Häufig gestellte Fragen zu Azure NAT Gateway

Hier erhalten Sie einige Antworten auf häufige gestellte Fragen zur Verwendung von Azure NAT Gateway.

Grundlagen von Azure NAT Gateway

Was ist Azure NAT Gateway?

Das Azure NAT-Gateway ist eine vollständig verwaltete, hochgradig robuste ausgehende Konnektivitätslösung für virtuelle Azure-Netzwerke. Um eine sichere und skalierbare ausgehende Konnektivität zu erreichen, fügen Sie an Subnetze in einem virtuellen Netzwerk und mindestens an eine statische öffentliche IP-Adresse ein NAT-Gateway an.

Was ist die Preisgestaltung für Azure NAT-Gateway?

Siehe Preise für Azure NAT-Gateways.

Was sind die bekannten Grenzwerte des Azure NAT-Gateways?

Siehe Azure NAT Gateway-Grenzwerte.

Wie viele NAT-Gatewayressourcen sind pro Abonnement zulässig?

Die Anzahl der pro Abonnement und Region zulässigen NAT-Gatewayressourcen variiert je nach Angebotskategorietyp, z. B. kostenlose Testversion, nutzungsbasierte Bezahlung, Cloud Solution Provider (CSP) und Enterprise Agreement. Die Enterprise Agreement- und CSP-Angebotstypen können bis zu 1 000 NAT-Gatewayressourcen haben. Die Sponsor- und nutzungsbasierten Angebotstypen können bis zu 100 NAT-Gatewayressourcen haben. Alle anderen Angebotstypen, z. B. kostenlose Testversionen, können bis zu 15 NAT-Gatewayressourcen haben.

Kann ein NAT-Gateway in mehreren Abonnements verwendet werden?

Nein, eine NAT-Gatewayressource kann nicht gleichzeitig mit mehr als einem Abonnement verwendet werden. Detaillierte Anleitungen finden Sie unter Erstellen und Konfigurieren eines NAT-Gateways nach einem Regionswechsel.

Kann ein NAT-Gateway aus einer Region/einem Abonnement/einer Ressourcengruppe in eine andere bzw. ein anderes verschoben werden?

Nein, ein NAT-Gateway kann nicht abonnement-, regions- oder ressourcengruppenübergreifend verschoben werden. Für das andere Abonnement, die Region oder die Ressourcengruppe muss eine neue NAT Gateway-Instanz erstellt werden.

Kann ein NAT-Gateway verwendet werden, um eingehenden Datenverkehr zu verbinden?

Ein NAT-Gateway bietet ausgehende Konnektivität aus einem virtuellen Netzwerk. Rückdatenverkehr als direkte Antwort auf einen ausgehenden Flow kann ebenfalls einen NAT-Gateway durchlaufen. Kein eingehender Datenverkehr direkt aus dem Internet kann einen NAT-Gateway durchlaufen.

Wie kann ich Protokolle für meine NAT Gateway-Ressource abrufen?

Verwenden Sie für das Standard-SKU NAT Gateway Protokolle den virtuellen Netzwerkflow. VNet-Datenflussprotokolle sind ein Feature von Azure Network Watcher, das Informationen zu IP-Datenverkehr protokolliert, der durch ein virtuelles Netzwerk fließt. Datenflussdaten aus VNet-Datenflussprotokollen werden an Azure Storage gesendet. Von dort aus können Sie auf die Daten zugreifen und sie in jedes Visualisierungstool, eine SIEM-Lösung (Security Information and Event Management) oder ein Intrusion Detection System (IDS, Angriffserkennungssystem) exportieren.

VNet-Datenflussprotokolle bieten Verbindungsinformationen für Ihre VMs. Die Verbindungsinformationen umfassen die Quell-IP-Adresse und den Port, die Ziel-IP-Adresse und den Port sowie den Zustand der Verbindung. Die Flussrichtung des Datenverkehrs und der Umfang des Datenverkehrs im Hinblick auf die Anzahl gesendeter Pakete und Bytes werden ebenfalls protokolliert. Die im VNet-Datenflussprotokoll angegebene Quell-IP und der Port sind die des virtuellen Computers und nicht die des NAT-Gateways.

Allgemeine Anleitungen zum Erstellen und Verwalten von VNet-Datenflussprotokollen finden Sie unter Verwalten von Datenflussprotokollen für virtuelle Netzwerke.

Für das StandardV2 NAT-Gateway sind NAT-Gatewayflussprotokolle verfügbar und stellen Informationen zur IP-Ebene zum Datenverkehr bereit, der über das NAT-Gateway fließt. Weitere Informationen finden Sie unter Analysieren des NAT-Gatewaydatenverkehrs mit Ablaufprotokollen.

Wie lösche ich eine NAT Gateway-Ressource?

Um eine NAT Gateway-Ressource zu löschen, muss die Ressource zunächst vom Subnetz getrennt werden. Sobald die NAT-Gateway-Ressource von allen Subnetzen abgekoppelt ist, kann sie gelöscht werden. Ausführliche Informationen finden Sie unter Entfernen einer NAT-Gatewayressource aus einem Subnetz und Löschen der Ressource.

Unterstützt NAT-Gateway die IP-Fragmentierung?

Nein, ein NAT-Gateway unterstützt keine IP-Fragmentierung für das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP).

StandardV2 NAT-Gateway

Was ist StandardV2 NAT Gateway?

StandardV2 NAT Gateway ist ein neues SKU-Angebot des Azure NAT Gateway-Diensts, der sich derzeit in der öffentlichen Vorschau befindet. StandardV2 NAT Gateway bietet Zonenredundanzunterstützung, erweiterte Grenzwerte für die Datenverarbeitung, IPv6-Unterstützung, Flussprotokolle und erhöhte Skalierbarkeit im Vergleich zum ursprünglichen Standard-NAT-Gateway. Weitere Informationen finden Sie unter NAT-Gateway-SKUs.

Kann ich mein vorhandenes Standard NAT-Gateway auf das StandardV2 NAT-Gateway aktualisieren?

Nein, Sie können kein vorhandenes NAT-Gateway auf StandardV2 NAT-Gateway aktualisieren. Um von Standard zu StandardV2 NAT Gateway zu migrieren, erstellen Sie eine neue StandardV2 NAT-Gatewayressource, und ordnen Sie sie Ihrem Subnetz zu.

Hat das StandardV2 NAT-Gateway bekannte Probleme oder Einschränkungen?

Ja, um mehr über bekannte Probleme und Einschränkungen von StandardV2 NAT Gateway zu erfahren.

Gibt es Preisunterschiede zwischen Standard- und StandardV2 NAT-Gateway?

Nein, es gibt keine Preisunterschiede. Standard- und StandardV2-NAT-Gateway sind zum gleichen Preis. Weitere Informationen finden Sie unter Azure NAT Gateway-Preise.

Kann ich meine vorhandenen öffentlichen Standard-IPs mit StandardV2 NAT-Gateway verwenden?

Nein, öffentliche Standard-IPs können nicht mit StandardV2 NAT-Gateway verwendet werden. Um standardV2 NAT-Gateway zu verwenden, müssen Sie öffentliche StandardV2-IPs verwenden. Weitere Informationen finden Sie unter NAT-Gateway-SKUs.

Kann ich das StandardV2 NAT-Gateway an mehrere virtuelle Netzwerke anfügen?

Nein, ein StandardV2 NAT-Gateway kann nur gleichzeitig an ein einzelnes virtuelles Netzwerk angefügt werden.

Welche Metriken sind für das StandardV2 NAT-Gateway verfügbar?

Die gleichen Metriken, die für das Standard-NAT-Gateway verfügbar sind, sind auch für das StandardV2 NAT-Gateway verfügbar. Weitere Informationen finden Sie unter NAT-Gatewaymetriken.

Ist standardV2 NAT Gateway in allen öffentlichen Regionen verfügbar?

Nein, StandardV2 NAT-Gateway ist in den meisten öffentlichen Regionen verfügbar. StandardV2 NAT Gateway ist nicht verfügbar in: Canada East, Central India, Chile Central, Indonesien Central, Israel Northwest, Malaysia West, Katar Central, UAE Central.

NAT-Gatewaymetriken

Was ist der Unterschied zwischen „Anzahl der SNAT-Verbindungen“ und „Gesamtanzahl der SNAT-Verbindungen“ für einen NAT-Gateway?

Die Metrik Anzahl der SNAT-Verbindungen zeigt die Anzahl der neuen SNAT-Verbindungen (Source Network Address Translation, Übersetzung der Quellnetzwerkadresse) pro Sekunde an. Die Metrik Gesamtanzahl der SNAT-Verbindungen zeigt die Gesamtzahl der aktiven Verbindungen in einer NAT-Gatewayressource an.

Wie kann ich die SNAT-Portnutzung eines NAT-Gateways sehen?

Für ein NAT-Gateway gibt es keine Metrik zur SNAT-Portnutzung. Verwenden Sie die Metriken „Anzahl der SNAT-Verbindungen“ und „Gesamtanzahl der SNAT-Verbindungen“, um die SNAT-Kapazität Ihrer NAT-Gatewayressource auszuwerten.

Wie kann ich meine NAT-Gatewaymetriken langfristig speichern?

NAT-Gatewaymetriken können mithilfe der REST-API für Metriken abgerufen werden. Alternativ können Sie Freigeben auswählen und dann im Bereich NAT-Gatewaymetriken im Azure-Portal auf In Excel herunterladen gehen.

Können NAT-Gatewaymetriken mithilfe von Diagnoseeinstellungen abgerufen werden?

Nein, NAT-Gatewaymetriken können nicht mithilfe von Diagnoseeinstellungen exportiert werden. NAT-Gatewaymetriken sind mehrdimensional. Diagnoseeinstellungen unterstützen den Export von mehrdimensionalen Metriken nicht.

Ausgehende Konnektivität mit einem NAT-Gateway

Wie kann ich ein NAT-Gateway verwenden, um ausgehende Verbindungen in einem Setup herzustellen, bei dem ich derzeit einen anderen Dienst für ausgehende Verbindungen verwende?

Ein NAT-Gateway stellt automatisch ausgehende Verbindungen mit dem Internet her, nachdem es an eine öffentliche IP-Adresse oder ein Präfix und ein Subnetz angefügt wurde. Ein NAT-Gateway hat Vorrang vor Azure Load Balancer mit Ausgangsregeln, öffentlichen IP-Adressen auf Instanzebene auf VMs und Azure Firewall für ausgehende Verbindungen.

Werden Verbindungen nach dem Anfügen eines NAT-Gateways an ein Subnetz unterbrochen, bei dem derzeit ein anderer Dienst für ausgehende Verbindungen verwendet wird?

Nein, es gibt keine Unterbrechung der Verbindungen. Vorhandene Verbindungen mit dem vorherigen ausgehenden Dienst (Load Balancer, Azure Firewall, öffentliche IP-Adressen auf Instanzebene) funktionieren weiterhin, bis diese Verbindungen geschlossen werden. Nachdem ein NAT-Gateway dem Subnetz des virtuellen Netzwerks hinzugefügt wurde, verwenden alle neuen ausgehenden Verbindungen das NAT-Gateway.

Kann von einer öffentlichen IP-Adresse einer NAT Gateway-Instanz aus über das Internet eine direkte Verbindung mit einer privaten IP-Adresse hergestellt werden?

Nein, zwischen einer öffentlichen IP-Adresse eines NAT-Gateways und einer privaten IP-Adresse kann keine direkte Verbindung über das Internet hergestellt werden.

Wird der Datenverkehrsfluss unterbrochen, wenn einer NAT-Gatewayressource mehrere öffentliche IP-Adressen zugewiesen sind und eine der IP-Adressen entfernt wird?

Alle aktiven Verbindungen, die einer öffentlichen IP-Adresse zugeordnet sind, werden beendet, wenn die öffentliche IP-Adresse entfernt wird. Wenn die NAT Gateway-Ressource über mehrere öffentliche IP-Adressen verfügt, wird neuer Datenverkehr unter den zugewiesenen IP-Adressen umverteilt.

Was bedeutet es, wenn eine IP verwendet wird, um ausgehende Verbindungen herzustellen, die sich von meiner öffentlichen NAT-Gateway-IP unterscheiden?

Es gibt ein paar mögliche Gründe dafür, warum Sie eine andere IP sehen können, die für die Verbindung mit ausgehenden Verbindungen verwendet wird als die, die Ihrem NAT-Gateway zugeordnet ist. Informationen zur Problembehandlung finden Sie in der Problembehandlung für NAT Gateway-Verbindungen.

Funktioniert NAT Gateway mit aktivem FTP-Modus?

Nein, NAT Gateway ist nicht mit dem aktiven FTP-Modus kompatibel. Wenn das NAT-Gateway konfiguriert ist, verwenden der Clientkanal und der Datenkanal für den aktiven FTP-Modus unterschiedliche IPs, sodass der FTP-Server die Verbindung als ungültig sieht. Weitere Informationen finden Sie im Leitfaden zum Behandeln von Problemen bei der NAT Gateway-Konnektivität unter Verbindungsfehler beim FTP-Server für den aktiven oder passiven Modus.

Funktioniert NAT Gateway mit passivem FTP-Modus?

NAT Gateway kann im passiven FTP-Modus verwendet werden, jedoch nur, wenn eine öffentliche IP-Adresse für das NAT-Gateway konfiguriert ist. Der passive FTP-Modus funktioniert nicht mit einer NAT Gateway-Instanz, die entweder mit einem öffentlichen IP-Präfix oder mehreren öffentlichen IP-Adressen konfiguriert ist. Wenn NATGateway mit mehreren öffentlichen IP-Adressen ausgehenden Datenverkehr sendet, wird nach dem Zufallsprinzip eine der öffentlichen IP-Adressen als Quell-IP-Adresse ausgewählt. Der passive FTP-Modus funktioniert nicht, wenn für Daten- und Steuerungskanäle unterschiedliche Quell-IP-Adressen verwendet werden. Weitere Informationen finden Sie im Leitfaden zum Behandeln von Problemen bei der NAT Gateway-Konnektivität unter Verbindungsfehler beim FTP-Server für den aktiven oder passiven Modus.

Kann ich NAT-Gateway verwenden, um eine Verbindung mit einem öffentlichen Speicherkonto-Endpunkt in derselben Region herzustellen?

Nein, öffentliche NAT-Gateway-IPs werden nicht zum Herstellen einer Verbindung mit Speicherkonten in derselben Region verwendet. Dienste, die in derselben Region wie ein Azure-Speicherkonto bereitgestellt werden, verwenden für die Kommunikation private Azure-IP-Adressen. Sie können den Zugriff auf bestimmte Azure-Dienste nicht anhand ihres öffentlichen ausgehenden IP-Adressbereichs einschränken. Weitere Informationen finden Sie unter Einschränkungen für IP-Netzwerkregeln.

Verkehrsrouten

Was geschieht mit NAT-Gateway, wenn ich die Durchleitung des Datenverkehrs von 0.0.0.0/0 (Internet) an ein NVA, an Azure VPN Gateway oder an Azure ExpressRoute erzwinge?

Ein NAT-Gateway verwendet den standardmäßigen Internetpfad eines Subnetzes, um den Datenverkehr an das Internet weiterzuleiten. Der Datenverkehr durchläuft kein NAT-Gateway, wenn eine benutzerdefinierte Route für direkten 0.0.0.0/0-Datenverkehr an das virtuelle Netzwerkgerät (NVA), das als Typ des nächsten Hops festgelegt ist, oder ein virtuelles Netzwerkgateway erstellt wird.

Welche Konfiguration muss ich für die Subnetz-Routingtabelle vornehmen, um ausgehende Verbindungen mit einem NAT-Gateway herzustellen?

Es ist keine Konfiguration für die Subnetz-Routingtabelle erforderlich, um ausgehende Verbindungen über ein NAT-Gateway herzustellen. Wenn ein NAT-Gateway einem Subnetz zugewiesen wird, wird das NAT-Gateway zum Typ des nächsten Hops für den gesamten Datenverkehr in das Internet. Datenverkehr kann ausgehende Verbindungen mit dem Internet herstellen, sobald das NAT-Gateway einem Subnetz und mindestens einer öffentlichen IP-Adresse zugewiesen wurde.

NAT-Gatewaykonfigurationen

Kann ein NAT-Gateway ohne öffentliche IP-Adresse oder Subnetz bereitgestellt werden?

Ja, ein NAT-Gateway kann ohne öffentliche IP-Adresse oder Präfix und Subnetz bereitgestellt werden. Es ist jedoch erst funktionsfähig, wenn Sie mindestens eine öffentliche IP-Adresse oder ein Präfix und ein Subnetz anfügen.

Ist die öffentliche IP-Adresse von NAT Gateway statisch?

Öffentliche IP-Adressen in Ihrem NAT-Gateway sind fest und ändern sich nicht.

Wie viele öffentliche IP-Adressen können an einen NAT-Gateway angefügt werden?

Ein NAT-Gateway kann bis zu 16 öffentliche IP-Adressen verwenden. Ein NAT-Gateway kann eine beliebige Kombination von öffentlichen IP-Adressen und Präfixen öffentlicher IPs verwenden (insgesamt 16 Adressen). Ein NAT-Gateway unterstützt die folgenden Präfixgrößen: /28 (16 Adressen), /29 (8 Adressen), /30 (4 Adressen) und /31 (2 Adressen).

Wie kann ich benutzerdefinierte IP-Präfixe (BYOIP) mit einem NAT-Gateway verwenden?

Sie können öffentliche IP-Präfixe und Adressen verwenden, die von benutzerdefinierten IP-Präfixen abgeleitet sind, auch bekannt als Bring your own IP (BYOIP) mit dem Standard-SKU-NAT-Gateway. Benutzerdefinierte IPs werden nicht mit StandardV2 NAT-Gateway unterstützt. Weitere Informationen finden Sie unter Benutzerdefiniertes IP-Adresspräfix (BYOIP).

Kann eine öffentliche IPv6-Adresse mit einem NAT-Gateway verwendet werden?

Standardmäßiges SKU-NAT-Gateway unterstützt keine öffentlichen IPv6-IP-Adressen. StandardV2 NAT Gateway kann mit bis zu 16 öffentlichen IPv6-IP-Adressen oder einem /124-Größenpräfix verknüpft werden.

Können öffentliche IP-Adressen mit der Routingeinstellung „Internet“ mit einem NAT-Gateway verwendet werden?

Nein, ein NAT Gateway unterstützt keine öffentlichen IP-Adressen mit der Routingeinstellung „Internet“. Eine Liste der Azure-Dienste, die den Routingkonfigurationstyp „Internet“ für öffentliche IPs unterstützen, finden Sie unter Unterstützte Dienste für das Routing über das öffentliche Internet.

Können öffentliche IP-Adressen mit aktiviertem DDoS-Schutz mit einem NAT-Gateway verwendet werden?

Nein, ein NAT-Gateway unterstützt keine öffentlichen IP-Adressen mit aktiviertem DDoS-Schutz. DDoS-geschützte IPs sind im Allgemeinen wichtiger für eingehenden Datenverkehr, da die meisten DDoS-Angriffe darauf ausgelegt sind, die Ressourcen des Ziels zu überlasten, indem sie diese mit einer großen Menge an eingehendem Datenverkehr überfluten. Weitere Informationen zu DDoS-geschützten IPs finden Sie unter DDoS-Einschränkungen.

Können die öffentlichen IP-Adressen einer vorhandenen NAT Gateway-Instanz geändert werden?

Ja, Sie können die öffentlichen IP-Adressen ändern, die einem vorhandenen NAT Gateway zugeordnet sind. Informationen zum Ändern der öffentlichen IP-Adresse Ihres NAT-Gateways finden Sie unter Hinzufügen oder Entfernen einer öffentlichen IP-Adresse. Öffentliche STANDARDV2-SKU-IPs funktionieren nicht mit standard-NAT-Gateway. Öffentliche StandardV2-SKU-IPs funktionieren nur mit StandardV2 NAT-Gateway.

Wenn einem NAT-Gateway mehrere öffentliche IP-Adressen zugewiesen werden, welche öffentlichen IP-Adressen verwenden dann meine Subnetzressourcen?

Ihre Subnetzressourcen können jede der öffentlichen IP-Adressen verwenden, die für die NAT Gateway für ausgehende Konnektivität angefügt sind. Jedes Mal, wenn eine neue ausgehende Verbindung über ein NAT-Gateway hergestellt wird, wird die ausgehende öffentliche IP-Adresse zufällig ausgewählt.

Kann ich eine meiner öffentlichen NAT-Gateway-IP-Adressen einer bestimmten VM oder einem bestimmten Subnetz zuweisen, die ausschließlich für ausgehende Verbindungen verwendet werden sollen?

Nein. In einem Subnetz, das mit einem NAT-Gateway konfiguriert wurde, wird die IP-Zuweisung an bestimmte Subnetze oder VM-Instanzen nicht unterstützt.

Kann ein NAT-Gateway an mehrere virtuelle Netzwerke angefügt werden?

Nein, ein NAT-Gateway kann nicht an mehrere virtuelle Netzwerke angefügt werden.

Kann ein NAT-Gateway an mehrere Subnetze angefügt werden?

Ja, NAT-Gateway kann bis zu 800 Subnetze in einem virtuellen Netzwerk zugeordnet werden. Sie muss nicht mit allen Subnetzen innerhalb eines virtuellen Netzes verbunden sein.

Kann ein NAT-Gateway an ein Gatewaysubnetz angefügt werden?

Ein NAT-Gateway kann keinem Gatewaysubnetz zugeordnet werden. Gatewaysubnetze sind für VPN-Gatewayressourcen reserviert und sind nicht mit NAT-Gatewaybereitstellungen kompatibel. Um ein NAT-Gateway zu verwenden, fügen Sie es an ein anderes Subnetz innerhalb desselben virtuellen Netzwerks an.

Können mehrere NAT Gateway-Instanzen an ein einzelnes Subnetz angefügt werden?

Nein, eine NAT-Gateway-Instanz funktioniert auf der Grundlage der Eigenschaften des Subnetzes. Daher ist es nicht möglich, mehrere NAT-Gateways an ein einzelnes Subnetz anzufügen.

Kann ein NAT-Gateway in einer Hub-and-Spoke-Netzwerkarchitektur verwendet werden?

Datenverkehr aus den virtuellen Spoke-Netzwerken kann über ein NVA oder Azure Firewall an das zentrale virtuelle Hubnetzwerk weitergeleitet werden. Ein NAT-Gateway kann dann ausgehende Konnektivität für alle virtuellen Spoke-Netzwerke aus dem zentralen Hubnetzwerk bereitstellen. Informationen zum Einrichten eines NAT-Gateways in einer Hub-and-Spoke-Architektur mit NVAs finden Sie unter Verwenden eines NAT-Gateways in einem Hub-and-Spoke-Netzwerk. Informationen zur Verwendung eines NAT-Gateways mit Azure Firewall in einem Hub-and-Spoke-Setup finden Sie unter Integrieren eines NAT-Gateways in Azure Firewall.

Verfügbarkeitszonen

Wie funktionieren ein NAT-Gateway mit Verfügbarkeitszonen?

Standardmäßiges NAT-Gateway kann zonal sein oder in "keine Zone" platziert werden. Ein NAT-Gateway ohne Zone wird in einer Zone für Sie von Azure platziert. Ein zonales NAT-Gateway wird vom Benutzer bei der Erstellung des NAT-Gateways mit einer bestimmten Zone verknüpft. StandardV2 NAT-Gateway ist nur zonenredundant. Wenn eine einzelne Zone in einer Region ausfällt, kann das StandardV2-NAT-Gateway weiterhin funktionieren und aus den verbleibenden intakten Zonen ausgehende Verbindungen bereitstellen. Die zonale Konfiguration eines NAT Gateways kann nach der Bereitstellung nicht mehr geändert werden.

Kann eine zonenredundante öffentliche IP-Adresse an das Standard-NAT-Gateway angefügt werden?

Zonen-redundante Standard SKU öffentliche IP-Adressen und Präfixe können entweder an ein nicht-zonales oder zonales Standard SKU NAT Gateway angebunden werden. Öffentliche StandardV2-SKU-IPs sind nur zonenredundant und können nur mit StandardV2 NAT-Gateway verwendet werden, das auch zonenredundant ist. Weitere Informationen finden Sie unter Azure NAT Gateway und Verfügbarkeitszonen.

Azure NAT Gateway und grundlegende SKU-Ressourcen

Sind Basic-SKU-Ressourcen (Lastenausgleich und öffentliche IP-Adressen im Tarif „Basic“) kompatibel mit einem NAT-Gateway?

Nein, das NAT-Gateway "Standard" und "StandardV2" ist nicht mit grundlegenden SKU-Ressourcen kompatibel. Weitere Informationen finden Sie unter Grundlagen von Azure NAT Gateway. Führen Sie ein Upgrade vom Lastenausgleich und der zugehörigen öffentlichen IP-Adresse im Tarif „Basic“ zu „Standard“ durch, um mit einem NAT-Gateway zu arbeiten. Weitere Hilfe:

• Informationen zum Upgraden eines Basic-Lastenausgleichs zu „Standard“ finden Sie unter Upgraden eines öffentlichen Lastenausgleichs in Azure.
• Informationen zum Upgrade einer öffentlichen IP-Adresse im Tarif „Basic“ auf den Tarif „Standard“ finden Sie unter Durchführen eines Upgrades für eine öffentliche IP-Adresse.
• Informationen zum Upgrade einer „Basic“ öffentlichen IP mit einer angefügten VM zu „Standard“ finden Sie unter Upgrade einer „Basic“ öffentlichen IP-Adresse mit einer angefügten VM.

Azure NAT Gateway und ausgehender Standardzugriff

Tritt eine Downtime auf, wenn ich NAT Gateway meinem Subnetz hinzufüge, in dem ich ausgehenden Standardzugriff verwende?

Nein, beim Hinzufügen des NAT-Gateways zu einem Subnetz, bei dem standardmäßiger ausgehender Zugriff verwendet wird, gibt es keine Ausfallzeiten. Nachdem das NAT-Gateway dem Subnetz hinzugefügt wurde, beginnen alle neuen Verbindungen mit der Verwendung des NAT-Gateways anstelle des standardmäßigen ausgehenden Zugriffs. Alle vorhandenen Verbindungen mit standardmäßigen ausgehenden Zugriffen bleiben bestehen, bis die Verbindungen geschlossen sind.

Wie kann ich sicherstellen, dass meine virtuellen Computer über Internetzugriff verfügen, um Vorgänge wie windows-Aktivierung und -Updates auszuführen, nachdem das private Subnetzfeature aktiviert und standardmäßiger ausgehender Zugriff deaktiviert wurde?

Sie können eine explizite Methode der ausgehenden Konnektivität für Ihre virtuellen Computer einrichten, bevor Sie das private Subnetzfeature aktivieren, z. B. NAT-Gateway, um sicherzustellen, dass weiterhin ausgehende Verbindungen mit dem Internet vorhanden sind.

Erhalten meine virtuellen Computer weiterhin standardmäßige ausgehende IPs, auch wenn ich ein NAT-Gateway an ein Subnetz angeschlossen habe?

In einigen Fällen wird virtuellen Computern in einem nichtprivaten Subnetz weiterhin eine standardmäßige ausgehende IP-Adresse zugewiesen, selbst wenn ein NAT-Gateway oder ein UDR, das den Datenverkehr an eine NVA/Firewall leitet, konfiguriert ist. Dies bedeutet nicht, dass standardmäßige ausgehende IPs für den Ausgang verwendet werden, es sei denn, diese expliziten ausgehenden Konnektivitätsmethoden werden entfernt. Um die ausgehenden Standard-IP-Adressen vollständig zu entfernen, muss das Subnetz privat sein, und die virtuellen Computer müssen beendet und ihre Zuordnung muss aufgehoben werden.

Verbindungstimeouts und Timer

Was ist das Leerlauftimeout für ein NAT-Gateway?

Bei TCP-Verbindungen wird der Leerlauftimeouttimer standardmäßig auf 4 Minuten festgelegt und kann auf bis zu 120 Minuten konfiguriert werden. Wenn Sie lange Verbindungsflows beibehalten müssen, verwenden Sie TCP-Keepalives, anstatt den Leerlauftimeouttimer zu erweitern. TCP-Keepalives pflegen aktive Verbindungen für einen längeren Zeitraum.

Der UDP-Leerlauftimeouttimer ist auf 4 Minuten festgelegt und kann nicht konfiguriert werden.

Was ist das Verhalten des NAT-Gateways für die SNAT-Portwiederverwendung?

Wenn eine TCP/UDP-Verbindung geschlossen wird, wird der Port in einen Cooldown-Zeitraum versetzt, bevor er wiederverwendet werden kann, um eine Verbindung mit demselben Zielendpunkt herzustellen. Weitere Informationen finden Sie unter Timer für SNAT-Portwiederverwendung. Verbindungen, die zu einem anderen Ziel gehen, können sofort einen SNAT-Port verwenden. Weitere Informationen finden Sie unter SNAT mit Azure NAT Gateway.

NAT Gateway-Integration in andere Azure-Dienste

Kann ich ein NAT-Gateway mit Azure App Service verwenden?

Ja, ein NAT-Gateway kann mit Azure App Service verwendet werden, damit Anwendungen ausgehenden Datenverkehr aus einem virtuellen Netzwerk an das Internet leiten können. Um diese Integration zwischen einem NAT-Gateway und Azure App Service nutzen zu können, muss die Integration für regionale virtuelle Netzwerke aktiviert sein. Informationen zum Aktivieren der Integration virtueller Netzwerke für ein NAT-Gateway finden Sie unter Azure NAT Gateway-Integration.

Kann ich ein NAT-Gateway mit Azure Kubernetes Service verwenden?

Ja. Das standardmäßige NAT-Gateway kann entweder als verwaltetes NAT-Gateway oder als benutzerzugeordnetes NAT-Gateway verwendet werden. StandardV2 NAT-Gateway kann nur als vom Benutzer zugewiesenes NAT-Gateway verwendet werden. Weitere Informationen zur NAT Gateway-Integration in Azure Kubernetes Service finden Sie unter Managed NAT Gateway.

Wann wird das NAT Gateway verwendet, um eine Verbindung von meinem AKS-Cluster mit dem AKS-API-Server herzustellen?

Um einen AKS-Cluster zu verwalten, interagiert der Cluster mit seinem API-Server. In nichtprivaten Clustern wird der API-Server-Clusterdatenverkehr über den Ausgangstyp des Clusters weitergeleitet und verarbeitet. Wenn der ausgehende Clustertyp auf NAT Gateway festgelegt ist, wird der API-Serverdatenverkehr als öffentlicher Datenverkehr über das NAT-Gateway verarbeitet. Um zu verhindern, dass API-Serverdatenverkehr als öffentlicher Datenverkehr verarbeitet wird, sollten Sie einen privaten Cluster oder das Feature API-Server-VNET-Integration (Vorschau) verwenden.

Kann ich einen NAT-Gateway mit Azure Firewall verwenden?

Ja, ein NAT-Gateway kann mit Azure Firewall verwendet werden. Es wird empfohlen, standardV2 NAT-Gateway mit einer zonenredundanten Firewall zu verwenden. Weitere Informationen zur Integration eines NAT-Gateways in Azure Firewall finden Sie unter Skalieren von SNAT-Ports mit einem NAT-Gateway.

Kann ich ein NAT-Gateway mit Virtual Network-Dienstendpunkten oder Azure Private Link verwenden?

Ja, das Hinzufügen eines NAT-Gateways zu einem Subnetz mit Dienstendpunkten wirkt sich nicht auf die Endpunkte aus. VNET-Dienstendpunkte ermöglichen eine spezifischere Route für den angestrebten Azure-Dienstverkehr, den sie darstellen. Der Datenverkehr für den Dienstendpunkt durchläuft den Azure-Backbone und nicht das Internet. Private Link wird anstelle von Dienstendpunkten empfohlen, wenn Sie direkt über das Azure-Netzwerk eine Verbindung mit Platform-as-a-Service-Diensten herstellen wollen.

Kann ich ein NAT-Gateway mit meinem Azure Databricks-Arbeitsbereich verwenden?

Ja. NAT-Gateway kann auf eine von zwei Arten mit Azure Databricks verwendet werden, wenn Sie sichere Clusterverbindungen in Ihrem Arbeitsbereich aktivieren:

• Wenn Sie sichere Clusterverbindungen mit dem virtuellen Standardnetzwerk von Azure Databricks verwenden, erstellt Azure Databricks automatisch ein NAT-Gateway für ausgehenden Datenverkehr aus den Subnetzen Ihres Arbeitsbereichs. Dieses NAT-Gateway wird innerhalb der verwalteten Ressourcengruppe erstellt, die von Azure Databricks verwaltet wird. Sie können diese Ressourcengruppe oder die in ihr bereitgestellten Ressourcen nicht ändern.
• Wenn Sie sichere Clusterverbindungen in einem Arbeitsbereich aktivieren, in dem die Einbindung in virtuelle Netzwerke verwendet wird, können Sie in beiden Subnetzen des Arbeitsbereichs ein NAT-Gateway bereitstellen, um ausgehende Verbindungen bereitzustellen. Sie können die Konfiguration für angepasste Anforderungen an ausgehende Verbindungen in diesem Fall ändern. Weitere Informationen finden Sie unter Sichern der Clusterkonnektivität.

Wird das NAT Gateway mit Azure SQL Managed Instance unterstützt?

Nein, das NAT -Gateway kann nicht in einem Subnetz der verwalteten SQL-Instanz verwendet werden.

Nächste Schritte

Wenn Ihre Frage hier nicht aufgeführt wird, senden Sie uns Feedback zu dieser Seite mit Ihrer Frage. Dadurch wird ein GitHub-Issue für das Produktteam erstellt, um sicherzustellen, dass alle wichtigen Fragen unserer Kunden beantwortet werden.

Hier erhalten Sie einige Antworten auf häufige gestellte Fragen zur Verwendung von Azure NAT Gateway.

Das Azure NAT-Gateway ist eine vollständig verwaltete, hochgradig robuste ausgehende Konnektivitätslösung für virtuelle Azure-Netzwerke. Um eine sichere und skalierbare ausgehende Konnektivität zu erreichen, fügen Sie an Subnetze in einem virtuellen Netzwerk und mindestens an eine statische öffentliche IP-Adresse ein NAT-Gateway an.

Siehe Preise für Azure NAT-Gateways.

Siehe Azure NAT Gateway-Grenzwerte.

Die Anzahl der pro Abonnement und Region zulässigen NAT-Gatewayressourcen variiert je nach Angebotskategorietyp, z. B. kostenlose Testversion, nutzungsbasierte Bezahlung, Cloud Solution Provider (CSP) und Enterprise Agreement. Die Enterprise Agreement- und CSP-Angebotstypen können bis zu 1 000 NAT-Gatewayressourcen haben. Die Sponsor- und nutzungsbasierten Angebotstypen können bis zu 100 NAT-Gatewayressourcen haben. Alle anderen Angebotstypen, z. B. kostenlose Testversionen, können bis zu 15 NAT-Gatewayressourcen haben.

Nein, eine NAT-Gatewayressource kann nicht gleichzeitig mit mehr als einem Abonnement verwendet werden. Detaillierte Anleitungen finden Sie unter Erstellen und Konfigurieren eines NAT-Gateways nach einem Regionswechsel.

Nein, ein NAT-Gateway kann nicht abonnement-, regions- oder ressourcengruppenübergreifend verschoben werden. Für das andere Abonnement, die Region oder die Ressourcengruppe muss eine neue NAT Gateway-Instanz erstellt werden.

Ein NAT-Gateway bietet ausgehende Konnektivität aus einem virtuellen Netzwerk. Rückdatenverkehr als direkte Antwort auf einen ausgehenden Flow kann ebenfalls einen NAT-Gateway durchlaufen. Kein eingehender Datenverkehr direkt aus dem Internet kann einen NAT-Gateway durchlaufen.

Verwenden Sie für das Standard-SKU NAT Gateway Protokolle den virtuellen Netzwerkflow. VNet-Datenflussprotokolle sind ein Feature von Azure Network Watcher, das Informationen zu IP-Datenverkehr protokolliert, der durch ein virtuelles Netzwerk fließt. Datenflussdaten aus VNet-Datenflussprotokollen werden an Azure Storage gesendet. Von dort aus können Sie auf die Daten zugreifen und sie in jedes Visualisierungstool, eine SIEM-Lösung (Security Information and Event Management) oder ein Intrusion Detection System (IDS, Angriffserkennungssystem) exportieren.

VNet-Datenflussprotokolle bieten Verbindungsinformationen für Ihre VMs. Die Verbindungsinformationen umfassen die Quell-IP-Adresse und den Port, die Ziel-IP-Adresse und den Port sowie den Zustand der Verbindung. Die Flussrichtung des Datenverkehrs und der Umfang des Datenverkehrs im Hinblick auf die Anzahl gesendeter Pakete und Bytes werden ebenfalls protokolliert. Die im VNet-Datenflussprotokoll angegebene Quell-IP und der Port sind die des virtuellen Computers und nicht die des NAT-Gateways.

Allgemeine Anleitungen zum Erstellen und Verwalten von VNet-Datenflussprotokollen finden Sie unter Verwalten von Datenflussprotokollen für virtuelle Netzwerke.

Für das StandardV2 NAT-Gateway sind NAT-Gatewayflussprotokolle verfügbar und stellen Informationen zur IP-Ebene zum Datenverkehr bereit, der über das NAT-Gateway fließt. Weitere Informationen finden Sie unter Analysieren des NAT-Gatewaydatenverkehrs mit Ablaufprotokollen.

Um eine NAT Gateway-Ressource zu löschen, muss die Ressource zunächst vom Subnetz getrennt werden. Sobald die NAT-Gateway-Ressource von allen Subnetzen abgekoppelt ist, kann sie gelöscht werden. Ausführliche Informationen finden Sie unter Entfernen einer NAT-Gatewayressource aus einem Subnetz und Löschen der Ressource.

Nein, ein NAT-Gateway unterstützt keine IP-Fragmentierung für das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP).

StandardV2 NAT Gateway ist ein neues SKU-Angebot des Azure NAT Gateway-Diensts, der sich derzeit in der öffentlichen Vorschau befindet. StandardV2 NAT Gateway bietet Zonenredundanzunterstützung, erweiterte Grenzwerte für die Datenverarbeitung, IPv6-Unterstützung, Flussprotokolle und erhöhte Skalierbarkeit im Vergleich zum ursprünglichen Standard-NAT-Gateway. Weitere Informationen finden Sie unter NAT-Gateway-SKUs.

Nein, Sie können kein vorhandenes NAT-Gateway auf StandardV2 NAT-Gateway aktualisieren. Um von Standard zu StandardV2 NAT Gateway zu migrieren, erstellen Sie eine neue StandardV2 NAT-Gatewayressource, und ordnen Sie sie Ihrem Subnetz zu.

Ja, um mehr über bekannte Probleme und Einschränkungen von StandardV2 NAT Gateway zu erfahren.

Nein, es gibt keine Preisunterschiede. Standard- und StandardV2-NAT-Gateway sind zum gleichen Preis. Weitere Informationen finden Sie unter Azure NAT Gateway-Preise.

Nein, öffentliche Standard-IPs können nicht mit StandardV2 NAT-Gateway verwendet werden. Um standardV2 NAT-Gateway zu verwenden, müssen Sie öffentliche StandardV2-IPs verwenden. Weitere Informationen finden Sie unter NAT-Gateway-SKUs.

Nein, ein StandardV2 NAT-Gateway kann nur gleichzeitig an ein einzelnes virtuelles Netzwerk angefügt werden.

Die gleichen Metriken, die für das Standard-NAT-Gateway verfügbar sind, sind auch für das StandardV2 NAT-Gateway verfügbar. Weitere Informationen finden Sie unter NAT-Gatewaymetriken.

Nein, StandardV2 NAT-Gateway ist in den meisten öffentlichen Regionen verfügbar. StandardV2 NAT Gateway ist nicht verfügbar in: Canada East, Central India, Chile Central, Indonesien Central, Israel Northwest, Malaysia West, Katar Central, UAE Central.

Die Metrik Anzahl der SNAT-Verbindungen zeigt die Anzahl der neuen SNAT-Verbindungen (Source Network Address Translation, Übersetzung der Quellnetzwerkadresse) pro Sekunde an. Die Metrik Gesamtanzahl der SNAT-Verbindungen zeigt die Gesamtzahl der aktiven Verbindungen in einer NAT-Gatewayressource an.

Für ein NAT-Gateway gibt es keine Metrik zur SNAT-Portnutzung. Verwenden Sie die Metriken „Anzahl der SNAT-Verbindungen“ und „Gesamtanzahl der SNAT-Verbindungen“, um die SNAT-Kapazität Ihrer NAT-Gatewayressource auszuwerten.

NAT-Gatewaymetriken können mithilfe der REST-API für Metriken abgerufen werden. Alternativ können Sie Freigeben auswählen und dann im Bereich NAT-Gatewaymetriken im Azure-Portal auf In Excel herunterladen gehen.

Nein, NAT-Gatewaymetriken können nicht mithilfe von Diagnoseeinstellungen exportiert werden. NAT-Gatewaymetriken sind mehrdimensional. Diagnoseeinstellungen unterstützen den Export von mehrdimensionalen Metriken nicht.

Ein NAT-Gateway stellt automatisch ausgehende Verbindungen mit dem Internet her, nachdem es an eine öffentliche IP-Adresse oder ein Präfix und ein Subnetz angefügt wurde. Ein NAT-Gateway hat Vorrang vor Azure Load Balancer mit Ausgangsregeln, öffentlichen IP-Adressen auf Instanzebene auf VMs und Azure Firewall für ausgehende Verbindungen.

Nein, es gibt keine Unterbrechung der Verbindungen. Vorhandene Verbindungen mit dem vorherigen ausgehenden Dienst (Load Balancer, Azure Firewall, öffentliche IP-Adressen auf Instanzebene) funktionieren weiterhin, bis diese Verbindungen geschlossen werden. Nachdem ein NAT-Gateway dem Subnetz des virtuellen Netzwerks hinzugefügt wurde, verwenden alle neuen ausgehenden Verbindungen das NAT-Gateway.

Nein, zwischen einer öffentlichen IP-Adresse eines NAT-Gateways und einer privaten IP-Adresse kann keine direkte Verbindung über das Internet hergestellt werden.

Alle aktiven Verbindungen, die einer öffentlichen IP-Adresse zugeordnet sind, werden beendet, wenn die öffentliche IP-Adresse entfernt wird. Wenn die NAT Gateway-Ressource über mehrere öffentliche IP-Adressen verfügt, wird neuer Datenverkehr unter den zugewiesenen IP-Adressen umverteilt.

Es gibt ein paar mögliche Gründe dafür, warum Sie eine andere IP sehen können, die für die Verbindung mit ausgehenden Verbindungen verwendet wird als die, die Ihrem NAT-Gateway zugeordnet ist. Informationen zur Problembehandlung finden Sie in der Problembehandlung für NAT Gateway-Verbindungen.

Nein, NAT Gateway ist nicht mit dem aktiven FTP-Modus kompatibel. Wenn das NAT-Gateway konfiguriert ist, verwenden der Clientkanal und der Datenkanal für den aktiven FTP-Modus unterschiedliche IPs, sodass der FTP-Server die Verbindung als ungültig sieht. Weitere Informationen finden Sie im Leitfaden zum Behandeln von Problemen bei der NAT Gateway-Konnektivität unter Verbindungsfehler beim FTP-Server für den aktiven oder passiven Modus.

NAT Gateway kann im passiven FTP-Modus verwendet werden, jedoch nur, wenn eine öffentliche IP-Adresse für das NAT-Gateway konfiguriert ist. Der passive FTP-Modus funktioniert nicht mit einer NAT Gateway-Instanz, die entweder mit einem öffentlichen IP-Präfix oder mehreren öffentlichen IP-Adressen konfiguriert ist. Wenn NATGateway mit mehreren öffentlichen IP-Adressen ausgehenden Datenverkehr sendet, wird nach dem Zufallsprinzip eine der öffentlichen IP-Adressen als Quell-IP-Adresse ausgewählt. Der passive FTP-Modus funktioniert nicht, wenn für Daten- und Steuerungskanäle unterschiedliche Quell-IP-Adressen verwendet werden. Weitere Informationen finden Sie im Leitfaden zum Behandeln von Problemen bei der NAT Gateway-Konnektivität unter Verbindungsfehler beim FTP-Server für den aktiven oder passiven Modus.

Nein, öffentliche NAT-Gateway-IPs werden nicht zum Herstellen einer Verbindung mit Speicherkonten in derselben Region verwendet. Dienste, die in derselben Region wie ein Azure-Speicherkonto bereitgestellt werden, verwenden für die Kommunikation private Azure-IP-Adressen. Sie können den Zugriff auf bestimmte Azure-Dienste nicht anhand ihres öffentlichen ausgehenden IP-Adressbereichs einschränken. Weitere Informationen finden Sie unter Einschränkungen für IP-Netzwerkregeln.

Ein NAT-Gateway verwendet den standardmäßigen Internetpfad eines Subnetzes, um den Datenverkehr an das Internet weiterzuleiten. Der Datenverkehr durchläuft kein NAT-Gateway, wenn eine benutzerdefinierte Route für direkten 0.0.0.0/0-Datenverkehr an das virtuelle Netzwerkgerät (NVA), das als Typ des nächsten Hops festgelegt ist, oder ein virtuelles Netzwerkgateway erstellt wird.

Es ist keine Konfiguration für die Subnetz-Routingtabelle erforderlich, um ausgehende Verbindungen über ein NAT-Gateway herzustellen. Wenn ein NAT-Gateway einem Subnetz zugewiesen wird, wird das NAT-Gateway zum Typ des nächsten Hops für den gesamten Datenverkehr in das Internet. Datenverkehr kann ausgehende Verbindungen mit dem Internet herstellen, sobald das NAT-Gateway einem Subnetz und mindestens einer öffentlichen IP-Adresse zugewiesen wurde.

Ja, ein NAT-Gateway kann ohne öffentliche IP-Adresse oder Präfix und Subnetz bereitgestellt werden. Es ist jedoch erst funktionsfähig, wenn Sie mindestens eine öffentliche IP-Adresse oder ein Präfix und ein Subnetz anfügen.

Öffentliche IP-Adressen in Ihrem NAT-Gateway sind fest und ändern sich nicht.

Ein NAT-Gateway kann bis zu 16 öffentliche IP-Adressen verwenden. Ein NAT-Gateway kann eine beliebige Kombination von öffentlichen IP-Adressen und Präfixen öffentlicher IPs verwenden (insgesamt 16 Adressen). Ein NAT-Gateway unterstützt die folgenden Präfixgrößen: /28 (16 Adressen), /29 (8 Adressen), /30 (4 Adressen) und /31 (2 Adressen).

Sie können öffentliche IP-Präfixe und Adressen verwenden, die von benutzerdefinierten IP-Präfixen abgeleitet sind, auch bekannt als Bring your own IP (BYOIP) mit dem Standard-SKU-NAT-Gateway. Benutzerdefinierte IPs werden nicht mit StandardV2 NAT-Gateway unterstützt. Weitere Informationen finden Sie unter Benutzerdefiniertes IP-Adresspräfix (BYOIP).

Standardmäßiges SKU-NAT-Gateway unterstützt keine öffentlichen IPv6-IP-Adressen. StandardV2 NAT Gateway kann mit bis zu 16 öffentlichen IPv6-IP-Adressen oder einem /124-Größenpräfix verknüpft werden.

Nein, ein NAT Gateway unterstützt keine öffentlichen IP-Adressen mit der Routingeinstellung „Internet“. Eine Liste der Azure-Dienste, die den Routingkonfigurationstyp „Internet“ für öffentliche IPs unterstützen, finden Sie unter Unterstützte Dienste für das Routing über das öffentliche Internet.

Nein, ein NAT-Gateway unterstützt keine öffentlichen IP-Adressen mit aktiviertem DDoS-Schutz. DDoS-geschützte IPs sind im Allgemeinen wichtiger für eingehenden Datenverkehr, da die meisten DDoS-Angriffe darauf ausgelegt sind, die Ressourcen des Ziels zu überlasten, indem sie diese mit einer großen Menge an eingehendem Datenverkehr überfluten. Weitere Informationen zu DDoS-geschützten IPs finden Sie unter DDoS-Einschränkungen.

Ja, Sie können die öffentlichen IP-Adressen ändern, die einem vorhandenen NAT Gateway zugeordnet sind. Informationen zum Ändern der öffentlichen IP-Adresse Ihres NAT-Gateways finden Sie unter Hinzufügen oder Entfernen einer öffentlichen IP-Adresse. Öffentliche STANDARDV2-SKU-IPs funktionieren nicht mit standard-NAT-Gateway. Öffentliche StandardV2-SKU-IPs funktionieren nur mit StandardV2 NAT-Gateway.

Ihre Subnetzressourcen können jede der öffentlichen IP-Adressen verwenden, die für die NAT Gateway für ausgehende Konnektivität angefügt sind. Jedes Mal, wenn eine neue ausgehende Verbindung über ein NAT-Gateway hergestellt wird, wird die ausgehende öffentliche IP-Adresse zufällig ausgewählt.

Nein. In einem Subnetz, das mit einem NAT-Gateway konfiguriert wurde, wird die IP-Zuweisung an bestimmte Subnetze oder VM-Instanzen nicht unterstützt.

Nein, ein NAT-Gateway kann nicht an mehrere virtuelle Netzwerke angefügt werden.

Ja, NAT-Gateway kann bis zu 800 Subnetze in einem virtuellen Netzwerk zugeordnet werden. Sie muss nicht mit allen Subnetzen innerhalb eines virtuellen Netzes verbunden sein.

Ein NAT-Gateway kann keinem Gatewaysubnetz zugeordnet werden. Gatewaysubnetze sind für VPN-Gatewayressourcen reserviert und sind nicht mit NAT-Gatewaybereitstellungen kompatibel. Um ein NAT-Gateway zu verwenden, fügen Sie es an ein anderes Subnetz innerhalb desselben virtuellen Netzwerks an.

Nein, eine NAT-Gateway-Instanz funktioniert auf der Grundlage der Eigenschaften des Subnetzes. Daher ist es nicht möglich, mehrere NAT-Gateways an ein einzelnes Subnetz anzufügen.

Datenverkehr aus den virtuellen Spoke-Netzwerken kann über ein NVA oder Azure Firewall an das zentrale virtuelle Hubnetzwerk weitergeleitet werden. Ein NAT-Gateway kann dann ausgehende Konnektivität für alle virtuellen Spoke-Netzwerke aus dem zentralen Hubnetzwerk bereitstellen. Informationen zum Einrichten eines NAT-Gateways in einer Hub-and-Spoke-Architektur mit NVAs finden Sie unter Verwenden eines NAT-Gateways in einem Hub-and-Spoke-Netzwerk. Informationen zur Verwendung eines NAT-Gateways mit Azure Firewall in einem Hub-and-Spoke-Setup finden Sie unter Integrieren eines NAT-Gateways in Azure Firewall.

Standardmäßiges NAT-Gateway kann zonal sein oder in "keine Zone" platziert werden. Ein NAT-Gateway ohne Zone wird in einer Zone für Sie von Azure platziert. Ein zonales NAT-Gateway wird vom Benutzer bei der Erstellung des NAT-Gateways mit einer bestimmten Zone verknüpft. StandardV2 NAT-Gateway ist nur zonenredundant. Wenn eine einzelne Zone in einer Region ausfällt, kann das StandardV2-NAT-Gateway weiterhin funktionieren und aus den verbleibenden intakten Zonen ausgehende Verbindungen bereitstellen. Die zonale Konfiguration eines NAT Gateways kann nach der Bereitstellung nicht mehr geändert werden.

Zonen-redundante Standard SKU öffentliche IP-Adressen und Präfixe können entweder an ein nicht-zonales oder zonales Standard SKU NAT Gateway angebunden werden. Öffentliche StandardV2-SKU-IPs sind nur zonenredundant und können nur mit StandardV2 NAT-Gateway verwendet werden, das auch zonenredundant ist. Weitere Informationen finden Sie unter Azure NAT Gateway und Verfügbarkeitszonen.

Nein, das NAT-Gateway "Standard" und "StandardV2" ist nicht mit grundlegenden SKU-Ressourcen kompatibel. Weitere Informationen finden Sie unter Grundlagen von Azure NAT Gateway. Führen Sie ein Upgrade vom Lastenausgleich und der zugehörigen öffentlichen IP-Adresse im Tarif „Basic“ zu „Standard“ durch, um mit einem NAT-Gateway zu arbeiten. Weitere Hilfe:

• Informationen zum Upgraden eines Basic-Lastenausgleichs zu „Standard“ finden Sie unter Upgraden eines öffentlichen Lastenausgleichs in Azure.
• Informationen zum Upgrade einer öffentlichen IP-Adresse im Tarif „Basic“ auf den Tarif „Standard“ finden Sie unter Durchführen eines Upgrades für eine öffentliche IP-Adresse.
• Informationen zum Upgrade einer „Basic“ öffentlichen IP mit einer angefügten VM zu „Standard“ finden Sie unter Upgrade einer „Basic“ öffentlichen IP-Adresse mit einer angefügten VM.

Nein, beim Hinzufügen des NAT-Gateways zu einem Subnetz, bei dem standardmäßiger ausgehender Zugriff verwendet wird, gibt es keine Ausfallzeiten. Nachdem das NAT-Gateway dem Subnetz hinzugefügt wurde, beginnen alle neuen Verbindungen mit der Verwendung des NAT-Gateways anstelle des standardmäßigen ausgehenden Zugriffs. Alle vorhandenen Verbindungen mit standardmäßigen ausgehenden Zugriffen bleiben bestehen, bis die Verbindungen geschlossen sind.

Sie können eine explizite Methode der ausgehenden Konnektivität für Ihre virtuellen Computer einrichten, bevor Sie das private Subnetzfeature aktivieren, z. B. NAT-Gateway, um sicherzustellen, dass weiterhin ausgehende Verbindungen mit dem Internet vorhanden sind.

In einigen Fällen wird virtuellen Computern in einem nichtprivaten Subnetz weiterhin eine standardmäßige ausgehende IP-Adresse zugewiesen, selbst wenn ein NAT-Gateway oder ein UDR, das den Datenverkehr an eine NVA/Firewall leitet, konfiguriert ist. Dies bedeutet nicht, dass standardmäßige ausgehende IPs für den Ausgang verwendet werden, es sei denn, diese expliziten ausgehenden Konnektivitätsmethoden werden entfernt. Um die ausgehenden Standard-IP-Adressen vollständig zu entfernen, muss das Subnetz privat sein, und die virtuellen Computer müssen beendet und ihre Zuordnung muss aufgehoben werden.

Bei TCP-Verbindungen wird der Leerlauftimeouttimer standardmäßig auf 4 Minuten festgelegt und kann auf bis zu 120 Minuten konfiguriert werden. Wenn Sie lange Verbindungsflows beibehalten müssen, verwenden Sie TCP-Keepalives, anstatt den Leerlauftimeouttimer zu erweitern. TCP-Keepalives pflegen aktive Verbindungen für einen längeren Zeitraum.

Der UDP-Leerlauftimeouttimer ist auf 4 Minuten festgelegt und kann nicht konfiguriert werden.

Wenn eine TCP/UDP-Verbindung geschlossen wird, wird der Port in einen Cooldown-Zeitraum versetzt, bevor er wiederverwendet werden kann, um eine Verbindung mit demselben Zielendpunkt herzustellen. Weitere Informationen finden Sie unter Timer für SNAT-Portwiederverwendung. Verbindungen, die zu einem anderen Ziel gehen, können sofort einen SNAT-Port verwenden. Weitere Informationen finden Sie unter SNAT mit Azure NAT Gateway.

Ja, ein NAT-Gateway kann mit Azure App Service verwendet werden, damit Anwendungen ausgehenden Datenverkehr aus einem virtuellen Netzwerk an das Internet leiten können. Um diese Integration zwischen einem NAT-Gateway und Azure App Service nutzen zu können, muss die Integration für regionale virtuelle Netzwerke aktiviert sein. Informationen zum Aktivieren der Integration virtueller Netzwerke für ein NAT-Gateway finden Sie unter Azure NAT Gateway-Integration.

Ja. Das standardmäßige NAT-Gateway kann entweder als verwaltetes NAT-Gateway oder als benutzerzugeordnetes NAT-Gateway verwendet werden. StandardV2 NAT-Gateway kann nur als vom Benutzer zugewiesenes NAT-Gateway verwendet werden. Weitere Informationen zur NAT Gateway-Integration in Azure Kubernetes Service finden Sie unter Managed NAT Gateway.

Um einen AKS-Cluster zu verwalten, interagiert der Cluster mit seinem API-Server. In nichtprivaten Clustern wird der API-Server-Clusterdatenverkehr über den Ausgangstyp des Clusters weitergeleitet und verarbeitet. Wenn der ausgehende Clustertyp auf NAT Gateway festgelegt ist, wird der API-Serverdatenverkehr als öffentlicher Datenverkehr über das NAT-Gateway verarbeitet. Um zu verhindern, dass API-Serverdatenverkehr als öffentlicher Datenverkehr verarbeitet wird, sollten Sie einen privaten Cluster oder das Feature API-Server-VNET-Integration (Vorschau) verwenden.

Ja, ein NAT-Gateway kann mit Azure Firewall verwendet werden. Es wird empfohlen, standardV2 NAT-Gateway mit einer zonenredundanten Firewall zu verwenden. Weitere Informationen zur Integration eines NAT-Gateways in Azure Firewall finden Sie unter Skalieren von SNAT-Ports mit einem NAT-Gateway.

Ja, das Hinzufügen eines NAT-Gateways zu einem Subnetz mit Dienstendpunkten wirkt sich nicht auf die Endpunkte aus. VNET-Dienstendpunkte ermöglichen eine spezifischere Route für den angestrebten Azure-Dienstverkehr, den sie darstellen. Der Datenverkehr für den Dienstendpunkt durchläuft den Azure-Backbone und nicht das Internet. Private Link wird anstelle von Dienstendpunkten empfohlen, wenn Sie direkt über das Azure-Netzwerk eine Verbindung mit Platform-as-a-Service-Diensten herstellen wollen.

Ja. NAT-Gateway kann auf eine von zwei Arten mit Azure Databricks verwendet werden, wenn Sie sichere Clusterverbindungen in Ihrem Arbeitsbereich aktivieren:

• Wenn Sie sichere Clusterverbindungen mit dem virtuellen Standardnetzwerk von Azure Databricks verwenden, erstellt Azure Databricks automatisch ein NAT-Gateway für ausgehenden Datenverkehr aus den Subnetzen Ihres Arbeitsbereichs. Dieses NAT-Gateway wird innerhalb der verwalteten Ressourcengruppe erstellt, die von Azure Databricks verwaltet wird. Sie können diese Ressourcengruppe oder die in ihr bereitgestellten Ressourcen nicht ändern.
• Wenn Sie sichere Clusterverbindungen in einem Arbeitsbereich aktivieren, in dem die Einbindung in virtuelle Netzwerke verwendet wird, können Sie in beiden Subnetzen des Arbeitsbereichs ein NAT-Gateway bereitstellen, um ausgehende Verbindungen bereitzustellen. Sie können die Konfiguration für angepasste Anforderungen an ausgehende Verbindungen in diesem Fall ändern. Weitere Informationen finden Sie unter Sichern der Clusterkonnektivität.

Nein, das NAT -Gateway kann nicht in einem Subnetz der verwalteten SQL-Instanz verwendet werden.

Nächste Schritte

Wenn Ihre Frage hier nicht aufgeführt wird, senden Sie uns Feedback zu dieser Seite mit Ihrer Frage. Dadurch wird ein GitHub-Issue für das Produktteam erstellt, um sicherzustellen, dass alle wichtigen Fragen unserer Kunden beantwortet werden.