Risolvere i problemi di connettività in uscita con il gateway NAT e i servizi di Azure

Questo articolo fornisce indicazioni su come risolvere i problemi di connettività quando si usa il gateway NAT con altri servizi di Azure, tra cui:

• Servizi app di Azure

• Servizio Azure Kubernetes

• Firewall di Azure

• Azure Databricks

Servizi app di Azure

integrazione della rete virtuale a livello di area di servizi di app Azure disattivata

Il gateway NAT può essere usato con i servizi app di Azure per consentire alle applicazioni di effettuare chiamate in uscita da una rete virtuale. Per usare questa integrazione tra i servizi app di Azure e il gateway NAT, è necessario abilitare l'integrazione della rete virtuale a livello di area. Per altre informazioni, vedere come funziona l'integrazione della rete virtuale a livello di area.

Per usare il gateway NAT con i servizi app Azure, seguire questa procedura:

1. Assicurarsi che le applicazioni abbiano l'integrazione della rete virtuale configurata, vedere Abilitare l'integrazione della rete virtuale.

2. Assicurarsi che Route All sia abilitato per l'integrazione della rete virtuale, vedere Configurare il routing di integrazione della rete virtuale.

3. Creare una risorsa gateway NAT.

4. Creare un nuovo indirizzo IP pubblico o collegare un indirizzo IP pubblico esistente nella rete al gateway NAT.

5. Assegnare il gateway NAT alla stessa subnet usata per l'integrazione della rete virtuale con le applicazioni.

Per istruzioni dettagliate su come configurare il gateway NAT con l'integrazione della rete virtuale, vedere Configurazione dell'integrazione del gateway NAT.

Note importanti sul gateway NAT e sull'integrazione di app Azure Services:

• L'integrazione della rete virtuale non fornisce l'accesso privato in ingresso all'app dalla rete virtuale.

• Il traffico di integrazione della rete virtuale non viene visualizzato nei log dei flussi di Azure Network Watcher o del gruppo di sicurezza di rete (NSG) a causa della natura del funzionamento.

I servizi app non usano l'indirizzo IP pubblico del gateway NAT per connettersi in uscita

Servizi app può continuare a eseguire la connessione in uscita a Internet anche se l'integrazione della rete virtuale non è abilitata. Per impostazione predefinita, le app ospitate in Servizi app sono accessibili direttamente tramite Internet e possono raggiungere solo gli endpoint ospitati in Internet. Per altre informazioni, vedere Funzionalità di rete di servizio app s.

Se si nota che l'indirizzo IP usato per connettersi in uscita non è l'indirizzo IP pubblico o gli indirizzi del gateway NAT, verificare che l'integrazione della rete virtuale sia abilitata. Verificare che il gateway NAT sia configurato per la subnet usata per l'integrazione con le applicazioni.

Per verificare che le applicazioni Web usino l'IP pubblico del gateway NAT, effettuare il ping di una macchina virtuale nel App Web e controllare il traffico tramite un'acquisizione di rete.

Servizio Azure Kubernetes

Come distribuire un gateway NAT con cluster servizio Azure Kubernetes (servizio Azure Kubernetes)

Il gateway NAT può essere distribuito con i cluster del servizio Azure Kubernetes per consentire la connettività in uscita esplicita. Esistono due modi diversi per distribuire il gateway NAT con i cluster del servizio Azure Kubernetes:

• Gateway NAT gestito: Azure distribuisce un gateway NAT al momento della creazione del cluster del servizio Azure Kubernetes. Il servizio Azure Kubernetes gestisce il gateway NAT.

• Gateway NAT assegnato dall'utente: si distribuisce un gateway NAT in una rete virtuale esistente per il cluster servizio Azure Kubernetes.

Altre informazioni sul gateway NAT gestito.

Non è possibile aggiornare gli indirizzi IP del gateway NAT o il timer di timeout di inattività per un cluster del servizio Azure Kubernetes

Gli indirizzi IP pubblici e il timer di timeout di inattività per il gateway NAT possono essere aggiornati con il az aks update comando solo per un gateway NAT gestito.

Se è stato distribuito un gateway NAT assegnato dall'utente alle subnet del servizio Azure Kubernetes, non è possibile usare il az aks update comando per aggiornare gli indirizzi IP pubblici o il timer di timeout di inattività. L'utente gestisce un gateway NAT assegnato dall'utente. È necessario aggiornare queste configurazioni manualmente nella risorsa gateway NAT.

Aggiornare gli indirizzi IP pubblici nel gateway NAT assegnato dall'utente seguendo questa procedura:

1. Nel gruppo di risorse selezionare la risorsa gateway NAT nel portale.

2. In Impostazioni sulla barra di spostamento a sinistra selezionare Indirizzi IP in uscita.

3. Per gestire gli indirizzi IP pubblici, selezionare il blu Cambia.

4. Nella configurazione Gestisci indirizzi IP pubblici e prefissi visualizzati a destra aggiornare gli indirizzi IP pubblici assegnati dal menu a discesa oppure selezionare Crea un nuovo indirizzo IP pubblico.

5. Dopo aver completato l'aggiornamento delle configurazioni IP, selezionare il pulsante OK nella parte inferiore della schermata.

6. Dopo che la pagina di configurazione scompare, selezionare il pulsante Salva per salvare le modifiche.

7. Ripetere i passaggi da 3 a 6 per eseguire la stessa operazione per i prefissi IP pubblici.

Aggiornare la configurazione del timer di timeout di inattività nel gateway NAT assegnato dall'utente seguendo questa procedura:

1. Nel gruppo di risorse selezionare la risorsa gateway NAT nel portale.

2. In Impostazioni sulla barra di spostamento a sinistra selezionare Configurazione.

3. Nella barra di testo tcp di timeout di inattività (minuti) regolare il timer di timeout di inattività (il timer può essere configurato da 4 a 120 minuti).

4. Al termine, selezionare il pulsante Salva.

Nota

L'aumento del timer di timeout di inattività TCP a più di 4 minuti può aumentare il rischio di esaurimento delle porte SNAT.

Firewall di Azure

Esaurimento SNAT (Source Network Address Translation) durante la connessione in uscita con Firewall di Azure

Firewall di Azure può fornire connettività Internet in uscita alle reti virtuali. Firewall di Azure fornisce solo 2.496 porte SNAT per ogni indirizzo IP pubblico. Anche se Firewall di Azure può essere associato a un massimo di 250 indirizzi IP pubblici per gestire il traffico in uscita, potrebbe essere necessario un minor numero di indirizzi IP pubblici per la connessione in uscita. Il requisito per l'uscita con un minor numero di indirizzi IP pubblici è dovuto ai requisiti architetturali e alle limitazioni consentite dagli endpoint di destinazione.

Un metodo per il quale fornire maggiore scalabilità per il traffico in uscita e ridurre anche il rischio di esaurimento delle porte SNAT consiste nell'usare il gateway NAT nella stessa subnet con Firewall di Azure. Per altre informazioni su come configurare un gateway NAT in una subnet Firewall di Azure, vedere Integrare il gateway NAT con Firewall di Azure. Per altre informazioni sul funzionamento del gateway NAT con Firewall di Azure, vedere Ridimensionare le porte SNAT con il gateway NAT di Azure.

Nota

Il gateway NAT non è supportato in un'architettura vWAN. Non è possibile configurare il gateway NAT per una subnet Firewall di Azure in un hub vWAN.

Azure Databricks

Come usare il gateway NAT per connettersi in uscita da un cluster databricks

Il gateway NAT può essere usato per connettersi in uscita dal cluster databricks quando si crea l'area di lavoro di Databricks. Il gateway NAT può essere distribuito nel cluster databricks in uno dei due modi seguenti:

• Quando si abilita Secure Cluster Connessione ivity (No Public IP) nella rete virtuale predefinita creata da Azure Databricks, Azure Databricks distribuisce automaticamente un gateway NAT per connettersi in uscita dalle subnet dell'area di lavoro a Internet. Azure Databricks crea questa risorsa gateway NAT all'interno del gruppo di risorse gestite e non è possibile modificare questo gruppo di risorse o altre risorse distribuite.

• Dopo aver distribuito l'area di lavoro di Azure Databricks nella propria rete virtuale (tramite inserimento di rete virtuale), è possibile distribuire e configurare il gateway NAT in entrambe le subnet dell'area di lavoro per garantire la connettività in uscita tramite il gateway NAT. È possibile implementare questa soluzione usando un modello di Azure o nel portale.

Passaggi successivi

Se si verificano problemi con il gateway NAT non risolto da questo articolo, inviare commenti e suggerimenti tramite GitHub nella parte inferiore di questa pagina. I commenti e i suggerimenti vengono affrontati il prima possibile per migliorare l'esperienza dei clienti.

Per altre informazioni sul gateway NAT, vedere:

• Azure NAT Gateway

• Risorsa gateway NAT

• Metriche e avvisi per le risorse del gateway NAT