Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece orientação sobre como configurar corretamente seu gateway NAT e solucionar problemas comuns relacionados à configuração e implantação.
Importante
O Standard V2 SKU Azure NAT Gateway está atualmente em pré-visualização. Consulte os Termos de Utilização Complementares das Visualizações Prévias do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão em beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Noções básicas de configuração do gateway NAT
Verifique estas definições para ativar o tráfego de saída através de um gateway NAT.
Gateway NAT padrão
Pelo menos um endereço IP público ou um prefixo IP público está anexado ao gateway NAT. Pelo menos um endereço IP público deve ser associado ao gateway NAT para que ele forneça conectividade de saída.
Pelo menos uma sub-rede está conectada a um gateway NAT. Você pode anexar várias sub-redes a um gateway NAT para saída, mas essas sub-redes devem existir dentro da mesma rede virtual. O gateway NAT não pode ir além de uma única rede virtual.
Nenhuma regra NSG (Network Security Group) ou UDR (User Defined Routes) está bloqueando o gateway NAT de direcionar o tráfego de saída para a Internet.
Gateway NAT StandardV2
Pelo menos um endereço IP público ou um prefixo IP público está anexado ao gateway NAT. Pelo menos um endereço IP público deve ser associado ao gateway NAT para que ele forneça conectividade de saída.
Pelo menos uma sub-rede está ligada a um gateway NAT StandardV2. Você pode anexar várias sub-redes a um gateway NAT para saída, mas essas sub-redes devem existir dentro da mesma rede virtual. O gateway NAT não pode ir além de uma única rede virtual.
Nenhuma regra NSG (Network Security Group) ou UDR (User Defined Routes) está bloqueando o gateway NAT de direcionar o tráfego de saída para a Internet.
Disponibilidade do Gateway NAT StandardV2
O StandardV2 NAT Gateway não está disponível nas seguintes regiões Azure:
- Leste do Canadá
- Índia Central
- Chile Central
- Indonésia Central
- Israel Noroeste
- Oeste da Malásia
- Catar Central
- E.A.U. Central
Como validar a conectividade
O gateway NAT suporta protocolos User Datagram Protocol (UDP) e Transmission Control Protocol (TCP).
Nota
O NAT Gateway não suporta o protocolo ICMP. O ping usando o protocolo ICMP não é suportado e espera-se que falhe.
Para validar a conectividade de ponta a ponta do gateway NAT, siga estas etapas:
Valide se o endereço IP público do gateway NAT está sendo usado.
Conduza testes de conexão TCP e testes de camada de aplicativo específicos de UDP.
Consulte os registos de fluxo do NSG para analisar os fluxos de tráfego de saída do gateway NAT.
Consulte a tabela a seguir para obter as ferramentas a serem usadas para validar a conectividade do gateway NAT.
| Sistema operativo | Teste de conexão TCP genérica | Teste da camada de aplicação TCP | UDP |
|---|---|---|---|
| Linux |
nc (teste de conexão genérico) |
curl (Teste da camada de aplicação TCP) |
aplicação específica |
| Windows | PsPing | PowerShell Invoke-WebRequest | aplicação específica |
Como analisar a conectividade de saída
Para analisar o tráfego de saída do gateway NAT Standard, utilize registos de fluxo de rede virtual (VNet). Os logs de fluxo de VNet fornecem informações de conexão para suas máquinas virtuais. As informações de conexão contêm o IP e a porta de origem e o IP e a porta de destino e o estado da conexão. A direção do fluxo de tráfego e o tamanho do tráfego em número de pacotes e bytes enviados também são registrados. O IP de origem e a porta especificados no log de fluxo da rede virtual são para a máquina virtual e não para o gateway NAT.
Para saber mais sobre os logs de fluxo da VNet, consulte Visão geral dos logs de fluxo da rede VNet.
Para obter guias sobre como ativar logs de fluxo de rede virtual, consulte Gerir logs de fluxo de rede virtual.
Recomenda-se aceder aos dados de registo nos espaços de trabalho de Log Analytics , onde também pode consultar e filtrar os dados para tráfego de saída. Para saber mais sobre como usar o Log Analytics, consulte o tutorial do Log Analytics.
Para mais informações sobre o esquema do registo de fluxo VNet, consulte Esquema de análise de tráfego e agregação de dados.
StandardV2 NAT Gateway suporta registos de fluxo do gateway NAT através do Azure Monitor. Os registos de fluxo do gateway NAT fornecem visibilidade sobre o tráfego que passa pelo Gateway NAT. Para mais informações, consulte Analisar o tráfego de NAT Gateway com registos de fluxo.
O NAT Gateway está num estado com falhas
Você pode enfrentar uma falha de conectividade de saída se o recurso de gateway NAT estiver em um estado de falha. Para tirar o gateway NAT de um estado de falha, siga estas instruções:
Identifique o recurso que está em um estado de falha. Vá para o Gerenciador de Recursos do Azure e identifique o recurso nesse estado.
Altere a opção no canto superior direito para Leitura e Escrita.
Selecione em Editar para o recurso em estado de falha.
Selecione PUT seguido de GET para garantir que o estado de provisionamento foi atualizado para Succeeded.
Em seguida, você pode prosseguir com outras ações, pois o recurso está fora do estado de falha.
Rede virtual ou gateway NAT em estado de falha com um gateway NAT do tipo StandardV2
Associar um Gateway NAT StandardV2 a uma sub-rede vazia criada antes de abril de 2025 e que não contém máquinas virtuais pode fazer com que a rede virtual ou o gateway NAT entrem num estado falhado. Para resolver o problema, siga estes passos:
- Remova o gateway NAT StandardV2 da sub-rede ou da rede virtual.
- Cria uma máquina virtual na sub-rede.
- Reconecte o gateway NAT StandardV2 à sub-rede ou rede virtual.
Adicionar ou remover gateway NAT
Não é possível excluir o gateway NAT
O gateway NAT deve ser desanexado de todas as sub-redes dentro de uma rede virtual antes que o recurso possa ser removido ou excluído. Veja Remover gateway NAT de uma sub-rede existente e eliminar o recurso para uma orientação passo a passo.
Adicionar ou remover sub-rede
O gateway NAT não pode ser conectado à sub-rede já conectada a outro gateway NAT.
Uma sub-rede dentro de uma rede virtual não pode ter mais de um gateway NAT conectado a ela para se conectar de saída à Internet. Um recurso de gateway NAT individual pode ser associado a várias sub-redes dentro da mesma rede virtual. O gateway NAT não pode ir além de uma única rede virtual.
Os recursos básicos não podem existir na mesma sub-rede que o gateway NAT
O gateway NAT não é compatível com recursos básicos, como o Basic Load Balancer ou o Basic Public IP. Os recursos básicos devem ser colocados em uma sub-rede não associada a um gateway NAT. O Basic Load Balancer e o Basic Public IP podem ser atualizados para o padrão para funcionar com o gateway NAT.
Para atualizar um balanceador de carga básico para padrão, consulte Atualizar de um balanceador de carga público básico para um balanceador de carga público padrão.
Para atualizar um IP público básico para um público padrão, consulte atualizar de IP público básico para IP público padrão.
Para atualizar um IP público básico com uma máquina virtual conectada para padrão, consulte [atualizar um IP público básico com uma máquina virtual anexada](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
Não é possível anexar um gateway NAT a uma sub-rede de gateway
O gateway NAT não pode ser implantado em uma sub-rede de gateway. Uma sub-rede de gateway é usada por um gateway VPN para enviar tráfego criptografado entre uma rede virtual do Azure e o local local. Consulte Visão geral do gateway VPN para saber mais sobre como as sub-redes de gateway são utilizadas pelo gateway VPN. Para usar um gateway NAT, anexe-o a qualquer outra sub-rede dentro da mesma rede virtual.
Não é possível anexar gateway NAT a uma sub-rede que contém uma interface de rede de máquina virtual em um estado de falha
Ao associar um gateway NAT a uma sub-rede que contém uma interface de rede de máquina virtual (interface de rede) em um estado de falha, você recebe uma mensagem de erro indicando que essa ação não pode ser executada. Você deve primeiro resolver o estado de falha da interface de rede da máquina virtual antes de anexar um gateway NAT à sub-rede.
Para tirar a interface de rede da máquina virtual de um estado de falha, você pode usar um dos dois métodos a seguir.
Usar o PowerShell para tirar a interface de rede da máquina virtual de um estado de falha
Determine o estado de provisionamento de suas interfaces de rede usando o comando Get-AzNetworkInterface PowerShell e definindo o valor de "provisioningState" como "Succeeded".
Executar comandos GET/SET PowerShell na interface de rede. Os comandos do PowerShell atualizam o estado de provisionamento.
Verifique os resultados desta operação verificando novamente o estado de provisionamento das interfaces de rede (siga os comandos da etapa 1).
Use o Gerenciador de Recursos do Azure para tirar a interface de rede da máquina virtual de um estado de falha
Vá para o Azure Resource Explorer (recomendado para usar o navegador Microsoft Edge)
Expanda Subscrições (demora alguns segundos a aparecer).
Expanda a sua assinatura que contém a interface de rede da máquina virtual em estado de falha.
Expanda os grupos de recursos.
Expanda o grupo de recursos correto que contém a interface de rede da máquina virtual no estado de falha.
Expanda fornecedores.
Expanda Microsoft.Network.
Expanda as interfaces de rede.
Selecione a interface de rede que está em estado de provisionamento com falha.
Selecione o botão Ler/Escrever na parte superior.
Selecione o botão GET verde.
Selecione o botão EDIT azul.
Selecione o botão PUT verde.
Selecione o botão Só de Leitura na parte superior.
A interface de rede da máquina virtual agora deve estar em um estado de provisionamento bem-sucedido. Pode fechar o navegador.
Adicionar ou remover endereços IP públicos
Não pode ultrapassar os 16 endereços IP públicos no gateway NAT Standard
Um gateway NAT SKU Standard não pode ser associado a mais de 16 endereços IP públicos IPv4. Você pode usar qualquer combinação de endereços IP públicos e prefixos com a porta de entrada NAT até um total de 16 endereços IP. Para adicionar ou remover um IP público, consulte Adicionar ou remover um endereço IP público.
Os seguintes tamanhos de prefixo IP podem ser usados com o gateway NAT:
/28 (16 endereços)
/29 (8 endereços)
/30 (4 endereços)
/31 (2 endereços)
Coexistência IPv6
O gateway padrão SKU NAT suporta protocolos IPv4, UDP e TCP. O gateway NAT SKU padrão não pode ser associado a um endereço IPv6 Público ou a um Prefixo IPv6 Público.
Não se pode adicionar IPs públicos da Standard SKU ao NAT Gateway da StandardV2 SKU
Os IPs públicos do SKU Standard não são compatíveis com o Gateway NAT StandardV2 SKU. Apenas IPs públicos do SKU StandardV2 podem ser adicionados ao Gateway NAT StandardV2.
Não é possível adicionar IPs públicos do SKU StandardV2 ao NAT Gateway do SKU Standard
Os IPs públicos dos SKU StandardV2 não são suportados com o Standard SKU NAT Gateway nem com quaisquer outros recursos Azure. Apenas IPs públicos de SKU Standard podem ser adicionados ao Standard NAT Gateway.
Não é possível usar endereços IP públicos básicos com o gateway NAT
O gateway NAT não pode ser usado com recursos básicos, incluindo endereços IP públicos básicos. Você pode atualizar seu endereço IP público básico para usar com seu gateway NAT usando as seguintes diretrizes: Atualizar um endereço IP público.
Não é possível usar prefixos IP personalizados (BYOIP) com o StandardV2 NAT Gateway
Prefixos IP personalizados (IPs públicos BYOIP) não são suportados com o Gateway NAT StandardV2. Apenas IPs públicos Azure SKU StandardV2 são suportados.
IPs personalizados são suportados com o Gateway NAT Standard.
Não é possível usar IPs públicos com preferência de roteamento da Internet junto com o gateway NAT
Quando o gateway NAT é configurado com um endereço IP público, o tráfego é roteado através da rede Microsoft. O gateway NAT não pode ser associado a IPs públicos com a escolha de preferência de encaminhamento Internet. O gateway NAT só pode ser associado a IPs públicos com a opção de preferência de roteamento Microsoft Global Network. Veja serviços suportados para obter uma lista de todos os serviços do Azure que suportam IPs públicos com preferência de roteamento pela Internet.
Os zones de endereços IP públicos não podem ser incompatíveis com o gateway NAT padrão.
O gateway NAT padrão pode ser designado para uma zona específica (um recurso zonal) ou para "zona nula". Quando o gateway NAT é colocado em "zona proibida", o Azure coloca o gateway NAT numa zona para ti, mas não tens visão sobre qual zona está localizado o gateway NAT.
O gateway NAT padrão pode ser usado com endereços IP públicos padrão designados para uma zona específica, nenhuma zona, todas as zonas (redundantes de zona), dependendo da sua própria configuração de zona de disponibilidade.
| Designação da zona de disponibilidade do gateway NAT | Endereço IP público / designação de prefixo que pode ser usado |
|---|---|
| Sem zona | Zone-redundante, Sem zona, ou Zonal (a designação de zona IP pública pode ser qualquer zona dentro de uma região para funcionar com um gateway NAT sem zona) |
| Designado para uma zona específica | IPs públicos zonais ou redundantes de zona podem ser usados |
Nota
Se você precisar saber a zona em que seu gateway NAT reside, certifique-se de designá-lo para uma zona de disponibilidade específica. Ou usar um gateway NAT StandardV2 redundante por zona.
Não é possível usar IPs públicos com proteção contra DDoS com um gateway NAT
O gateway NAT não suporta endereços IP públicos com proteção contra DDoS ativada. IPs protegidos contra DDoS são mais críticos para o tráfego de entrada, uma vez que a maioria dos ataques DDoS é concebida para sobrecarregar os recursos do alvo, inundando-o com um grande volume de tráfego recebido. Para saber mais sobre a proteção contra DDoS, consulte os seguintes artigos.
- Recursos da Proteção contra DDoS do Azure
- Práticas recomendadas da Proteção contra DDoS do Azure
- A proteção contra DDoS do Azure atenua tipos de ataques
Acesso de saída padrão
As NICs de máquinas virtuais ainda mantêm IPs de saída predefinidos, apesar da presença do gateway NAT
Existe um parâmetro ao nível da placa de interface de rede (NIC) (defaultOutboundConnectivityEnabled) que rastreia se um IP de saída padrão é atribuído a uma máquina virtual ou a uma instância de conjunto de escala de máquinas virtuais.
Em alguns casos, um IP de saída por defeito ainda é atribuído a máquinas virtuais numa sub-rede não privada, mesmo quando um método de saída explícito — como um NAT Gateway ou um UDR a direcionar tráfego para um NVA/firewall — está configurado. IPs de saída padrão não serão utilizados para egressos, a menos que esses métodos explícitos sejam removidos. Remova os IPs de saída predefinidos tornando a sub-rede privada e realize uma paragem e desalocação nas máquinas virtuais.
Mais orientações para a resolução de problemas
Se o problema que você está enfrentando não for abordado neste artigo, consulte os outros artigos de solução de problemas do gateway NAT:
Solucione problemas de conectividade de saída com o NAT Gateway.
Solucione problemas de conectividade de saída com o Gateway NAT e outros serviços do Azure.
Próximos passos
Se estiver a enfrentar problemas com o gateway NAT não listado ou resolvido por este artigo, envie feedback através do GitHub no final desta página. Endereçamos o seu feedback o mais rapidamente possível para melhorar a experiência dos nossos clientes.
Para saber mais sobre o gateway NAT, consulte:
Recurso de gateway NAT do Azure.