Azure NAT Gateway 문제 해결
이 문서에서는 NAT 게이트웨이를 올바르게 구성하고 일반적인 구성 및 배포 관련 문제를 해결하는 방법에 대한 지침을 제공합니다.
NAT Gateway 구성 기본 사항
NAT Gateway를 사용하여 트래픽 아웃바운드를 지시할 수 있도록 다음 구성을 확인하세요.
하나 이상의 공용 IP 주소 또는 하나의 공용 IP 접두사가 NAT Gateway에 연결됩니다. 아웃바운드 연결을 제공하려면 하나 이상의 공용 IP 주소를 NAT Gateway와 연결해야 합니다.
하나 이상의 서브넷이 NAT Gateway에 연결됩니다. 아웃바운드를 위해 NAT Gateway에 여러 서브넷을 연결할 수 있지만 이러한 서브넷이 동일한 가상 네트워크 내에 있어야 합니다. NAT 게이트웨이는 단일 가상 네트워크 이상으로 확장할 수 없습니다.
NSG(네트워크 보안 그룹) 규칙이나 UDR(사용자 정의 경로)이 NAT Gateway가 인터넷으로 트래픽 아웃바운드하는 것을 차단하지 않습니다.
연결 유효성 검사 방법
NAT gateway는 IPv4 UDP(사용자 데이터그램 프로토콜) 및 TCP(Transmission Control Protocol) 프로토콜을 지원합니다.
참고 항목
ICMP 프로토콜은 NAT 게이트웨이에서 지원되지 않습니다. ICMP 프로토콜을 사용하는 Ping은 지원되지 않으며 실패할 것으로 예상됩니다.
NAT Gateway의 종단-종단 연결에 대한 유효성을 검사하기 위해 다음 단계를 수행하세요.
NAT Gateway 공용 IP 주소가 사용되는지 유효성을 검사합니다.
TCP 연결 테스트 및 UDP 관련 애플리케이션 계층 테스트를 수행합니다.
NSG 흐름 로그를 살펴보고 NAT Gateway에서 아웃바운드 트래픽 흐름을 분석합니다.
NAT Gateway 연결의 유효성을 검사하는 데 사용할 도구는 다음 표를 참조하세요.
| 운영 체제 | 제네릭 TCP 연결 테스트 | TCP 애플리케이션 계층 테스트 | UDP |
|---|---|---|---|
| Linux | nc(제네릭 연결 테스트) |
curl(TCP 애플리케이션 계층 테스트) |
애플리케이션별 |
| Windows | PsPing | PowerShell Invoke-WebRequest | 애플리케이션별 |
아웃바운드 연결을 분석하는 방법
NAT Gateway에서 아웃바운드 트래픽을 분석하려면 VNet(가상 네트워크) 흐름 로그를 사용합니다. VNet 흐름 로그는 가상 머신에 대한 연결 정보를 제공합니다. 연결 정보에는 원본 IP 및 포트, 대상 IP 및 포트, 연결 상태가 포함됩니다. 트래픽 흐름 방향과 트래픽 크기(전송된 패킷 및 바이트 수)도 기록됩니다. VNet 흐름 로그에 지정된 원본 IP 및 포트는 NAT Gateway가 아닌 가상 머신용입니다.
VNet 흐름 로그에 대한 자세한 내용은 가상 네트워크 흐름 로그 개요를 참조하세요.
VNet 흐름 로그를 사용하도록 설정하는 방법에 대한 가이드는 가상 네트워크 흐름 로그 관리를 참조하세요.
아웃바운드 트래픽에 대한 데이터를 쿼리하고 필터링할 수도 있는 Log Analytics 작업 영역의 로그 데이터에 액세스하는 것이 좋습니다. Log Analytics 사용에 대한 자세한 내용은 Log Analytics 자습서를 참조하세요.
VNet 흐름 로그 스키마에 대한 자세한 내용은 트래픽 분석 스키마 및 데이터 집계를 참조하세요.
실패한 상태의 NAT 게이트웨이
NAT Gateway 리소스가 실패한 상태인 경우 아웃바운드 연결 실패가 발생할 수 있습니다. NAT 게이트웨이를 실패한 상태에서 벗어나게 하려면 다음 지침을 따르세요.
실패 상태에 있는 리소스를 식별합니다. Azure Resource Explorer로 이동하여 이 상태의 리소스를 식별합니다.
오른쪽 상단 모서리의 토글을 읽기/쓰기로 업데이트합니다.
실패한 상태의 리소스에 대해 편집을 선택합니다.
PUT과 GET을 차례로 선택하여 프로비전 상태가 성공함으로 업데이트되었는지 확인합니다.
리소스가 실패 상태에서 벗어나면 다른 작업을 진행할 수 있습니다.
NAT 게이트웨이 추가 또는 제거
NAT 게이트웨이를 삭제할 수 없음
리소스를 제거하거나 삭제하려면 먼저 NAT 게이트웨이를 가상 네트워크 내의 모든 서브넷에서 분리해야 합니다. 단계별 지침은 기존 서브넷에서 NAT 게이트웨이 제거 및 리소스 삭제를 참조하세요.
서브넷 추가 또는 제거
이미 다른 NAT 게이트웨이에 연결된 서브넷에 NAT 게이트웨이를 연결할 수 없음
가상 네트워크 내의 서브넷에는 아웃바운드 인터넷 연결을 위해 둘 이상의 NAT 게이트웨이를 연결할 수 없습니다. 개별 NAT 게이트웨이 리소스는 동일한 가상 네트워크 내의 여러 서브넷에 연결할 수 있습니다. NAT 게이트웨이는 단일 가상 네트워크 이상으로 확장할 수 없습니다.
기본 리소스는 NAT Gateway와 동일한 서브넷에 존재할 수 없습니다.
기본 Load Balancer 또는 기본 공용 IP와 같은 기본 리소스는 NAT 게이트웨이와 호환되지 않습니다. 기본 리소스는 NAT Gateway와 연결되지 않은 서브넷에 배치해야 합니다. NAT Gateway를 사용하기 위해 기본 Load Balancer 및 기본 공용 IP를 표준으로 업그레이드할 수 있습니다.
기본 Load Balancer를 표준으로 업그레이드하려면 기본 공용에서 표준 공용 Load Balancer로 업그레이드를 참조하세요.
기본 공용 IP를 표준으로 업그레이드하려면 기본 공용에서 표준 공용 IP로 업그레이드를 참조하세요.
연결된 가상 머신이 있는 기본 공용 IP를 표준으로 업그레이드하려면 [연결된 가상 머신을 사용하여 기본 공용 IP 업그레이드](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine)를 참조하세요.
NAT 게이트웨이는 게이트웨이 서브넷에 연결할 수 없습니다.
NAT 게이트웨이는 게이트웨이 서브넷에 배포할 수 없습니다. 게이트웨이 서브넷은 Azure 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 보내기 위해 VPN 게이트웨이에서 사용됩니다. VPN 게이트웨이에서 게이트웨이 서브넷을 사용하는 방법에 대한 자세한 내용은 VPN 게이트웨이 개요를 참조하세요.
실패한 상태의 가상 머신 네트워크 인터페이스가 포함된 서브넷에 NAT Gateway를 연결할 수 없습니다.
실패한 상태의 가상 머신 네트워크 인터페이스(네트워크 인터페이스)가 포함된 서브넷에 NAT Gateway를 연결하면 이 작업을 수행할 수 없다는 오류 메시지가 표시됩니다. 먼저 NAT Gateway를 서브넷에 연결하려면 먼저 가상 머신 네트워크 인터페이스 실패 상태를 해결해야 합니다.
가상 머신 네트워크 인터페이스를 실패 상태에서 벗어나도록 하려면 다음 두 가지 방법의 하나를 사용할 수 있습니다.
PowerShell을 사용하여 가상 머신 네트워크 인터페이스를 실패한 상태에서 벗어나게 하기
Get-AzNetworkInterface PowerShell 명령을 사용하여 네트워크 인터페이스의 프로비전 상태를 확인하고 “provisioningState” 값을 “Succeeded”로 설정합니다.
네트워크 인터페이스에서 GET/SET PowerShell 명령을 수행합니다. PowerShell 명령은 프로비전 상태를 업데이트합니다.
네트워크 인터페이스의 프로비전 상태를 다시 확인하여 이 작업의 결과를 확인합니다(1단계의 명령 수행).
Azure Resource Explorer를 사용하여 가상 머신 네트워크 인터페이스를 실패 상태에서 벗어나게 하기
Azure Resource Explorer로 이동합니다(Microsoft Edge 브라우저 사용 권장).
구독을 확장합니다(표시될 때까지 몇 초 정도 걸립니다).
실패한 상태의 가상 머신 네트워크 인터페이스가 포함된 구독을 확장합니다.
resourceGroups를 확장합니다.
실패한 상태의 가상 머신 네트워크 인터페이스를 포함하는 올바른 리소스 그룹을 확장합니다.
공급자를 확장합니다.
Microsoft.Network를 확장합니다.
networkInterfaces를 확장합니다.
실패한 프로비전 상태인 리소스 그룹을 네트워크 인터페이스에서 선택합니다.
위쪽에서 읽기/쓰기 단추를 선택합니다.
녹색 가져오기 단추를 선택합니다.
파란색 편집 단추를 선택합니다.
녹색 배치 단추를 선택합니다.
위쪽에서 읽기 전용 단추를 선택합니다.
이제 가상 머신 네트워크 인터페이스가 성공한 프로비전 상태여야 합니다. 브라우저를 닫을 수 있습니다.
공용 IP 주소 추가 또는 제거
NAT 게이트웨이의 공용 IP 주소는 16개를 초과할 수 없음
NAT 게이트웨이에는 16개를 초과하는 공용 IP 주소와 연결할 수 없습니다. NAT 게이트웨이에서 공용 IP 주소와 접두사 조합을 사용하여 최대 16개의 IP 주소를 사용할 수 있습니다. 공용 IP를 추가하거나 제거하려면 공용 IP 주소 추가 또는 제거를 참조하세요.
NAT 게이트웨이에서 사용할 수 있는 IP 접두사 크기는 다음과 같습니다.
/28(16개 주소)
/29(8개 주소)
/30(4개 주소)
/31(2개 주소)
IPv6 공존
NAT 게이트웨이는 IPv4 UDP 및 TCP 프로토콜을 지원합니다. NAT 게이트웨이는 IPv6 공용 IP 주소 또는 IPv6 공용 IP 접두사에 연결할 수 없습니다. NAT Gateway는 이중 스택 서브넷에 배포할 수 있지만 아웃바운드 트래픽을 전달하는 데 IPv4 공용 IP 주소만 사용합니다. IPv6 리소스가 IPv4 리소스와 동일한 서브넷에 존재해야 하는 경우 NAT Gateway를 이중 스택 서브넷에 배포합니다. 이중 스택 서브넷에서 IPv4 및 IPv6 아웃바운드 연결을 제공하는 방법을 알아보려면 NAT Gateway 및 퍼블릭 부하 분산 장치를 사용하여 이중 스택 아웃바운드 연결을 참조하세요.
NAT Gateway에서 기본 공용 IP를 사용할 수 없음
NAT Gateway는 표준 리소스이며 기본 공용 IP 주소를 비롯한 기본 리소스와 함께 사용할 수 없습니다. 공용 IP 주소 업그레이드 지침을 사용하여 기본 공용 IP 주소를 NAT Gateway와 함께 사용하기 위해 업그레이드할 수 있습니다.
NAT 게이트웨이와 함께 인터넷 라우팅 기본 설정이 있는 공용 IP를 사용할 수 없음
NAT 게이트웨이가 공용 IP 주소로 구성된 경우 트래픽은 Microsoft 네트워크를 통해 라우팅됩니다. NAT 게이트웨이는 인터넷 라우팅 기본 설정 선택이 있는 공용 IP와 연결할 수 없습니다. NAT 게이트웨이는 Microsoft 글로벌 네트워크 라우팅 기본 설정을 선택한 공용 IP와만 연결할 수 있습니다. 인터넷 라우팅 기본 설정을 사용하는 공용 IP를 지원하는 모든 Azure 서비스 목록은 지원되는 서비스를 참조하세요.
공용 IP 주소 및 NAT 게이트웨이의 영역이 일치하지 않을 수 없음
NAT Gateway는 영역 리소스이며 특정 영역으로 지정하거나 ‘영역 없음’으로 지정할 수 있습니다. NAT Gateway를 ‘영역 없음’에 배치하면 Azure는 NAT Gateway를 영역에 배치하지만, NAT Gateway가 있는 영역에 대한 가시성은 없습니다.
NAT 게이트웨이는 자체 가용성 영역 구성에 따라 특정 영역, 영역 없음, 모든 영역(영역 중복)에 지정된 공용 IP 주소와 함께 사용할 수 있습니다.
| NAT 게이트웨이 가용성 영역 지정 | 사용할 수 있는 공용 IP 주소/접두사 지정 |
|---|---|
| 영역 없음 | 영역 중복, 영역 없음 또는 영역(공용 IP 영역 지정은 영역 없음 NAT 게이트웨이와 함께 작동하기 위해 지역 내의 임의 영역일 수 있음) |
| 특정 영역에 지정됨 | 영역 중복 또는 영역 공용 IP를 사용할 수 있습니다. |
참고 항목
NAT 게이트웨이가 상주하는 영역을 알아야 하는 경우 특정 가용성 영역으로 지정해야 합니다.
추가 문제 해결 지침
발생한 문제가 이 문서에서 다루어지지 않는 경우 다른 NAT Gateway 문제 해결 문서를 참조하세요.
다음 단계
이 문서에 나열되지 않았거나 해결되지 않은 NAT Gateway 문제가 발생하는 경우 이 페이지 하단의 GitHub를 통해 피드백을 제출하세요. 고객의 환경을 개선하기 위해 가능한 한 빨리 피드백을 처리하고 있습니다.
NAT Gateway에 대해 자세히 알아보려면 다음을 참조하세요.