Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece diretrizes de como configurar corretamente o Gateway NAT e solucionar problemas comuns relacionados à configuração e à implantação.
Importante
O Gateway da NAT do Azure no SKU Standard V2 está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Noções básicas de configuração do Gateway da NAT
Verifique essas configurações para habilitar o tráfego de saída por meio de um gateway nat.
Gateway nat padrão
Pelo menos um endereço IP público ou um prefixo IP público deve estar anexado ao Gateway da NAT. Pelo menos um endereço IP público precisa ser associado ao Gateway da NAT para que ele forneça conectividade de saída.
Pelo menos uma sub-rede deve estar anexada a um Gateway da NAT. Você pode anexar várias sub-redes a um Gateway da NAT para saída, mas essas sub-redes precisam existir na mesma rede virtual. O Gateway da NAT não pode abranger mais de uma só rede virtual.
Nenhuma regra NSG (Grupo de Segurança de Rede) ou UDR (Rotas Definidas pelo Usuário) está bloqueando o Gateway da NAT de direcionar o tráfego de saída para a Internet.
Gateway da NAT StandardV2
Pelo menos um endereço IP público ou um prefixo IP público deve estar anexado ao Gateway da NAT. Pelo menos um endereço IP público precisa ser associado ao Gateway da NAT para que ele forneça conectividade de saída.
Pelo menos uma sub-rede está anexada a um gateway NAT StandardV2. Você pode anexar várias sub-redes a um Gateway da NAT para saída, mas essas sub-redes precisam existir na mesma rede virtual. O Gateway da NAT não pode abranger mais de uma só rede virtual.
Nenhuma regra NSG (Grupo de Segurança de Rede) ou UDR (Rotas Definidas pelo Usuário) está bloqueando o Gateway da NAT de direcionar o tráfego de saída para a Internet.
Disponibilidade do Gateway da NAT StandardV2
O Gateway NAT StandardV2 não está disponível nas seguintes regiões do Azure:
- Leste do Canadá
- Índia Central
- Chile Central
- Indonésia Central
- Noroeste de Israel
- Oeste da Malásia
- Catar Central
- EAU Central
Como validar a conectividade
O gateway NAT dá suporte a protocolos UDP (User Datagram Protocol) e TCP (Protocolo de Controle de Transmissão).
Observação
O Gateway nat não dá suporte ao protocolo ICMP. Não há suporte para ping usando o protocolo ICMP e espera-se que ele falhe.
Para validar a conectividade de ponta a ponta do Gateway da NAT, siga estas etapas:
Valide se o endereço IP público do Gateway da NAT está sendo usado.
Faça testes de conexão TCP e testes na camada do aplicativo específicos do UDP.
Procure os logs de fluxo NSG para analisar os fluxos de tráfego de saída do Gateway da NAT.
Consulte a tabela a seguir para ferramentas a serem usadas para validar a conectividade do Gateway da NAT.
| Sistema operacional | Teste de conexão TCP genérica | Teste de camada de aplicativo TCP | UDP |
|---|---|---|---|
| Linux |
nc (teste de conexão genérico) |
curl (Teste de camada de aplicativo TCP) |
específico ao aplicativo |
| Windows | PsPing | Invoke-WebRequest do PowerShell | específico ao aplicativo |
Como analisar a conectividade de saída
Para analisar o tráfego de saída do Gateway da NAT Standard, use os logs de fluxo da VNet (rede virtual). Os logs de fluxo de VNet fornecem informações de conexão das máquinas virtuais. As informações de conexão contêm o IP a porta de origem e o IP e porta de destino, além do estado da conexão. A direção do fluxo de tráfego e o tamanho do tráfego em número de pacotes e bytes enviados também são registrados. O IP de origem e a porta especificados no log de fluxo de VNet são para a máquina virtual e não para o Gateway da NAT.
Para saber mais sobre logs de fluxo de VNet, confira a visão geral dos logs de fluxo de rede virtual.
Para obter guias sobre como habilitar logs de fluxo de VNet, confira Gerenciar logs de fluxo de rede virtual.
É recomendável acessar os dados de log nos workspaces do Log Analytics, onde você também pode consultar e filtrar os dados de tráfego de saída. Para saber mais sobre como usar o Log Analytics, confira o Tutorial do Log Analytics.
Para obter mais informações sobre o esquema de log de fluxo de VNet, consulte esquema de análise de tráfego e agregação de dados.
O Gateway da NAT StandardV2 dá suporte a logs de fluxo do Gateway da NAT por meio do Azure Monitor. Os logs de fluxo do Gateway NAT fornecem visibilidade do tráfego que flui pelo Gateway NAT. Para mais informações, consulte Analisar o tráfego do Gateway NAT com logs de fluxo.
Gateway da NAT em um estado com falha
Você poderá enfrentar uma falha de conectividade de saída se o recurso de Gateway da NAT estiver em um estado de falha. Para tirar o Gateway NAT do estado de falha, siga estas instruções:
Identifique o recurso que está em um estado com falha. Acesse o Azure Resource Explorer e identifique o recurso nesse estado.
Atualize a alternância no canto superior direito para Leitura/Gravação.
Clique em Editar no recurso em estado de falha.
Clique em PUT e depois em GET para garantir que o estado de provisionamento seja atualizado para Êxito.
Em seguida, você pode realizar outras ações, pois o recurso não estará no estado de falha.
Rede virtual ou Gateway da NAT em um estado com falha com o Gateway da NAT StandardV2
Associar um Gateway NAT StandardV2 a uma sub-rede vazia que foi criada antes de abril de 2025 e que não contém nenhuma máquina virtual pode fazer com que a rede virtual ou o gateway NAT entre em um estado com falha. Para resolver o problema, siga estas etapas:
- Remova o gateway NAT StandardV2 da sub-rede ou rede virtual.
- Crie uma máquina virtual na sub-rede.
- Conecte novamente o gateway NAT StandardV2 à sub-rede ou rede virtual.
Adicionar ou remover o Gateway da NAT
Não é possível excluir o Gateway da NAT
O Gateway da NAT precisa ser desanexado de todas as sub-redes em uma rede virtual para que o recurso possa ser removido ou excluído. Confira Remover um Gateway da NAT de uma sub-rede existente e excluir o recurso para obter diretrizes passo a passo.
Adicionar ou remover a sub-rede
O Gateway da NAT não pode ser anexado a uma sub-rede que já esteja anexada a outro Gateway da NAT
Uma sub-rede dentro de uma rede virtual não pode ter mais de um Gateway da NAT anexado a ela para conexão de saída com a Internet. Um recurso Gateway da NAT individual pode ser associado a várias sub-redes na mesma rede virtual. O Gateway da NAT não pode abranger mais de uma só rede virtual.
Recursos básicos não podem existir na mesma sub-rede que o Gateway da NAT
O Gateway da NAT não é compatível com recursos Básicos, como o Load Balancer Básico ou o IP Público Básico. Os recursos básicos precisam ser colocados em uma sub-rede não associada a um Gateway da NAT. O Load Balancer Básico e o IP Público Básico podem ser atualizados para o Standard para trabalhar com o Gateway da NAT.
Para atualizar um Load Balancer Básico para Standard, confira Atualizar o Load Balancer público do Azure Básico para Standard.
Para atualizar um IP público básico para Standard, confira Atualizar o IP Público Básico para Standard.
Para atualizar um IP público básico com uma máquina virtual anexada ao padrão, consulte [atualizar um IP público básico com uma máquina virtual anexada](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
O Gateway da NAT não pode ser anexado a uma sub-rede de gateway
Um Gateway da NAT não pode ser implantado em uma sub-rede de gateway. Uma sub-rede de gateway é usada por um gateway de VPN para enviar tráfego criptografado entre uma rede virtual do Azure e um ambiente local. Confira Visão geral do Gateway de VPN para saber como as sub-redes de gateway são usadas pelo gateway de VPN. Para usar um gateway nat, anexe-o a qualquer outra sub-rede na mesma rede virtual.
Não é possível anexar o Gateway da NAT a uma sub-rede que contém um adaptador de rede de máquina virtual em um estado com falha
Ao associar um Gateway da NAT a uma sub-rede que contém um adaptador de rede de máquina virtual (adaptador de rede) em um estado com falha, você recebe uma mensagem de erro indicando que essa ação não pode ser executada. Primeiro, você deve resolver o estado de falha da interface de rede da máquina virtual antes de anexar um Gateway da NAT à sub-rede.
Para tirar a interface de rede da máquina virtual de um estado com falha, você pode usar um dos dois métodos a seguir.
Usar o PowerShell para tirar o adaptador de rede da máquina virtual de um estado com falha
Determine o estado de provisionamento de suas interfaces de rede usando o comando Get-AzNetworkInterface PowerShell e defina o valor do "provisioningState" como "Bem-sucedido".
Execute comandos GET/SET do PowerShell no adaptador de rede. Os comandos do PowerShell atualizam o estado de provisionamento.
Verifique os resultados desta operação verificando o estado de provisionamento de suas interfaces de rede novamente (siga os comandos da etapa 1).
Usar o Azure Resource Explorer para tirar o adaptador de rede da máquina virtual de um estado com falha
Acesse o Azure Resource Explorer (é recomendado usar o navegador Microsoft Edge)
Expanda Assinaturas (leva alguns segundos para que ela apareça).
Expanda sua assinatura que contém a interface de rede da máquina virtual no estado com falha.
Expanda resourceGroups.
Expanda o grupo de recursos correto que contém o adaptador de rede da máquina virtual no estado com falha.
Expanda os provedores.
Expanda Microsoft.Network.
Expanda networkInterfaces.
Selecione no adaptador de rede que está no estado de provisionamento com falha.
Selecione o botão de leitura/gravação na parte superior.
Selecione o botão verde GET.
Selecione o botão azul EDIT.
Selecione o botão verde PUT.
Selecione o botão Somente Leitura na parte superior.
O adaptador de rede da máquina virtual agora deve estar em um estado de provisionamento bem-sucedido. Você pode fechar seu navegador.
Adicionar ou remover os endereços IP públicos
Não é possível exceder 16 endereços IP públicos no gateway NAT Standard
Um gateway NAT de SKU Standard não pode ser associado a mais de 16 endereços IP públicos IPv4. Você pode usar qualquer combinação de endereços IP públicos e prefixos com o Gateway da NAT até o total de 16 endereços IP. Para adicionar ou remover um IP público, confira adicionar ou remover um endereço IP público.
Os seguintes tamanhos de prefixo IP podem ser usados com o Gateway da NAT:
/28 (16 endereços)
/29 (8 endereços)
/30 (4 endereços)
/31 (2 endereços)
Coexistência de IPv6
O gateway NAT do SKU Standard dá suporte a protocolos UDP e TCP IPv4. O Gateway da NAT de SKU Padrão não pode ser associado a um IP IPv6 ou ao prefixo de IP IPv6.
Não é possível adicionar IPs públicos do SKU Standard ao Gateway NAT SKU StandardV2
Não há suporte para IPs de SKU Standard com o Gateway da NAT de SKU StandardV2. Somente IPs públicos de SKU StandardV2 podem ser adicionados ao Gateway NAT StandardV2.
Não é possível adicionar IPs de SKU StandardV2 ao Gateway da NAT de SKU Standard
Não há suporte para IPs de SKU StandardV2 com o Gateway da NAT de SKU Standard ou com outros recursos do Azure. Somente IPs públicos de SKU Standard podem ser adicionados ao Standard NAT Gateway.
Não é possível usar IPs públicos básicos com o Gateway da NAT
O gateway NAT não pode ser usado com recursos básicos, incluindo endereços IP públicos básicos. Você pode atualizar seu endereço IP público básico para usar com seu Gateway da NAT usando as seguintes diretrizes: Atualizar um endereço IP público.
Não é possível usar prefixos IP personalizados (BYOIP) com o Gateway NAT StandardV2
Não há suporte para prefixos IP personalizados (IPs públicos BYOIP) com o Gateway NAT StandardV2. Há suporte apenas para IPs públicos do Azure do SKU StandardV2.
Suporte disponível para IPs personalizados com o Gateway NAT Standard.
Não é possível usar IPs públicos com preferência de roteamento da Internet junto com o Gateway da NAT
Quando o Gateway da NAT é configurado com um endereço IP público, o tráfego é roteado por meio da rede da Microsoft. O Gateway da NAT não pode ser associado a IPs públicos com a preferência de roteamento definida como Internet. O Gateway da NAT só pode ser associado com IPs públicos com a preferência de roteamento definida como Rede Global da Microsoft. Confira os serviços compatíveis para obter uma lista de todos os serviços do Azure que dão suporte a IPs públicos com a preferência de roteamento definida como Internet.
Não é possível haver incompatibilidade entre zonas de endereços IP públicos e gateway NAT padrão.
O gateway NAT padrão pode ser designado para uma zona específica (um recurso zonal) ou para "nenhuma zona". Quando o gateway NAT é colocado em "sem zona", o Azure coloca o gateway NAT em uma zona para você, mas você não tem visibilidade de qual zona o gateway NAT está localizada.
O Gateway da NAT Standard pode ser usado com IPs padrão designados para uma zona específica, sem zona, todas as zonas (com redundância de zona), dependendo de sua própria configuração de zona de disponibilidade.
| Designação da zona de disponibilidade do Gateway da NAT | Designação de endereço IP público/prefixo que pode ser usada |
|---|---|
| Nenhuma zona | Com redundância de zona, nenhuma zona ou zonal (a designação de zona de IP público pode ser qualquer zona dentro de uma região para trabalhar com um Gateway da NAT sem zona) |
| Designado a uma zona específica | IPs públicos zonais ou com redundância de zona podem ser usados |
Observação
Se você precisar saber a zona na qual o Gateway da NAT reside, designe-o a uma zona de disponibilidade específica. Ou use um gateway NAT StandardV2 com redundância de zona.
Não é possível usar IPs públicos protegidos por DDoS com o gateway NAT
O gateway NAT não dá suporte a endereços IP públicos com a proteção contra DDoS habilitada. Os IPs protegidos por DDoS são mais críticos para o tráfego de entrada, uma vez que a maioria dos ataques de DDoS é projetada para sobrecarregar os recursos do destino inundando-os com um grande volume de tráfego de entrada. Para saber mais sobre a proteção contra DDoS, examine os artigos a seguir.
- Recursos de Proteção contra DDoS do Azure
- Melhores práticas da Proteção contra DDoS do Azure
- Tipos de ataques atenuados pela Proteção contra DDoS do Azure
Acesso de saída padrão
As NICs de máquina virtual ainda têm IPs de saída padrão, apesar do gateway NAT estar presente
Há um parâmetro de nível NIC (defaultOutboundConnectivityEnabled) que controla se um IP de saída padrão é alocado para uma máquina virtual ou instância do conjunto de dimensionamento de máquinas virtuais.
Em alguns casos, um IP de saída padrão ainda é atribuído a máquinas virtuais em uma sub-rede não privada, mesmo quando um método de saída explícito , como um Gateway NAT ou uma UDR direcionando o tráfego para um NVA/firewall, é configurado. Os IPs de saída padrão não são usados para saída, a menos que esses métodos explícitos sejam removidos. Remova os IPs de saída padrão tornando a sub-rede privada e execute uma parada e desaloque nas máquinas virtuais.
Mais diretrizes de solução de problemas
Se o problema que você está enfrentando não for abordado por este artigo, consulte os outros artigos de solução de problemas do Gateway da NAT:
Solucionar problemas de conectividade de saída com o Gateway da NAT.
Solucione problemas de conectividade de saída com o Gateway da NAT e outros serviços do Azure.
Próximas etapas
Se você estiver enfrentando problemas com o Gateway da NAT não listado ou resolvido por este artigo, envie comentários por meio do GitHub na parte inferior desta página. Abordaremos seus comentários assim que possível para melhorar a experiência de nossos clientes.
Saiba mais sobre métricas de gateways da NAT: