Behandeln von Problemen mit ausgehender Konnektivität bei NAT Gateway und Azure-Diensten

Dieser Artikel enthält Anleitungen zur Behandlung von Konnektivitätsproblemen bei Verwendung von NAT Gateway mit anderen Azure-Diensten:

• Azure App Services

• Azure Kubernetes Service

• Azure Firewall

• Azure Databricks

Azure App Services

Regionale VNet-Integration in Azure App Services deaktiviert

NAT Gateway kann mit Azure App Services verwendet werden, um Anwendungen ausgehende Aufrufe über ein virtuelles Netzwerk zu ermöglichen. Um diese Integration zwischen Azure App Services und NAT Gateway nutzen zu können, muss die regionale VNet-Integration aktiviert sein. Weitere Informationen finden Sie unter Funktionsweise der regionalen Integration virtueller Netzwerke.

Führen Sie die folgenden Schritte aus, um NAT Gateway mit Azure App Services zu verwenden:

1. Stellen Sie sicher, dass für Ihre Anwendungen die Integration des virtuellen Netzwerks konfiguriert ist. Weitere Informationen finden Sie unter Aktivieren der Integration des virtuellen Netzwerks.

2. Stellen Sie sicher, dass Route All (Gesamten Datenverkehr weiterleiten) für Ihre Integration des virtuellen Netzwerks aktiviert ist. Weitere Informationen finden Sie unter Konfigurieren des Routings für die Integration des virtuellen Netzwerks.

3. Erstellen Sie eine NAT Gateway-Ressource.

4. Erstellen Sie eine neue öffentliche IP-Adresse, oder fügen Sie NAT Gateway eine in Ihrem Netzwerk vorhandene öffentliche IP-Adresse an.

5. Weisen Sie NAT Gateway dem gleichen Subnetz zu, das auch für die Integration des virtuellen Netzwerks mit Ihren Anwendungen verwendet wird.

Die Schritte zum Konfigurieren von NAT Gateway mit Integration des virtuellen Netzwerks finden Sie unter Konfigurieren der NAT-Gatewayintegration.

Wichtige Hinweise zur Integration von NAT Gateway und Azure App Services:

• Die VNet-Integration bietet keinen eingehenden privaten Zugriff auf Ihre App über das virtuelle Netzwerk.

• Der Datenverkehr der virtuellen Netzwerkintegration erscheint aufgrund seiner Funktionsweise nicht in den Datenflussprotokollen von Azure Network Watcher oder Network Security Group (NSG).

App-Dienste verwenden nicht die öffentliche NAT Gateway-IP-Adresse, um ausgehende Verbindungen herzustellen.

App Services können immer noch ausgehende Verbindungen mit dem Internet herstellen, auch wenn die Integration des virtuellen Netzwerks nicht aktiviert ist. Standardmäßig sind Apps, die in App Service gehostet werden, direkt über das Internet zugänglich und können nur Endpunkte erreichen, die im Internet gehostet werden. Weitere Informationen finden Sie unter App Services-Netzwerkfeatures.

Wenn Sie feststellen, dass die IP-Adresse, die zum Herstellen einer ausgehenden Verbindung verwendet wird, nicht Ihrer öffentliche NAT Gateway-IP-Adresse (oder -Adressen) entspricht, überprüfen Sie, ob die VNet-Integration aktiviert ist. Stellen Sie sicher, dass NAT Gateway für das Subnetz konfiguriert ist, das für die Integration in Ihre Anwendungen verwendet wird.

Um zu überprüfen, ob Webanwendungen die öffentliche NAT Gateway-IP-Adresse verwenden, pingen Sie eine VM für Ihre Web-Apps, und überprüfen Sie den Datenverkehr über eine Netzwerkerfassung.

Azure Kubernetes Service

So stellen Sie NAT-Gateway mit Azure Kubernetes Service-Cluster (AKS-Cluster) bereit

NAT Gateway kann mit AKS-Clustern bereitgestellt werden, um die explizite ausgehende Konnektivität zu ermöglichen. Es gibt zwei verschiedene Möglichkeiten, NAT Gateway mit AKS-Clustern bereitzustellen:

• Verwaltetes NAT-Gateway: Azure stellt zum Zeitpunkt der Erstellung des AKS-Clusters ein NAT-Gateway bereit. AKS verwaltet das NAT-Gateway.

• Benutzerseitig zugewiesene NAT Gateway-Instanz: Sie stellen das NAT Gateway in einem vorhandenen virtuellen Netzwerk für den AKS-Cluster bereit.

Weitere Informationen finden Sie unter Verwaltete NAT Gateway-Instanz.

NAT Gateway-IP-Adressen oder der Timer für Leerlauftimeout können für einen AKS-Cluster nicht aktualisiert werden

Öffentliche IP-Adressen und der Timer für Leerlauftimeout können nur für eine verwaltete NAT Gateway-Instanz mit dem az aks update-Befehl aktualisiert werden.

Wenn Sie eine benutzerseitig zugewiesene NAT Gateway-Instanz in Ihren AKS-Subnetze bereitgestellt haben, können Sie den Befehl az aks update nicht zum Aktualisieren öffentlicher IP-Adressen oder des Timers für Leerlauftimeout verwenden. Der Benutzer verwaltet das benutzerseitig zugewiesene NAT Gateways. Sie müssen diese Konfigurationen für Ihre NAT Gateway-Ressource manuell aktualisieren.

Gehen Sie folgendermaßen vor, um Ihre öffentlichen IP-Adressen für Ihre benutzerseitig zugewiesene NAT Gateway-Instanz zu aktualisieren:

1. Wählen Sie im Portal in Ihrer Ressourcengruppe Ihre NAT Gateway-Ressource aus.

2. Wählen Sie unter Einstellungen auf der linken Navigationsleiste die Option Ausgehende IP-Adresse aus.

3. Um Ihre öffentlichen IP-Adressen zu verwalten, wählen Sie das blaue Änderungsfeld aus.

4. Aktualisieren Sie in der Konfiguration „Öffentliche IP-Adressen und Präfixe verwalten“, die von rechts eingeblendet wird, die zugewiesenen öffentlichen IP-Adressen im Dropdownmenü, oder wählen Sie Neue öffentliche IP-Adresse erstellen aus.

5. Nachdem Sie die Aktualisierung Ihrer IP-Konfigurationen abgeschlossen haben, wählen Sie unten auf dem Bildschirm die Schaltfläche „OK“ aus.

6. Nachdem die Konfigurationsseite ausgeblendet wurde, klicken Sie auf die Schaltfläche „Speichern“, um Ihre Änderungen zu speichern.

7. Wiederholen Sie die Schritte 3 bis 6, um denselben Vorgang für öffentliche IP-Adresspräfixe auszuführen.

Aktualisieren Sie die Timerkonfiguration für Leerlauftimeout für Ihre benutzerseitig zugewiesene NAT Gateway-Instanz anhand der folgenden Schritte:

1. Wählen Sie im Portal in Ihrer Ressourcengruppe Ihre NAT Gateway-Ressource aus.

2. Wählen Sie unter Einstellungen auf der linken Navigationsleiste die Option Konfiguration aus.

3. Passen Sie in der Textleiste unter „TCP-Leerlauftimeout (Minuten)“ den Timer für das Leerlauftimeout an. (Der Timer kann auf 4 – 120 Minuten konfiguriert werden.)

4. Klicken Sie zum Abschluss auf die Schaltfläche „Speichern“.

Hinweis

Wenn Sie den Timer für das TCP-Leerlauftimeout auf mehr als 4 Minuten erhöhen, steigert sich dadurch das Risiko für eine SNAT-Portauslastung.

Azure Firewall

Erschöpfung der Source Network Address Translation (SNAT) bei ausgehenden Verbindungen mit Azure Firewall

Azure Firewall kann ausgehende Internetkonnektivität über virtuelle Netzwerke bereitstellen. Azure Firewall bietet nur 2.496 SNAT-Ports pro öffentlicher IP-Adresse. Während Azure Firewall mit bis zu 250 öffentlichen IP-Adressen verbunden werden kann, um den ausgehenden Datenverkehr zu verarbeiten, benötigen Sie möglicherweise weniger öffentliche IP-Adressen für ausgehende Verbindungen. Das Erfordernis, mit weniger öffentlichen IP-Adressen zu arbeiten, ergibt sich aus architektonischen Anforderungen und Beschränkungen der Zulässigkeitsliste durch die Zielendpunkte.

Eine Methode, die eine größere Skalierbarkeit für ausgehenden Datenverkehr bietet und gleichzeitig das Risiko der SNAT-Portauslastung verringert, besteht darin, NAT-Gateway in demselben Subnetz mit Azure Firewall zu verwenden. Weitere Informationen zum Einrichten eines NAT-Gateways in einem Azure Firewall-Subnetz finden Sie unter Integrieren eines NAT-Gateways in Azure Firewall. Weitere Informationen zur Arbeitsweise von NAT--Gateway in Azure Firewall finden Sie unter Skalieren von SNAT-Ports mit Azure NAT Gateway.

Hinweis

NAT-Gateway wird in einer vWAN-Architektur nicht unterstützt. Das NAT-Gateway kann nicht in einem Azure Firewall-Subnetz in einem vWAN-Hub konfiguriert werden.

Azure Databricks

Verwenden von NAT Gateway zum Herstellen ausgehender Verbindungen über einen Databricks-Cluster

NAT Gateway kann verwendet werden, um beim Erstellen Ihres Databricks-Arbeitsbereichs ausgehende Verbindungen von Ihrem Databricks-Cluster herzustellen. NAT Gateway kann auf eine von zwei Arten in Ihrem Databricks-Cluster bereitgestellt werden:

• Durch Aktivieren der sicheren Clusterkonnektivität (keine öffentliche IP-Adresse) in dem von Azure Databricks erstellten Standard-VNet stellt Azure Databricks das NAT Gateway automatisch bereit, um ausgehende Verbindungen von den Subnetzen Ihres Arbeitsbereichs mit dem Internet herzustellen. Azure Databricks erstellt diese NAT-Gatewayressource innerhalb der verwalteten Ressourcengruppe, und Sie können diese Ressourcengruppe oder andere darin bereitgestellte Ressourcen nicht ändern.

• Nachdem Sie den Azure Databricks-Arbeitsbereich in Ihrem eigenen VNET (über VNET-Injektion) bereitgestellt haben, können Sie NAT Gateway für beide Subnetze Ihres Arbeitsbereichs bereitstellen und konfigurieren, um ausgehende Konnektivität über NAT Gateway sicherzustellen. Sie können diese Lösung entweder mithilfe einer Azure-Vorlage oder über das Portal implementieren.

Nächste Schritte

Wenn Probleme mit NAT Gateway auftreten, die in diesem Artikel nicht gelöst werden, senden Sie uns Ihr Feedback über GitHub unten auf dieser Seite. Wir gehen so schnell wie möglich auf Ihr Feedback ein, um die Erfahrungen unserer Kunden zu verbessern.

Weitere Informationen zum NAT-Gateway finden Sie unter:

• Azure NAT Gateway

• NAT-Gatewayressource

• Metriken und Warnungen für NAT-Gatewayressourcen