Tady jsou některé odpovědi na běžné otázky týkající se používání služby Azure NAT Gateway.
Základy služby Azure NAT Gateway
Co je Azure NAT Gateway?
Azure NAT Gateway je plně spravované a vysoce odolné řešení odchozího připojení pro virtuální sítě Azure. Pokud chcete dosáhnout zabezpečeného a škálovatelného odchozího připojení, připojte bránu NAT k podsítím v rámci virtuální sítě a alespoň k jedné statické veřejné IP adrese.
Jaké jsou ceny služby Azure NAT Gateway?
Viz ceny služby Azure NAT Gateway.
Jaké jsou známé limity služby Azure NAT Gateway?
Viz omezení služby Azure NAT Gateway.
Kolik prostředků služby NAT Gateway je povolené pro každé předplatné?
Počet prostředků služby NAT Gateway povolených pro každé předplatné v jednotlivých oblastech se liší podle typu kategorie nabídky, jako je bezplatná zkušební verze, průběžné platby, Cloud Solution Provider (CSP) a smlouva Enterprise. smlouva Enterprise a typy nabídek CSP můžou mít až 1 000 prostředků brány NAT. Typy nabídek sponzorovaných a průběžných plateb můžou mít až 100 prostředků služby NAT Gateway. Všechny ostatní typy nabídek, jako je bezplatná zkušební verze, můžou mít až 15 prostředků služby NAT Gateway.
Je možné použít bránu NAT napříč předplatnými?
Ne, prostředek služby NAT Gateway se nedá použít s více než jedním předplatným najednou. Podrobné pokyny najdete v tématu Vytvoření a konfigurace služby NAT Gateway po přesunu oblasti.
Je možné bránu NAT přesunout z oblasti, předplatného nebo skupiny prostředků do jiné?
Ne, bránu NAT není možné přesouvat mezi předplatnými, oblastmi nebo skupinami prostředků. Pro jiné předplatné, oblast nebo skupinu prostředků je potřeba vytvořit novou bránu NAT.
Dá se brána NAT použít k připojení příchozích dat?
Služba NAT Gateway poskytuje odchozí připojení z virtuální sítě. Zpětný provoz v přímé reakci na odchozí tok může také projít bránou NAT. Žádný příchozí provoz přímo z internetu nemůže projít bránou NAT.
Jak získám protokoly pro prostředek služby NAT Gateway?
Protokoly toku virtuální sítě jsou funkcí služby Azure Network Watcher, která protokoluje informace o provozu IP přes virtuální síť. Data toku z protokolů toku virtuální sítě se odesílají do Azure Storage. Odtud můžete získat přístup k datům a exportovat je do libovolného řešení pro vizualizaci, informací o zabezpečení a správě událostí (SIEM) nebo do systému detekce neoprávněných vniknutí (IDS).
Protokoly toku virtuální sítě poskytují informace o připojení pro vaše virtuální počítače. Informace o připojení obsahují zdrojovou IP adresu a port a cílovou IP adresu a port a stav připojení. Zaprotokoluje se také směr toku provozu a velikost provozu v počtu paketů a odesílaných bajtů. Zdrojová IP adresa a port zadaný v protokolu toku virtuální sítě je určená pro virtuální počítač, nikoli pro bránu NAT.
Obecné pokyny k vytváření a správě protokolů toků virtuální sítě najdete v tématu Správa protokolů toku virtuální sítě.
Návody odstranit prostředek služby NAT Gateway?
Pokud chcete odstranit prostředek služby NAT Gateway, musí být prostředek nejprve odsazený od podsítě. Po zrušení přidružení prostředku služby NAT Gateway ke všem podsítím je možné ho odstranit. Pokyny najdete v tématu Odebrání prostředku služby NAT Gateway z existující podsítě a odstranění prostředku.
Podporuje brána NAT fragmentaci IP adres?
Ne, brána NAT nepodporuje fragmentaci PROTOKOLU IP pro protokol TCP (Transmission Control Protocol) ani UDP (User Datagram Protocol).
Metriky služby NAT Gateway
Jaký je rozdíl mezi počtem připojení SNAT a celkovým počtem připojení SNAT pro bránu NAT Gateway?
Metrika SNAT Connection Count (Počet připojení SNAT) zobrazuje počet nových připojení překladu zdrojových síťových adres (SNAT) za sekundu. Metrika Celkového počtu připojení SNAT zobrazuje celkový počet aktivních připojení u prostředku služby NAT Gateway.
Jak zjistím využití portů SNAT ve službě NAT Gateway?
Pro bránu NAT gateway neexistuje žádná metrika využití portů SNAT. Metriky SNAT Connection Count a Total SNAT Connection Count vám pomůžou vyhodnotit kapacitu SNAT vašeho prostředku služby NAT Gateway.
Jak můžu dlouhodobě ukládat metriky služby NAT Gateway?
Metriky služby NAT Gateway je možné načíst pomocí rozhraní REST API metrik. Alternativně můžete vybrat Možnost Sdílet a potom stáhnout do Excelu z podokna metrik služby NAT Gateway na webu Azure Portal.
Je možné načíst metriky služby NAT Gateway pomocí nastavení diagnostiky?
Ne, metriky služby NAT Gateway nejde exportovat pomocí nastavení diagnostiky. Metriky služby NAT Gateway jsou multidimenzionální. Nastavení diagnostiky nepodporuje export multidimenzionálních metrik.
Odchozí připojení ke službě NAT Gateway
Jak můžu použít službu NAT Gateway k připojení odchozích přenosů v nastavení, kde aktuálně používám jinou službu pro odchozí provoz?
Po připojení k veřejné IP adrese nebo předponě a podsíti se brána NAT automaticky připojí k internetu. Brána NAT má přednost před Službou Azure Load Balancer s odchozími pravidly, veřejnými IP adresami na úrovni instance na virtuálních počítačích a službou Azure Firewall pro odchozí připojení.
Přeruší se připojení po připojení brány NAT k podsíti, ve které se aktuálně používá jiná služba pro odchozí připojení?
Ne, v připojeních není žádné přerušení. Stávající připojení s předchozí odchozí službou (Load Balancer, Azure Firewall, veřejné IP adresy na úrovni instance) nadále fungují, dokud se tato připojení nezavře. Po přidání brány NAT do podsítě virtuální sítě používají všechna nová připojení pro odchozí připojení bránu NAT.
Může se veřejná IP adresa služby NAT Gateway připojit přímo k privátní IP adrese přes internet?
Ne, veřejná IP adresa služby NAT Gateway se nemůže připojit přímo k privátní IP adrese přes internet.
Pokud je k prostředku služby NAT Gateway přiřazeno více veřejných IP adres, přeruší se tok provozu při odebrání jedné z IP adres?
Všechna aktivní připojení přidružená k veřejné IP adrese se ukončí při odebrání veřejné IP adresy. Pokud má prostředek služby NAT Gateway více veřejných IP adres, distribuuje se nový provoz mezi přiřazené IP adresy.
Co znamená, když se zobrazí ip adresa používaná k připojení odchozích přenosů, která se liší od veřejné IP adresy brány NAT?
Existuje několik možných důvodů, proč se k připojení odchozích přenosů používá jiná IP adresa než ta, která je přidružená k vaší bráně NAT. Pomoc s řešením potíží najdete v průvodci odstraňováním potíží s připojením ke službě Azure NAT Gateway.
Trasy provozu
Co se stane se službou NAT Gateway, když vynutím tunelový provoz 0.0.0.0/0 (internet) do síťového virtuálního zařízení, služby Azure VPN Gateway nebo Azure ExpressRoute?
Brána NAT používá výchozí internetovou cestu podsítě ke směrování provozu do internetu. Provoz neprochází bránou NAT, pokud se trasa definovaná uživatelem vytvoří pro směrování provozu 0.0.0.0/0 do síťového virtuálního zařízení typu dalšího segmentu směrování nebo brány virtuální sítě.
Jakou konfiguraci je nutné provést ve směrovací tabulce podsítě, aby bylo připojení odchozí s bránou NAT Gateway?
Ke spuštění odchozího připojení s bránou NAT Gateway není nutná žádná konfigurace v tabulce směrování podsítě. Když je služba NAT Gateway přiřazená k podsíti, stane se brána NAT typem dalšího segmentu směrování pro veškerý internetový provoz určený. Provoz se může začít připojovat k internetu, jakmile je brána NAT přiřazená k podsíti a alespoň jedné veřejné IP adrese.
Konfigurace služby NAT Gateway
Je možné nasadit bránu NAT bez veřejné IP adresy nebo podsítě?
Ano, bránu NAT je možné nasadit bez veřejné IP adresy nebo předpony a podsítě. Není ale funkční, dokud nepřipojujete aspoň jednu veřejnou IP adresu nebo předponu a podsíť.
Je veřejná IP adresa služby NAT Gateway statická?
Ano, veřejné IP adresy ve vaší službě NAT Gateway jsou opravené a nemění se.
Kolik veřejných IP adres je možné připojit ke službě NAT Gateway?
Brána NAT může používat až 16 veřejných IP adres. Brána NAT může používat libovolnou kombinaci veřejných IP adres a předpon veřejných IP adres celkem 16 adres. Služba NAT Gateway může podporovat následující velikosti předpon: /28 (16 adres), /29 (8 adres), /30 (4 adresy) a /31 (2 adresy).
Jak můžu použít vlastní předpony IP adres (BYOIP) se službou NAT Gateway?
Se službou NAT Gateway můžete použít předpony a adresy veřejné IP adresy odvozené z vlastních předpon IP adres, označovaných také jako přineste si vlastní IP adresu (BYOIP). Další informace najdete v tématu Předpona vlastních IP adres (BYOIP).
Je možné použít veřejnou IP adresu IPv6 se službou NAT Gateway?
Ne, brána NAT nepodporuje veřejné IP adresy IPv6. Můžete ale mít konfiguraci se dvěma zásobníky s bránou NAT a nástrojem pro vyrovnávání zatížení pro zajištění odchozího připojení IPv4 a IPv6. Další informace najdete v tématu Konfigurace odchozího připojení duálního zásobníku pomocí služby NAT Gateway a veřejného nástroje pro vyrovnávání zatížení.
Je možné veřejné IP adresy s předvolbou směrování "internet" používat se službou NAT Gateway?
Ne, služba NAT Gateway nepodporuje veřejné IP adresy s předvolbou směrování "internet". Seznam služeb Azure, které podporují typ konfigurace směrování "internet" na veřejných IP adresách, najdete v tématu Podporované služby pro směrování přes veřejný internet.
Je možné veřejné IP adresy s povolenou ochranou DDoS používat se službou NAT Gateway?
Ne, služba NAT Gateway nepodporuje veřejné IP adresy s povolenou ochranou DDoS. Další informace najdete v tématu Omezení DDoS.
Je možné změnit veřejné IP adresy existující brány NAT?
Ne, adresu existující veřejné IP adresy nejde změnit. Pokud potřebujete změnit veřejnou IP adresu ve službě NAT Gateway, pokyny najdete v tématu Přidání nebo odebrání veřejné IP adresy .
Pokud je k bráně NAT přiřazeno více veřejných IP adres, které veřejné IP adresy používají prostředky podsítě?
Prostředky vaší podsítě můžou pro odchozí připojení použít libovolnou veřejnou IP adresu připojenou k vaší bráně NAT. Pokaždé, když se přes bránu NAT vytvoří nové odchozí připojení, je odchozí veřejná IP adresa vybraná náhodně.
Můžu přiřadit jednu z veřejných IP adres služby NAT Gateway konkrétnímu virtuálnímu počítači nebo podsíti, aby se používala výhradně pro připojení odchozích přenosů?
Ne. Přiřazení PROTOKOLU IP ke konkrétním podsítím nebo instancím virtuálních počítačů v podsíti nakonfigurované službou NAT Gateway se nepodporuje.
Je možné připojit bránu NAT k více virtuálním sítím?
Ne, bránu NAT není možné připojit k více virtuálním sítím.
Je možné připojit bránu NAT k více podsítím?
Ano, bránu NAT je možné přidružit k až 800 podsítím ve virtuální síti. Není nutné ji přidružit ke všem podsítím ve virtuální síti.
Je možné připojit bránu NAT k podsíti brány?
Ne, bránu NAT není možné přidružit k podsíti brány .
Může být k jedné podsíti připojeno více bran NAT?
Ne, služba NAT Gateway funguje na základě vlastností podsítě, takže k jedné podsíti není možné připojit více bran NAT.
Funguje brána NAT v hvězdicové síťové architektuře?
Provoz z paprskových virtuálních sítí je možné směrovat do centralizované virtuální sítě centra prostřednictvím síťového virtuálního zařízení nebo služby Azure Firewall. Brána NAT pak může poskytovat odchozí připojení pro všechny paprskové virtuální sítě z centralizované centrální sítě. Pokud chcete nastavit bránu NAT v hvězdicové architektuře se síťovými virtuálními zařízeními, přečtěte si téma Použití brány NAT v hvězdicové síti. Pokud chcete použít bránu NAT s Azure Firewallem v hvězdicovém nastavení, přečtěte si téma Integrace brány NAT s Azure Firewallem.
Zóny dostupnosti
Jak funguje služba NAT Gateway se zónami dostupnosti?
Brána NAT může být zónová nebo umístěná v "žádné zóně". Další informace najdete v tématu Azure NAT Gateway a zóny dostupnosti. Kromě toho:
- Azure za vás umístí bránu NAT bez zóny.
- Zónová brána NAT se při vytváření brány NAT přidružuje ke konkrétní zóně uživatelem.
- Po nasazení nejde změnit zónovou konfiguraci brány NAT.
Je možné k bráně NAT připojit zónově redundantní veřejnou IP adresu?
Zónově redundantní veřejné IP adresy a předpony je možné připojit buď k bráně NAT bez zóny, nebo k bráně NAT přiřazené ke konkrétní zóně dostupnosti. Další informace najdete v tématu Azure NAT Gateway a zóny dostupnosti.
Azure NAT Gateway a základní prostředky skladové položky
Jsou základní prostředky skladové položky (Load Balancer úrovně Basic a veřejné IP adresy Úrovně Basic) kompatibilní s bránou NAT Gateway?
Ne, služba NAT Gateway je kompatibilní se standardními prostředky skladové položky. Další informace najdete v tématu Základy služby Azure NAT Gateway. Upgradujte nástroj pro vyrovnávání zatížení úrovně Basic a základní veřejnou IP adresu na standard, abyste mohli pracovat se službou NAT Gateway. Další nápovědu:
- Pokud chcete upgradovat nástroj pro vyrovnávání zatížení úrovně Basic na standard, přečtěte si téma Upgrade veřejného nástroje pro vyrovnávání zatížení Azure.
- Pokud chcete upgradovat základní veřejnou IP adresu na standardní, přečtěte si téma Upgrade veřejné IP adresy.
- Pokud chcete upgradovat základní veřejnou IP adresu s připojeným virtuálním počítačem na standardní, přečtěte si téma Upgrade základní veřejné IP adresy s připojeným virtuálním počítačem.
Časové limity připojení a časovače
Jaký je časový limit nečinnosti pro bránu NAT Gateway?
U připojení TCP je časovač časového limitu nečinnosti nastavený na 4 minuty a je konfigurovatelný až 120 minut. Pokud potřebujete udržovat dlouhé toky připojení, použijte místo rozšíření časovače časového limitu nečinnosti protokol TCP keepalives. Protokol TCP udržuje aktivní připojení po delší dobu.
Časovač časového limitu nečinnosti UDP je nastavený na 4 minuty a není konfigurovatelný.
Jaké je chování opakovaného použití portu SNAT brány NAT?
Když je připojení TCP/UDP zavřené, port se umístí do období cool-down, aby se dal znovu použít pro připojení ke stejnému cílovému koncovému bodu. Další informace najdete v tématu Časovače opětovného použití portů SNAT. Připojení, která přejdou do jiného cíle, můžou hned používat port SNAT. Další informace najdete v tématu SNAT se službou Azure NAT Gateway.
Integrace služby NAT Gateway s dalšími službami Azure
Můžu se službou Aplikace Azure Service používat službu NAT Gateway?
Ano, bránu NAT je možné použít se službou Aplikace Azure Service, aby aplikace mohly směrovat odchozí provoz do internetu z virtuální sítě. Pokud chcete tuto integraci použít mezi službou NAT Gateway a službou Aplikace Azure Service, musí být povolená integrace místní virtuální sítě. Pokyny k povolení integrace virtuální sítě se službou NAT Gateway najdete v tématu Integrace služby Azure NAT Gateway.
Můžu se službou Azure Kubernetes Service používat bránu NAT?
Ano. Další informace o integraci služby NAT Gateway se službou Azure Kubernetes Service najdete v tématu Spravovaná služba NAT Gateway.
Kdy se brána NAT používá k připojení z clusteru AKS k serveru rozhraní API AKS?
Ke správě clusteru AKS komunikujete s jeho serverem rozhraní API. Když vytvoříte nesoukromého clusteru, který se přeloží na plně kvalifikovaný název domény (FQDN) serveru API, přiřadí se ve výchozím nastavení veřejná IP adresa. Po připojení služby NAT Gateway k podsítím clusteru AKS se služba NAT Gateway použije k připojení k veřejné IP adrese serveru rozhraní AKS API. Další informace a pokyny k návrhu najdete v tématu Přístup k serveru rozhraní API AKS.
Můžu se službou Azure Firewall používat bránu NAT Gateway?
Ano, bránu NAT můžete použít se službou Azure Firewall. Pokud se azure Firewall používá se službou NAT Gateway, měla by být v zónové konfiguraci. Brána NAT funguje s zónově redundantní bránou firewall, ale v tuto chvíli nedoporučujeme nasazení. Další informace o integraci služby NAT Gateway se službou Azure Firewall najdete v tématu Škálování portů SNAT pomocí služby NAT Gateway.
Můžu použít bránu NAT s koncovými body služby Azure Virtual Network nebo službou Azure Private Link?
Ano, přidání brány NAT do podsítě s koncovými body služby nemá vliv na koncové body. Koncové body služby virtuální sítě umožňují konkrétnější trasu pro cílový provoz služby Azure, který představují. Provoz koncového bodu služby prochází páteřní sítí Azure místo internetu. Službu Private Link doporučujeme používat přes koncové body služby, když se připojujete k platformě Azure jako služba (PaaS) přímo ze sítě Azure.
Můžu s pracovním prostorem Azure Databricks použít bránu NAT?
Ano. Pokud ve svém pracovním prostoru povolíte zabezpečené připojení ke clusteru, můžete s Azure Databricks používat bránu NAT jedním ze dvou způsobů:
- Pokud používáte zabezpečené připojení clusteru s výchozí virtuální sítí, kterou azure Databricks vytvoří, Azure Databricks automaticky vytvoří bránu NAT pro odchozí provoz z podsítí vašeho pracovního prostoru. Brána NAT se vytvoří ve spravované skupině prostředků, kterou spravuje Azure Databricks. Tuto skupinu prostředků ani žádné prostředky zřízené v této skupině prostředků nemůžete upravovat.
- Pokud povolíte zabezpečené připojení clusteru v pracovním prostoru, který používá injektáž virtuální sítě, můžete bránu NAT nasadit do obou podsítí pracovního prostoru, aby bylo možné zajistit odchozí připojení. V tomto případě můžete upravit konfiguraci pro přizpůsobené požadavky na odchozí připojení. Další informace najdete v tématu Zabezpečení připojení ke clusteru.
Další kroky
Pokud tady není váš dotaz uvedený, pošlete nám svůj názor na tuto stránku s vaším dotazem. Tyto informace vytvoří problém GitHubu pro produktový tým, aby se zajistilo, že budou zodpovězeny všechny otázky zákazníků s hodnotou.