Часто задаваемые вопросы о шлюзе NAT Azure

Шлюз NAT Azure — это полностью управляемое решение для подключения к исходящему трафику для виртуальных сетей Azure. Чтобы обеспечить безопасное и масштабируемое исходящее подключение, подключите шлюз NAT к подсетям в виртуальной сети и по крайней мере к одному статическому общедоступному IP-адресу.

См . цены на шлюз Azure NAT.

См . ограничения шлюза NAT Azure.

Количество ресурсов шлюза NAT, разрешенных для каждой подписки на каждый регион, зависит от типа категории предложения, например бесплатной пробной версии, оплаты по мере использования, поставщик облачных решений (CSP) и Соглашение Enterprise. Соглашение Enterprise и типы предложений CSP могут содержать до 1000 ресурсов шлюза NAT. Спонсируемые и оплачиваемые типы предложений могут содержать до 100 ресурсов шлюза NAT. Все другие типы предложений, такие как бесплатная пробная версия, могут содержать до 15 ресурсов шлюза NAT.

Нет, ресурс шлюза NAT нельзя использовать с несколькими подписками одновременно. Пошаговые инструкции см. в статье "Создание и настройка шлюза NAT после перемещения региона".

Нет, шлюз NAT нельзя перемещать между подписками, регионами или группами ресурсов. Для другой подписки, региона или группы ресурсов необходимо создать новый шлюз NAT.

Шлюз NAT обеспечивает исходящее подключение из виртуальной сети. Возврат трафика в прямом ответе на исходящий поток также может передаваться через шлюз NAT. Входящий трафик непосредственно из Интернета не может передаваться через шлюз NAT.

Журналы потоков группы безопасности сети (NSG) можно использовать для мониторинга потока трафика из ресурса в подсети или виртуальной сети с помощью шлюза NAT для исходящего трафика.

Используйте Центр безопасности Azure и следуйте рекомендациям по защите сети, чтобы обезопасить ресурсы сети в Azure. Включите журналы потоков NSG и отправьте журналы в учетную запись служба хранилища Azure для аудита. Вы можете также отправить журналы потоков в рабочую область Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений о шаблонах трафика в облаке Azure. К преимуществам Аналитики трафика относятся возможность визуализировать активность сети, выявлять гиперобъекты и угрозы безопасности, изучать шаблоны потока трафика и точно определять ошибки конфигурации сети.

Чтобы удалить ресурс шлюза NAT, ресурс должен быть удален из подсети. После отключения ресурса шлюза NAT от всех подсетей его можно удалить. Инструкции см. в разделе "Удаление ресурса шлюза NAT" из существующей подсети и удаление ресурса.

Нет, шлюз NAT не поддерживает фрагментацию IP-адресов для протокола управления передачей (TCP) или протокола пользовательской диаграммы данных (UDP).

Метрика счетчика Подключение ion SNAT показывает количество новых подключений преобразования сетевых адресов источника (SNAT), сделанных в секунду. Метрика "Общее число SNAT Подключение ion Count" показывает общее количество активных подключений к ресурсу шлюза NAT.

Для шлюза NAT нет метрик использования портов SNAT. Используйте метрики SNAT Подключение ion Count и Total SNAT Подключение ion Count, чтобы оценить емкость SNAT ресурса шлюза NAT.

Метрики шлюза NAT можно получить с помощью REST API метрик. Кроме того, можно выбрать общий доступ и загрузить в Excel из области метрик шлюза NAT в портал Azure.

Нет, метрики шлюза NAT нельзя экспортировать с помощью параметров диагностики. Метрики шлюза NAT являются многомерными. Параметры диагностики не поддерживают экспорт многомерных метрик.

Шлюз NAT автоматически подключается к Интернету после подключения к общедоступному IP-адресу или префиксу и подсети. Шлюз NAT имеет приоритет над Azure Load Balancer с правилами исходящего трафика, общедоступными IP-адресами уровня экземпляра на виртуальных машинах и Брандмауэр Azure для исходящего подключения.

Нет, нет нарушений в подключениях. Существующие подключения с предыдущей исходящей службой (Load Balancer, Брандмауэр Azure, общедоступные IP-адреса уровня экземпляра) продолжают работать до закрытия этих подключений. После добавления шлюза NAT в подсеть виртуальной сети все новые подключения используют шлюз NAT для выполнения исходящих подключений.

Нет, общедоступный IP-адрес шлюза NAT не может подключаться непосредственно к частному IP-адресу через Интернет.

Все активные подключения, связанные с общедоступным IP-адресом, завершаются при удалении общедоступного IP-адреса. Если ресурс шлюза NAT содержит несколько общедоступных IP-адресов, новый трафик распределяется между назначенными IP-адресами.

Существует несколько возможных причин, по которым можно увидеть другой IP-адрес, используемый для подключения к исходящему трафику, чем тот, который связан с шлюзом NAT. Сведения об устранении неполадок см. в руководстве по устранению неполадок с подключением шлюза NAT Azure.

Шлюз NAT использует системный интернет-путь подсети по умолчанию для маршрутизации трафика в Интернет. Трафик не проходит через шлюз NAT, если определяемый пользователем маршрут направляет трафик 0.0.0.0/0/0 к виртуальной сети типа следующего прыжка виртуальной (модуль) (NVA) или шлюзу виртуальной сети.

Для начала подключения исходящего трафика к шлюзу NAT не требуется конфигурация в таблице маршрутов подсети. Когда шлюз NAT назначается подсети, шлюз NAT становится типом следующего прыжка для всего трафика, предназначенного для Интернета. Трафик может начать подключение исходящего трафика к Интернету, как только шлюз NAT назначен подсети и по крайней мере один общедоступный IP-адрес.

Да, шлюз NAT можно развернуть без общедоступного IP-адреса или префикса и подсети. Однако он не работает, пока не вложите по крайней мере один общедоступный IP-адрес или префикс и подсеть.

Да, общедоступные IP-адреса в шлюзе NAT исправлены и не изменяются.

Шлюз NAT может использовать до 16 общедоступных IP-адресов. Шлюз NAT может использовать любое сочетание общедоступных IP-адресов и префиксов общедоступного IP-адреса, в общей сложности 16 адресов. Шлюз NAT может поддерживать следующие размеры префикса: /28 (16 адресов), /29 (8 адресов), /30 (4 адреса) и /31 (2 адреса).

Вы можете использовать префиксы и адреса общедоступных IP-адресов, производные от пользовательских префиксов IP-адресов, также известных как собственный IP-адрес (BYOIP) с шлюзом NAT. Дополнительные сведения см. в статье о префиксе пользовательского IP-адреса (BYOIP).

Нет, шлюз NAT не поддерживает общедоступные IP-адреса IPv6. Однако можно использовать конфигурацию с двумя стеками с шлюзом NAT и подсистемой балансировки нагрузки для обеспечения исходящего подключения IPv4 и IPv6. Дополнительные сведения см. в статье Настройка исходящего подключения с двумя стеками с помощью шлюза NAT и общедоступной подсистемы балансировки нагрузки.

Нет, шлюз NAT не поддерживает общедоступные IP-адреса с предпочтениями маршрутизации "Интернет". Список служб Azure, поддерживающих тип конфигурации маршрутизации "Интернет" в общедоступных IP-адресах, см. в статье "Поддерживаемые службы для маршрутизации через общедоступный Интернет".

Нет, шлюз NAT не поддерживает общедоступные IP-адреса с включенной защитой от атак DDoS. Дополнительные сведения см. в разделе об ограничениях DDoS.

Нет, нельзя изменить адрес существующего общедоступного IP-адреса. Если необходимо изменить общедоступный IP-адрес шлюза NAT, ознакомьтесь с инструкциями по добавлению или удалению общедоступного IP-адреса .

Ресурсы подсети могут использовать любой из общедоступных IP-адресов, подключенных к шлюзу NAT, для исходящего подключения. Каждый раз, когда новое исходящее подключение выполняется через шлюз NAT, исходящий общедоступный IP-адрес выбирается случайным образом.

№ Назначение IP-адресов определенным подсетям или экземплярам виртуальных машин в подсети, настроенной шлюзом NAT, не поддерживается.

Нет, шлюз NAT не может быть подключен к нескольким виртуальным сетям.

Да, шлюз NAT может быть связан с до 800 подсетей в виртуальной сети. Необязательно связывать его со всеми подсетями в виртуальной сети.

Нет, шлюз NAT не может быть связан с подсетью шлюза.

Нет, шлюз NAT работает на основе свойств подсети, поэтому несколько шлюзов NAT не могут быть присоединены к одной подсети.

Трафик из периферийных виртуальных сетей можно направлять в централизованную виртуальную сеть концентратора через NVA или Брандмауэр Azure. Затем шлюз NAT может предоставлять исходящее подключение для всех периферийных виртуальных сетей из централизованной центральной сети. Сведения о настройке шлюза NAT в центральной и периферийной архитектуре с NVAs см. в статье "Использование шлюза NAT в центральной и периферийной сети". Сведения об использовании шлюза NAT с Брандмауэр Azure в центральной и периферийной настройке см. в статье "Интеграция шлюза NAT с Брандмауэр Azure".

Шлюз NAT может быть зональным или помещен в зону без зоны. Дополнительные сведения см. в статье "Шлюз NAT Azure" и зоны доступности. Дополнительно:

• Шлюз NAT без зоны помещается в зону для вас в Azure.
• Зональный шлюз NAT всегда связан с определенной зоной, которую пользователь выбрал при создании этого шлюза NAT.
• Зональная конфигурация шлюза NAT не может быть изменена после развертывания.

Общедоступные IP-адреса и префиксы, избыточные между зонами, могут быть присоединены к шлюзу NAT без зоны или шлюзу NAT, назначенному определенной зоне доступности. Дополнительные сведения см. в статье "Шлюз NAT Azure" и зоны доступности.

Нет, шлюз NAT совместим со стандартными ресурсами SKU. Дополнительные сведения см. в статье "Основы шлюза NAT Azure". Обновите базовый балансировщик нагрузки и базовый общедоступный IP-адрес до стандартного, чтобы работать с шлюзом NAT. Дополнительные сведения:

• Чтобы обновить базовую подсистему балансировки нагрузки до уровня "Стандартный", см. раздел "Обновление общедоступной подсистемы балансировки нагрузки Azure".
• Сведения об обновлении общедоступного IP-адреса до ценовой категории "Стандартный" см. в разделе Обновление общедоступного IP-адреса.
• Чтобы обновить базовый общедоступный IP-адрес с подключенной виртуальной машиной до уровня "Стандартный", ознакомьтесь с обновлением базового общедоступного IP-адреса с подключенной виртуальной машиной.

Для TCP-подключений таймер времени ожидания по умолчанию по умолчанию составляет 4 минуты и настраивается до 120 минут. Если вам нужно поддерживать длинные потоки подключения, используйте хранимые протоколы TCP вместо расширения таймера ожидания простоя. Хранимые протоколы TCP поддерживают активные подключения в течение длительного периода.

Таймер времени ожидания простоя UDP имеет значение 4 минуты и не настраивается.

При закрытии подключения TCP/UDP порт помещается в период охлаждения до повторного использования для подключения к той же конечной точке назначения. Дополнительные сведения см. в статье О повторном использовании таймеров портов SNAT. Подключение ions, которые собираются в другое место назначения, могут сразу использовать порт SNAT. Дополнительные сведения см. в статье SNAT с шлюзом Azure NAT.

Да, шлюз NAT можно использовать со службой приложение Azure, чтобы разрешить приложениям направлять исходящий трафик в Интернет из виртуальной сети. Чтобы использовать эту интеграцию между шлюзом NAT и службой приложение Azure, необходимо включить интеграцию региональной виртуальной сети. Инструкции по включению интеграции виртуальной сети с шлюзом NAT см. в статье об интеграции шлюза NAT Azure.

Да. Дополнительные сведения об интеграции шлюза NAT с Служба Azure Kubernetes см. в разделе "Управляемый шлюз NAT".

Да, шлюз NAT можно использовать с Брандмауэр Azure. Если Брандмауэр Azure используется с шлюзом NAT, он должен находиться в зональной конфигурации. Шлюз NAT работает с брандмауэром, избыточным между зонами, но в настоящее время не рекомендуется развертывать. Дополнительные сведения об интеграции шлюза NAT с Брандмауэр Azure см. в статье Масштабирование портов SNAT с помощью шлюза NAT.

Да, добавление шлюза NAT в подсеть с конечными точками службы не влияет на конечные точки. Конечные точки службы для виртуальной сети обеспечивают более конкретный маршрут для целевого трафика службы Azure, который они представляют. Трафик для конечной точки службы проходит магистраль Azure вместо Интернета. Мы рекомендуем Приватный канал через конечные точки службы при подключении к платформе Azure как услуга (PaaS) непосредственно из сети Azure.

Да. Если включить безопасное подключение к кластеру в рабочей области, шлюз NAT можно использовать с Azure Databricks одним из двух способов:

• При использовании безопасного подключения к кластеру с виртуальной сетью по умолчанию, которую создает Azure Databricks, Azure Databricks автоматически создает шлюз NAT для исходящего трафика из подсетей рабочей области. Шлюз NAT создается в управляемой группе ресурсов, управляемой Azure Databricks. Вы не можете изменить эту группу ресурсов или какие-либо ресурсы, подготовленные в ней.
• Если включить безопасное подключение к кластеру в рабочей области, использующей внедрение виртуальной сети, можно развернуть шлюз NAT в обеих подсетях рабочей области, чтобы обеспечить исходящее подключение. В этом случае можно изменить конфигурацию для настраиваемых требований к исходящему подключению. Дополнительные сведения см. в разделе "Безопасное подключение к кластеру".

Следующие шаги

Если ваш вопрос не указан здесь, отправьте отзыв об этой странице с вашим вопросом. Эта информация создаст проблему GitHub для группы продуктов, чтобы убедиться, что все наши важные вопросы клиента отвечают.