Kimenő kapcsolatok hibaelhárítása NAT-átjáróval és Azure-szolgáltatásokkal
Ez a cikk útmutatást nyújt a NAT-átjáró más Azure-szolgáltatásokkal való használatakor felmerülő csatlakozási problémák elhárításához, beleértve a következőket:
Azure App Services
Azure-alkalmazás Szolgáltatások regionális virtuális hálózati integrációja ki van kapcsolva
A NAT-átjáró az Azure App Services használatával lehetővé teszi, hogy az alkalmazások kimenő hívásokat kezdeményezhessenek egy virtuális hálózatról. Az Azure App Services és a NAT-átjáró közötti integráció használatához engedélyezni kell a regionális virtuális hálózati integrációt. További információért tekintse meg , hogyan működik a regionális virtuális hálózat integrációja.
Ha NAT-átjárót szeretne használni Azure-alkalmazás szolgáltatásokkal, kövesse az alábbi lépéseket:
Győződjön meg arról, hogy az alkalmazások virtuális hálózati integrációt konfiguráltak, lásd: Virtuális hálózati integráció engedélyezése.
Győződjön meg arról, hogy az Összes útválasztás engedélyezve van a virtuális hálózati integrációhoz, lásd: Virtuális hálózati integrációs útválasztás konfigurálása.
Hozzon létre egy NAT-átjáró-erőforrást.
Hozzon létre egy új nyilvános IP-címet, vagy csatoljon egy meglévő nyilvános IP-címet a hálózatban a NAT-átjáróhoz.
Rendelje hozzá a NAT-átjárót ugyanahhoz az alhálózathoz, amelyet az alkalmazásokkal való virtuális hálózati integrációhoz használnak.
A NAT-átjáró virtuális hálózati integrációval való konfigurálásának részletes útmutatását a NAT-átjáró integrációjának konfigurálása című témakörben találja .
Fontos megjegyzések a NAT-átjáróról és a Azure-alkalmazás-szolgáltatások integrációjáról:
A virtuális hálózati integráció nem biztosít bejövő privát hozzáférést az alkalmazáshoz a virtuális hálózatról.
A virtuális hálózati integrációs forgalom nem jelenik meg az Azure Network Watcher vagy a Hálózati biztonsági csoport (NSG) folyamatnaplóiban a működés jellege miatt.
Az App Services nem a NAT-átjáró nyilvános IP-címét használja a kimenő csatlakozáshoz
Az App Services akkor is létre tud hozni kimenő internetkapcsolatot, ha a virtuálishálózat-integráció nincs engedélyezve. Alapértelmezés szerint az App Service-ben üzemeltetett alkalmazások közvetlenül az interneten érhetők el, és csak az interneten üzemeltetett végpontokat érik el. További információkért tekintse meg az App Services hálózatkezelési funkcióit.
Ha azt tapasztalja, hogy a kimenő csatlakozáshoz használt IP-cím nem a NAT-átjáró nyilvános IP-címe vagy címe, ellenőrizze, hogy engedélyezve van-e a virtuális hálózati integráció. Győződjön meg arról, hogy a NAT-átjáró az alkalmazásokkal való integrációhoz használt alhálózatra van konfigurálva.
Annak ellenőrzéséhez, hogy a webalkalmazások a NAT-átjáró nyilvános IP-címét használják-e, pingeljen egy virtuális gépet a Web Appsben, és ellenőrizze a forgalmat egy hálózati rögzítéssel.
Azure Kubernetes Service
NAT-átjáró üzembe helyezése Azure Kubernetes Service-fürtökkel
A NAT-átjáró AKS-fürtökkel is üzembe helyezhető, hogy explicit kimenő kapcsolatot lehessen létesíteni. A NAT-átjárót kétféleképpen helyezheti üzembe AKS-fürtökkel:
Felügyelt NAT-átjáró: Az Azure egy NAT-átjárót helyez üzembe az AKS-fürt létrehozásakor. Az AKS kezeli a NAT-átjárót.
Felhasználó által hozzárendelt NAT-átjáró: NAT-átjárót helyez üzembe egy meglévő virtuális hálózaton az AKS-fürthöz.
További információ: Felügyelt NAT Gateway.
Nem tudom frissíteni a NAT-átjáró IP-címeit vagy az AKS-fürtök tétlen időtúllépési időzítőit
A NYILVÁNOS IP-címek és a NAT-átjáró tétlen időtúllépési időzítője csak felügyelt az aks update NAT-átjáró parancsával frissíthető.
Ha felhasználó által hozzárendelt NAT-átjárót helyezett üzembe az AKS-alhálózatokon, akkor a parancs használatával nem frissítheti a az aks update nyilvános IP-címeket vagy az üresjárati időtúllépési időzítőt. A felhasználó egy felhasználó által hozzárendelt NAT-átjárót kezel. Ezeket a konfigurációkat manuálisan kell frissítenie a NAT-átjáró erőforrásán.
Frissítse a nyilvános IP-címeket a felhasználó által hozzárendelt NAT-átjárón az alábbi lépésekkel:
Az erőforráscsoportban válassza ki a NAT Gateway-erőforrást a portálon.
A bal oldali navigációs sávon található Beállítások elem alatt válassza a Kimenő IP-cím elemet.
A nyilvános IP-címek kezeléséhez válassza a kék Módosítás lehetőséget.
A jobbról becsúszó nyilvános IP-címek és előtagok kezelése konfigurációban frissítse a hozzárendelt nyilvános IP-címeket a legördülő menüből, vagy válassza az Új nyilvános IP-cím létrehozása lehetőséget.
Ha végzett az IP-konfigurációk frissítésével, kattintson a képernyő alján található OK gombra.
A konfigurációs oldal eltűnése után kattintson a Mentés gombra a módosítások mentéséhez.
Ismételje meg a 3–6. lépést a nyilvános IP-előtagok esetében is.
Frissítse az üresjárati időtúllépési időzítő konfigurációját a felhasználó által hozzárendelt NAT-átjárón az alábbi lépésekkel:
Az erőforráscsoportban válassza ki a NAT-átjáró erőforrását a portálon.
A bal oldali navigációs sávon található Beállítások elem alatt válassza a Konfiguráció elemet.
A TCP tétlen időtúllépési (perc) szövegsávjában állítsa be az üresjárati időtúllépés időzítőt (az időzítő 4–120 perc között konfigurálható).
Amikor elkészült, válassza a Mentés gombot.
Feljegyzés
A TCP üresjárati időtúllépési időzítőjének 4 percnél hosszabbra történő növelése növelheti az SNAT-portok kimerülésének kockázatát.
Azure Firewall
A forráshálózati címfordítás (SNAT) kimerülése az Azure Firewallhoz való kimenő csatlakozáskor
Az Azure Firewall képes kimenő internetkapcsolatot biztosítani a virtuális hálózatokhoz. Az Azure Firewall nyilvános IP-címenként csak 2496 SNAT-portot biztosít. Bár az Azure Firewall legfeljebb 250 nyilvános IP-címmel társítható a kimenő forgalom kezeléséhez, előfordulhat, hogy kevesebb nyilvános IP-címre van szükség a kimenő csatlakozáshoz. A kevesebb nyilvános IP-címmel való kimenő forgalom követelményét az architekturális követelmények és a célvégpontok engedélyezési listára vonatkozó korlátozásai teszik lehetővé.
Az egyik módszer, amellyel nagyobb méretezhetőséget biztosíthat a kimenő forgalom számára, és csökkentheti az SNAT-portok kimerülésének kockázatát, ha nat-átjárót használ ugyanabban az alhálózatban az Azure Firewall használatával. A NAT-átjáró Azure Firewall-alhálózatban való beállításáról további információt a NAT-átjáró és az Azure Firewall integrálása című témakörben talál. További információ a NAT-átjáró Azure Firewalllal való használatáról: SNAT-portok méretezése az Azure NAT Gateway használatával.
Feljegyzés
A NAT-átjáró nem támogatott a vWAN-architektúrában. A NAT-átjáró nem konfigurálható egy Azure Firewall-alhálózatra egy vWAN-központban.
Azure Databricks
A NAT-átjáró használata a databricks-fürtből kimenő csatlakozáshoz
A NAT-átjáró a Databricks-munkaterület létrehozásakor a databricks-fürtből kimenő csatlakozásra használható. A NAT-átjáró kétféleképpen helyezhető üzembe a databricks-fürtön:
Ha engedélyezi a biztonságos fürt Csatlakozás ivity (Nincs nyilvános IP-cím) az Azure Databricks által létrehozott alapértelmezett virtuális hálózaton, az Azure Databricks automatikusan üzembe helyez egy NAT-átjárót, amely a munkaterület alhálózataiból az internetre csatlakozik. Az Azure Databricks létrehozza ezt a NAT-átjáróerőforrást a felügyelt erőforráscsoporton belül, és nem módosíthatja ezt az erőforráscsoportot vagy a benne üzembe helyezett egyéb erőforrásokat.
Miután telepítette az Azure Databricks-munkaterületet a saját virtuális hálózatában (virtuális hálózatinjektálásával), a NAT-átjárót a munkaterület mindkét alhálózatán üzembe helyezheti és konfigurálhatja, hogy a NAT-átjárón keresztül biztosítsa a kimenő kapcsolatot. Ezt a megoldást egy Azure-sablonnal vagy a portálon keresztül implementálhatja.
Következő lépések
Ha a jelen cikk nem oldja meg a NAT-átjáróval kapcsolatos problémákat, küldjön visszajelzést a GitHubon keresztül a lap alján. A lehető leghamarabb megválaszoljuk visszajelzését, hogy jobb felhasználói élményt nyújtsunk ügyfeleinknek.
A NAT-átjáróval kapcsolatos további információkért lásd: