O que é o Gateway da NAT do Azure?
Um Gateway da NAT do Azure é um serviço de conversão de endereços de rede (NAT) totalmente gerenciado e altamente resiliente. Você pode usar o Gateway da NAT do Azure para permitir que todas as instâncias em uma sub-rede privada se conectem de saída à Internet, mantendo-se totalmente privadas. Conexões de entrada não solicitadas da Internet não são permitidas por meio de um gateway da NAT. Somente os pacotes que chegam como pacotes de resposta a uma conexão de saída podem passar por um gateway da NAT.
O Gateway da NAT fornece funcionalidade de porta SNAT dinâmica para dimensionar automaticamente a conectividade de saída e reduzir o risco de esgotamento da porta SNAT.
Figura: Gateway da NAT do Azure
O Gateway da NAT do Azure fornece conectividade de saída para muitos recursos do Azure, incluindo:
Máquinas virtuais do Azure ou conjuntos de dimensionamento de máquinas virtuais em uma sub-rede privada.
Instâncias dos Serviços de Aplicativos do Azure (aplicativos Web, APIs REST e back-ends para dispositivos móveis) por meio da integração de rede virtual.
Benefícios do Gateway da NAT do Azure
Configuração simples
As implantações são intencionalmente simplificadas com o Gateway da NAT. Anexe o gateway da NAT a uma sub-rede e endereço IP público e comece a se conectar de saída à Internet imediatamente. Não é necessário fazer manutenção ou configurar o roteamento. Mais IPs públicos ou sub-redes podem ser adicionados posteriormente sem efeito à sua configuração existente.
As etapas a seguir são um exemplo de como configurar um Gateway da NAT:
Crie um Gateway da NAT zonal ou não zonal.
Crie um prefixo IP ou endereço IP públicos.
Configure a sub-rede da rede virtual para usar um gateway da NAT.
Se necessário, modifique o tempo limite ocioso do protocolo TCP (opcional). Examine os temporizadores antes de alterar o padrão.
Segurança
O Gateway da NAT é criado no modelo de segurança de rede de confiança zero e é seguro por padrão. Com o gateway da NAT, as instâncias privadas em uma sub-rede não precisam de endereços IP públicos para acessar a Internet. Os recursos privados podem alcançar fontes externas fora da rede virtual por SNAT (conversão de endereços de rede) de origem para os prefixos ou endereços IP públicos estáticos do gateway da NAT. Você pode fornecer um conjunto contíguo de IPs para conectividade de saída usando um prefixo IP público. As regras de firewall de destino podem ser configuradas com base nessa lista de IP previsível.
Resiliência
O Gateway da NAT do Azure é um serviço totalmente gerenciado e distribuído. Ela não depende de nenhuma instância de computação individual, como VMs ou um só dispositivo de gateway físico. O gateway da NAT sempre tem vários domínios de falha e pode manter várias falhas sem interrupção do serviço. Com a rede definida por software, o gateway da NAT fica altamente resiliente.
Escalabilidade
O gateway da NAT é escalado horizontalmente desde a criação. Não há nenhuma operação de aumento ou expansão necessária. O Azure gerencia a operação do gateway da NAT para você.
Anexe o gateway da NAT a uma sub-rede para fornecer conectividade de saída para todos os recursos privados nessa sub-rede. Todas as sub-redes em uma rede virtual podem usar o mesmo recurso do Gateway da NAT. A conectividade de saída pode ser escalada horizontalmente atribuindo até 16 endereços IP públicos ou um prefixo IP público de tamanho /28 ao gateway da NAT. Quando um gateway da NAT é associado a um prefixo IP público, ele é dimensionado automaticamente para o número de endereços IP necessários para a saída.
Desempenho
O Gateway da NAT do Azure é um serviço de rede definido por software. Cada gateway da NAT pode processar até 50 Gbps de dados para tráfego de saída e de retorno.
Um gateway da NAT não afeta a largura de banda da rede dos recursos de computação. Saiba mais sobre o desempenho de gateways NAT.
Noções básicas do Gateway da NAT do Azure
Conectividade de saída
O gateway da NAT é o método recomendado para conectividade de saída.
- Para migrar o acesso externo a um gateway da NAT a partir das regras de saída do balanceador de carga ou acesso de saída padrão, consulte Migrar o acesso de saída para o Gateway da NAT do Azure NAT.
Observação
Em 30 de setembro de 2025, o acesso de saída padrão para novas implantações será desativado. Em vez disso, é recomendável usar uma forma explícita de conectividade de saída, como o gateway da NAT.
A saída é definida em um nível por sub-rede com o Gateway da NAT. O gateway da NAT substitui o destino padrão da Internet de uma sub-rede.
As configurações de roteamento de tráfego não são necessárias para usar o Gateway da NAT.
O gateway de NAT permite que os fluxos sejam criados da rede virtual para os serviços fora da rede virtual. O tráfego de retorno da internet só é permitido em resposta a um fluxo ativo. Os serviços fora da rede virtual não podem iniciar uma conexão de entrada por meio do gateway da NAT.
O Gateway da NAT tem precedência sobre outros métodos de conectividade de saída, incluindo um balanceador de carga, endereços IP públicos no nível da instância e Firewall do Azure.
Quando o gateway da NAT é configurado para uma rede virtual onde já existe um método de conectividade de saída diferente, o gateway da NAT assume todo o tráfego de saída que está avançando. Não há quedas no fluxo de tráfego para conexões existentes no Azure Load Balancer. Todas as novas conexões usarão o gateway da NAT.
O gateway de NAT não tem as mesmas limitações de esgotamento de porta SNAT que o acesso de saída padrão e as regras de saída de um balanceador de carga.
O Gateway da NAT dá suporte apenas a protocolos TCP e UDP. Não há suporte para protocolo ICMP.
Rotas de tráfego
A sub-rede tem uma rota padrão do sistema que roteia o tráfego com o destino 0.0.0.0/0 para a Internet automaticamente. Depois que o gateway da NAT for configurado para a sub-rede, a comunicação das máquinas virtuais existentes na sub-rede para a Internet priorizará o uso do IP público do gateway da NAT.
Ao criar uma rota definida pelo usuário (UDR) na tabela de rotas da sua sub-rede para o tráfego 0.0.0.0/0, o caminho padrão da internet para esse tráfego é substituído. Uma UDR que direciona o tráfego 0.0.0.0/0 para uma solução de virtualização ou um gateway de rede virtual (Gateway de VPN e ExpressRoute) como o tipo de próximo salto, em vez disso, substitui a conectividade do Gateway da NAT com a internet.
A conectividade de saída segue a seguinte ordem de precedência entre diferentes métodos de roteamento e conectividade de saída:
- UDR com solução de virtualização / Gateway de VPN / ExpressRoute >> Gateway da NAT >> Endereço IP público no nível da instância em uma máquina virtual >> Regras de saída de balanceador de carga >> rota padrão do sistema para a Internet.
Configurações do gateway de NAT
Várias sub-redes dentro da mesma rede virtual podem usar gateways de NAT diferentes ou o mesmo gateway de NAT.
Vários gateways de NAT não podem ser anexados a uma só sub-rede.
O gateway de NAT não pode abranger várias redes virtuais.
Um gateway de NAT não pode ser implantado em uma sub-rede de gateway.
Um recurso de Gateway da NAT pode usar até 16 endereços IP em qualquer combinação dos seguintes tipos:
Endereços IP privados.
Prefixos IP públicos.
Endereços e prefixos IP públicos derivados de prefixos IP personalizados (BYOIP) para saber mais, consulte Prefixo de endereço IP personalizado (BYOIP).
O gateway de NAT não pode ser associado a um endereço IP público IPv6 nem a um prefixo IP público IPv6.
O Gateway da NAT pode ser usado com o balanceador de carga usando regras de saída para fornecer conectividade de saída de pilha dupla. Confira conectividade de saída de pilha dupla com o Gateway da NAT e o balanceador de carga.
O gateway da NAT funciona com qualquer interface de rede de máquina virtual ou configuração de IP. O Gateway da NAT pode SNAT várias configurações de IP em um adaptador de rede.
O Gateway da NAT pode ser associado a uma sub-rede do Firewall do Azure em uma rede virtual de hub e fornecer conectividade de saída de redes virtuais spoke emparelhadas com o hub. Para saber mais, confira Integração do Firewall do Azure com o Gateway da NAT.
Zonas de disponibilidade
Um Gateway da NAT pode ser criado em uma zona de disponibilidade específica ou colocado em nenhuma zonaDNS.
O gateway da NAT pode ser isolado em uma zona específica ao criar cenários de isolamento de zonas. Essa implantação é chamada de implantação zonal. Depois que o Gateway da NAT é implantado, a seleção de zona não pode ser alterada.
O Gateway da NAT é colocado em nenhuma zona por padrão. O Azure coloca o gateway da NAT não zonal em uma zona.
Gateway da NAT e recursos básicos
O Gateway da NAT é compatível com endereços IP públicos padrão ou recursos de prefixo IP público ou uma combinação de ambos.
Os recursos básicos, como o balanceador de carga básico ou os IPs públicos básicos, não são compatíveis com o gateway da NAT. O Gateway da NAT não pode ser usado com sub-redes em que existam recursos básicos. O balanceador de carga básico e o IP público básico podem ser atualizados para o padrão para trabalhar com um Gateway da NAT.
Para obter mais informações sobre como fazer upgrade de um balanceador de carga de Básico para Standard, confira Fazer upgrade de um Azure Load Balancer Básico público.
Para obter mais informações sobre como fazer upgrade de um IP público de Básico para Standard, confira Fazer upgrade de um endereço IP público.
Para obter mais informações sobre como fazer upgrade de um IP público Básico anexado a uma máquina virtual de Básico para Standard, confira Fazer upgrade de um IP público Básico anexado a uma máquina virtual.
Tempo limite de conexão e temporizadores
O gateway da NAT envia um pacote RST (Redefinição de TCP) para qualquer fluxo de conexão que ele não reconhece como uma conexão existente. O fluxo de conexão não existe mais se o tempo limite de ociosidade do Gateway da NAT tiver sido atingido ou a conexão tiver sido fechada anteriormente.
Quando o remetente do tráfego no fluxo de conexão inexistente recebe o pacote TCP RST do gateway da NAT, a conexão não é mais utilizável.
As portas SNAT não estão prontamente disponíveis para reutilização para o mesmo ponto de extremidade de destino após o fechamento de uma conexão. O gateway da NAT coloca as portas SNAT em um estado de resfriamento antes que elas possam ser reutilizados para se conectarem ao mesmo ponto de extremidade de destino.
As durações do temporizador de reutilização (resfriamento) da porta SNAT variam para o tráfego TCP, dependendo de como a conexão é fechada. Para saber mais, confira Temporizadores de reutilização de porta.
Um tempo limite de ociosidade TCP padrão de 4 minutos é usado e pode ser aumentado para até 120 minutos. Qualquer atividade em um fluxo também pode redefinir o temporizador de ociosidade, incluindo keepalives TCP. Para saber mais, confira Temporizadores de tempo limite ocioso.
O tráfego UDP tem um temporizador de tempo limite ocioso de 4 minutos que não pode ser alterado.
O tráfego UDP tem um temporizador de redefinição de porta de 65 segundos para o qual uma porta fica em espera antes de ficar disponível para reutilização no mesmo ponto de extremidade de destino.
Preços e Contrato de Nível de Serviço (SLA)
Para saber o preço do Gateway da NAT do Azure, confira Preços do gateway da NAT.
Para obter informações sobre o SLA, confira SLA do Gateway da NAT do Azure.
Próximas etapas
Para obter mais informações sobre como criar e validar um Gateway da NAT, confira Início rápido: criar um Gateway da NAT usando o portal do Azure.
Para ver um vídeo de como obter mais informações sobre o Gateway da NAT do Azure, confira Como aprimorar a conectividade de saída usando um gateway da NAT do Azure.
Para obter mais informações sobre o recurso de Gateway da NAT, confira Recurso de Gateway da NAT.
Saiba mais sobre o Gateway da NAT do Azure no seguinte módulo:
Para obter mais informações sobre opções de arquitetura para o Gateway da NAT do Azure, confira Revisão do Azure Well-Architected Framework de um Gateway da NAT do Azure.