다음은 Azure NAT Gateway 사용에 관한 일반적인 질문에 대한 답변입니다.
Azure NAT Gateway 기본 사항
Azure NAT Gateway란?
Azure NAT Gateway는 Azure 가상 네트워크를 위한 높은 복원력의 완전 관리형 아웃바운드 연결 솔루션입니다. 안전하고 확장 가능한 아웃바운드 연결을 수행하려면 NAT 게이트웨이를 가상 네트워크 내의 서브넷과 하나 이상의 고정 공용 IP 주소에 연결합니다.
Azure NAT Gateway의 가격은 어떻게 책정되나요?
Azure NAT Gateway 가격 책정을 참조하세요.
Azure NAT Gateway의 알려진 제한은 무엇인가요?
Azure NAT Gateway 제한을 참조하세요.
구독당 허용되는 NAT 게이트웨이 리소스는 몇 개인가요?
지역별 구독당 허용되는 NAT 게이트웨이 리소스 수는 무료 평가판, 종량제, CSP(클라우드 솔루션 공급자) 및 기업계약과 같은 제안 범주 유형에 따라 달라집니다. 기업계약 및 CSP 제안 유형에는 최대 1,000개의 NAT 게이트웨이 리소스가 있을 수 있습니다. 후원 및 종량제 제품 유형에는 최대 100개의 NAT Gateway 리소스가 있을 수 있습니다. 평가판과 같은 다른 모든 제품 유형에는 최대 15개의 NAT Gateway 리소스가 있을 수 있습니다.
여러 구독에 걸쳐 하나의 NAT 게이트웨이를 사용할 수 있나요?
아니요. NAT 게이트웨이 리소스는 한 번에 둘 이상의 구독에서 사용할 수 없습니다. 단계별 지침은 지역 이동 후 NAT 게이트웨이 만들기 및 구성을 참조하세요.
NAT 게이트웨이를 지역/구독/리소스 그룹에서 다른 그룹으로 이동할 수 있나요?
아니요. 하나의 NAT 게이트웨이는 구독, 지역 또는 리소스 그룹 간에 이동할 수 없습니다. 다른 구독, 지역 또는 리소스 그룹에 대해 새 NAT Gateway를 만들어야 합니다.
NAT 게이트웨이를 사용하여 인바운드에 연결할 수 있나요?
NAT 게이트웨이는 가상 네트워크에서 아웃바운드 연결을 제공합니다. 아웃바운드 시작 흐름에 대한 직접 반환 트래픽도 NAT 게이트웨이를 통과합니다. 인터넷에서 직접 들어오는 인바운드 트래픽은 NAT 게이트웨이를 통과할 수 없습니다.
내 NAT Gateway 리소스에 대한 로그를 얻으려면 어떻게 해야 하나요?
VNet(가상 네트워크) 흐름 로그는 가상 네트워크를 통과하는 IP 트래픽에 대한 정보를 기록하는 Azure Network Watcher의 기능입니다. 가상 네트워크 흐름 로그의 흐름 데이터는 Azure Storage로 전송됩니다. 여기에서 데이터에 액세스하여 시각화 도구나 SIEM(보안 정보 및 이벤트 관리) 솔루션, IDS(침입 탐지 시스템)로 내보낼 수 있습니다.
VNet 흐름 로그는 가상 머신에 대한 연결 정보를 제공합니다. 연결 정보에는 원본 IP 및 포트, 대상 IP 및 포트, 연결 상태가 포함됩니다. 트래픽 흐름 방향과 트래픽 크기(전송된 패킷 및 바이트 수)도 기록됩니다. VNet 흐름 로그에 지정된 원본 IP 및 포트는 NAT Gateway가 아닌 가상 머신용입니다.
가상 네트워크 흐름 로그를 만들고 관리하기 위한 일반적인 지침은 가상 네트워크 흐름 로그 관리를 참조하세요.
NAT Gateway 리소스는 어떻게 삭제하나요?
NAT Gateway 리소스를 삭제하려면 먼저 서브넷에서 리소스를 분리해야 합니다. NAT 게이트웨이 리소스를 모든 서브넷에서 분리한 후에 삭제할 수 있습니다. 지침은 기존 서브넷에서 NAT 게이트웨이 제거 및 리소스 삭제를 참조하세요.
NAT 게이트웨이가 IP 조각화를 지원하나요?
아니요. NAT 게이트웨이는 TCP(Transmission Control Protocol) 또는 UDP(사용자 데이터그램 프로토콜)에 대한 IP 조각화를 지원하지 않습니다.
NAT 게이트웨이 메트릭
NAT 게이트웨이에 대한 총 SNAT 연결 수 메트릭과 SNAT 연결 수 간의 차이점은 무엇인가요?
SNAT 연결 수 메트릭은 초당 만들어진 새 SNAT(원본 네트워크 주소 변환) 연결 수를 보여줍니다. 총 SNAT 연결 수 메트릭은 NAT 게이트웨이 리소스의 총 활성 연결 수를 보여줍니다.
NAT 게이트웨이에서 SNAT 포트 사용량을 보려면 어떻게 해야 하나요?
NAT 게이트웨이에 대한 SNAT 포트 사용량 메트릭이 없습니다. SNAT 연결 수 및 총 SNAT 연결 수 메트릭을 사용하여 NAT 게이트웨이 리소스의 SNAT 용량을 평가할 수 있습니다.
NAT 게이트웨이 메트릭을 장기간 저장하려면 어떻게 해야 하나요?
NAT 게이트웨이 메트릭은 메트릭 REST API를 사용하여 검색할 수 있습니다. 또는 공유를 선택한 다음, Azure Portal의 NAT 게이트웨이 메트릭 창에서 Excel로 다운로드할 수 있습니다.
진단 설정을 사용하여 NAT 게이트웨이 메트릭을 검색할 수 있나요?
NAT 게이트웨이를 사용한 아웃바운드 연결
현재 아웃바운드에 다른 서비스를 사용하는 설정에서 NAT 게이트웨이를 사용하여 아웃바운드를 연결하려면 어떻게 해야 하나요?
NAT 게이트웨이는 공용 IP 주소 또는 접두사 및 서브넷과 연결된 후 아웃바운드를 인터넷에 자동으로 연결합니다. NAT 게이트웨이는 아웃바운드 규칙이 있는 Azure Load Balancer, VM(가상 머신)의 인스턴스 수준 공용 IP 주소 및 아웃바운드 연결을 위한 Azure Firewall보다 우선 순위가 높습니다.
현재 아웃바운드 연결에 다른 서비스가 사용되는 경우 서브넷에 NAT 게이트웨이를 연결한 후 연결이 중단되나요?
아니요. 연결에 중단이 없습니다. 이전 아웃바운드 서비스(Load balancer, Azure Firewall, 인스턴스 수준 공용 IP 주소)와의 기존 연결은 해당 연결이 닫힐 때까지 계속 작동합니다. NAT 게이트웨이가 가상 네트워크의 서브넷에 추가되면 모든 새 연결은 NAT 게이트웨이를 사용하여 아웃바운드 연결을 만듭니다.
NAT Gateway 공용 IP로 인터넷을 통해 개인 IP 주소에 직접 연결할 수 있습니까?
아니요. NAT 게이트웨이의 공용 IP 주소는 인터넷을 통해 개인 IP에 직접 연결할 수 없습니다.
여러 공용 IP 주소가 NAT 게이트웨이 리소스에 할당된 경우 IP 주소 중 하나를 제거하면 트래픽 흐름이 중단되나요?
공용 IP 주소와 연결된 모든 활성 연결은 공용 IP 주소가 제거되면 종료됩니다. NAT Gateway 리소스에 여러 공용 IP가 있는 경우 새 트래픽은 할당된 IP 간에 배포됩니다.
NAT 게이트웨이 공용 IP와 다른 IP가 아웃바운드를 연결하는 데 사용되고 있다고 표시되는 것은 어떤 의미인가요?
NAT 게이트웨이에 연결된 IP와는 다른 IP가 아웃바운드를 연결하는 데 사용되는 것을 볼 수 있는 몇 가지 가능한 이유가 있습니다. 문제를 해결하려면 Azure NAT Gateway 연결 문제 해결 가이드를 참조하세요.
트래픽 경로
NVA, Azure VPN Gateway 또는 Azure ExpressRoute에 터널 0.0.0.0/0(인터넷) 트래픽을 강제 적용하면 NAT 게이트웨이는 어떻게 되나요?
NAT 게이트웨이는 서브넷의 시스템 기본 인터넷 경로를 사용하여 트래픽을 인터넷으로 라우팅합니다. 0.0.0.0/0 트래픽을 다음 홉 형식 NVA(네트워크 가상 어플라이언스) 또는 가상 네트워크 게이트웨이로 보내기 위해 사용자 정의 경로가 만들어지는 경우 트래픽이 NAT 게이트웨이를 통과하지 않습니다.
NAT 게이트웨이와 아웃바운드를 연결하려면 서브넷 경로 테이블에서 어떤 구성을 수행해야 하나요?
NAT 게이트웨이와 아웃바운드 연결을 시작하는 데 서브넷 경로 테이블에 대한 구성이 필요하지 않습니다. NAT 게이트웨이가 서브넷에 할당되면 해당 NAT 게이트웨이는 모든 인터넷 대상 트래픽에 대한 다음 홉 유형이 됩니다. NAT 게이트웨이가 서브넷 및 하나 이상의 공용 IP 주소에 할당되는 즉시 트래픽이 인터넷에 아웃바운드 연결을 시작할 수 있습니다.
NAT 게이트웨이 구성
공용 IP 주소 또는 서브넷 없이 NAT 게이트웨이를 배포할 수 있나요?
예. 공용 IP 주소 또는 접두사 및 서브넷 없이 NAT 게이트웨이를 배포할 수 있습니다. 그러나 하나 이상의 공용 IP 주소 또는 접두사 및 서브넷을 연결할 때까지 작동되지 않습니다.
NAT Gateway 공용 IP 주소는 고정인가요?
예. NAT 게이트웨이의 공용 IP 주소는 고정되어 변경되지 않습니다.
하나의 NAT 게이트웨이에 연결할 수 있는 공용 IP 주소는 몇 개인가요?
하나의 NAT 게이트웨이는 최대 16개의 공용 IP 주소를 사용할 수 있습니다. NAT 게이트웨이는 공용 IP 주소와 공용 IP 접두사를 조합하여 총 16개의 주소를 사용할 수 있습니다. 하나의 NAT 게이트웨이는 /28(주소 16개), /29(주소 8개), /30(주소 4개) 및 /31(주소 2개)의 접두사 크기를 지원할 수 있습니다.
NAT 게이트웨이에서 사용자 지정 IP 접두사(BYOIP)를 어떻게 사용할 수 있나요?
NAT 게이트웨이와 함께 사용자 지정 IP(BYOIP(Bring Your Own IP)라고도 함) 접두사에서 파생된 공용 IP 접두사 및 주소를 사용할 수 있습니다. 자세한 내용은 사용자 지정 IP 주소 접두사(BYOIP)를 참조하세요.
IPv6 공용 IP 주소를 NAT 게이트웨이와 함께 사용할 수 있나요?
아니요. NAT 게이트웨이는 IPv6 공용 IP 주소를 지원하지 않습니다. 그러나 NAT 게이트웨이 및 부하 분산 장치를 사용하여 이중 스택 구성을 통해 IPv4 및 IPv6 아웃바운드 연결을 제공할 수 있습니다. 자세한 내용은 NAT 게이트웨이 및 공용 부하 분산 장치를 사용하여 이중 스택 아웃바운드 연결 구성을 참조하세요.
라우팅 기본 설정이 "인터넷"인 공용 IP 주소를 NAT 게이트웨이와 함께 사용할 수 있나요?
아니요. NAT 게이트웨이는 라우팅 기본 설정이 "인터넷"인 공용 IP 주소를 지원하지 않습니다. 공용 IP에서 라우팅 구성 유형 “인터넷”을 지원하는 Azure 서비스 목록을 보려면 공용 인터넷을 통한 라우팅에 지원되는 서비스를 참조하세요.
DDoS 보호가 설정된 공용 IP 주소를 NAT 게이트웨이와 함께 사용할 수 있나요?
아니요. NAT 게이트웨이는 DDoS 보호를 사용하도록 설정된 공용 IP 주소를 지원하지 않습니다. 자세한 내용은 DDoS 제한 사항을 참조하세요.
기존 NAT Gateway의 공용 IP를 변경할 수 있나요?
아니요, 기존 공용 IP의 주소를 변경할 수 없습니다. NAT 게이트웨이에서 공용 IP 주소를 변경해야 하는 경우 공용 IP 주소 추가 또는 제거를 참조하여 지침을 확인하세요.
여러 공용 IP 주소가 NAT 게이트웨이에 할당된 경우 내 서브넷 리소스에서 사용하는 공용 IP는 무엇인가요?
서브넷 리소스는 아웃바운드 연결을 위해 NAT 게이트웨이에 연결된 공용 IP 주소를 사용할 수 있습니다. NAT 게이트웨이를 통해 새 아웃바운드 연결을 만들 때마다 아웃바운드 공용 IP가 임의로 선택됩니다.
내 NAT 게이트웨이 공용 IP 주소 중 하나를 특정 VM 또는 서브넷에 할당하여 아웃바운드를 연결하는 데만 사용할 수 있나요?
아니요. NAT 게이트웨이 구성 서브넷의 특정 서브넷 또는 VM 인스턴스에 대한 IP 할당은 지원되지 않습니다.
하나의 NAT 게이트웨이를 여러 가상 네트워크에 연결할 수 있나요?
아니요. 하나의 NAT 게이트웨이를 여러 가상 네트워크에 연결할 수 없습니다.
하나의 NAT 게이트웨이를 여러 서브넷에 연결할 수 있나요?
예. NAT 게이트웨이는 가상 네트워크에서 최대 800개의 서브넷과 연결할 수 있습니다. 한 가상 네트워크 내의 모든 서브넷에 연결해야 합니다.
NAT 게이트웨이는 게이트웨이 서브넷에 연결할 수 있나요?
아니요. NAT 게이트웨이는 게이트웨이 서브넷에 연결할 수 없습니다.
여러 NAT Gateway를 단일 서브넷에 연결할 수 있나요?
아니요. NAT 게이트웨이는 서브넷의 속성을 기반으로 작동하므로 여러 NAT 게이트웨이를 단일 서브넷에 연결할 수 없습니다.
NAT 게이트웨이가 허브 및 스포크 네트워크 아키텍처에서 작동하나요?
스포크 가상 네트워크의 트래픽은 NVA 또는 Azure Firewall을 통해 중앙 집중식 허브 가상 네트워크로 라우팅될 수 있습니다. 그런 다음 NAT 게이트웨이는 중앙 집중식 허브 네트워크에서 모든 스포크 가상 네트워크에 아웃바운드 연결을 제공할 수 있습니다. NVA를 사용하여 허브 및 스포크 아키텍처에서 NAT 게이트웨이를 설정하려면 허브 및 스포크 네트워크에서 NAT 게이트웨이 사용을 참조하세요. 허브 및 스포크 설정에서 Azure Firewall NAT 게이트웨이를 사용하려면 NAT 게이트웨이와 Azure Firewall 통합을 참조하세요.
가용성 영역
NAT 게이트웨이는 가용성 영역에서 어떻게 작동하나요?
NAT 게이트웨이는 영역형이거나 배치되는 "영역이 없을" 수 있습니다. 자세한 내용은 Azure NAT Gateway 및 가용성 영역을 참조하세요. 추가:
- 영역이 없는 NAT 게이트웨이는 Azure에 의해 영역에 배치됩니다.
- 영역 NAT 게이트웨이는 NAT 게이트웨이가 생성될 때 사용자가 특정 영역에 연결합니다.
- NAT 게이트웨이의 영역 구성은 배포 후에 변경할 수 없습니다.
영역 중복 공용 IP 주소를 NAT Gateway에 연결할 수 있나요?
영역 중복 공용 IP 주소 및 접두사는 영역이 없는 NAT 게이트웨이 또는 특정 가용성 영역에 할당된 NAT 게이트웨이에 연결할 수 있습니다. 자세한 내용은 Azure NAT Gateway 및 가용성 영역을 참조하세요.
Azure NAT Gateway 및 기본 SKU 리소스
기본 SKU 리소스(기본 부하 분산 장치 및 기본 공용 IP 주소)가 NAT 게이트웨이와 호환되나요?
아니요. NAT 게이트웨이는 표준 SKU 리소스와 호환됩니다. 자세한 내용은 Azure NAT Gateway 기본을 참조하세요. NAT 게이트웨이를 사용하려면 기본 부하 분산 장치와 기본 공용 IP 주소를 표준으로 업그레이드합니다. 추가 도움말:
- 기본 부하 분산 장치를 표준으로 업그레이드하려면 Azure 공용 부하 분산 장치 업그레이드를 참조하세요.
- 기본 공용 IP를 표준으로 업그레이드하려면 공용 IP 주소 업그레이드를 참조하세요.
- VM이 연결된 기본 공용 IP를 표준으로 업그레이드하려면 VM이 연결된 기본 공용 IP 주소 업그레이드를 참조하세요.
연결 시간 제한 및 타이머
NAT 게이트웨이의 유휴 시간 제한은 무엇인가요?
TCP 연결의 경우 유휴 시간 제한 타이머는 기본적으로 4분으로 설정되며 최대 120분까지 구성할 수 있습니다. 긴 연결 흐름을 유지해야 하는 경우 유휴 시간 제한 타이머를 확장하는 대신 TCP keepalive를 사용합니다. TCP keepalive는 더 오랫동안 활성 연결을 유지 관리합니다.
UDP 유휴 시간 제한 타이머는 4분으로 설정되며 구성 불가능합니다.
NAT 게이트웨이의 SNAT 포트 재사용 동작은 무엇인가요?
TCP/UDP 연결이 닫히면 포트는 동일한 대상 엔드포인트에 연결하는 데 재사용되기 전에 쿨다운 기간에 배치됩니다. 자세한 내용은 SNAT 포트 재사용 타이머를 참조하세요. 다른 대상으로 가는 연결이 SNAT 포트를 즉시 사용할 수 있습니다. 자세한 내용은 Azure NAT Gateway를 사용하는 SNAT를 참조하세요.
다른 Azure 서비스와 NAT Gateway 통합
Azure App Service에서 NAT 게이트웨이를 사용할 수 있나요?
예. NAT 게이트웨이를 Azure App Service와 함께 사용하면 애플리케이션이 가상 네트워크에서 인터넷으로 아웃바운드 트래픽을 보낼 수 있습니다. NAT 게이트웨이와 Azure App Service 간에 이 통합을 사용하려면 지역 가상 네트워크 통합을 사용하도록 설정해야 합니다. NAT 게이트웨이와 함께 가상 네트워크 통합을 사용하도록 설정하는 방법에 대한 지침은 Azure NAT Gateway 통합을 참조하세요.
Azure Kubernetes Service에서 NAT 게이트웨이를 사용할 수 있나요?
예. NAT 게이트웨이와 Azure Kubernetes Service 통합에 대한 자세한 내용은 관리되는 NAT Gateway를 참조하세요.
NAT 게이트웨이를 사용하여 AKS 클러스터에서 AKS API 서버로 연결하는 경우는 언제인가요?
AKS 클러스터를 관리하려면 해당 API 서버와 상호 작용합니다. API 서버의 FQDN(정규화된 도메인 이름)으로 확인되는 프라이빗이 아닌 클러스터를 만들 때 기본적으로 API 서버에는 공용 IP 주소가 할당됩니다. NAT 게이트웨이를 AKS 클러스터의 서브넷에 연결한 후에는 NAT 게이트웨이를 사용하여 AKS API 서버의 공용 IP에 연결합니다. 추가 정보 및 디자인 지침은 AKS API 서버 액세스를 참조하세요.
NAT 게이트웨이를 Azure Firewall과 함께 사용할 수 있나요?
예. NAT 게이트웨이는 Azure Firewall과 함께 사용할 수 있습니다. AZURE Firewall을 NAT 게이트웨이와 함께 사용하는 경우 AZURE Firewall이 영역 구성에 있어야 합니다. NAT 게이트웨이는 영역 중복 방화벽에서 작동하지만 현재로서는 배포를 권장하지 않습니다. NAT 게이트웨이와 Azure Firewall의 통합에 관한 자세한 내용은 Azure NAT 게이트웨이를 사용하여 SNAT 포트 스케일링을 참조하세요.
Azure Virtual Network 서비스 엔드포인트 또는 Azure Private Link와 함께 NAT 게이트웨이를 사용할 수 있나요?
예. 서비스 엔드포인트가 있는 서브넷에 NAT 게이트웨이를 추가해도 엔드포인트에는 영향을 주지 않습니다. Virtual Network 서비스 엔드포인트는 해당 엔드포인트가 나타내는 대상 Azure 서비스 트래픽에 대해 보다 구체적인 경로를 사용하도록 설정합니다. 서비스 엔드포인트에 대한 트래픽은 인터넷 대신 Azure 백본을 통과합니다. Azure 네트워크에서 직접 Azure PaaS(Platform as a Service)에 연결할 때 서비스 엔드포인트보다 Private Link를 사용하는 것이 좋습니다.
Azure Databricks 작업 영역에서 NAT 게이트웨이를 사용할 수 있나요?
예. 작업 영역에서 보안 클러스터 연결을 사용하는 경우 다음 두 가지 방법 중 하나로 Azure Databricks와 함께 NAT 게이트웨이를 사용할 수 있습니다.
- Azure Databricks가 만드는 기본 가상 네트웨크에 보안 클러스터 연결을 사용하는 경우, Azure Databricks는 작업 영역의 서브넷에서 아웃바운드 트래픽을 위한 NAT 게이트웨이를 자동으로 만듭니다. NAT 게이트웨이는 Azure Databricks가 관리하는 관리되는 리소스 그룹 내에서 만들어집니다. 이 리소스 그룹과 해당 리소스 그룹 내에 프로비전된 리소스는 수정할 수 없습니다.
- 가상 네트워크 삽입을 사용하는 작업 영역에서 보안 클러스터 연결을 사용하는 경우, 두 작업 영역의 서브넷에 NAT 게이트웨이를 배포하여 아웃바운드 연결을 제공할 수 있습니다. 이 경우 사용자 지정된 아웃바운드 연결 요구 사항에 대한 구성을 수정할 수 있습니다. 자세한 내용은 보안 클러스터 연결을 참조하세요.
다음 단계
질문이 여기 목록에 없는 경우 질문과 함께 이 페이지에 대한 피드백을 보내주세요. 이 정보는 제품 팀이 소중한 고객의 질문에 모두 답할 수 있도록 GitHub 문제를 생성합니다.