Gyakori kérdések az Azure NAT Gatewayről

Az Azure NAT Gateway egy teljes mértékben felügyelt, rendkívül rugalmas kimenő kapcsolati megoldás az Azure-beli virtuális hálózatokhoz. A biztonságos és méretezhető kimenő kapcsolat eléréséhez csatoljon egy NAT-átjárót egy virtuális hálózaton belüli alhálózatokhoz és legalább egy statikus nyilvános IP-címhez.

Tekintse meg az Azure NAT Gateway díjszabását.

Tekintse meg az Azure NAT Gateway korlátait.

Az előfizetésenként engedélyezett NAT-átjáró-erőforrások száma régiónként az ajánlatkategória típusától függően változik, például ingyenes próbaverzió, használatalapú fizetés, Felhőszolgáltató (CSP) és Nagyvállalati Szerződés. Nagyvállalati Szerződés és CSP-ajánlattípusok legfeljebb 1000 NAT-átjáró-erőforrással rendelkezhetnek. A szponzorált és használatalapú fizetéses ajánlattípusok legfeljebb 100 NAT-átjáró-erőforrással rendelkezhetnek. Minden más ajánlattípus, például az ingyenes próbaverzió legfeljebb 15 NAT-átjáró-erőforrással rendelkezhet.

Nem, egy NAT-átjáró-erőforrás egyszerre nem használható több előfizetéssel. Részletes útmutatásért tekintse meg a NAT-átjárók létrehozását és konfigurálását a régió áthelyezése után.

Nem, a NAT-átjárók nem helyezhetők át előfizetések, régiók vagy erőforráscsoportok között. Létre kell hozni egy új NAT-átjárót a másik előfizetéshez, régióhoz vagy erőforráscsoporthoz.

A NAT-átjáró kimenő kapcsolatot biztosít egy virtuális hálózatról. A kimenő forgalom közvetlen válaszában a forgalom nat-átjárón is áthaladhat. A nat-átjárókon közvetlenül az internetről érkező bejövő forgalom nem haladhat át.

A hálózati biztonsági csoport (NSG) folyamatnaplói egy alhálózat/virtuális hálózat egy erőforrásából érkező forgalom monitorozására használhatók NAT-átjáró használatával a kimenő forgalom figyelésére.

Használja az Azure Security Centert, és kövesse a hálózatvédelmi javaslatokat az Azure hálózati erőforrásainak védelméhez. Engedélyezze az NSG-folyamatnaplókat, és küldje el a naplókat egy Azure Storage-fiókba naplózás céljából. A folyamatnaplókat egy Log Analytics-munkaterületre is elküldheti, majd a Traffic Analytics használatával betekintést nyerhet az Azure-felhő forgalmi mintáiba. A Traffic Analytics néhány előnye a hálózati tevékenység vizualizációja, a gyakori elérésű pontok és a biztonsági fenyegetések azonosítása, a forgalmi minták megértése és a hálózati helytelen konfigurációk meghatározása.

NAT-átjáró-erőforrás törléséhez először el kell bontani az erőforrást az alhálózatról. Miután a NAT-átjáró erőforrása leválasztva lett az összes alhálózatról, törölhető. Útmutatásért lásd : NAT-átjáróerőforrás eltávolítása egy meglévő alhálózatról, és az erőforrás törlése.

Nem, a NAT-átjárók nem támogatják az IP-töredezettségeket a Transmission Control Protocol (TCP) vagy a User Datagram Protocol (UDP) esetében.

Az SNAT Csatlakozás ion Count metrika a másodpercenként létrehozott új forráshálózati címfordítási (SNAT-) kapcsolatok számát mutatja. A Total SNAT Csatlakozás ion Count (Összes SNAT Csatlakozás ion Count) metrika az aktív kapcsolatok teljes számát jeleníti meg egy NAT-átjáró-erőforráson.

A NAT-átjáróhoz nincs SNAT-porthasználati mérőszám. Az SNAT Csatlakozás ion count és Total SNAT Csatlakozás ion Count metrikák segítségével kiértékelheti a NAT-átjáró erőforrásának SNAT-kapacitását.

A NAT-átjáró metrikái a metrika REST API-val kérhetők le. Másik lehetőségként választhatja a Megosztás , majd a Letöltés az Excelbe lehetőséget az Azure Portal NAT-átjáró metrikák paneljén.

Nem, a NAT-átjáró metrikái nem exportálhatók diagnosztikai beállításokkal. A NAT-átjáró metrikái többdimenziósak. A diagnosztikai beállítások nem támogatják a többdimenziós metrikák exportálását.

A NAT-átjárók automatikusan csatlakoznak az internethez, miután nyilvános IP-címhez vagy előtaghoz és alhálózathoz csatlakoztak. A NAT-átjárók elsőbbséget élveznek az Azure Load Balancerrel szemben a kimenő szabályokkal, a virtuális gépeken (virtuális gépeken) lévő példányszintű nyilvános IP-címekkel és az Azure Firewalllal szemben a kimenő kapcsolatok érdekében.

Nem, a kapcsolatokban nincs fennakadás. Az előző kimenő szolgáltatással (Load Balancer, Azure Firewall, példányszintű nyilvános IP-címek) meglévő kapcsolatok mindaddig működnek, amíg ezek a kapcsolatok be nem zárnak. Miután hozzáadtak egy NAT-átjárót a virtuális hálózat alhálózatához, az összes új kapcsolat NAT-átjárót használ a kimenő kapcsolatok létrehozásához.

Nem, a NAT-átjáró nyilvános IP-címe nem tud közvetlenül csatlakozni egy magánhálózati IP-címhez az interneten keresztül.

A nyilvános IP-címhez társított aktív kapcsolatok a nyilvános IP-cím eltávolításakor megszűnnek. Ha a NAT-átjáró erőforrás több nyilvános IP-címével rendelkezik, az új forgalom a hozzárendelt IP-címek között lesz elosztva.

Néhány lehetséges oka lehet annak, hogy a NAT-átjáróhoz társított ip-címtől eltérő IP-címet használnak a kimenő csatlakozáshoz. A hibaelhárításhoz tekintse meg az Azure NAT Gateway csatlakozási hibaelhárítási útmutatóját.

A NAT-átjárók az alhálózat alapértelmezett internetes útvonalát használják a forgalom az internetre való átirányításához. A forgalom nem halad át NAT-átjárón, ha felhasználó által megadott útvonal jön létre, amely a 0.0.0.0/0 forgalmat a következő ugrás típusú hálózati virtuális berendezésre (NVA) vagy egy virtuális hálózati átjáróra irányítja.

Az alhálózati útvonaltáblán nincs szükség konfigurációra a nat-átjáróval való kimenő csatlakozás megkezdéséhez. Ha egy NAT-átjáró egy alhálózathoz van rendelve, a NAT-átjáró lesz a következő ugrástípus az összes internetes forgalomhoz. A forgalom azonnal csatlakozhat az internethez, amint a NAT-átjáró egy alhálózathoz és legalább egy nyilvános IP-címhez van rendelve.

Igen, a NAT-átjáró nyilvános IP-cím, előtag és alhálózat nélkül is üzembe helyezhető. Azonban nem működik, amíg nem csatol legalább egy nyilvános IP-címet vagy előtagot és egy alhálózatot.

Igen, a NAT-átjáró nyilvános IP-címei rögzítettek, és nem változnak.

A NAT-átjárók legfeljebb 16 nyilvános IP-címet használhatnak. A NAT-átjárók a nyilvános IP-címek és a 16 címet tartalmazó nyilvános IP-előtagok bármilyen kombinációját használhatják. A NAT-átjárók a következő előtagméreteket támogatják: /28 (16 cím), /29 (8 cím), /30 (4 cím) és /31 (2 cím).

A NAT-átjáróval használhatja az egyéni IP-előtagokból származó nyilvános IP-előtagokat és címeket, más néven saját IP-címet (BYOIP). További információ: Egyéni IP-címelőtag (BYOIP).

Nem, a NAT-átjárók nem támogatják az IPv6 nyilvános IP-címeket. Egy NAT-átjáróval és egy terheléselosztóval azonban kettős veremkonfigurációval is rendelkezhet, amely IPv4- és IPv6-kimenő kapcsolatot biztosít. További információ: Kettős verem kimenő kapcsolat konfigurálása NAT-átjáróval és nyilvános terheléselosztóval.

Nem, a NAT-átjáró nem támogatja a nyilvános IP-címeket az "internet" útválasztási beállítással. Azoknak az Azure-szolgáltatásoknak a listáját, amelyek támogatják az "internet" útválasztási konfigurációtípust a nyilvános IP-címeken, tekintse meg a nyilvános interneten keresztüli útválasztás támogatott szolgáltatásait.

Nem, a NAT-átjárók nem támogatják a nyilvános IP-címeket, ha engedélyezve van a DDoS-védelem. További információ: DDoS-korlátozások.

Nem, egy meglévő nyilvános IP-cím címe nem módosítható. Ha módosítania kell a NYILVÁNOS IP-címet a NAT-átjárón, útmutatásért olvassa el a nyilvános IP-cím hozzáadása vagy eltávolítása című témakört.

Az alhálózati erőforrások a NAT-átjáróhoz csatolt nyilvános IP-címek bármelyikét használhatják a kimenő kapcsolatokhoz. Minden alkalommal, amikor új kimenő kapcsolatot létesít egy NAT-átjárón keresztül, a rendszer véletlenszerűen választja ki a kimenő nyilvános IP-címet.

Szám A NAT-átjáróval konfigurált alhálózat adott alhálózataihoz vagy virtuálisgép-példányaihoz való IP-hozzárendelés nem támogatott.

Nem, egy NAT-átjáró nem csatolható több virtuális hálózathoz.

Igen, egy NAT-átjáró legfeljebb 800 alhálózattal társítható egy virtuális hálózatban. Nem szükséges a virtuális hálózaton belüli összes alhálózathoz társítani.

Nem, a NAT-átjáró nem társítható átjáróalhálózattal.

Nem, a NAT-átjáró az alhálózat tulajdonságai alapján működik, így több NAT-átjáró nem csatolható egyetlen alhálózathoz.

A küllős virtuális hálózatokból érkező forgalom átirányítható a központosított központi virtuális hálózatra egy NVA-n vagy az Azure Firewallon keresztül. A NAT-átjárók ezután kimenő kapcsolatot biztosíthatnak az összes küllős virtuális hálózat számára a központosított központi hálózatról. Ha NAT-átjárót szeretne beállítani küllős architektúrában NVA-kkal, olvassa el a NAT-átjáró használata küllős hálózatokban című témakört. Ha nat-átjárót szeretne használni az Azure Firewall használatával küllős környezetben, olvassa el a NAT-átjáró integrálása az Azure Firewallba című témakört.

A NAT-átjárók lehetnek zonálisak vagy "nincs zónában" elhelyezve. További információ: Azure NAT Gateway és rendelkezésre állási zónák. Ráadásul:

• Az Azure zóna nélküli NAT-átjárót helyez el egy zónában.
• A nat-átjáró létrehozásakor a felhasználó egy adott zónához társít egy zonális NAT-átjárót.
• A NAT-átjárók zónakonfigurációja az üzembe helyezés után nem módosítható.

Zónaredundáns nyilvános IP-címek és előtagok csatolhatók zóna nélküli NAT-átjáróhoz vagy egy adott rendelkezésre állási zónához rendelt NAT-átjáróhoz. További információ: Azure NAT Gateway és rendelkezésre állási zónák.

Nem, a NAT-átjáró kompatibilis a standard termékváltozat-erőforrásokkal. További információkért tekintse meg az Azure NAT Gateway alapjait. Frissítse az alapszintű terheléselosztót és az alapszintű nyilvános IP-címet szabványosra a NAT-átjárók használatához. További segítségért:

• Az alapszintű terheléselosztó standardra való frissítéséhez tekintse meg az Azure nyilvános terheléselosztó frissítését.
• Egy alapszintű nyilvános IP-cím standardra való frissítéséhez lásd : Nyilvános IP-cím frissítése.
• Ha alapszintű nyilvános IP-címet szeretne szabványosra frissíteni egy csatolt virtuális géppel, olvassa el az alapszintű nyilvános IP-cím frissítése csatolt virtuális géppel című témakört.

TCP-kapcsolatok esetén a tétlen időtúllépési időzítő alapértelmezés szerint 4 perc, és legfeljebb 120 percig konfigurálható. Ha hosszú kapcsolati folyamatokat kell fenntartania, használjon TCP-fenntartókat a tétlen időtúllépési időzítő kiterjesztése helyett. A TCP-fenntartók hosszabb ideig tartanak fenn aktív kapcsolatokat.

Az UDP tétlen időtúllépési időzítője 4 percre van beállítva, és nem konfigurálható.

Ha egy TCP/UDP-kapcsolat bezárul, a port lehűlési időszakban lesz elhelyezve, mielőtt újra felhasználható lenne ugyanahhoz a célvégponthoz való csatlakozáshoz. További információt az SNAT-portok újrahasználati időzítőiben talál. Csatlakozás másik célhelyre váltó Csatlakozás azonnal használhatnak SNAT-portot. További információ: SNAT az Azure NAT Gateway használatával.

Igen, a NAT-átjárók a Azure-alkalmazás Szolgáltatással is használhatók, hogy az alkalmazások virtuális hálózatról irányíthassanak kimenő forgalmat az internetre. A NAT-átjáró és a Azure-alkalmazás szolgáltatás közötti integráció használatához engedélyezni kell a regionális virtuális hálózati integrációt. A virtuális hálózatok NAT-átjáróval való integrációjának engedélyezésével kapcsolatos útmutatásért tekintse meg az Azure NAT Gateway-integrációt.

Igen. A NAT-átjárók Azure Kubernetes Service-vel való integrációjával kapcsolatos további információkért lásd a felügyelt NAT-átjárót.

Igen, nat-átjáró használható az Azure Firewall használatával. Ha az Azure Firewall nat-átjáróval van használatban, annak zonális konfigurációban kell lennie. A NAT-átjáró zónaredundáns tűzfallal működik, de jelenleg nem javasoljuk az üzembe helyezést. Az Azure Firewall nat-átjáróintegrációjával kapcsolatos további információkért lásd : SNAT-portok méretezése NAT-átjáróval.

Igen, a NAT-átjáró hozzáadása szolgáltatásvégpontokkal rendelkező alhálózathoz nem befolyásolja a végpontokat. A virtuális hálózati szolgáltatásvégpontok pontosabb útvonalat tesznek lehetővé az általuk képviselt cél Azure-szolgáltatásforgalom számára. A szolgáltatásvégpont forgalma az Internet helyett az Azure gerinchálózatán halad át. A Privát kapcsolat szolgáltatásvégpontokon keresztüli használatát javasoljuk, amikor közvetlenül az Azure-hálózatról csatlakozik az Azure-platformhoz szolgáltatásként (PaaS).

Igen. Ha engedélyezi a biztonságos fürtkapcsolatot a munkaterületen, a NAT-átjárók kétféleképpen használhatók az Azure Databricksben:

• Ha biztonságos fürtkapcsolatot használ az Azure Databricks által létrehozott alapértelmezett virtuális hálózattal, az Azure Databricks automatikusan létrehoz egy NAT-átjárót a munkaterület alhálózataiból érkező kimenő forgalomhoz. A NAT-átjáró az Azure Databricks által kezelt felügyelt erőforráscsoporton belül jön létre. Ezt az erőforráscsoportot vagy a benne kiépített erőforrásokat nem módosíthatja.
• Ha virtuális hálózati injektálást használó munkaterületen engedélyezi a biztonságos fürtkapcsolatot, a kimenő kapcsolat biztosításához a munkaterület mindkét alhálózatán üzembe helyezhet egy NAT-átjárót. Ebben az esetben módosíthatja a testreszabott kimenő kapcsolati követelmények konfigurációját. További információ: Biztonságos fürtkapcsolat.

Következő lépések

Ha a kérdés nem szerepel a listán, küldjön visszajelzést erről a lapról a kérdésével kapcsolatban. Ezek az információk létrehoznak egy GitHub-problémát a termékcsapat számára, hogy minden értékes ügyfélkérdésre választ kapjunk.