Risolvere problemi del gateway NAT di Azure
Questo articolo fornisce indicazioni su come configurare correttamente il gateway NAT e risolvere problemi comuni correlati alla configurazione e alla distribuzione.
Informazioni basilari sulla configurazione del gateway NAT
Controllare le configurazioni seguenti per assicurarsi che il gateway NAT possa essere usato per indirizzare il traffico in uscita:
Almeno un indirizzo IP pubblico o un prefisso di IP pubblico è associato al gateway NAT. Per consentire la connettività in uscita, al gateway NAT deve essere associato almeno un indirizzo IP pubblico.
Almeno una subnet è collegata a un gateway NAT. È possibile collegare più subnet a un gateway NAT per l'uscita, ma queste subnet devono esistere all'interno della stessa rete virtuale. Un gateway NAT non può estendersi oltre una singola rete virtuale.
Nessuna regola del gruppo di sicurezza di rete (NSG) o route definita dall'utente (UDR) impediscono al gateway NAT di indirizzare traffico a Internet.
Come convalidare la connettività
Un gateway NAT supporta protocolli UDP (User Datagram Protocol) e TCP (Transmission Control Protocol) IPv4.
Nota
Il protocollo ICMP non è supportato dal gateway NAT. Il ping che usa il protocollo ICMP non è supportato e si prevede che non vada a buon fine.
Per convalidare la connettività end-to-end del gateway NAT, usare i passaggi seguenti:
Assicurarsi che l'indirizzo IP pubblico del gateway NAT sia usato.
Eseguire test di connessione TCP e test del livello dell'applicazione specifici per UDP.
Esaminare i log dei flussi NSG per analizzare il traffico in uscita dal gateway NAT.
Per gli strumenti da usare per convalidare la connettività del gateway NAT, fare riferimento alla tabella seguente.
| Sistema operativo | Test di connessione TCP generico | Test del livello dell'applicazione TCP | UDP |
|---|---|---|---|
| Linux | nc (test di connessione generico) |
curl (test del livello dell'applicazione TCP) |
specifico dell'applicazione |
| Finestre | PsPing | Invoke-WebRequest di PowerShell | specifico dell'applicazione |
Come analizzare la connettività in uscita
Per analizzare il traffico in uscita dal gateway NAT, usare i log dei flussi della rete virtuale (VNet). I log dei flussi VNet forniscono informazioni sulla connessione per le macchine virtuali. Le informazioni sulla connessione contengono IP e porta di origine e IP e porta di destinazione, e lo stato della connessione. Vengono anche registrate la direzione del flusso del traffico e le dimensioni del traffico nel numero di pacchetti e byte inviati. L'IP e la porta di origine specificati nel log dei flussi VNet sono relativi alla macchina virtuale e non al gateway NAT.
Per altre informazioni sui log dei flussi VNet, vedere Panoramica dei log dei flussi della rete virtuale.
Per indicazioni su come abilitare i log dei flussi VNet, vedere Gestire i log dei flussi della rete virtuale.
È consigliabile accedere ai dati di log nelle aree di lavoro Log Analytics, in cui è anche possibile eseguire query e filtrare dati per il traffico in uscita. Per altre informazioni sull'uso di Log Analytics, vedere Esercitazione su Log Analytics.
Per altri dettagli sullo schema del log dei flussi VNet, vedere Schema di analisi del traffico e aggregazione dei dati.
Il gateway NAT si trova in uno stato di errore
È possibile riscontrare un errore di connettività in uscita se la risorsa del gateway NAT si trova in uno stato di errore. Per uscire dallo stato di errore del gateway NAT, seguire queste istruzioni:
Identificare la risorsa in uno stato di errore. Passare ad Azure Resource Explorer e identificare la risorsa in tale stato.
Aggiornare l'interruttore nell'angolo in alto a destra in Lettura/Scrittura.
Selezionare Modifica per la risorsa in stato di errore.
Selezionare PUT seguito da GET per assicurarsi che lo stato di provisioning sia aggiornato a Riuscito.
È quindi possibile procedere con altre azioni, in quanto la risorsa non è più in stato di errore.
Aggiungere o rimuovere un gateway NAT
Non è possibile eliminare un gateway NAT
Un gateway NAT deve essere prima scollegato da tutte le subnet all'interno di una rete virtuale per poterlo rimuovere o eliminare. Per le istruzioni dettagliate, vedere Rimuovere un gateway NAT da una subnet esistente ed eliminare la risorsa.
Aggiungere o rimuovere una subnet
Il gateway NAT non può essere collegato a una subnet già collegata a un altro gateway NAT
Una subnet all'interno di una rete virtuale non può avere più di un gateway NAT collegato ad essa per la connessione in uscita a Internet. Una risorsa gateway NAT individuale può essere collegata a più subnet all'interno della stessa rete virtuale. Un gateway NAT non può estendersi oltre una singola rete virtuale.
Non possono esistere risorse di base nella stessa subnet del gateway NAT
Un gateway NAT non è compatibile con le risorse di base, ad esempio bilanciamento del carico di base o IP pubblico di base. Le risorse di base devono essere collocate in una subnet non associata a un gateway NAT. Il bilanciamento del carico di base o l'IP pubblico di base possono essere aggiornati a standard per l'uso con un gateway NAT.
Per aggiornare il bilanciamento del carico di base a standard, vedere Aggiornare il bilanciamento del carico da pubblico di base a pubblico standard.
Per aggiornare l'IP pubblico di base a standard, vedere Aggiornare l'IP da pubblico di base a pubblico standard.
Per aggiornare un indirizzo IP pubblico di base con una macchina virtuale collegata a standard, vedere [aggiornare un IP pubblico di base con una macchina virtuale collegata](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
Un gateway NAT può essere collegato a una subnet del gateway
Il gateway NAT non può essere distribuito in una subnet del gateway. Una subnet del gateway viene usata da un gateway VPN per l'invio di traffico crittografato tra una rete virtuale di Azure e una posizione locale. Per altre informazioni sul modo in cui vengono usate le subnet del gateway, vedere Panoramica del gateway VPN.
Un gateway NAT non può essere collegato a una subnet che contiene un'interfaccia di rete della macchina virtuale in uno stato di errore.
Quando si associa un gateway NAT a una subnet che contiene un'interfaccia di rete della macchina virtuale (interfaccia di rete) in uno stato di errore, viene visualizzato un messaggio di errore indicante che questa azione non può essere eseguita. Per poter collegare un gateway NAT alla subnet, è necessario prima risolvere lo stato di errore dell'interfaccia di rete della macchina virtuale.
Per uscire da uno stato di errore dell'interfaccia di rete della macchina virtuale, è possibile usare uno dei due metodi seguenti.
Usare PowerShell per uscire da uno stato di errore dell'interfaccia di rete della macchina virtuale
Determinare lo stato di provisioning delle interfacce di rete usando il comando PowerShell Get-AzNetworkInterface e impostando il valore di "provisioningState" su "Succeeded".
Eseguire comandi PowerShell GET/SET nell'interfaccia di rete. I comandi PowerShell aggiornano lo stato di provisioning.
Verificare i risultati di questa operazione controllando di nuovo lo stato di provisioning delle interfacce di rete (seguire i comandi del passaggio 1).
Usare Azure Resource Explorer per uscire da uno stato di errore dell'interfaccia di rete della macchina virtuale
Passare ad Azure Resource Explorer (è consigliabile usare il browser Microsoft Edge)
Espandere Sottoscrizioni (la visualizzazione richiede alcuni secondi).
Espandere la sottoscrizione contenente la scheda di interfaccia di rete della macchina virtuale in stato di errore.
Espandere resourceGroups.
Espandere il gruppo di risorse corretto che contiene l'interfaccia di rete della macchina virtuale nello stato di errore.
Espandere i provider.
Espandere Microsoft.Network.
Espandere networkInterfaces.
Selezionare l'interfaccia di rete in stato di provisioning non riuscito.
Selezionare il pulsante Lettura/Scrittura in alto.
Selezionare il pulsante verde GET.
Selezionare il pulsante blu EDIT.
Selezionare il pulsante verde PUT.
Selezionare Il pulsante Sola lettura in alto.
A questo punto, l'interfaccia di rete della macchina virtuale dovrebbe trovarsi in uno stato di provisioning riuscito. È possibile chiudere il browser.
Aggiungere o rimuovere indirizzi IP pubblici
Non è possibile superare 16 indirizzi IP pubblici in un gateway NAT
Un gateway NAT non può essere associato a più di 16 indirizzi IP pubblici. Con un gateway NAT è possibile usare qualunque combinazione di indirizzi e prefissi IP pubblici per un totale di 16 indirizzi. Per aggiungere o rimuovere un IP pubblico, vedere Aggiungere o rimuovere un indirizzo IP pubblico.
Con un gateway NAT è possibile usare le dimensioni dei prefissi IP seguenti:
/28 (16 indirizzi)
/29 (8 indirizzi)
/30 (4 indirizzi)
/31 (2 indirizzi)
Coesistenza di IPv6
Un gateway NAT supporta protocolli UDP e TCP IPv4. Un gateway NAT non può essere associato a un indirizzo IP pubblico o a un prefisso di IP pubblico IPv6. Un gateway NAT può essere distribuito in una subnet dual stack, ma usa solo indirizzi IP pubblici IPv4 per indirizzare il traffico in uscita. Distribuire il gateway NAT in una subnet dual stack quando devono esistere risorse IPv6 nella stessa subnet delle risorse IPv4. Per altre informazioni su come fornire connettività in uscita IPv4 e IPv6 dalla subnet dual stack, vedere Connettività in uscita dual stack con gateway NAT e bilanciamento del carico pubblico.
Non è possibile usare indirizzi IP pubblici di base con un gateway NAT
Un gateway NAT è una risorsa standard e non può essere usato con risorse di base, inclusi indirizzi IP pubblici di base. È possibile aggiornare l'indirizzo IP pubblico di base da usare con il gateway NAT utilizzando le indicazioni seguenti: Aggiornare un indirizzo IP pubblico.
Non è possibile usare IP pubblici con preferenza di routing impostata su Internet insieme al gateway NAT
Quando il gateway NAT è configurato con un indirizzo IP pubblico, il traffico viene instradato tramite la rete Microsoft. Il gateway NAT non può essere associato a IP pubblici con della preferenza di routing impostata su Internet. Il gateway NAT può essere associato solo a IP pubblici con preferenza di routing impostata su Rete globale Microsoft. Vedere i servizi supportati per un elenco dei servizi Azure che non supportano gli IP pubblici con la preferenza di routing impostata su Internet.
Non è possibile specificare zone non corrispondenti per gli indirizzi IP pubblici e il gateway NAT
Un gateway NAT è un risorsa di zona e può essere designato su una zona specifica o in "nessuna zona". Quando un gateway NAT viene collocato in "nessuna zona", Azure colloca automaticamente il gateway NAT in una zona, ma non è possibile conoscere la zona in cui si è collocato il gateway NAT.
Un gateway NAT può essere usato con indirizzi IP pubblici designati per una zona specifica, nessuna zona, tutte le zone (con ridondanza della zona) a seconda della configurazione della zona di disponibilità.
| Designazione della zona di disponibilità di un gateway NAT | Designazione dell'indirizzo/prefisso IP pubblico che può essere usato |
|---|---|
| Nessuna zona | Con ridondanza della zona, Nessuna zona o Di zona (la designazione della zona dell'IP pubblico può essere qualsiasi zona all'interno di un'area per usare un gateway NAT in "nessuna zona") |
| Designato in una zona specifica | È possibile usare IP pubblici con ridondanza della zona o di zona |
Nota
Se è necessario conoscere la zona in cui risiede il gateway NAT, assicurarsi di designarla in una zona di disponibilità specifica.
Altre informazioni sul materiale sussidiario sulla risoluzione dei problemi
Se il problema riscontrato non è trattato in questo articolo, fare riferimento ad altri articoli sulla risoluzione dei problemi del gateway NAT:
Risolvere problemi di connettività in uscita con il gateway NAT.
Risolvere problemi di connettività in uscita con il gateway NAT e altri servizi di Azure.
Passaggi successivi
Se si verificano problemi con il gateway NAT non elencati o risolti in questo articolo, inviare un feedback tramite GitHub nella parte inferiore di questa pagina. I commenti e i suggerimenti vengono affrontati il prima possibile per migliorare l'esperienza dei clienti.
Per altre informazioni sul gateway NAT, vedere: