Rozwiązywanie problemów z łącznością wychodzącą za pomocą bramy translatora adresów sieciowych i usług platformy Azure

Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów z łącznością podczas korzystania z bramy translatora adresów sieciowych z innymi usługami platformy Azure, w tym:

• Azure App Services

• Azure Kubernetes Service

• Azure Firewall

• Azure Databricks

Azure App Services

Aplikacja systemu Azure Services regionalna integracja sieci wirtualnej jest wyłączona

Brama translatora adresów sieciowych może być używana z usługami aplikacji platformy Azure, aby umożliwić aplikacjom wykonywanie wywołań wychodzących z sieci wirtualnej. Aby można było korzystać z tej integracji między usługami Azure App Services i bramą translatora adresów sieciowych, należy włączyć regionalną integrację sieci wirtualnej. Zobacz , jak działa integracja regionalnej sieci wirtualnej, aby dowiedzieć się więcej.

Aby użyć bramy translatora adresów sieciowych z usługami aplikacja systemu Azure, wykonaj następujące kroki:

1. Upewnij się, że aplikacje mają skonfigurowaną integrację z siecią wirtualną, zobacz Włączanie integracji z siecią wirtualną.

2. Upewnij się, że opcja Route All jest włączona na potrzeby integracji z siecią wirtualną, zobacz Konfigurowanie routingu integracji sieci wirtualnej.

3. Utwórz zasób bramy translatora adresów sieciowych.

4. Utwórz nowy publiczny adres IP lub dołącz istniejący publiczny adres IP w sieci do bramy translatora adresów sieciowych.

5. Przypisz bramę translatora adresów sieciowych do tej samej podsieci używanej do integracji sieci wirtualnej z aplikacjami.

Aby zapoznać się z instrukcjami krok po kroku dotyczącymi konfigurowania bramy translatora adresów sieciowych przy użyciu integracji z siecią wirtualną, zobacz Konfigurowanie integracji bramy translatora adresów sieciowych.

Ważne uwagi dotyczące bramy translatora adresów sieciowych i integracji usług aplikacja systemu Azure Services:

• Integracja z siecią wirtualną nie zapewnia przychodzącego dostępu prywatnego do aplikacji z sieci wirtualnej.

• Ruch integracji sieci wirtualnej nie jest wyświetlany w dziennikach przepływu usługi Azure Network Watcher ani sieciowej grupy zabezpieczeń ze względu na charakter działania.

Usługa App Services nie używa publicznego adresu IP bramy translatora adresów sieciowych w celu nawiązania połączenia wychodzącego

Usługi App Services nadal mogą nawiązywać połączenia wychodzące z Internetem, nawet jeśli integracja z siecią wirtualną nie jest włączona. Domyślnie aplikacje hostowane w usługach App Services są dostępne bezpośrednio za pośrednictwem Internetu i mogą uzyskiwać dostęp tylko do punktów końcowych hostowanych przez Internet. Aby dowiedzieć się więcej, zobacz Funkcje sieciowe usługi App Services.

Jeśli zauważysz, że adres IP używany do nawiązywania połączenia wychodzącego nie jest publicznym adresem IP lub adresami bramy translatora adresów sieciowych, sprawdź, czy integracja sieci wirtualnej jest włączona. Upewnij się, że brama translatora adresów sieciowych jest skonfigurowana do podsieci używanej do integracji z aplikacjami.

Aby sprawdzić, czy aplikacje internetowe korzystają z publicznego adresu IP bramy translatora adresów sieciowych, wyślij polecenie ping do maszyny wirtualnej w usłudze Web Apps i sprawdź ruch za pośrednictwem przechwytywania sieci.

Azure Kubernetes Service

Jak wdrożyć bramę translatora adresów sieciowych za pomocą klastrów usługi Azure Kubernetes Service (AKS)

Bramę translatora adresów sieciowych można wdrożyć za pomocą klastrów usługi AKS, aby umożliwić jawną łączność wychodzącą. Istnieją dwa różne sposoby wdrażania bramy translatora adresów sieciowych za pomocą klastrów usługi AKS:

• Zarządzana brama translatora adresów sieciowych: platforma Azure wdraża bramę translatora adresów sieciowych w momencie tworzenia klastra usługi AKS. Usługa AKS zarządza bramą translatora adresów sieciowych.

• Brama translatora adresów sieciowych przypisana przez użytkownika: brama translatora adresów sieciowych jest wdrażana w istniejącej sieci wirtualnej dla klastra usługi AKS.

Dowiedz się więcej na temat zarządzanej bramy translatora adresów sieciowych.

Nie można zaktualizować adresów IP bramy translatora adresów sieciowych ani czasomierza limitu czasu bezczynności dla klastra usługi AKS

Publiczne adresy IP i czasomierz limitu czasu bezczynności bramy translatora adresów sieciowych można zaktualizować za az aks update pomocą polecenia tylko dla zarządzanej bramy TRANSLATOR adresów sieciowych.

Jeśli brama translatora adresów sieciowych przypisana przez użytkownika została wdrożona w podsieciach usługi AKS, nie można użyć az aks update polecenia w celu zaktualizowania publicznych adresów IP ani czasomierza limitu czasu bezczynności. Użytkownik zarządza bramą translatora adresów sieciowych przypisanych przez użytkownika. Te konfiguracje należy zaktualizować ręcznie w zasobie bramy translatora adresów sieciowych.

Zaktualizuj publiczne adresy IP w bramie translatora adresów sieciowych przypisanych przez użytkownika, wykonując następujące czynności:

1. W grupie zasobów wybierz zasób bramy translatora adresów sieciowych w portalu.

2. W obszarze Ustawienia na pasku nawigacyjnym po lewej stronie wybierz pozycję Wychodzący adres IP.

3. Aby zarządzać publicznymi adresami IP, wybierz niebieską zmianę.

4. Z poziomu konfiguracji Zarządzaj publicznymi adresami IP i prefiksami, która jest przesuwana z prawej strony, zaktualizuj przypisane publiczne adresy IP z menu rozwijanego lub wybierz pozycję Utwórz nowy publiczny adres IP.

5. Po zakończeniu aktualizowania konfiguracji adresów IP wybierz przycisk OK w dolnej części ekranu.

6. Po zniknięciu strony konfiguracji wybierz przycisk Zapisz, aby zapisać zmiany.

7. Powtórz kroki od 3 do 6, aby wykonać to samo w przypadku prefiksów publicznych adresów IP.

Zaktualizuj konfigurację czasomierza limitu czasu bezczynności w bramie translatora adresów sieciowych przypisanych przez użytkownika, wykonując następujące kroki:

1. W grupie zasobów wybierz zasób bramy translatora adresów sieciowych w portalu.

2. W obszarze Ustawienia na pasku nawigacyjnym po lewej stronie wybierz pozycję Konfiguracja.

3. Na pasku tekstowym limitu czasu bezczynności protokołu TCP (w minutach) dostosuj czasomierz limitu czasu bezczynności (czasomierz można skonfigurować 4–120 minut).

4. Po zakończeniu wybierz przycisk Zapisz.

Uwaga

Zwiększenie limitu czasu bezczynności protokołu TCP do dłuższego niż 4 minuty może zwiększyć ryzyko wyczerpania portów SNAT.

Azure Firewall

Wyczerpanie źródłowego tłumaczenia adresów sieciowych (SNAT) podczas nawiązywania połączenia wychodzącego za pomocą usługi Azure Firewall

Usługa Azure Firewall może zapewnić wychodzącą łączność internetową z sieciami wirtualnymi. Usługa Azure Firewall udostępnia tylko 2496 portów SNAT na publiczny adres IP. Chociaż usługa Azure Firewall może być skojarzona z maksymalnie 250 publicznymi adresami IP w celu obsługi ruchu wychodzącego, może być wymagana mniejsza liczba publicznych adresów IP na potrzeby nawiązywania połączenia wychodzącego. Wymaganie dotyczące ruchu wychodzącego z mniejszą liczbą publicznych adresów IP wynika z wymagań dotyczących architektury i ograniczeń dozwolonych według docelowych punktów końcowych.

Jedną z metod zapewniających większą skalowalność ruchu wychodzącego, a także zmniejszenie ryzyka wyczerpania portów SNAT jest użycie bramy translatora adresów sieciowych w tej samej podsieci za pomocą usługi Azure Firewall. Aby uzyskać więcej informacji na temat konfigurowania bramy translatora adresów sieciowych w podsieci usługi Azure Firewall, zobacz Integrowanie bramy translatora adresów sieciowych z usługą Azure Firewall. Aby uzyskać więcej informacji na temat sposobu działania bramy translatora adresów sieciowych z usługą Azure Firewall, zobacz Skalowanie portów SNAT za pomocą usługi Azure NAT Gateway.

Uwaga

Brama translatora adresów sieciowych nie jest obsługiwana w architekturze vWAN. Bramy translatora adresów sieciowych nie można skonfigurować do podsieci usługi Azure Firewall w koncentratonie vWAN.

Azure Databricks

Jak używać bramy translatora adresów sieciowych do nawiązywania połączenia wychodzącego z klastra usługi Databricks

Brama translatora adresów sieciowych może służyć do nawiązywania połączenia wychodzącego z klastra usługi Databricks podczas tworzenia obszaru roboczego usługi Databricks. Bramę translatora adresów sieciowych można wdrożyć w klastrze usługi Databricks na jeden z dwóch sposobów:

• Po włączeniu opcji Bezpieczny klaster Połączenie ivity (brak publicznego adresu IP) w domyślnej sieci wirtualnej tworzonej przez usługę Azure Databricks usługa Azure Databricks automatycznie wdraża bramę translatora adresów sieciowych w celu połączenia wychodzącego z podsieci obszaru roboczego z Internetem. Usługa Azure Databricks tworzy ten zasób bramy translatora adresów sieciowych w grupie zasobów zarządzanych i nie można zmodyfikować tej grupy zasobów ani żadnych innych zasobów wdrożonych w niej.

• Po wdrożeniu obszaru roboczego usługi Azure Databricks we własnej sieci wirtualnej (za pośrednictwem iniekcji sieci wirtualnej) można wdrożyć i skonfigurować bramę translatora adresów sieciowych w obu podsieciach obszaru roboczego, aby zapewnić łączność wychodzącą za pośrednictwem bramy translatora adresów sieciowych. To rozwiązanie można zaimplementować przy użyciu szablonu platformy Azure lub w portalu.

Następne kroki

Jeśli występują problemy z bramą translatora adresów sieciowych, które nie są rozwiązane w tym artykule, prześlij opinię za pośrednictwem usługi GitHub za pośrednictwem dolnej części tej strony. Jak najszybciej omówimy Twoją opinię, aby ulepszyć środowisko naszych klientów.

Aby dowiedzieć się więcej o bramie translatora adresów sieciowych, zobacz:

• Brama translatora adresów sieciowych platformy Azure

• Zasób bramy translatora adresów sieciowych

• Metryki i alerty dotyczące zasobu bramy translatora adresów sieciowych