Устранение неполадок исходящих подключений с помощью шлюза NAT и служб Azure

  • Статья

В статье приведено руководство по устранению неполадок с подключением при использовании шлюза NAT с другими службами Azure, включая следующие:

Службы приложений Azure

Отключена интеграция региональной виртуальной сети служб приложений Azure

Шлюз NAT можно использовать со службами приложений Azure, чтобы приложениям могли выполнять исходящие вызовы из виртуальной сети. Чтобы использовать эту интеграцию между службами приложений Azure и Шлюзом NAT, необходимо включить интеграцию региональной виртуальной сети. Узнайте как работает интеграция региональной виртуальной сети.

Чтобы использовать Шлюз NAT со службами приложений Azure, сделайте следующее:

  1. Убедитесь, что приложения настроены на интеграцию с виртуальной сетью, см. статью "Включить интеграцию виртуальной сети".

  2. Убедитесь, что для интеграции виртуальной сети включено Маршрутизировать все. См. раздел Настройка маршрутизации интеграции виртуальной сети.

  3. Создайте ресурс Шлюза NAT.

  4. Создайте новый общедоступный IP-адрес или прикрепите существующий в сети к Шлюзу NAT.

  5. Назначьте шлюз NAT той же подсети, используемой для интеграции виртуальной сети с приложениями.

Пошаговые инструкции по настройке шлюза NAT с интеграцией виртуальной сети см. в статье Настройка интеграции шлюза NAT.

Важные примечания об интеграции шлюза NAT и служб приложений Azure:

  • Интеграция виртуальной сети не обеспечивает входящий частный доступ к вашему приложению из виртуальной сети.

  • Трафик интеграции с виртуальной сетью не отображается в журналах потоков azure Наблюдатель за сетями или группы безопасности сети (NSG) из-за характера его работы.

Службы приложений не используют общедоступный IP-адрес шлюза NAT для исходящих подключений

Службы приложений по-прежнему могут подключаться к Интернету, даже если интеграция с виртуальной сетью не включена. По умолчанию приложения, размещаемые в Службе приложений, доступны напрямую через Интернет и могут обращаться только к размещенным в Интернете конечным точкам. Дополнительные сведения см. в разделе Служба приложений Сетевые функции.

Если вы заметите, что IP-адрес, используемый для подключения к исходящему трафику, не является общедоступным IP-адресом или адресами шлюза NAT, проверка включена интеграция виртуальной сети. Убедитесь, что шлюз NAT настроен для подсети, используемой для интеграции с приложениями.

Чтобы убедиться, что веб-приложения используют общедоступные IP шлюза NAT, проверьте связь (ping) с веб-приложениями на виртуальной машине и запись сетевого трафика.

Служба Azure Kubernetes

Развертывание шлюза NAT с помощью кластеров Служба Azure Kubernetes (AKS)

Шлюз NAT можно развертывать с кластерами AKS, чтобы использовать исходящие подключения в явном виде. Существуют два варианта такого развертывания:

  • Управляемый шлюз NAT: Azure развертывает шлюз NAT во время создания кластера AKS. AKS управляет шлюзом NAT.

  • Шлюз NAT, назначенный пользователем: вы развертываете шлюз NAT в существующей виртуальной сети для кластера AKS.

Дополнительные сведения см. в разделе Управляемый шлюз NAT.

Невозможно обновить IP-адреса шлюза NAT или таймер для тайм-аута простоя кластера AKS

Общедоступные IP-адреса и таймер времени ожидания простоя для шлюза NAT можно обновить с az aks update помощью команды только для управляемого шлюза NAT.

Если вы развернули шлюз NAT, назначенный пользователем, в подсетях AKS, вы не можете использовать az aks update команду для обновления общедоступных IP-адресов или таймера ожидания простоя. Пользователь управляет шлюзом NAT, назначенным пользователем. Эти конфигурации необходимо обновить вручную на ресурсе шлюза NAT.

Чтобы обновить общедоступные IP-адреса на шлюзе NAT, назначаемом пользователем, выполните следующие действия:

  1. В группе ресурсов выберите ресурс шлюза NAT на портале.

  2. В разделе Параметры на панели навигации слева выберите Исходящий IP-адрес.

  3. Чтобы управлять общедоступными IP-адресами, выберите синее изменение.

  4. В раскрываемой справа конфигурации "Управление общедоступными IP-адресами и префиксами" обновите назначенные IP в раскрывающемся меню или выберите Создание общедоступного IP-адреса.

  5. Обновив конфигурацию IP, нажмите кнопку ОК внизу экрана.

  6. После исчезновения страницы конфигурации нажмите кнопку "Сохранить", чтобы сохранить изменения.

  7. Повторите шаги 3– 6, чтобы сделать то же самое для префиксов общедоступного IP-адреса.

Обновите конфигурацию таймера для тайм-аута простоя в назначаемом пользователем шлюзе NAT, выполнив следующие действия:

  1. В группе ресурсов выберите ресурс шлюза NAT на портале.

  2. В разделе Параметры на панели навигации слева выберите Конфигурация.

  3. В текстовом поле тайм-аута простоя TCP (в минутах) настройте соответствующий таймер в диапазоне от 4 до 120 минут.

  4. Когда все будет готово, нажмите кнопку Сохранить.

Примечание.

Если установить тайм-аут более 4 минут, может увеличиться риск нехватки портов SNAT.

Брандмауэр Azure

Исчерпание исходного сетевого адреса (SNAT) при подключении исходящего трафика с Брандмауэр Azure

Брандмауэр Azure может предоставлять исходящее подключение к Интернету к виртуальным сетям. Он предоставляет только 2496 портов SNAT на каждый общедоступный IP-адрес. Хотя Брандмауэр Azure можно связать до 250 общедоступных IP-адресов для обработки исходящего трафика, для подключения к исходящему трафику может потребоваться меньше общедоступных IP-адресов. Требование для исходящего трафика с меньшим количеством общедоступных IP-адресов обусловлено архитектурными требованиями и ограничениями списка разрешений конечными точками назначения.

Одним из способов обеспечения большей масштабируемости исходящего трафика, а также снижения риска исчерпания портов SNAT является использование шлюза NAT в той же подсети с Брандмауэр Azure. Дополнительные сведения о настройке шлюза NAT в подсети Брандмауэр Azure см. в статье интеграции шлюза NAT с Брандмауэр Azure. Дополнительные сведения о работе шлюза NAT с Брандмауэр Azure см. в статье Масштабирование портов SNAT с помощью шлюза Azure NAT.

Примечание.

Шлюз NAT не поддерживается в архитектуре vWAN. Шлюз NAT не может быть настроен на Брандмауэр Azure подсеть в концентраторе виртуальной глобальной сети.

Azure Databricks

Использование шлюза NAT для исходящего подключения из кластера Databricks

Вы можете использовать шлюз NAT для исходящего подключения из кластера Databricks при создании рабочей области Databricks. Развернуть шлюз NAT в кластере Databricks можно двумя способами:

  • При включении защиты кластера Подключение ivity (нет общедоступного IP-адреса) в виртуальной сети по умолчанию, которую создает Azure Databricks, Azure Databricks автоматически развертывает шлюз NAT для подключения исходящего трафика из подсетей рабочей области к Интернету. Azure Databricks создает этот ресурс шлюза NAT в управляемой группе ресурсов, и вы не можете изменить эту группу ресурсов или другие ресурсы, развернутые в ней.

  • После развертывания рабочей области Azure Databricks в собственной виртуальной сети (с помощью внедрения виртуальной сети) можно развернуть и настроить шлюз NAT в обеих подсетях рабочей области, чтобы обеспечить исходящее подключение через шлюз NAT. Это решение можно реализовать с помощью шаблона Azure или портала Azure.

Следующие шаги

Если у вас возникли проблемы с шлюзом NAT, не устраненным в этой статье, отправьте отзыв через GitHub в нижней части этой страницы. Мы будем обращаться к вашим отзывам как можно скорее, чтобы улучшить взаимодействие с нашими клиентами.

Дополнительные сведения о шлюзе NAT см. в следующих статьях: