下面是一些有关使用 Azure NAT 网关的常见问题的解答。
Azure NAT 网关是适用于 Azure 虚拟网络的完全托管且具有较高的复原能力的出站连接解决方案。 如果要实现安全且可缩放的出站连接,可以将 NAT 网关附加到虚拟网络中的子网以及至少一个静态公共 IP 地址。
请参阅 Azure NAT 网关定价。
请参阅 Azure NAT 网关限制。
每个区域每个订阅允许的 NAT 网关资源数因产品/服务类别类型(例如免费试用、即用即付、云解决方案提供商 (CSP) 和企业协议)而异。 企业协议和 CSP 产品/服务类型最多可以有 1000 个 NAT 网关资源。 赞助和即用即付产品/服务类型最多可以有 100 个 NAT 网关资源。 所有其他产品/服务类型(例如免费试用)最多可以有 15 个 NAT 网关资源。
不可以,NAT 网关资源不能一次与多个订阅一起使用。 有关分步指南,请参阅在区域移动后创建和配置 NAT 网关。
不可以,NAT 网关无法跨订阅、区域或资源组移动。 必须为其他订阅、区域或资源组创建新的 NAT 网关。
NAT 网关提供来自虚拟网络的出站连接。 对出站流做出的直接响应中的返回流量也可以通过 NAT 网关。 直接来自 Internet 的入站流量都无法通过 NAT 网关。
虚拟网络 (VNet) 流日志是 Azure 网络观察程序的一项功能,可用于记录有关流经虚拟网络的 IP 流量的信息。 虚拟网络流日志中的流数据将发送到 Azure 存储。 从那里,你可以访问数据并将其导出到任何可视化工具、安全信息和事件管理 (SIEM) 解决方案或入侵检测系统 (IDS)。
VNet 流日志提供虚拟机的连接信息。 连接信息包含源 IP 和端口、目标 IP 和端口以及连接状态。 还会记录流量流方向以及流量大小(以发送的数据包和字节的数量表示)。 VNet 流日志中指定的源 IP 和端口适用于虚拟机,而非 NAT 网关。
有关创建和管理虚拟网络流日志的一般指南,请参阅管理虚拟网络流日志。
若要删除 NAT 网关资源,必须先解除该资源与子网的关联。 解除 NAT 网关资源与所有子网的关联后,即可删除该资源。 请参阅从现有子网中删除 NAT 网关并删除资源以获取分步指南。
不支持,NAT 网关不支持传输控制协议 (TCP) 或用户数据报协议 (UDP) 的 IP 碎片。
NAT 网关没有 SNAT 端口使用情况指标。 使用 SNAT 连接计数和 SNAT 连接总数指标来帮助评估 NAT 网关资源的 SNAT 容量。
可以使用指标 REST API 来检索 NAT 网关指标。 或者,可以选择“共享”,然后从 Azure 门户中的 NAT 网关指标窗格下载到 Excel。
NAT 网关附加到公共 IP 地址或前缀和子网后,会自动出站连接到 Internet。 NAT 网关优先于具有出站规则的 Azure 负载均衡器、虚拟机 (VM) 上的实例级公共 IP 地址以及出站连接的 Azure 防火墙。
不会,连接不会中断。 与以前的出站服务(负载均衡器、Azure 防火墙、实例级公共 IP 地址)的现有连接将继续工作,直到这些连接关闭。 将 NAT 网关添加到虚拟网络的子网后,所有新连接都将使用 NAT 网关进行出站连接。
NAT 网关的公共 IP 地址无法通过 Internet 直接连接到专用 IP。
与公共 IP 地址关联的任何活动连接都将在移除公共 IP 地址时终止。 如果 NAT 网关资源具有多个公共 IP,新的流量将会在分配的 IP 之间进行分布。
有一些可能的原因会导致你看到用于连接出站的 IP 与 NAT 网关相关联的 IP 不同。 如果需要故障排除方面的帮助,请参阅 Azure NAT 网关连接故障排除指南。
否,NAT 网关与主动 FTP 模式不兼容。 配置 NAT 网关时,主动 FTP 模式的客户端通道和数据通道将使用不同的 IP,因此 FTP 服务器会将该连接视为无效连接。 如需详细信息,请参阅有关 FTP 主动或被动模式的连接失败的 NAT 网关连接故障排除指南。
NAT 网关可以与被动 FTP 模式配合使用,但前提是为 NAT 网关配置了一个公共 IP 地址。 FTP 被动模式不适用于配置了公共 IP 前缀或多个公共 IP 地址的 NAT 网关。 当具有多个公共 IP 的 NAT 网关发送出站流量时,它会随机选择一个公共 IP 作为源 IP。 当数据通道和控制通道使用不同的源 IP 地址时,FTP 被动模式就会失败。 如需详细信息,请参阅有关 FTP 主动或被动模式的连接失败的 NAT 网关连接故障排除指南。
NAT 网关使用子网的系统默认 Internet 路径将流量路由到 Internet。 如果创建了用户定义的路径以将 0.0.0.0/0 流量定向到下一个跃点类型网络虚拟设备 (NVA) 或虚拟网络网关,则流量不会通过 NAT 网关。
无需对子网路由表进行配置即可开始使用 NAT 网关连接出站。 将 NAT 网关分配给子网时,NAT 网关将成为所有发往 Internet 的流量的下一个跃点类型。 将 NAT 网关分配到子网和至少一个公共 IP 地址后,流量就可以开始以出站方式连接到 Internet。
可以,可以在不使用公共 IP 地址或前缀和子网的情况下部署 NAT 网关。 但是,只有附加至少一个公共 IP 地址或前缀和子网后,NAT 网关才能运行。
可以,NAT 网关上的公共 IP 地址是固定的,不会更改。
NAT 网关最多可以使用 16 个公共 IP 地址。 NAT 网关可以使用公共 IP 地址和公共 IP 前缀的任意组合,共计 16 个地址。 NAT 网关可支持以下前缀大小:/28(16 个地址)、/29(8 个地址)、/30(4 个地址)以及 /31(2 个地址)。
可以在 NAT 网关中使用从自定义 IP 前缀 (也称为BYOIP) 派生的公共 IP 前缀和地址。 如需了解详细信息,请参阅 自定义 IP 地址前缀 (BYOIP)。
不可以,NAT 网关不支持 IPv6 公共 IP 地址。 但是,你可以创建使用 NAT 网关和负载均衡器的双栈配置,以提供 IPv4 和 IPv6 出站连接。 有关详细信息,请参阅使用 NAT 网关和公共负载均衡器配置双栈出站连接。
否,NAT 网关不支持路由首选项为“Internet”的公共 IP 地址。若要查看支持公共 IP 上的路由配置类型“Internet”的 Azure 服务列表,请参阅支持通过公共 Internet 路由的服务。
否,NAT 网关不支持启用 DDoS 防护的公共 IP 地址。 DDoS 保护的 IP 通常对于入站流量更为关键,因为大多数 DDoS 攻击都是旨在通过向目标的资源注入大量传入流量来使其不堪重负。 若要详细了解 DDoS 保护的 IP,请参阅 DDoS 限制。
否,无法更改现有公共 IP 的地址。 如果需要更改 NAT 网关上的公共 IP 地址,请参阅添加或删除公共 IP 地址以获取指导。
子网资源可以使用附加到 NAT 网关的任一公共 IP 地址进行出站连接。 每次通过 NAT 网关建立新的出站连接时,都会随机选择出站公共 IP。
否。 不支持将 IP 分配给配置 NAT 网关的子网中的指定子网或 VM 实例。
一个 NAT 网关无法连接到多个虚拟网络。
可以,NAT 网关最多可与虚拟网络中的 800 个子网相关联。 它不需要与虚拟网络中的所有子网相关联。
否,NAT 网关无法与网关子网关联。
否,NAT 网关基于子网的属性运行,因此无法将多个 NAT 网关附加到单个子网。
辐射虚拟网络的流量能够通过 NVA 或 Azure 防火墙路由到集中式中心虚拟网络。 然后,NAT 网关可以从集中式中心网络为所有辐射虚拟网络提供出站连接。 若要使用 NVA 在中心辐射型体系结构中设置 NAT 网关,请参阅在中心辐射型网络中使用 NAT 网关。 若要在中心辐射型设置中将 NAT 网关与 Azure 防火墙配合使用,请参阅将 NAT 网关与 Azure 防火墙集成。
NAT 网关可以是区域级,也可以放置在“无区域”。有关详细信息,请参阅 Azure NAT 网关和可用性区域。 此外:
- “非区域”NAT 网关将由 Azure 放置在一个区域中。
- 创建 NAT 网关时,用户将区域 NAT 网关关联到特定区域。
- NAT 网关的区域配置在部署后将无法更改。
可将区域冗余的公共 IP 地址和前缀附加到无区域 NAT 网关或分配给特定可用性区域的 NAT 网关。 有关详细信息,请参阅 Azure NAT 网关和可用性区域。
否,NAT 网关与标准 SKU 资源兼容。 要了解详细信息,请参阅 Azure NAT 网关基础知识。 将基本负载均衡器和基本公共 IP 地址升级为标准,以便与 NAT 网关配合使用。 有关更多帮助:
- 若要将基本负载均衡器升级为标准负载均衡器,请参阅升级 Azure 公共负载均衡器。
- 若要将基本公共 IP 升级到标准,请参阅升级公共 IP 地址。
- 若要将附加 VM 的基本公共 IP 升级为标准,请参阅升级附加 VM 的基本公共 IP 地址。
对于 TCP 连接,空闲超时计时器默认为 4 分钟,最高可配置为 120 分钟。 如果需要保持长时间的连接流,请使用 TCP keepalives,而不是延长空闲超时计时器。 TCP keepalives 使活动连接保持更长的时间。
UDP 空闲超时计时器设置为 4 分钟,不可配置。
关闭 TCP/UDP 连接后,端口将处于冷却期,直到再次使用此端口连接到同一目标终结点。 有关详细信息,请参阅 SNAT 端口重用计时器。 连接到其他目标的连接可以立即使用 SNAT 端口。 有关详细信息,请参阅 Azure NAT 网关的 SNAT。
可以,NAT 网关可与 Azure 应用服务一起使用,以允许应用程序将出站流量导向虚拟机的 Internet。 若要在 NAT 网关与 Azure 应用服务之间使用此集成,请务必启用区域虚拟网络集成。 有关如何将虚拟网络与 NAT 网关集成的指导,请参阅 Azure NAT 网关集成。
是的。 有关 NAT 网关与 Azure Kubernetes 服务的集成的详细信息,请参阅托管 NAT 网关。
若要管理某个 AKS 群集,请让该群集与其 API 服务器进行交互。 在非专用群集中,API 服务器群集流量是通过群集的出站类型路由和处理的。 当群集出站类型设置为 NAT 网关时,API 服务器流量将通过 NAT 网关作为公共流量处理。 若要防止将 API 服务器流量作为公共流量处理,请考虑使用专用群集,或使用 API 服务器 VNet 集成功能(预览版)。
可以,NAT 网关可与 Azure 防火墙一起使用。 当与 NAT 网关一起使用时,Azure 防火墙应采用区域性配置。 NAT 网关可以适配区域冗余防火墙,但目前不建议这样部署。 若要详细了解如何将 NAT 网关与 Azure 防火墙集成,请参阅使用 NAT 网关缩放 SNAT 端口。
可以,向拥有服务终结点的子网添加 NAT 网关不会影响该终结点。 虚拟网络服务终结点为它们表示的目标 Azure 服务流量启用更具体的路由。 服务终结点的流量会穿过 Azure 主干,而不是 Internet。 直接从 Azure 网络连接到 Azure 平台即服务 (PaaS) 服务时,建议通过服务终结点实现专用链接。
是的。 如果在工作区中启用安全群集连接,则 NAT 网关可以通过两种方式之一与 Azure Databricks 配合使用。
- 如果将安全群集连接与 Azure Databricks 创建的默认虚拟网络结合使用,Azure Databricks 会自动为来自工作区子网的出站流量创建一个 NAT 网关。 NAT 网关是在 Azure Databricks 管理的托管资源组中创建的。 不能修改此资源组,也不能修改其中预配的任何资源。
- 如果在使用虚拟网络注入的工作区上启用安全群集连接,则可在工作区的两个子网上部署 NAT 网关,以提供出站连接。 在这种情况下,可以修改配置以满足自定义的出站连接要求。 有关详细信息,请参阅安全群集连接。