Risolvere i problemi del gateway NAT di Azure
Questo articolo fornisce indicazioni su come configurare correttamente il gateway NAT e risolvere i problemi comuni relativi alla configurazione e alla distribuzione.
Nozioni di base sulla configurazione del gateway NAT
Controllare le configurazioni seguenti per assicurarsi che il gateway NAT possa essere usato per indirizzare il traffico in uscita:
Almeno un indirizzo IP pubblico o un prefisso IP pubblico è collegato al gateway NAT. Almeno un indirizzo IP pubblico deve essere associato al gateway NAT per garantire la connettività in uscita.
Almeno una subnet è collegata a un gateway NAT. È possibile collegare più subnet a un gateway NAT per l'uscita, ma queste subnet devono esistere all'interno della stessa rete virtuale. Il gateway NAT non può estendersi oltre una singola rete virtuale.
Nessuna regola del gruppo di sicurezza di rete (NSG) o route definite dall'utente blocca il gateway NAT dal traffico in uscita verso Internet.
Come convalidare la connettività
Il gateway NAT supporta i protocolli UDP (User Datagram Protocol) e TCP (Transmission Control Protocol) IPv4. Il ping non è supportato e dovrebbe avere esito negativo.
Per convalidare la connettività end-to-end del gateway NAT, seguire questa procedura:
Verificare che venga usato l'indirizzo IP pubblico del gateway NAT.
Eseguire test di connessione TCP e test specifici dell'applicazione UDP.
Esaminare i log dei flussi del gruppo di sicurezza di rete per analizzare i flussi di traffico in uscita dal gateway NAT.
Per gli strumenti da usare per convalidare la connettività del gateway NAT, vedere la tabella seguente.
| Sistema operativo | Test di connessione TCP generico | Test del livello dell'applicazione TCP | UDP |
|---|---|---|---|
| Linux | nc (test di connessione generico) |
curl (test del livello applicazione TCP) |
specifico dell'applicazione |
| Finestre | PsPing | Invoke-WebRequest di PowerShell | specifico dell'applicazione |
Come analizzare la connettività in uscita
Per analizzare il traffico in uscita dal gateway NAT, usare i log dei flussi dei gruppi di sicurezza di rete. I log dei flussi del gruppo di sicurezza di rete forniscono informazioni di connessione per le macchine virtuali. Le informazioni di connessione contengono l'INDIRIZZO IP e la porta di origine e l'INDIRIZZO IP e la porta di destinazione e lo stato della connessione. Viene registrata anche la direzione del flusso di traffico e le dimensioni del traffico in numero di pacchetti e byte inviati. L'INDIRIZZO IP e la porta di origine specificati nel log del flusso del gruppo di sicurezza di rete si applicano alla macchina virtuale e non al gateway NAT.
Per altre informazioni sui log dei flussi dei gruppi di sicurezza di rete, vedere Panoramica dei log dei flussi dei gruppi di sicurezza di rete.
Per le guide su come abilitare i log dei flussi dei gruppi di sicurezza di rete, vedere Gestione dei log dei flussi del gruppo di sicurezza di rete.
Per indicazioni su come leggere i log dei flussi dei gruppi di sicurezza di rete, vedere Uso dei log dei flussi dei gruppi di sicurezza di rete.
Il gateway NAT si trova in uno stato di errore
È possibile riscontrare un errore di connettività in uscita se la risorsa del gateway NAT si trova in uno stato di errore. Per uscire dallo stato di errore del gateway NAT, seguire queste istruzioni:
Identificare la risorsa in uno stato di errore. Passare a Esplora risorse di Azure e identificare la risorsa in questo stato.
Aggiornare l'interruttore nell'angolo superiore destro in Lettura/Scrittura.
Selezionare Modifica per la risorsa in stato di errore.
Selezionare PUT seguito da GET per assicurarsi che lo stato di provisioning sia stato aggiornato a Succeeded.Select on PUT seguito by GET to ensure the provisioning state was updated to Succeeded.
È quindi possibile procedere con altre azioni perché la risorsa non è in stato di errore.
Aggiungere o rimuovere il gateway NAT
Non è possibile eliminare il gateway NAT
Il gateway NAT deve essere scollegato da tutte le subnet all'interno di una rete virtuale prima che la risorsa possa essere rimossa o eliminata. Per istruzioni dettagliate, vedere Rimuovere il gateway NAT da una subnet esistente ed eliminare la risorsa .
Aggiungere o rimuovere una subnet
Il gateway NAT non può essere collegato alla subnet già collegata a un altro gateway NAT
Una subnet all'interno di una rete virtuale non può avere più di un gateway NAT collegato a esso per la connessione in uscita a Internet. Una singola risorsa gateway NAT può essere associata a più subnet all'interno della stessa rete virtuale. Il gateway NAT non può estendersi oltre una singola rete virtuale.
Le risorse di base non possono esistere nella stessa subnet del gateway NAT
Il gateway NAT non è compatibile con le risorse di base, ad esempio Load Balancer Basic o IP pubblico basic. Le risorse di base devono essere inserite in una subnet non associata a un gateway NAT. Load Balancer basic e IP pubblico Basic possono essere aggiornati allo standard per l'uso con il gateway NAT.
Per aggiornare un servizio di bilanciamento del carico basic allo standard, vedere Eseguire l'aggiornamento dal servizio di bilanciamento del carico pubblico basic al servizio di bilanciamento del carico pubblico standard.
Per aggiornare un indirizzo IP pubblico di base a standard, vedere Eseguire l'aggiornamento dall'indirizzo IP pubblico di base a quello pubblico standard.
Per aggiornare un indirizzo IP pubblico di base con una macchina virtuale collegata a standard, vedere [aggiornare un indirizzo IP pubblico di base con una macchina virtuale collegata](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
Il gateway NAT non può essere collegato a una subnet del gateway
Il gateway NAT non può essere distribuito in una subnet del gateway. Una subnet del gateway viene usata da un gateway VPN per l'invio di traffico crittografato tra una rete virtuale di Azure e un percorso locale. Per altre informazioni sull'uso delle subnet del gateway VPN da parte del gateway VPN, vedere Panoramica del gateway VPN.
Non è possibile collegare il gateway NAT a una subnet che contiene un'interfaccia di rete della macchina virtuale in uno stato di errore
Quando si associa un gateway NAT a una subnet che contiene un'interfaccia di rete della macchina virtuale (interfaccia di rete) in uno stato di errore, viene visualizzato un messaggio di errore che indica che questa azione non può essere eseguita. Prima di poter collegare un gateway NAT alla subnet, è necessario risolvere lo stato di errore dell'interfaccia di rete della macchina virtuale.
Per uscire da uno stato di errore dell'interfaccia di rete della macchina virtuale, è possibile usare uno dei due metodi seguenti.
Usare PowerShell per uscire da uno stato di errore dell'interfaccia di rete della macchina virtuale
Determinare lo stato di provisioning delle interfacce di rete usando il comando PowerShell Get-AzNetworkInterface e impostando il valore di "provisioningState" su "Succeeded".
Eseguire i comandi GET/edizione Standard T di PowerShell nell'interfaccia di rete. I comandi di PowerShell aggiornano lo stato di provisioning.
Controllare i risultati di questa operazione controllando di nuovo lo stato di provisioning delle interfacce di rete (seguire i comandi del passaggio 1).
Usare Azure Resource Explorer per ottenere l'interfaccia di rete della macchina virtuale da uno stato di errore
Passare a Esplora risorse di Azure (scelta consigliata per l'uso del browser Microsoft Edge)
Espandere Sottoscrizioni (la visualizzazione richiede alcuni secondi).
Espandere la sottoscrizione contenente l'interfaccia di rete della macchina virtuale nello stato di errore.
Espandere resourceGroups.
Espandere il gruppo di risorse corretto che contiene l'interfaccia di rete della macchina virtuale nello stato di errore.
Espandere i provider.
Espandere Microsoft.Network.
Espandere networkInterfaces.
Selezionare l'interfaccia di rete nello stato di provisioning non riuscito.
Selezionare il pulsante Lettura/Scrittura in alto.
Selezionare il pulsante verde GET.
Selezionare il pulsante blu EDIT.
Selezionare il pulsante verde PUT.
Selezionare Il pulsante Sola lettura in alto.
L'interfaccia di rete della macchina virtuale dovrebbe ora trovarsi in uno stato di provisioning riuscito. È possibile chiudere il browser.
Aggiungere o rimuovere indirizzi IP pubblici
Non può superare 16 indirizzi IP pubblici nel gateway NAT
Il gateway NAT non può essere associato a più di 16 indirizzi IP pubblici. È possibile usare qualsiasi combinazione di indirizzi IP pubblici e prefissi con il gateway NAT fino a un totale di 16 indirizzi IP. Per aggiungere o rimuovere un indirizzo IP pubblico, vedere Aggiungere o rimuovere un indirizzo IP pubblico.
Le dimensioni dei prefissi IP seguenti possono essere usate con il gateway NAT:
/28 (16 indirizzi)
/29 (8 indirizzi)
/30 (4 indirizzi)
/31 (2 indirizzi)
Coesistenza di IPv6
Il gateway NAT supporta i protocolli UDP e TCP IPv4. Il gateway NAT non può essere associato a un indirizzo IP pubblico IPv6 o un prefisso IP pubblico IPv6. Il gateway NAT può essere distribuito in una subnet dual stack, ma usa solo indirizzi IP pubblici IPv4 per indirizzare il traffico in uscita. Distribuire il gateway NAT in una subnet dual stack quando sono necessarie risorse IPv6 nella stessa subnet delle risorse IPv4. Per altre informazioni su come fornire connettività in uscita IPv4 e IPv6 dalla subnet dual stack, vedere Connettività in uscita dual stack con il gateway NAT e il servizio di bilanciamento del carico pubblico.
Non è possibile usare indirizzi IP pubblici di base con il gateway NAT
Il gateway NAT è una risorsa standard e non può essere usato con risorse di base, inclusi gli indirizzi IP pubblici di base. È possibile aggiornare l'indirizzo IP pubblico di base per usarlo con il gateway NAT seguendo le indicazioni seguenti: Aggiornare un indirizzo IP pubblico.
Non è possibile che non si conseguano zone di indirizzi IP pubblici e gateway NAT
Il gateway NAT è una risorsa di zona e può essere designato in una zona specifica o in "nessuna zona". Quando il gateway NAT viene inserito in "nessuna zona", Azure inserisce automaticamente il gateway NAT in una zona, ma non si ha visibilità su quale zona si trova il gateway NAT.
Il gateway NAT può essere usato con indirizzi IP pubblici designati per una zona specifica, nessuna zona, tutte le zone (con ridondanza della zona) a seconda della propria configurazione della zona di disponibilità.
| Designazione della zona di disponibilità del gateway NAT | Designazione di indirizzo IP pubblico/prefisso che può essere usata |
|---|---|
| Nessuna zona | Ridondanza della zona, nessuna zona o zona (la designazione della zona IP pubblica può essere qualsiasi zona all'interno di un'area per usare un gateway NAT di zona) |
| Designato in una zona specifica | La zona dell'indirizzo IP pubblico deve corrispondere alla zona del gateway NAT |
Nota
Se è necessario conoscere la zona in cui risiede il gateway NAT, assicurarsi di designarla in una zona di disponibilità specifica.
Altre informazioni sul materiale sussidiario sulla risoluzione dei problemi
Se il problema riscontrato non è trattato in questo articolo, vedere gli altri articoli sulla risoluzione dei problemi del gateway NAT:
Risolvere i problemi di connettività in uscita con il gateway NAT.
Risolvere i problemi di connettività in uscita con il gateway NAT e altri servizi di Azure.
Passaggi successivi
Se si verificano problemi con il gateway NAT non elencato o risolto da questo articolo, inviare commenti e suggerimenti tramite GitHub nella parte inferiore di questa pagina. I commenti e i suggerimenti vengono affrontati il prima possibile per migliorare l'esperienza dei clienti.
Per altre informazioni sul gateway NAT, vedere:
Risorsa gateway NAT di Azure.
Gestire un gateway NAT.
Metriche e avvisi per le risorse del gateway NAT.