Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera wskazówki dotyczące poprawnego konfigurowania bramy NAT oraz rozwiązywania typowych problemów związanych z konfiguracją i wdrażaniem.
Ważne
Standardowe SKU V2 Brama NAT platformy Azure jest w fazie podglądu. Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Podstawy konfiguracji bramy NAT
Sprawdź te ustawienia, aby włączyć ruch wychodzący przez bramę NAT.
Standardowa brama NAT
Co najmniej jeden publiczny adres IP lub jeden prefiks publicznego adresu IP jest dołączony do bramy NAT. Aby zapewnić łączność wychodzącą, co najmniej jeden publiczny adres IP musi być skojarzony z bramą translatora adresów sieciowych.
Co najmniej jedna podsieć jest dołączona do bramy NAT. Można dołączyć wiele podsieci do bramy NAT na potrzeby ruchu wychodzącego, ale te podsieci muszą istnieć w tej samej sieci wirtualnej. Brama NAT nie może obejmować więcej niż jednej sieci wirtualnej.
Żadna reguła sieciowej grupy zabezpieczeń (NSG) ani trasy zdefiniowane przez użytkownika (UDR) nie blokują bramy NAT od kierowania ruchu wychodzącego do Internetu.
Brama translatora adresów sieciowych w warstwie Standardowa 2
Co najmniej jeden publiczny adres IP lub jeden prefiks publicznego adresu IP jest dołączony do bramy NAT. Aby zapewnić łączność wychodzącą, co najmniej jeden publiczny adres IP musi być skojarzony z bramą translatora adresów sieciowych.
Co najmniej jedna podsieć jest dołączona do bramy NAT w wersji StandardV2. Można dołączyć wiele podsieci do bramy NAT na potrzeby ruchu wychodzącego, ale te podsieci muszą istnieć w tej samej sieci wirtualnej. Brama NAT nie może obejmować więcej niż jednej sieci wirtualnej.
Żadna reguła sieciowej grupy zabezpieczeń (NSG) ani trasy zdefiniowane przez użytkownika (UDR) nie blokują bramy NAT od kierowania ruchu wychodzącego do Internetu.
Dostępność bramy NAT w wersji StandardV2
Brama NAT StandardV2 nie jest dostępna w następujących regionach Azure:
- Kanada Wschodnia
- Indie Środkowe
- Chile Środkowe
- Indonezja Środkowa
- Izrael Północno-zachodni
- Malezja Zachodnia
- Katar Środkowy
- Środkowe Zjednoczone Emiraty Arabskie
Jak zweryfikować łączność
Brama NAT obsługuje protokoły UDP (User Datagram Protocol) i TCP (Transmission Control Protocol).
Uwaga / Notatka
Brama NAT nie obsługuje protokołu ICMP. Ping przy użyciu protokołu ICMP nie jest obsługiwany i oczekuje się, że nie powiedzie się.
Aby zweryfikować pełną łączność bramy NAT, wykonaj następujące kroki:
Zweryfikuj, czy używany jest publiczny adres IP bramy NAT.
Przeprowadź testy połączeń TCP i testy warstwy aplikacji specyficzne dla protokołu UDP.
Przejrzyj dzienniki przepływów sieciowej grupy zabezpieczeń, aby analizować ruch wychodzący z bramy NAT.
Zapoznaj się z poniższą tabelą zawierającą narzędzia do weryfikacji łączności bramy NAT.
| System operacyjny | Ogólny test połączenia TCP | Test warstwy aplikacji TCP | protokół UDP |
|---|---|---|---|
| Linux |
nc (ogólny test połączenia) |
curl (Test warstwy aplikacji TCP) |
specyficzne dla aplikacji |
| Windows | PsPing | PowerShell Invoke-WebRequest | specyficzne dla aplikacji |
Jak analizować łączność wychodzącą
Aby przeanalizować ruch wychodzący z bramy NAT Standard, użyj dzienników przepływu dla sieci wirtualnej (VNet). Dzienniki przepływu sieci wirtualnej zawierają informacje o połączeniu dla maszyn wirtualnych. Informacje o połączeniu zawierają źródłowy adres IP i port oraz docelowy adres IP i port oraz stan połączenia. Kierunek przepływu ruchu i rozmiar ruchu w liczbie pakietów i bajtów wysłanych również jest rejestrowany. Źródłowy adres IP i port określony w dzienniku przepływu sieci wirtualnej dotyczy maszyny wirtualnej, a nie bramy translatora adresów sieciowych.
Aby dowiedzieć się więcej na temat dzienników przepływów sieci wirtualnej, zobacz Omówienie dzienników przepływu sieci wirtualnej.
Aby uzyskać przewodniki dotyczące włączania dzienników przepływu sieci wirtualnej, zobacz Zarządzanie dziennikami przepływów sieci wirtualnej.
Zaleca się dostęp do danych dziennika w obszarach roboczych usługi Log Analytics , w których można również wykonywać zapytania i filtrować dane dla ruchu wychodzącego. Aby dowiedzieć się więcej na temat korzystania z usługi Log Analytics, zobacz Samouczek usługi Log Analytics.
Aby uzyskać więcej informacji na temat schematu dziennika przepływu sieci wirtualnej, zobacz Schemat analizy ruchu i agregacja danych.
Brama NAT StandardV2 obsługuje dzienniki przepływu bramy NAT w usłudze Azure Monitor. Dzienniki przepływu NAT Gateway umożliwiają przejrzystość ruchu przepływającego przez NAT Gateway. Aby uzyskać więcej informacji, zobacz Analizowanie ruchu bramy NAT za pomocą dzienników przepływów.
Brama translatora adresów sieciowych jest w stanie niepowodzenia
Jeśli zasób bramy NAT znajduje się w stanie niepowodzenia, może wystąpić błąd łączności wychodzącej. Aby wyprowadzić bramkę NAT z trybu awarii, wykonaj następujące instrukcje:
Zidentyfikuj zasób, który jest w stanie niepowodzenia. Przejdź do Eksploratora zasobów platformy Azure i zidentyfikuj zasób w tym stanie.
Zaktualizuj przełącznik w prawym górnym rogu na odczyt/zapis.
Wybierz Edytuj dla zasobu w stanie awarii.
Wybierz pozycję PUT, a następnie pozycję GET, aby upewnić się, że stan aprowizacji został zaktualizowany do pozycji Powodzenie.
Następnie możesz kontynuować z innymi działaniami, ponieważ zasób nie jest już w stanie awarii.
Sieć wirtualna lub brama NAT w stanie niepowodzenia z bramą NAT w wersji StandardowaV2
Skojarzenie NAT Gateway w warstwie StandardV2 z pustą podsiecią, która została utworzona przed kwietniem 2025 roku i nie zawiera żadnych maszyn wirtualnych, może spowodować wejście sieci wirtualnej lub bramy w stan błędu. Aby rozwiązać problem, wykonaj następujące kroki:
- Usuń bramę NAT StandardV2 z podsieci lub sieci wirtualnej.
- Utwórz maszynę wirtualną w podsieci.
- Ponownie dołącz bramę NAT StandardV2 do podsieci lub sieci wirtualnej.
Dodaj lub usuń bramę NAT
Nie można usunąć bramy NAT
Brama NAT musi być odłączona od wszystkich podsieci w sieci wirtualnej, aby można było usunąć zasób. Aby uzyskać szczegółowe instrukcje, zobacz sekcję Usuwanie bramy NAT z istniejącej podsieci i usuwanie zasobu.
Dodawanie lub usuwanie podsieci
Brama NAT nie może być dołączona do podsieci już połączonej z inną bramą NAT.
Podsieć w sieci wirtualnej nie może mieć dołączonej do niej więcej niż jednej bramy translatora adresów sieciowych na potrzeby nawiązywania połączenia wychodzącego z Internetem. Pojedynczy zasób bramy NAT można skojarzyć z wieloma podsieciami w tej samej sieci wirtualnej. Brama NAT nie może obejmować więcej niż jednej sieci wirtualnej.
Zasoby podstawowe nie mogą istnieć w tej samej podsieci co brama NAT
Brama NAT nie jest zgodna z podstawowymi zasobami, takimi jak podstawowy Load Balancer lub podstawowy adres IP. Zasoby podstawowe muszą być umieszczane w podsieci, która nie jest skojarzona z bramą NAT. Podstawowy moduł równoważenia obciążenia i podstawowy publiczny adres IP można uaktualnić do standardu, aby działać z bramą NAT.
Aby uaktualnić podstawowy moduł równoważenia obciążenia do warstwy Standard, zapoznaj się z artykułem uaktualnianie z podstawowego publicznego do standardowego publicznego modułu równoważenia obciążenia.
Aby uaktualnić podstawowy publiczny adres IP do standardowego, zobacz uaktualnianie z podstawowego publicznego do standardowego publicznego adresu IP.
Aby uaktualnić podstawowy publiczny adres IP z dołączoną maszyną wirtualną do standardu, zobacz [uaktualnianie podstawowego publicznego adresu IP przy użyciu dołączonej maszyny wirtualnej](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
Brama NAT nie może być przypisana do podsieci bramy
Nie można wdrożyć bramy NAT w podsieci bramowej. Podsieć bramy jest używana przez bramę sieci VPN do wysyłania zaszyfrowanego ruchu między siecią wirtualną Azure a lokalizacją lokalną. Zapoznaj się z Omówieniem bramy VPN, aby dowiedzieć się więcej o tym, jak podsieci bramy są używane przez bramę VPN. Aby użyć bramy NAT, dołącz ją do dowolnej innej podsieci w tej samej sieci wirtualnej.
Nie można dołączyć bramy NAT do podsieci zawierającej interfejs sieciowy maszyny wirtualnej w stanie awarii
Podczas kojarzenia bramy NAT z podsiecią zawierającą interfejs sieciowy maszyny wirtualnej, który jest w stanie awarii, wyświetlany jest komunikat o błędzie wskazujący, że nie można wykonać tej akcji. Najpierw należy rozwiązać problem z interfejsem sieciowym maszyny wirtualnej w stanie błędu, zanim można będzie podłączyć bramkę NAT do podsieci.
Aby uzyskać interfejs sieciowy maszyny wirtualnej ze stanu awarii, możesz użyć jednej z dwóch następujących metod.
Użyj programu PowerShell, aby uzyskać interfejs sieciowy maszyny wirtualnej ze stanu niepowodzenia
Określ stan przygotowania interfejsów sieciowych przy użyciu Get-AzNetworkInterface polecenia programu PowerShell i ustaw wartość parametru "provisioningState" na "Zakończone."
Wykonaj polecenia GET/SET programu PowerShell w interfejsie sieciowym. Polecenia programu PowerShell aktualizują stan aprowizacji.
Sprawdź wyniki tej operacji, sprawdzając ponownie stan aprowizacji interfejsów sieciowych (wykonaj polecenia z kroku 1).
Użyj eksploratora zasobów platformy Azure, aby uzyskać interfejs sieciowy maszyny wirtualnej ze stanu niepowodzenia
Przejdź do Eksploratora zasobów platformy Azure (zalecane do korzystania z przeglądarki Microsoft Edge)
Rozwiń Subskrypcje (zajmuje to kilka sekund, zanim się pojawi).
Rozwiń subskrypcję zawierającą interfejs sieciowy maszyny wirtualnej w stanie awarii.
Rozwiń resourceGroups.
Rozwiń poprawną grupę zasobów zawierającą interfejs sieciowy maszyny wirtualnej w stanie awarii.
Rozwiń dostawców.
Rozwiń węzeł Microsoft.Network.
Rozwiń networkInterfaces.
Wybierz interfejs sieciowy, który znajduje się w nieudanym stanie aprowizacji.
Wybierz przycisk Odczyt/Zapis u góry.
Wybierz zielony przycisk GET.
Wybierz niebieski przycisk EDYTUJ.
Wybierz zielony przycisk PUT.
Wybierz przycisk Tylko do odczytu u góry.
Interfejs sieciowy maszyny wirtualnej powinien być teraz w stanie pomyślnej aprowizacji. Możesz zamknąć przeglądarkę.
Dodawanie lub usuwanie publicznych adresów IP
Nie można przekroczyć 16 publicznych adresów IP w bramie NAT o standardowym poziomie
Brama NAT SKU typu Standard nie może być skojarzona z więcej niż 16 publicznymi adresami IPv4. Można użyć dowolnej kombinacji publicznych adresów IP i prefiksów z bramą NAT, tak aby łączna liczba nie przekraczała 16 adresów IP. Aby dodać lub usunąć publiczny adres IP, zobacz dodawanie lub usuwanie publicznego adresu IP.
Następujące rozmiary prefiksów IP mogą być używane z bramą NAT:
/28 (16 adresów)
/29 (8 adresów)
/30 (4 adresy)
/31 (2 adresy)
Współistnienie IPv6
Brama NAT SKU Standard obsługuje protokoły IPv4 UDP i TCP. Brama NAT w standardowej jednostce SKU nie może być skojarzona z publicznym adresem IP IPv6 ani z prefiksem publicznego adresu IP IPv6.
Nie można dodać publicznych adresów IP jednostki SKU Standardowa do bramy NAT jednostki SKU StandardowaV2.
Publiczne adresy IP jednostki SKU typu Standard nie są obsługiwane z bramą NAT jednostki SKU typu StandardV2. Tylko publiczne adresy IP SKU StandardowaV2 można dodać do bramy NAT StandardV2.
Nie można dodać publicznych adresów IP SKU StandardV2 do bramy NAT SKU Standardowej.
Publiczne adresy IP SKU StandardV2 nie są obsługiwane w przypadku bramy NAT SKU Standard ani żadnych innych zasobów platformy Azure. Tylko publiczne adresy IP SKU Standard mogą być dodane do standardowej bramy NAT.
Nie można używać podstawowych publicznych adresów IP z bramą NAT
Brama NAT nie może być używana z podstawowymi zasobami, w tym podstawowymi adresami IP. Możesz uaktualnić podstawowy publiczny adres IP, aby używać go z bramą NAT, stosując się do poniższych wskazówek: Uaktualnianie publicznego adresu IP.
Nie można używać niestandardowych prefiksów IP (BYOIP) z bramą NAT StandardV2.
Własne prefiksy adresów IP (publiczne adresy IP BYOIP) nie są obsługiwane przez bramę NAT StandardV2. Obsługiwane są tylko publiczne adresy IP Azure typu StandardV2 SKU.
Własne adresy IP są obsługiwane przez Standardową bramę NAT.
Nie można używać publicznych adresów IP razem z preferencjami routingu internetowego oraz bramą NAT.
Po skonfigurowaniu bramy NAT z publicznym adresem IP, ruch jest kierowany za pośrednictwem sieci Microsoft. Brama NAT nie może być skojarzona z publicznymi adresami IP z preferencją routingu Internet. NAT gateway może być skojarzony tylko z publicznymi adresami IP z preferencją routingu Microsoft Global Network. Zobacz obsługiwane usługi , aby uzyskać listę wszystkich usług platformy Azure, które obsługują publiczne adresy IP z preferencjami routingu internetowego.
Nie można mieszać stref adresów IP z bramą NAT w warstwie Standardowej.
Brama NAT w warstwie Standardowa może być przypisana do określonej strefy ( zasób strefowy) lub do "bez strefy". Gdy brama NAT jest umieszczana w "bez strefy", platforma Azure automatycznie przypisuje ją do strefy, ale nie masz wglądu w to, w której strefie znajduje się brama.
Standardowa brama NAT może być używana z publicznymi adresami IP Standardowej przypisanymi do określonej strefy, bez strefy, wszystkich stref (strefowo nadmiarowych) w zależności od konfiguracji jej strefy dostępności.
| Oznaczenie strefy dostępności bramy NAT | Publiczny adres IP/oznaczenie prefiksu, którego można użyć |
|---|---|
| Brak strefy | Strefowo nadmiarowe, bez strefy lub strefowe (oznaczenie strefy publicznej IP może być dowolną strefą w regionie w celu pracy z bramą NAT bez strefy) |
| Wyznaczone do określonej strefy | Można użyć strefowo nadmiarowych lub strefowych publicznych adresów IP |
Uwaga / Notatka
Jeśli musisz znać strefę, w której znajduje się brama NAT, pamiętaj, aby przypisać ją do określonej strefy dostępności. Możesz też użyć bramy NAT z nadmiarowym rozmieszczeniem w warstwie StandardowaV2.
Nie można używać publicznych adresów IP chronionych przez usługę DDoS z bramą NAT.
Brama NAT nie obsługuje publicznych adresów IP z włączoną ochroną przed atakami DDoS. Adresy IP chronione przed atakami DDoS są bardziej krytyczne dla ruchu przychodzącego, ponieważ większość ataków DDoS jest przeznaczona do przeciążenia zasobów docelowych przez zalanie ich dużą liczbą ruchu przychodzącego. Aby dowiedzieć się więcej na temat ochrony przed atakami DDoS, zapoznaj się z następującymi artykułami.
- Funkcje usługi Azure DDoS Protection
- Najlepsze rozwiązania dotyczące usługi Azure DDoS Protection
- Rodzaje ataków, które Azure DDoS Protection ogranicza
Domyślny dostęp wychodzący
Karty sieciowe maszyn wirtualnych nadal mają domyślne adresy IP ruchu wychodzącego, nawet gdy brama NAT jest obecna.
Parametr (defaultOutboundConnectivityEnabled) na poziomie NIC śledzi, czy domyślny wychodzący adres IP jest przydzielany do maszyny wirtualnej lub instancji zbioru skalowania maszyn wirtualnych.
W niektórych przypadkach domyślny adres IP ruchu wychodzącego jest nadal przypisywany do maszyn wirtualnych w podsieci nieprywatnej, nawet jeśli skonfigurowano jawną metodę dla ruchu wychodzącego, taką jak brama NAT lub UDR (trasa zdefiniowana przez użytkownika) kierująca ruch do wirtualnego urządzenia sieciowego/zapory. Domyślne adresy IP nie są używane do ruchu wychodzącego, chyba że te jawne metody zostaną usunięte. Usuń domyślne adresy IP ruchu wychodzącego, ustawiając podsieć jako prywatną i wykonując zatrzymanie i dealokowanie na maszynach wirtualnych.
Więcej wskazówek dotyczących rozwiązywania problemów
Jeśli problem, z którym się zmagasz, nie został opisany w tym artykule, zapoznaj się z innymi artykułami dotyczącymi rozwiązywania problemów z bramą NAT.
Rozwiązywanie problemów z łącznością wychodzącą za pomocą bramy NAT.
Łatwienia problemów z łącznością wychodzącą za pomocą NAT Gateway i innych usług Azure.
Dalsze kroki
Jeśli występują problemy z bramą NAT, które nie zostały wymienione lub rozwiązane w tym artykule, prześlij opinię za pomocą GitHub u dołu tej strony. Jak najszybciej zajmiemy się Twoją opinią, aby ulepszyć doświadczenie naszych klientów.
Aby dowiedzieć się więcej o bramie NAT, zobacz: