Часто задаваемые вопросы о шлюзе NAT Azure

Ниже приведены ответы на распространенные вопросы об использовании шлюза NAT Azure.

Основы шлюза NAT Azure

Что такое NAT-шлюз Azure?

Шлюз NAT Azure — это полностью управляемое решение для подключения к исходящему трафику для виртуальных сетей Azure. Чтобы обеспечить безопасное и масштабируемое исходящее подключение, подключите шлюз NAT к подсетям в виртуальной сети и по крайней мере к одному статическому общедоступному IP-адресу.

Что такое цены на шлюз Azure NAT?

См . цены на шлюз Azure NAT.

Каковы известные ограничения шлюза Azure NAT?

См . ограничения шлюза NAT Azure.

Сколько ресурсов шлюза NAT разрешено для каждой подписки?

Количество ресурсов шлюза NAT, разрешенных для каждой подписки на каждый регион, зависит от типа категории предложения, например бесплатной пробной версии, оплаты по мере использования, поставщик облачных решений (CSP) и Соглашение Enterprise. Соглашение Enterprise и типы предложений CSP могут содержать до 1000 ресурсов шлюза NAT. Спонсируемые и оплачиваемые типы предложений могут содержать до 100 ресурсов шлюза NAT. Все другие типы предложений, такие как бесплатная пробная версия, могут содержать до 15 ресурсов шлюза NAT.

Можно ли использовать шлюз NAT между подписками?

Нет, ресурс шлюза NAT нельзя использовать с несколькими подписками одновременно. Пошаговые инструкции см. в статье "Создание и настройка шлюза NAT после перемещения региона".

Можно ли переместить шлюз NAT из региона или подписки или группы ресурсов в другую?

Нет, шлюз NAT нельзя перемещать между подписками, регионами или группами ресурсов. Для другой подписки, региона или группы ресурсов необходимо создать новый шлюз NAT.

Можно ли использовать шлюз NAT для подключения к входящего трафика?

Шлюз NAT обеспечивает исходящее подключение из виртуальной сети. Возврат трафика в прямом ответе на исходящий поток также может передаваться через шлюз NAT. Входящий трафик непосредственно из Интернета не может передаваться через шлюз NAT.

Как получить журналы для ресурса шлюза NAT?

Журналы потоков виртуальной сети — это функция Azure Наблюдатель за сетями, которая регистрирует сведения о IP-трафике, который проходит через виртуальную сеть. Потоковые данные из журналов потоков виртуальной сети отправляются в служба хранилища Azure. Оттуда вы можете получить доступ к данным и экспортировать их в любое средство визуализации, решение для управления сведениями о безопасности и событиями (SIEM) или систему обнаружения вторжений (IDS).

Журналы потоков виртуальной сети предоставляют сведения о подключении для виртуальных машин. Сведения о подключении содержат исходный IP-адрес и порт, конечный IP-адрес и порт, а также состояние подключения. Также регистрируются направление потока трафика и размер трафика в количестве пакетов и отправленных байтов. Исходный IP-адрес и порт, указанный в журнале потоков виртуальной сети, предназначен для виртуальной машины, а не для шлюза NAT.

Общие рекомендации по созданию журналов потоков виртуальной сети и управлению ими см. в разделе "Управление журналами потоков виртуальной сети".

Разделы справки удалить ресурс шлюза NAT?

Чтобы удалить ресурс шлюза NAT, ресурс должен быть удален из подсети. После отключения ресурса шлюза NAT от всех подсетей его можно удалить. Инструкции см. в разделе "Удаление ресурса шлюза NAT" из существующей подсети и удаление ресурса.

Поддерживает ли шлюз NAT фрагментацию IP-адресов?

Нет, шлюз NAT не поддерживает фрагментацию IP-адресов для протокола управления передачей (TCP) или протокола пользовательской диаграммы данных (UDP).

Метрики шлюза NAT

Какова разница между счетчиком подключений SNAT и метриками количества подключений SNAT для шлюза NAT?

Метрика счетчика подключений SNAT показывает количество новых подключений преобразования сетевых адресов источника (SNAT), сделанных в секунду. Метрика "Общее число подключений SNAT" показывает общее количество активных подключений к ресурсу шлюза NAT.

Как просмотреть использование портов SNAT в шлюзе NAT?

Для шлюза NAT нет метрик использования портов SNAT. Используйте метрики счетчика подключений SNAT и общего числа подключений SNAT, чтобы оценить емкость SNAT ресурса шлюза NAT.

Как сохранить долгосрочные метрики шлюза NAT?

Метрики шлюза NAT можно получить с помощью REST API метрик. Кроме того, можно выбрать общий доступ и загрузить в Excel из области метрик шлюза NAT в портал Azure.

Можно ли получить метрики шлюза NAT с помощью параметров диагностики?

Нет, метрики шлюза NAT нельзя экспортировать с помощью параметров диагностики. Метрики шлюза NAT являются многомерными. Параметры диагностики не поддерживают экспорт многомерных метрик.

Исходящее подключение с шлюзом NAT

Как использовать шлюз NAT для подключения к исходящему трафику в настройке, где сейчас используется другая служба для исходящего трафика?

Шлюз NAT автоматически подключается к Интернету после подключения к общедоступному IP-адресу или префиксу и подсети. Шлюз NAT имеет приоритет над Azure Load Balancer с правилами исходящего трафика, общедоступными IP-адресами уровня экземпляра на виртуальных машинах и Брандмауэр Azure для исходящего подключения.

Нарушаются ли подключения после подключения шлюза NAT к подсети, где другая служба в настоящее время используется для исходящего подключения?

Нет, нет нарушений в подключениях. Существующие подключения с предыдущей исходящей службой (Load Balancer, Брандмауэр Azure, общедоступные IP-адреса уровня экземпляра) продолжают работать до закрытия этих подключений. После добавления шлюза NAT в подсеть виртуальной сети все новые подключения используют шлюз NAT для выполнения исходящих подключений.

Может ли общедоступный IP-адрес шлюза NAT подключаться непосредственно к частному IP-адресу через Интернет?

Нет, общедоступный IP-адрес шлюза NAT не может подключаться непосредственно к частному IP-адресу через Интернет.

Если для ресурса шлюза NAT назначено несколько общедоступных IP-адресов, поток трафика нарушается при удалении одного из IP-адресов?

Все активные подключения, связанные с общедоступным IP-адресом, завершаются при удалении общедоступного IP-адреса. Если ресурс шлюза NAT содержит несколько общедоступных IP-адресов, новый трафик распределяется между назначенными IP-адресами.

Что означает, когда отображается IP-адрес, используемый для подключения к исходящему трафику, который отличается от общедоступного IP-адреса шлюза NAT?

Существует несколько возможных причин, по которым можно увидеть другой IP-адрес, используемый для подключения к исходящему трафику, чем тот, который связан с шлюзом NAT. Сведения об устранении неполадок см. в руководстве по устранению неполадок с подключением шлюза NAT Azure.

Маршруты трафика

Что происходит с шлюзом NAT, если я принудительно перенаправлю 0.0.0.0/0 (Интернет) в NVA, Azure VPN-шлюз или Azure ExpressRoute?

Шлюз NAT использует системный интернет-путь подсети по умолчанию для маршрутизации трафика в Интернет. Трафик не проходит через шлюз NAT, если определяемый пользователем маршрут создается для направления трафика 0.0.0.0/0 к сетевому сетевому устройству типа следующего прыжка (NVA) или шлюзу виртуальной сети.

Какая конфигурация должна быть создана в таблице маршрутов подсети для подключения исходящего трафика к шлюзу NAT?

Для начала подключения исходящего трафика к шлюзу NAT не требуется конфигурация в таблице маршрутов подсети. Когда шлюз NAT назначается подсети, шлюз NAT становится типом следующего прыжка для всего трафика, предназначенного для Интернета. Трафик может начать подключение исходящего трафика к Интернету, как только шлюз NAT назначен подсети и по крайней мере один общедоступный IP-адрес.

Конфигурации шлюза NAT

Можно ли развернуть шлюз NAT без общедоступного IP-адреса или подсети?

Да, шлюз NAT можно развернуть без общедоступного IP-адреса или префикса и подсети. Однако он не работает, пока не вложите по крайней мере один общедоступный IP-адрес или префикс и подсеть.

Статически ли общедоступный IP-адрес шлюза NAT?

Да, общедоступные IP-адреса в шлюзе NAT исправлены и не изменяются.

Сколько общедоступных IP-адресов можно подключить к шлюзу NAT?

Шлюз NAT может использовать до 16 общедоступных IP-адресов. Шлюз NAT может использовать любое сочетание общедоступных IP-адресов и префиксов общедоступного IP-адреса, в общей сложности 16 адресов. Шлюз NAT может поддерживать следующие размеры префикса: /28 (16 адресов), /29 (8 адресов), /30 (4 адреса) и /31 (2 адреса).

Как использовать настраиваемые префиксы IP-адресов (BYOIP) с шлюзом NAT?

Вы можете использовать префиксы и адреса общедоступных IP-адресов, производные от пользовательских префиксов IP-адресов, также известных как собственный IP-адрес (BYOIP) с шлюзом NAT. Дополнительные сведения см. в статье о префиксе пользовательского IP-адреса (BYOIP).

Можно ли использовать общедоступный IP-адрес IPv6 с шлюзом NAT?

Нет, шлюз NAT не поддерживает общедоступные IP-адреса IPv6. Однако можно использовать конфигурацию с двумя стеками с шлюзом NAT и подсистемой балансировки нагрузки для обеспечения исходящего подключения IPv4 и IPv6. Дополнительные сведения см. в статье Настройка исходящего подключения с двумя стеками с помощью шлюза NAT и общедоступной подсистемы балансировки нагрузки.

Можно ли использовать общедоступные IP-адреса с параметром маршрутизации "Интернет" с шлюзом NAT?

Нет, шлюз NAT не поддерживает общедоступные IP-адреса с предпочтениями маршрутизации "Интернет". Список служб Azure, поддерживающих тип конфигурации маршрутизации "Интернет" в общедоступных IP-адресах, см. в статье "Поддерживаемые службы для маршрутизации через общедоступный Интернет".

Можно ли использовать общедоступные IP-адреса с поддержкой защиты от атак DDoS с шлюзом NAT?

Нет, шлюз NAT не поддерживает общедоступные IP-адреса с включенной защитой от атак DDoS. Дополнительные сведения см. в разделе об ограничениях DDoS.

Можно ли изменить общедоступные IP-адреса существующего шлюза NAT?

Нет, нельзя изменить адрес существующего общедоступного IP-адреса. Если необходимо изменить общедоступный IP-адрес шлюза NAT, ознакомьтесь с инструкциями по добавлению или удалению общедоступного IP-адреса .

Если для шлюза NAT назначено несколько общедоступных IP-адресов, какие общедоступные IP-адреса используют ресурсы подсети?

Ресурсы подсети могут использовать любой из общедоступных IP-адресов, подключенных к шлюзу NAT, для исходящего подключения. Каждый раз, когда новое исходящее подключение выполняется через шлюз NAT, исходящий общедоступный IP-адрес выбирается случайным образом.

Можно ли назначить один из общедоступных IP-адресов шлюза NAT определенной виртуальной машине или подсети, чтобы использовать только для подключения к исходящему трафику?

№ Назначение IP-адресов определенным подсетям или экземплярам виртуальных машин в подсети, настроенной шлюзом NAT, не поддерживается.

Можно ли подключить шлюз NAT к нескольким виртуальным сетям?

Нет, шлюз NAT не может быть подключен к нескольким виртуальным сетям.

Можно ли подключить шлюз NAT к нескольким подсетям?

Да, шлюз NAT может быть связан с до 800 подсетей в виртуальной сети. Необязательно связывать его со всеми подсетями в виртуальной сети.

Можно ли подключить шлюз NAT к подсети шлюза?

Нет, шлюз NAT не может быть связан с подсетью шлюза.

Можно ли подключить несколько шлюзов NAT к одной подсети?

Нет, шлюз NAT работает на основе свойств подсети, поэтому несколько шлюзов NAT не могут быть присоединены к одной подсети.

Работает ли шлюз NAT в сетевой архитектуре концентратора и периферийной сети?

Трафик из периферийных виртуальных сетей можно направлять в централизованную виртуальную сеть концентратора через NVA или Брандмауэр Azure. Затем шлюз NAT может предоставлять исходящее подключение для всех периферийных виртуальных сетей из централизованной центральной сети. Сведения о настройке шлюза NAT в центральной и периферийной архитектуре с NVAs см. в статье "Использование шлюза NAT в центральной и периферийной сети". Сведения об использовании шлюза NAT с Брандмауэр Azure в центральной и периферийной настройке см. в статье "Интеграция шлюза NAT с Брандмауэр Azure".

Зоны доступности

Как шлюз NAT работает с зонами доступности?

Шлюз NAT может быть зональным или помещен в зону без зоны. Дополнительные сведения см. в статье "Шлюз NAT Azure" и зоны доступности. Дополнительно:

  • Шлюз NAT без зоны помещается в зону для вас в Azure.
  • Зональный шлюз NAT всегда связан с определенной зоной, которую пользователь выбрал при создании этого шлюза NAT.
  • Зональная конфигурация шлюза NAT не может быть изменена после развертывания.

Можно ли подключить к шлюзу NAT общедоступный IP-адрес, избыточный между зонами?

Общедоступные IP-адреса и префиксы, избыточные между зонами, могут быть присоединены к шлюзу NAT без зоны или шлюзу NAT, назначенному определенной зоне доступности. Дополнительные сведения см. в статье "Шлюз NAT Azure" и зоны доступности.

Шлюз NAT Azure и основные ресурсы SKU

Совместимы ли базовые ресурсы SKU (базовая подсистема балансировки нагрузки и основные общедоступные IP-адреса) с шлюзом NAT?

Нет, шлюз NAT совместим со стандартными ресурсами SKU. Дополнительные сведения см. в статье "Основы шлюза NAT Azure". Обновите базовый балансировщик нагрузки и базовый общедоступный IP-адрес до стандартного, чтобы работать с шлюзом NAT. Дополнительные сведения:

Время ожидания подключения и таймеры

Что такое время ожидания простоя для шлюза NAT?

Для TCP-подключений таймер времени ожидания по умолчанию по умолчанию составляет 4 минуты и настраивается до 120 минут. Если вам нужно поддерживать длинные потоки подключения, используйте хранимые протоколы TCP вместо расширения таймера ожидания простоя. Хранимые протоколы TCP поддерживают активные подключения в течение длительного периода.

Таймер времени ожидания простоя UDP имеет значение 4 минуты и не настраивается.

Что такое поведение повторного использования порта SNAT шлюза NAT?

При закрытии подключения TCP/UDP порт помещается в период охлаждения до повторного использования для подключения к той же конечной точке назначения. Дополнительные сведения см. в статье О повторном использовании таймеров портов SNAT. Подключения, которые собираются в другом месте назначения, могут сразу использовать порт SNAT. Дополнительные сведения см. в статье SNAT с шлюзом Azure NAT.

Интеграция шлюза NAT с другими службами Azure

Можно ли использовать шлюз NAT со службой приложение Azure?

Да, шлюз NAT можно использовать со службой приложение Azure, чтобы разрешить приложениям направлять исходящий трафик в Интернет из виртуальной сети. Чтобы использовать эту интеграцию между шлюзом NAT и службой приложение Azure, необходимо включить интеграцию региональной виртуальной сети. Инструкции по включению интеграции виртуальной сети с шлюзом NAT см. в статье об интеграции шлюза NAT Azure.

Можно ли использовать шлюз NAT с Служба Azure Kubernetes?

Да. Дополнительные сведения об интеграции шлюза NAT с Служба Azure Kubernetes см. в разделе "Управляемый шлюз NAT".

Когда шлюз NAT используется для подключения из кластера AKS к серверу API AKS?

Для управления кластером AKS вы взаимодействуете с сервером API. При создании не частного кластера, разрешающего полное доменное имя сервера API, сервер API по умолчанию назначает общедоступный IP-адрес. После подключения шлюза NAT к подсетям кластера AKS шлюз NAT будет использоваться для подключения к общедоступному IP-адресу сервера API AKS. Дополнительные сведения и рекомендации по проектированию см. в статье "Доступ к серверу API AKS".

Можно ли использовать шлюз NAT с Брандмауэр Azure?

Да, шлюз NAT можно использовать с Брандмауэр Azure. Если Брандмауэр Azure используется с шлюзом NAT, он должен находиться в зональной конфигурации. Шлюз NAT работает с брандмауэром, избыточным между зонами, но в настоящее время не рекомендуется развертывать. Дополнительные сведения об интеграции шлюза NAT с Брандмауэр Azure см. в статье Масштабирование портов SNAT с помощью шлюза NAT.

Можно ли использовать шлюз NAT с конечными точками службы виртуальная сеть Azure или Приватный канал Azure?

Да, добавление шлюза NAT в подсеть с конечными точками службы не влияет на конечные точки. Конечные точки службы для виртуальной сети обеспечивают более конкретный маршрут для целевого трафика службы Azure, который они представляют. Трафик для конечной точки службы проходит магистраль Azure вместо Интернета. Мы рекомендуем Приватный канал через конечные точки службы при подключении к платформе Azure как услуга (PaaS) непосредственно из сети Azure.

Можно ли использовать шлюз NAT с рабочей областью Azure Databricks?

Да. Если включить безопасное подключение к кластеру в рабочей области, шлюз NAT можно использовать с Azure Databricks одним из двух способов:

  • При использовании безопасного подключения к кластеру с виртуальной сетью по умолчанию, которую создает Azure Databricks, Azure Databricks автоматически создает шлюз NAT для исходящего трафика из подсетей рабочей области. Шлюз NAT создается в управляемой группе ресурсов, управляемой Azure Databricks. Вы не можете изменить эту группу ресурсов или какие-либо ресурсы, подготовленные в ней.
  • Если включить безопасное подключение к кластеру в рабочей области, использующей внедрение виртуальной сети, можно развернуть шлюз NAT в обеих подсетях рабочей области, чтобы обеспечить исходящее подключение. В этом случае можно изменить конфигурацию для настраиваемых требований к исходящему подключению. Дополнительные сведения см. в разделе "Безопасное подключение к кластеру".

Следующие шаги

Если ваш вопрос не указан здесь, отправьте отзыв об этой странице с вашим вопросом. Эта информация создаст проблему GitHub для группы продуктов, чтобы убедиться, что все наши важные вопросы клиента отвечают.