Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gateway NAT di Azure è un servizio NAT (Network Address Translation) completamente gestito e altamente resiliente. Usare Gateway NAT di Azure per consentire a tutte le istanze di una subnet di connettersi in uscita a Internet mentre rimangono completamente private. Un gateway NAT non consente connessioni in ingresso non richieste da Internet. Solo i pacchetti in arrivo come pacchetti di risposta a una connessione in uscita possono passare attraverso un gateway NAT.
Il gateway NAT assegna in modo dinamico le porte SNAT per scalare automaticamente la connettività in uscita e ridurre al minimo il rischio di esaurimento delle porte SNAT.
Gateway NAT di Azure è disponibile in due SKU:
Il gateway NAT SKU Standard è una risorsa di zona (distribuito in una singola zona di disponibilità) e offre connettività in uscita scalabile per subnet in una singola rete virtuale.
Il gateway NAT SKU StandardV2 offre la ridondanza della zona e una velocità effettiva superiore rispetto allo SKU Standard, oltre al supporto per IPv6 e per i log dei flussi.
StandardV2 NAT Gateway
Il gateway NAT StandardV2 offre tutte le funzionalità del gateway NAT SKU Standard, tra cui l'allocazione dinamica delle porte SNAT e la connettività in uscita sicura per le subnet di una rete virtuale. In aggiunta, il gateway NAT StandardV2 offre anche la ridondanza della zona, ovvero fornisce connettività in uscita da tutte le zone di un'area anziché da una singola zona, come per il gateway NAT Standard.
Figura: il gateway NAT StandardV2 si estende su più zone di disponibilità di un'area.
Funzionalità principali del gateway NAT StandardV2
- Ridondanza della zona: opera in tutte le zone di disponibilità di un’area per mantenere la connettività in caso di errore di una singola zona.
- Supporto per IPv6: supporta prefissi e indirizzi IP pubblici IPv4 e IPv6 per la connettività in uscita.
- Velocità effettiva più elevata: ogni gateway NAT StandardV2 può offrire una velocità effettiva dei dati fino a 100 Gbps, rispetto ai 50 Gbps forniti dal gateway NAT Standard.
- Supporto dei log dei flussi: fornisce informazioni sul traffico basate sull’indirizzo IP per semplificare il monitoraggio e l’analisi dei flussi di traffico in uscita.
Per altre informazioni su come distribuire il gateway NAT StandardV2, vedere Creare un gateway NAT StandardV2.
Limitazioni principali del gateway NAT StandardV2
- Richiede prefissi o IP pubblici per lo SKU StandardV2. Gli IP pubblici per SKU Standard non sono supportati con il gateway NAT SKU StandardV2.
- Il gateway NAT SKU Standard non può essere aggiornato al gateway NAT StandardV2. È prima necessario creare un gateway NAT SKU StandardV2 e sostituire il gateway NAT SKU Standard nella subnet.
- Le aree seguenti non supportano il gateway NAT StandardV2:
- Brazil Southeast
- Canada East
- India centrale
- Cile centrale
- Indonesia centrale
- Israele Nord-Ovest
- Malesia occidentale
- Qatar Central
- Svezia meridionale
- UAE Central
- Stati Uniti centro-occidentali
- West India
- Terraform non supporta ancora le distribuzioni del gateway NAT StandardV2 e dell’IP pubblico StandardV2.
- Il gateway NAT StandardV2 non supporta e non può essere collegato alle subnet delegate per i servizi seguenti:
- Istanza gestita di SQL di Azure (Istanza gestita di SQL di Azure)
- Istanze di Azure Container
- Database di Azure per PostgreSQL - Server Flessibile
- Database di Azure per MySQL - Server flessibile
- Database di Azure per MySQL
- Azure Data Factory - Spostamento dati
- Microsoft Power Platform servizi
- Analisi di flusso di Azure
- Azure App Web
- App contenitore di Azure
- resolver privato DNS di Azure
Problemi noti del gateway NAT StandardV2
Il traffico in uscita IPv6 che usa regole in uscita del servizio di bilanciamento del carico viene interrotto quando si associa il gateway NAT StandardV2 a una subnet. Se è necessaria la connettività in uscita sia IPv4 che IPv6, usare le regole di Load Balancer in uscita sia per il traffico IPv4 sia per IPv6 oppure usare il gateway NAT Standard per il traffico IPv4 e le regole di Load Balancer in uscita per il traffico IPv6.
Il collegamento di un gateway NAT StandardV2 a una subnet vuota creata prima di aprile 2025 senza macchine virtuali potrebbe causare un errore della rete virtuale. Per ripristinare lo stato corretto della rete virtuale, rimuovere il gateway NAT StandardV2, creare e aggiungere una macchina virtuale alla subnet e quindi riallegare il gateway NAT StandardV2.
Le connessioni in uscita che usano load balancer, Firewall di Azure o indirizzi IP pubblici a livello di istanza di macchina virtuale possono essere interrotte quando si aggiunge un gateway NAT StandardV2 a una subnet. Tutte le nuove connessioni in uscita usano il gateway NAT StandardV2.
Per altre informazioni sui problemi noti e sulle limitazioni del gateway NAT StandardV2, vedere Problemi noti e limitazioni del gateway NAT StandardV2.
Standard NAT Gateway
È possibile associare il gateway NAT Standard alle subnet all'interno della stessa rete virtuale per fornire la connettività in uscita a Internet. Il gateway NAT Standard opera da una singola zona di disponibilità.
*Figura: Gateway NAT Standard in una zona di disponibilità singola.
Gateway NAT di Azure vantaggi
Impostazione semplice
Le distribuzioni con il gateway NAT sono intenzionalmente semplici. Collegare il gateway NAT a una subnet e a un indirizzo IP pubblico e iniziare subito a connettersi a Internet in uscita. Non sono necessarie configurazioni di manutenzione e routing. È possibile aggiungere altri indirizzi IP pubblici o subnet in un secondo momento senza influire sulla configurazione esistente.
La procedura seguente illustra un esempio di come configurare un gateway NAT:
Creare un gateway NAT non di zona o di zona.
Creare un gateway NAT.
Assegnare un indirizzo IP pubblico o un prefisso IP pubblico.
Configurare una subnet per l'uso di un gateway NAT.
Se necessario, modificare il timeout di inattività TCP (Transmission Control Protocol) (facoltativo). Controllare i timer prima di cambiare il valore predefinito.
Security
Il gateway NAT è basato sul modello di sicurezza di rete Zero Trust ed è sicuro per impostazione predefinita. Usando il gateway NAT, le istanze private all'interno di una subnet non richiedono indirizzi IP pubblici per raggiungere Internet. Le risorse private possono raggiungere origini esterne all'esterno della rete virtuale tramite la conversione degli indirizzi di rete di origine (SNAT) in indirizzi IP pubblici o prefissi statici del gateway NAT. È possibile fornire un set contiguo di indirizzi IP per la connettività in uscita usando un prefisso IP pubblico. È possibile configurare le regole del firewall di destinazione in base a questo elenco di indirizzi IP prevedibili.
Resilienza
Gateway NAT di Azure è un servizio completamente gestito e distribuito. Non dipende da singole istanze di calcolo, ad esempio macchine virtuali o da un singolo dispositivo gateway fisico. Un gateway NAT ha sempre più di un dominio di errore e può sostenere più errori senza interruzioni del servizio. La rete definita dal software rende un gateway NAT altamente resiliente.
Scalabilità
Il gateway NAT viene scalato a partire dalla creazione. Non è necessario alcun potenziamento o espansione della capacità. Azure gestisce automaticamente il funzionamento del gateway NAT.
Collegare il gateway NAT a una subnet per fornire la connettività in uscita per tutte le risorse private in tale subnet. Tutte le subnet in una rete virtuale possono usare la stessa risorsa gateway NAT. È possibile aumentare le prestazioni della connettività in uscita assegnando fino a 16 indirizzi IP pubblici al gateway NAT. Quando si associa un gateway NAT a un prefisso IP pubblico, viene automaticamente ridimensionato al numero di indirizzi IP necessari per il traffico in uscita.
Prestazioni
Gateway NAT di Azure è un servizio di rete definito tramite software. Ogni gateway NAT può elaborare fino a 50 Gbps di dati sia per il traffico in uscita che per il traffico di ritorno.
Un gateway NAT non influisce sulla larghezza di banda di rete delle risorse di calcolo. Per altre informazioni, vedere Prestazioni del gateway NAT.
nozioni di base Gateway NAT di Azure
Gateway NAT di Azure offre connettività in uscita sicura e scalabile per le risorse in una rete virtuale. È il metodo consigliato per l'accesso in uscita a Internet.
Connettività in uscita
Il gateway NAT è il metodo consigliato per la connettività in uscita.
- Per eseguire la migrazione dell'accesso in uscita a un Gateway NAT dall'accesso in uscita predefinito o dalle regole di uscita del bilanciamento del carico, vedere Migrare l'accesso in uscita a Gateway NAT di Azure.
Note
Il 31 marzo 2026, le nuove reti virtuali utilizzeranno, di default, subnet private, quindi l'accesso in uscita predefinito non sarà fornito automaticamente. Usare invece una forma esplicita di connettività in uscita, ad esempio il gateway NAT.
Il gateway NAT offre connettività in uscita a livello di subnet. Il gateway NAT sostituisce la destinazione Internet predefinita di una subnet per fornire connettività in uscita.
Il gateway NAT non richiede configurazioni di routing in una tabella di route subnet. Dopo aver collegato il gateway NAT a una subnet, fornisce immediatamente la connettività in uscita.
Il gateway NAT consente la creazione di flussi dalla rete virtuale ai servizi all'esterno della rete virtuale. Il traffico restituito da Internet è consentito solo in risposta a un flusso attivo. I servizi all'esterno della rete virtuale non possono avviare una connessione in ingresso tramite il gateway NAT.
Il gateway NAT ha la precedenza su altri metodi di connettività in uscita, tra cui un Load Balancer, indirizzi IP pubblici a livello di istanza e Firewall di Azure.
Il gateway NAT ha la priorità su altri metodi in uscita espliciti configurati in una rete virtuale per tutte le nuove connessioni. Non sono presenti interruzioni del flusso di traffico per le connessioni esistenti usando altri metodi espliciti di connettività in uscita.
Il gateway NAT non presenta le stesse limitazioni dell'esaurimento delle porte SNAT di accesso in uscita predefinito e delle regole di uscita di un Load Balancer.
Il gateway NAT supporta solo protocolli TCP e User Datagram Protocol (UDP). Il protocollo Internet Control Message Protocol (ICMP) non è supportato.
- istanze di app Azure Services (applicazioni Web, API REST e back-end per dispositivi mobili) tramite integrazione della rete virtuale.
La subnet ha una route predefinita di sistema che instrada automaticamente il traffico con destinazione 0.0.0.0/0 a Internet. Dopo aver configurato il gateway NAT nella subnet, le macchine virtuali nella subnet comunicano con Internet usando l'indirizzo IP pubblico del gateway NAT.
Quando si crea una route definita dall'utente (UDR) nella tabella di route della subnet per il traffico 0.0.0.0/0, si esegue l'override del percorso Internet predefinito per questo traffico. Una route definita dall'utente che inoltra il traffico 0.0.0.0/0 a un'appliance virtuale o a un gateway di rete virtuale (Gateway VPN ed ExpressRoute) come tipo di hop successivo prevale sulla connettività di NAT Gateway a Internet.
Funzionamento del gateway NAT
Nessuna configurazione della tabella di route : il gateway NAT funziona a livello di subnet. Quando lo si aggiunge, il gateway NAT offre la connettività in uscita senza che siano necessarie configurazioni di routing nella tabella di route della subnet.
- Route definita dall'utente a appliance virtuale hop successivo o gateway di rete virtuale >> gateway NAT >> Indirizzo IP pubblico a livello di istanza su una macchina virtuale >> regole di uscita del bilanciamento del carico >> route di sistema predefinita verso Internet.
Configurazioni del gateway NAT
Più subnet all'interno della stessa rete virtuale possono usare gateway NAT diversi o lo stesso gateway NAT.
Non è possibile collegare più gateway NAT a una singola subnet.
Un gateway NAT non può estendersi su più reti virtuali. Tuttavia, è possibile usare un gateway NAT per fornire connettività in uscita in un modello hub-spoke. Per altre informazioni, vedere l'esercitazione sull'hub del gateway NAT e spoke.
Una risorsa gateway NAT SKU Standard può usare fino a 16 indirizzi IP pubblici IPv4. Il gateway NAT SKU StandardV2 può usare fino a 16 indirizzi IP pubblici IPv4 e 16 IPv6.
Non è possibile distribuire un gateway NAT in una subnet di gateway o in una subnet contenente istanze gestite di SQL.
Il gateway NAT funziona con qualsiasi interfaccia di rete della macchina virtuale o configurazione IP. Il gateway NAT può eseguire SNAT più configurazioni IP in un'interfaccia di rete.
È possibile associare un gateway NAT a una subnet Firewall di Azure in una rete virtuale hub e fornire connettività in uscita da reti virtuali spoke in peering con l'hub. Per ulteriori informazioni, vedere l'integrazione di Firewall di Azure con il gateway NAT.
Zone di disponibilità
È possibile creare un gateway NAT SKU Standard in una zona di disponibilità specifica o inserirlo in nessuna zona.
È possibile isolare un gateway NAT Standard in una zona specifica quando si crea un gateway NAT di zona. Dopo aver distribuito il gateway NAT, non è possibile modificare la selezione della zona.
Per impostazione predefinita, un gateway NAT Standard viene inserito in nessuna zona. Azure inserisce un gateway NAT non zonale in una zona.
Un gateway NAT SKU StandardV2 è a zone-redundant e opera attraverso tutte le zone di disponibilità in una regione per mantenere la connettività durante un errore di una singola zona.
Accesso in uscita predefinito
Per fornire connettività in uscita sicura a Internet, abilitare la subnet privata per impedire la creazione di indirizzi IP in uscita predefiniti e usare invece un metodo esplicito di connettività in uscita come il gateway NAT.
Alcuni servizi non funzionano in una macchina virtuale in una subnet privata senza un metodo esplicito di connettività in uscita, ad esempio l'attivazione Windows e gli aggiornamenti Windows. Per attivare o aggiornare i sistemi operativi delle macchine virtuali, ad esempio Windows, è necessario un metodo esplicito di connettività in uscita, ad esempio il gateway NAT.
Per eseguire la migrazione dell'accesso in uscita a un Gateway NAT dall'accesso in uscita predefinito o dalle regole di uscita del bilanciamento del carico, vedere Migrare l'accesso in uscita a Gateway NAT di Azure.
Note
Il 31 marzo 2026 le nuove reti virtuali useranno per impostazione predefinita le subnet private, il che significa che l'accesso in uscita predefinito non è più fornito automaticamente ed è necessario abilitare un metodo esplicito per l'uscita verso gli endpoint pubblici su Internet e all'interno di Microsoft. Usare invece una forma esplicita di connettività in uscita, ad esempio il gateway NAT.
Gateway NAT e risorse di base
Il gateway NAT standard funziona con indirizzi IP pubblici standard o prefissi IP pubblici. Il gateway NAT StandardV2 funziona solo con indirizzi IP pubblici StandardV2 o prefissi IP pubblici.
Non è possibile usare il gateway NAT con subnet con risorse di base. Le risorse SKU di base, ad esempio i Load Balancer di base o gli INDIRIZZI IP pubblici di base, non funzionano con il gateway NAT. È possibile aggiornare la Load Balancer di base e l'indirizzo IP pubblico di base allo standard per l'uso con un gateway NAT.
Per altre informazioni sull'aggiornamento di un Load Balancer da basic a standard, vedere Upgrade a public basic Azure Load Balancer.
Per altre informazioni sull'aggiornamento di un indirizzo IP pubblico da di base a standard, vedere Aggiornare un indirizzo IP pubblico.
Per altre informazioni sull'aggiornamento di un indirizzo IP pubblico di base collegato a una macchina virtuale da di base a standard, vedere Aggiornare un indirizzo IP pubblico di base collegato a una macchina virtuale.
Timeout e timer di connessione
Il gateway NAT invia un pacchetto TCP Reset (RST) per qualsiasi flusso di connessione non riconosciuto come una connessione esistente. Il flusso di connessione non esiste più se viene raggiunto il timeout di inattività del gateway NAT o se la connessione è stata chiusa in precedenza.
Quando il mittente del traffico nel flusso di connessione non esistente riceve il pacchetto TCP RST del gateway NAT, la connessione non è più utilizzabile.
Le porte SNAT non sono immediatamente disponibili per il riutilizzo allo stesso endpoint di destinazione in seguito alla chiusura di una connessione. Il gateway NAT inserisce le porte SNAT in uno stato di raffreddamento prima che possano essere riutilizzate per connettersi allo stesso endpoint di destinazione.
Le durate del timer di riutilizzo delle porte SNAT (cooldown) variano per il traffico TCP a seconda della modalità di chiusura della connessione. Per altre informazioni, vedere Timer di riutilizzo delle porte.
Il timer di timeout di inattività del gateway NAT TCP è impostato di default a 4 minuti, ma può essere aumentato fino a 120 minuti. Qualsiasi attività su un flusso può reimpostare il timer di inattività, inclusi i keep-alive TCP. Per altre informazioni, vedere Timer di timeout di inattività.
Il traffico UDP ha un timer di timeout di inattività di 4 minuti che non è possibile modificare.
Il traffico UDP ha un timer di riutilizzo delle porte pari a 65 secondi, durante i quali una porta rimane in attesa prima di poter essere riutilizzata verso lo stesso endpoint di destinazione.
Prezzi e contratto di servizio
Gli SKU Standard e StandardV2 del gateway NAT hanno lo stesso prezzo. Per i prezzi di Gateway NAT di Azure, vedere prezzi NAT Gateway.
Per informazioni sul contratto di servizio, vedere SLA per Gateway NAT di Azure.
Passaggi successivi
Per altre informazioni sulla creazione e la convalida di un gateway NAT, vedere Quickstart: Creare un gateway NAT usando il portale di Azure.
Per visualizzare un video su altre informazioni sulle Gateway NAT di Azure, vedere Come ottenere una migliore connettività in uscita usando un Gateway NAT di Azure.
Per altre informazioni sulla risorsa gateway NAT, vedere Risorsa gateway NAT.
Altre informazioni sulle Gateway NAT di Azure nel modulo seguente:
Per ulteriori informazioni sulle opzioni di architettura per Gateway NAT di Azure, consultare la revisione dell'Gateway NAT di Azure nel contesto del Framework Ben Progettato di Azure.