Share via

Řešení potíží s odchozím připojením ke službě NAT Gateway a službami Azure

  • Článek

Tento článek obsahuje pokyny k řešení potíží s připojením při používání služby NAT Gateway s jinými službami Azure, mezi které patří:

Azure App Services

Aplikace Azure Services místní integrace virtuální sítě je vypnutá

Bránu NAT je možné použít se službami Azure App Services, aby aplikace mohly provádět odchozí volání z virtuální sítě. Pokud chcete tuto integraci používat mezi aplikačními službami Azure a službou NAT Gateway, musí být povolená integrace místní virtuální sítě. Další informace najdete v tom, jak funguje integrace regionálních virtuálních sítí.

Pokud chcete používat službu NAT Gateway se službami Aplikace Azure, postupujte takto:

  1. Ujistěte se, že vaše aplikace mají nakonfigurovanou integraci virtuální sítě, viz Povolení integrace virtuální sítě.

  2. Ujistěte se, že je pro integraci virtuální sítě povolená možnost Route All , viz Konfigurace směrování integrace virtuální sítě.

  3. Vytvořte prostředek služby NAT Gateway.

  4. Vytvořte novou veřejnou IP adresu nebo připojte existující veřejnou IP adresu ve vaší síti ke službě NAT Gateway.

  5. Přiřaďte bránu NAT ke stejné podsíti, která se používá pro integraci virtuální sítě s vašimi aplikacemi.

Podrobné pokyny ke konfiguraci služby NAT Gateway s integrací virtuální sítě najdete v tématu Konfigurace integrace služby NAT Gateway.

Důležité poznámky k integraci služby NAT Gateway a Aplikace Azure Services:

  • Integrace virtuální sítě neposkytuje příchozí privátní přístup k vaší aplikaci z virtuální sítě.

  • Provoz integrace virtuální sítě se nezobrazuje v protokolech toku azure Network Watcher nebo skupiny zabezpečení sítě (NSG) kvůli povaze fungování.

App Services nepoužívá veřejnou IP adresu služby NAT Gateway pro připojení odchozích přenosů

Služby App Service se stále mohou připojovat k internetu i v případě, že není povolená integrace virtuální sítě. Ve výchozím nastavení jsou aplikace hostované ve službě App Service přístupné přímo přes internet a mohou přistupovat jenom ke koncovým bodům hostovaným na internetu. Další informace najdete v tématu Síťové funkce služby App Services.

Pokud si všimnete, že IP adresa použitá k připojení odchozích přenosů není vaší veřejnou IP adresou nebo adresami brány NAT Gateway, zkontrolujte, jestli je povolená integrace virtuální sítě. Ujistěte se, že je služba NAT Gateway nakonfigurovaná pro podsíť používanou pro integraci s vašimi aplikacemi.

Pokud chcete ověřit, že webové aplikace používají veřejnou IP adresu služby NAT Gateway, odešlete příkaz ping na virtuální počítač ve službě Web Apps a zkontrolujte provoz prostřednictvím síťového zachytávání.

Azure Kubernetes Service

Nasazení služby NAT Gateway s clustery Azure Kubernetes Service (AKS)

Bránu NAT je možné nasadit s clustery AKS, aby bylo možné explicitně odchozí připojení. Existují dva různé způsoby nasazení služby NAT Gateway s clustery AKS:

  • Spravovaná brána NAT: Azure nasadí bránu NAT v době vytvoření clusteru AKS. AKS spravuje službu NAT Gateway.

  • Uživatelsky přiřazená brána NAT: Nasadíte bránu NAT do existující virtuální sítě pro cluster AKS.

Další informace najdete v tématu věnovaném spravované službě NAT Gateway.

Nejde aktualizovat IP adresy brány NAT nebo časovač časového limitu nečinnosti pro cluster AKS

Veřejné IP adresy a časovač časového limitu nečinnosti pro službu NAT Gateway je možné aktualizovat příkazem az aks update pouze pro spravovanou bránu NAT.

Pokud jste nasadili bránu NAT přiřazenou uživatelem do podsítí AKS, nemůžete pomocí az aks update příkazu aktualizovat veřejné IP adresy nebo časovač časového limitu nečinnosti. Uživatel spravuje bránu NAT přiřazenou uživatelem. Tyto konfigurace musíte aktualizovat ručně u prostředku služby NAT Gateway.

Aktualizujte veřejné IP adresy ve službě NAT Gateway přiřazené uživatelem pomocí následujícího postupu:

  1. Ve skupině prostředků vyberte prostředek služby NAT Gateway na portálu.

  2. V části Nastavení na levém navigačním panelu vyberte Odchozí IP adresa.

  3. Pokud chcete spravovat veřejné IP adresy, vyberte modrou změnu.

  4. V konfiguraci Spravovat veřejné IP adresy a předpony, které se posunou zprava, aktualizujte přiřazené veřejné IP adresy z rozevírací nabídky nebo vyberte Vytvořit novou veřejnou IP adresu.

  5. Po dokončení aktualizace konfigurací IP adres vyberte tlačítko OK v dolní části obrazovky.

  6. Jakmile konfigurační stránka zmizí, vyberte tlačítko Uložit a uložte provedené změny.

  7. Opakujte kroky 3 až 6, abyste to udělali stejně pro předpony veřejných IP adres.

Aktualizujte konfiguraci časovače časového limitu nečinnosti na bráně NAT přiřazené uživatelem pomocí následujícího postupu:

  1. Ve skupině prostředků vyberte na portálu prostředek služby NAT Gateway.

  2. V části Nastavení na levém navigačním panelu vyberte Konfigurace.

  3. Na textovém panelu časového limitu nečinnosti protokolu TCP (minuty) upravte časovač časového limitu nečinnosti (časovač lze nakonfigurovat 4 až 120 minut).

  4. Až budete hotovi, vyberte tlačítko Uložit.

Poznámka:

Zvýšení časového limitu nečinnosti protokolu TCP na delší než 4 minuty může zvýšit riziko vyčerpání portů SNAT.

Azure Firewall

Vyčerpání překladu zdrojových síťových adres (SNAT) při připojování odchozích přenosů pomocí služby Azure Firewall

Azure Firewall může poskytovat odchozí připojení k internetu k virtuálním sítím. Azure Firewall poskytuje pouze 2 496 portů SNAT na veřejnou IP adresu. Azure Firewall je sice možné přidružit až k 250 veřejným IP adresám pro zpracování odchozího provozu, ale pro připojení odchozích přenosů může vyžadovat méně veřejných IP adres. Požadavek na výchozí přenos dat s menším počtem veřejných IP adres je způsoben požadavky na architekturu a omezeními seznamu povolených cílovými koncovými body.

Jednou z metod, pomocí které zajistíte větší škálovatelnost odchozího provozu a zároveň snížíte riziko vyčerpání portů SNAT, je použít bránu NAT ve stejné podsíti se službou Azure Firewall. Další informace o tom, jak nastavit bránu NAT v podsíti služby Azure Firewall, najdete v tématu integrace služby NAT Gateway se službou Azure Firewall. Další informace o tom, jak služba NAT Gateway funguje se službou Azure Firewall, najdete v tématu Škálování portů SNAT pomocí služby Azure NAT Gateway.

Poznámka:

Brána NAT se v architektuře virtuální sítě WAN nepodporuje. Bránu NAT není možné nakonfigurovat pro podsíť služby Azure Firewall v centru virtuální sítě WAN.

Azure Databricks

Použití služby NAT Gateway k připojení odchozích přenosů z clusteru Databricks

Bránu NAT můžete použít k připojení odchozích přenosů z vašeho clusteru Databricks při vytváření pracovního prostoru Databricks. Bránu NAT je možné nasadit do clusteru Databricks jedním ze dvou způsobů:

  • Když povolíte zabezpečenou Připojení ivitu clusteru (bez veřejné IP adresy) ve výchozí virtuální síti, kterou Azure Databricks vytvoří, Azure Databricks automaticky nasadí bránu NAT pro připojení odchozích přenosů z podsítí vašeho pracovního prostoru k internetu. Azure Databricks vytvoří tento prostředek služby NAT Gateway ve spravované skupině prostředků a nemůžete tuto skupinu prostředků ani žádné jiné prostředky nasazené v ní upravovat.

  • Po nasazení pracovního prostoru Azure Databricks ve vlastní virtuální síti (prostřednictvím injektáže virtuální sítě) můžete bránu NAT nasadit a nakonfigurovat do obou podsítí pracovního prostoru, abyste zajistili odchozí připojení přes bránu NAT Gateway. Toto řešení můžete implementovat pomocí šablony Azure nebo na portálu.

Další kroky

Pokud máte problémy se službou NAT Gateway, které tento článek nevyřeší, odešlete zpětnou vazbu prostřednictvím GitHubu v dolní části této stránky. Vaši zpětnou vazbu řešíme co nejdříve, abychom zlepšili prostředí našich zákazníků.

Další informace o službě NAT Gateway najdete tady: