Felsöka utgående anslutning med NAT-gateway och Azure-tjänster

Den här artikeln innehåller vägledning om hur du felsöker anslutningsproblem när du använder NAT-gateway med andra Azure-tjänster, inklusive:

• Azure App Services

• Azure Kubernetes Service

• Azure Firewall

• Azure Databricks

Azure App Services

Regional integrering av virtuellt nätverk i Azure App Services har inaktiverats

NAT-gateway kan användas med Azure App Services för att tillåta program att göra utgående anrop från ett virtuellt nätverk. Om du vill använda den här integreringen mellan Azure-apptjänster och NAT-gateway måste regional integrering av virtuella nätverk vara aktiverad. Mer information finns i hur regional integrering av virtuella nätverk fungerar .

Följ dessa steg för att använda NAT-gateway med Azure App Services:

1. Se Till att dina program har konfigurerat integrering av virtuella nätverk. Se Aktivera integrering av virtuella nätverk.

2. Se Till att Route All är aktiverat för integreringen av det virtuella nätverket. Se Konfigurera routning för integrering av virtuella nätverk.

3. Skapa en NAT-gatewayresurs.

4. Skapa en ny offentlig IP-adress eller koppla en befintlig offentlig IP-adress i nätverket till NAT-gatewayen.

5. Tilldela NAT-gateway till samma undernät som används för integrering av virtuellt nätverk med dina program.

Stegvisa instruktioner för hur du konfigurerar NAT-gateway med integrering av virtuella nätverk finns i Konfigurera NAT-gatewayintegrering.

Viktig information om NAT-gatewayen och Azure App Services-integrering:

• Integrering av virtuella nätverk ger inte inkommande privat åtkomst till din app från det virtuella nätverket.

• Trafik för integrering av virtuella nätverk visas inte i Flödesloggar för Azure Network Watcher eller Nätverkssäkerhetsgrupp (NSG) på grund av hur den fungerar.

App services använder inte den offentliga IP-adressen för NAT-gatewayen för att ansluta utgående

App Services kan fortfarande ansluta utgående trafik till Internet även om integrering av virtuella nätverk inte är aktiverat. Som standard är appar som finns i App Service tillgängliga direkt via Internet och kan endast nå Internetbaserade slutpunkter. Mer information finns i Nätverksfunktioner för App Services.

Om du märker att IP-adressen som används för att ansluta utgående trafik inte är din offentliga IP-adress eller adress för NAT-gatewayen kontrollerar du att integreringen av virtuella nätverk är aktiverad. Se till att NAT-gatewayen är konfigurerad till det undernät som används för integrering med dina program.

Om du vill verifiera att webbprogram använder den offentliga IP-adressen för NAT-gatewayen pingar du en virtuell dator på dina Webbappar och kontrollerar trafiken via en nätverksinsamling.

Azure Kubernetes Service

Distribuera NAT-gateway med Azure Kubernetes Service-kluster (AKS)

NAT-gateway kan distribueras med AKS-kluster för att möjliggöra explicit utgående anslutning. Det finns två olika sätt att distribuera NAT-gateway med AKS-kluster:

• Hanterad NAT-gateway: Azure distribuerar en NAT-gateway när AKS-klustret skapas. AKS hanterar NAT-gatewayen.

• Användartilldelad NAT-gateway: Du distribuerar en NAT-gateway till ett befintligt virtuellt nätverk för AKS-klustret.

Mer information finns i Hanterad NAT Gateway.

Det går inte att uppdatera mina NAT-gateway-IP-adresser eller timeout-timer för inaktivitet för ett AKS-kluster

Offentliga IP-adresser och tidsgränsen för inaktivitet för NAT-gatewayen kan uppdateras med az aks update kommandot endast för en hanterad NAT-gateway.

Om du har distribuerat en användartilldelad NAT-gateway till dina AKS-undernät kan du inte använda az aks update kommandot för att uppdatera offentliga IP-adresser eller tidsgränsen för inaktivitet. Användaren hanterar en användartilldelad NAT-gateway. Du måste uppdatera dessa konfigurationer manuellt på din NAT-gatewayresurs.

Uppdatera dina offentliga IP-adresser på din användartilldelade NAT-gateway med följande steg:

1. Välj din NAT Gateway-resurs i din resursgrupp i portalen.

2. Välj Utgående IP-adress under Inställningar i det vänstra navigeringsfältet.

3. Om du vill hantera dina offentliga IP-adresser väljer du den blå ändringen.

4. Från konfigurationen Hantera offentliga IP-adresser och prefix som skjuts in från höger uppdaterar du dina tilldelade offentliga IP-adresser från den nedrullningsbara menyn eller väljer Skapa en ny offentlig IP-adress.

5. När du är klar med att uppdatera DINA IP-konfigurationer väljer du knappen OK längst ned på skärmen.

6. När konfigurationssidan har försvunnit väljer du knappen Spara för att spara ändringarna.

7. Upprepa steg 3–6 för att göra samma sak för offentliga IP-prefix.

Uppdatera timerkonfigurationen för inaktiv timeout på din användartilldelade NAT-gateway med följande steg:

1. I resursgruppen väljer du på din NAT-gatewayresurs i portalen.

2. Välj Konfiguration under Inställningar i det vänstra navigeringsfältet.

3. I textfältet TCP idle timeout (minutes) justerar du timeout-timern för inaktivitet (timern kan konfigureras 4–120 minuter).

4. Välj Spara när du är klar.

Kommentar

Om du ökar tidsgränsen för TCP-inaktivitet till längre än 4 minuter kan risken för SNAT-portöverbelastning öka.

Azure Firewall

SNAT-överbelastning (Source Network Address Translation) vid anslutning av utgående trafik med Azure Firewall

Azure Firewall kan tillhandahålla utgående Internetanslutning till virtuella nätverk. Azure Firewall tillhandahåller endast 2 496 SNAT-portar per offentlig IP-adress. Azure Firewall kan associeras med upp till 250 offentliga IP-adresser för att hantera utgående trafik, men du kan behöva färre offentliga IP-adresser för att ansluta utgående trafik. Kravet på utgående med färre offentliga IP-adresser beror på arkitekturkrav och tillåtlistebegränsningar för målslutpunkter.

En metod för att ge större skalbarhet för utgående trafik och även minska risken för SNAT-portöverbelastning är att använda NAT-gateway i samma undernät med Azure Firewall. Mer information om hur du konfigurerar en NAT-gateway i ett Azure Firewall-undernät finns i integrera NAT-gateway med Azure Firewall. Mer information om hur NAT-gateway fungerar med Azure Firewall finns i Skala SNAT-portar med Azure NAT Gateway.

Kommentar

NAT-gateway stöds inte i en vWAN-arkitektur. NAT-gatewayen kan inte konfigureras till ett Azure Firewall-undernät i en vWAN-hubb.

Azure Databricks

Använda NAT-gateway för att ansluta utgående trafik från ett databricks-kluster

NAT-gateway kan användas för att ansluta utgående från ditt databricks-kluster när du skapar din Databricks-arbetsyta. NAT-gatewayen kan distribueras till ditt databricks-kluster på något av två sätt:

• När du aktiverar Secure Cluster Anslut ivity (Ingen offentlig IP) i det virtuella standardnätverk som Azure Databricks skapar distribuerar Azure Databricks automatiskt en NAT-gateway för att ansluta utgående från arbetsytans undernät till Internet. Azure Databricks skapar den här NAT-gatewayresursen i den hanterade resursgruppen och du kan inte ändra den här resursgruppen eller andra resurser som distribueras i den.

• När du har distribuerat Azure Databricks-arbetsytan i ditt eget virtuella nätverk (via virtuell nätverksinmatning) kan du distribuera och konfigurera NAT-gatewayen till båda arbetsytans undernät för att säkerställa utgående anslutning via NAT-gatewayen. Du kan implementera den här lösningen med hjälp av en Azure-mall eller i portalen.

Nästa steg

Om du har problem med NAT-gateway som inte har lösts i den här artikeln skickar du feedback via GitHub längst ned på den här sidan. Vi tar upp din feedback så snart som möjligt för att förbättra våra kunders upplevelse.

Mer information om NAT-gateway finns i:

• Azure NAT Gateway

• NAT-gatewayresurs

• Mått och aviseringar för NAT-gatewayresurser