Azure NAT 閘道的常見問題

Azure NAT 閘道是 Azure 虛擬網路的完全受控、高度復原性的輸出連線解決方案。 若要達到安全且可調整的輸出連線能力，請將 NAT 閘道連接至虛擬網路內的子網路，以及至少一個靜態公用 IP 位址。

請參閱 Azure NAT 閘道定價。

請參閱 Azure NAT 閘道限制。

每個區域每個訂用帳戶允許的 NAT 閘道資源數目會根據供應項目類別類型而有所不同，例如免費試用、隨用隨付、雲端解決方案提供者 (CSP) 和 Enterprise 合約。 Enterprise 合約和 CSP 供應項目類型最多可以有 1,000 個 NAT 閘道資源。 贊助和隨用隨付供應項目類型最多可以有 100 個 NAT 閘道資源。 所有其他供應項目類型，例如免費試用，最多可以有 15 個 NAT 閘道資源。

否，NAT 閘道資源一次不能搭配多個訂用帳戶使用。 如需逐步指導，請參閱在區域移動之後建立及設定 NAT 閘道。

否，NAT 閘道無法跨訂用帳戶、區域或資源群組移動。 必須針對其他訂用帳戶、區域或資源群組建立新的 NAT 閘道。

NAT 閘道提供虛擬網路的輸出連線能力。 直接回應輸出流程的退回流量也可以通過 NAT 閘道。 直接來自網際網路的輸入流量不能通過 NAT 閘道。

虛擬網路 (VNet) 流量記錄是 Azure 網路監看員的一項功能，會針對流經 Azure 虛擬網路的 IP 流量來記錄相關資訊。 來自虛擬網路流程記錄的流程資料會傳送至 Azure 儲存體。 您可以從該處存取資料，並將其匯出至任何視覺效果工具、安全性資訊與事件管理 (SIEM) 解決方案，或入侵偵測系統 (IDS)。

VNet 流量記錄會為您的虛擬機器提供連線資訊。 連線資訊包含來源 IP 和通訊埠，以及目的地 IP 和通訊埠、連線狀態。 也會記錄流量方向和流量大小 (傳送的封包和位元組的數量)。 VNet 流量記錄中指定的來源 IP 和連接埠適用於虛擬機器，而不是 NAT 閘道。

如需建立及管理虛擬網路流量記錄的一般指引，請參閱管理虛擬網路流量記錄。

若要刪除 NAT 閘道資源，必須先解除資源和子網路間的關聯。 NAT 閘道資源解除與所有子網路間的關聯之後，就可以刪除它。 如需指引，請參閱從現有的子網路移除 NAT 閘道資源並刪除資源。

否，NAT 閘道針對傳輸控制通訊協定 (TCP) 或使用者資料包通訊協定 (UDP) 不支援 IP 片段。

SNAT 連線計數計量會顯示每秒建立的新來源網路位址轉換 (SNAT) 連線數目。 SNAT 連線計數總計計量會顯示 NAT 閘道資源上作用中的連線總數。

NAT 閘道沒有 SNAT 連接埠使用計量。 使用 SNAT 連線計數和 SNAT 連線總計計數計量來協助您評估 NAT 閘道資源的 SNAT 容量。

您可以使用 計量 REST API來擷取 NAT 閘道計量。 或者，您可以選取 [共用]，然後從 Azure 入口網站中的 [NAT 閘道計量] 窗格按一下 [下載至 Excel]。

否，無法使用診斷設定匯出 NAT 閘道計量。 NAT 閘道計量是多維度。 診斷設定不支援匯出多維度計量。

NAT 閘道會在連接至公用 IP 位址或前置詞和子網路之後，自動將輸出連線到網際網路。 NAT 閘道優先於具有輸出規則的 Azure Load Balancer、虛擬機器 (VM) 上的執行個體層級公用 IP 位址，以及用於輸出連線的 Azure 防火牆。

否，連線不會中斷。 與先前輸出服務的現有連線 (負載平衡器、Azure 防火牆、執行個體層級公用 IP 位址) 會繼續運作，直到這些連線關閉為止。 將 NAT 閘道新增至虛擬網路的子網路之後，所有新的連線都會使用 NAT 閘道進行輸出連線。

否，NAT 閘道的公用 IP 位址無法直接透過網際網路連線至私人 IP。

與公用 IP 位址相關聯的任何作用中連線都會在移除公用 IP 位址時終止。 如果 NAT 閘道資源有多個公用 IP，新的流量會散發在指派的 IP 之間。

有幾個可能的原因，原因是您可能會看到不同的 IP 用來連線輸出，而不是與 NAT 閘道相關聯的 IP。 若要協助進行疑難排解，請參閱 Azure NAT 閘道連線疑難排解指南。

NAT 閘道會使用子網路系統預設網際網路的路徑，將流量路由傳送至網際網路。 如果建立使用者定義的路由以將 0.0.0.0/0 流量導向至下一個躍點類型網路虛擬設備 (NVA) 或虛擬網路閘道，流量就不會通過 NAT 閘道。

子網路由表上不需要任何設定，才能開始使用 NAT 閘道來連線輸出。 將 NAT 閘道指派給子網路時，NAT 閘道會成為所有網際網路目的地流量的下一個躍點類型。 一旦 NAT 閘道指派給子網路和至少一個公用 IP 位址，流量就可以開始將輸出連線到網際網路。

是，NAT 閘道可以部署，而不需要公用 IP 位址或前置詞和子網路。 不過，在您連接至少一個公用 IP 位址或前置詞和子網路後，才能運作。

是，NAT 閘道上的公用 IP 位址已修正且不會變更。

NAT 閘道最多可使用 16 個公用 IP 位址。 NAT 閘道可使用公用 IP 位址與公用 IP 前置詞的任意組合，總計 16 個位址。 NAT 閘道可以支援下列前置詞大小：/28 (16 個位址)、/29 (8 個位址)、/30 (4 個位址) 和 /31 (2 個位址)。

您可以使用公用 IP 前置詞和衍生自自訂 IP 前置詞的位址，也稱為攜帶您自己的 IP (BYOIP)，搭配 NAT 閘道。 若要深入瞭解，請參閱自訂 IP 位址前置詞 (BYOIP)。

否，NAT 閘道不支援 IPv6 公用 IP 位址。 不過，您可以使用 NAT 閘道和負載平衡器來提供 IPv4 和 IPv6 輸出連線的雙堆疊設定。 如需詳細資訊，請參閱設定雙重堆疊輸出連線搭配 NAT 閘道和公用負載平衡器。

否，NAT 閘道不支援路由喜好設定為「網際網路」的公用 IP 位址。若要查看在公用 IP 上支援路由設定類型「網際網路」的 Azure 服務清單，請參閱透過公用網際網路路由中的支援的服務。

否，NAT 閘道不支援已啟用 DDoS 保護的公用 IP 位址。 如需詳細資訊，請參閱 DDoS 限制。

否，無法變更現有公用 IP 的位址。 如果您需要變更 NAT 閘道上的公用 IP 位址，請參閱新增或移除公用 IP 位址以取得指導。

您的子網路資源可以使用連接至 NAT 閘道的任何公用 IP 位址來進行輸出連線。 每次透過 NAT 閘道建立新的輸出連線時，都會隨機選取輸出公用 IP。

否。 不支援將 IP 指派給 NAT 閘道所設定子網路中的特定子網路或 VM 執行個體。

否，NAT 閘道無法連結至多個虛擬網路。

是，NAT 閘道可以與虛擬網路中最多 800 個子網路相關聯。 不需要與虛擬網路內的所有子網路建立關聯。

否，NAT 閘道無法與閘道子網路相關聯。

否，NAT 閘道會依據子網路的屬性運作，因此無法將多個 NAT 閘道連接至單一子網路。

來自輪輻虛擬網路的流量可以透過 NVA 或 Azure 防火牆路由傳送至集中式中樞虛擬網路。 NAT 閘道接著可以從集中式中樞網路為所有輪輻虛擬網路提供輸出連線。 若要使用 NVA 在中樞和輪輻架構中設定 NAT 閘道，請參閱在中樞和輪輻網路中使用 NAT 閘道。 若要在中樞和輪輻設定中使用 NAT 閘道搭配 Azure 防火牆，請參閱整合 NAT 閘道與 Azure 防火牆。

NAT 閘道可以是區域性或放入「無區域」中。如需詳細資訊，請參閱 Azure NAT 閘道和可用性區域。 此外：

• Azure 會將「無區域」NAT 閘道放入區域。
• 區域性 NAT 閘道會在建立時由使用者關聯至特定區域。
• 部署之後，就無法變更 NAT 閘道的分區設定。

區域備援公用 IP 位址和前置詞可以連接至沒有區域 NAT 閘道或指派給特定可用性區域的 NAT 閘道。 如需詳細資訊，請參閱 Azure NAT 閘道和可用性區域。

否，NAT 閘道與標準 SKU 資源相容。 若要深入了解，請參閱 Azure NAT 閘道基本概念。 將您的基本負載平衡器和基本公用 IP 位址升級為標準，以使用 NAT 閘道。 如需更多說明：

• 若要將基本負載平衡器升級為標準負載平衡器，請參閱升級 Azure 公用負載平衡器。
• 若要將基本公用 IP 升級為標準公用 IP，請參閱升級公用 IP 位址。
• 若要將具有連接 VM 的基本公用 IP 升級為標準公用 IP，請參閱 使用連結的 VM 升級基本公用 IP 位址。

針對 TCP 連線，閒置逾時計時器預設為 4 分鐘，且可設定最多 120 分鐘。 如果您需要維護長連線流程，請使用 TCP keepalives，而不是擴充閑置逾時計時器。 TCP keepalives 會維護長時間的作用中連線。

UDP 閑置逾時計時器設定為 4 分鐘，且無法設定。

當 TCP/UDP 連線關閉時，連接埠會置於緩和期間，才能重複使用以連線到相同的目的地端點。 如需詳細資訊，請參閱 SNAT 連接埠重複使用計時器。 前往不同目的地的連線可以立即使用 SNAT 連接埠。 如需詳細資訊，請參閱 SNAT 搭配 NAT 閘道。

是，NAT 閘道可與 Azure App Service 搭配使用，以允許應用程式將輸出流量從虛擬網路導向網際網路。 若要整合使用 NAT 閘道和 Azure App Service，必須啟用區域虛擬網路整合。 如需啟用虛擬網路和 NAT 閘道間的整合，請參閱 Azure NAT 閘道整合。

是。 如需 NAT 閘道與 Azure Kubernetes Service 整合的詳細資訊，請參閱受控 NAT 閘道。

若要管理 AKS 叢集，您可以與其 API 伺服器互動。 當您建立解析為 API 伺服器完整功能變數名稱 （FQDN） 的非私人叢集時，API 伺服器預設會指派公用 IP 位址。 將 NAT 閘道連結至 AKS 叢集的子網之後，NAT 閘道將用來連線到 AKS API 伺服器的公用 IP。 如需 其他資訊和設計指引，請參閱存取 AKS API 伺服器 。

是，NAT 閘道可以搭配 Azure 防火牆使用。 當 Azure 防火牆與 NAT 閘道搭配使用時，它應該位於區域設定中。 NAT 閘道適用於區域備援防火牆，但我們目前不建議部署。 如需 NAT 閘道與 Azure 防火牆間整合的詳細資訊，請參閱使用 NAT 閘道調整 SNAT 連接埠。

是，新增 NAT 閘道至有服務端點的子網路，不會影響端點。 虛擬網路服務端點會為其代表的目的地 Azure 服務流量，啟用更明確的路由。 服務端點的流量會周遊 Azure 骨幹，而不是網際網路。 當您直接從 Azure 網路連線到 Azure 平台即服務 (PaaS) 時，建議您使用 Private Link 優先於服務端點。

是。 如果您在工作區中啟用安全的叢集連線，則可以以兩個方式中的一個使用 NAT 閘道搭配 Azure Databricks：

• 如果您使用安全的叢集連線與 Azure Databricks 所建立的預設虛擬網路，Azure Databricks 會自動為工作區子網路的輸出流量建立 NAT 閘道。 NAT 閘道是在由 Azure Databricks 管理的受控資源群組中建立。 您無法修改此資源群組或在其中佈建的任何資源。
• 如果您在使用虛擬網路插入的工作區上啟用安全的叢集連線，您可以在工作區的兩個子網路上部署 NAT 閘道，以提供輸出連線。 在此情況下，您可以修改自訂輸出連線需求的設定。 如需詳細資訊，請參閱安全叢集連線能力。

下一步

如果這裡未列出您的問題，請傳送有關此頁面的意見反應，並附上您的問題。 此資訊會為產品小組建立 GitHub 問題，以確保所有的重要客戶問題都會獲得解答。