Często zadawane pytania dotyczące usługi Azure NAT Gateway

Usługa Azure NAT Gateway to w pełni zarządzane, wysoce odporne rozwiązanie łączności wychodzącej dla sieci wirtualnych platformy Azure. Aby uzyskać bezpieczną i skalowalną łączność wychodzącą, dołącz bramę translatora adresów sieciowych do podsieci w sieci wirtualnej i do co najmniej jednego statycznego publicznego adresu IP.

Zobacz Cennik usługi Azure NAT Gateway.

Zobacz Limity bramy translatora adresów sieciowych platformy Azure.

Liczba dozwolonych zasobów bramy translatora adresów sieciowych na subskrypcję na region zależy od typu kategorii oferty, takiego jak bezpłatna wersja próbna, płatność zgodnie z rzeczywistym użyciem, Dostawca rozwiązań w chmurze (CSP) i Umowa Enterprise. Umowa Enterprise i typy ofert CSP mogą mieć maksymalnie 1000 zasobów bramy translatora adresów sieciowych. Typy ofert sponsorowanych i płatnych zgodnie z rzeczywistym użyciem mogą mieć do 100 zasobów bramy translatora adresów sieciowych. Wszystkie inne typy ofert, takie jak bezpłatna wersja próbna, mogą mieć maksymalnie 15 zasobów bramy translatora adresów sieciowych.

Nie, zasób bramy translatora adresów sieciowych nie może być używany z więcej niż jedną subskrypcją jednocześnie. Aby uzyskać szczegółowe wskazówki, zobacz Tworzenie i konfigurowanie bramy translatora adresów sieciowych po przeniesieniu regionu.

Nie, bramy translatora adresów sieciowych nie można przenosić między subskrypcjami, regionami ani grupami zasobów. Dla innej subskrypcji, regionu lub grupy zasobów należy utworzyć nową bramę translatora adresów sieciowych.

Brama translatora adresów sieciowych zapewnia łączność wychodzącą z sieci wirtualnej. Zwracanie ruchu w odpowiedzi bezpośredniej na przepływ wychodzący może również przechodzić przez bramę translatora adresów sieciowych. Żaden ruch przychodzący bezpośrednio z Internetu nie może przechodzić przez bramę translatora adresów sieciowych.

Dzienniki przepływu sieciowej grupy zabezpieczeń (NSG) mogą służyć do monitorowania przepływu ruchu z zasobu w podsieci/sieci wirtualnej przy użyciu bramy translatora adresów sieciowych w celu wyjścia wychodzącego.

Skorzystaj z usługi Azure Security Center i postępuj zgodnie z zaleceniami dotyczącymi ochrony sieci, aby ułatwić zabezpieczanie zasobów sieciowych platformy Azure. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta usługi Azure Storage na potrzeby inspekcji. Dzienniki przepływu można również wysłać do obszaru roboczego usługi Log Analytics, a następnie użyć analizy ruchu, aby zapewnić wgląd w wzorce ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci, identyfikowania punktów aktywnych i zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Aby usunąć zasób bramy translatora adresów sieciowych, należy najpierw usunąć skojarzenie zasobu z podsieci. Po usunięciu zasobu bramy translatora adresów sieciowych ze wszystkich podsieci można go usunąć. Aby uzyskać wskazówki, zobacz Usuwanie zasobu bramy translatora adresów sieciowych z istniejącej podsieci i usuwanie zasobu.

Nie, brama translatora adresów sieciowych nie obsługuje fragmentacji adresów IP dla protokołu TCP (Transmission Control Protocol) ani protokołu UDP (User Datagram Protocol).

Metryka Liczba Połączenie ion SNAT pokazuje liczbę nowych połączeń translacji adresów sieciowych (SNAT) na sekundę. Metryka Łączna liczba Połączenie ion SNAT pokazuje łączną liczbę aktywnych połączeń w zasobie bramy translatora adresów sieciowych.

Nie ma metryki użycia portów SNAT dla bramy translatora adresów sieciowych. Użyj metryk liczba Połączenie ion SNAT i Łączna liczba Połączenie ion SNAT, aby ułatwić ocenę pojemności SNAT zasobu bramy translatora adresów sieciowych.

Metryki bramy translatora adresów sieciowych można pobrać przy użyciu interfejsu API REST metryk. Alternatywnie możesz wybrać pozycję Udostępnij, a następnie pobrać do programu Excel w okienku metryk bramy translatora adresów sieciowych w witrynie Azure Portal.

Nie, metryki bramy translatora adresów sieciowych nie mogą być eksportowane przy użyciu ustawień diagnostycznych. Metryki bramy translatora adresów sieciowych są wielowymiarowe. Ustawienia diagnostyczne nie obsługują eksportowania metryk wielowymiarowych.

Brama translatora adresów sieciowych automatycznie łączy ruch wychodzący z Internetem po dołączeniu do publicznego adresu IP lub prefiksu i podsieci. Brama translatora adresów sieciowych ma priorytet nad usługą Azure Load Balancer z regułami ruchu wychodzącego, publicznymi adresami IP na poziomie wystąpienia na maszynach wirtualnych i usługą Azure Firewall na potrzeby łączności wychodzącej.

Nie, nie ma żadnych zakłóceń w połączeniach. Istniejące połączenia z poprzednią usługą wychodzącą (Load Balancer, Azure Firewall, publiczne adresy IP na poziomie wystąpienia) będą nadal działać do momentu zamknięcia tych połączeń. Po dodaniu bramy translatora adresów sieciowych do podsieci sieci wirtualnej wszystkie nowe połączenia używają bramy translatora adresów sieciowych do nawiązywania połączeń wychodzących.

Nie, publiczny adres IP bramy translatora adresów sieciowych nie może łączyć się bezpośrednio z prywatnym adresem IP przez Internet.

Wszystkie aktywne połączenia skojarzone z publicznym adresem IP zakończą się po usunięciu publicznego adresu IP. Jeśli zasób bramy translatora adresów sieciowych ma wiele publicznych adresów IP, nowy ruch jest dystrybuowany między przypisanymi adresami IP.

Istnieje kilka możliwych powodów, dla których można zobaczyć inny adres IP używany do nawiązywania połączenia wychodzącego niż ten skojarzony z bramą translatora adresów sieciowych. Aby ułatwić rozwiązywanie problemów, zapoznaj się z przewodnikiem rozwiązywania problemów z łącznością z usługą Azure NAT Gateway.

Brama translatora adresów sieciowych używa domyślnej ścieżki internetowej podsieci do kierowania ruchu do Internetu. Ruch nie przechodzi przez bramę translatora adresów sieciowych w przypadku utworzenia trasy zdefiniowanej przez użytkownika w celu kierowania ruchu 0.0.0.0/0 do urządzenia wirtualnego typu następnego przeskoku (WUS) lub bramy sieci wirtualnej.

Do rozpoczęcia nawiązywania połączenia wychodzącego z bramą translatora adresów sieciowych nie jest wymagana żadna konfiguracja w tabeli tras podsieci. Po przypisaniu bramy translatora adresów sieciowych do podsieci brama translatora adresów sieciowych staje się typem następnego przeskoku dla całego ruchu kierowanego do Internetu. Ruch może rozpocząć nawiązywanie połączenia wychodzącego z Internetem natychmiast po przypisaniu bramy translatora adresów sieciowych do podsieci i co najmniej jednego publicznego adresu IP.

Tak, bramę translatora adresów sieciowych można wdrożyć bez publicznego adresu IP lub prefiksu i podsieci. Jednak nie działa, dopóki nie zostanie dołączony co najmniej jeden publiczny adres IP lub prefiks i podsieć.

Tak, publiczne adresy IP w bramie translatora adresów sieciowych są stałe i nie zmieniają się.

Brama translatora adresów sieciowych może używać maksymalnie 16 publicznych adresów IP. Brama translatora adresów sieciowych może używać dowolnej kombinacji publicznych adresów IP i prefiksów publicznych adresów IP w sumie 16 adresów. Brama translatora adresów sieciowych może obsługiwać następujące rozmiary prefiksów: /28 (16 adresów), /29 (8 adresów), /30 (4 adresy) i /31 (2 adresy).

Możesz użyć publicznych prefiksów i adresów IP pochodzących z niestandardowych prefiksów adresów IP, znanych również jako bring your own IP (BYOIP) z bramą translatora adresów sieciowych. Aby dowiedzieć się więcej, zobacz Niestandardowy prefiks adresu IP (BYOIP).

Nie, brama translatora adresów sieciowych nie obsługuje publicznych adresów IP IPv6. Można jednak mieć konfigurację dwóch stosów z bramą translatora adresów sieciowych i modułem równoważenia obciążenia w celu zapewnienia łączności wychodzącej IPv4 i IPv6. Aby uzyskać więcej informacji, zobacz Konfigurowanie łączności wychodzącej z podwójnym stosem z bramą translatora adresów sieciowych i publicznym modułem równoważenia obciążenia.

Nie, brama translatora adresów sieciowych nie obsługuje publicznych adresów IP z preferencjami routingu "Internet". Aby wyświetlić listę usług platformy Azure, które obsługują typ konfiguracji routingu "Internet" na publicznych adresach IP, zobacz Obsługiwane usługi routingu za pośrednictwem publicznego Internetu.

Nie, brama translatora adresów sieciowych nie obsługuje publicznych adresów IP z włączoną ochroną przed atakami DDoS. Aby uzyskać więcej informacji, zobacz Ograniczenia DDoS.

Nie, nie można zmienić adresu istniejącego publicznego adresu IP. Jeśli musisz zmienić publiczny adres IP w bramie translatora adresów sieciowych, zobacz Dodawanie lub usuwanie publicznego adresu IP, aby uzyskać wskazówki.

Zasoby podsieci mogą używać dowolnego z publicznych adresów IP dołączonych do bramy translatora adresów sieciowych na potrzeby łączności wychodzącej. Za każdym razem, gdy jest wykonywane nowe połączenie wychodzące za pośrednictwem bramy translatora adresów sieciowych, wychodzący publiczny adres IP jest wybierany losowo.

L.p. Przypisanie adresu IP do określonych podsieci lub wystąpień maszyn wirtualnych w podsieci skonfigurowanej przez bramę translatora adresów sieciowych nie jest obsługiwane.

Nie, brama translatora adresów sieciowych nie może być dołączona do wielu sieci wirtualnych.

Tak, brama translatora adresów sieciowych może być skojarzona z maksymalnie 800 podsieciami w sieci wirtualnej. Nie jest to wymagane do skojarzenia ze wszystkimi podsieciami w sieci wirtualnej.

Nie, brama translatora adresów sieciowych nie może być skojarzona z podsiecią bramy .

Nie, brama translatora adresów sieciowych działa na podstawie właściwości podsieci, więc wiele bram translatora adresów sieciowych nie może być dołączonych do jednej podsieci.

Ruch z sieci wirtualnych szprych można kierować do scentralizowanej sieci wirtualnej koncentratora za pośrednictwem urządzenia WUS lub usługi Azure Firewall. Brama translatora adresów sieciowych może następnie zapewnić łączność wychodzącą dla wszystkich sieci wirtualnych szprych z scentralizowanej sieci koncentratora. Aby skonfigurować bramę translatora adresów sieciowych w architekturze piasty i szprych z urządzeniami WUS, zobacz Używanie bramy translatora adresów sieciowych w sieci piasty i szprych. Aby użyć bramy translatora adresów sieciowych z usługą Azure Firewall w konfiguracji piasty i szprych, zobacz Integrowanie bramy translatora adresów sieciowych z usługą Azure Firewall.

Brama translatora adresów sieciowych może być strefowa lub umieszczona w "bez strefy". Aby uzyskać więcej informacji, zobacz Brama translatora adresów sieciowych platformy Azure i strefy dostępności. Dodatkowo:

• Brama TRANSLATOR adresów sieciowych bez strefy jest umieszczana w strefie dla Ciebie przez platformę Azure.
• Brama translatora adresów sieciowych strefowych jest skojarzona z określoną strefą przez użytkownika podczas tworzenia bramy translatora adresów sieciowych.
• Nie można zmienić konfiguracji strefowej bramy translatora adresów sieciowych po wdrożeniu.

Strefowo nadmiarowe publiczne adresy IP i prefiksy można dołączyć do bramy translatora adresów sieciowych bez strefy lub bramy translatora adresów sieciowych przypisanej do określonej strefy dostępności. Aby uzyskać więcej informacji, zobacz Brama translatora adresów sieciowych platformy Azure i strefy dostępności.

Nie, brama translatora adresów sieciowych jest zgodna ze standardowymi zasobami jednostki SKU. Aby dowiedzieć się więcej, zobacz Podstawy usługi Azure NAT Gateway. Uaktualnij podstawowy moduł równoważenia obciążenia i podstawowy publiczny adres IP do warstwy Standardowa, aby pracować z bramą translatora adresów sieciowych. Aby uzyskać więcej pomocy:

• Aby uaktualnić podstawowy moduł równoważenia obciążenia do warstwy Standardowa, zobacz Uaktualnianie publicznego modułu równoważenia obciążenia platformy Azure.
• Aby uaktualnić podstawowy publiczny adres IP do standardu, zobacz Uaktualnianie publicznego adresu IP.
• Aby uaktualnić podstawowy publiczny adres IP z dołączoną maszyną wirtualną do standardu, zobacz Uaktualnianie podstawowego publicznego adresu IP przy użyciu dołączonej maszyny wirtualnej.

W przypadku połączeń TCP czasomierz bezczynności domyślnie wynosi 4 minuty i można go skonfigurować do 120 minut. Jeśli zachodzi potrzeba utrzymania długich przepływów połączeń, użyj elementów keepalives protokołu TCP zamiast rozszerzania czasomierza limitu czasu bezczynności. Protokoły TCP utrzymują aktywne połączenia przez dłuższy czas.

Czasomierz limitu czasu bezczynności protokołu UDP jest ustawiony na 4 minuty i nie można go skonfigurować.

Po zamknięciu połączenia TCP/UDP port jest umieszczany w okresie ochładzania, zanim będzie można go ponownie użyć do nawiązania połączenia z tym samym docelowym punktem końcowym. Aby uzyskać więcej informacji, zobacz Ponowne użycie portów SNAT czasomierzy. Połączenie iony przechodzące do innego miejsca docelowego mogą od razu używać portu SNAT. Aby uzyskać więcej informacji, zobacz SNAT z usługą Azure NAT Gateway.

Tak, bramę translatora adresów sieciowych można używać z usługą aplikacja systemu Azure, aby umożliwić aplikacjom kierowanie ruchu wychodzącego do Internetu z sieci wirtualnej. Aby można było korzystać z tej integracji między bramą translatora adresów sieciowych a usługą aplikacja systemu Azure Service, należy włączyć regionalną integrację sieci wirtualnej. Aby uzyskać wskazówki dotyczące włączania integracji sieci wirtualnej z bramą translatora adresów sieciowych, zobacz Integracja usługi Azure NAT Gateway.

Tak. Aby uzyskać więcej informacji na temat integracji bramy translatora adresów sieciowych z usługą Azure Kubernetes Service, zobacz Managed NAT Gateway (Zarządzana brama translatora adresów sieciowych).

Tak, brama translatora adresów sieciowych może być używana z usługą Azure Firewall. Gdy usługa Azure Firewall jest używana z bramą translatora adresów sieciowych, powinna znajdować się w konfiguracji strefowej. Brama translatora adresów sieciowych współpracuje z strefowo nadmiarową zaporą, ale obecnie nie zalecamy wdrożenia. Aby uzyskać więcej informacji na temat integracji bramy translatora adresów sieciowych z usługą Azure Firewall, zobacz Skalowanie portów SNAT przy użyciu bramy translatora adresów sieciowych.

Tak, dodanie bramy translatora adresów sieciowych do podsieci z punktami końcowymi usługi nie ma wpływu na punkty końcowe. Punkty końcowe usługi dla sieci wirtualnej umożliwiają bardziej szczegółową trasę dla docelowego ruchu usługi platformy Azure, który reprezentują. Ruch dla punktu końcowego usługi przechodzi przez sieć szkieletową platformy Azure zamiast Internetu. Zalecamy korzystanie z usługi Private Link za pośrednictwem punktów końcowych usługi podczas nawiązywania połączenia z platformą Azure jako usługą (PaaS) bezpośrednio z sieci platformy Azure.

Tak. Jeśli włączysz bezpieczną łączność klastra w obszarze roboczym, brama translatora adresów sieciowych może być używana z usługą Azure Databricks na jeden z dwóch sposobów:

• Jeśli używasz bezpiecznej łączności klastra z domyślną siecią wirtualną tworzoną przez usługę Azure Databricks, usługa Azure Databricks automatycznie tworzy bramę translatora adresów sieciowych dla ruchu wychodzącego z podsieci obszaru roboczego. Brama translatora adresów sieciowych jest tworzona w zarządzanej grupie zasobów zarządzanej przez usługę Azure Databricks. Nie można zmodyfikować tej grupy zasobów ani żadnych zaaprowizowanych w niej zasobów.
• Jeśli włączysz bezpieczną łączność klastra w obszarze roboczym, który używa iniekcji sieci wirtualnej, możesz wdrożyć bramę TRANSLATOR adresów sieciowych w obu podsieciach obszaru roboczego w celu zapewnienia łączności wychodzącej. W tym przypadku można zmodyfikować konfigurację dostosowanych wymagań dotyczących łączności wychodzącej. Aby uzyskać więcej informacji, zobacz Zabezpieczanie łączności klastra.

Następne kroki

Jeśli twoje pytanie nie znajduje się tutaj, wyślij opinię na temat tej strony z pytaniem. Te informacje spowodują utworzenie problemu z usługą GitHub dla zespołu produktu w celu zapewnienia odpowiedzi na wszystkie nasze cenionych pytań klientów.