将基本型负载均衡器和基本型公共 IP 升级到标准版,以使用 NAT 网关。
有关将负载均衡器从“基本”升级到“标准”的详细信息,请参阅 “升级基本负载均衡器”。
有关将公共 IP 从“基本”升级到“标准”的详细信息,请参阅 “升级公共 IP 地址”。
有关将附加到虚拟机的公共 IP 从“基本”升级到“标准”的详细信息,请参阅 升级附加到虚拟机的基本公共 IP。
连接超时和计时器
Azure NAT 网关会为识别为非现有连接的任何连接流发送 TCP 重置 (RST) 数据包。 如果达到Azure NAT 网关的空闲超时时间或连接提前关闭,则连接流不复存在。
当不存在的连接流上的流量发送方接收Azure NAT 网关 TCP RST 数据包时,连接不再可用。
连接关闭后,SNAT 端口将无法随时重新用于同一目标终结点。 Azure NAT 网关将 SNAT 端口置于冷却状态,然后才能重复使用它们以连接到同一目标终结点。
SNAT 端口重用 TCP 流量计时器的持续时间取决于连接的关闭方式。 若要了解详细信息,请参阅 端口重用计时器。
Azure NAT 网关 TCP 空闲超时计时器默认为 4 分钟,但最多可以增加到 120 分钟。 流上的任何活动都可以重置空闲计时器,包括 TCP keepalives。 若要了解详细信息,请参阅 空闲超时计时器。
UDP 流量的空闲超时计时器固定为 4 分钟,无法更改。
UDP 流量的端口重用计时器为 65 秒。 在此期间,端口在可用于同一目标终结点之前处于暂停状态。
定价和 SLA
标准网关和 StandardV2 NAT 网关的价格相同。 有关详细信息,请参阅 Azure NAT 网关定价。
有关服务级别协议 (SLA) 的信息,请参阅 Microsoft 联机服务的 SLA。
相关内容
有关创建和验证 NAT 网关的详细信息,请参阅 Quickstart:使用 Azure 门户创建 NAT 网关。
若要查看提供有关Azure NAT 网关的详细信息的视频,请参阅 如何使用 Azure NAT 网关 获取更好的出站连接。
有关 NAT 网关资源的详细信息,请参阅 NAT 网关资源。