Bearbeiten

Freigeben über


Häufig gestellte Fragen zu Azure NAT Gateway

Hier erhalten Sie einige Antworten auf häufige gestellte Fragen zur Verwendung von Azure NAT Gateway.

Grundlagen von Azure NAT Gateway

Was ist Azure NAT Gateway?

Das Azure NAT-Gateway ist eine vollständig verwaltete, hochgradig robuste ausgehende Konnektivitätslösung für virtuelle Azure-Netzwerke. Um eine sichere und skalierbare ausgehende Konnektivität zu erreichen, fügen Sie an Subnetze in einem virtuellen Netzwerk und mindestens an eine statische öffentliche IP-Adresse ein NAT-Gateway an.

Was ist die Preisgestaltung für Azure NAT-Gateway?

Was sind die bekannten Grenzwerte des Azure NAT-Gateways?

Wie viele NAT-Gatewayressourcen sind pro Abonnement zulässig?

Die Anzahl der pro Abonnement und Region zulässigen NAT-Gatewayressourcen variiert je nach Angebotskategorietyp, z. B. kostenlose Testversion, nutzungsbasierte Bezahlung, Cloud Solution Provider (CSP) und Enterprise Agreement. Die Enterprise Agreement- und CSP-Angebotstypen können bis zu 1 000 NAT-Gatewayressourcen haben. Die Sponsor- und nutzungsbasierten Angebotstypen können bis zu 100 NAT-Gatewayressourcen haben. Alle anderen Angebotstypen, z. B. kostenlose Testversionen, können bis zu 15 NAT-Gatewayressourcen haben.

Kann ein NAT-Gateway in mehreren Abonnements verwendet werden?

Nein, eine NAT-Gatewayressource kann nicht gleichzeitig mit mehr als einem Abonnement verwendet werden. Detaillierte Anleitungen finden Sie unter Erstellen und Konfigurieren eines NAT-Gateways nach einem Regionswechsel.

Kann ein NAT-Gateway aus einer Region/einem Abonnement/einer Ressourcengruppe in eine andere bzw. ein anderes verschoben werden?

Nein, ein NAT-Gateway kann nicht abonnement-, regions- oder ressourcengruppenübergreifend verschoben werden. Für das andere Abonnement, die Region oder die Ressourcengruppe muss eine neue NAT Gateway-Instanz erstellt werden.

Kann ein NAT-Gateway verwendet werden, um eingehenden Datenverkehr zu verbinden?

Ein NAT-Gateway bietet ausgehende Konnektivität aus einem virtuellen Netzwerk. Rückdatenverkehr als direkte Antwort auf einen ausgehenden Flow kann ebenfalls einen NAT-Gateway durchlaufen. Kein eingehender Datenverkehr direkt aus dem Internet kann einen NAT-Gateway durchlaufen.

Wie kann ich Protokolle für meine NAT Gateway-Ressource abrufen?

VNet-Datenflussprotokolle sind ein Feature von Azure Network Watcher, das Informationen zu IP-Datenverkehr protokolliert, der durch ein virtuelles Netzwerk fließt. Datenflussdaten aus VNet-Datenflussprotokollen werden an Azure Storage gesendet. Von dort aus können Sie auf die Daten zugreifen und sie in jedes Visualisierungstool, eine SIEM-Lösung (Security Information and Event Management) oder ein Intrusion Detection System (IDS, Angriffserkennungssystem) exportieren.

VNet-Datenflussprotokolle bieten Verbindungsinformationen für Ihre VMs. Die Verbindungsinformationen umfassen die Quell-IP-Adresse und den Port, die Ziel-IP-Adresse und den Port sowie den Zustand der Verbindung. Die Flussrichtung des Datenverkehrs und der Umfang des Datenverkehrs im Hinblick auf die Anzahl gesendeter Pakete und Bytes werden ebenfalls protokolliert. Die im VNet-Datenflussprotokoll angegebene Quell-IP und der Port sind die des virtuellen Computers und nicht die des NAT-Gateways.

Allgemeine Anleitungen zum Erstellen und Verwalten von VNet-Datenflussprotokollen finden Sie unter Verwalten von Datenflussprotokollen für virtuelle Netzwerke.

Wie lösche ich eine NAT Gateway-Ressource?

Um eine NAT Gateway-Ressource zu löschen, muss die Ressource zunächst vom Subnetz getrennt werden. Sobald die NAT-Gateway-Ressource von allen Subnetzen abgekoppelt ist, kann sie gelöscht werden. Ausführliche Informationen finden Sie unter Entfernen einer NAT-Gatewayressource aus einem Subnetz und Löschen der Ressource.

Unterstützt NAT-Gateway die IP-Fragmentierung?

Nein, ein NAT-Gateway unterstützt keine IP-Fragmentierung für das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP).

NAT-Gatewaymetriken

Was ist der Unterschied zwischen „Anzahl der SNAT-Verbindungen“ und „Gesamtanzahl der SNAT-Verbindungen“ für einen NAT-Gateway?

Die Metrik Anzahl der SNAT-Verbindungen zeigt die Anzahl der neuen SNAT-Verbindungen (Source Network Address Translation, Übersetzung der Quellnetzwerkadresse) pro Sekunde an. Die Metrik Gesamtanzahl der SNAT-Verbindungen zeigt die Gesamtzahl der aktiven Verbindungen in einer NAT-Gatewayressource an.

Wie kann ich die SNAT-Portnutzung eines NAT-Gateways sehen?

Für ein NAT-Gateway gibt es keine Metrik zur SNAT-Portnutzung. Verwenden Sie die Metriken „Anzahl der SNAT-Verbindungen“ und „Gesamtanzahl der SNAT-Verbindungen“, um die SNAT-Kapazität Ihrer NAT-Gatewayressource auszuwerten.

Wie kann ich meine NAT-Gatewaymetriken langfristig speichern?

NAT-Gatewaymetriken können mithilfe der REST-API für Metriken abgerufen werden. Alternativ können Sie Freigeben auswählen und dann im Bereich NAT-Gatewaymetriken im Azure-Portal auf In Excel herunterladen gehen.

Können NAT-Gatewaymetriken mithilfe von Diagnoseeinstellungen abgerufen werden?

Nein, NAT-Gatewaymetriken können nicht mithilfe von Diagnoseeinstellungen exportiert werden. NAT-Gatewaymetriken sind mehrdimensional. Diagnoseeinstellungen unterstützen den Export von mehrdimensionalen Metriken nicht.

Ausgehende Konnektivität mit einem NAT-Gateway

Wie kann ich ein NAT-Gateway verwenden, um ausgehende Verbindungen in einem Setup herzustellen, bei dem ich derzeit einen anderen Dienst für ausgehende Verbindungen verwende?

Ein NAT-Gateway stellt automatisch ausgehende Verbindungen mit dem Internet her, nachdem es an eine öffentliche IP-Adresse oder ein Präfix und ein Subnetz angefügt wurde. Ein NAT-Gateway hat Vorrang vor Azure Load Balancer mit Ausgangsregeln, öffentlichen IP-Adressen auf Instanzebene auf VMs und Azure Firewall für ausgehende Verbindungen.

Werden Verbindungen nach dem Anfügen eines NAT-Gateways an ein Subnetz unterbrochen, bei dem derzeit ein anderer Dienst für ausgehende Verbindungen verwendet wird?

Nein, es gibt keine Unterbrechung der Verbindungen. Vorhandene Verbindungen mit dem vorherigen ausgehenden Dienst (Load Balancer, Azure Firewall, öffentliche IP-Adressen auf Instanzebene) funktionieren weiterhin, bis diese Verbindungen geschlossen werden. Nachdem ein NAT-Gateway dem Subnetz des virtuellen Netzwerks hinzugefügt wurde, verwenden alle neuen ausgehenden Verbindungen das NAT-Gateway.

Kann von einer öffentlichen IP-Adresse einer NAT Gateway-Instanz aus über das Internet eine direkte Verbindung mit einer privaten IP-Adresse hergestellt werden?

Nein, zwischen einer öffentlichen IP-Adresse eines NAT-Gateways und einer privaten IP-Adresse kann keine direkte Verbindung über das Internet hergestellt werden.

Wird der Datenverkehrsfluss unterbrochen, wenn einer NAT-Gatewayressource mehrere öffentliche IP-Adressen zugewiesen sind und eine der IP-Adressen entfernt wird?

Alle aktiven Verbindungen, die einer öffentlichen IP-Adresse zugeordnet sind, werden beendet, wenn die öffentliche IP-Adresse entfernt wird. Wenn die NAT Gateway-Ressource über mehrere öffentliche IP-Adressen verfügt, wird neuer Datenverkehr unter den zugewiesenen IP-Adressen umverteilt.

Was bedeutet es, wenn eine IP verwendet wird, um ausgehende Verbindungen herzustellen, die sich von meiner öffentlichen NAT-Gateway-IP unterscheiden?

Es gibt ein paar mögliche Gründe dafür, warum Sie eine andere IP sehen können, die für die Verbindung mit ausgehenden Verbindungen verwendet wird als die, die Ihrem NAT-Gateway zugeordnet ist. Informationen zur Problembehandlung finden Sie in der Problembehandlung für NAT Gateway-Verbindungen.

Verkehrsrouten

Was geschieht mit NAT-Gateway, wenn ich die Durchleitung des Datenverkehrs von 0.0.0.0/0 (Internet) an ein NVA, an Azure VPN Gateway oder an Azure ExpressRoute erzwinge?

Ein NAT-Gateway verwendet den standardmäßigen Internetpfad eines Subnetzes, um den Datenverkehr an das Internet weiterzuleiten. Der Datenverkehr durchläuft kein NAT-Gateway, wenn eine benutzerdefinierte Route für direkten 0.0.0.0/0-Datenverkehr an das virtuelle Netzwerkgerät (NVA), das als Typ des nächsten Hops festgelegt ist, oder ein virtuelles Netzwerkgateway erstellt wird.

Welche Konfiguration muss ich für die Subnetz-Routingtabelle vornehmen, um ausgehende Verbindungen mit einem NAT-Gateway herzustellen?

Es ist keine Konfiguration für die Subnetz-Routingtabelle erforderlich, um ausgehende Verbindungen über ein NAT-Gateway herzustellen. Wenn ein NAT-Gateway einem Subnetz zugewiesen wird, wird das NAT-Gateway zum Typ des nächsten Hops für den gesamten Datenverkehr in das Internet. Datenverkehr kann ausgehende Verbindungen mit dem Internet herstellen, sobald das NAT-Gateway einem Subnetz und mindestens einer öffentlichen IP-Adresse zugewiesen wurde.

NAT-Gatewaykonfigurationen

Kann ein NAT-Gateway ohne öffentliche IP-Adresse oder Subnetz bereitgestellt werden?

Ja, ein NAT-Gateway kann ohne öffentliche IP-Adresse oder Präfix und Subnetz bereitgestellt werden. Es ist jedoch erst funktionsfähig, wenn Sie mindestens eine öffentliche IP-Adresse oder ein Präfix und ein Subnetz anfügen.

Ist die öffentliche IP-Adresse von NAT Gateway statisch?

Öffentliche IP-Adressen in Ihrem NAT-Gateway sind fest und ändern sich nicht.

Wie viele öffentliche IP-Adressen können an einen NAT-Gateway angefügt werden?

Ein NAT-Gateway kann bis zu 16 öffentliche IP-Adressen verwenden. Ein NAT-Gateway kann eine beliebige Kombination von öffentlichen IP-Adressen und Präfixen öffentlicher IPs verwenden (insgesamt 16 Adressen). Ein NAT-Gateway kann die folgenden Präfixgrößen unterstützen: /28 (16 Adressen), /29 (8 Adressen), /30 (4 Adressen) und /31 (2 Adressen).

Wie kann ich benutzerdefinierte IP-Präfixe (BYOIP) mit einem NAT-Gateway verwenden?

Sie können für ein NAT-Gateway öffentliche IP-Präfixe und -Adressen verwenden, die von benutzerdefinierten IP-Präfixen (BYOIP) abgeleitet wurden. Weitere Informationen finden Sie unter Benutzerdefiniertes IP-Adresspräfix (BYOIP).

Kann eine öffentliche IPv6-Adresse mit einem NAT-Gateway verwendet werden?

Nein, ein NAT-Gateway unterstützt keine öffentlichen IPv6-Adressen. Sie können jedoch eine Konfiguration mit dualem Stapel mit einem NAT-Gateway und einem Lastenausgleich einsetzen, um ausgehende Verbindungen über IPv4 und IPv6 bereitzustellen. Weitere Informationen finden Sie unter Konfigurieren ausgehender Verbindungen mit dualem Stapel mit einem NAT-Gateway und einem öffentlichen Lastenausgleich.

Können öffentliche IP-Adressen mit der Routingeinstellung „Internet“ mit einem NAT-Gateway verwendet werden?

Nein, ein NAT-Gateway unterstützt keine öffentlichen IP-Adressen mit der Routingeinstellung „Internet“. Eine Liste der Azure-Dienste, die den Routingkonfigurationstyp „Internet“ für öffentliche IPs unterstützen, finden Sie unter Unterstützte Dienste für das Routing über das öffentliche Internet.

Können öffentliche IP-Adressen mit aktiviertem DDoS-Schutz mit einem NAT-Gateway verwendet werden?

Nein, ein NAT-Gateway unterstützt keine öffentlichen IP-Adressen mit aktiviertem DDoS-Schutz. Weitere Informationen finden Sie unter DDoS-Einschränkungen.

Können die öffentlichen IP-Adressen einer vorhandenen NAT Gateway-Instanz geändert werden?

Nein, die Adresse einer vorhandenen öffentlichen IP-Adresse kann nicht geändert werden. Informationen zum Ändern der öffentlichen IP-Adresse Ihres NAT-Gateways finden Sie unter Hinzufügen oder Entfernen einer öffentlichen IP-Adresse.

Wenn einem NAT-Gateway mehrere öffentliche IP-Adressen zugewiesen werden, welche öffentlichen IP-Adressen verwenden dann meine Subnetzressourcen?

Ihre Subnetzressourcen können jede der öffentlichen IP-Adressen verwenden, die für die NAT Gateway für ausgehende Konnektivität angefügt sind. Jedes Mal, wenn eine neue ausgehende Verbindung über ein NAT-Gateway hergestellt wird, wird die ausgehende öffentliche IP-Adresse zufällig ausgewählt.

Kann ich eine meiner öffentlichen NAT-Gateway-IP-Adressen einer bestimmten VM oder einem bestimmten Subnetz zuweisen, die ausschließlich für ausgehende Verbindungen verwendet werden sollen?

Nein In einem Subnetz, das mit einem NAT-Gateway konfiguriert wurde, wird die IP-Zuweisung an bestimmte Subnetze oder VM-Instanzen nicht unterstützt.

Kann ein NAT-Gateway an mehrere virtuelle Netzwerke angefügt werden?

Nein, ein NAT-Gateway kann nicht an mehrere virtuelle Netzwerke angefügt werden.

Kann ein NAT-Gateway an mehrere Subnetze angefügt werden?

Ja, ein NAT-Gateway kann bis zu 800 Subnetzen in einem virtuellen Netzwerk zugeordnet werden. Sie muss nicht mit allen Subnetzen innerhalb eines virtuellen Netzes verbunden sein.

Kann ein NAT-Gateway an ein Gatewaysubnetz angefügt werden?

Ein NAT-Gateway kann keinem Gatewaysubnetz zugeordnet werden.

Können mehrere NAT Gateway-Instanzen an ein einzelnes Subnetz angefügt werden?

Nein, eine NAT-Gateway-Instanz funktioniert auf der Grundlage der Eigenschaften des Subnetzes. Daher ist es nicht möglich, mehrere NAT-Gateways an ein einzelnes Subnetz anzufügen.

Kann ein NAT-Gateway in einer Hub-and-Spoke-Netzwerkarchitektur verwendet werden?

Datenverkehr aus den virtuellen Spoke-Netzwerken kann über ein NVA oder Azure Firewall an das zentrale virtuelle Hubnetzwerk weitergeleitet werden. Ein NAT-Gateway kann dann ausgehende Konnektivität für alle virtuellen Spoke-Netzwerke aus dem zentralen Hubnetzwerk bereitstellen. Informationen zum Einrichten eines NAT-Gateways in einer Hub-and-Spoke-Architektur mit NVAs finden Sie unter Verwenden eines NAT-Gateways in einem Hub-and-Spoke-Netzwerk. Informationen zur Verwendung eines NAT-Gateways mit Azure Firewall in einem Hub-and-Spoke-Setup finden Sie unter Integrieren eines NAT-Gateways in Azure Firewall.

Verfügbarkeitszonen

Wie funktionieren ein NAT-Gateway mit Verfügbarkeitszonen?

Ein NAT-Gateway kann mit oder ohne Zone („Keine Zone“) platziert werden. Weitere Informationen finden Sie unter Azure NAT Gateway und Verfügbarkeitszonen. Außerdem:

  • Ein NAT-Gateway ohne Zone wird für Sie von Azure in einer Zone platziert.
  • Ein zonales NAT-Gateway wird vom Benutzer bei der Erstellung des NAT-Gateways mit einer bestimmten Zone verknüpft.
  • Die zonale Konfiguration eines NAT Gateways kann nach der Bereitstellung nicht mehr geändert werden.

Kann eine zonenredundante öffentliche IP-Adresse an ein NAT-Gateway angefügt werden?

Zonenredundante öffentliche IP-Adressen und Präfixe können entweder an ein NAT-Gateway ohne Zone oder an ein NAT-Gateway angefügt werden, das einer bestimmten Verfügbarkeitszone zugewiesen ist. Weitere Informationen finden Sie unter Azure NAT Gateway und Verfügbarkeitszonen.

Azure NAT Gateway und grundlegende SKU-Ressourcen

Sind Basic-SKU-Ressourcen (Lastenausgleich und öffentliche IP-Adressen im Tarif „Basic“) kompatibel mit einem NAT-Gateway?

Nein, ein NAT-Gateway ist kompatibel mit SKU-Standardressourcen. Weitere Informationen finden Sie unter Grundlagen von Azure NAT Gateway. Führen Sie ein Upgrade vom Lastenausgleich und der zugehörigen öffentlichen IP-Adresse im Tarif „Basic“ zu „Standard“ durch, um mit einem NAT-Gateway zu arbeiten. Weitere Hilfe:

Verbindungstimeouts und Timer

Was ist das Leerlauftimeout für ein NAT-Gateway?

Bei TCP-Verbindungen wird der Leerlauftimeouttimer standardmäßig auf 4 Minuten festgelegt und kann auf bis zu 120 Minuten konfiguriert werden. Wenn Sie lange Verbindungsflows beibehalten müssen, verwenden Sie TCP-Keepalives, anstatt den Leerlauftimeouttimer zu erweitern. TCP-Keepalives pflegen aktive Verbindungen für einen längeren Zeitraum.

Der UDP-Leerlauftimeouttimer ist auf 4 Minuten festgelegt und kann nicht konfiguriert werden.

Was ist das Verhalten des NAT-Gateways für die SNAT-Portwiederverwendung?

Wenn eine TCP/UDP-Verbindung geschlossen wird, wird der Port in einen Cooldown-Zeitraum versetzt, bevor er wiederverwendet werden kann, um eine Verbindung mit demselben Zielendpunkt herzustellen. Weitere Informationen finden Sie unter Timer für SNAT-Portwiederverwendung. Verbindungen, die zu einem anderen Ziel gehen, können sofort einen SNAT-Port verwenden. Weitere Informationen finden Sie unter SNAT mit Azure NAT Gateway.

NAT Gateway-Integration in andere Azure-Dienste

Kann ich ein NAT-Gateway mit Azure App Service verwenden?

Ja, ein NAT-Gateway kann mit Azure App Service verwendet werden, damit Anwendungen ausgehenden Datenverkehr aus einem virtuellen Netzwerk an das Internet leiten können. Um diese Integration zwischen einem NAT-Gateway und Azure App Service nutzen zu können, muss die Integration für regionale virtuelle Netzwerke aktiviert sein. Informationen zum Aktivieren der Integration virtueller Netzwerke für ein NAT-Gateway finden Sie unter Azure NAT Gateway-Integration.

Kann ich ein NAT-Gateway mit Azure Kubernetes Service verwenden?

Ja. Weitere Informationen zur NAT Gateway-Integration in Azure Kubernetes Service finden Sie unter Managed NAT Gateway.

Wann wird das NAT Gateway verwendet, um eine Verbindung von meinem AKS-Cluster mit dem AKS-API-Server herzustellen?

Um einen AKS-Cluster zu verwalten, interagieren Sie mit seinem API-Server. Wenn Sie einen nicht privaten Cluster erstellen, der in den vollqualifizierten Domänennamen (FQDN) des API-Servers aufgelöst wird, wird dem API-Server standardmäßig eine öffentliche IP-Adresse zugewiesen. Nachdem Sie ein NAT Gateway an die Subnetze Ihres AKS-Clusters angefügt haben, wird NAT-Gateway verwendet, um eine Verbindung mit der öffentlichen IP-Adresse des AKS-API-Servers herzustellen. Weitere Informationen und einen Entwurfsleitfaden finden Sie unter Zugriff auf einen AKS-API-Server.

Kann ich einen NAT-Gateway mit Azure Firewall verwenden?

Ja, ein NAT-Gateway kann mit Azure Firewall verwendet werden. Wenn Azure Firewall mit einem NAT-Gateway verwendet wird, sollte sich der Dienst in einer zonalen Konfiguration befinden. Ein NAT-Gateway funktioniert mit einer zonenredundanten Firewall, jedoch wird diese Art der Bereitstellung derzeit nicht empfohlen. Weitere Informationen zur Integration eines NAT-Gateways in Azure Firewall finden Sie unter Skalieren von SNAT-Ports mit einem NAT-Gateway.

Ja, das Hinzufügen eines NAT-Gateways zu einem Subnetz mit Dienstendpunkten wirkt sich nicht auf die Endpunkte aus. VNET-Dienstendpunkte ermöglichen eine spezifischere Route für den angestrebten Azure-Dienstverkehr, den sie darstellen. Der Datenverkehr für den Dienstendpunkt durchläuft den Azure-Backbone und nicht das Internet. Private Link wird anstelle von Dienstendpunkten empfohlen, wenn Sie direkt über das Azure-Netzwerk eine Verbindung mit Platform-as-a-Service-Diensten herstellen wollen.

Kann ich ein NAT-Gateway mit meinem Azure Databricks-Arbeitsbereich verwenden?

Ja. NAT-Gateway kann auf eine von zwei Arten mit Azure Databricks verwendet werden, wenn Sie sichere Clusterverbindungen in Ihrem Arbeitsbereich aktivieren:

  • Wenn Sie sichere Clusterverbindungen mit dem virtuellen Standardnetzwerk von Azure Databricks verwenden, erstellt Azure Databricks automatisch ein NAT-Gateway für ausgehenden Datenverkehr aus den Subnetzen Ihres Arbeitsbereichs. Dieses NAT-Gateway wird innerhalb der verwalteten Ressourcengruppe erstellt, die von Azure Databricks verwaltet wird. Sie können diese Ressourcengruppe oder die in ihr bereitgestellten Ressourcen nicht ändern.
  • Wenn Sie sichere Clusterverbindungen in einem Arbeitsbereich aktivieren, in dem die Einbindung in virtuelle Netzwerke verwendet wird, können Sie in beiden Subnetzen des Arbeitsbereichs ein NAT-Gateway bereitstellen, um ausgehende Verbindungen bereitzustellen. Sie können die Konfiguration für angepasste Anforderungen an ausgehende Verbindungen in diesem Fall ändern. Weitere Informationen finden Sie unter Sichern der Clusterkonnektivität.

Nächste Schritte

Wenn Ihre Frage hier nicht aufgeführt wird, senden Sie uns Feedback zu dieser Seite mit Ihrer Frage. Dadurch wird ein GitHub-Issue für das Produktteam erstellt, um sicherzustellen, dass alle wichtigen Fragen unserer Kunden beantwortet werden.