مشاركة عبر

استكشاف أخطاء الاتصال الصادر باستخدام بوابة NAT وخدمات Azure وإصلاحها

  • مقالة

توفر هذه المقالة إرشادات حول كيفية استكشاف مشكلات الاتصال وإصلاحها عند استخدام بوابة NAT مع خدمات Azure الأخرى، بما في ذلك:

خدمات تطبيق Azure

تم إيقاف تشغيل تكامل الشبكة الظاهرية الإقليمية لـ Azure App Services

يمكن استخدام بوابة NAT مع خدمات تطبيقات Azure للسماح للتطبيقات بإجراء مكالمات صادرة من شبكة ظاهرية. لاستخدام هذا التكامل بين خدمات تطبيق Azure وبوابة NAT، يجب تمكين تكامل الشبكة الظاهرية الإقليمية. راجع كيفية عمل تكامل الشبكة الظاهرية الإقليمية لمعرفة المزيد.

لاستخدام بوابة NAT مع خدمات تطبيق Azure، اتبع الخطوات التالية:

  1. تأكد من تكوين تكامل الشبكة الظاهرية للتطبيقات الخاصة بك، راجع تمكين تكامل الشبكة الظاهرية.

  2. تأكد من تمكين توجيه الكل لتكامل الشبكة الظاهرية، راجع تكوين توجيه تكامل الشبكة الظاهرية.

  3. أنشيء مورد بوابة NAT.

  4. أنشيء عنوان IP عام جديد أو قم بإرفاق عنوان IP عام موجود في شبكتك ببوابة NAT.

  5. تعيين بوابة NAT لنفس الشبكة الفرعية المستخدمة لتكامل الشبكة الظاهرية مع التطبيقات الخاصة بك.

للاطلاع على إرشادات خطوة بخطوة حول كيفية تكوين بوابة NAT مع تكامل الشبكة الظاهرية، راجع تكوين تكامل بوابة NAT.

ملاحظات مهمة حول بوابة NAT وتكامل Azure App Services:

  • لا يوفر تكامل الشبكة الظاهرية وصولاً خاصًا إلى تطبيقك من الشبكة الظاهرية.

  • لا تظهر حركة مرور تكامل الشبكة الظاهرية في سجلات تدفق Azure Network Watcher أو Network Security Group (NSG) بسبب طبيعة كيفية عملها.

لا تستخدم App Services عنوان IP العام لبوابة NAT للاتصال بالصادر

لا يزال بإمكان خدمات التطبيقات الاتصال الصادر بالإنترنت حتى إذا لم يتم تمكين تكامل الشبكة الظاهرية. بشكل افتراضي، يمكن الوصول إلى التطبيقات المستضافة في App Service مباشرة من خلال الإنترنت ويمكن أن تصل إلى نقاط النهاية المستضافة عبر الإنترنت فقط. لمعرفة المزيد، راجع ميزات شبكات خدمات التطبيقات.

إذا لاحظت أن عنوان IP المستخدم للاتصال الصادر ليس عنوان IP العام أو العناوين الخاصة ببوابة NAT، فتحقق من تمكين تكامل الشبكة الظاهرية. تأكد من تكوين بوابة NAT إلى الشبكة الفرعية المستخدمة للتكامل مع التطبيقات الخاصة بك.

للتحقق من أن تطبيقات الويب تستخدم عنوان IP العام لبوابة NAT، افحص جهازَا ظاهريًا على Web Apps الخاصة بك وتحقق من نسبة استخدام الشبكة عبر تسجيل الشبكة.

Azure Kubernetes Service

كيفية نشر بوابة NAT مع مجموعات Azure Kubernetes Service (AKS)

يمكن توزيع بوابة NAT مع أنظمة مجموعات AKS للسماح بالاتصال الصادر الصريح. هناك طريقتان مختلفتان لتوزيع بوابة NAT مع نظام مجموعات AKS:

  • بوابة NAT المدارة: ينشر Azure بوابة NAT في وقت إنشاء مجموعة AKS. تدير AKS بوابة NAT.

  • بوابة NAT المعينة من قبل المستخدم: يمكنك نشر بوابة NAT إلى شبكة ظاهرية موجودة لمجموعة AKS.

تعرف على المزيد في بوابة NAT المدارة.

لا يمكن تحديث عناوين IP لبوابة NAT أو مؤقت مهلة الخمول لنظام مجموعة AKS

يمكن تحديث عناوين IP العامة ومهلة الخمول لبوابة NAT بالأمر az aks update لبوابة NAT المدارة فقط.

إذا قمت بنشر بوابة NAT المعينة من قبل المستخدم إلى شبكات AKS الفرعية، فلا يمكنك استخدام az aks update الأمر لتحديث عناوين IP العامة أو مؤقت مهلة الخمول. يدير المستخدم بوابة NAT المعينة من قبل المستخدم. تحتاج إلى تحديث هذه التكوينات يدويا على مورد بوابة NAT.

حدث عناوين IP العامة على بوابة NAT المعينة من قبل المستخدم بالخطوات التالية:

  1. في مجموعة الموارد الخاصة بك، حدد مورد بوابة NAT في المدخل.

  2. ضمن الإعدادات على شريط التنقل الأيسر، حدد عنوان IP الصادر.

  3. لإدارة عناوين IP العامة، حدد الزر الأزرق Change.

  4. من تكوين إدارة عناوين IP العامة والبادئات التي يتم تمريرها من اليمين، قم بتحديث عناوين IP العامة المعينة من القائمة المنسدلة أو حدد إنشاء عنوان IP عام جديد.

  5. بمجرد الانتهاء من تحديث تكوينات IP الخاصة بك، حدد الزر "موافق" في أسفل الشاشة.

  6. بعد اختفاء صفحة التكوين، حدد الزر حفظ لحفظ التغييرات.

  7. كرر الخطوات من 3 إلى 6 للقيام بنفس الشيء لبادئات IP العامة.

حدث تكوين مؤقت مهلة الخمول على بوابة NAT المعينة من قبل المستخدم بالخطوات التالية:

  1. في مجموعة الموارد الخاصة بك، حدد على مورد بوابة NAT في المدخل.

  2. ضمن الإعدادات على شريط التنقل الأيسر، حدد التكوين.

  3. في شريط النص لمهلة الخمول TCP (دقائق)، اضبط مؤقت مهلة الخمول (يمكن تكوين المؤقت من 4 إلى 120 دقيقة).

  4. حدد الزر "حفظ" عند الانتهاء.

إشعار

يمكن أن تؤدي زيادة مهلة الخمول TCP إلى أكثر من 4 دقائق إلى زيادة خطر استنفاد منفذ SNAT.

Azure Firewall

استنفاد ترجمة عناوين الشبكة المصدر (SNAT) عند الاتصال الصادر بجدار حماية Azure

يمكن أن يوفر جدار حماية Azure اتصالا بالإنترنت الصادر إلى الشبكات الظاهرية. يوفر Azure Firewall 2496 منفذ SNAT فقط لكل عنوان IP عام. بينما يمكن إقران جدار حماية Azure بما يصل إلى 250 عنوان IP عام للتعامل مع نسبة استخدام الشبكة الخارجة، قد تحتاج إلى عدد أقل من عناوين IP العامة للاتصال الصادر. يرجع متطلبات الخروج مع عدد أقل من عناوين IP العامة إلى المتطلبات المعمارية وقيود قائمة السماح حسب نقاط النهاية الوجهة.

تتمثل إحدى الطرق التي يتم من خلالها توفير قابلية أكبر للتوسع لنسبة استخدام الشبكة الصادرة وتقليل مخاطر استنفاد منفذ SNAT في استخدام بوابة NAT في نفس الشبكة الفرعية مع Azure Firewall. لمزيد من المعلومات حول كيفية إعداد بوابة NAT في شبكة فرعية لجدار حماية Azure، راجع دمج بوابة NAT مع Azure Firewall. لمزيد من المعلومات حول كيفية عمل بوابة NAT مع جدار حماية Azure، راجع تغيير حجم منافذ SNAT باستخدام بوابة Azure NAT.

إشعار

بوابة NAT غير مدعومة في بنية vWAN. لا يمكن تكوين بوابة NAT إلى شبكة فرعية لجدار حماية Azure في مركز vWAN.

خدمة Azure Databricks

كيفية استخدام بوابة NAT للاتصال الصادر من نظام مجموعة databricks

يمكن استخدام بوابة NAT للاتصال الصادر من نظام مجموعة databricks عند إنشاء مساحة عمل Databricks. يمكن توزيع بوابة NAT إلى نظام مجموعة databricks بإحدى الطريقتين:

  • عند تمكين الاتصال الكتلة الآمنة (لا يوجد IP عام) على الشبكة الظاهرية الافتراضية التي ينشئها Azure Databricks، يقوم Azure Databricks تلقائيا بنشر بوابة NAT للاتصال الصادر من الشبكات الفرعية لمساحة العمل الخاصة بك بالإنترنت. ينشئ Azure Databricks مورد بوابة NAT هذا داخل مجموعة الموارد المدارة ولا يمكنك تعديل مجموعة الموارد هذه أو أي موارد أخرى تم نشرها فيها.

  • بعد نشر مساحة عمل Azure Databricks في شبكتك الظاهرية (عبر حقن الشبكة الظاهرية)، يمكنك نشر بوابة NAT وتكوينها إلى كل من الشبكات الفرعية لمساحة العمل لضمان الاتصال الصادر من خلال بوابة NAT. يمكنك تنفيذ هذا الحل باستخدام قالب Azure أو في المدخل.

الخطوات التالية

إذا كنت تواجه مشكلات في بوابة NAT لم يتم حلها بواسطة هذه المقالة، أرسل الملاحظات من خلال GitHub عبر أسفل هذه الصفحة. نحن نعالج ملاحظاتك في أقرب وقت ممكن لتحسين تجربة عملائنا.

لمعرفة المزيد عن بوابة NAT، راجع: