Azure Virtual Network NAT (NAT ゲートウェイ) のトラブルシューティング

この記事では、NAT ゲートウェイを正しく構成し、構成とデプロイに関連する一般的な問題のトラブルシューティングを行う方法に関するガイダンスを提供します。

NAT ゲートウェイ構成の基本

次の構成を確認して、NAT ゲートウェイを使用してトラフィックを送信できます。

  1. 少なくとも 1 つのパブリック IP アドレスまたは 1 つのパブリック IP プレフィックスが NAT ゲートウェイにアタッチされています。 少なくとも 1 つのパブリック IP アドレスが NAT ゲートウェイに関連付けられていて、送信接続を提供できなければなりません。

  2. 少なくとも 1 つのサブネットが NAT ゲートウェイに接続されています。 継続送信のため複数のサブネットを NAT ゲートウェイに接続できますが、それらのサブネットが同じ仮想ネットワーク内に存在する必要があります。 NAT ゲートウェイは、複数の仮想ネットワークにまたがることはできません。

  3. NSG 規則または UDR で、NAT ゲートウェイからインターネットへのトラフィック送信をブロックしていません。

接続を検証する方法

Virtual Network NAT ゲートウェイでは、IPv4 UDP および TCP プロトコルがサポートされています。 ICMP はサポートされておらず、失敗することが予想されます。

NAT ゲートウェイのエンドツーエンド接続を検証するには、次の手順に従います。

  1. NAT ゲートウェイのパブリック IP アドレスが使用されていないことを確認します。

  2. TCP 接続テストと UDP 固有アプリケーション層のテストを行います。

  3. NSG フロー ログを見て、NAT ゲートウェイからの送信トラフィック フローを分析します。

NAT ゲートウェイの接続を検証するために使用するツールについては、次の表を参照してください。

オペレーティング システム 汎用 TCP 接続テスト TCP アプリケーション レイヤー テスト UDP
Linux nc (汎用接続テスト) curl (TCP アプリケーション レイヤー テスト) アプリケーション固有
Windows PsPing PowerShell Invoke-WebRequest アプリケーション固有

送信接続を分析する方法

NAT ゲートウェイからの送信トラフィックを分析するには、NSG フロー ログを使用します。 NSG フロー ログでは、仮想マシンの接続情報が提供されます。 接続情報には、送信元 IP とポート、宛先 IP とポート、および接続の状態が含まれます。 トラフィック フローの方向と、トラフィックのサイズ (送信されたパケットおよびバイト数) もログに記録されます。

NAT ゲートウェイが失敗状態にある

NAT ゲートウェイ リソースが失敗状態の場合、送信接続エラーが発生する可能性があります。 NAT ゲートウェイを失敗状態から抜け出させるには、次の手順に従います。

  1. 失敗した状態になっているリソースを特定したら、Azure Resource Explorer に移動し、この状態のリソースを特定します。

  2. 右上隅のトグルを、[読み取り/書き込み] に更新します。

  3. 失敗状態のリソースに対して [編集] をクリックします。

  4. [PUT]、[GET] の順に選択して、プロビジョニングの状態が [成功] に更新されたことを確認します。

  5. その後は、リソースが失敗した状態ではなくなったので、他のアクションに進むことができます。

NAT ゲートウェイを追加または削除する

NAT ゲートウェイを削除できない

リソースを削除する前に、仮想ネットワーク内のすべてのサブネットから NAT ゲートウェイをデタッチする必要があります。 詳細なガイダンスについては、「既存のサブネットから NAT ゲートウェイを削除する」と「リソースを削除する」をご覧ください。

サブネットを追加または削除する

NAT ゲートウェイを、既に別の NAT ゲートウェイに接続されているサブネットにアタッチできない

インターネットへの送信接続のために、仮想ネットワーク内のサブネットに複数の NAT ゲートウェイをアタッチすることはできません。 個々の NAT ゲートウェイ リソースは、同じ仮想ネットワーク内の複数のサブネットに関連付けることができます。 NAT ゲートウェイは、複数の仮想ネットワークにまたがることはできません。

Basic SKU リソースは NAT ゲートウェイと同じサブネットに存在できない

NAT ゲートウェイは、Basic Load Balancer や Basic パブリック IP などの Basic リソースと互換性がありません。 基本的リソースは、NAT ゲートウェイに関連付けられていないサブネットに置く必要があります。 基本的ロード バランサーと基本パブリック IP を Standard にアップグレードして、NAT ゲートウェイで使用することができます。

NAT ゲートウェイをゲートウェイ サブネットにアタッチできない

NAT ゲートウェイは、ゲートウェイ サブネットにデプロイできません。 ゲートウェイ サブネットは、VPN ゲートウェイが暗号化されたトラフィックを Azure 仮想ネットワークとオンプレミスの場所の間で送信するために使用されます。 VPN ゲートウェイの概要に関するページで、VPN ゲートウェイでゲートウェイ サブネットを使用する方法の詳細をご覧ください。

失敗状態の仮想マシン NIC を含むサブネットに NAT ゲートウェイをアタッチできない

失敗状態の仮想マシン ネットワーク インターフェイス (NIC) を含むサブネットに NAT ゲートウェイを関連付けようとすると、このアクションを実行できないことを示すエラー メッセージが表示されます。 NAT ゲートウェイをサブネットにアタッチするには、まず VM NIC の失敗状態を解決する必要があります。

仮想マシン NIC を失敗状態から抜け出させるには、次の 2 つの方法のいずれかを使用できます。

PowerShell を使用して仮想マシン NIC を失敗状態から抜け出させる

  1. Get-AzNetworkInterface PowerShell コマンドを使用し、"provisioningState" の値を "Succeeded" に設定して、NIC のプロビジョニング状態を判断します。

  2. ネットワーク インターフェイスで GET/SET PowerShell コマンドを実行して、プロビジョニング状態を更新します。

  3. NIC のプロビジョニング状態を再度調べて、この操作の結果を確認します (手順 1 のコマンドに従います)。

Azure Resource Explorer を使用して仮想マシン NIC を失敗状態から抜け出させる

  1. Azure Resource Explorer に移動します (Microsoft Edge ブラウザーを使用することをお勧めします)

  2. [サブスクリプション] を展開します (左側に表示されるまで数秒かかります)

  3. 失敗した状態の VM NIC を含むサブスクリプションを展開します

  4. resourceGroups を展開します

  5. 失敗状態の VM NIC を含む適切なリソース グループを展開します

  6. providers を展開します

  7. Microsoft.Network を展開します

  8. networkInterfaces を展開します

  9. 失敗したプロビジョニング状態の NIC を選択します

  10. 上部の [読み取り/書き込み] ボタンを選択します

  11. 緑色の [GET] ボタンを選択します

  12. 青色の [EDIT](編集) ボタンを選択します

  13. 緑色の [PUT] ボタンを選択します

  14. 上部の [読み取り専用] ボタンを選択します

  15. これで、VM NIC が正常にプロビジョニングされた状態になりました。ブラウザーを閉じてかまいません

パブリック IP アドレスを追加または削除する

NAT ゲートウェイのパブリック IP アドレスの数は 16 個を超えることはできない

NAT ゲートウェイを、16 個を超えるパブリック IP アドレスと関連付けることはできません。 NAT ゲートウェイではパブリック IP アドレスとプレフィックスの任意の組み合わせを使用できますが、合計 16 個の IP アドレスまでです。 NAT ゲートウェイでは、次の IP プレフィックス サイズを使用できます。

  • /28 (16 個のアドレス)

  • /29 (8 個のアドレス)

  • /30 (4 個のアドレス)

  • /31 (2 個のアドレス)

IPv6 の共存

Virtual Network NAT ゲートウェイでは、IPv4 UDP および TCP プロトコルがサポートされています。 NAT ゲートウェイを、IPv6 パブリック IP アドレスまたは IPv6 パブリック IP プレフィックスに関連付けることはできません。 NAT ゲートウェイはデュアル スタック サブネットにデプロイできますが、送信トラフィックの送信には IPv4 パブリック IP アドレスのみを使用します。 IPv6 リソースが IPv4 リソースと同じサブネットに存在する必要がある場合は、NAT ゲートウェイをデュアル スタック サブネットにデプロイします。

NAT ゲートウェイで Basic SKU パブリック IP を使用できない

NAT ゲートウェイは Standard SKU リソースであり、Basic パブリック IP アドレスを含む Basic SKU リソースでは使用できません。 NAT ゲートウェイで使用するために Basic SKU のパブリック IP アドレスをアップグレードするには、パブリック IP アドレスのアップグレードに関するページのガイダンスを参照してください。

パブリック IP アドレスと NAT ゲートウェイのゾーンの不一致は許可されない

NAT ゲートウェイはゾーン ベースのリソースであり、特定のゾーンに、または "ゾーンなし" に指定できます。 NAT ゲートウェイが "ゾーンなし" に配置されている場合、NAT ゲートウェイは Azure によって 自動的にゾーンに配置されますが、ユーザーからは NAT ゲートウェイが配置されているゾーンを認識できません。

NAT ゲートウェイは、独自の可用性ゾーンの構成に応じて、特定のゾーン、ゾーンなし、すべてのゾーン (ゾーン冗長) に指定されたパブリック IP アドレスと共に使用できます。 次のガイダンスに従ってください。

NAT ゲートウェイの可用性ゾーンの指定 使用できるパブリック IP アドレス / プレフィックスの指定
ゾーンなし ゾーン冗長、ゾーンなし、またはゾーン ベース (ゾーンなし NAT ゲートウェイで使用するためには、パブリック IP のゾーン指定はリージョン内の任意のゾーンにすることができます)
特定のゾーンに指定 パブリック IP アドレスのゾーンは、NAT ゲートウェイのゾーンと一致する必要があります

Note

NAT ゲートウェイが存在するゾーンを知る必要がある場合は、必ず特定の可用性ゾーンに指定してください。

次のステップ

Microsoft では、常にお客様のエクスペリエンスを改善することを目指しています。 この記事に記載されていない、または解決されていない NAT Gateway の問題が発生している場合は、このページの下部から GitHub にアクセスしてフィードバックをお送りください。 お客様からのフィードバックにはできるだけ早く対処します。

NAT ゲートウェイの詳細については、次の記事を参照してください。