Hier volgen enkele antwoorden op veelgestelde vragen over het gebruik van Azure NAT Gateway.
Basisbeginselen van Azure NAT Gateway
Wat is een Azure NAT-gateway?
Azure NAT Gateway is een volledig beheerde, zeer tolerante uitgaande connectiviteitsoplossing voor virtuele Azure-netwerken. Als u een veilige en schaalbare uitgaande connectiviteit wilt bereiken, koppelt u een NAT-gateway aan subnetten binnen een virtueel netwerk en aan ten minste één statisch openbaar IP-adres.
Wat zijn de prijzen voor Azure NAT Gateway?
Zie prijzen voor Azure NAT Gateway.
Wat zijn de bekende limieten van Azure NAT Gateway?
Zie Limieten voor Azure NAT Gateway.
Hoeveel NAT-gatewaybronnen zijn toegestaan per abonnement?
Het aantal NAT-gatewayresources dat per abonnement per regio is toegestaan, is afhankelijk van het type aanbiedingscategorie, zoals gratis proefversie, betalen per gebruik, Cloud Solution Provider (CSP) en Enterprise Overeenkomst. Enterprise Overeenkomst en CSP-aanbiedingstypen kunnen maximaal 1000 NAT-gatewaybronnen bevatten. Gesponsorde en aanbiedingstypen voor betalen per gebruik kunnen maximaal 100 NAT-gatewaybronnen bevatten. Alle andere aanbiedingstypen, zoals een gratis proefversie, kunnen maximaal 15 NAT-gatewaybronnen bevatten.
Kan een NAT-gateway worden gebruikt in verschillende abonnementen?
Nee, een NAT-gatewayresource kan niet worden gebruikt met meer dan één abonnement tegelijk. Zie Een NAT-gateway maken en configureren na een verplaatsing van een regio voor stapsgewijze instructies.
Kan een NAT-gateway worden verplaatst van een regio/abonnement/resourcegroep naar een andere?
Nee, een NAT-gateway kan niet worden verplaatst tussen abonnementen, regio's of resourcegroepen. Er moet een nieuwe NAT-gateway worden gemaakt voor het andere abonnement, de regio of de resourcegroep.
Kan een NAT-gateway worden gebruikt om inkomend verkeer te verbinden?
Een NAT-gateway biedt uitgaande connectiviteit vanuit een virtueel netwerk. Retourverkeer in directe reactie op een uitgaande stroom kan ook via een NAT-gateway worden doorgegeven. Er kan geen binnenkomend verkeer rechtstreeks vanaf internet worden doorgegeven via een NAT-gateway.
Hoe kan ik logboeken verkrijgen voor mijn NAT-gatewayresource?
Stroomlogboeken voor virtueel netwerk (VNet) zijn een functie van Azure Network Watcher waarmee informatie over IP-verkeer dat via een virtueel netwerk stroomt, wordt in een logboek opgeslagen. Stroomgegevens uit stroomlogboeken van virtuele netwerken worden verzonden naar Azure Storage. Van daaruit hebt u toegang tot de gegevens en kunt u deze exporteren naar elk visualisatieprogramma, SIEM-oplossing (Security Information and Event Management) of inbraakdetectiesysteem (IDS).
VNet-stroomlogboeken bieden verbindingsgegevens voor uw virtuele machines. De verbindingsgegevens bevatten het bron-IP-adres en de poort en het doel-IP en de poort en de status van de verbinding. De richting van de verkeersstroom en de grootte van het verkeer in het aantal verzonden pakketten en bytes worden ook geregistreerd. Het bron-IP-adres en de poort die in het VNet-stroomlogboek zijn opgegeven, zijn voor de virtuele machine en niet voor de NAT-gateway.
Zie Stroomlogboeken voor virtuele netwerken beheren voor algemene richtlijnen voor het maken en beheren van stroomlogboeken voor virtuele netwerken.
Hoe kan ik een NAT-gatewayresource verwijderen?
Als u een NAT-gatewayresource wilt verwijderen, moet de resource eerst worden ontkoppeld van het subnet. Nadat de NAT-gatewayresource is ontkoppeld uit alle subnetten, kan deze worden verwijderd. Zie Een NAT-gatewayresource verwijderen uit een bestaand subnet en de resource verwijderen voor hulp.
Ondersteunt een NAT-gateway IP-fragmentatie?
Nee, een NAT-gateway biedt geen ondersteuning voor IP-fragmentatie voor Transmission Control Protocol (TCP) of User Datagram Protocol (UDP).
Metrische gegevens van NAT-gateway
Wat is het verschil tussen het aantal SNAT-verbindingen en het totale aantal SNAT-verbindingen voor een NAT-gateway?
De metrische gegevens voor het aantal SNAT-verbindingen (SNAT) tonen het aantal nieuwe SNAT-verbindingen (Network Address Translation) per seconde. De metrische gegevens totaal aantal SNAT-verbindingen tonen het totale aantal actieve verbindingen op een NAT-gatewayresource.
Hoe zie ik het gebruik van SNAT-poorten op een NAT-gateway?
Er zijn geen metrische gegevens over het gebruik van SNAT-poorten voor een NAT-gateway. Gebruik de metrische gegevens voor het aantal SNAT-verbindingen en het totale aantal SNAT-verbindingen om de SNAT-capaciteit van uw NAT-gatewayresource te evalueren.
Hoe kan ik de metrische gegevens van mijn NAT-gateway op de lange termijn opslaan?
Metrische gegevens van de NAT-gateway kunnen worden opgehaald met behulp van de REST API voor metrische gegevens. U kunt ook Delen selecteren en vervolgens downloaden naar Excel in het deelvenster met metrische gegevens van de NAT-gateway in Azure Portal.
Kunnen metrische gegevens van de NAT-gateway worden opgehaald met behulp van diagnostische instellingen?
Nee, metrische gegevens van nat-gateway kunnen niet worden geëxporteerd met behulp van diagnostische instellingen. Metrische nat-gatewaygegevens zijn multidimensionaal. Diagnostische instellingen bieden geen ondersteuning voor het exporteren van multidimensionale metrische gegevens.
Uitgaande connectiviteit met een NAT-gateway
Hoe kan ik een NAT-gateway gebruiken om uitgaand verbinding te maken in een installatie waarbij ik momenteel een andere service voor uitgaand gebruik?
Een NAT-gateway maakt automatisch verbinding met internet nadat deze is gekoppeld aan een openbaar IP-adres of voorvoegsel en een subnet. Een NAT-gateway heeft voorrang op Azure Load Balancer met uitgaande regels, openbare IP-adressen op exemplaarniveau op virtuele machines (VM's) en Azure Firewall voor uitgaande connectiviteit.
Worden verbindingen onderbroken na het koppelen van een NAT-gateway aan een subnet waar momenteel een andere service wordt gebruikt voor uitgaande connectiviteit?
Nee, er is geen onderbreking in verbindingen. Bestaande verbindingen met de vorige uitgaande service (Load Balancer, Azure Firewall, openbare IP-adressen op exemplaarniveau) blijven werken totdat deze verbindingen zijn gesloten. Nadat een NAT-gateway is toegevoegd aan het subnet van het virtuele netwerk, gebruiken alle nieuwe verbindingen een NAT-gateway voor het maken van uitgaande verbindingen.
Kan een openbaar IP-adres van een NAT-gateway rechtstreeks verbinding maken met een privé-IP-adres via internet?
Nee, een openbaar IP-adres van een NAT-gateway kan niet rechtstreeks verbinding maken met een privé-IP-adres via internet.
Als er meerdere openbare IP-adressen zijn toegewezen aan een NAT-gatewayresource, wordt de verkeersstroom verstoord wanneer een van de IP-adressen wordt verwijderd?
Actieve verbindingen die zijn gekoppeld aan een openbaar IP-adres, worden beëindigd wanneer het openbare IP-adres wordt verwijderd. Als de NAT-gatewayresource meerdere openbare IP-adressen heeft, wordt nieuw verkeer verdeeld over de toegewezen IP-adressen.
Wat betekent dit wanneer ik een IP zie die wordt gebruikt om uitgaand verkeer te verbinden dat verschilt van het openbare IP-adres van mijn NAT-gateway?
Er zijn enkele mogelijke redenen waarom u een ander IP-adres ziet dat wordt gebruikt om uitgaand verbinding te maken dan het IP-adres dat is gekoppeld aan uw NAT-gateway. Raadpleeg de handleiding voor het oplossen van problemen met Azure NAT Gateway-connectiviteit voor hulp bij het oplossen van problemen.
Verkeersroutes
Wat gebeurt er met een NAT-gateway als ik tunnelverkeer 0.0.0.0/0 (internet) afdwingen naar een NVA, Azure VPN Gateway of Azure ExpressRoute?
Een NAT-gateway maakt gebruik van het standaard internetpad van een subnet om verkeer naar internet te routeren. Verkeer passeert geen NAT-gateway als er een door de gebruiker gedefinieerde route wordt gemaakt om verkeer van 0.0.0.0/0 naar het virtuele netwerkapparaat (NVA) van het volgende hoptype of een virtuele netwerkgateway te leiden.
Welke configuratie moet ik maken in de routetabel van het subnet om uitgaand verbinding te maken met een NAT-gateway?
Er is geen configuratie vereist voor de routetabel van het subnet om uitgaande verbindingen met een NAT-gateway te starten. Wanneer een NAT-gateway is toegewezen aan een subnet, wordt de NAT-gateway het volgende hoptype voor al het internetverkeer. Verkeer kan uitgaand verbinding maken met internet zodra de NAT-gateway is toegewezen aan een subnet en ten minste één openbaar IP-adres.
NAT-gatewayconfiguraties
Kan een NAT-gateway worden geïmplementeerd zonder een openbaar IP-adres of subnet?
Ja, een NAT-gateway kan worden geïmplementeerd zonder een openbaar IP-adres of voorvoegsel en subnet. Het is echter pas operationeel als u ten minste één openbaar IP-adres of voorvoegsel en een subnet koppelt.
Is het openbare IP-adres van de NAT-gateway statisch?
Ja, openbare IP-adressen op uw NAT-gateway zijn opgelost en worden niet gewijzigd.
Hoeveel openbare IP-adressen kunnen worden gekoppeld aan een NAT-gateway?
Een NAT-gateway kan maximaal 16 openbare IP-adressen gebruiken. Een NAT-gateway kan elke combinatie van openbare IP-adressen en openbare IP-voorvoegsels in totaal 16 adressen gebruiken. Een NAT-gateway kan ondersteuning bieden voor de volgende voorvoegsels: /28 (16 adressen), /29 (8 adressen), /30 (4 adressen) en /31 (2 adressen).
Hoe kan ik aangepaste IP-voorvoegsels (BYOIP) gebruiken met een NAT-gateway?
U kunt openbare IP-voorvoegsels en adressen gebruiken die zijn afgeleid van aangepaste IP-voorvoegsels, ook wel bring your own IP (BYOIP) genoemd, met uw NAT-gateway. Zie Aangepast IP-adresvoorvoegsel (BYOIP) voor meer informatie.
Kan een openbaar IPv6-IP-adres worden gebruikt met een NAT-gateway?
Nee, een NAT-gateway biedt geen ondersteuning voor openbare IPv6-IP-adressen. U kunt echter een configuratie met twee stacks hebben met een NAT-gateway en een load balancer om uitgaande IPv4- en IPv6-connectiviteit te bieden. Zie Uitgaande connectiviteit met dubbele stack configureren met een NAT-gateway en een openbare load balancer voor meer informatie.
Kunnen openbare IP-adressen met de routeringsvoorkeur 'internet' worden gebruikt met een NAT-gateway?
Nee, een NAT-gateway biedt geen ondersteuning voor openbare IP-adressen met de routeringsvoorkeur 'internet'. Zie Ondersteunde services voor routering via het openbare internet voor een lijst met Azure-services die wel ondersteuning bieden voor het routeringsconfiguratietype 'internet' op openbare IP-adressen.
Kunnen openbare IP-adressen waarvoor DDoS-beveiliging is ingeschakeld, worden gebruikt met een NAT-gateway?
Nee, een NAT-gateway biedt geen ondersteuning voor openbare IP-adressen waarvoor DDoS-beveiliging is ingeschakeld. Zie DDoS-beperkingen voor meer informatie.
Kunnen openbare IP-adressen van een bestaande NAT-gateway worden gewijzigd?
Nee, het adres van een bestaand openbaar IP-adres kan niet worden gewijzigd. Als u het openbare IP-adres op uw NAT-gateway wilt wijzigen, raadpleegt u Een openbaar IP-adres toevoegen of verwijderen voor hulp.
Als er meerdere openbare IP-adressen zijn toegewezen aan een NAT-gateway, welke openbare IP-adressen gebruiken mijn subnetbronnen?
Uw subnetbronnen kunnen gebruikmaken van een van de openbare IP-adressen die zijn gekoppeld aan uw NAT-gateway voor uitgaande connectiviteit. Telkens wanneer er een nieuwe uitgaande verbinding wordt gemaakt via een NAT-gateway, wordt het uitgaande openbare IP-adres willekeurig geselecteerd.
Kan ik een van de openbare IP-adressen van mijn NAT-gateway toewijzen aan een specifieke VM of subnet om exclusief te gebruiken voor het maken van een verbinding met uitgaand verkeer?
Nee IP-toewijzing aan specifieke subnetten of VM-exemplaren in een nat-gateway geconfigureerd subnet wordt niet ondersteund.
Kan een NAT-gateway worden gekoppeld aan meerdere virtuele netwerken?
Nee, een NAT-gateway kan niet worden gekoppeld aan meerdere virtuele netwerken.
Kan een NAT-gateway worden gekoppeld aan meerdere subnetten?
Ja, een NAT-gateway kan worden gekoppeld aan maximaal 800 subnetten in een virtueel netwerk. Het is niet vereist dat deze is gekoppeld aan alle subnetten binnen een virtueel netwerk.
Kan een NAT-gateway worden gekoppeld aan een gatewaysubnet?
Nee, een NAT-gateway kan niet worden gekoppeld aan een gatewaysubnet .
Kunnen meerdere NAT-gateways worden gekoppeld aan één subnet?
Nee, een NAT-gateway werkt op basis van de eigenschappen van het subnet, zodat meerdere NAT-gateways niet kunnen worden gekoppeld aan één subnet.
Werkt een NAT-gateway in een hub-and-spoke-netwerkarchitectuur?
Verkeer van de virtuele spoke-netwerken kan worden gerouteerd naar het gecentraliseerde hub-virtuele netwerk via een NVA of Azure Firewall. Een NAT-gateway kan vervolgens uitgaande connectiviteit bieden voor alle virtuele spoke-netwerken vanuit het gecentraliseerde hubnetwerk. Als u een NAT-gateway wilt instellen in een hub-and-spoke-architectuur met NVA's, raadpleegt u Een NAT-gateway gebruiken in een hub-and-spoke-netwerk. Als u een NAT-gateway wilt gebruiken met Azure Firewall in een hub-and-spoke-installatie, raadpleegt u Een NAT-gateway integreren met Azure Firewall.
Beschikbaarheidszones
Hoe werkt een NAT-gateway met beschikbaarheidszones?
Een NAT-gateway kan zonegebonden zijn of in geen zone worden geplaatst. Zie Azure NAT Gateway en beschikbaarheidszones voor meer informatie. Aanvullend:
- Een NAT-gateway zonder zone wordt door Azure in een zone voor u geplaatst.
- Een zonegebonden NAT-gateway is gekoppeld aan een specifieke zone door de gebruiker wanneer de NAT-gateway wordt gemaakt.
- De zonegebonden configuratie van een NAT-gateway kan niet worden gewijzigd na de implementatie.
Kan een zone-redundant openbaar IP-adres worden gekoppeld aan een NAT-gateway?
Zone-redundante openbare IP-adressen en voorvoegsels kunnen worden gekoppeld aan een NAT-gateway zonder zone of een NAT-gateway die is toegewezen aan een specifieke beschikbaarheidszone. Zie Azure NAT Gateway en beschikbaarheidszones voor meer informatie.
Azure NAT-gateway en basis-SKU-resources
Zijn basis-SKU-resources (Basic load balancer en openbare BASIC IP-adressen) compatibel met een NAT-gateway?
Nee, een NAT-gateway is compatibel met standaard-SKU-resources. Zie de basisbeginselen van Azure NAT Gateway voor meer informatie. Werk uw basic load balancer en het standaard openbare IP-adres bij naar standaard om te werken met een NAT-gateway. Voor meer hulp:
- Als u een eenvoudige load balancer naar standaard wilt upgraden, raadpleegt u De openbare Load Balancer van Azure upgraden.
- Zie Een openbaar IP-adres upgraden om een openbaar IP-adres te upgraden naar standaard.
- Zie Upgrade a basic public IP address with an attached VM to standard (Een standaard openbaar IP-adres upgraden met een gekoppelde VM) als u een openbaar BASIS-IP-adres wilt upgraden met een gekoppelde VM.
Verbindingstime-outs en timers
Wat is de time-out voor inactiviteit voor een NAT-gateway?
Voor TCP-verbindingen wordt de time-outtimer voor inactiviteit standaard ingesteld op 4 minuten en kan deze maximaal 120 minuten worden geconfigureerd. Als u lange verbindingsstromen wilt onderhouden, gebruikt u TCP-keepalives in plaats van de time-outtimer voor inactiviteit uit te breiden. TCP-keepalives onderhouden actieve verbindingen voor een langere periode.
De time-outtimer voor niet-actieve UDP is ingesteld op 4 minuten en kan niet worden geconfigureerd.
Wat is het hergebruikgedrag van een SNAT-poort van een NAT-gateway?
Wanneer een TCP/UDP-verbinding wordt gesloten, wordt de poort in een afkoelperiode geplaatst voordat deze opnieuw kan worden gebruikt om verbinding te maken met hetzelfde doeleindpunt. Zie timers voor het hergebruik van SNAT-poorten voor meer informatie. Verbindingen naar een andere bestemming kunnen direct gebruikmaken van een SNAT-poort. Zie SNAT met Azure NAT Gateway voor meer informatie.
NAT-gatewayintegratie met andere Azure-services
Kan ik een NAT-gateway gebruiken met Azure-app Service?
Ja, een NAT-gateway kan worden gebruikt met Azure-app Service, zodat toepassingen uitgaand verkeer naar internet kunnen doorsturen vanuit een virtueel netwerk. Als u deze integratie tussen een NAT-gateway en Azure-app Service wilt gebruiken, moet regionale integratie van virtuele netwerken zijn ingeschakeld. Zie Azure NAT Gateway-integratie voor hulp bij het inschakelen van integratie van virtuele netwerken met een NAT-gateway.
Kan ik een NAT-gateway gebruiken met Azure Kubernetes Service?
Ja. Zie Managed NAT Gateway voor meer informatie over nat-gatewayintegratie met Azure Kubernetes Service.
Wanneer wordt de NAT-gateway gebruikt om verbinding te maken vanuit mijn AKS-cluster met de AKS-API-server?
Als u een AKS-cluster wilt beheren, communiceert u met de API-server. Wanneer u een niet-privécluster maakt dat wordt omgezet in de FQDN (Fully Qualified Domain Name) van de API-server, wordt standaard een openbaar IP-adres toegewezen aan de API-server. Nadat u een NAT-gateway hebt gekoppeld aan de subnetten van uw AKS-cluster, wordt NAT Gateway gebruikt om verbinding te maken met het openbare IP-adres van de AKS-API-server. Raadpleeg Access an AKS API Server voor aanvullende informatie en ontwerprichtlijnen.
Kan ik een NAT-gateway gebruiken met Azure Firewall?
Ja, een NAT-gateway kan worden gebruikt met Azure Firewall. Wanneer Azure Firewall wordt gebruikt met een NAT-gateway, moet deze zich in een zonegebonden configuratie bevinden. Een NAT-gateway werkt met een zone-redundante firewall, maar we raden de implementatie op dit moment niet aan. Zie SNAT-poorten schalen met een NAT-gateway voor meer informatie over nat-gatewayintegratie met Azure Firewall.
Kan ik een NAT-gateway gebruiken met Azure Virtual Network-service-eindpunten of Azure Private Link?
Ja, de toevoeging van een NAT-gateway aan een subnet met service-eindpunten heeft geen invloed op de eindpunten. Service-eindpunten voor virtueel netwerk maken een specifiekere route mogelijk voor het Azure-serviceverkeer dat ze vertegenwoordigen. Verkeer voor het service-eindpunt doorkruist de Azure-backbone in plaats van internet. We raden Private Link aan via service-eindpunten wanneer u rechtstreeks vanuit uw Azure-netwerk verbinding maakt met Azure Platform as a Service (PaaS).
Kan ik een NAT-gateway gebruiken met mijn Azure Databricks-werkruimte?
Ja. Als u beveiligde clusterconnectiviteit inschakelt in uw werkruimte, kan een NAT-gateway op twee manieren worden gebruikt met Azure Databricks:
- Als u beveiligde clusterconnectiviteit gebruikt met het standaard virtuele netwerk dat azure Databricks maakt, maakt Azure Databricks automatisch een NAT-gateway voor uitgaand verkeer van de subnetten van uw werkruimte. De NAT-gateway wordt gemaakt binnen de beheerde resourcegroep die door Azure Databricks wordt beheerd. U kunt deze resourcegroep of resources die erin zijn ingericht, niet wijzigen.
- Als u beveiligde clusterconnectiviteit inschakelt in uw werkruimte die gebruikmaakt van virtuele netwerkinjectie, kunt u een NAT-gateway implementeren op beide subnetten van de werkruimte om uitgaande connectiviteit te bieden. In dit geval kunt u de configuratie wijzigen voor aangepaste vereisten voor uitgaande connectiviteit. Zie Beveiligde clusterconnectiviteit voor meer informatie.
Volgende stappen
Als uw vraag hier niet wordt vermeld, stuur dan feedback over deze pagina met uw vraag. Met deze informatie wordt een GitHub-probleem voor het productteam gemaakt om ervoor te zorgen dat al onze gewaardeerde klantvragen worden beantwoord.