Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure NAT Gateway ist ein vollständig verwalteter und hochgradig widerstandsfähiger NAT-Dienst (Network Address Translation). Verwenden Sie Azure NAT Gateway, damit alle Instanzen in einem Subnetz ausgehend mit dem Internet verbinden können, während sie vollständig privat bleiben. Ein NAT-Gateway lässt keine unerwünschten eingehenden Verbindungen aus dem Internet zu. Es können nur Pakete über ein NAT Gateway weitergeleitet werden, die als Antwortpakete an eine ausgehende Verbindung eingehen.
NAT-Gateway weist SNAT-Ports dynamisch zu, um ausgehende Verbindungen automatisch zu skalieren und das Risiko der SNAT-Portausschöpfung zu minimieren.
Azure NAT Gateway ist in zwei SKUs verfügbar:
Norm SKU-NAT-Gateway ist zonal (in einer einzelnen Verfügbarkeitszone bereitgestellt) und bietet skalierbare ausgehende Konnektivität für Subnetze in einem einzigen virtuellen Netzwerk.
StandardV2 SKU-NAT-Gateway ist zonenredundant mit einem höheren Durchsatz als die Standard-SKU, IPv6-Unterstützung und Flussprotokollunterstützung.
StandardV2 NAT-Gateway
StandardV2 NAT Gateway bietet alle funktionen des Standard-SKU-NAT-Gateways, z. B. dynamische SNAT-Portzuweisung und sichere ausgehende Konnektivität für Subnetze innerhalb eines virtuellen Netzwerks. Darüber hinaus ist StandardV2 NAT-Gateway zonenredundant, d. h., es bietet ausgehende Konnektivität von allen Zonen in einer Region anstelle einer einzelnen Zone wie standard NAT Gateway.
Abbildung: StandardV2 NAT Gateway erstreckt sich über mehrere Verfügbarkeitszonen in einer Region.
Wichtige Funktionen des StandardV2 NAT-Gateways
- Zonenredundant – funktioniert über alle Verfügbarkeitszonen in einer Region, um die Konnektivität während eines Ausfalls einer einzelnen Zone aufrechtzuerhalten.
- IPv6-Unterstützung – unterstützt sowohl öffentliche IPv4- als auch IPv6-IP-Adressen und Präfixe für ausgehende Verbindungen.
- Höherer Durchsatz – jedes StandardV2 NAT-Gateway kann bis zu 100 GBit/s datendurchsatz im Vergleich zu 50 GBit/s für das Standard-NAT-Gateway bereitstellen.
- Unterstützung von Ablaufprotokollen – stellt IP-basierte Datenverkehrsinformationen bereit, um ausgehende Datenverkehrsflüsse zu überwachen und zu analysieren.
Weitere Informationen zum Bereitstellen von StandardV2 NAT-Gateway finden Sie unter Create a StandardV2 NAT Gateway.
Wichtige Einschränkungen des StandardV2 NAT-Gateways
- Erfordert öffentliche StandardV2-SKU-IP-Adressen oder Präfixe. Öffentliche Standard-SKU-IPs werden nicht mit StandardV2 NAT-Gateway unterstützt.
- Standardmäßiges SKU-NAT-Gateway kann nicht auf das StandardV2 NAT-Gateway aktualisiert werden. Sie müssen zuerst das StandardV2-SKU-NAT-Gateway erstellen und das Standard-SKU-NAT-Gateway in Ihrem Subnetz ersetzen.
- Terraform unterstützt noch keine Zuordnung öffentlicher IPv6 StandardV2-IPs an ein StandardV2-NAT Gateway. Öffentliche IPs von IPv4 StandardV2 können mit Terraform an das StandardV2 NAT-Gateway angefügt werden. Es sind keine weiteren Clients betroffen.
- Die folgenden Regionen unterstützen kein StandardV2 NAT-Gateway:
- Canada East
- Chile Zentral
- Indonesien Zentral
- Israel Nordwest
- Malaysia, Westen
- Qatar Central
- Schweden Süd
- Zentraler Westen der USA
- West India
- Das StandardV2-NAT-Gateway unterstützt nicht und kann für die folgenden Dienste nicht an delegierte Subnetze angefügt werden:
- Azure SQL Managed Instance
- Azure Container Instances
- Azure Database for PostgreSQL – Flexibler Server
- Azure Database for MySQL – Flexible-Server
- Azure Database for MySQL
- Azure Data Factory – Datenverschiebung
- Microsoft Power Platform-Dienste
- Azure Stream Analytics
- Azure Web-Apps
- Azure Container Apps
- Azure DNS Private Resolver
Bekannte Probleme des StandardV2 NAT-Gateways
IPv6 ausgehender Datenverkehr, der ausgehende Regeln für den Lastenausgleich verwendet, wird unterbrochen, wenn Sie ein StandardV2 NAT-Gateway einem Subnetz zuordnen. Wenn Sie sowohl IPv4- als auch IPv6-ausgehende Konnektivität benötigen, verwenden Sie entweder ausgehende Lastenausgleichsregeln für IPv4- und IPv6-Datenverkehr oder standard NAT-Gateway für IPv4-Datenverkehr und ausgehende Lastenausgleichsregeln für IPv6-Datenverkehr.
Das Anfügen eines StandardV2-NAT-Gateways an ein leeres Subnetz, das vor April 2025 ohne virtuelle Computer erstellt wurde, kann dazu führen, dass das virtuelle Netzwerk in einen fehlerhaften Zustand wechselt. Um das virtuelle Netzwerk in einen erfolgreichen Zustand zurückzugeben, entfernen Sie standardV2 NAT Gateway, erstellen und fügen sie dem Subnetz einen virtuellen Computer hinzu, und fügen Sie es dann erneut an das StandardV2 NAT-Gateway an.
Ausgehende Verbindungen, die Load Balancer, Azure Firewall oder öffentliche IPs auf Instanzebene virtueller Maschinen verwenden, können unterbrochen werden, wenn Sie ein StandardV2-NAT-Gateway zu einem Subnetz hinzufügen. Alle netto neuen ausgehenden Verbindungen verwenden das StandardV2 NAT-Gateway.
Weitere Informationen zu bekannten Problemen und Einschränkungen des StandardV2 NAT-Gateways finden Sie unter Bekannte Probleme und Einschränkungen des StandardV2 NAT-Gateways.
NAT-Standardgateway
Sie können standardmäßiges NAT-Gateway Subnetzen innerhalb desselben virtuellen Netzwerks zuordnen, um ausgehende Verbindungen mit dem Internet bereitzustellen. Ein standardmäßiges NAT-Gateway wird in einer einzelnen Verfügbarkeitszone betrieben.
*Abbildung: Standardmäßiges NAT-Gateway in einer einzelnen Verfügbarkeitszone.
Azure NAT Gateway Vorteile
Einfache Einrichtung
Bereitstellungen mit NAT-Gateway sind absichtlich einfach. Fügen Sie NAT-Gateway an ein Subnetz und eine öffentliche IP-Adresse an, und beginnen Sie sofort mit der Verbindung mit dem Internet. Es sind keinerlei Wartungs- und Routingkonfigurationen erforderlich. Sie können später weitere öffentliche IPs oder Subnetze hinzufügen, ohne die vorhandene Konfiguration zu beeinträchtigen.
Die folgenden Schritte zeigen ein Beispiel für das Einrichten eines NAT-Gateways:
Erstellen Sie eine nicht zonale oder eine zonale NAT Gateway-Instanz.
Erstellen eines NAT-Gateways.
Weisen Sie eine öffentliche IP-Adresse oder ein Präfix für öffentliche IP-Adressen zu.
Konfigurieren Sie ein Subnetz für die Verwendung eines NAT-Gateways.
Ändern Sie bei Bedarf das TCP-Leerlauftimeout (Transmission Control Protocol) (optional). Lesen Sie den Abschnitt Timer, bevor Sie die Standardeinstellung ändern.
Sicherheit
NAT-Gateway basiert auf dem Zero Trust Netzwerksicherheitsmodell und ist standardmäßig sicher. Bei Verwendung des NAT-Gateways benötigen private Instanzen in einem Subnetz keine öffentlichen IP-Adressen, um das Internet zu erreichen. Private Ressourcen können externe Quellen außerhalb des virtuellen Netzwerks durch SNAT (Source Network Address Translating) an die statischen öffentlichen IP-Adressen oder Präfixe von NAT Gateway erreichen. Sie können eine zusammenhängende Gruppe von IP-Adressen für ausgehende Verbindungen bereitstellen, indem Sie ein öffentliches IP-Präfix verwenden. Sie können Zielfirewallregeln basierend auf dieser vorhersagbaren IP-Liste konfigurieren.
Resilienz
Azure NAT Gateway ist ein vollständig verwalteter und verteilter Dienst. Es hängt nicht von einzelnen Computeinstanzen wie virtuellen Computern oder einem einzelnen physischen Gatewaygerät ab. Ein NAT Gateway verfügt immer über mehrere Fehlerdomänen und kann mehrere Fehler ohne Dienstausfall überstehen. Softwaredefinierte Netzwerke machen ein NAT Gateway äußerst resilient.
Skalierbarkeit
NAT Gateway wird ab der Erstellung aufskaliert. Kein Anlauf- oder Hochskalierungsvorgang ist erforderlich. Azure verwaltet den Betrieb des NAT-Gateways für Sie.
Fügen Sie ein NAT Gateway an ein Subnetz an, um ausgehende Verbindungen für alle privaten Ressourcen in diesem Subnetz bereitzustellen. Alle Subnetze in einem virtuellen Netzwerk können dieselbe NAT Gateway-Ressource nutzen. Sie können ausgehende Verbindungen skalieren, indem Sie bis zu 16 öffentliche IP-Adressen dem NAT-Gateway zuweisen. Wenn Sie ein NAT-Gateway einem öffentlichen IP-Präfix zuordnen, wird es automatisch auf die Anzahl der IP-Adressen skaliert, die für ausgehende Adressen erforderlich sind.
Leistung
Azure NAT Gateway ist ein softwaredefinierter Netzwerkdienst. Jedes NAT Gateway kann Daten im Umfang von bis zu 50 GBit/s für ausgehenden und eingehenden Datenverkehr verarbeiten.
Ein NAT Gateway wirkt sich nicht auf die Netzwerkbandbreite Ihrer Computeressourcen aus. Weitere Informationen finden Sie in der Leistung des NAT-Gateways.
Grundlagen Azure NAT Gateway
Azure NAT Gateway bietet sichere, skalierbare ausgehende Konnektivität für Ressourcen in einem virtuellen Netzwerk. Es ist die empfohlene Methode für ausgehenden Zugriff auf das Internet.
Ausgehende Konnektivität
NAT Gateway ist die empfohlene Methode für ausgehende Verbindungen.
- Informationen zur Migration des ausgehenden Zugriffs auf ein NAT-Gateway von den standardmäßigen ausgehenden Zugriffen oder den ausgehenden Regeln des Lastenausgleichers finden Sie unter Migrieren Sie den ausgehenden Zugriff auf das Azure NAT-Gateway.
Hinweis
Am 31. März 2026 werden neue virtuelle Netzwerke standardmäßig mit privaten Subnetzen eingerichtet, sodass standardmäßiger ausgehender Zugriff nicht automatisch bereitgestellt wird. Verwenden Sie stattdessen eine explizite Form der ausgehenden Verbindung, z. B. NAT-Gateway.
NAT Gateway bietet ausgehende Konnektivität auf Subnetzebene. NAT Gateway ersetzt das standardmäßige Internetziel eines Subnetzes, um ausgehende Konnektivität bereitzustellen.
NAT Gateway erfordert keine Routingkonfigurationen in einer Subnetz-Routingtabelle. Nachdem Sie NAT-Gateway an ein Subnetz angefügt haben, stellt es sofort ausgehende Verbindungen bereit.
NAT Gateway ermöglicht es, Datenflüsse vom virtuellen Netzwerk zu den Diensten außerhalb Ihres virtuellen Netzwerks zu erstellen. Aus dem Internet zurückfließender Datenverkehr ist nur als Antwort auf einen aktiven Datenfluss zulässig. Dienste außerhalb Ihres virtuellen Netzwerks können keine eingehende Verbindung über DAS NAT-Gateway initiieren.
NAT-Gateway hat Vorrang vor anderen ausgehenden Konnektivitätsmethoden, einschließlich einer Load Balancer, öffentlichen IP-Adressen auf Instanzebene und Azure Firewall.
NAT Gateway hat Vorrang vor anderen expliziten ausgehenden Methoden, die in einem virtuellen Netzwerk für alle neuen Verbindungen konfiguriert sind. Es gibt keine Abnahmen im Datenverkehrsfluss für bestehende Verbindungen, die andere explizite Methoden der ausgehenden Konnektivität verwenden.
NAT-Gateway hat nicht die gleichen Einschränkungen der SNAT-Portausschöpfung wie Standardmäßiger ausgehender Zugriff und Ausgangsregeln eines Lastenausgleichers.
NAT Gateway unterstützt nur die Protokolle TCP und UDP (User Datagram Protocol). Internet Control Message-Protokoll (ICMP) wird nicht unterstützt.
- Azure-App Services-Instanzen (Webanwendungen, REST-APIs und mobile Back-Ends) über virtual network integration.
Das Subnetz verfügt über eine Systemstandardroute, die Datenverkehr mit dem Ziel 0.0.0.0/0 automatisch an das Internet weiterleitet. Nachdem Sie das NAT-Gateway für das Subnetz konfiguriert haben, kommunizieren virtuelle Computer im Subnetz mithilfe der öffentlichen IP des NAT-Gateways mit dem Internet.
Wenn Sie eine benutzerdefinierte Route (UDR) in Ihrer Subnetzroutentabelle für 0.0.0.0/0 Datenverkehr erstellen, überschreiben Sie den Standard-Internetpfad für diesen Datenverkehr. Ein UDR, der 0.0.0.0/0 Datenverkehr an eine virtuelle Appliance oder ein virtuelles Netzwerkgateway (VPN Gateway und ExpressRoute) sendet, als nächster Hoptyp überschreibt stattdessen die NAT-Gatewaykonnektivität mit dem Internet.
Funktionsweise des NAT-Gateways
Keine Routingtabellenkonfiguration – NAT-Gateway funktioniert auf Subnetzebene. Wenn Sie es hinzufügen, bietet Ihnen NAT-Gateway ausgehende Konnektivität, ohne Routingkonfigurationen in der Subnetzroutentabelle zu benötigen.
- UDR zum nächsten Hop, entweder einer virtuellen Appliance oder einem virtuellen Netzwerk-Gateway >> NAT-Gateway >> Instanzebene-Öffentliche-IP-Adresse auf einer virtuellen Maschine >> ausgehende Load-Balancer-Regeln >> Standardsystemroute zum Internet.
NAT Gateway-Konfigurationen
Mehrere Subnetze innerhalb desselben virtuellen Netzwerks können entweder ein NAT Gateway oder unterschiedliche NAT Gateways verwenden.
Sie können nicht mehrere NAT-Gateways an ein einzelnes Subnetz anfügen.
Ein NAT-Gateway kann nicht mehrere virtuelle Netzwerke umfassen. Sie können jedoch ein NAT-Gateway verwenden, um ausgehende Verbindungen in einem Hub- und Speichenmodell bereitzustellen. Weitere Informationen finden Sie im Hub-and-Spoke-Tutorial für NAT Gateway.
Eine Standard-SKU-NAT-Gatewayressource kann bis zu 16 öffentliche IPv4-IP-Adressen verwenden. StandardV2-SKU-NAT-Gateway kann bis zu 16 IPv4- und 16 öffentliche IPv6-IP-Adressen verwenden.
Sie können kein NAT-Gateway in einem Gateway-Subnetz oder Subnetz bereitstellen, das SQL Managed Instances enthält.
NAT Gateway funktioniert mit einer beliebigen Netzwerkschnittstelle oder IP-Konfiguration einer VM. NAT Gateway kann SNAT für mehrere IP-Konfigurationen in einer Netzwerkschnittstelle bereitstellen.
Sie können ein NAT-Gateway einem Azure Firewall Subnetz in einem virtuellen Hubnetzwerk zuordnen und ausgehende Verbindungen aus virtuellen Speichennetzwerken bereitstellen, die mit dem Hub verbunden sind. Weitere Informationen finden Sie unter Azure Firewall Integration in NAT-Gateway.
Verfügbarkeitszonen
Sie können ein Standard-SKU-NAT-Gateway in einer bestimmten Verfügbarkeitszone erstellen oder in keiner Zone platzieren.
Sie können ein Standard-NAT-Gateway in einer bestimmten Zone isolieren, wenn Sie ein zonales NAT-Gateway erstellen. Nachdem Sie das NAT-Gateway bereitgestellt haben, können Sie die Zonenauswahl nicht mehr ändern.
Standardmäßig wird ein Standard-NAT-Gateway in keiner Zone platziert. Azure platziert ein nonzonal NAT Gateway in einer Zone für Sie.
Ein StandardV2-SKU-NAT-Gateway ist zonenredundant und arbeitet in allen Verfügbarkeitszonen in einer Region, um die Konnektivität während eines Ausfalls einer einzelnen Zone aufrechtzuerhalten.
Standardmäßiger ausgehender Zugriff
Um sichere ausgehende Verbindungen mit dem Internet bereitzustellen, aktivieren Sie ein privates Subnetz , um die Erstellung von standardmäßigen ausgehenden IPs zu verhindern und stattdessen eine explizite Methode der ausgehenden Konnektivität wie NAT-Gateway zu verwenden.
Bestimmte Dienste funktionieren nicht auf einem virtuellen Computer in einem privaten Subnetz ohne eine explizite Methode der ausgehenden Konnektivität, z. B. Windows Aktivierung und Windows Updates. Zum Aktivieren oder Aktualisieren von Betriebssystemen virtueller Computer, wie z. B. Windows, ist eine explizite Methode der ausgehenden Konnektivität erforderlich, z. B. NAT-Gateway.
Informationen zur Migration des ausgehenden Zugriffs auf ein NAT-Gateway von den standardmäßigen ausgehenden Zugriffen oder den ausgehenden Regeln des Lastenausgleichers finden Sie unter Migrieren Sie den ausgehenden Zugriff auf das Azure NAT-Gateway.
Hinweis
Am 31. März 2026 werden neue virtuelle Netzwerke standardmäßig private Subnetze verwenden, was bedeutet, dass der Standard-Ausgangszugriff nicht mehr standardmäßig bereitgestellt wird, und Sie müssen eine explizite ausgehende Methode aktivieren, um öffentliche Endpunkte im Internet und bei Microsoft zu erreichen. Verwenden Sie stattdessen eine explizite Form der ausgehenden Verbindung, z. B. NAT-Gateway.
NAT Gateway und grundlegende Ressourcen
Standardmäßiges NAT-Gateway funktioniert mit öffentlichen Standard-IP-Adressen oder öffentlichen IP-Präfixen. StandardV2 NAT-Gateway funktioniert nur mit öffentlichen StandardV2-IP-Adressen oder öffentlichen IP-Präfixen.
Sie können NAT-Gateway nicht mit Subnetzen verwenden, die über grundlegende Ressourcen verfügen. Grundlegende SKU-Ressourcen, z. B. einfache Load Balancer oder grundlegende öffentliche IPs, funktionieren nicht mit NAT-Gateway. Sie können grundlegende Load Balancer und grundlegende öffentliche IP auf Standard aktualisieren, um mit einem NAT-Gateway zu arbeiten.
Weitere Informationen zum Aktualisieren eines Load Balancer von "basic" auf "Standard" finden Sie unter Upgrade eines öffentlichen grundlegenden Azure Load Balancer.
Informationen zum Upgraden einer öffentlichen IP-Adresse von „Basic“ auf „Standard“ finden Sie unter Durchführen eines Upgrades für eine öffentliche IP-Adresse mithilfe des Azure-Portals.
Informationen zum Upgraden einer öffentlichen IP-Adresse, die an einen virtuellen Computer angefügt ist, von „Basic“ auf „Standard“ finden Sie unter Aktualisieren öffentlicher IP-Adressen, die an eine VM angefügt sind, von Basic zu Standard.
Verbindungstimeouts und Timer
NAT Gateway sendet ein TCP Reset (RST)-Paket für jeden Verbindungsfluss, der nicht als vorhandene Verbindung erkannt wird. Der Verbindungspfad existiert nicht mehr, wenn das Leerlauftimeout des NAT-Gateways erreicht ist oder die Verbindung zuvor geschlossen wurde.
Wenn der Absender des Datenverkehrs im nicht vorhandenen Verbindungsfluss das TCP-RST-Paket von NAT Gateway empfängt, kann die Verbindung nicht mehr verwendet werden.
SNAT-Ports sind nach dem Schließen einer Verbindung nicht sofort zur Wiederverwendung für denselben Zielendpunkt verfügbar. NAT-Gateway platziert SNAT-Ports in einem Cooldownzustand, bevor sie wiederverwendet werden können, um eine Verbindung mit demselben Zielendpunkt herzustellen.
Die Dauer des Timers für die Wiederverwendung von SNAT-Ports (Abkühlung) variiert je nach dem Schließen der Verbindung bei TCP-Datenverkehr. Weitere Informationen finden Sie unter Timer für die Wiederverwendung von Ports.
Der NAT Gateway TCP-Leerlauf-Timeout-Timer ist standardmäßig auf 4 Minuten festgelegt, kann jedoch auf bis zu 120 Minuten erhöht werden. Jede Aktivität in einem Datenfluss kann den Leerlauftimer zurücksetzen, einschließlich TCP-Keepalives. Weitere Informationen finden Sie unter Timer für Leerlauftimeouts.
UDP-Datenverkehr hat eine Leerlauf-Timeout-Dauer von 4 Minuten, die Sie nicht ändern können.
Der UDP-Datenverkehr verfügt über einen Wiederverwendungstimer für den Port mit einer Dauer 65 Sekunden, für die ein Port geschlossen bleibt, bevor er zur Wiederverwendung für denselben Zielendpunkt verfügbar ist.
Vereinbarung für Preise und Servicelevel (SLA)
Standard- und StandardV2-NAT-Gateway sind zum gleichen Preis. Informationen zu Azure NAT Gateway Preisen finden Sie unter NAT Gateway-Preise.
Informationen zum SLA finden Sie unter SLA für Azure NAT Gateway.
Nächste Schritte
Weitere Informationen zum Erstellen und Überprüfen eines NAT-Gateways finden Sie unter Quickstart: Erstellen eines NAT-Gateways mithilfe des Azure Portals.
Wenn Sie ein Video zu weiteren Informationen zu Azure NAT Gateway ansehen möchten, sehen Sie sich Wie man eine bessere ausgehende Konnektivität mit einem Azure NAT Gateway erreicht an.
Weitere Informationen zur NAT Gateway-Ressource finden Sie unter NAT Gateway-Ressource.
Erfahren Sie mehr über Azure NAT Gateway im folgenden Modul:
Weitere Informationen zu Architekturoptionen für Azure NAT Gateway finden Sie unter Azure Well-Architected Framework-Überprüfung einer Azure NAT Gateway.