Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Gateway da NAT do Azure é um serviço NAT (conversão de endereços de rede) totalmente gerenciado e altamente resiliente. Use Gateway da NAT do Azure para permitir que todas as instâncias em uma sub-rede se conectem de saída à Internet, mantendo-se totalmente privadas. Um gateway nat não permite conexões de entrada não solicitadas da Internet. Somente os pacotes que chegam como pacotes de resposta a uma conexão de saída podem passar por um gateway da NAT.
Gateway da NAT do Azure aloca dinamicamente portas NAT (SNAT) seguras para dimensionar automaticamente a conectividade de saída e minimizar o risco de esgotamento da porta SNAT.
Gateway da NAT do Azure está disponível em dois SKUs:
O Standard é zonal (implantado em uma única zona de disponibilidade) e fornece conectividade de saída escalonável para sub-redes em uma única rede virtual.
O StandardV2 é com redundância de zona e fornece uma taxa de transferência maior do que o SKU Standard, o suporte a IPv6 e o suporte ao log de fluxo.
SKU Padrão
Você pode associar um gateway NAT Standard a sub-redes na mesma rede virtual para fornecer conectividade de saída à Internet. Um gateway NAT Standard opera fora de uma única zona de disponibilidade.
StandardV2 SKU
O SKU StandardV2 de Gateway da NAT do Azure fornece todas as mesmas funcionalidades do SKU Standard, como alocação de porta SNAT dinâmica e conectividade de saída segura para sub-redes em uma rede virtual. Além disso, o StandardV2 possui redundância de zona, o que significa que ele fornece conectividade de saída para todas as zonas em uma região ao invés de uma única zona.
Principais funcionalidades do StandardV2
- Redundância de zona: opera em todas as zonas de disponibilidade em uma região para manter a conectividade durante uma única falha de zona.
- Suporte ao IPv6: dá suporte a endereços IP públicos IPv4 e IPv6 e prefixos para conectividade de saída.
- Taxa de transferência mais alta: fornece até 100 Gbps de taxa de transferência de dados por gateway NAT, em comparação com 50 Gbps para gateways NAT Padrão.
- Suporte para logs de fluxo: fornece informações de tráfego baseadas em IP para ajudar a monitorar e analisar os fluxos de tráfego de saída.
Para saber mais sobre como implantar um gateway NAT StandardV2, consulte Criar um gateway NAT StandardV2.
Principais limitações do StandardV2
O SKU StandardV2 requer endereços IP públicos StandardV2 ou prefixos. Não há suporte para IPs públicos padrão com StandardV2.
Você não pode atualizar o SKU Standard para o SKU StandardV2. Você deve criar um gateway NAT StandardV2 para substituir o gateway NAT Padrão em sua sub-rede.
As seguintes regiões não dão suporte a gateways NAT StandardV2:
- Leste do Canadá
- Chile Central
- Indonésia Central
- Noroeste de Israel
- Oeste da Malásia
- Catar Central
- Sul da Suécia
- Centro-oeste dos EUA
- Índia Ocidental
Um gateway NAT StandardV2 não dá suporte e não pode ser anexado a sub-redes delegadas para os seguintes serviços:
- Instância Gerenciada de SQL do Azure
- Instâncias de Contêiner do Azure
- Banco de Dados do Azure para PostgreSQL
- Banco de Dados do Azure para MySQL
- Azure Data Factory (movimentação de dados)
- Microsoft Power Platform
- Azure Stream Analytics
- Aplicativos de Contêiner do Azure
- Recurso de Aplicativos Web do Serviço de Aplicativo do Azure
- Resolvedor Privado de DNS do Azure
Problemas conhecidos do StandardV2
O tráfego de saída IPv6 que usa regras de saída do balanceador de carga é interrompido quando você associa um gateway NAT StandardV2 a uma sub-rede. Se você precisar de conectividade de saída IPv4 e IPv6, use:
- Regras de saída do balanceador de carga para tráfego IPv4 e IPv6
- Um gateway NAT Standard para tráfego IPv4 e regras de saída do balanceador de carga para tráfego IPv6
Anexar um gateway NAT StandardV2 a uma sub-rede vazia criada antes de abril de 2025 sem VMs (máquinas virtuais) pode fazer com que a rede virtual entre em um estado com falha. Para retornar a rede virtual a um estado bem-sucedido, remova o gateway NAT StandardV2, crie e adicione uma VM à sub-rede e, em seguida, reanexe o gateway NAT StandardV2.
As conexões de saída que usam um balanceador de carga, Firewall do Azure ou IPs públicos no nível da instância de VM podem ser interrompidas quando você adiciona um gateway NAT StandardV2 a uma sub-rede. Todas as novas conexões de saída utilizam o gateway NAT StandardV2.
Para obter mais informações sobre problemas conhecidos e limitações da SKU StandardV2 do Gateway da NAT do Azure, consulte Limitações conhecidas.
Gateway da NAT do Azure benefícios
Configuração simples
Implantações com Gateway da NAT do Azure são intencionalmente simples. Anexe um gateway NAT a uma sub-rede e endereço IP público e comece a realizar conexões de saída para a internet imediatamente. Nenhuma configuração de manutenção ou roteamento é necessária. Você pode adicionar mais IPs públicos ou sub-redes posteriormente sem afetar sua configuração existente.
As etapas a seguir mostram um exemplo de como configurar um gateway nat:
Crie um gateway NAT não zonal ou zonal.
Crie um prefixo IP ou endereço IP públicos.
Configure uma sub-rede para usar o gateway NAT.
Se necessário, modifique o tempo limite ocioso do protocolo TCP (opcional). Examine os temporizadores antes de alterar o padrão.
Segurança
Gateway da NAT do Azure é criado no modelo de segurança de rede Confiança Zero. Quando você usa Gateway da NAT do Azure, instâncias privadas em uma sub-rede não precisam de endereços IP públicos para acessar a Internet. Os recursos privados podem alcançar fontes externas fora da rede virtual usando SNAT para endereços IP públicos estáticos ou prefixos em Gateway da NAT do Azure.
Você pode fornecer um conjunto contíguo de IPs para conectividade de saída usando um prefixo IP público. Você pode configurar regras de firewall de destino com base nessa lista de IP previsível.
Resiliência
Gateway da NAT do Azure é um serviço totalmente gerenciado e distribuído. Ele não depende de instâncias de computação individuais, como máquinas virtuais ou um único dispositivo de gateway físico. Um gateway nat sempre tem vários domínios de falha e pode sustentar várias falhas sem interrupções de serviço. A rede definida pelo software torna um gateway NAT altamente resiliente.
Escalabilidade
Um gateway NAT é dimensionado desde a criação. Nenhuma operação de aumento gradual ou de expansão é necessária. Azure gerencia a operação de um gateway nat para você.
Anexe um gateway NAT a uma sub-rede para fornecer conectividade de saída para todos os recursos privados nessa sub-rede. Todas as sub-redes em uma rede virtual podem usar o mesmo recurso de gateway nat. Você pode escalar horizontalmente a conectividade de saída atribuindo até 16 endereços IP públicos a um Gateway NAT. Quando você associa um gateway NAT a um prefixo IP público, ele é dimensionado automaticamente para o número de endereços IP necessários para saída.
Desempenho
Gateway da NAT do Azure é um serviço de rede definido pelo software. Cada gateway NAT pode processar até 50 Gbps de dados para tráfego de saída e retorno.
Um Gateway NAT não afeta a largura de banda de rede dos recursos de computação. Para obter mais informações, consulte Desempenho.
noções básicas Gateway da NAT do Azure
Gateway da NAT do Azure fornece conectividade de saída segura e escalonável para recursos em uma rede virtual.
Conectividade de saída
Gateway da NAT do Azure é o método que recomendamos para conectividade de saída.
Para migrar o acesso de saída para um gateway NAT das regras padrão de saída ou das regras de saída do balanceador de carga, consulte Migrar o acesso de saída para Gateway da NAT do Azure.
Observação
A partir de 31 de março de 2026, novas redes virtuais passam a usar sub-redes privadas como padrão. O acesso de saída padrão não é fornecido por padrão. Use uma forma explícita de conectividade de saída, como Gateway da NAT do Azure.
Gateway da NAT do Azure fornece conectividade de saída em um nível de sub-rede. Ele substitui o destino de Internet padrão de uma sub-rede para fornecer conectividade de saída.
Gateway da NAT do Azure não requer nenhuma configuração de roteamento em uma tabela de rotas de sub-rede. Depois de anexar um gateway NAT a uma sub-rede, ele fornecerá conectividade de saída imediatamente.
Gateway da NAT do Azure permite que fluxos sejam criados da rede virtual para os serviços fora de sua rede virtual. O tráfego de retorno da Internet é permitido apenas em resposta a um fluxo ativo. Os serviços fora da rede virtual não podem iniciar uma conexão de entrada por meio de um gateway nat.
Gateway da NAT do Azure tem precedência sobre outros métodos de conectividade de saída, incluindo um balanceador de carga, endereços IP públicos no nível da instância e Firewall do Azure.
Gateway da NAT do Azure tem prioridade sobre outros métodos de saída explícitos configurados em uma rede virtual para todas as novas conexões. Não há quedas no fluxo de tráfego para conexões existentes que usam outros métodos explícitos de conectividade de saída.
Gateway da NAT do Azure não tem as mesmas limitações de esgotamento da porta SNAT que o acesso de saída padrão e as regras de saída de um balanceador de carga .
Gateway da NAT do Azure dá suporte apenas a protocolos TCP e UDP (User Datagram Protocol). Não há suporte para protocolo ICMP.
Gateway da NAT do Azure dá suporte a instâncias Serviço de Aplicativo do Azure (aplicativos Web, APIs REST e back-ends móveis) por meio da integração de rede virtual.
A sub-rede tem uma rota padrão do sistema que roteia o tráfego com o destino 0.0.0.0/0 para a Internet automaticamente. Depois de configurar um gateway nat para a sub-rede, as máquinas virtuais na sub-rede se comunicam com a Internet usando o IP público do gateway nat.
Ao criar uma UDR (rota definida pelo usuário) na tabela de rotas da sub-rede para tráfego 0.0.0.0/0, você substitui o caminho padrão da Internet para esse tráfego. Uma UDR que envia tráfego 0.0.0.0/0 para um aplicativo virtual ou um gateway de rede virtual (Gateway de VPN do Azure e Azure ExpressRoute) como tipo de próximo salto, em vez disso, substitui a conectividade do gateway NAT com a Internet.
Este é o fluxo:
UDR para o próximo salto em um dispositivo virtual ou gateway de rede virtual >> gateway NAT >> endereço IP público a nível de instância em uma máquina virtual >> regras de saída do balanceador de carga >> rota de sistema padrão para a Internet.
Configurações do gateway de NAT
Várias sub-redes na mesma rede virtual podem usar gateways NAT diferentes ou o mesmo gateway NAT.
Você não pode anexar vários gateways NAT a uma única sub-rede.
Um gateway nat não pode abranger várias redes virtuais. No entanto, você pode usar um gateway NAT para fornecer conectividade de saída em um modelo de hub-and-spoke, onde o hub centraliza a comunicação e as conexões dos spoke são feitas a partir dele. Para obter mais informações, consulte o tutorial Gateway da NAT do Azure hub-and-spoke.
Um recurso de gateway nat padrão pode usar até 16 endereços IP públicos IPv4. Um recurso de gateway NAT StandardV2 pode usar até 16 endereços IP públicos IPv4 e 16 IPv6.
Você não pode implantar um gateway NAT em uma sub-rede de gateway ou em uma sub-rede que contenha instâncias gerenciadas de SQL.
Gateway da NAT do Azure funciona com qualquer interface de rede de VM ou configuração de IP. Um gateway NAT pode usar o SNAT para várias configurações de IP em uma interface de rede.
Você pode associar um gateway NAT a uma sub-rede do Firewall do Azure em uma rede virtual de hub e fornecer conectividade de saída das redes virtuais conectadas ao hub. Para saber mais, confira o article sobre Firewall do Azure integração com Gateway da NAT do Azure.
Zonas de disponibilidade
Você pode criar um gateway NAT Padrão em uma zona de disponibilidade específica ou colocá-lo em Nenhuma zona.
Você pode isolar um gateway NAT Padrão em uma zona específica ao criar um gateway NAT zonal. Depois de implantar o gateway nat, você não poderá alterar a seleção de zona.
Por padrão, um gateway NAT padrão é colocado em sem zona. Azure coloca um gateway NAT não zonal em uma zona para você.
Um gateway NAT StandardV2 possui redundância de zona e opera em todas as zonas de disponibilidade em uma região para manter a conectividade mesmo em caso de falha em uma única zona.
Acesso de saída padrão
Para fornecer conectividade de saída segura à Internet, habilite uma sub-rede privada. Com essa abordagem, você impede a criação de IPs de saída padrão e, em vez disso, usa um método explícito de conectividade de saída, como um gateway NAT.
Determinados serviços não funcionam em uma máquina virtual em uma sub-rede privada sem um método explícito de conectividade de saída, como a ativação do Windows e atualizações do Windows. Ativar ou atualizar sistemas operacionais de VM, como Windows, requer um método explícito de conectividade de saída, como um gateway NAT.
Para migrar o acesso de saída para um gateway NAT das regras de saída padrão ou de saída do balanceador de carga, consulte Agrar o acesso de saída para Gateway da NAT do Azure.
Observação
A partir de 31 de março de 2026, novas redes virtuais padrão passarão a usar sub-redes privadas. O acesso de saída padrão não é mais fornecido por padrão. Você deve habilitar um método de saída explícito para alcançar pontos de extremidade públicos na Internet e dentro de Microsoft. Use uma forma explícita de conectividade de saída, como um gateway NAT.
Gateway da NAT do Azure e recursos básicos
Um gateway NAT Padrão funciona com endereços IP públicos padrão ou prefixos IP públicos. Os gateways NAT StandardV2 funcionam apenas com endereços IP públicos StandardV2 ou prefixos IP públicos.
Você não pode usar Gateway da NAT do Azure com sub-redes que têm recursos básicos. Recursos para o SKU Básico, como um balanceador de carga básico ou IPs públicos básicos, não funcionam com Gateway da NAT do Azure. Você pode atualizar um balanceador de carga Básico e um IP público Básico para Standard para funcionar com um gateway NAT.
Para obter mais informações sobre como atualizar um balanceador de carga do Basic para o Standard, consulte Atualizar um balanceador de carga básico.
Para obter mais informações sobre como atualizar um IP público do Basic para o Standard, consulte Atualizar um endereço IP público.
Para obter mais informações sobre como atualizar um IP público anexado a uma máquina virtual do Basic para o Standard, consulte Atualizar um IP público básico anexado a uma máquina virtual.
Tempo limite de conexão e temporizadores
Gateway da NAT do Azure envia um pacote RST (Redefinição de TCP) para qualquer fluxo de conexão que ele não reconhece como uma conexão existente. O fluxo de conexão não existe mais se o tempo limite de Gateway da NAT do Azure ocioso for atingido ou se a conexão tiver sido fechada anteriormente.
Quando o remetente do tráfego no fluxo de conexão inexistente recebe o pacote TCP RST do Gateway da NAT do Azure, a conexão não é mais usável.
As portas SNAT não estão prontamente disponíveis para reutilização para o mesmo ponto de extremidade de destino após o fechamento de uma conexão. Gateway da NAT do Azure coloca portas SNAT em um estado de cooldown antes que elas possam ser reutilizadas para conexão ao mesmo ponto de extremidade de destino.
As diferentes durações do temporizador de resfriamento para reutilização de portas SNAT variam conforme o tráfego TCP, dependendo de como a conexão é encerrada. Para saber mais, confira temporizadores de reutilização da porta.
O tempo limite ocioso Gateway da NAT do Azure TCP é padrão para 4 minutos, mas pode ser aumentado até 120 minutos. Qualquer atividade em um fluxo pode reiniciar o temporizador de inatividade, incluindo keepalives TCP. Para saber mais, consulte temporizadores de tempo limite de inatividade.
O tráfego UDP tem um tempo limite ocioso de 4 minutos que você não pode alterar.
O tráfego UDP tem um temporizador de reutilização de porta de 65 segundos. Por essa duração, uma porta de rede está em estado de espera antes de poder ser reutilizada para o mesmo ponto de extremidade de destino.
Preço e SLA
Os gateways NAT Standard e StandardV2 têm o mesmo preço. Para obter mais informações, consulte os preços do Gateway nat do Azure.
Para obter informações sobre o SLA (contrato de nível de serviço), consulte os SLAs da Microsoft para serviços online.
Conteúdo relacionado
Para obter mais informações sobre como criar e validar um gateway nat, consulte Quickstart: Criar um gateway NAT usando o portal Azure.
Para exibir um vídeo que fornece mais informações sobre Gateway da NAT do Azure, consulte Como obter melhor conectividade de saída usando Gateway da NAT do Azure.
Para obter mais informações sobre o recurso de gateway da NAT, consulte o recurso de gateway da NAT.