Voici les réponses aux questions les plus courantes sur l'utilisation d’Azure NAT Gateway.
Bases de Azure NAT Gateway
Qu’est-ce qu’Azure NAT Gateway ?
Azure NAT Gateway est une solution de connectivité sortante entièrement managée et hautement résiliente pour les réseaux virtuels Azure. Pour obtenir une connectivité sortante sécurisée et évolutive, attachez une passerelle NAT à des sous-réseaux au sein d’un réseau virtuel et à au moins une adresse IP publique statique.
Quelle est la tarification d’Azure NAT Gateway ?
Consultez Tarification d’Azure NAT Gateway.
Quelles sont les limites connues d’Azure NAT Gateway ?
Consultez Limites d’Azure NAT Gateway.
Combien de ressources de passerelle NAT sont autorisées par abonnement ?
Le nombre de ressources de passerelle NAT autorisées par abonnement et par région varie en fonction du type d’offre, tel qu’essai gratuit, paiement à l’utilisation, fournisseur de solutions Cloud (CSP) et Accord Entreprise. Les types d’offres Accord Entreprise et CSP peuvent avoir jusqu’à 1 000 ressources de passerelle NAT. Les types d’offres commanditées et de paiement à l’utilisation peuvent avoir jusqu’à 100 ressources de passerelle NAT. Tous les autres types d’offres, tels que l’essai gratuit, peuvent avoir jusqu’à 15 ressources de passerelle NAT.
Une passerelle NAT peut-elle être utilisée entre plusieurs abonnements ?
Non, vous ne pouvez pas utiliser une ressource de passerelle NAT avec plusieurs abonnements à la fois. Pour obtenir des instructions pas à pas, consultez Créer et configurer une passerelle NAT après un changement de région.
Une passerelle NAT peut-elle être déplacée d’une région, d’un abonnement ou d’un groupe de ressources vers un autre ?
Non, une passerelle NAT ne peut pas être déplacée entre des abonnements, des régions ou des groupes de ressources. Une passerelle NAT doit être créée pour l’autre abonnement, région ou groupe de ressources.
Une passerelle NAT peut-elle être utilisée pour se connecter au trafic entrant ?
Une passerelle NAT fournit une connectivité sortante à partir d’un réseau virtuel. Le trafic de retour en réponse directe à un flux sortant peut également passer par une passerelle NAT. Aucun trafic entrant provenant directement d’Internet ne peut passer par une passerelle NAT.
Comment obtenir des journaux pour ma ressource de passerelle NAT ?
Les journaux de flux de réseau virtuel (VNet) sont une fonctionnalité d’Azure Network Watcher qui journalisent des informations sur le trafic IP circulant dans un réseau virtuel. Les données de flux issues de journaux de flux du réseau virtuel sont envoyées au stockage Azure. De là, vous pouvez accéder aux données et les exporter vers n’importe quel outil de visualisation, solution SIEM (Gestion des informations et des événements de sécurité) ou système de détection des intrusions (IDS).
Les journaux de flux de réseau virtuel fournissent des informations de connexion pour vos machines virtuelles. Les informations de connexion contiennent l’adresse IP et le port source, l’adresse IP et le port de destination, ainsi que l’état de la connexion. La direction du flux de trafic et la taille du trafic en nombre de paquets et d’octets envoyés sont également journalisées. L’adresse IP et le port sources spécifiés dans le journal de flux de réseau virtuel concernent la machine virtuelle et non pas la passerelle NAT.
Pour obtenir une aide générale sur la création et la gestion des journaux de flux de réseau virtuel, consultez Gérer les journaux de flux de réseau virtuel.
Comment supprimer une ressource de passerelle NAT ?
Pour supprimer une ressource de passerelle NAT, la ressource doit d’abord être dissociée du sous-réseau. Une fois que la ressource de passerelle NAT est dissociée de tous les sous-réseaux, elle peut être supprimée. Pour plus d’information, consultez Supprimer une passerelle NAT d’un sous-réseau existant et supprimer la ressource .
Une passerelle NAT prend-elle en charge la fragmentation IP ?
Non, une passerelle NAT ne prend pas en charge la fragmentation IP pour le protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol).
Métriques de passerelle NAT
Quelle est la différence entre les métriques Nombre de connexions SNAT et Nombre total de connexions SNAT pour une passerelle NAT ?
La métrique Nombre de connexions SNAT indique le nombre de nouvelles connexions de traduction d’adresses réseau sources effectuées par seconde. La métrique Nombre total de connexions SNAT indique le nombre total de connexions actives sur une ressource de passerelle NAT.
Comment puis-je voir l’utilisation du port SNAT sur une passerelle NAT ?
Il n’existe aucune métrique d’utilisation du port SNAT pour une passerelle NAT. Utilisez les métriques Nombre de connexions SNAT et Nombre total de connexions SNAT pour vous aider à évaluer la capacité SNAT de votre ressource de passerelle NAT.
Comment stocker mes métriques de passerelle NAT à long terme ?
Vous pouvez récupérer les métriques de passerelle NAT à l’aide de l’API REST metrics. Vous pouvez également sélectionner Partager, puis Télécharger vers Excel à partir de la page des métriques de passerelle NAT dans le portail Azure.
Est-il possible de récupérer les métriques de passerelle NAT en utilisant des paramètres de diagnostic ?
Non, vous ne pouvez pas exporter les métriques de passerelle NAT en utilisant des paramètres de diagnostic. Les métriques de passerelle NAT sont multidimensionnelles. Les paramètres de diagnostic ne prennent pas en charge l’exportation de métriques multidimensionnelles.
Connectivité sortante avec une passerelle NAT
Comment utiliser une passerelle NAT pour connecter le trafic sortant dans une configuration où j’utilise actuellement un autre service pour le trafic sortant ?
Une passerelle NAT se connecte automatiquement au trafic sortant vers Internet après avoir été associée à une adresse IP publique ou à un préfixe et à un sous-réseau. Une passerelle NAT prend la priorité sur d’Azure Load Balancer avec des règles de trafic sortant, des adresses IP publiques au niveau de l’instance sur des machines virtuelles et le Pare-feu Azure pour la connectivité sortante.
Les connexions sont-elles interrompues après l’attachement d’une passerelle NAT à un sous-réseau où un autre service est actuellement utilisé pour la connectivité sortante ?
Non, il n’y a aucune interruption dans les connexions. Les connexions existantes avec le service sortant précédent (Load Balancer, Pare-feu Azure, adresses IP publiques au niveau de l’instance) continuent de fonctionner jusqu’à ce que ces connexions se ferment. Une fois une passerelle NAT ajoutée au sous-réseau du réseau virtuel, toutes les nouvelles connexions utilisent une passerelle NAT pour établir des connexions sortantes.
Une IP publique de passerelle NAT peut-elle se connecter directement à une adresse IP privée sur Internet ?
Non, une adresse IP publique d’un passerelle NAT ne peut pas se connecter directement à une adresse IP privée sur Internet.
Si plusieurs adresses IP publiques sont affectées à une ressource de passerelle NAT, le flux du trafic est-il interrompu lorsqu’une des adresses IP est supprimée ?
Toutes les connexions actives associées à une adresse IP publique se terminent lorsque l’adresse IP publique est supprimée. Si la ressource de passerelle NAT a plusieurs adresses IP publiques, le nouveau trafic est redistribué entre les adresses IP affectées.
Qu’est-ce que cela signifie quand je vois une adresse IP utilisée pour connecter le trafic sortant différent de l’adresse IP publique de ma passerelle NAT ?
Il existe quelques raisons possibles pour lesquelles vous pouvez voir une adresse IP différente utilisée pour la connexion sortante par rapport à celle associée à votre passerelle NAT. Pour résoudre les problèmes, reportez-vous au Guide de résolution de problèmes de la connectivité de la passerelle NAT Azure.
Itinéraires de trafic
Que se passe-t-il pour une passerelle NAT si je force le trafic tunnel 0.0.0.0/0 (Internet) vers une appliance virtuelle réseau, une passerelle VPN Azure ou ExpressRoute Azure ?
Une passerelle NAT utilise le chemin Internet par défaut d’un sous-réseau pour acheminer le trafic vers Internet. Le trafic ne passe pas par une passerelle NAT si un itinéraire défini par l’utilisateur est créé pour diriger le trafic 0.0.0.0/0 vers l’appliance virtuelle réseau de type de tronçon suivant ou une passerelle de réseau virtuel.
Quelle configuration dois-je effectuer sur la table de routage du sous-réseau pour connecter le trafic sortant à une passerelle NAT ?
Aucune configuration sur la table de routage du sous-réseau n’est requise pour commencer à se connecter au trafic sortant avec une passerelle NAT. Lorsqu’une passerelle NAT est attribuée à un sous-réseau, la passerelle NAT devient le type de tronçon suivant pour tout le trafic Internet destiné. Le trafic sortant peut commencer à se connecter à Internet dès que la passerelle NAT est attribuée à un sous-réseau et à au moins une adresse IP publique.
Configurations de la passerelle NAT
Est-il possible de déployer une passerelle NAT sans adresse IP publique ou sous-réseau ?
Oui, vous pouvez déployer une passerelle NAT sans adresse IP publique ou préfixe et sous-réseau. Toutefois, elle n’est pas opérationnelle tant que vous n’avez pas attaché au moins une adresse IP publique ou un préfixe et un sous-réseau.
L'adresse IP publique de la passerelle NAT est-elle statique ?
Oui, les adresses IP publiques sur votre passerelle NAT sont fixes et ne changent pas.
Combien d’adresses IP publiques peuvent être attachées à une passerelle NAT ?
Une passerelle NAT peut utiliser jusqu’à 16 adresses IP publiques. Une passerelle NAT peut utiliser n’importe quelle combinaison d’adresses IP publiques et de préfixes d’adresses IP publiques, avec un total de 16 adresses. Une passerelle NAT peut prendre en charge les tailles de préfixe suivantes : /28 (16 adresses), /29 (8 adresses), /30 (4 adresses) et /31 (2 adresses).
Comment faire pour utiliser des préfixes IP personnalisés (BYOIP) avec une passerelle NAT ?
Vous pouvez utiliser des préfixes et des adresses IP publics dérivés de préfixes IP personnalisés, également appelés «bring your own IP» (BYOIP), avec votre passerelle NAT. Pour en savoir plus, consultez Préfixe d’adresse IP personnalisé (BYOIP).
Une adresse IP publique IPv6 peut-elle être utilisée avec une passerelle NAT ?
Non, une passerelle NAT ne prend pas en charge les adresses IP publiques IPv6. Vous pouvez toutefois disposer d’une configuration à double pile avec une passerelle NAT et un équilibreur de charge pour fournir une connectivité sortante IPv4 et IPv6. Pour en savoir plus, consultez Configurer la connectivité sortante double pile avec une passerelle NAT et un équilibreur de charge public.
Est-il possible d’utiliser des adresses IP publiques avec la préférence de routage « Internet » avec une passerelle NAT ?
Non, une passerelle NAT ne prend pas en charge les adresses IP publiques avec la préférence de routage « Internet ». Pour afficher la liste des services Azure qui prennent en charge le type de configuration de routage « Internet » sur les adresses IP publiques, consultez Services pris en charge pour le routage via l’Internet public.
Est-il possible d’utiliser des adresses IP publiques avec la protection DDoS activée avec une passerelle NAT ?
Non, une passerelle NAT ne prend pas en charge les adresses IP publiques avec la protection DDoS activée. Pour plus d’informations, consultez Limitations DDoS.
Est-il possible de modifier les IP publiques d’une passerelle NAT existante ?
Non, l’adresse d’une adresse IP publique existante ne peut pas être modifiée. Si vous devez modifier l’adresse IP publique sur votre passerelle NAT, consultez Ajouter ou supprimer une adresse IP publique pour obtenir des conseils.
Si plusieurs adresses IP publiques sont attribuées à une passerelle NAT, quelles adresses IP publiques sont utilisées par mes ressources de sous-réseau ?
Vos ressources de sous-réseau peuvent utiliser l’une des adresses IP publiques attachées à votre passerelle NAT pour la connectivité sortante. Chaque fois qu’une nouvelle connexion sortante est établie via une passerelle NAT, l’adresse IP publique sortante est sélectionnée au hasard.
Puis-je attribuer l’une de mes adresses IP publiques de passerelle NAT à une machine virtuelle ou un sous-réseau spécifique à utiliser exclusivement pour la connexion sortante ?
Non. L’attribution d’adresses IP à des sous-réseaux ou instances de machine virtuelle spécifiques dans un sous-réseau configuré par la passerelle NAT n’est pas prise en charge.
Une passerelle NAT peut-elle être attachée à plusieurs réseaux virtuels ?
Non, une passerelle NAT ne peut pas être attachée à plusieurs réseaux virtuels.
Une passerelle NAT peut-elle être attachée à plusieurs sous-réseaux ?
Oui, une passerelle NAT peut être associée à jusqu’à 800 sous-réseaux dans un réseau virtuel. Il n’est pas nécessaire d’être associé à tous les sous-réseaux d’un réseau virtuel.
Une passerelle NAT peut-elle être attachée à un sous-réseau de passerelle ?
Non, une passerelle NAT ne peut pas être associée à un sous-réseau de passerelle.
Plusieurs passerelles NAT peuvent-elles être attachées à un seul sous-réseau ?
Non, une passerelle NAT fonctionne sur la base des propriétés du sous-réseau et donc plusieurs passerelles NAT ne peuvent pas être attachées à un seul sous-réseau.
Une passerelle NAT fonctionne-t-elle dans une architecture réseau hub-and-spoke ?
Le trafic des réseaux virtuels spoke peut être acheminé vers le réseau virtuel hub centralisé via une appliance virtuelle réseau ou un pare-feu Azure. Une passerelle NAT peut ensuite fournir une connectivité sortante pour tous les réseaux virtuels spoke à partir du réseau hub centralisé. Pour configurer une passerelle NAT dans une architecture hub-and-spoke avec des appliances virtuelles réseau, consultez l’article Utiliser une passerelle NAT dans un réseau hub-and-spoke. Pour utiliser une passerelle NAT avec Pare-feu Azure dans une configuration hub-and-spoke, consultez l’article Intégrer une passerelle NAT au pare-feu Azure.
Zones de disponibilité
Comment fonctionne une passerelle NAT avec les zones de disponibilité ?
Une passerelle NAT peut être zonale ou placée dans « aucune zone ». Pour plus d’informations, consultez Passerelle NAT Azure et zones de disponibilité. De plus :
- Une passerelle NAT « non zonale » est placée dans une zone pour vous par Azure.
- Une passerelle NAT zonale est associée à une zone spécifique par l’utilisateur lors de la création de la passerelle NAT.
- La configuration zonale d’une passerelle NAT ne peut pas être modifiée après le déploiement.
Une adresse IP publique redondante interzone peut-elle être attachée à une passerelle NAT ?
Vous pouvez attacher des adresses IP publiques redondantes interzone et des préfixes à une passerelle NAT sans zone ou à une passerelle NAT attribuée à une zone de disponibilité spécifique. Pour plus d’informations, consultez Passerelle NAT Azure et zones de disponibilité.
Passerelle NAT Azure et ressources de référence SKU de base
Les ressources du niveau tarifaire De base (équilibreur de charge De base et IP publiques De base) sont-elles compatibles avec une passerelle NAT ?
Non, une passerelle NAT est compatible avec les ressources de référence SKU standard. Pour plus d’informations, consultez Principes de base de la passerelle NAT Azure. Mettez à niveau votre équilibreur de charge de base et votre adresse IP publique de base en standard pour utiliser une passerelle NAT. Pour obtenir de l’aide supplémentaire :
- Pour mettre à niveau un équilibreur de charge de base vers le niveau Standard, consultez Mettre à niveau l’équilibreur de charge public Azure.
- Pour mettre à niveau une IP publique De base vers le niveau Standard, consultez Mettre à niveau une IP publique.
- Pour mettre à niveau une adresse IP publique de base avec une machine virtuelle attachée vers le niveau Standard, consultez Mettre à niveau une adresse IP publique de base avec une machine virtuelle attachée.
Délais d’expiration et minuteurs de connexion
Qu’est-ce que le délai d’inactivité pour une passerelle NAT ?
Pour les connexions TCP, le minuteur de délai d’inactivité est défini par défaut sur 4 minutes et vous pouvez le configurer jusqu’à 120 minutes. Si vous devez conserver des flux de connexion longs, utilisez les keepalives TCP au lieu d’étendre le minuteur de délai d’inactivité. Les keepalives TCP conservent les connexions actives pendant une période plus longue.
Le minuteur de délai d’inactivité UDP est défini sur 4 minutes et n’est pas configurable.
Quel est le comportement de réutilisation du port SNAT d’une passerelle NAT ?
Lorsqu’une connexion TCP/UDP est fermée, le port passe en période de refroidissement avant de pouvoir être réutilisé pour se connecter au même point de terminaison de destination. Pour plus d’informations, consultez Minuteurs de réutilisation de port SNAT. Les connexions accédant à une autre destination peuvent utiliser immédiatement un port SNAT. Pour plus d'informations, consultez SNAT avec passerelle NAT Azure.
Intégration de la passerelle NAT à d’autres services Azure
Puis-je utiliser une passerelle NAT avec Azure App Services ?
Oui, une passerelle NAT peut être utilisée avec Azure App Services afin d’autoriser les applications à diriger le trafic sortant vers Internet à partir d’un réseau virtuel. Pour utiliser cette intégration entre une passerelle NAT et Azure App Service, l’intégration du réseau virtuel régional doit être activée. Pour obtenir une aide sur la façon d’activer l’intégration du réseau virtuel avec une passerelle NAT, consultez Intégration de la passerelle NAT Azure.
Puis-je utiliser une passerelle NAT avec Azure Kubernetes Service ?
Oui. Pour plus d’informations sur l’intégration de la passerelle NAT à Azure Kubernetes Service, voir Passerelle NAT managée.
Quand une passerelle NAT est-elle utilisée pour établir une connexion de mon cluster AKS au serveur d’API AKS ?
Pour gérer un cluster AKS, vous interagissez avec son serveur d’API. Lorsque vous créez un cluster non privé qui se résout au nom de domaine complet du serveur d’API (FQDN), le serveur d’API est affecté par défaut à une adresse IP publique. Une fois que vous avez attaché une passerelle NAT aux sous-réseaux de votre cluster AKS, la passerelle NAT est utilisée pour se connecter à l’IP publique du serveur d’API AKS. Pour obtenir des informations supplémentaires et de l’aide sur la conception, reportez-vous à Accéder à un serveur d’API AKS.
Puis-je utiliser une passerelle NAT avec le pare-feu Azure ?
Oui, une passerelle NAT peut être utilisée avec le pare-feu Azure. Lorsque le pare-feu Azure est utilisé avec une passerelle NAT, il doit se trouver dans une configuration zonale. Une passerelle NAT fonctionne avec un pare-feu redondant interzone, mais nous ne recommandons pas le déploiement pour l’instant. Pour plus d’informations sur l’intégration de NAT Gateway avec le Pare-feu Azure, voir Mettre à l'échelle les ports SNAT avec une passerelle NET Azure.
Puis-je utiliser une passerelle NAT avec des points de terminaison de service de réseau virtuel Azure ou Azure Private Link ?
Oui, l’ajout d’une passerelle NAT à un sous-réseau avec des points de terminaison de service n’a aucune incidence sur les points de terminaison. Les points de terminaison de service de réseau virtuel activent un itinéraire plus spécifique pour le trafic de service Azure de destination qu’ils représentent. Le trafic pour le point de terminaison de service traverse le réseau principal Azure au lieu d’Internet. Nous vous recommandons Private Link sur les points de terminaison de service lorsque vous vous connectez à la plateforme Azure en tant que service (PaaS) directement à partir de votre réseau Azure.
Puis-je utiliser une passerelle NAT avec mon espace de travail Azure Databricks ?
Oui. Si vous activez la connectivité de cluster sécurisée dans votre espace de travail, vous pouvez utiliser une passerelle NAT de deux façons avec Databricks.
- Si vous utilisez la connectivité sécurisée des clusters avec le réseau virtuel par défaut qu’Azure Databricks crée, Azure Databricks crée automatiquement une passerelle NAT pour le trafic sortant des sous-réseaux de votre espace de travail. La passerelle NAT est créée dans le groupe de ressources managé qu’Azure Databricks gère. Vous ne pouvez modifier ni ce groupe de ressources, ni les ressources qui y sont approvisionnées.
- Si vous activez la connectivité de cluster sécurisée sur votre espace de travail qui utilise l’injection de réseau virtuel, vous pouvez déployer une passerelle NAT sur les deux sous-réseaux de l’espace de travail pour fournir une connectivité sortante. Vous pouvez modifier la configuration pour les exigences de connectivité sortante personnalisées dans ce cas. Pour plus d’informations, consultez Connectivité sécurisée des clusters (pas de NPIP/IP publique).
Étapes suivantes
Si votre question n’est pas répertoriée ici, veuillez envoyer vos commentaires sur cette page avec votre question. Cette information créera un problème GitHub pour l’équipe produit afin de s’assurer que toutes nos questions des clients reçoivent une réponse.