Azure NAT 게이트웨이란?

Azure NAT 게이트웨이 완전히 관리되고 복원력이 뛰어난 NAT(네트워크 주소 변환) 서비스입니다. Azure NAT 게이트웨이 사용하여 서브넷의 모든 인스턴스가 완전히 비공개로 유지되는 동안 인터넷에 아웃바운드로 연결할 수 있습니다. NAT 게이트웨이는 인터넷에서 원치 않는 인바운드 연결을 허용하지 않습니다. 아웃바운드 연결에 대한 응답 패킷으로 도착하는 패킷만 NAT Gateway를 통과할 수 있습니다.

NAT 게이트웨이는 SNAT 포트를 동적으로 할당하여 자동으로 아웃바운드 연결을 확장하고 SNAT 포트 소모 위험을 최소화합니다.

Azure NAT 게이트웨이 두 SKU에서 사용할 수 있습니다.

• 표준 SKU NAT 게이트웨이는 영역(단일 가용성 영역에 배포됨)이며 단일 가상 네트워크의 서브넷에 확장 가능한 아웃바운드 연결을 제공합니다.

• StandardV2 SKU NAT 게이트웨이는 표준 SKU, IPv6 지원 및 흐름 로그 지원보다 처리량이 높은 영역 중복 입니다.

StandardV2 NAT 게이트웨이

StandardV2 NAT Gateway는 동적 SNAT 포트 할당 및 가상 네트워크 내의 서브넷에 대한 보안 아웃바운드 연결과 같은 표준 SKU NAT 게이트웨이의 모든 동일한 기능을 제공합니다. 또한 StandardV2 NAT 게이트웨이는 영역 중복이므로 표준 NAT 게이트웨이와 같은 단일 영역이 아닌 지역의 모든 영역에서 아웃바운드 연결을 제공합니다.

그림: StandardV2 NAT 게이트웨이는 한 지역의 여러 가용성 영역에 걸쳐 있습니다.

StandardV2 NAT 게이트웨이의 주요 기능

• 영역 중복 - 단일 영역 실패 시 연결을 유지하기 위해 지역의 모든 가용성 영역에서 작동합니다.
• IPv6 지원 - 아웃바운드 연결을 위한 IPv4 및 IPv6 공용 IP 주소와 접두사를 모두 지원합니다.
• 더 높은 처리량 - 각 StandardV2 NAT 게이트웨이는 표준 NAT 게이트웨이의 경우 50Gbps에 비해 최대 100Gbps의 데이터 처리량을 제공할 수 있습니다.
• 흐름 로그 지원 - 아웃바운드 트래픽 흐름을 모니터링하고 분석하는 데 도움이 되는 IP 기반 트래픽 정보를 제공합니다.

StandardV2 NAT 게이트웨이를 배포하는 방법에 대한 자세한 내용은 StandardV2 NAT 게이트웨이 만들기를 참조하세요.

StandardV2 NAT 게이트웨이의 주요 제한 사항

• StandardV2 SKU 공용 IP 주소 또는 접두사가 필요합니다. 표준 SKU 공용 IP는 StandardV2 NAT 게이트웨이에서 지원되지 않습니다.
• 표준 SKU NAT 게이트웨이는 StandardV2 NAT 게이트웨이로 업그레이드할 수 없습니다. 먼저 StandardV2 SKU NAT 게이트웨이를 만들고 서브넷에서 표준 SKU NAT 게이트웨이를 대체해야 합니다.
• Terraform은 아직 StandardV2 NAT 게이트웨이에 대한 IPv6 StandardV2 공용 IP의 첨부 파일을 지원하지 않습니다. IPv4 StandardV2 공용 IP는 terraform을 사용하여 StandardV2 NAT 게이트웨이에 연결할 수 있습니다. 다른 클라이언트는 영향을 받지 않습니다.
• 다음 지역은 StandardV2 NAT 게이트웨이를 지원하지 않습니다.
  • Canada East
  • 칠레 중부
  • 인도네시아 중부
  • 이스라엘 북서부
  • 말레이시아 서부
  • Qatar Central
  • 스웨덴 남부
  • 미국 중서부
  • West India
• StandardV2 NAT 게이트웨이는 다음 서비스에 대해 위임된 서브넷을 지원하지 않으며 연결할 수 없습니다.
  • Azure SQL Managed Instance
  • Azure Container Instances
  • Azure Database for PostgreSQL - 유연한 서버
  • Azure Database for MySQL - 유연한 서버
  • Azure Database for MySQL (MySQL용 Azure 데이터베이스)
  • Azure Data Factory - 데이터 이동
  • Microsoft Power Platform 서비스
  • Azure Stream Analytics
  • Azure Web Apps
  • Azure Container Apps
  • Azure DNS Private Resolver

StandardV2 NAT 게이트웨이의 알려진 문제

• StandardV2 NAT 게이트웨이를 서브넷에 연결하면 부하 분산 장치 아웃바운드 규칙을 사용하는 IPv6 아웃바운드 트래픽이 중단됩니다. IPv4 및 IPv6 아웃바운드 연결이 모두 필요한 경우 IPv4 및 IPv6 트래픽 모두에 대해 부하 분산 장치 아웃바운드 규칙을 사용하거나 IPv4 트래픽에 표준 NAT 게이트웨이 및 IPv6 트래픽에 대한 부하 분산 장치 아웃바운드 규칙을 사용합니다.

• 가상 머신 없이 2025년 4월 이전에 만든 빈 서브넷에 StandardV2 NAT 게이트웨이를 연결하면 가상 네트워크가 실패 상태로 전환될 수 있습니다. 가상 네트워크를 성공적인 상태로 되돌리려면 StandardV2 NAT 게이트웨이를 제거하고 서브넷에 가상 머신을 만들고 추가한 다음 StandardV2 NAT 게이트웨이를 다시 연결합니다.

• 서브넷에 StandardV2 NAT 게이트웨이를 추가할 때 부하 분산 장치, Azure Firewall 또는 가상 머신 인스턴스 수준 공용 IP를 사용하는 아웃바운드 연결이 중단될 수 있습니다. 새로 생성되는 모든 아웃바운드 연결은 StandardV2 NAT 게이트웨이를 사용합니다.

StandardV2 NAT 게이트웨이의 알려진 문제 및 제한 사항에 대한 자세한 내용은 StandardV2 NAT Gateway 알려진 문제 및 제한 사항을 참조하세요.

표준 NAT 게이트웨이

인터넷에 아웃바운드 연결을 제공하기 위해 표준 NAT 게이트웨이를 동일한 가상 네트워크 내의 서브넷에 연결할 수 있습니다. 표준 NAT 게이트웨이는 단일 가용성 영역에서 작동합니다.

*그림: 단일 가용성 영역의 표준 NAT 게이트웨이입니다.

Azure NAT 게이트웨이 혜택

간단한 설정

NAT 게이트웨이를 사용한 배포는 의도적으로 간단합니다. 서브넷 및 공용 IP 주소에 NAT 게이트웨이를 연결하고 바로 인터넷에 아웃바운드 연결을 시작합니다. 유지 관리와 라우팅 구성이 전혀 필요하지 않습니다. 나중에 기존 구성에 영향을 주지 않고 공용 IP 또는 서브넷을 더 추가할 수 있습니다.

다음 단계에서는 NAT 게이트웨이를 설정하는 방법의 예를 보여 줍니다.

• 비영역 또는 영역 NAT Gateway를 만듭니다.

• NAT 게이트웨이 만들기

• 공용 IP 주소 또는 공용 IP 접두사를 할당합니다.

• NAT 게이트웨이를 사용하도록 서브넷을 구성합니다.

필요한 경우 TCP(Transmission Control Protocol) 유휴 시간 제한을 수정합니다(선택 사항). 기본값을 변경하기 전에 타이머를 검토합니다.

보안

NAT 게이트웨이는 제로 트러스트 네트워크 보안 모델을 기반으로 하며 기본적으로 안전합니다. NAT 게이트웨이를 사용하면 서브넷 내의 프라이빗 인스턴스가 인터넷에 연결하기 위해 공용 IP 주소가 필요하지 않습니다. 프라이빗 리소스는 NAT Gateway의 고정 공용 IP 주소 또는 접두사로의 SNAT(원본 네트워크 주소 변환)를 통해 가상 네트워크 외부의 외부 원본에 연결할 수 있습니다. 공용 IP 접두사를 사용하여 아웃바운드 연결에 대한 연속 IP 집합을 제공할 수 있습니다. 이 예측 가능한 IP 목록에 따라 대상 방화벽 규칙을 구성할 수 있습니다.

복원력

Azure NAT 게이트웨이 완전히 관리되고 분산된 서비스입니다. 가상 머신 또는 단일 물리적 게이트웨이 디바이스와 같은 개별 컴퓨팅 인스턴스에 의존하지 않습니다. NAT Gateway는 항상 여러 장애 도메인을 포함하고 있으므로 여러 오류를 서비스 중단 없이 유지할 수 있습니다. 소프트웨어 정의 네트워킹은 NAT Gateway의 복원력을 높입니다.

확장성

NAT Gateway는 생성 시 스케일 아웃됩니다. 램프 업 또는 스케일 아웃 작업이 필요하지 않습니다. Azure가 고객을 위해 NAT 게이트웨이의 운영을 관리합니다.

서브넷에 NAT Gateway를 연결하면 해당 서브넷의 모든 프라이빗 리소스에 아웃바운드 연결을 제공할 수 있습니다. 가상 네트워크의 모든 서브넷은 동일한 NAT Gateway 리소스를 사용할 수 있습니다. NAT 게이트웨이에 최대 16개의 공용 IP 주소를 할당하여 아웃바운드 연결을 확장할 수 있습니다. NAT 게이트웨이를 공용 IP 접두사에 연결하면 아웃바운드에 필요한 IP 주소 수로 자동으로 확장됩니다.

성능

Azure NAT 게이트웨이 소프트웨어 정의 네트워킹 서비스입니다. 각 NAT Gateway는 아웃바운드 및 반환 트래픽 모두에 대해 최대 50Gbps의 데이터를 처리할 수 있습니다.

NAT Gateway는 컴퓨팅 리소스의 네트워크 대역폭에 영향을 주지 않습니다. 자세한 내용은 NAT 게이트웨이의 성능을 참조하세요.

Azure NAT 게이트웨이 기본 사항

Azure NAT 게이트웨이 가상 네트워크의 리소스에 대해 안전하고 확장 가능한 아웃바운드 연결을 제공합니다. 인터넷에 대한 아웃바운드 액세스에 권장되는 방법입니다.

아웃바운드 연결

• NAT Gateway는 아웃바운드 연결에 권장되는 방법입니다.

  • 기본 아웃바운드 액세스 또는 Load Balancer 아웃바운드 규칙에서 NAT 게이트웨이에 대한 아웃바운드 액세스를 마이그레이션하려면 Azure NAT 게이트웨이 아웃바운드 액세스 마이그레이션을 참조하세요.

• NAT Gateway는 서브넷 수준에서 아웃바운드 연결을 제공합니다. NAT Gateway는 아웃바운드 연결을 제공하기 위해 서브넷의 기본 인터넷 대상을 대체합니다.

• NAT Gateway는 서브넷 경로 테이블에 라우팅 구성이 필요하지 않습니다. NAT 게이트웨이를 서브넷에 연결한 후 즉시 아웃바운드 연결을 제공합니다.

• NAT Gateway를 사용하면 가상 네트워크에서 가상 네트워크 외부의 서비스로 흐름을 만들 수 있습니다. 인터넷에서 반환하는 트래픽은 활성 흐름에 대한 응답으로만 허용됩니다. 가상 네트워크 외부의 서비스는 NAT 게이트웨이를 통해 인바운드 연결을 시작할 수 없습니다.

• NAT 게이트웨이는 Load Balancer, 인스턴스 수준 공용 IP 주소 및 Azure Firewall 포함하여 다른 아웃바운드 연결 방법보다 우선합니다.

• NAT Gateway는 모든 새 연결에 대해 가상 네트워크에 구성된 다른 명시적 아웃바운드 메서드보다 우선합니다. 아웃바운드 연결의 다른 명시적 메서드를 사용하여 기존 연결에 대한 트래픽 흐름이 감소하지 않습니다.

• NAT 게이트웨이는 기본 아웃바운드 액세스 및 부하 분산 장치의 아웃바운드 규칙과 같은 SNAT 포트 소진 문제의 제한이 없습니다.

• NAT Gateway는 TCP 및 UDP(사용자 데이터그램 프로토콜) 프로토콜만 지원합니다. ICMP(Internet Control Message Protocol)는 지원되지 않습니다.

  • Azure 앱 서비스 인스턴스 (웹 애플리케이션, REST API 및 모바일 백 엔드)에서 가상 네트워크 통합.

• 서브넷에는 대상 0.0.0.0/0이 있는 트래픽을 인터넷에 자동으로 라우팅하는 시스템 기본 경로가 있습니다. 서브넷에 NAT 게이트웨이를 구성한 후 서브넷의 가상 머신은 NAT 게이트웨이의 공용 IP를 사용하여 인터넷과 통신합니다.

• 0.0.0.0/0 트래픽에 대한 서브넷 경로 테이블에 UDR(사용자 정의 경로)을 만들 때 이 트래픽에 대한 기본 인터넷 경로를 재정의합니다. 0.0.0.0/0 트래픽을 가상 어플라이언스 또는 가상 네트워크 게이트웨이(예: VPN Gateway 및 ExpressRoute)로 다음 홉 유형으로 지정하여 보내는 UDR은 NAT 게이트웨이를 통한 인터넷 연결을 재정의합니다.

NAT 게이트웨이 작동 방식

• 경로 테이블 구성 없음 - NAT 게이트웨이는 서브넷 수준에서 작동합니다. 추가하면 NAT 게이트웨이는 서브넷 경로 테이블에서 라우팅 구성 없이도 아웃바운드 연결을 제공합니다.

  • UDR의 다음 홉 가상 어플라이언스 또는 가상 네트워크 게이트웨이 >> NAT 게이트웨이 >> 가상 머신의 인스턴스 수준 공용 IP 주소 >> Load Balancer 아웃바운드 규칙 >> 기본 시스템 경로를 인터넷으로 라우팅합니다.

NAT Gateway 구성

• 동일한 가상 네트워크 내의 여러 서브넷은 다른 NAT Gateway 또는 동일한 NAT Gateway를 사용할 수 있습니다.

• 단일 서브넷에 여러 NAT 게이트웨이를 연결할 수 없습니다.

• NAT 게이트웨이는 여러 가상 네트워크를 지원하지 않습니다. 그러나 NAT 게이트웨이를 사용하여 허브 및 스포크 모델에서 아웃바운드 연결을 제공할 수 있습니다. 자세한 내용은 NAT Gateway 허브 및 스포크 자습서를 참조하세요.

• 표준 SKU NAT 게이트웨이 리소스는 최대 16개의 IPv4 공용 IP 주소를 사용할 수 있습니다. StandardV2 SKU NAT 게이트웨이는 최대 16개의 IPv4 및 16개의 IPv6 공용 IP 주소를 사용할 수 있습니다.

• SQL Managed Instance를 포함하는 게이트웨이 서브넷 또는 서브넷에는 NAT 게이트웨이를 배포할 수 없습니다.

• NAT Gateway는 가상 머신 네트워크 인터페이스 또는 IP 구성을 통해 작동합니다. NAT Gateway는 네트워크 인터페이스에서 여러 IP 구성을 SNAT할 수 있습니다.

• NAT 게이트웨이를 허브 가상 네트워크의 Azure Firewall 서브넷에 연결하고 허브에 피어된 스포크 가상 네트워크에서 아웃바운드 연결을 제공할 수 있습니다. 자세한 내용은 NAT Gateway와 Azure Firewall의 통합을 참조하세요.

가용성 영역

• 특정 가용성 영역에서 표준 SKU NAT 게이트웨이를 만들거나 영역에 배치하지 않을 수도 있습니다.

• 영역 NAT 게이트웨이를 만들 때 특정 영역에서 표준 NAT 게이트웨이를 격리할 수 있습니다. NAT 게이트웨이를 배포한 후에는 영역 선택을 변경할 수 없습니다.

• 기본적으로 표준 NAT 게이트웨이는 특정 영역에 배치되지 않습니다. Azure는 영역에 비영역 NAT 게이트웨이를 배치합니다.

• StandardV2 SKU NAT 게이트웨이는 영역 중복이며 단일 영역 실패 시 연결을 유지하기 위해 지역의 모든 가용성 영역에서 작동합니다.

기본 아웃바운드 액세스

• 인터넷에 대한 보안 아웃바운드 연결을 제공하려면 프라이빗 서브넷을 사용하도록 설정 하여 기본 아웃바운드 IP 생성을 방지하고 대신 NAT 게이트웨이와 같은 아웃바운드 연결의 명시적 방법을 사용합니다.

• 특정 서비스는 Windows 활성화 및 Windows 업데이트와 같은 아웃바운드 연결의 명시적 방법이 없는 프라이빗 서브넷의 가상 머신에서 작동하지 않습니다. Windows 같은 가상 머신 운영 체제를 활성화하거나 업데이트하려면 NAT 게이트웨이와 같은 명시적 아웃바운드 연결 방법이 필요합니다.

• 기본 아웃바운드 액세스 또는 Load Balancer 아웃바운드 규칙에서 NAT 게이트웨이에 대한 아웃바운드 액세스를 마이그레이션하려면 Azure NAT 게이트웨이 아웃바운드 액세스 마이그레이션을 참조하세요.

NAT Gateway 및 기본 리소스

• 표준 NAT 게이트웨이는 표준 공용 IP 주소 또는 공용 IP 접두사에서 작동합니다. StandardV2 NAT 게이트웨이는 StandardV2 공용 IP 주소 또는 공용 IP 접두사에서만 작동합니다.

• 기본 리소스가 있는 서브넷에는 NAT 게이트웨이를 사용할 수 없습니다. 기본 Load Balancer 또는 기본 공용 IP와 같은 기본 SKU 리소스는 NAT 게이트웨이에서 작동하지 않습니다. 기본 Load Balancer 및 기본 공용 IP를 표준으로 업그레이드하여 NAT 게이트웨이로 작업할 수 있습니다.

  • Load Balancer 기본에서 표준으로 업그레이드하는 방법에 대한 자세한 내용은 공개 기본 Azure Load Balancer 업그레이드를 참조하세요.

  • 공용 IP를 기본에서 표준으로 업그레이드하려면 공용 IP 주소 업그레이드를 참조하세요.

  • 가상 머신에 연결된 기본 공용 IP를 기본에서 표준으로 업그레이드하는 방법에 대한 자세한 내용은 가상 머신에 연결된 기본 공용 IP 업그레이드를 참조하세요.

연결 시간 제한 및 타이머

• NAT Gateway 기존 연결로 인식되지 않는 연결 흐름에 대해 TCP 재설정(RST) 패킷을 보냅니다. NAT 게이트웨이 유휴 시간 제한에 도달하거나 이전에 연결을 닫은 경우 연결 흐름이 더 이상 존재하지 않습니다.

• 존재하지 않는 연결 흐름의 트래픽 보낸 사람이 NAT Gateway TCP RST 패킷을 받으면 더 이상 연결을 사용할 수 없습니다.

• 연결이 닫히면 SNAT 포트를 동일한 대상 엔드포인트에 곧 다시 사용할 수 없습니다. NAT 게이트웨이는 SNAT 포트를 재사용하여 동일한 대상 엔드포인트에 연결하기 전에 SNAT 포트를 쿨다운 상태로 만듭니다.

• SNAT 포트 재사용(쿨다운) 타이머 기간은 연결이 닫히는 방식에 따라 TCP 트래픽에 따라 다릅니다. 자세한 내용은 포트 재사용 타이머를 참조하세요.

• NAT Gateawy TCP 유휴 시간 제한 타이머는 기본적으로 4분이지만 최대 120분까지 늘릴 수 있습니다. 흐름의 모든 활동은 TCP keepalives를 포함하여 유휴 타이머를 다시 설정할 수 있습니다. 자세한 내용은 유휴 시간 제한 타이머를 참조하세요.

• UDP 트래픽에는 변경할 수 없는 유휴 시간 제한 타이머가 4분입니다.

• UDP 트래픽에는 65초의 포트 재사용 타이머가 있으며, 이 타이머는 포트가 동일한 대상 엔드포인트에서 재사용될 수 있기 전에 보류됩니다.

가격 책정 및 SLA(서비스 수준 계약)

표준 및 StandardV2 NAT 게이트웨이는 동일한 가격입니다. Azure NAT 게이트웨이 가격은 NAT Gateway 가격 책정 참조하세요.

SLA에 대한 정보는 Azure NAT 게이트웨이 SLA를 참조하세요.

다음 단계

• NAT 게이트웨이를 만들고 유효성을 검사하는 방법에 대한 자세한 내용은 Quickstart: Azure Portal 사용하여 NAT 게이트웨이 만들기를 참조하세요.

• Azure NAT 게이트웨이 대한 자세한 내용은 Azure NAT 게이트웨이 참조하세요.

• NAT Gateway 리소스에 대한 자세한 내용은 NAT Gateway 리소스를 참조하세요.

• 다음 모듈에서 Azure NAT 게이트웨이 대해 자세히 알아보세요.

  • Learn 모듈: Azure NAT 게이트웨이 소개.

• Azure NAT 게이트웨이 아키텍처 옵션에 대한 자세한 내용은 Azure Well-Architected Framework의 Azure NAT 게이트웨이 검토를 참조하세요.