Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure NAT Gateway é um serviço totalmente gerido e altamente resiliente de tradução de endereços de rede (NAT). Use o Azure NAT Gateway para permitir que todas as instâncias numa sub-rede se conectem à internet, mantendo-se totalmente privadas. Um gateway NAT não permite ligações de entrada não solicitadas a partir da internet. Somente os pacotes que chegam como pacotes de resposta a uma conexão de saída podem passar por um gateway NAT.
O Azure NAT Gateway aloca dinamicamente portas NAT seguras (SNAT) para escalar automaticamente a conectividade de saída e minimizar o risco de esgotamento das portas SNAT.
Azure NAT Gateway está disponível em dois SKUs:
O Standard é zonal (implementado numa única zona de disponibilidade) e fornece conectividade escalável de saída para sub-redes numa única rede virtual.
O StandardV2 é redundante por zonas e oferece maior rendimento do que o SKU Standard, suporte a IPv6 e suporte a log de fluxo.
SKU padrão
Pode associar um gateway NAT Standard a sub-redes na mesma rede virtual para fornecer conectividade de saída à internet. Um gateway NAT Standard opera a partir de uma única zona de disponibilidade.
StandardV2 SKU
O SKU StandardV2 do Azure NAT Gateway oferece todas as mesmas funcionalidades do SKU Standard, como alocação dinâmica de portas SNAT e conectividade segura de saída para subredes dentro de uma rede virtual. Além disso, o StandardV2 é redundante por zona, o que significa que fornece conectividade de saída a partir de todas as zonas numa região em vez de uma única zona.
Principais capacidades do StandardV2
- Redundância de zonas: Opera em todas as zonas de disponibilidade de uma região para manter a conectividade durante uma única falha de zona.
- Suporte a IPv6: Suporta endereços IP públicos IPv4 e IPv6 e prefixos para conectividade de saída.
- Maior rendimento: Fornece até 100 Gbps de largura de banda por gateway NAT, comparado com 50 Gbps para gateway NAT Padrão.
- Suporte a registo de fluxo: Fornece informação de tráfego baseada em IP para ajudar a monitorizar e analisar os fluxos de tráfego de saída.
Para saber mais sobre como implementar um gateway NAT StandardV2, consulte Criar um gateway NAT StandardV2.
Principais limitações do StandardV2
O SKU StandardV2 requer endereços IP públicos ou prefixos StandardV2. IPs públicos padrão não são suportados com o StandardV2.
Não podes atualizar o SKU Standard para o SKU StandardV2. Deve criar um gateway NAT StandardV2 para substituir o gateway NAT Standard na sua sub-rede.
As seguintes regiões não suportam gateways NAT StandardV2:
- Leste do Canadá
- Chile Central
- Indonésia Central
- Israel Noroeste
- Oeste da Malásia
- Catar Central
- Sul da Suécia
- E.U.A. Centro-Oeste
- Índia Ocidental
Um gateway NAT StandardV2 não suporta e não pode ser ligado a sub-redes delegadas para os seguintes serviços:
- Azure SQL Managed Instance
- Azure Container Instances
- Base de Dados do Azure para PostgreSQL
- Base de Dados do Azure para MySQL
- Azure Data Factory (movimentação de dados)
- Microsoft Power Platform
- Azure Stream Analytics
- Azure Container Apps
- Funcionalidade de Aplicações Web no Serviço de Aplicações Azure
- DNS do Azure Private Resolver
Problemas conhecidos do StandardV2
O tráfego de saída IPv6 que utiliza regras de saída do balanceador de carga é interrompido quando se associa um gateway NAT StandardV2 a uma sub-rede. Se precisar tanto de conectividade de saída IPv4 como IPv6, use um:
- Regras de saída do balanceador de carga para tráfego IPv4 e IPv6
- Um gateway NAT padrão para tráfego IPv4 e regras de saída do balanceador de carga para tráfego IPv6
Ligar um gateway NAT StandardV2 a uma sub-rede vazia criada antes de abril de 2025 sem quaisquer máquinas virtuais (VMs) pode causar que a rede virtual entre num estado de falha. Para devolver a rede virtual a um estado bem-sucedido, remova o gateway NAT StandardV2, crie e adicione uma VM à sub-rede, e depois volte a ligar o gateway NAT StandardV2.
As ligações de saída que usam um balanceador de carga, Azure Firewall ou IPs públicos ao nível de instância de VM podem ser interrompidas quando adicionas um gateway NAT StandardV2 a uma subrede. Todas as novas ligações de saída usam o gateway NAT StandardV2.
Para mais informações sobre problemas conhecidos e limitações do SKU StandardV2 de Azure NAT Gateway, veja Limitações conhecidas.
Benefícios do Azure NAT Gateway
Configuração simples
Implementações com Azure NAT Gateway são intencionalmente simples. Anexa um gateway NAT a uma sub-rede e a um endereço IP público, e começa a conectar-se à internet imediatamente. Não são necessárias configurações de encaminhamento nem manutenção. Podes adicionar mais IPs ou sub-redes públicas mais tarde sem afetar a tua configuração atual.
Os passos seguintes mostram um exemplo de como configurar um gateway NAT:
Crie um gateway NAT não zonal ou zonal.
Atribua um endereço IP público ou prefixo IP público.
Configure uma sub-rede para usar o gateway NAT.
Se necessário, modifique o tempo limite de inatividade do protocolo TCP (Transmission Control Protocol) (opcional). Revise os temporizadores antes de alterar o padrão.
Segurança
O Azure NAT Gateway é construído sobre o modelo de segurança de rede Confiança Zero. Quando usa o Azure NAT Gateway, as instâncias privadas dentro de uma sub-rede não precisam de endereços IP públicos para aceder à internet. Recursos privados podem aceder a fontes externas fora da rede virtual usando SNAT para endereços IP públicos estáticos ou prefixos no Azure NAT Gateway.
Você pode fornecer um conjunto contíguo de IPs para conectividade de saída usando um prefixo IP público. Pode configurar regras de firewall de destino com base nesta lista de IPs previsível.
Resiliência
Azure NAT Gateway é um serviço totalmente gerido e distribuído. Ele não depende de instâncias de computação individuais, como máquinas virtuais ou um único dispositivo de gateway físico. Um gateway NAT tem sempre múltiplos domínios de falha e pode suportar múltiplas falhas sem interrupções de serviço. A rede definida por software torna um gateway NAT altamente resiliente.
Escalabilidade
Um gateway NAT é dimensionado automaticamente desde a sua criação. Não é necessário qualquer aumento gradual ou operação de expansão. O Azure gere a operação de um gateway NAT por si.
Liga um gateway NAT a uma sub-rede para fornecer conectividade de saída a todos os recursos privados dessa sub-rede. Todas as sub-redes numa rede virtual podem usar o mesmo recurso de gateway NAT. Pode escalar a conectividade de saída atribuindo até 16 endereços IP públicos a um gateway NAT. Quando associa um gateway NAT a um prefixo IP público, ele escala automaticamente para o número de endereços IP necessários para saída.
Desempenho
Azure NAT Gateway é um serviço de rede definido por software. Cada gateway NAT pode processar até 50 Gbps de dados tanto para tráfego de saída como de retorno.
Um gateway NAT não afeta a largura de banda da rede dos seus recursos de computação. Para obter mais informações, consulte Desempenho.
Conceitos básicos do Azure NAT Gateway
O Azure NAT Gateway fornece conectividade de saída segura e escalável para recursos numa rede virtual.
Conectividade de saída
Azure NAT Gateway é o método que recomendamos para conectividade de saída.
Para migrar o acesso de saída para um gateway NAT a partir do acesso padrão de saída ou das regras de saída do balanceador de carga, veja Migrar acesso de saída para Azure NAT Gateway.
Nota
A partir de 31 de março de 2026, as novas redes virtuais passarão a usar, por predefinição, sub-redes privadas. O acesso de saída predefinido não é fornecido automaticamente. Use uma forma explícita de conectividade de saída, como o Azure NAT Gateway.
O Azure NAT Gateway fornece conectividade de saída ao nível da subrede. Substitui o destino de internet predefinido de uma sub-rede para fornecer conectividade de saída.
O Azure NAT Gateway não requer quaisquer configurações de encaminhamento numa tabela de roteamento de sub-rede. Depois de ligar um gateway NAT a uma subrede, ele fornece conectividade de saída imediatamente.
O Azure NAT Gateway permite criar fluxos da rede virtual para os serviços fora da sua rede virtual. O tráfego de retorno da internet só é permitido em resposta a um fluxo ativo. Serviços fora da tua rede virtual não conseguem iniciar uma ligação de entrada através de um gateway NAT.
O Azure NAT Gateway tem precedência sobre outros métodos de conectividade de saída, incluindo um balanceador de carga, endereços IP públicos ao nível de instância e Azure Firewall.
O Azure NAT Gateway tem prioridade sobre outros métodos explícitos de saída configurados numa rede virtual para todas as novas ligações. Não há quebras no fluxo de tráfego para ligações existentes que utilizam outros métodos explícitos de conectividade de saída.
Azure NAT Gateway não tem as mesmas limitações de exaustão de portas SNAT que acesso de saída padrão e as regras de saída do balanceador de carga.
O Azure NAT Gateway suporta apenas protocolos TCP e User Datagram Protocol (UDP). O ICMP (Internet Control Message Protocol) não é suportado.
Azure NAT Gateway suporta instâncias Serviço de Aplicações do Azure (aplicações web, APIs REST e back-ends móveis) através de integração de rede virtual.
A sub-rede tem uma rota padrão do sistema que roteia o tráfego com destino 0.0.0.0/0 para a Internet automaticamente. Depois de configurar um gateway NAT para a subrede, as máquinas virtuais na sub-rede comunicam com a internet usando o IP público do gateway NAT.
Quando cria uma rota definida pelo utilizador (UDR) na tabela de rotas da sub-rede para o tráfego com destino 0.0.0.0/0, substitui o caminho predefinido da internet para esse tráfego. Um UDR que envia tráfego 0.0.0.0/0 para um appliance virtual ou um gateway de rede virtual (Gateway de VPN do Azure e Azure ExpressRoute) como tipo de próximo salto, substitui a conectividade do gateway NAT para a internet.
Aqui está o fluxo:
UDR para o próximo salto para o appliance virtual ou gateway NAT de rede virtual >> endereço IP público ao nível da instância numa máquina virtual >> regras de saída do balanceador de carga >> rota padrão do sistema para a internet >>.
Configurações de gateway NAT
Múltiplas sub-redes dentro da mesma rede virtual podem usar diferentes gateways NAT ou o mesmo gateway NAT.
Não podes ligar múltiplos gateways NAT a uma única subrede.
Um gateway NAT não pode abranger várias redes virtuais. No entanto, pode usar um gateway NAT para fornecer conectividade de saída num modelo hub-and-spoke. Para informações adicionais, veja o tutorial Azure NAT Gateway hub-and-spoke.
Um recurso de gateway NAT Standard pode usar até 16 endereços IP públicos IPv4. Um recurso de gateway NAT StandardV2 pode usar até 16 endereços IP públicos IPv4 e 16 IPv6.
Não se pode implementar um gateway NAT numa sub-rede de gateway ou numa sub-rede que contenha instâncias geridas em SQL.
O Azure NAT Gateway funciona com qualquer interface de rede de VM ou configuração de IP. Um gateway NAT pode utilizar SNAT para configurações de múltiplos IPs numa interface de rede.
Pode associar um gateway NAT a uma sub-rede do Azure Firewall numa rede virtual do tipo hub e fornecer conectividade de saída a partir de redes virtuais do tipo spoke associadas ao hub. Para saber mais, consulte o artigo sobre integração Azure Firewall com Azure NAT Gateway.
Zonas de disponibilidade
Pode criar um gateway NAT Standard numa zona de disponibilidade específica ou colocá-lo na zona Não.
Podes isolar um gateway NAT Standard numa zona específica quando crias um gateway NAT zonal. Depois de implantares o gateway NAT, não podes alterar a seleção de zonas.
Por defeito, um gateway NAT Standard é colocado na zona Não. Azure coloca um gateway NAT não zonal numa zona para ti.
Um gateway NAT StandardV2 é redundante por zona e opera em todas as zonas de disponibilidade de uma região para manter a conectividade durante uma única falha de zona.
Acesso de saída padrão
Para fornecer conectividade de saída segura à internet, ative uma sub-rede privada. Com esta abordagem, impede-se a criação de IPs de saída predefinidos e, em vez disso, utiliza-se um método explícito de conectividade externa, como um gateway NAT.
Certos serviços não funcionam numa máquina virtual numa sub-rede privada sem um método explícito de conectividade de saída, como o Windows Activation e o Windows Updates. Ativar ou atualizar sistemas operativos de VM, como o Windows, requer um método explícito de conectividade de saída, como um gateway NAT.
Para migrar o acesso de saída para um gateway NAT a partir do acesso padrão de saída ou das regras de saída do balanceador de carga, veja Migrar acesso de saída para Azure NAT Gateway.
Nota
A partir de 31 de março de 2026, as novas redes virtuais passarão a usar, por predefinição, sub-redes privadas. O acesso de saída por defeito já não é fornecido automaticamente. Deve ativar um mecanismo explícito de saída para alcançar endpoints públicos na internet e no ambiente da Microsoft. Use uma forma explícita de conectividade de saída, como um gateway NAT.
Azure Gateway NAT e recursos básicos
Um gateway NAT Standard funciona com endereços IP públicos padrão ou prefixos IP públicos. Um gateway NAT StandardV2 funciona apenas com endereços IP públicos StandardV2 ou prefixos IP públicos.
Não podes usar o Azure NAT Gateway com sub-redes que tenham recursos básicos. Recursos para o SKU Básico, como um balanceador de carga Básico ou IPs públicos Básicos, não são compatíveis com o Azure NAT Gateway. Podes atualizar um balanceador de carga básico e um IP público básico para Standard para funcionar com um gateway NAT.
Para mais informações sobre a atualização de um balanceador de carga de Basic para Standard, veja Atualizar um balanceador de carga Basic.
Para mais informações sobre a atualização de um IP público de Basic para Standard, consulte Atualizar um endereço IP público.
Para mais informações sobre a atualização de um IP público ligado a uma máquina virtual de Basic para Standard, veja Atualizar um IP público Basic ligado a uma máquina virtual.
Tempos limite de conexão e temporizadores
O Azure NAT Gateway envia um pacote TCP Reset (RST) para qualquer fluxo de ligação que não reconheça como uma ligação existente. O fluxo de ligação deixa de existir se o timeout do Azure NAT Gateway for atingido ou se a ligação foi encerrada anteriormente.
Quando o remetente do tráfego no fluxo de ligação inexistente recebe o pacote Azure NAT Gateway TCP RST, a ligação deixa de ser utilizável.
As portas SNAT não estão prontamente disponíveis para reutilização no mesmo ponto de extremidade de destino após o fechamento de uma conexão. O Azure NAT Gateway coloca as portas SNAT num estado de recarga antes de poderem ser reutilizadas para se ligar ao mesmo endpoint de destino.
A duração dos temporizadores de reutilização (cooldown) das portas SNAT varia para o tráfego TCP, dependendo de como a ligação termina. Para saber mais, veja Temporizadores de reutilização de portos.
O tempo de espera inativo do Azure NAT Gateway TCP tem um valor padrão de 4 minutos, mas pode ser aumentado até 120 minutos. Qualquer atividade num fluxo pode reiniciar o temporizador de repouso, incluindo o TCP keepalives. Para saber mais, consulte os temporizadores de tempo limite de inatividade.
O tráfego UDP tem um temporizador de espera de 4 minutos que não podes alterar.
O tráfego UDP tem um temporizador de reutilização de portas de 65 segundos. Durante este período, uma porta está em estado de espera antes de estar disponível para reutilização para o mesmo ponto final de destino.
Preços e SLA
Gateways NAT Standard e StandardV2 têm o mesmo preço. Para mais informações, consulte preços do Azure NAT Gateway.
Para informações sobre o acordo de nível de serviço (SLA), consulte as SLAs da Microsoft para serviços online.
Conteúdo relacionado
Para mais informações sobre como criar e validar um gateway NAT, consulte Quickstart: Crie um gateway NAT usando o portal Azure.
Para ver um vídeo que forneça mais informações sobre Azure NAT Gateway, consulte Como obter melhor conectividade de saída usando Azure NAT Gateway.
Para mais informações sobre o recurso gateway NAT, consulte recurso gateway NAT.