¿Qué es Azure NAT Gateway?

Azure NAT Gateway es un servicio de traducción de direcciones de red (NAT) totalmente administrado y altamente resistente. Puede usar Azure NAT Gateway para permitir que todas las instancias de una subred privada establezcan conexiones saliente a Internet a la vez que permanecen totalmente privadas. Las conexiones entrantes no solicitadas desde Internet no se permiten a través de una instancia de NAT Gateway. Solo los paquetes que llegan como paquetes de respuesta a una conexión saliente pueden pasar a través de una instancia de NAT Gateway.

NAT Gateway proporciona funcionalidad dinámica de puerto SNAT para escalar automáticamente la conectividad saliente y reducir el riesgo de agotamiento de puertos SNAT.

En la ilustración se muestra una NAT que recibe tráfico de subredes internas y lo dirige a una dirección IP pública.

Figura: Azure NAT Gateway

Azure NAT Gateway proporciona conectividad saliente para muchos recursos de Azure, entre los que se incluyen:

Ventajas de Azure NAT Gateway

Configuración simple

Las implementaciones se simplifican intencionadamente con NAT Gateway. Adjunte la instancia de NAT Gateway a una subred y una dirección IP pública y empiece a realizar conexiones salientes a Internet inmediatamente. No se necesitan configuraciones de mantenimiento y enrutamiento. Más direcciones IP o subredes públicas se pueden agregar más adelante sin afectar a la configuración existente.

Los pasos siguientes son un ejemplo de cómo configurar una puerta de enlace NAT:

  • Cree una puerta de enlace NAT no zonal o zonal.

  • Asigne una dirección IP pública o un prefijo de IP pública.

  • Configure una subred de red virtual para que use una puerta de enlace de NAT.

Si es necesario, modifique el tiempo de espera de inactividad del Protocolo de control de transmisión (TCP) (opcional). Revise los temporizadores antes de cambiar el valor predeterminado.

Seguridad

NAT Gateway se basa en el modelo de seguridad de red de confianza cero y es seguro de manera predeterminada. Con la puerta de enlace NAT, las instancias privadas de una subred no necesitan direcciones IP públicas para acceder a Internet. Los recursos privados pueden conectarse a orígenes externos fuera de la red virtual mediante la traducción de direcciones de red de origen (SNAT) a las direcciones IP públicas estáticas o prefijos de NAT Gateway. Puede proporcionar un conjunto contiguo de direcciones IP para la conectividad saliente mediante un prefijo de dirección IP pública. Las reglas de firewall de destino se pueden configurar en función de esta lista de direcciones IP predecibles.

Resistencia

Azure NAT Gateway es un servicio totalmente administrado y distribuido. No depende de instancias de proceso individuales, como máquinas virtuales o un solo dispositivo de puerta de enlace físico. Una puerta de enlace NAT siempre tiene varios dominios de error y puede soportar varios errores sin que se interrumpa el servicio. Las redes definidas por software hacen que una puerta de enlace NAT sea altamente resistente.

Escalabilidad

El NAT Gateway se escala desde su creación. No existe ninguna operación de aumento ni de escalabilidad horizontal. Azure administra el funcionamiento de NAT Gateway por el usuario.

Adjunte la instancia de NAT Gateway a una subred para proporcionar conectividad saliente a todos los recursos privados de esa subred. Todas las subredes de una red virtual pueden usar el mismo recurso de puerta de enlace NAT. La conectividad saliente se puede escalar horizontalmente asignando hasta 16 direcciones IP públicas o un prefijo de dirección IP pública de tamaño /28 a NAT Gateway. Cuando una puerta de enlace NAT se asocia a un prefijo de IP pública, se escala automáticamente al número de direcciones IP necesarias para la salida.

Rendimiento

Azure NAT Gateway es un servicio de red definido por software. Cada instancia de NAT Gateway puede procesar hasta 50 Gbps de datos para el tráfico saliente y de retorno.

Una instancia de NAT Gateway no afecta al ancho de banda de red de los recursos de proceso. Descubra más sobre las métricas de la puerta de enlace NAT.

Conceptos básicos de Azure NAT Gateway

Conectividad de salida

  • NAT Gateway es el método recomendado para la conectividad saliente.

Nota:

El 30 de septiembre de 2025, se retirará el acceso de salida predeterminado para las nuevas implementaciones. Se recomienda usar una forma explícita de conectividad saliente en su lugar, como NAT Gateway.

  • La salida se define en un nivel por subred con la puerta de enlace NAT. NAT Gateway reemplaza el destino predeterminado de Internet de una subred.

  • Las configuraciones de enrutamiento de tráfico no son necesarias para usar la puerta de enlace NAT.

  • La puerta de enlace NAT permite crear flujos entre la red virtual y los servicios que se encuentran fuera de ella. El tráfico de retorno de Internet solo se permite en respuesta a un flujo activo. Los servicios fuera de la red virtual no pueden iniciar una conexión de entrada a través de la puerta de enlace NAT.

  • La puerta de enlace NAT tiene prioridad sobre otros métodos de conectividad salientes, como un equilibrador de carga, direcciones IP públicas de nivel de instancia y Azure Firewall.

  • Cuando la instancia de NAT Gateway está configurada en una red virtual en la que ya existe un método de conectividad saliente diferente, la instancia de NAT Gateway se encarga de todo el tráfico saliente. No hay caídas en el flujo de tráfico para las conexiones existentes en Azure Load Balancer. Todas las nuevas conexiones usan NAT Gateway.

  • La puerta de enlace NAT no tiene las mismas limitaciones de agotamiento de puertos de SNAT que el acceso saliente predeterminado y que las reglas de salida de un equilibrador de carga.

  • La puerta de enlace NAT solo es compatible con los protocolos TCP y Protocolo de datagramas de usuario (UDP). El Protocolo de mensajes de control de Internet (ICMP) no es compatible.

Rutas de tráfico

  • La subred tiene una ruta predeterminada del sistema que enruta automáticamente el tráfico con el destino 0.0.0.0/0 a Internet. Una vez configurada la puerta de enlace NAT en la subred, la comunicación desde las máquinas virtuales existentes en la subred a Internet priorizará el uso de la dirección IP pública de la puerta de enlace NAT.

  • Al crear una ruta definida por el usuario (UDR) en la tabla de rutas de subred para el tráfico 0.0.0.0/0, se invalida la ruta de acceso de Internet predeterminada para este tráfico. Una UDR que envía el tráfico 0.0.0.0/0 a una aplicación virtual o una puerta de enlace de red virtual (VPN Gateway y ExpressRoute) como el tipo de próximo salto reemplaza la conectividad de NAT Gateway a Internet.

  • La conectividad saliente sigue este orden de prioridad entre los distintos métodos de conectividad de enrutamiento y salida:

    • UDR a dispositivo virtual de siguiente salto o puerta de enlace de red virtual >> Puerta de enlace NAT >> Dirección IP pública a nivel de instancia en una máquina virtual >> Reglas de salida del equilibrador de carga >> ruta predeterminada del sistema a Internet.

Configuración de una puerta de enlace NAT

  • Distintas subredes dentro de la misma red virtual pueden usar diferentes puertas de enlace NAT o usar la misma.

  • No se pueden asociar varias puertas de enlace NAT a una sola subred.

  • Una puerta de enlace de red NAT no puede abarcar varias redes virtuales.

  • No se puede implementar una puerta de enlace NAT en una subred de puerta de enlace.

  • Un recurso de puerta de enlace NAT puede usar hasta 16 direcciones IP en cualquier combinación de los siguientes tipos:

  • La puerta de enlace NAT no se puede asociar a una dirección IP pública IPv6 ni a un prefijo IP público IPv6.

  • La puerta de enlace NAT puede usarse con el equilibrador de carga utilizando reglas de salida para proporcionar una conectividad de salida de doble pila. Consulte Conectividad saliente de pila doble con puerta de enlace NAT y equilibrador de carga.

  • NAT Gateway funciona con cualquier interfaz de red de máquina virtual o configuración de IP. La puerta de enlace NAT puede configurar varias direcciones IP SNAT en una interfaz de red.

  • La puerta de enlace NAT se puede asociar a una subred de Azure Firewall en una red virtual de centro de conectividad y proporcionar conectividad de salida desde redes virtuales en estrella emparejadas con el centro de conectividad. Para obtener más información, consulte Escalado de puertos SNAT con Azure Virtual Network NAT.

Zonas de disponibilidad

  • Se puede crear una puerta de enlace NAT en una zona de disponibilidad específica o colocarla en ninguna zona.

  • Al crear escenarios de zonas de aislamiento, la puerta de enlace NAT se puede aislar en una zona específica. Esta implementación se denomina implementación zonal. Una vez implementada la puerta de enlace NAT, no se puede cambiar la selección de zona.

  • La puerta de enlace NAT se coloca en ninguna zona de manera predeterminada. Azure coloca una puerta de enlace NAT no zonal en una zona para el usuario.

Puerta de enlace NAT y recursos básicos

  • La puerta de enlace NAT es compatible con direcciones IP públicas estándar, con recursos de prefijo de IP pública o con una combinación de ambos.

  • Los recursos básicos, como el equilibrador de carga básico o las IP públicas básicas, no son compatibles con NAT Gateway. La puerta de enlace NAT no se puede usar con subredes en las que existan recursos básicos. El equilibrador de carga básico y la dirección IP pública básica se pueden actualizar al nivel estándar para que funcionen con una puerta de enlace NAT.

Tiempos de espera y temporizadores de conexión

  • NAT Gateway envía un paquete de restablecimiento TCP (RST) para cualquier flujo de conexión que no reconoce como una conexión existente. El flujo de conexión deja de existir si se ha alcanzado el tiempo de espera de inactividad de la puerta de enlace NAT o si la conexión se ha cerrado antes.

  • Cuando el remitente del tráfico en el flujo de conexión no existente recibe el paquete TCP RST de NAT Gateway, la conexión ya no se puede usar.

  • Los puertos SNAT no están disponibles para su reutilización en el mismo punto de conexión de destino después de que se cierre una conexión. NAT Gateway coloca los puertos SNAT en un estado de recuperación antes de que se puedan reutilizar para conectarse al mismo punto de conexión de destino.

  • Las duraciones del temporizador de reutilización de puertos SNAT (recuperación) varían para el tráfico TCP en función de cómo se cierra la conexión. Para más información, consulte Temporizadores de reutilización de puertos.

  • Se usa un tiempo de espera de inactividad de TCP predeterminado de 4 minutos que se puede aumentar hasta 120. Cualquier actividad de un flujo puede restablecer también el temporizador de actividad, lo que incluye mensajes TCP Keepalive. Para más información, consulte Temporizadores de tiempo de espera de inactividad.

  • El tráfico UDP tiene un temporizador para el tiempo de espera de inactividad de 4 minutos que no se puede cambiar.

  • El tráfico UDP tiene un temporizador para la reutilización del puerto de 65 segundos, por el que un puerto queda en espera antes de estar disponible para su reutilización en el mismo punto de conexión de destino.

Precios y Acuerdo de Nivel de Servicio (SLA)

Para conocer los precios de Azure NAT Gateway, consulte Precios de NAT gateway.

Para más información sobre el SLA, consulte Acuerdo de Nivel de Servicio para Azure NAT Gateway.

Pasos siguientes