この記事では、NAT ゲートウェイを正しく構成し、構成とデプロイに関連する一般的な問題のトラブルシューティングを行う方法に関するガイダンスを提供します。
Important
Standard V2 SKU Azure NAT Gateway は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
NAT ゲートウェイ構成の基本
これらの設定を確認して、NAT ゲートウェイ経由の送信トラフィックを有効にします。
Standard NAT ゲートウェイ
少なくとも 1 つのパブリック IP アドレスまたは 1 つのパブリック IP プレフィックスが NAT ゲートウェイにアタッチされています。 少なくとも 1 つのパブリック IP アドレスが NAT ゲートウェイに関連付けられていて、送信接続を提供できなければなりません。
少なくとも 1 つのサブネットが NAT ゲートウェイに接続されています。 継続送信のため複数のサブネットを NAT ゲートウェイに接続できますが、それらのサブネットが同じ仮想ネットワーク内に存在する必要があります。 NAT ゲートウェイは、複数の仮想ネットワークにまたがることはできません。
ネットワーク セキュリティ グループ (NSG) ルールまたはユーザー定義ルート (UDR) は、NAT ゲートウェイによるインターネットへの送信トラフィックの転送をブロックしていません。
StandardV2 NAT ゲートウェイ
少なくとも 1 つのパブリック IP アドレスまたは 1 つのパブリック IP プレフィックスが NAT ゲートウェイにアタッチされています。 少なくとも 1 つのパブリック IP アドレスが NAT ゲートウェイに関連付けられていて、送信接続を提供できなければなりません。
少なくとも 1 つのサブネットが StandardV2 NAT ゲートウェイに接続されています。 継続送信のため複数のサブネットを NAT ゲートウェイに接続できますが、それらのサブネットが同じ仮想ネットワーク内に存在する必要があります。 NAT ゲートウェイは、複数の仮想ネットワークにまたがることはできません。
ネットワーク セキュリティ グループ (NSG) ルールまたはユーザー定義ルート (UDR) は、NAT ゲートウェイによるインターネットへの送信トラフィックの転送をブロックしていません。
StandardV2 NAT ゲートウェイの可用性
StandardV2 NAT ゲートウェイは、次の Azure リージョンでは使用できません。
- カナダ東部
- インド中部
- チリ中部
- インドネシア中部
- イスラエル北西部
- マレーシア西部
- カタール中部
- アラブ首長国連邦中部
接続を検証する方法
NAT ゲートウェイ では、ユーザー データグラム プロトコル (UDP) プロトコルと伝送制御プロトコル (TCP) プロトコルがサポートされます。
注
NAT ゲートウェイは ICMP プロトコルをサポートしていません。 ICMP プロトコルを使用した ping はサポートされていないため、失敗することが予想されます。
NAT ゲートウェイのエンドツーエンド接続を検証するには、次の手順に従います。
NAT ゲートウェイのパブリック IP アドレスが使用されていないことを確認します。
TCP 接続テストと UDP 固有アプリケーション層のテストを行います。
NSG フロー ログを見て、NAT ゲートウェイからの送信トラフィック フローを分析します。
NAT ゲートウェイの接続を検証するために使用するツールについては、次の表を参照してください。
| オペレーティング システム | 汎用 TCP 接続テスト | TCP アプリケーション レイヤー テスト | UDP |
|---|---|---|---|
| Linux |
nc (汎用接続テスト) |
curl (TCP アプリケーション レイヤー テスト) |
アプリケーション固有 |
| ウィンドウズ | PsPing | PowerShell Invoke-WebRequest | アプリケーション固有 |
送信接続を分析する方法
Standard NAT ゲートウェイからの送信トラフィックを分析するには、仮想ネットワーク (VNet) フロー ログを使用します。 VNet フロー ログは、仮想マシンの接続情報を提供します。 接続情報には、送信元 IP とポート、宛先 IP とポート、および接続の状態が含まれます。 トラフィック フローの方向と、トラフィックのサイズ (送信されたパケットおよびバイト数) もログに記録されます。 VNet フロー ログ内で明示されているソース IP とポートは仮想マシンのものであり、NAT ゲートウェイのものではありません。
VNet フロー ログの詳細については、仮想ネットワーク フロー ログの概要を参照してください。
VNet フロー ログを有効にする方法のガイドについては、「仮想ネットワーク フロー ログの管理」を参照してください。
Log Analytics ワークスペースのログ データにアクセスすることをお勧めします。このワークスペースでは、送信トラフィックのデータのクエリとフィルター処理を行うこともできます。 Log Analytics の使用方法の詳細については、「Log Analytics チュートリアル」を参照してください。
VNet フロー ログ スキーマの詳細については、 トラフィック分析スキーマとデータ集計に関するページを参照してください。
StandardV2 NAT Gateway では、Azure Monitor を介した NAT ゲートウェイ フロー ログがサポートされます。 NAT ゲートウェイ フロー ログは、NAT ゲートウェイを通過するトラフィックを可視化します。 詳細については、「 フロー ログを使用した NAT ゲートウェイ トラフィックの分析」を参照してください。
NAT ゲートウェイが失敗状態にある
NAT ゲートウェイ リソースが失敗状態の場合、送信接続エラーが発生する可能性があります。 NAT ゲートウェイを失敗状態から抜け出させるには、次の手順に従います。
失敗状態のリソースを特定します。 Azure Resource Explorer に移動し、この状態のリソースを特定します。
右上隅のトグルを、[読み取り/書き込み] に更新します。
失敗状態のリソースに対して [編集] をクリックします。
[PUT]、[GET] の順に選択して、プロビジョニングの状態が [成功] に更新されたことを確認します。
その後は、リソースが失敗した状態ではなくなったので、他のアクションに進むことができます。
StandardV2 NAT ゲートウェイで障害が発生した状態の仮想ネットワークまたは NAT ゲートウェイ
2025 年 4 月より前に作成され、仮想マシンが含まれていない空のサブネットに StandardV2 NAT ゲートウェイを関連付けることにより、仮想ネットワークまたは NAT ゲートウェイのいずれかが失敗状態になる可能性があります。 この問題を解決するには、次の手順を実行します:
- サブネットまたは仮想ネットワークから StandardV2 NAT ゲートウェイを削除します。
- サブネットに仮想マシンを作成します。
- StandardV2 NAT ゲートウェイをサブネットまたは仮想ネットワークに再アタッチします。
NAT ゲートウェイを追加または削除する
NAT ゲートウェイを削除できない
リソースを削除する前に、仮想ネットワーク内のすべてのサブネットから NAT ゲートウェイをデタッチする必要があります。 詳細なガイダンスについては、「既存のサブネットから NAT ゲートウェイを削除する」と「リソースを削除する」をご覧ください。
サブネットを追加または削除する
NAT ゲートウェイを、既に別の NAT ゲートウェイに接続されているサブネットにアタッチできない
インターネットへの送信接続のために、仮想ネットワーク内のサブネットに複数の NAT ゲートウェイをアタッチすることはできません。 個々の NAT ゲートウェイ リソースは、同じ仮想ネットワーク内の複数のサブネットに関連付けることができます。 NAT ゲートウェイは、複数の仮想ネットワークにまたがることはできません。
Basic リソースが NAT ゲートウェイと同じサブネットに存在できない
NAT ゲートウェイは、Basic Load Balancer や Basic パブリック IP などの Basic リソースと互換性がありません。 基本的リソースは、NAT ゲートウェイに関連付けられていないサブネットに置く必要があります。 基本的ロード バランサーと基本パブリック IP を Standard にアップグレードして、NAT ゲートウェイで使用することができます。
基本的ロード バランサーを Standard にアップグレードするには、「Basic Public から Standard パブリックへのロード バランサーのアップグレード」を参照してください。
基本パブリック IP を Standard にアップグレードするには、「Basic Public から Standard パブリックへの IP へのアップグレード」を参照してください。
仮想マシンがアタッチされた Basic パブリック IP を Standard にアップグレードするには、「仮想マシンがアタッチされた Basic パブリック IP をアップグレードする」(/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine) に関する記事を参照してください。
NAT ゲートウェイをゲートウェイ サブネットにアタッチできない
NAT ゲートウェイは、ゲートウェイ サブネットにデプロイできません。 ゲートウェイ サブネットは、VPN ゲートウェイが暗号化されたトラフィックを Azure 仮想ネットワークとオンプレミスの場所の間で送信するために使用されます。 VPN ゲートウェイの概要に関するページで、VPN ゲートウェイでゲートウェイ サブネットを使用する方法の詳細をご覧ください。 NAT ゲートウェイを使用するには、同じ仮想ネットワーク内の他のサブネットに接続します。
失敗状態の仮想マシン ネットワーク インターフェイスを含むサブネットに NAT ゲートウェイをアタッチできない
失敗状態の仮想マシン ネットワーク インターフェイス (ネットワーク インターフェイス) を含むサブネットに NAT ゲートウェイを関連付けようとすると、このアクションを実行できないことを示すエラー メッセージが表示されます。 NAT ゲートウェイをサブネットにアタッチするには、まず、仮想マシン ネットワーク インターフェイスの失敗状態を解決する必要があります。
仮想マシン ネットワーク インターフェイスを失敗状態から抜け出させるには、次の 2 つの方法のいずれかを使用できます。
PowerShell を使用して仮想マシン ネットワーク インターフェイスを失敗状態から抜け出させる
Get-AzNetworkInterface PowerShell コマンドを使用し、"provisioningState" の値を "Succeeded" に設定して、ネットワーク インターフェイスのプロビジョニングの状態を判断します。
ネットワーク インターフェイスで GET/SET PowerShell コマンドを実行します。 これらの PowerShell コマンドによって、プロビジョニングの状態が更新されます。
ネットワーク インターフェイスのプロビジョニングの状態を再度調べて、この操作の結果を確認します (手順 1 のコマンドに従います)。
Azure Resource Explorer を使用して仮想マシン ネットワーク インターフェイスを失敗状態から抜け出させる
Azure Resource Explorer に移動します (Microsoft Edge ブラウザーを使用することをお勧めします)
[サブスクリプション] を展開します (表示されるまで数秒かかります)。
失敗状態の仮想マシン ネットワーク インターフェイスを含むサブスクリプションを展開します。
resourceGroups を展開します。
失敗状態の仮想マシン ネットワーク インターフェイスを含む、正しいリソース グループを展開します。
プロバイダーを展開します。
Microsoft.Network を展開します。
networkInterfaces を展開します。
プロビジョニングの状態が失敗になっているネットワーク インターフェイスを選択します。
上部の [読み取り/書き込み] ボタンを選択します。
緑色の [取得] ボタンを選択します。
青色の [編集] ボタンを選択します。
緑色の [配置] ボタンを選択します。
上部の [読み取り専用] ボタンを選択します。
仮想マシン ネットワーク インターフェイスのプロビジョニングの状態が成功になっているはずです。 ブラウザーは閉じてもかまいません。
パブリック IP アドレスを追加または削除する
Standard NAT ゲートウェイで 16 個のパブリック IP アドレスを超えることはできません
Standard SKU NAT ゲートウェイは、16 個を超える IPv4 パブリック IP アドレスに関連付けることはできません。 NAT ゲートウェイではパブリック IP アドレスとプレフィックスの任意の組み合わせを使用できますが、合計 16 個の IP アドレスまでです。 パブリック IP を追加または削除するには、「パブリック IP アドレスを追加または削除する」を参照してください。
NAT ゲートウェイでは、次の IP プレフィックス サイズを使用できます。
/28 (16 個のアドレス)
/29 (8 個のアドレス)
/30 (4 個のアドレス)
/31 (2 個のアドレス)
IPv6 の共存
Standard SKU NAT ゲートウェイ では、IPv4 UDP プロトコルと TCP プロトコルがサポートされます。 Standard SKU NAT ゲートウェイを IPv6 パブリック IP アドレスまたは IPv6 パブリック IP プレフィックスに関連付けることはできません。
StandardV2 SKU NAT ゲートウェイに Standard SKU パブリック IP を追加できない
Standard SKU パブリック IP は、StandardV2 SKU NAT ゲートウェイではサポートされていません。 StandardV2 NAT ゲートウェイに追加できるのは、StandardV2 SKU パブリック IP のみです。
StandardV2 SKU パブリック IP を Standard SKU NAT ゲートウェイに追加できない
StandardV2 SKU パブリック IP は、Standard SKU NAT ゲートウェイまたはその他の Azure リソースではサポートされていません。 Standard NAT ゲートウェイに追加できるのは、Standard SKU のパブリック IP のみです。
NAT ゲートウェイで Basic パブリック IP を使用できない
NAT ゲートウェイは、基本的なパブリック IP アドレスを含む基本的なリソースでは使用できません。 NAT ゲートウェイで使用するために Basic パブリック IP アドレスをアップグレードするには、ガイダンス「パブリック IP アドレスをアップグレードする」を参照してください。
StandardV2 NAT ゲートウェイでカスタム IP プレフィックス (BYOIP) を使用できない
カスタム IP プレフィックス (BYOIP パブリック IP) は、StandardV2 NAT ゲートウェイではサポートされていません。 StandardV2 SKU Azure パブリック IP のみがサポートされています。
カスタム IP は、Standard NAT ゲートウェイでサポートされています。
NAT ゲートウェイと共にインターネット ルーティング優先設定でパブリック IP を使用できない
NAT ゲートウェイがパブリック IP アドレスで構成されている場合、トラフィックは Microsoft ネットワーク経由でルーティングされます。 NAT ゲートウェイは、ルーティング優先設定で [インターネット] を選択してパブリック IP に関連付けることはできません。 NAT ゲートウェイは、ルーティング優先設定で [Microsoft グローバル ネットワーク] を選択した場合にのみ、パブリック IP に関連付けることができます。 ルーティング優先設定で [インターネット] が選択されているパブリック IP をサポートしていないすべての Azure サービスの一覧については、サポートされているサービスを参照してください。
パブリック IP アドレスと Standard NAT ゲートウェイのゾーンが一致しない
Standard NAT ゲートウェイは、特定のゾーン ( ゾーン リソース) または "ゾーンなし" に指定できます。NAT ゲートウェイが "ゾーンなし" に配置されている場合、Azure は NAT ゲートウェイをゾーンに配置しますが、NAT ゲートウェイが配置されているゾーンを把握できません。
Standard NAT ゲートウェイは、独自の可用性ゾーンの構成に応じて、特定のゾーン、ゾーンなし、すべてのゾーン (ゾーン冗長) に指定された Standard パブリック IP アドレスと共に使用できます。
| NAT ゲートウェイの可用性ゾーンの指定 | 使用できるパブリック IP アドレス / プレフィックスの指定 |
|---|---|
| ゾーンなし | ゾーン冗長、ゾーンなし、またはゾーン ベース (ゾーンなし NAT ゲートウェイで使用するためには、パブリック IP のゾーン指定はリージョン内の任意のゾーンにすることができます) |
| 特定のゾーンに指定 | ゾーン冗長またはゾーン パブリック IP を使用できます |
注
NAT ゲートウェイが存在するゾーンを知る必要がある場合は、必ず特定の可用性ゾーンに指定してください。 または、ゾーン冗長 StandardV2 NAT ゲートウェイを使用します。
NAT Gateway で DDoS で保護されたパブリック IP を使用できない
DDoS 保護が有効になっているパブリック IP アドレスは、NAT Gateway ではサポートされていません。 DDoS で保護された IP は受信トラフィックにとってより重要です。ほとんどの DDoS 攻撃は、大量の受信トラフィックでターゲットのリソースをあふれさせて、ターゲットのリソースを圧倒するように設計されているためです。 DDoS 保護の詳細については、次の記事を参照してください。
既定の送信アクセス
NAT ゲートウェイが存在するにもかかわらず、仮想マシン NIC に既定の送信 IP が引き続き存在する
既定の送信 IP が仮想マシンまたは仮想マシン スケール セット インスタンスに割り当てられているかどうかを追跡する NIC レベルのパラメーター (defaultOutboundConnectivityEnabled) があります。
場合によっては、NAT ゲートウェイや NVA/ファイアウォールにトラフィックを送信する UDR などの明示的な送信方法が構成されている場合でも、既定の送信 IP はプライベート以外のサブネット内の仮想マシンに割り当てられます。 これらの明示的なメソッドが削除されない限り、既定の送信 IP はエグレスには使用されません。 サブネットをプライベートにして既定の送信 IP を削除し、仮想マシンで停止と割り当てを解除します。
その他のトラブルシューティングのガイダンス
発生している問題がこの記事で取り上げられていない場合は、NAT ゲートウェイのトラブルシューティングに関する他の記事を参照してください。
次のステップ
この記事に記載されていない、または解決されていない NAT ゲートウェイの問題が発生している場合は、このページの下部から GitHub にアクセスしてフィードバックをお送りください。 お客様のエクスペリエンスを向上させるために、できるだけ早くフィードバックに対応いたします。
NAT ゲートウェイの詳細については、次の記事を参照してください。