Azure NAT 网关是一种完全托管且高度可复原的网络地址转换 (NAT) 服务。 使用 Azure NAT Gateway 可使子网中的所有实例向外连接到 Internet,同时保持完全私有。 NAT 网关不允许来自 Internet 的未经请求的入站连接。 只有作为响应数据包到达出站连接的数据包才能通过 NAT 网关。
NAT 网关动态分配 SNAT 端口以自动缩放出站连接,并最大程度地降低 SNAT 端口耗尽的风险。
可以将 NAT 网关关联到同一虚拟网络中的子网,以便提供与 Internet 的出站连接。 NAT 网关在单个可用性区域中运行。
*图:单个可用性区域中的 NAT 网关。
Azure NAT 网关的优势
安装简单
使用 NAT 网关的部署是有意简单的。 将 NAT 网关附加到子网和公共 IP 地址上,并立即开始向 Internet 发起出站连接。 无需任何维护和路由配置。 以后可以添加更多公共 IP 或子网,而不会影响现有配置。
以下步骤演示了如何设置 NAT 网关的示例:
创建非区域或区域 NAT 网关。
创建 NAT 网关。
分配公共 IP 地址或公共 IP 前缀。
将子网配置为使用 NAT 网关。
如有必要,请修改传输控制协议(TCP)空闲超时时间(可选)。 在更改默认值之前,请查看计时器。
安全性
NAT 网关基于零信任网络安全模型构建,默认情况下是安全的。 通过使用 NAT 网关,子网中的专用实例不需要公共 IP 地址即可访问 Internet。 专用资源可以通过源网络地址转换 (SNAT) 成为 NAT 网关的静态公共 IP 地址或前缀,从而访问虚拟网络之外的外部资源。 可以使用公共 IP 前缀为出站连接提供一组连续的 IP。 可以根据此可预测 IP 列表配置目标防火墙规则。
Resiliency
Azure NAT 网关是一种完全托管的分布式服务。 它不依赖于单个计算实例,例如虚拟机或单个物理网关设备。 NAT 网关始终具有多个容错域,可以在不中断服务的情况下持续多次故障。 软件定义的网络使 NAT 网关具有高度弹性。
Scalability
NAT 网关在创建时即开始横向扩展。 无需增加或横向扩展操作。 Azure 为你管理 NAT 网关的运行。
将 NAT 网关附加到子网,为该子网中的所有专用资源提供出站连接。 虚拟网络中的所有子网都可以使用相同的 NAT 网关资源。 可以通过向 NAT 网关分配最多 16 个公共 IP 地址来横向扩展出站连接。 将 NAT 网关关联到公共 IP 前缀时,它会自动扩展到出站所需的 IP 地址数。
Performance
Azure NAT 网关是软件定义的网络服务。 每个 NAT 网关可以处理出站和返回数据流量,总计最高达 50 Gbps。
NAT 网关不会影响计算资源的网络带宽。 有关详细信息,请参阅 NAT 网关的性能。
Azure NAT 网关基本信息
Azure NAT 网关为虚拟网络中的资源提供安全、可缩放的出站连接。 这是用于对 Internet 进行出站访问的推荐方法。
外部连接性
NAT 网关是出站连接的建议方法。
- 若要从默认出站访问或负载均衡器出站规则迁移对 NAT 网关的出站访问,请参阅 “将出站访问迁移到 Azure NAT 网关”。
Note
2026 年 3 月 31 日,新虚拟网络默认使用专用子网,因此默认不提供 默认出站访问 。 请改用显式形式的出站连接,例如 NAT 网关。
NAT 网关在子网级别提供出站连接。 NAT 网关替换子网的默认 Internet 目标以提供出站连接。
NAT 网关不需要子网路由表上的任何路由配置。 将 NAT 网关附加到子网后,它会立即提供出站连接。
NAT 网关允许从虚拟网络创建流到虚拟网络外部的服务。 仅当存在活动网络连接时,才允许来自 Internet 的返回流量。 虚拟网络外部的服务无法通过 NAT 网关启动入站连接。
NAT 网关优先于其他出站连接方法,包括负载均衡器、实例级公共 IP 地址和 Azure 防火墙。
NAT 网关优先于虚拟网络中为所有新连接配置的其他显式出站方法。 使用其他显式出站连接方法的现有连接,流量不会下降。
NAT 网关仅支持 TCP 和用户数据报协议 (UDP) 协议。 不支持 Internet 控制消息协议 (ICMP)。
- 通过虚拟网络集成的 Azure 应用服务实例(Web 应用程序、REST API 和移动后端)。
子网具有系统默认路由,它将目标为 0.0.0.0/0 的流量自动路由到 Internet。 将 NAT 网关配置为子网后,子网中的虚拟机将使用 NAT 网关的公共 IP 与 Internet 通信。
在子网路由表中为 0.0.0.0/0 流量创建自定义路由(UDR)时,您将覆盖此流量的默认 internet 路径。 将 0.0.0.0/0 流量发送到虚拟设备或虚拟网络网关(VPN 网关和 ExpressRoute)的 UDR,作为下一跃点类型,反而会从而替代 NAT 网关与 Internet 的连接。
NAT 网关的工作原理
无路由表配置 - NAT 网关在子网级别工作。 添加时,NAT 网关提供出站连接,而无需在子网路由表上配置路由。
- UDR 到下一跳虚拟设备或虚拟网络网关>> NAT 网关>> 虚拟机上的实例级公共 IP 地址>> 负载均衡器出站规则>> 默认系统路由到互联网。
NAT 网关配置
同一虚拟网络中的多个子网可以使用不同的 NAT 网关或相同的 NAT 网关。
无法将多个 NAT 网关附加到单个子网。
NAT 网关不能跨越多个虚拟网络。 但是,可以使用 NAT 网关在中心和辐射模型中提供出站连接。 有关详细信息,请参阅 NAT 网关中心和分支教程。
标准 SKU NAT 网关资源最多可以使用 16 个 IPv4 公共 IP 地址。
NAT 网关适用于任何虚拟机网络接口或 IP 配置。 NAT 网关可以在网络接口上 SNAT 多个 IP 配置。
可以将 NAT 网关关联到中心虚拟网络中的 Azure 防火墙子网,并为与中心对等连接的辐射虚拟网络提供出站连接。 若要了解详细信息,请参阅 Azure 防火墙与 NAT 网关的集成。
可用性区域
可以在特定的可用区中创建 SKU NAT 网关,或将其置于 无区域。
创建 区域 NAT 网关时,可以在特定区域中隔离 NAT 网关。 部署 NAT 网关后,无法更改区域选择。
默认情况下,标准 NAT 网关未放置在 任何区域中。 Azure 会将非区域性 NAT 网关置于一个某个区域中。
默认出站访问
若要提供与 Internet 的安全出站连接, 请启用专用子网 以防止创建默认出站 IP,而是使用出站连接的显式方法,例如 NAT 网关。
某些服务在没有显式出站连接方法(例如 Windows 激活和 Windows 更新)的情况下,在专用子网中的虚拟机上不起作用。 若要激活或更新虚拟机作系统(如 Windows),需要显式的出站连接方法,例如 NAT 网关。
若要从默认出站访问或负载均衡器出站规则迁移对 NAT 网关的出站访问,请参阅 “将出站访问迁移到 Azure NAT 网关”。
Note
2026 年 3 月 31 日,新的虚拟网络默认使用专用子网,这意味着默认情况下不再提供 default 出站访问,并且必须启用显式出站方法才能访问 Internet 和 Microsoft 中的公共终结点。 请改用显式形式的出站连接,例如 NAT 网关。
NAT 网关和基本资源
NAT 网关适用于标准公共 IP 地址或公共 IP 前缀。
不能将 NAT 网关用于具有基本资源的子网。 基本 SKU 资源(例如基本负载均衡器或基本公共 IP)不适用于 NAT 网关。 可以将基本负载均衡器和基本公共 IP 升级到标准,以配合 NAT 网关使用。
有关将负载均衡器从基本升级到标准的详细信息,请参阅 升级公共基本 Azure 负载均衡器。
有关如何将公共 IP 从基本 IP 升级到标准的详细信息,请参阅升级公共 IP 地址。
连接超时和定时器
NAT 网关为它无法识别为现有连接的任何连接流发送 TCP 重置(RST)数据包。 如果 NAT 网关达到空闲超时或连接提前关闭,则连接流将不再存在。
当未存在的连接流上的流量发送方接收 NAT 网关 TCP RST 数据包时,连接不再可用。
连接关闭后,SNAT 端口将无法随时重新用于同一目标终结点。 NAT 网关将 SNAT 端口置于冷却状态,然后才能重复使用它们以连接到同一目标终结点。
SNAT端口重用(冷却)计时器的时长根据连接关闭的方式而有所不同。 若要了解详细信息,请参阅端口重用计时器。
NAT Gateawy TCP 空闲超时计时器默认为 4 分钟,但最多可以增加到 120 分钟。 流上的任何活动都可以重置空闲计时器,包括 TCP keepalives。 若要了解详细信息,请参阅空闲超时计时器。
UDP 流量的空闲超时计时器固定为 4 分钟,无法更改。
UDP 流量有一个 65 秒的端口重用计时器,端口需要被抑制该时长后,才可再次用于同一目标终结点。
Pricing
有关 Azure NAT 网关定价,请参阅《NAT 网关定价》。
后续步骤
有关创建和验证 NAT 网关的详细信息,请参阅 快速入门:使用 Azure 门户创建 NAT 网关。
有关 NAT 网关资源的详细信息,请参阅 NAT 网关资源。