Azure NAT 閘道的常見問題

以下是使用 Azure NAT 閘道的常見問題的一些解答。

Azure NAT 閘道基本知識

什麼是 Azure NAT Gateway？

Azure NAT 閘道是 Azure 虛擬網路的完全受控、高度復原性的輸出連線解決方案。 若要達到安全且可調整的輸出連線能力，請將 NAT 閘道連接至虛擬網路內的子網路，以及至少一個靜態公用 IP 位址。

Azure NAT 閘道的定價為何？

請參閱 Azure NAT 閘道定價。

Azure NAT 閘道的已知限制為何？

請參閱 Azure NAT 閘道限制。

每個訂用帳戶允許多少個 NAT 閘道資源？

每個區域每個訂用帳戶允許的 NAT 閘道資源數目會根據供應項目類別類型而有所不同，例如免費試用、隨用隨付、雲端解決方案提供者 (CSP) 和 Enterprise 合約。 Enterprise 合約和 CSP 供應項目類型最多可以有 1,000 個 NAT 閘道資源。 贊助和隨用隨付供應項目類型最多可以有 100 個 NAT 閘道資源。 所有其他供應項目類型，例如免費試用，最多可以有 15 個 NAT 閘道資源。

NAT 閘道是否可以跨訂用帳戶使用？

否，NAT 閘道資源一次不能搭配多個訂用帳戶使用。 如需逐步指導，請參閱在區域移動之後建立及設定 NAT 閘道。

NAT 閘道是否可以從區域/訂用帳戶/資源群組移至另一個？

否，NAT 閘道無法跨訂用帳戶、區域或資源群組移動。 必須針對其他訂用帳戶、區域或資源群組建立新的 NAT 閘道。

NAT 閘道是否可以用來連線輸入？

NAT 閘道提供虛擬網路的輸出連線能力。 直接回應輸出流程的退回流量也可以通過 NAT 閘道。 直接來自網際網路的輸入流量不能通過 NAT 閘道。

如何取得 NAT 閘道資源的記錄？

對於標準 SKU NAT 閘道器，請使用虛擬網路流量日誌。 虛擬網路 (VNet) 流量記錄是 Azure 網路監看員的一項功能，會針對流經 Azure 虛擬網路的 IP 流量來記錄相關資訊。 來自虛擬網路流程記錄的流程資料會傳送至 Azure 儲存體。 您可以從該處存取資料，並將其匯出至任何視覺效果工具、安全性資訊與事件管理 (SIEM) 解決方案，或入侵偵測系統 (IDS)。

VNet 流量記錄會為您的虛擬機器提供連線資訊。 連線資訊包含來源 IP 和通訊埠，以及目的地 IP 和通訊埠、連線狀態。 也會記錄流量方向和流量大小 (傳送的封包和位元組的數量)。 VNet 流量記錄中指定的來源 IP 和連接埠適用於虛擬機器，而不是 NAT 閘道。

如需建立及管理虛擬網路流量記錄的一般指引，請參閱管理虛擬網路流量記錄。

對於 StandardV2 NAT 閘道，提供 NAT 閘道流程日誌，並提供透過 NAT 閘道的流量 IP 層級資訊。 欲了解更多資訊，請參閱 分析 NAT 閘道流量日誌。

如何刪除 NAT 閘道資源？

若要刪除 NAT 閘道資源，必須先解除資源和子網路間的關聯。 NAT 閘道資源解除與所有子網路間的關聯之後，就可以刪除它。 如需指引，請參閱從現有的子網路移除 NAT 閘道資源並刪除資源。

NAT 閘道是否支援 IP 片段？

否，NAT 閘道針對傳輸控制通訊協定 (TCP) 或使用者資料包通訊協定 (UDP) 不支援 IP 片段。

StandardV2 NAT 閘道器

什麼是 StandardV2 NAT 閘道器？

StandardV2 NAT 閘道器是 Azure NAT 閘道服務中新增的 SKU 產品。 StandardV2 NAT 閘道器提供區域冗餘支援、增強的資料處理限制、IPv6 支援、流量日誌，以及相較於原始標準 NAT 閘道器更高的擴展性。 欲了解更多資訊，請參閱 NAT 閘道 SKU。

我可以將現有的標準 NAT 閘道器升級為 StandardV2 NAT 閘道器嗎？

不，你不能將現有的標準 NAT 閘道升級為 StandardV2 NAT 閘道器。 要從 Standard 遷移到 StandardV2 NAT 閘道，請建立一個新的 StandardV2 NAT 閘道資源，並將其與你的子網關聯。

StandardV2 NAT 閘道器有已知的問題或限制嗎？

是的，想了解更多，請參閱 StandardV2 NAT 閘道的 已知問題 與 限制 。

Standard 和 StandardV2 NAT 閘道器的價格有差異嗎？

不，價格沒有差異。 Standard 和 StandardV2 NAT 閘道器的價格是一樣的。 欲了解更多資訊，請參閱 Azure NAT Gateway 價格 。

我可以用我現有的標準公共 IP 搭配 StandardV2 NAT 閘道器嗎？

不行，標準公有 IP 不能用在 StandardV2 NAT 閘道上。 要使用 StandardV2 NAT 閘道，必須使用 StandardV2 的公共 IP。 欲了解更多資訊，請參閱 NAT 閘道 SKU。

我可以將 StandardV2 NAT 閘道器連接到多個虛擬網路嗎？

不，StandardV2 NAT 閘道器一次只能連接到單一虛擬網路。

StandardV2 NAT 閘道有哪些可用指標？

標準 NAT 閘道所提供的相同指標，也適用於 StandardV2 NAT 閘道。 欲了解更多資訊，請參閱 NAT 閘道指標。

StandardV2 NAT 閘道器是否在所有公共區域都能使用？

不，StandardV2 NAT 閘道器在大多數公共區域都有提供。 欲了解更多尚未支援 StandardV2 NAT 閘道的區域，請參閱 已知限制。

NAT 閘道計量

NAT 閘道的 SNAT 連線計數和 SNAT 連線計數總計計量有何差異？

SNAT 連線計數計量會顯示每秒建立的新來源網路位址轉換 (SNAT) 連線數目。 SNAT 連線計數總計計量會顯示 NAT 閘道資源上作用中的連線總數。

如何查看 NAT 閘道上的 SNAT 連接埠使用方式？

NAT 閘道沒有 SNAT 連接埠使用計量。 使用 SNAT 連線計數和 SNAT 連線總計計數計量來協助您評估 NAT 閘道資源的 SNAT 容量。

如何長期儲存 NAT 閘道計量？

您可以使用 計量 REST API來擷取 NAT 閘道計量。 或者，您可以選取 [共用]，然後從 Azure 入口網站中的 [NAT 閘道計量] 窗格按一下 [下載至 Excel]。

可以使用診斷設定來擷取 NAT 閘道計量嗎？

否，無法使用診斷設定匯出 NAT 閘道計量。 NAT 閘道計量是多維度。 診斷設定不支援匯出多維度計量。

與 NAT 閘道的輸出連線

在目前使用不同輸出服務的設定中，如何使用 NAT 閘道連線輸出？

NAT 閘道會在連接至公用 IP 位址或前置詞和子網路之後，自動將輸出連線到網際網路。 NAT 閘道優先於具有輸出規則的 Azure Load Balancer、虛擬機器 (VM) 上的執行個體層級公用 IP 位址，以及用於輸出連線的 Azure 防火牆。

將 NAT 閘道連接至目前用於輸出連線的不同服務的子網路後，連線是否中斷？

否，連線不會中斷。 與先前輸出服務的現有連線 (負載平衡器、Azure 防火牆、執行個體層級公用 IP 位址) 會繼續運作，直到這些連線關閉為止。 將 NAT 閘道新增至虛擬網路的子網路之後，所有新的連線都會使用 NAT 閘道進行輸出連線。

不過，StandardV2 NAT Gateway 與使用負載平衡器、防火牆或虛擬機器執行個體層級公用 IP 的現有連線存在已知問題。 新增 StandardV2 NAT 閘道器至子網後，現有與其他外發連接方式的連線將中斷。 所有網路新連線都會使用 StandardV2 NAT 閘道。 想了解更多，請參見 已知問題。

NAT 閘道公用 IP 是否可以透過網際網路直接連線到私人 IP 位址？

否，NAT 閘道的公用 IP 位址無法直接透過網際網路連線至私人 IP。

若多個公用 IP 位址指派給 NAT 閘道資源，移除其中一個 IP 是否會導致流量流程中斷？

與公用 IP 位址相關聯的任何作用中連線都會在移除公用 IP 位址時終止。 如果 NAT 閘道資源有多個公用 IP，新的流量會散發在指派的 IP 之間。

當我看到用來連線輸出的 IP 與 NAT 閘道公用 IP 不同時，這是什麼意思？

有幾個可能的原因，原因是您可能會看到不同的 IP 用來連線輸出，而不是與 NAT 閘道相關聯的 IP。 若要協助進行疑難排解，請參閱 Azure NAT 閘道連線疑難排解指南。

NAT 閘道是否適用於主動 FTP 模式？

不，NAT 閘道與主動 FTP 模式不相容。 當 NAT 閘道器被設定時，主動 FTP 模式下的用戶端通道與資料通道會使用不同的 IP，因此 FTP 伺服器會將連線視為無效。 如需詳細資訊，請參閱 NAT 閘道連線疑難排解指南，以了解主動或被動 FTP 模式的連線失敗問題。

NAT 閘道是否適用於被動 FTP 模式？

NAT 閘道可與被動 FTP 模式一起使用，但前提是只有在將一個公用 IP 位址設定給 NAT 閘道時。 FTP 被動模式無法在設定有公用 IP 前置詞或多個公用 IP 位址的 NAT 閘道上運作。 當具有多個公用 IP 位址的 NAT 閘道傳送流量輸出時，會為來源 IP 位址隨機選取其中一個公用 IP 位址。 當資料和控制通道使用不同的來源 IP 位址時，FTP 被動模式會失敗。 如需詳細資訊，請參閱 NAT 閘道連線疑難排解指南，以了解主動或被動 FTP 模式的連線失敗問題。

我可以使用 NAT 閘道連線到同一個區域中的儲存體帳戶公用端點嗎？

不，NAT 閘道的公有 IP 不會用來連接同一區域的儲存帳號。 與 Azure 儲存體帳戶部署在相同區域中的服務會使用私人 Azure IP 位址進行通訊。 您無法根據其公用輸出 IP 位址範圍來限制對特定 Azure 服務的存取。 如需詳細資訊，請參閱 IP 網路規則的限制。

流量路由

如果我強制通道 0.0.0.0/0 (網際網路) 流量流向 NVA、Azure VPN 閘道或 Azure ExpressRoute，NAT 閘道會發生什麼情況？

NAT 閘道會使用子網路系統預設網際網路的路徑，將流量路由傳送至網際網路。 如果建立使用者定義的路由以將 0.0.0.0/0 流量導向至下一個躍點類型網路虛擬設備 (NVA) 或虛擬網路閘道，流量就不會通過 NAT 閘道。

在子網路路由表上必須進行哪些設定，才能使用 NAT 閘道來連線輸出？

子網路由表上不需要任何設定，才能開始使用 NAT 閘道來連線輸出。 將 NAT 閘道指派給子網路時，NAT 閘道會成為所有網際網路目的地流量的下一個躍點類型。 一旦 NAT 閘道指派給子網路和至少一個公用 IP 位址，流量就可以開始將輸出連線到網際網路。

NAT 閘道設定

是否可以在沒有公用 IP 位址或子網路的情況下部署 NAT 閘道？

是，NAT 閘道可以部署，而不需要公用 IP 位址或前置詞和子網路。 不過，在您連接至少一個公用 IP 位址或前置詞和子網路後，才能運作。

NAT 閘道公開 IP 位址是靜態的嗎？

是，NAT 閘道上的公用 IP 位址已修正且不會變更。

有多少公用 IP 位址可以連結至 NAT 閘道？

NAT 閘道最多可使用 16 個公用 IP 位址。 NAT 閘道可使用公用 IP 位址與公用 IP 前置詞的任意組合，總計 16 個位址。 NAT 閘道支援以下前綴大小：/28（16 個位址）、/29（8 個位址）、/30（4 個位址）和 /31（2 個位址）。

如何將自訂 IP 前置詞 (BYOIP) 與 NAT 閘道搭配使用？

你可以使用公共 IP 前綴和由自訂 IP 前綴衍生的位址，也稱為自帶 IP（BYOIP），搭配標準 SKU NAT 閘道器。 StandardV2 NAT 閘道不支援自訂 IP。 若要深入瞭解，請參閱自訂 IP 位址前置詞 (BYOIP)。

IPv6 公用 IP 位址可以搭配 NAT 閘道使用嗎？

標準的 SKU NAT 閘道不支援 IPv6 公用 IP 位址。 StandardV2 NAT 閘道器可與最多 16 個 IPv6 公共 IP 位址或 /124 大小的前綴關聯。

具有路由喜好設定的公用 IP 位址是否可以與 NAT 閘道搭配使用？

不可以，NAT 閘道不支援路由喜好設定為「網際網路」的公用 IP 位址。若要查看在公用 IP 上支援路由設定類型「網際網路」的 Azure 服務清單，請參閱透過公用網際網路進行路由的受支援服務。

已啟用 DDoS 保護的公用 IP 位址是否可以與 NAT 閘道搭配使用？

否，NAT 閘道不支援已啟用 DDoS 保護的公用 IP 位址。 DDoS 保護的 IP 通常對於輸入流量更為重要，因為大部分的 DDoS 攻擊都是被設計成透過向目標注入大量傳入流量來壓垮目標的資源。 如需 DDoS 保護的 IP 的詳細資訊，請參閱 DDoS 限制。

是否可以變更現有 NAT 閘道的公用 IP？

可以，您可以變更與現有 NAT 閘道相關聯的公用 IP 位址。 如果您需要變更 NAT 閘道上的公用 IP 位址，請參閱新增或移除公用 IP 位址以取得指導。 StandardV2 SKU 的公有 IP 無法與標準 NAT 閘道相容。 StandardV2 SKU 的公用 IP 只能搭配 StandardV2 NAT 閘道器使用。

如果將多個公用 IP 位址指派給 NAT 閘道，子網路資源會使用哪些公用 IP？

您的子網路資源可以使用連接至 NAT 閘道的任何公用 IP 位址來進行輸出連線。 每次透過 NAT 閘道建立新的輸出連線時，都會隨機選取輸出公用 IP。

我可以將其中一個 NAT 閘道公用 IP 位址指派給特定 VM 或子網路，以專門用來連線輸出嗎？

否。 不支援將 IP 指派給 NAT 閘道所設定子網路中的特定子網路或 VM 執行個體。

NAT 閘道是否可以連結至多個虛擬網路？

否，NAT 閘道無法連結至多個虛擬網路。

NAT 閘道是否可以連結至多個子網路？

是的，NAT 閘道器可以與虛擬網路中最多 800 個子網關聯。 不需要與虛擬網路內的所有子網路建立關聯。

NAT 閘道可以連接至閘道子網路嗎？

否，NAT 閘道無法與閘道子網路相關聯。 閘道子網是為 VPN 閘道資源保留的，無法與 NAT 閘道部署相容。 若要使用 NAT 閘道，請將它連結至同一個虛擬網路內的任何其他子網路。

是否可以將多個 NAT 閘道連結至單一子網路？

否，NAT 閘道會依據子網路的屬性運作，因此無法將多個 NAT 閘道連接至單一子網路。

NAT 閘道是否在中樞和輪輻網路架構中運作？

來自輪輻虛擬網路的流量可以透過 NVA 或 Azure 防火牆路由傳送至集中式中樞虛擬網路。 NAT 閘道接著可以從集中式中樞網路為所有輪輻虛擬網路提供輸出連線。 若要使用 NVA 在中樞和輪輻架構中設定 NAT 閘道，請參閱在中樞和輪輻網路中使用 NAT 閘道。 若要在中樞和輪輻設定中使用 NAT 閘道搭配 Azure 防火牆，請參閱整合 NAT 閘道與 Azure 防火牆。

可用性區域

NAT 閘道如何與可用性區域搭配運作？

標準的 NAT 閘道可以是區域式，也可以設於「無區」。Azure 會為你設置一個無區 NAT 閘道器。 區域性 NAT 閘道會在建立時由使用者關聯至特定區域。 StandardV2 NAT 閘道僅具備區域冗餘。 若某區域單一區域故障，StandardV2 NAT 閘道器仍可存活，並提供來自其他健康區域的外出連線。 部署之後，就無法變更 NAT 閘道的分區設定。

區域冗餘的公共 IP 位址可以附加到標準 NAT 閘道器嗎？

區域備援的標準 SKU 公用 IP 位址和前置詞可以附加到無區域或區域的標準 SKU NAT 閘道。 StandardV2 SKU 的公共 IP 僅具備區域冗餘性，且只能與同樣為區域冗餘的 StandardV2 NAT 閘道使用。 如需詳細資訊，請參閱 Azure NAT 閘道和可用性區域。

Azure NAT 閘道和基本 SKU 資源

基本 SKU 資源 (基本負載平衡器與基本公用 IP 位址) 是否與 NAT 閘道相容？

不，Standard 和 StandardV2 NAT 閘道器不相容於基本的 SKU 資源。 若要深入了解，請參閱 Azure NAT 閘道基本概念。 將您的基本負載平衡器和基本公用 IP 位址升級為標準，以使用 NAT 閘道。 如需更多說明：

• 若要將基本負載平衡器升級為標準負載平衡器，請參閱升級 Azure 公用負載平衡器。
• 若要將基本公用 IP 升級為標準公用 IP，請參閱升級公用 IP 位址。
• 若要將具有連接 VM 的基本公用 IP 升級為標準公用 IP，請參閱 使用連結的 VM 升級基本公用 IP 位址。

Azure NAT 閘道和預設輸出存取

當我將 NAT 閘道新增至我具有預設輸出存取權的子網路時，是否會有任何停機？

不，當在使用預設出站存取的子網路新增 NAT 閘道時，不會有停機。 在子網新增 NAT 閘道後，所有新連線都會開始使用 NAT 閘道，而非預設的出站存取。 任何預設出站存取權的連線都會持續存在，直到連線關閉為止。

在啟用私人子網路功能並停用預設輸出存取權後，如何確保我的虛擬機器能夠存取網際網路以執行 Windows 啟用和更新等作業？

在啟用私人子網路功能之前，您可以為虛擬機器設定明確的輸出連線方法，例如 NAT 閘道，以確保它們會繼續與網際網路保持輸出連線。

即使我有附加到子網路的 NAT 閘道，我的虛擬機器仍然會得到預設的出站 IP 嗎？

在某些情況下，即使設定了NAT閘道或將流量導向NVA/防火牆的UDR系統，非私有子網中的虛擬機仍會被分配預設的出站IP。 這並不意味著，除非移除那些明確的輸出連線方法，否則預設的輸出 IP 位址會用於輸出流量。 若要完全移除預設的輸出 IP，子網路必須為私人，而且虛擬機器必須停止並解除配置。

連線逾時和計時器

NAT 閘道的閒置逾時為何？

針對 TCP 連線，閒置逾時計時器預設為 4 分鐘，且可設定最多 120 分鐘。 如果您需要維護長連線流程，請使用 TCP keepalives，而不是擴充閑置逾時計時器。 TCP keepalives 會維護長時間的作用中連線。

UDP 閑置逾時計時器設定為 4 分鐘，且無法設定。

NAT 閘道的 SNAT 連接埠重複使用行為為何？

當 TCP/UDP 連線關閉時，連接埠會置於緩和期間，才能重複使用以連線到相同的目的地端點。 如需詳細資訊，請參閱 SNAT 連接埠重複使用計時器。 前往不同目的地的連線可以立即使用 SNAT 連接埠。 如需詳細資訊，請參閱 SNAT 搭配 NAT 閘道。

NAT 閘道與其他 Azure 服務整合

NAT 閘道是否可以與 Azure App Service 搭配使用？

是，NAT 閘道可與 Azure App Service 搭配使用，以允許應用程式將輸出流量從虛擬網路導向網際網路。 若要整合使用 NAT 閘道和 Azure App Service，必須啟用區域虛擬網路整合。 如需啟用虛擬網路和 NAT 閘道間的整合，請參閱 Azure NAT 閘道整合。

NAT 閘道是否可以與 Azure Kubernetes Service 搭配使用？

是。 標準 NAT 閘道器可用作受管理 NAT 閘道或使用者協作 NAT 閘道。 StandardV2 NAT 閘道只能作為使用者指定的 NAT 閘道使用。 如需 NAT 閘道與 Azure Kubernetes Service 整合的詳細資訊，請參閱受控 NAT 閘道。

何時使用 NAT 閘道來從我的 AKS 叢集連線到 AKS API 伺服器？

若要管理 AKS 叢集，叢集需要與其 API 伺服器進行互動。 在非私有叢集中，API 伺服器叢集流量會透過叢集的 出站類型路由與處理。 當叢集輸出類型設定為 NAT 閘道時，API 伺服器流量會透過 NAT 閘道作為公用流量進行處理。 為防止 API 伺服器流量作為公用流量進行處理，請考慮使用私人叢集或使用 API 伺服器 VNet 整合功能 (預覽版)。

我可以搭配 Azure 防火牆使用 NAT 閘道嗎？

是，NAT 閘道可以搭配 Azure 防火牆使用。 建議使用 StandardV2 NAT 閘道器搭配區域冗餘防火牆。 如需 NAT 閘道與 Azure 防火牆間整合的詳細資訊，請參閱使用 NAT 閘道調整 SNAT 連接埠。

我可以使用 NAT 閘道搭配 Azure 虛擬網路服務端點或 Azure Private Link 嗎？

是，新增 NAT 閘道至有服務端點的子網路，不會影響端點。 虛擬網路服務端點會為其代表的目的地 Azure 服務流量，啟用更明確的路由。 服務端點的流量會周遊 Azure 骨幹，而不是網際網路。 當您直接從 Azure 網路連線到 Azure 平台即服務 (PaaS) 時，建議您使用 Private Link 優先於服務端點。

是否可以使用 Azure NAT 閘道搭配 Azure Databricks 工作區？

是。 如果您在工作區中啟用安全的叢集連線，則可以以兩個方式中的一個使用 NAT 閘道搭配 Azure Databricks：

• 如果您使用安全的叢集連線與 Azure Databricks 所建立的預設虛擬網路，Azure Databricks 會自動為工作區子網路的輸出流量建立 NAT 閘道。 NAT 閘道是在由 Azure Databricks 管理的受控資源群組中建立。 您無法修改此資源群組或在其中佈建的任何資源。
• 如果您在使用虛擬網路插入的工作區上啟用安全的叢集連線，您可以在工作區的兩個子網路上部署 NAT 閘道，以提供輸出連線。 在此情況下，您可以修改自訂輸出連線需求的設定。 如需詳細資訊，請參閱安全叢集連線能力。

是否支援 NAT 閘道搭配 Azure SQL 受控執行個體一起使用？

不可以，NAT 閘道無法在 SQL 受控執行個體子網路上使用。

後續步驟

如果這裡未列出您的問題，請傳送有關此頁面的意見反應，並附上您的問題。 此資訊會為產品小組建立 GitHub 問題，以確保所有的重要客戶問題都會獲得解答。

以下是使用 Azure NAT 閘道的常見問題的一些解答。

Azure NAT 閘道是 Azure 虛擬網路的完全受控、高度復原性的輸出連線解決方案。 若要達到安全且可調整的輸出連線能力，請將 NAT 閘道連接至虛擬網路內的子網路，以及至少一個靜態公用 IP 位址。

請參閱 Azure NAT 閘道定價。

請參閱 Azure NAT 閘道限制。

每個區域每個訂用帳戶允許的 NAT 閘道資源數目會根據供應項目類別類型而有所不同，例如免費試用、隨用隨付、雲端解決方案提供者 (CSP) 和 Enterprise 合約。 Enterprise 合約和 CSP 供應項目類型最多可以有 1,000 個 NAT 閘道資源。 贊助和隨用隨付供應項目類型最多可以有 100 個 NAT 閘道資源。 所有其他供應項目類型，例如免費試用，最多可以有 15 個 NAT 閘道資源。

否，NAT 閘道資源一次不能搭配多個訂用帳戶使用。 如需逐步指導，請參閱在區域移動之後建立及設定 NAT 閘道。

否，NAT 閘道無法跨訂用帳戶、區域或資源群組移動。 必須針對其他訂用帳戶、區域或資源群組建立新的 NAT 閘道。

NAT 閘道提供虛擬網路的輸出連線能力。 直接回應輸出流程的退回流量也可以通過 NAT 閘道。 直接來自網際網路的輸入流量不能通過 NAT 閘道。

對於標準 SKU NAT 閘道器，請使用虛擬網路流量日誌。 虛擬網路 (VNet) 流量記錄是 Azure 網路監看員的一項功能，會針對流經 Azure 虛擬網路的 IP 流量來記錄相關資訊。 來自虛擬網路流程記錄的流程資料會傳送至 Azure 儲存體。 您可以從該處存取資料，並將其匯出至任何視覺效果工具、安全性資訊與事件管理 (SIEM) 解決方案，或入侵偵測系統 (IDS)。

VNet 流量記錄會為您的虛擬機器提供連線資訊。 連線資訊包含來源 IP 和通訊埠，以及目的地 IP 和通訊埠、連線狀態。 也會記錄流量方向和流量大小 (傳送的封包和位元組的數量)。 VNet 流量記錄中指定的來源 IP 和連接埠適用於虛擬機器，而不是 NAT 閘道。

如需建立及管理虛擬網路流量記錄的一般指引，請參閱管理虛擬網路流量記錄。

對於 StandardV2 NAT 閘道，提供 NAT 閘道流程日誌，並提供透過 NAT 閘道的流量 IP 層級資訊。 欲了解更多資訊，請參閱 分析 NAT 閘道流量日誌。

若要刪除 NAT 閘道資源，必須先解除資源和子網路間的關聯。 NAT 閘道資源解除與所有子網路間的關聯之後，就可以刪除它。 如需指引，請參閱從現有的子網路移除 NAT 閘道資源並刪除資源。

否，NAT 閘道針對傳輸控制通訊協定 (TCP) 或使用者資料包通訊協定 (UDP) 不支援 IP 片段。

StandardV2 NAT 閘道器是 Azure NAT 閘道服務中新增的 SKU 產品。 StandardV2 NAT 閘道器提供區域冗餘支援、增強的資料處理限制、IPv6 支援、流量日誌，以及相較於原始標準 NAT 閘道器更高的擴展性。 欲了解更多資訊，請參閱 NAT 閘道 SKU。

不，你不能將現有的標準 NAT 閘道升級為 StandardV2 NAT 閘道器。 要從 Standard 遷移到 StandardV2 NAT 閘道，請建立一個新的 StandardV2 NAT 閘道資源，並將其與你的子網關聯。

是的，想了解更多，請參閱 StandardV2 NAT 閘道的 已知問題 與 限制 。

不，價格沒有差異。 Standard 和 StandardV2 NAT 閘道器的價格是一樣的。 欲了解更多資訊，請參閱 Azure NAT Gateway 價格 。

不行，標準公有 IP 不能用在 StandardV2 NAT 閘道上。 要使用 StandardV2 NAT 閘道，必須使用 StandardV2 的公共 IP。 欲了解更多資訊，請參閱 NAT 閘道 SKU。

不，StandardV2 NAT 閘道器一次只能連接到單一虛擬網路。

標準 NAT 閘道所提供的相同指標，也適用於 StandardV2 NAT 閘道。 欲了解更多資訊，請參閱 NAT 閘道指標。

不，StandardV2 NAT 閘道器在大多數公共區域都有提供。 欲了解更多尚未支援 StandardV2 NAT 閘道的區域，請參閱 已知限制。

SNAT 連線計數計量會顯示每秒建立的新來源網路位址轉換 (SNAT) 連線數目。 SNAT 連線計數總計計量會顯示 NAT 閘道資源上作用中的連線總數。

NAT 閘道沒有 SNAT 連接埠使用計量。 使用 SNAT 連線計數和 SNAT 連線總計計數計量來協助您評估 NAT 閘道資源的 SNAT 容量。

您可以使用 計量 REST API來擷取 NAT 閘道計量。 或者，您可以選取 [共用]，然後從 Azure 入口網站中的 [NAT 閘道計量] 窗格按一下 [下載至 Excel]。

否，無法使用診斷設定匯出 NAT 閘道計量。 NAT 閘道計量是多維度。 診斷設定不支援匯出多維度計量。

NAT 閘道會在連接至公用 IP 位址或前置詞和子網路之後，自動將輸出連線到網際網路。 NAT 閘道優先於具有輸出規則的 Azure Load Balancer、虛擬機器 (VM) 上的執行個體層級公用 IP 位址，以及用於輸出連線的 Azure 防火牆。

否，連線不會中斷。 與先前輸出服務的現有連線 (負載平衡器、Azure 防火牆、執行個體層級公用 IP 位址) 會繼續運作，直到這些連線關閉為止。 將 NAT 閘道新增至虛擬網路的子網路之後，所有新的連線都會使用 NAT 閘道進行輸出連線。

不過，StandardV2 NAT Gateway 與使用負載平衡器、防火牆或虛擬機器執行個體層級公用 IP 的現有連線存在已知問題。 新增 StandardV2 NAT 閘道器至子網後，現有與其他外發連接方式的連線將中斷。 所有網路新連線都會使用 StandardV2 NAT 閘道。 想了解更多，請參見 已知問題。

否，NAT 閘道的公用 IP 位址無法直接透過網際網路連線至私人 IP。

與公用 IP 位址相關聯的任何作用中連線都會在移除公用 IP 位址時終止。 如果 NAT 閘道資源有多個公用 IP，新的流量會散發在指派的 IP 之間。

有幾個可能的原因，原因是您可能會看到不同的 IP 用來連線輸出，而不是與 NAT 閘道相關聯的 IP。 若要協助進行疑難排解，請參閱 Azure NAT 閘道連線疑難排解指南。

不，NAT 閘道與主動 FTP 模式不相容。 當 NAT 閘道器被設定時，主動 FTP 模式下的用戶端通道與資料通道會使用不同的 IP，因此 FTP 伺服器會將連線視為無效。 如需詳細資訊，請參閱 NAT 閘道連線疑難排解指南，以了解主動或被動 FTP 模式的連線失敗問題。

NAT 閘道可與被動 FTP 模式一起使用，但前提是只有在將一個公用 IP 位址設定給 NAT 閘道時。 FTP 被動模式無法在設定有公用 IP 前置詞或多個公用 IP 位址的 NAT 閘道上運作。 當具有多個公用 IP 位址的 NAT 閘道傳送流量輸出時，會為來源 IP 位址隨機選取其中一個公用 IP 位址。 當資料和控制通道使用不同的來源 IP 位址時，FTP 被動模式會失敗。 如需詳細資訊，請參閱 NAT 閘道連線疑難排解指南，以了解主動或被動 FTP 模式的連線失敗問題。

不，NAT 閘道的公有 IP 不會用來連接同一區域的儲存帳號。 與 Azure 儲存體帳戶部署在相同區域中的服務會使用私人 Azure IP 位址進行通訊。 您無法根據其公用輸出 IP 位址範圍來限制對特定 Azure 服務的存取。 如需詳細資訊，請參閱 IP 網路規則的限制。

NAT 閘道會使用子網路系統預設網際網路的路徑，將流量路由傳送至網際網路。 如果建立使用者定義的路由以將 0.0.0.0/0 流量導向至下一個躍點類型網路虛擬設備 (NVA) 或虛擬網路閘道，流量就不會通過 NAT 閘道。

子網路由表上不需要任何設定，才能開始使用 NAT 閘道來連線輸出。 將 NAT 閘道指派給子網路時，NAT 閘道會成為所有網際網路目的地流量的下一個躍點類型。 一旦 NAT 閘道指派給子網路和至少一個公用 IP 位址，流量就可以開始將輸出連線到網際網路。

是，NAT 閘道可以部署，而不需要公用 IP 位址或前置詞和子網路。 不過，在您連接至少一個公用 IP 位址或前置詞和子網路後，才能運作。

是，NAT 閘道上的公用 IP 位址已修正且不會變更。

NAT 閘道最多可使用 16 個公用 IP 位址。 NAT 閘道可使用公用 IP 位址與公用 IP 前置詞的任意組合，總計 16 個位址。 NAT 閘道支援以下前綴大小：/28（16 個位址）、/29（8 個位址）、/30（4 個位址）和 /31（2 個位址）。

你可以使用公共 IP 前綴和由自訂 IP 前綴衍生的位址，也稱為自帶 IP（BYOIP），搭配標準 SKU NAT 閘道器。 StandardV2 NAT 閘道不支援自訂 IP。 若要深入瞭解，請參閱自訂 IP 位址前置詞 (BYOIP)。

標準的 SKU NAT 閘道不支援 IPv6 公用 IP 位址。 StandardV2 NAT 閘道器可與最多 16 個 IPv6 公共 IP 位址或 /124 大小的前綴關聯。

不可以，NAT 閘道不支援路由喜好設定為「網際網路」的公用 IP 位址。若要查看在公用 IP 上支援路由設定類型「網際網路」的 Azure 服務清單，請參閱透過公用網際網路進行路由的受支援服務。

否，NAT 閘道不支援已啟用 DDoS 保護的公用 IP 位址。 DDoS 保護的 IP 通常對於輸入流量更為重要，因為大部分的 DDoS 攻擊都是被設計成透過向目標注入大量傳入流量來壓垮目標的資源。 如需 DDoS 保護的 IP 的詳細資訊，請參閱 DDoS 限制。

可以，您可以變更與現有 NAT 閘道相關聯的公用 IP 位址。 如果您需要變更 NAT 閘道上的公用 IP 位址，請參閱新增或移除公用 IP 位址以取得指導。 StandardV2 SKU 的公有 IP 無法與標準 NAT 閘道相容。 StandardV2 SKU 的公用 IP 只能搭配 StandardV2 NAT 閘道器使用。

您的子網路資源可以使用連接至 NAT 閘道的任何公用 IP 位址來進行輸出連線。 每次透過 NAT 閘道建立新的輸出連線時，都會隨機選取輸出公用 IP。

否。 不支援將 IP 指派給 NAT 閘道所設定子網路中的特定子網路或 VM 執行個體。

否，NAT 閘道無法連結至多個虛擬網路。

是的，NAT 閘道器可以與虛擬網路中最多 800 個子網關聯。 不需要與虛擬網路內的所有子網路建立關聯。

否，NAT 閘道無法與閘道子網路相關聯。 閘道子網是為 VPN 閘道資源保留的，無法與 NAT 閘道部署相容。 若要使用 NAT 閘道，請將它連結至同一個虛擬網路內的任何其他子網路。

否，NAT 閘道會依據子網路的屬性運作，因此無法將多個 NAT 閘道連接至單一子網路。

來自輪輻虛擬網路的流量可以透過 NVA 或 Azure 防火牆路由傳送至集中式中樞虛擬網路。 NAT 閘道接著可以從集中式中樞網路為所有輪輻虛擬網路提供輸出連線。 若要使用 NVA 在中樞和輪輻架構中設定 NAT 閘道，請參閱在中樞和輪輻網路中使用 NAT 閘道。 若要在中樞和輪輻設定中使用 NAT 閘道搭配 Azure 防火牆，請參閱整合 NAT 閘道與 Azure 防火牆。

標準的 NAT 閘道可以是區域式，也可以設於「無區」。Azure 會為你設置一個無區 NAT 閘道器。 區域性 NAT 閘道會在建立時由使用者關聯至特定區域。 StandardV2 NAT 閘道僅具備區域冗餘。 若某區域單一區域故障，StandardV2 NAT 閘道器仍可存活，並提供來自其他健康區域的外出連線。 部署之後，就無法變更 NAT 閘道的分區設定。

區域備援的標準 SKU 公用 IP 位址和前置詞可以附加到無區域或區域的標準 SKU NAT 閘道。 StandardV2 SKU 的公共 IP 僅具備區域冗餘性，且只能與同樣為區域冗餘的 StandardV2 NAT 閘道使用。 如需詳細資訊，請參閱 Azure NAT 閘道和可用性區域。

不，Standard 和 StandardV2 NAT 閘道器不相容於基本的 SKU 資源。 若要深入了解，請參閱 Azure NAT 閘道基本概念。 將您的基本負載平衡器和基本公用 IP 位址升級為標準，以使用 NAT 閘道。 如需更多說明：

• 若要將基本負載平衡器升級為標準負載平衡器，請參閱升級 Azure 公用負載平衡器。
• 若要將基本公用 IP 升級為標準公用 IP，請參閱升級公用 IP 位址。
• 若要將具有連接 VM 的基本公用 IP 升級為標準公用 IP，請參閱 使用連結的 VM 升級基本公用 IP 位址。

不，當在使用預設出站存取的子網路新增 NAT 閘道時，不會有停機。 在子網新增 NAT 閘道後，所有新連線都會開始使用 NAT 閘道，而非預設的出站存取。 任何預設出站存取權的連線都會持續存在，直到連線關閉為止。

在啟用私人子網路功能之前，您可以為虛擬機器設定明確的輸出連線方法，例如 NAT 閘道，以確保它們會繼續與網際網路保持輸出連線。

在某些情況下，即使設定了NAT閘道或將流量導向NVA/防火牆的UDR系統，非私有子網中的虛擬機仍會被分配預設的出站IP。 這並不意味著，除非移除那些明確的輸出連線方法，否則預設的輸出 IP 位址會用於輸出流量。 若要完全移除預設的輸出 IP，子網路必須為私人，而且虛擬機器必須停止並解除配置。

針對 TCP 連線，閒置逾時計時器預設為 4 分鐘，且可設定最多 120 分鐘。 如果您需要維護長連線流程，請使用 TCP keepalives，而不是擴充閑置逾時計時器。 TCP keepalives 會維護長時間的作用中連線。

UDP 閑置逾時計時器設定為 4 分鐘，且無法設定。

當 TCP/UDP 連線關閉時，連接埠會置於緩和期間，才能重複使用以連線到相同的目的地端點。 如需詳細資訊，請參閱 SNAT 連接埠重複使用計時器。 前往不同目的地的連線可以立即使用 SNAT 連接埠。 如需詳細資訊，請參閱 SNAT 搭配 NAT 閘道。

是，NAT 閘道可與 Azure App Service 搭配使用，以允許應用程式將輸出流量從虛擬網路導向網際網路。 若要整合使用 NAT 閘道和 Azure App Service，必須啟用區域虛擬網路整合。 如需啟用虛擬網路和 NAT 閘道間的整合，請參閱 Azure NAT 閘道整合。

是。 標準 NAT 閘道器可用作受管理 NAT 閘道或使用者協作 NAT 閘道。 StandardV2 NAT 閘道只能作為使用者指定的 NAT 閘道使用。 如需 NAT 閘道與 Azure Kubernetes Service 整合的詳細資訊，請參閱受控 NAT 閘道。

若要管理 AKS 叢集，叢集需要與其 API 伺服器進行互動。 在非私有叢集中，API 伺服器叢集流量會透過叢集的 出站類型路由與處理。 當叢集輸出類型設定為 NAT 閘道時，API 伺服器流量會透過 NAT 閘道作為公用流量進行處理。 為防止 API 伺服器流量作為公用流量進行處理，請考慮使用私人叢集或使用 API 伺服器 VNet 整合功能 (預覽版)。

是，NAT 閘道可以搭配 Azure 防火牆使用。 建議使用 StandardV2 NAT 閘道器搭配區域冗餘防火牆。 如需 NAT 閘道與 Azure 防火牆間整合的詳細資訊，請參閱使用 NAT 閘道調整 SNAT 連接埠。

是，新增 NAT 閘道至有服務端點的子網路，不會影響端點。 虛擬網路服務端點會為其代表的目的地 Azure 服務流量，啟用更明確的路由。 服務端點的流量會周遊 Azure 骨幹，而不是網際網路。 當您直接從 Azure 網路連線到 Azure 平台即服務 (PaaS) 時，建議您使用 Private Link 優先於服務端點。

是。 如果您在工作區中啟用安全的叢集連線，則可以以兩個方式中的一個使用 NAT 閘道搭配 Azure Databricks：

• 如果您使用安全的叢集連線與 Azure Databricks 所建立的預設虛擬網路，Azure Databricks 會自動為工作區子網路的輸出流量建立 NAT 閘道。 NAT 閘道是在由 Azure Databricks 管理的受控資源群組中建立。 您無法修改此資源群組或在其中佈建的任何資源。
• 如果您在使用虛擬網路插入的工作區上啟用安全的叢集連線，您可以在工作區的兩個子網路上部署 NAT 閘道，以提供輸出連線。 在此情況下，您可以修改自訂輸出連線需求的設定。 如需詳細資訊，請參閱安全叢集連線能力。

不可以，NAT 閘道無法在 SQL 受控執行個體子網路上使用。

後續步驟

如果這裡未列出您的問題，請傳送有關此頁面的意見反應，並附上您的問題。 此資訊會為產品小組建立 GitHub 問題，以確保所有的重要客戶問題都會獲得解答。