Häufig gestellte Fragen zu Azure NAT Gateway

Das Azure NAT-Gateway ist eine vollständig verwaltete, hochgradig robuste ausgehende Konnektivitätslösung für virtuelle Azure-Netzwerke. Um eine sichere und skalierbare ausgehende Konnektivität zu erreichen, fügen Sie an Subnetze in einem virtuellen Netzwerk und mindestens an eine statische öffentliche IP-Adresse ein NAT-Gateway an.

Siehe Preise für Azure NAT-Gateways.

Siehe Azure NAT Gateway-Grenzwerte.

Die Anzahl der pro Abonnement und Region zulässigen NAT-Gatewayressourcen variiert je nach Angebotskategorietyp, z. B. kostenlose Testversion, nutzungsbasierte Bezahlung, Cloud Solution Provider (CSP) und Enterprise Agreement. Die Enterprise Agreement- und CSP-Angebotstypen können bis zu 1 000 NAT-Gatewayressourcen haben. Die Sponsor- und nutzungsbasierten Angebotstypen können bis zu 100 NAT-Gatewayressourcen haben. Alle anderen Angebotstypen, z. B. kostenlose Testversionen, können bis zu 15 NAT-Gatewayressourcen haben.

Nein, eine NAT-Gatewayressource kann nicht gleichzeitig mit mehr als einem Abonnement verwendet werden. Detaillierte Anleitungen finden Sie unter Erstellen und Konfigurieren eines NAT-Gateways nach einem Regionswechsel.

Nein, ein NAT-Gateway kann nicht abonnement-, regions- oder ressourcengruppenübergreifend verschoben werden. Für das andere Abonnement, die Region oder die Ressourcengruppe muss eine neue NAT Gateway-Instanz erstellt werden.

Ein NAT-Gateway bietet ausgehende Konnektivität aus einem virtuellen Netzwerk. Rückdatenverkehr als direkte Antwort auf einen ausgehenden Flow kann ebenfalls einen NAT-Gateway durchlaufen. Kein eingehender Datenverkehr direkt aus dem Internet kann einen NAT-Gateway durchlaufen.

Netzwerksicherheitsgruppen (NSG)-Datenflussprotokolle können verwendet werden, um den Datenverkehrsfluss von einer Ressource in einem Subnetz / virtuellen Netzwerk zu überwachen, indem ein NAT-Gateway für ausgehenden Datenverkehr verwendet wird.

Verwenden Sie Azure Security Center, und befolgen Sie die Empfehlungen für den Netzwerkschutz, um Ihre Azure-Netzwerkressourcen abzusichern. Aktivieren Sie NSG-Datenflussprotokolle und senden Sie die Protokolle zur Überprüfung an ein Azure Storage-Konto. Sie können die Datenflussprotokolle auch an einen Log Analytics-Arbeitsbereich senden und dann mithilfe von Traffic Analytics Einblicke in die Datenverkehrsmuster in Ihrer Azure-Cloud ermöglichen. Einige Vorteile von Traffic Analytics sind die Möglichkeit, die Netzwerkaktivität zu visualisieren, Hotspots und Sicherheitsbedrohungen zu erkennen, Datenverkehrsflussmuster zu verstehen und Netzwerkfehlkonfigurationen zu ermitteln.

Um eine NAT Gateway-Ressource zu löschen, muss die Ressource zunächst vom Subnetz getrennt werden. Sobald die NAT-Gateway-Ressource von allen Subnetzen abgekoppelt ist, kann sie gelöscht werden. Ausführliche Informationen finden Sie unter Entfernen einer NAT-Gatewayressource aus einem Subnetz und Löschen der Ressource.

Nein, ein NAT-Gateway unterstützt keine IP-Fragmentierung für das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP).

Die Metrik Anzahl der SNAT-Verbindungen zeigt die Anzahl der neuen SNAT-Verbindungen (Source Network Address Translation, Übersetzung der Quellnetzwerkadresse) pro Sekunde an. Die Metrik Gesamtanzahl der SNAT-Verbindungen zeigt die Gesamtzahl der aktiven Verbindungen in einer NAT-Gatewayressource an.

Für ein NAT-Gateway gibt es keine Metrik zur SNAT-Portnutzung. Verwenden Sie die Metriken „Anzahl der SNAT-Verbindungen“ und „Gesamtanzahl der SNAT-Verbindungen“, um die SNAT-Kapazität Ihrer NAT-Gatewayressource auszuwerten.

NAT-Gatewaymetriken können mithilfe der REST-API für Metriken abgerufen werden. Alternativ können Sie Freigeben auswählen und dann im Bereich NAT-Gatewaymetriken im Azure-Portal auf In Excel herunterladen gehen.

Nein, NAT-Gatewaymetriken können nicht mithilfe von Diagnoseeinstellungen exportiert werden. NAT-Gatewaymetriken sind mehrdimensional. Diagnoseeinstellungen unterstützen den Export von mehrdimensionalen Metriken nicht.

Ein NAT-Gateway stellt automatisch ausgehende Verbindungen mit dem Internet her, nachdem es an eine öffentliche IP-Adresse oder ein Präfix und ein Subnetz angefügt wurde. Ein NAT-Gateway hat Vorrang vor Azure Load Balancer mit Ausgangsregeln, öffentlichen IP-Adressen auf Instanzebene auf VMs und Azure Firewall für ausgehende Verbindungen.

Nein, es gibt keine Unterbrechung der Verbindungen. Vorhandene Verbindungen mit dem vorherigen ausgehenden Dienst (Load Balancer, Azure Firewall, öffentliche IP-Adressen auf Instanzebene) funktionieren weiterhin, bis diese Verbindungen geschlossen werden. Nachdem ein NAT-Gateway dem Subnetz des virtuellen Netzwerks hinzugefügt wurde, verwenden alle neuen ausgehenden Verbindungen das NAT-Gateway.

Nein, zwischen einer öffentlichen IP-Adresse eines NAT-Gateways und einer privaten IP-Adresse kann keine direkte Verbindung über das Internet hergestellt werden.

Alle aktiven Verbindungen, die einer öffentlichen IP-Adresse zugeordnet sind, werden beendet, wenn die öffentliche IP-Adresse entfernt wird. Wenn die NAT Gateway-Ressource über mehrere öffentliche IP-Adressen verfügt, wird neuer Datenverkehr unter den zugewiesenen IP-Adressen umverteilt.

Es gibt ein paar mögliche Gründe dafür, warum Sie eine andere IP sehen können, die für die Verbindung mit ausgehenden Verbindungen verwendet wird als die, die Ihrem NAT-Gateway zugeordnet ist. Informationen zur Problembehandlung finden Sie in der Problembehandlung für NAT Gateway-Verbindungen.

Ein NAT-Gateway verwendet den standardmäßigen Internetpfad eines Subnetzes, um den Datenverkehr an das Internet weiterzuleiten. Der Datenverkehr durchläuft kein NAT-Gateway, wenn eine benutzerdefinierte Route für direkten 0.0.0.0/0-Datenverkehr an das virtuelle Netzwerkgerät (NVA), das als Typ des nächsten Hops festgelegt ist, oder ein virtuelles Netzwerkgateway erstellt wird.

Es ist keine Konfiguration für die Subnetz-Routingtabelle erforderlich, um ausgehende Verbindungen über ein NAT-Gateway herzustellen. Wenn ein NAT-Gateway einem Subnetz zugewiesen wird, wird das NAT-Gateway zum Typ des nächsten Hops für den gesamten Datenverkehr in das Internet. Datenverkehr kann ausgehende Verbindungen mit dem Internet herstellen, sobald das NAT-Gateway einem Subnetz und mindestens einer öffentlichen IP-Adresse zugewiesen wurde.

Ja, ein NAT-Gateway kann ohne öffentliche IP-Adresse oder Präfix und Subnetz bereitgestellt werden. Es ist jedoch erst funktionsfähig, wenn Sie mindestens eine öffentliche IP-Adresse oder ein Präfix und ein Subnetz anfügen.

Öffentliche IP-Adressen in Ihrem NAT-Gateway sind fest und ändern sich nicht.

Ein NAT-Gateway kann bis zu 16 öffentliche IP-Adressen verwenden. Ein NAT-Gateway kann eine beliebige Kombination von öffentlichen IP-Adressen und Präfixen öffentlicher IPs verwenden (insgesamt 16 Adressen). Ein NAT-Gateway kann die folgenden Präfixgrößen unterstützen: /28 (16 Adressen), /29 (8 Adressen), /30 (4 Adressen) und /31 (2 Adressen).

Sie können für ein NAT-Gateway öffentliche IP-Präfixe und -Adressen verwenden, die von benutzerdefinierten IP-Präfixen (BYOIP) abgeleitet wurden. Weitere Informationen finden Sie unter Benutzerdefiniertes IP-Adresspräfix (BYOIP).

Nein, ein NAT-Gateway unterstützt keine öffentlichen IPv6-Adressen. Sie können jedoch eine Konfiguration mit dualem Stapel mit einem NAT-Gateway und einem Lastenausgleich einsetzen, um ausgehende Verbindungen über IPv4 und IPv6 bereitzustellen. Weitere Informationen finden Sie unter Konfigurieren ausgehender Verbindungen mit dualem Stapel mit einem NAT-Gateway und einem öffentlichen Lastenausgleich.

Nein, ein NAT-Gateway unterstützt keine öffentlichen IP-Adressen mit der Routingeinstellung „Internet“. Eine Liste der Azure-Dienste, die den Routingkonfigurationstyp „Internet“ für öffentliche IPs unterstützen, finden Sie unter Unterstützte Dienste für das Routing über das öffentliche Internet.

Nein, ein NAT-Gateway unterstützt keine öffentlichen IP-Adressen mit aktiviertem DDoS-Schutz. Weitere Informationen finden Sie unter DDoS-Einschränkungen.

Nein, die Adresse einer vorhandenen öffentlichen IP-Adresse kann nicht geändert werden. Informationen zum Ändern der öffentlichen IP-Adresse Ihres NAT-Gateways finden Sie unter Hinzufügen oder Entfernen einer öffentlichen IP-Adresse.

Ihre Subnetzressourcen können jede der öffentlichen IP-Adressen verwenden, die für die NAT Gateway für ausgehende Konnektivität angefügt sind. Jedes Mal, wenn eine neue ausgehende Verbindung über ein NAT-Gateway hergestellt wird, wird die ausgehende öffentliche IP-Adresse zufällig ausgewählt.

Nein In einem Subnetz, das mit einem NAT-Gateway konfiguriert wurde, wird die IP-Zuweisung an bestimmte Subnetze oder VM-Instanzen nicht unterstützt.

Nein, ein NAT-Gateway kann nicht an mehrere virtuelle Netzwerke angefügt werden.

Ja, ein NAT-Gateway kann bis zu 800 Subnetzen in einem virtuellen Netzwerk zugeordnet werden. Sie muss nicht mit allen Subnetzen innerhalb eines virtuellen Netzes verbunden sein.

Ein NAT-Gateway kann keinem Gatewaysubnetz zugeordnet werden.

Nein, eine NAT-Gateway-Instanz funktioniert auf der Grundlage der Eigenschaften des Subnetzes. Daher ist es nicht möglich, mehrere NAT-Gateways an ein einzelnes Subnetz anzufügen.

Datenverkehr aus den virtuellen Spoke-Netzwerken kann über ein NVA oder Azure Firewall an das zentrale virtuelle Hubnetzwerk weitergeleitet werden. Ein NAT-Gateway kann dann ausgehende Konnektivität für alle virtuellen Spoke-Netzwerke aus dem zentralen Hubnetzwerk bereitstellen. Informationen zum Einrichten eines NAT-Gateways in einer Hub-and-Spoke-Architektur mit NVAs finden Sie unter Verwenden eines NAT-Gateways in einem Hub-and-Spoke-Netzwerk. Informationen zur Verwendung eines NAT-Gateways mit Azure Firewall in einem Hub-and-Spoke-Setup finden Sie unter Integrieren eines NAT-Gateways in Azure Firewall.

Ein NAT-Gateway kann mit oder ohne Zone („Keine Zone“) platziert werden. Weitere Informationen finden Sie unter Azure NAT Gateway und Verfügbarkeitszonen. Außerdem:

• Ein NAT-Gateway ohne Zone wird für Sie von Azure in einer Zone platziert.
• Ein zonales NAT-Gateway wird vom Benutzer bei der Erstellung des NAT-Gateways mit einer bestimmten Zone verknüpft.
• Die zonale Konfiguration eines NAT Gateways kann nach der Bereitstellung nicht mehr geändert werden.

Zonenredundante öffentliche IP-Adressen und Präfixe können entweder an ein NAT-Gateway ohne Zone oder an ein NAT-Gateway angefügt werden, das einer bestimmten Verfügbarkeitszone zugewiesen ist. Weitere Informationen finden Sie unter Azure NAT Gateway und Verfügbarkeitszonen.

Nein, ein NAT-Gateway ist kompatibel mit SKU-Standardressourcen. Weitere Informationen finden Sie unter Grundlagen von Azure NAT Gateway. Führen Sie ein Upgrade vom Lastenausgleich und der zugehörigen öffentlichen IP-Adresse im Tarif „Basic“ zu „Standard“ durch, um mit einem NAT-Gateway zu arbeiten. Weitere Hilfe:

• Informationen zum Upgraden eines Basic-Lastenausgleichs zu „Standard“ finden Sie unter Upgraden eines öffentlichen Lastenausgleichs in Azure.
• Informationen zum Upgrade einer öffentlichen IP-Adresse im Tarif „Basic“ auf den Tarif „Standard“ finden Sie unter Durchführen eines Upgrades für eine öffentliche IP-Adresse.
• Informationen zum Upgrade einer „Basic“ öffentlichen IP mit einer angefügten VM zu „Standard“ finden Sie unter Upgrade einer „Basic“ öffentlichen IP-Adresse mit einer angefügten VM.

Bei TCP-Verbindungen wird der Leerlauftimeouttimer standardmäßig auf 4 Minuten festgelegt und kann auf bis zu 120 Minuten konfiguriert werden. Wenn Sie lange Verbindungsflows beibehalten müssen, verwenden Sie TCP-Keepalives, anstatt den Leerlauftimeouttimer zu erweitern. TCP-Keepalives pflegen aktive Verbindungen für einen längeren Zeitraum.

Der UDP-Leerlauftimeouttimer ist auf 4 Minuten festgelegt und kann nicht konfiguriert werden.

Wenn eine TCP/UDP-Verbindung geschlossen wird, wird der Port in einen Cooldown-Zeitraum versetzt, bevor er wiederverwendet werden kann, um eine Verbindung mit demselben Zielendpunkt herzustellen. Weitere Informationen finden Sie unter Timer für SNAT-Portwiederverwendung. Verbindungen, die zu einem anderen Ziel gehen, können sofort einen SNAT-Port verwenden. Weitere Informationen finden Sie unter SNAT mit Azure NAT Gateway.

Ja, ein NAT-Gateway kann mit Azure App Service verwendet werden, damit Anwendungen ausgehenden Datenverkehr aus einem virtuellen Netzwerk an das Internet leiten können. Um diese Integration zwischen einem NAT-Gateway und Azure App Service nutzen zu können, muss die Integration für regionale virtuelle Netzwerke aktiviert sein. Informationen zum Aktivieren der Integration virtueller Netzwerke für ein NAT-Gateway finden Sie unter Azure NAT Gateway-Integration.

Ja. Weitere Informationen zur NAT Gateway-Integration in Azure Kubernetes Service finden Sie unter Managed NAT Gateway.

Ja, ein NAT-Gateway kann mit Azure Firewall verwendet werden. Wenn Azure Firewall mit einem NAT-Gateway verwendet wird, sollte sich der Dienst in einer zonalen Konfiguration befinden. Ein NAT-Gateway funktioniert mit einer zonenredundanten Firewall, jedoch wird diese Art der Bereitstellung derzeit nicht empfohlen. Weitere Informationen zur Integration eines NAT-Gateways in Azure Firewall finden Sie unter Skalieren von SNAT-Ports mit einem NAT-Gateway.

Ja, das Hinzufügen eines NAT-Gateways zu einem Subnetz mit Dienstendpunkten wirkt sich nicht auf die Endpunkte aus. VNET-Dienstendpunkte ermöglichen eine spezifischere Route für den angestrebten Azure-Dienstverkehr, den sie darstellen. Der Datenverkehr für den Dienstendpunkt durchläuft den Azure-Backbone und nicht das Internet. Private Link wird anstelle von Dienstendpunkten empfohlen, wenn Sie direkt über das Azure-Netzwerk eine Verbindung mit Platform-as-a-Service-Diensten herstellen wollen.

Ja. NAT-Gateway kann auf eine von zwei Arten mit Azure Databricks verwendet werden, wenn Sie sichere Clusterverbindungen in Ihrem Arbeitsbereich aktivieren:

• Wenn Sie sichere Clusterverbindungen mit dem virtuellen Standardnetzwerk von Azure Databricks verwenden, erstellt Azure Databricks automatisch ein NAT-Gateway für ausgehenden Datenverkehr aus den Subnetzen Ihres Arbeitsbereichs. Dieses NAT-Gateway wird innerhalb der verwalteten Ressourcengruppe erstellt, die von Azure Databricks verwaltet wird. Sie können diese Ressourcengruppe oder die in ihr bereitgestellten Ressourcen nicht ändern.
• Wenn Sie sichere Clusterverbindungen in einem Arbeitsbereich aktivieren, in dem die Einbindung in virtuelle Netzwerke verwendet wird, können Sie in beiden Subnetzen des Arbeitsbereichs ein NAT-Gateway bereitstellen, um ausgehende Verbindungen bereitzustellen. Sie können die Konfiguration für angepasste Anforderungen an ausgehende Verbindungen in diesem Fall ändern. Weitere Informationen finden Sie unter Sichern der Clusterkonnektivität.

Nächste Schritte

Wenn Ihre Frage hier nicht aufgeführt wird, senden Sie uns Feedback zu dieser Seite mit Ihrer Frage. Dadurch wird ein GitHub-Issue für das Produktteam erstellt, um sicherzustellen, dass alle wichtigen Fragen unserer Kunden beantwortet werden.