Risolvere i problemi di connettività in uscita con il gateway NAT e i servizi di Azure

Questo articolo fornisce indicazioni su come risolvere i problemi di connettività quando si usa il gateway NAT con altri servizi di Azure, tra cui:

• Servizi app di Azure

• Servizio Azure Kubernetes

• Firewall di Azure

• Azure Databricks

Servizi app di Azure

Integrazione della rete virtuale a livello di area di Servizi app di Azure disattivata

È possibile usare il gateway NAT con i servizi app di Azure per consentire alle applicazioni di effettuare chiamate in uscita da una rete virtuale. Per usare questa integrazione tra i servizi app di Azure e il gateway NAT, è necessario abilitare l'integrazione della rete virtuale a livello di area. Per altre informazioni, vedere come funziona l'integrazione della rete virtuale a livello di area.

Per usare il gateway NAT con i servizi app di Azure, seguire questa procedura:

1. Assicurarsi che nelle applicazioni sia configurata l'integrazione della rete virtuale; vedere Abilitare l'integrazione della rete virtuale.

2. Assicurarsi che per l'integrazione della rete virtuale sia abilitato Instrada tutto; vedere Configurare il routing di integrazione della rete virtuale.

3. Creare una risorsa del gateway NAT.

4. Creare un nuovo indirizzo IP pubblico o collegare un indirizzo IP pubblico esistente nella rete al gateway NAT.

5. Assegnare il gateway NAT alla stessa subnet usata per l'integrazione della rete virtuale con le applicazioni.

Per istruzioni dettagliate su come configurare il gateway NAT con l'integrazione della rete virtuale, vedere Configurazione dell'integrazione del gateway NAT.

Note importanti sul gateway NAT e sull'integrazione di Servizi app di Azure:

• L'integrazione della rete virtuale non fornisce l'accesso privato in ingresso all'app dalla rete virtuale.

• Il traffico di integrazione della rete virtuale non viene visualizzato nei log dei flussi di Azure Network Watcher o del gruppo di sicurezza di rete (NSG) a causa della natura del funzionamento.

Servizi app non sta usando l'indirizzo IP pubblico del gateway NAT per eseguire la connessione in uscita

Servizi app può continuare a eseguire la connessione in uscita a Internet anche se l'integrazione della rete virtuale non è abilitata. Per impostazione predefinita, le app ospitate in Servizi app sono accessibili direttamente tramite Internet e possono raggiungere solo gli endpoint ospitati in Internet. Per altre informazioni, vedere Funzionalità di rete di Servizi app.

Se si nota che l'indirizzo IP usato per connettersi in uscita non è l'indirizzo IP pubblico o gli indirizzi del gateway NAT, verificare che l'integrazione della rete virtuale sia abilitata. Verificare che il gateway NAT sia configurato per la subnet usata per l'integrazione con le applicazioni.

Per verificare che le applicazioni Web usino l'IP pubblico del gateway NAT, effettuare il ping di una macchina virtuale nelle app Web e controllare il traffico tramite un'acquisizione di rete.

Servizio Azure Kubernetes

Come distribuire il gateway NAT con cluster del Servizio Azure Kubernetes

Il gateway NAT può essere distribuito con cluster del servizio Azure Kubernetes per consentire la connettività esplicita in uscita. Esistono due modi differenti per distribuire il gateway NAT con i cluster del servizio Azure Kubernetes:

• Gateway NAT gestito: Azure distribuisce un gateway NAT al momento della creazione del cluster del servizio Azure Kubernetes. Il servizio Azure Kubernetes gestisce il gateway NAT.

• Gateway NAT assegnato dall'utente: si distribuisce un gateway NAT in una rete virtuale esistente per il cluster servizio Azure Kubernetes.

Altre informazioni sul gateway NAT gestito.

Connessione dal cluster del servizio Azure Kubernetes al server API del servizio Azure Kubernetes tramite Internet

Per gestire un cluster del servizio Azure Kubernetes, interagire con il relativo server API. Quando si crea un cluster non privato che si risolve nel nome di dominio completo (FQDN) del server API, al server API viene assegnato un indirizzo IP pubblico per impostazione predefinita. Dopo aver collegato un gateway NAT alle subnet del cluster del servizio Azure Kubernetes, il gateway NAT verrà usato per connettersi all'indirizzo IP pubblico del server API del servizio Azure Kubernetes. Per altre informazioni e indicazioni sulla progettazione, vedere la documentazione seguente:

• Accedere a un server API del servizio Azure Kubernetes
• Usare Gestione API con il servizio Azure Kubernetes
• Definire intervalli IP autorizzati del server API

Non è possibile aggiornare gli indirizzi IP del gateway NAT o il timer del timeout di inattività per un cluster del servizio Azure Kubernetes

Gli indirizzi IP pubblici e il timer del timeout di inattività per il gateway NAT possono essere aggiornati SOLO con il comando az aks update per un gateway NAT gestito.

Se si ha distribuito un gateway NAT assegnato dall'utente nelle sottoreti del Servizio Azure Kubernetes, non è possibile usare il comando az aks update per aggiornare gli indirizzi IP pubblici o il timer del timeout di inattività. L'utente gestisce un gateway NAT assegnato dall'utente. È necessario aggiornare queste configurazioni manualmente nella risorsa del gateway NAT.

Aggiornare gli indirizzi IP pubblici nel gateway NAT assegnato dall'utente seguendo questa procedura:

1. Nel gruppo di risorse selezionare la risorsa gateway NAT nel portale.

2. In Impostazioni sulla barra di spostamento a sinistra selezionare Indirizzi IP in uscita.

3. Per gestire gli indirizzi IP pubblici, selezionare il pulsante Modifica blu.

4. Nella configurazione Gestisci indirizzi IP pubblici e prefissi visualizzati a destra aggiornare gli indirizzi IP pubblici assegnati dal menu a discesa oppure selezionare Crea un nuovo indirizzo IP pubblico.

5. Dopo aver aggiornato le configurazioni IP, selezionare il pulsante OK nella parte inferiore dello schermo.

6. Dopo che la pagina di configurazione scompare, selezionare il pulsante Salva per salvare le modifiche.

7. Ripetere i passaggi da 3 a 6 per eseguire la stessa operazione per i prefissi IP pubblici.

Aggiornare la configurazione del timer del timeout di inattività nel gateway NAT assegnato dall'utente seguendo questa procedura:

1. Nel gruppo di risorse selezionare la risorsa del gateway NAT nel portale.

2. In Impostazioni sulla barra di spostamento a sinistra selezionare Configurazione.

3. Nella barra di testo relativa all'inattività TCP (minuti) regolare il timer del timeout di inattività (può essere configurato su 4 - 120 minuti).

4. Al termine, selezionare il pulsante Salva.

Nota

L'aumento del timer di timeout di inattività TCP a più di 4 minuti può aumentare il rischio di esaurimento delle porte SNAT.

Firewall di Azure

Esaurimento SNAT (Source Network Address Translation) durante la connessione in uscita con Firewall di Azure

Firewall di Azure può fornire connettività Internet in uscita alle reti virtuali. Firewall di Azure offre solo 2.496 porte SNAT per ogni indirizzo IP pubblico. Anche se Firewall di Azure può essere associato a un massimo di 250 indirizzi IP pubblici per gestire il traffico in uscita, potrebbe essere necessario un minor numero di indirizzi IP pubblici per la connessione in uscita. Il requisito per l'uscita con un minor numero di indirizzi IP pubblici è dovuto ai requisiti architetturali e alle limitazioni consentite dagli endpoint di destinazione.

Un metodo in base al quale garantire una maggiore scalabilità per il traffico in uscita e ridurre anche il rischio di esaurimento delle porte SNAT consiste nell'usare il gateway NAT nella stessa subnet con Firewall di Azure. Per altre informazioni su come configurare un gateway NAT in una subnet di Firewall di Azure, vedere Integrare un gateway NAT con Firewall di Azure. Per altre informazioni sul funzionamento del gateway NAT con Firewall di Azure, vedere Ridimensionare le porte SNAT con il gateway NAT di Azure.

Nota

Il gateway NAT non è supportato in un'architettura vWAN. Non è possibile configurare il gateway NAT per una subnet di Firewall di Azure in un hub vWAN.

Azure Databricks

Come usare il gateway NAT per connettersi in uscita da un cluster Databricks

È possibile usare il gateway NAT per eseguire la connessione in uscita dal cluster Databricks quando si crea l'area di lavoro Databricks. Il gateway NAT può essere distribuito nel cluster Databricks in uno dei due modi seguenti:

• Quando si abilita Connettività cluster sicura (nessun indirizzo IP pubblico) nella rete virtuale predefinita creata da Azure Databricks, Azure Databricks distribuisce automaticamente un gateway NAT per connettersi in uscita dalle subnet dell'area di lavoro a Internet. Azure Databricks crea questa risorsa del gateway NAT all'interno del gruppo di risorse gestite e non è possibile modificare questo gruppo di risorse o altre risorse distribuite.

• Dopo aver distribuito l'area di lavoro di Azure Databricks nella propria rete virtuale (tramite l'inserimento nella rete virtuale), è possibile distribuire e configurare il gateway NAT in entrambe le subnet dell'area di lavoro per garantire la connettività in uscita tramite il gateway NAT. È possibile implementare questa soluzione usando un modello di Azure o nel portale.

Passaggi successivi

Se si verificano problemi con il gateway NAT non risolto da questo articolo, inviare commenti e suggerimenti tramite GitHub nella parte inferiore di questa pagina. I commenti e i suggerimenti vengono affrontati il prima possibile per migliorare l'esperienza dei clienti.

Per altre informazioni sul gateway NAT, vedere:

• Gateway NAT di Azure

• Risorsa gateway NAT

• Metriche e avvisi per le risorse del gateway NAT