Share via

Problemen met uitgaande connectiviteit met NAT-gateway en Azure-services oplossen

  • Artikel

Dit artikel bevat richtlijnen voor het oplossen van verbindingsproblemen bij het gebruik van NAT-gateway met andere Azure-services, waaronder:

Azure App Services

Azure-app Services regionale integratie van virtueel netwerk is uitgeschakeld

NAT-gateway kan worden gebruikt met Azure-app-services, zodat toepassingen uitgaande aanroepen vanuit een virtueel netwerk kunnen uitvoeren. Als u deze integratie tussen Azure-app-services en NAT-gateway wilt gebruiken, moet regionale integratie van virtuele netwerken zijn ingeschakeld. Bekijk hoe regionale integratie van virtuele netwerken werkt voor meer informatie.

Voer de volgende stappen uit om de NAT-gateway te gebruiken met Azure-app-services:

  1. Zorg ervoor dat uw toepassingen virtuele netwerkintegratie hebben geconfigureerd. Zie Integratie van virtueel netwerk inschakelen.

  2. Zorg ervoor dat Route All is ingeschakeld voor de integratie van uw virtuele netwerk. Zie Routering voor virtuele netwerkintegratie configureren.

  3. Maak een NAT-gatewayresource.

  4. Maak een nieuw openbaar IP-adres of koppel een bestaand openbaar IP-adres in uw netwerk aan de NAT-gateway.

  5. Wijs de NAT-gateway toe aan hetzelfde subnet dat wordt gebruikt voor integratie van virtuele netwerken met uw toepassingen.

Zie Nat-gatewayintegratie configureren voor stapsgewijze instructies voor het configureren van nat-gateways met integratie van virtuele netwerken.

Belangrijke opmerkingen over de NAT-gateway en Azure-app Services-integratie:

  • Integratie van virtuele netwerken biedt geen binnenkomende privétoegang tot uw app vanuit het virtuele netwerk.

  • Netwerkintegratieverkeer wordt niet weergegeven in stroomlogboeken van Azure Network Watcher of Netwerkbeveiligingsgroep (NSG) vanwege de aard van de werking ervan.

App Services maakt geen gebruik van het openbare IP-adres van de NAT-gateway om uitgaand verbinding te maken

App-services kunnen nog steeds uitgaand verbinding maken met internet, zelfs als de integratie van virtuele netwerken niet is ingeschakeld. Standaard zijn apps die worden gehost in App Service rechtstreeks toegankelijk via internet en kunnen alleen eindpunten met internet worden bereikt. Zie App Services-netwerkfuncties voor meer informatie.

Als u merkt dat het IP-adres dat wordt gebruikt om uitgaand verbinding te maken niet uw openbare IP-adres of -adressen van de NAT-gateway is, controleert u of de integratie van virtuele netwerken is ingeschakeld. Zorg ervoor dat de NAT-gateway is geconfigureerd voor het subnet dat wordt gebruikt voor integratie met uw toepassingen.

Als u wilt valideren dat webtoepassingen gebruikmaken van het openbare IP-adres van de NAT-gateway, pingt u een virtuele machine in uw Web Apps en controleert u het verkeer via een netwerkopname.

Azure Kubernetes Service

NAT-gateway implementeren met AKS-clusters (Azure Kubernetes Service)

NAT-gateway kan worden geïmplementeerd met AKS-clusters om expliciete uitgaande connectiviteit mogelijk te maken. Er zijn twee verschillende manieren om NAT-gateway te implementeren met AKS-clusters:

  • Beheerde NAT-gateway: Azure implementeert een NAT-gateway op het moment dat het AKS-cluster is gemaakt. AKS beheert de NAT-gateway.

  • Door de gebruiker toegewezen NAT-gateway: u implementeert een NAT-gateway in een bestaand virtueel netwerk voor het AKS-cluster.

Meer informatie vindt u in Beheerde NAT-gateway.

Kan mijn IP-adressen van de NAT-gateway of time-outtimer voor een AKS-cluster niet bijwerken

Openbare IP-adressen en de time-outtimer voor nat-gateway inactief kunnen worden bijgewerkt met de az aks update opdracht alleen voor een beheerde NAT-gateway.

Als u een door de gebruiker toegewezen NAT-gateway hebt geïmplementeerd in uw AKS-subnetten, kunt u de az aks update opdracht niet gebruiken om openbare IP-adressen of de time-outtimer voor inactiviteit bij te werken. De gebruiker beheert een door de gebruiker toegewezen NAT-gateway. U moet deze configuraties handmatig bijwerken op uw NAT-gatewayresource.

Werk uw openbare IP-adressen bij op uw door de gebruiker toegewezen NAT-gateway met de volgende stappen:

  1. Selecteer in uw resourcegroep uw NAT-gatewayresource in de portal.

  2. Selecteer onder Instellingen op de linkernavigatiebalk de optie Uitgaand IP-adres.

  3. Als u uw openbare IP-adressen wilt beheren, selecteert u de blauwe wijziging.

  4. Werk in de configuratie openbare IP-adressen en voorvoegsels beheren die van rechts naar binnen schuift, uw toegewezen openbare IP-adressen bij in de vervolgkeuzelijst of selecteer Een nieuw openbaar IP-adres maken.

  5. Zodra u klaar bent met het bijwerken van uw IP-configuraties, selecteert u de knop OK onderaan het scherm.

  6. Nadat de configuratiepagina is verdwenen, selecteert u de knop Opslaan om uw wijzigingen op te slaan.

  7. Herhaal stap 3 - 6 om hetzelfde te doen voor openbare IP-voorvoegsels.

Werk de time-outtimerconfiguratie voor inactiviteit bij op uw door de gebruiker toegewezen NAT-gateway met de volgende stappen:

  1. Selecteer in uw resourcegroep de NAT-gatewayresource in de portal.

  2. Selecteer Configuratie onder Instellingen op de linkernavigatiebalk.

  3. Pas in de tekstbalk van de time-out voor inactiviteit van TCP (minuten) de time-outtimer voor inactiviteit aan (de timer kan 4 tot 120 minuten worden geconfigureerd).

  4. Selecteer de knop Opslaan wanneer u klaar bent.

Notitie

Als u de time-outtimer voor TCP-inactiviteit verhoogt tot langer dan 4 minuten, kan het risico op uitputting van de SNAT-poort toenemen.

Azure Firewall

SNAT-uitputting (Source Network Address Translation) bij het verbinden met uitgaande verbindingen met Azure Firewall

Azure Firewall kan uitgaande internetverbinding met virtuele netwerken bieden. Azure Firewall biedt slechts 2496 SNAT-poorten per openbaar IP-adres. Hoewel Azure Firewall kan worden gekoppeld aan maximaal 250 openbare IP-adressen om uitgaand verkeer te verwerken, hebt u mogelijk minder openbare IP-adressen nodig om uitgaande verbindingen te maken. De vereiste voor uitgaand verkeer met minder openbare IP-adressen is te wijten aan architectuurvereisten en acceptatielijstbeperkingen per doeleindpunt.

Een methode waarmee u meer schaalbaarheid voor uitgaand verkeer kunt bieden en ook het risico op SNAT-poortuitputting wilt verminderen, is door nat-gateway in hetzelfde subnet te gebruiken met Azure Firewall. Zie NAT-gateway integreren met Azure Firewall voor meer informatie over het instellen van een NAT-gateway in een Azure Firewall-subnet. Zie SNAT-poorten schalen met Azure NAT Gateway voor meer informatie over hoe NAT-gateway werkt met Azure Firewall.

Notitie

NAT-gateway wordt niet ondersteund in een vWAN-architectuur. Nat-gateway kan niet worden geconfigureerd voor een Azure Firewall-subnet in een vWAN-hub.

Azure Databricks

NAT-gateway gebruiken om uitgaand verbinding te maken vanuit een Databricks-cluster

NAT-gateway kan worden gebruikt om uitgaand verbinding te maken vanuit uw Databricks-cluster wanneer u uw Databricks-werkruimte maakt. Nat-gateway kan op twee manieren worden geïmplementeerd in uw Databricks-cluster:

  • Wanneer u Secure Cluster Verbinding maken ivity (geen openbaar IP) inschakelt in het standaard virtuele netwerk dat door Azure Databricks wordt gemaakt, implementeert Azure Databricks automatisch een NAT-gateway om uitgaand verkeer van de subnetten van uw werkruimte te verbinden met internet. Azure Databricks maakt deze NAT-gatewayresource in de beheerde resourcegroep en u kunt deze resourcegroep of andere resources die erin zijn geïmplementeerd, niet wijzigen.

  • Nadat u de Azure Databricks-werkruimte in uw eigen virtuele netwerk (via injectie van virtuele netwerken) hebt geïmplementeerd en geconfigureerd, kunt u de NAT-gateway implementeren en configureren in beide subnetten van uw werkruimte om uitgaande connectiviteit via de NAT-gateway te garanderen. U kunt deze oplossing implementeren met behulp van een Azure-sjabloon of in de portal.

Volgende stappen

Als u problemen ondervindt met nat-gateway die niet door dit artikel zijn opgelost, kunt u feedback verzenden via GitHub via de onderkant van deze pagina. Wij behandelen uw feedback zo snel mogelijk om de ervaring van onze klanten te verbeteren.

Zie voor meer informatie over NAT-gateway: