Preguntas más frecuentes sobre Azure NAT Gateway

A continuación se muestran algunas respuestas a las preguntas comunes sobre el uso de Azure NAT Gateway.

Conceptos básicos de Azure NAT Gateway

¿Qué es Azure NAT Gateway?

Azure NAT Gateway es una solución de conectividad saliente totalmente administrada y altamente resistente para redes virtuales de Azure. Para lograr una conectividad saliente segura y escalable, conecte una puerta de enlace NAT a subredes dentro de una red virtual y a al menos una dirección IP pública estática.

¿Cuál es el precio de Azure NAT Gateway?

¿Cuáles son los límites conocidos de Azure NAT Gateway?

¿Cuántos recursos de puerta de enlace NAT se permiten por suscripción?

El número de recursos de puerta de enlace NAT permitidos por suscripción por región varía en función del tipo de categoría de oferta, como evaluación gratuita, pago por uso, Proveedor de soluciones en la nube (CSP) y Contrato Enterprise. Los tipos de oferta de Contrato Enterprise y CSP pueden tener hasta 1000 recursos de puerta de enlace NAT. Los tipos de ofertas de pago por uso y patrocinados pueden tener hasta 100 recursos de puerta de enlace NAT. Todos los demás tipos de ofertas, como la evaluación gratuita, pueden tener hasta 15 recursos de puerta de enlace NAT.

¿Se puede usar una puerta de enlace NAT entre suscripciones?

No, no se puede usar un recurso de puerta de enlace NAT con más de una suscripción a la vez. Para obtener instrucciones paso a paso, consulte Creación y configuración de una puerta de enlace NAT después de mover una región.

¿Se puede mover una puerta de enlace NAT de una región, suscripción o grupo de recursos a otro?

No, una puerta de enlace NAT no se puede mover entre suscripciones, regiones o grupos de recursos. Se debe crear una nueva puerta de enlace NAT para la otra suscripción, región o grupo de recursos.

¿Se puede usar una puerta de enlace NAT para conectarse de entrada?

Una puerta de enlace NAT proporciona conectividad saliente desde una red virtual. El tráfico devuelto en respuesta directa a un flujo de salida también puede pasar a través de una puerta de enlace NAT. Ningún tráfico entrante directamente desde Internet puede pasar a través de una puerta de enlace NAT.

¿Cómo puedo obtener registros para mi recurso de puerta de enlace NAT?

Los registros de flujo de red virtual (VNet) son una característica de Azure Network Watcher que le permite registrar información sobre el tráfico IP que pasa por una red virtual. Los datos de flujo de los registros de flujo de la red virtual se envían a Azure Storage. Desde allí, es posible acceder a los datos y exportarlos a cualquier herramienta de visualización, solución de administración de eventos e información de seguridad (SIEM) o sistema de detección de intrusiones (IDS).

Los registros de flujo de VNet proporcionan información de conexión para las máquinas virtuales. La información de conexión contiene la dirección IP de origen y el puerto, la dirección IP, el puerto de destino y el estado de la conexión. También se registra la dirección del flujo de tráfico y el tamaño del tráfico en el número de paquetes y bytes enviados. La dirección IP de origen y el puerto especificados en el registro de flujo de VNet es para la máquina virtual y no para la puerta de enlace NAT.

Para obtener instrucciones generales para crear y administrar registros de flujo de red virtual, consulte Administración de registros de flujo de red virtual.

Eliminación de un recurso de puerta de enlace NAT

Para eliminar un recurso de puerta de enlace NAT, primero el recurso debe desasociarse de la subred. Después de que el recurso de puerta de enlace NAT se desasocie de todas las subredes, se puede eliminar. Para obtener guía, consulte Quitar un recurso de puerta de enlace NAT de una subred existente y eliminar el recurso.

¿Admite una puerta de enlace NAT la fragmentación de IP?

No, una puerta de enlace NAT no admite la fragmentación de IP para el Protocolo de control de transmisión (TCP) ni el Protocolo de datagramas de usuario (UDP).

Métricas de puerta de enlace NAT

¿Cuál es la diferencia entre las métricas recuento de conexiones SNAT y recuento total de conexiones SNAT para una puerta de enlace NAT?

La métrica Recuento de conexiones SNAT muestra el número de nuevas conexiones de traducción de direcciones de red de origen (SNAT) realizadas por segundo. La métrica Número total de conexiones SNAT muestra el número total de conexiones activas en un recurso de puerta de enlace NAT.

¿Cómo puedo ver el uso de puertos SNAT en una puerta de enlace NAT?

No hay ninguna métrica de uso de puertos SNAT para una puerta de enlace NAT. Use las métricas Recuento de conexiones SNAT y Recuento total de conexiones SNAT para ayudarle a evaluar la capacidad SNAT del recurso de puerta de enlace NAT.

¿Cómo puedo almacenar las métricas de puerta de enlace NAT a largo plazo?

Las métricas de la puerta de enlace NAT pueden recuperarse usando la API de REST de métricas. Como alternativa, puede seleccionar Compartir y, después, Descargar en Excel en el panel métricas de puerta de enlace NAT de en Azure Portal.

¿Se pueden recuperar las métricas de puerta de enlace NAT mediante la configuración de diagnóstico?

No, las métricas de puerta de enlace NAT no se pueden exportar mediante configuración de diagnóstico. Las métricas de puerta de enlace NAT son multidimensionales. La configuración de diagnóstico no admite la exportación de Métricas multidimensionales .

Conectividad saliente con una puerta de enlace NAT

¿Cómo puedo usar una puerta de enlace NAT para conectar la salida en una configuración en la que estoy usando actualmente un servicio diferente para la salida?

Una puerta de enlace NAT se conecta automáticamente a Internet después de adjuntarse a una dirección IP pública o un prefijo y una subred. Una puerta de enlace NAT tiene prioridad sobre Azure Load Balancer con reglas de salida, direcciones IP públicas de nivel de instancia en máquinas virtuales (VM) y Azure Firewall para la conectividad saliente.

¿Las conexiones se interrumpen después de conectar una puerta de enlace NAT a una subred donde se usa actualmente un servicio diferente para la conectividad saliente?

No, no hay ninguna interrupción en las conexiones. Las conexiones existentes con el servicio de salida anterior (Load Balancer, Azure Firewall, direcciones IP públicas de nivel de instancia) siguen funcionando hasta que se cierren esas conexiones. Después de agregar una puerta de enlace NAT a la subred de la red virtual, todas las conexiones nuevas usan una puerta de enlace NAT para realizar conexiones salientes.

¿Puede una IP pública de NAT Gateway conectarse directamente a una dirección IP privada por Internet?

No, una dirección IP pública de una puerta de enlace NAT no puede conectarse directamente a una dirección IP privada a través de Internet.

Si se asignan varias direcciones IP públicas a un recurso de puerta de enlace NAT, ¿se interrumpe el flujo de tráfico cuando se quita una de las direcciones IP?

Las conexiones activas asociadas a una dirección IP pública finalizan cuando se quita la dirección IP pública. Si el recurso de puerta de enlace NAT tiene varias direcciones IP públicas, se distribuye el tráfico nuevo entre las direcciones IP asignadas.

¿Qué significa cuando veo una dirección IP que se usa para conectar la salida diferente de la dirección IP pública de la puerta de enlace NAT?

Hay algunas razones posibles por las que podría estar viendo que se está usando una IP diferente para conectarse a la salida que la asociada a su puerta de enlace NAT. Para ayudar a solucionar problemas, consulte la guía de solución de problemas de conectividad de Azure NAT Gateway .

Rutas de tráfico

¿Qué ocurre con una puerta de enlace NAT si se fuerza el tráfico de túnel 0.0.0.0/0 (Internet) a una NVA, Azure VPN Gateway o Azure ExpressRoute?

Una puerta de enlace NAT usa la ruta de acceso a Internet predeterminada del sistema de una subred para enrutar el tráfico a Internet. El tráfico no pasa a través de una puerta de enlace NAT si se crea una ruta definida por el usuario para dirigir el tráfico 0.0.0.0/0 al dispositivo virtual de red de tipo próximo salto (NVA) o una puerta de enlace de red virtual.

¿Qué configuración debo realizar en la tabla de rutas de subred para conectar la salida con una puerta de enlace NAT?

No se requiere ninguna configuración en la tabla de rutas de subred para empezar a conectarse saliente con una puerta de enlace NAT. Cuando se asigna una puerta de enlace NAT a una subred, la puerta de enlace NAT se convierte en el tipo de próximo salto para todo el tráfico destinado a Internet. El tráfico puede empezar a conectarse a Internet tan pronto como la puerta de enlace NAT esté asignada a una subred y al menos una dirección IP pública.

Configuración de una puerta de enlace NAT

¿Se puede implementar una puerta de enlace NAT sin una dirección IP pública o una subred?

Sí, se puede implementar una puerta de enlace NAT sin una dirección IP pública o un prefijo y una subred. Sin embargo, no estará operativa hasta que adjunte al menos una dirección IP pública o prefijo y una subred.

¿Es estática la dirección IP pública de la puerta de enlace NAT?

Sí, las direcciones IP públicas de la puerta de enlace NAT son fijas y no cambian.

¿Cuántas direcciones IP públicas se pueden asociar a una puerta de enlace NAT?

Una puerta de enlace NAT puede usar hasta 16 direcciones IP públicas. Una puerta de enlace NAT puede usar cualquier combinación de direcciones IP públicas y prefijos IP públicos con un total de 16 direcciones. Una puerta de enlace NAT puede admitir los siguientes tamaños de prefijo: /28 (16 direcciones), /29 (8 direcciones), /30 (4 direcciones) y /31 (2 direcciones).

¿Cómo puedo usar prefijos IP personalizados (BYOIP) con una puerta de enlace NAT?

Puede usar prefijos y direcciones IP públicas derivadas de prefijos IP personalizados, también conocidos como traiga su propia dirección IP (BYOIP), con la puerta de enlace NAT. Para más información, consulte Prefijo de dirección IP personalizada (BYOIP).

¿Se puede usar una dirección IP pública IPv6 con una puerta de enlace NAT?

No, una puerta de enlace NAT no admite direcciones IP públicas IPv6. Sin embargo, puede tener una configuración de pila doble con una puerta de enlace NAT y un equilibrador de carga para proporcionar conectividad de salida IPv4 e IPv6. Para obtener más información, consulte Configuración de la conectividad de salida de pila doble con una puerta de enlace NAT y un equilibrador de carga público.

¿Se pueden usar direcciones IP públicas con la preferencia de enrutamiento "Internet" con una puerta de enlace NAT?

No, una puerta de enlace NAT no admite direcciones IP públicas con la preferencia de enrutamiento "Internet." Para ver una lista de los servicios de Azure que admiten el tipo de configuración de enrutamiento "Internet" en direcciones IP públicas, consulte Servicios admitidos para el enrutamiento a través de la red pública de Internet.

¿Se pueden usar direcciones IP públicas con protección contra DDoS habilitada con una puerta de enlace NAT?

No, una puerta de enlace NAT no admite direcciones IP públicas con la protección contra DDoS habilitada. Para obtener más información, consulte Limitaciones de DDoS.

¿Se pueden modificar las direcciones IP públicas de una puerta de enlace NAT existente?

No, no se puede cambiar la dirección de una dirección IP pública existente. Si necesita cambiar la dirección IP pública en la puerta de enlace NAT, consulte Agregar o quitar una dirección IP pública para obtener instrucciones.

Si se asignan varias direcciones IP públicas a una puerta de enlace NAT, ¿qué direcciones IP públicas usan mis recursos de subred?

Sus recursos de subred pueden usar cualquiera de las direcciones IP públicas conectadas a su puerta de enlace NAT para la conectividad saliente. Cada vez que se realiza una nueva conexión saliente a través de una puerta de enlace NAT, la dirección IP pública saliente se selecciona de forma aleatoria.

¿Puedo asignar una de las direcciones IP públicas de mi puerta de enlace NAT a una máquina virtual o subred específica para usarla exclusivamente en la conexión saliente?

No. No se admite la asignación de IP a subredes o instancias de máquina virtual específicas en una subred configurada por la puerta de enlace NAT.

¿Se puede conectar una puerta de enlace NAT a varias redes virtuales?

No, una puerta de enlace NAT no se puede conectar a varias redes virtuales.

¿Se puede conectar una puerta de enlace NAT a varias subredes?

Sí, una puerta de enlace NAT se puede asociar a hasta 800 subredes en una red virtual. No es necesario que se asocie a todas las subredes dentro de una red virtual.

¿Se puede conectar una puerta de enlace NAT a una subred de puerta de enlace?

No, una puerta de enlace NAT no se puede asociar a una puerta de enlace subred.

¿Se pueden conectar varias puertas de enlace NAT a una sola subred?

No, una puerta de enlace NAT funciona en función de las propiedades de la subred, por lo que no se pueden conectar varias puertas de enlace NAT a una sola subred.

¿Funciona una puerta de enlace NAT en una arquitectura de red en estrella tipo hub-and-spoke?

El tráfico de las redes virtuales de radio se puede enrutar a la red virtual de concentrador centralizado a través de un NVA o Azure Firewall. Una puerta de enlace NAT puede proporcionar conectividad saliente para todas las redes virtuales radiales de la red central centralizada. Para configurar una puerta de enlace NAT en una arquitectura en estrella tipo hub-and-spoke con NVA, consulte Uso de una puerta de enlace NAT en una red en estrella tipo hub-and-spoke. Para usar una puerta de enlace NAT con Azure Firewall en una configuración en estrella tipo hub-and-spoke, consulte Integración de una puerta de enlace NAT con Azure Firewall.

Zonas de disponibilidad

¿Cómo funciona una puerta de enlace NAT con zonas de disponibilidad?

Una puerta de enlace NAT puede ser zonal o colocarse en "ninguna zona". Para más información, consulte Azure NAT Gateway y zonas de disponibilidad. Además:

  • Azure coloca una puerta de enlace NAT sin zona en una zona.
  • Una puerta de enlace NAT zonal se asocia a una zona concreta por parte del usuario cuando se crea la puerta de enlace NAT.
  • La configuración zonal de una puerta de enlace NAT no se puede cambiar después de la implementación.

¿Se puede asociar una dirección IP pública con redundancia de zona a una puerta de enlace NAT?

Las direcciones IP públicas con redundancia de zona y los prefijos se pueden asociar a una puerta de enlace NAT sin zona o a una puerta de enlace NAT asignada a una zona de disponibilidad específica. Para más información, consulte Azure NAT Gateway y zonas de disponibilidad.

Azure NAT Gateway y recursos básicos de SKU

¿Son compatibles los recursos de SKU básicos (equilibrador de carga básico y direcciones IP públicas básicas) con una puerta de enlace NAT?

No, una puerta de enlace NAT es compatible con los recursos de SKU estándar. Para más información, consulte Conceptos básicos de Azure NAT Gateway. Actualice el equilibrador de carga básico y la dirección IP pública básica al estándar para trabajar con una puerta de enlace NAT. Para obtener más ayuda:

Tiempos de espera y temporizadores de conexión

¿Cuál es el tiempo de espera de inactividad de una puerta de enlace NAT?

En el caso de las conexiones TCP, el temporizador de tiempo de espera de inactividad tiene como valor predeterminado 4 minutos y se puede configurar hasta 120 minutos. Si necesita mantener flujos de conexión largos, use TCP keepalives en lugar de ampliar el temporizador de tiempo de espera de inactividad. TCP keepalives mantiene las conexiones activas durante un periodo más largo.

El temporizador de tiempo de espera de inactividad UDP está establecido en 4 minutos y no es configurable.

¿Cuál es el comportamiento de reutilización del puerto SNAT de una puerta de enlace NAT?

Cuando se cierra una conexión TCP/UDP, el puerto se coloca en un período de enfriamiento antes de que se pueda reutilizar para conectarse al mismo punto de conexión de destino. Para más información, consulte Temporizadores de reutilización de puertos SNAT. Las conexiones que van a otro destino pueden usar un puerto SNAT inmediatamente. Para más información, consulte SNAT con Azure NAT Gateway.

Integración de puerta de enlace NAT con otros servicios de Azure

¿Puedo usar una puerta de enlace NAT con Azure App Service?

Sí, se puede usar una puerta de enlace NAT con Azure App Service para permitir que las aplicaciones dirijan el tráfico saliente a Internet desde una red virtual. Para usar esta integración entre una puerta de enlace NAT y Azure App Service, se debe habilitar la integración de red virtual regional. Para obtener instrucciones sobre cómo habilitar la integración de red virtual con una puerta de enlace NAT, consulte integración de Azure NAT Gateway.

¿Puedo usar una puerta de enlace NAT con Azure Kubernetes Service?

Sí. Para más información sobre la integración de puerta de enlace NAT en Azure Kubernetes Service, consulte Puerta de enlace NAT administrada.

¿Cuándo se usa la puerta de enlace NAT para conectarse desde mi clúster de AKS al servidor de API de AKS?

Para administrar un clúster de AKS, debe interactuar con el servidor de la API. Cuando se crea un clúster no privado que se resuelve en el nombre de dominio completo (FQDN) del servidor de la API, se le asigna una IP pública de manera predeterminada. Después de adjuntar una puerta de enlace NAT a las subredes del clúster de AKS, se usará NAT Gateway para conectarse a la dirección IP pública del servidor de API de AKS. Consulte Acceso a un servidor de API de AKS para obtener información adicional e instrucciones de diseño.

¿Puedo usar una puerta de enlace NAT con Azure Firewall?

Sí, se puede usar una puerta de enlace NAT con Azure Firewall. Cuando Azure Firewall se usa con una puerta de enlace NAT, debe estar en una configuración zonal. Una puerta de enlace NAT funciona con un firewall con redundancia de zona, pero no se recomienda la implementación en este momento. Para más información sobre la integración de puerta de enlace NAT con Azure Firewall, consulte Escalar puertos SNAT con una puerta de enlace NAT.

Sí, la adición de una puerta de enlace NAT a una subred con puntos de conexión de servicio no afecta a los puntos de conexión. Los puntos de conexión de servicio de red virtual habilitan una ruta más específica para el tráfico de servicio de Azure de destino que representan. El tráfico del punto de conexión de servicio atraviesa la red troncal de Azure en lugar de Internet. Se recomienda Private Link a través de puntos de conexión de servicio al conectarse a la plataforma como servicio (PaaS) de Azure directamente desde la red de Azure.

¿Puedo usar una puerta de enlace NAT con mi área de trabajo de Azure Databricks?

Sí. Si habilita la conectividad segura de clústeres en el área de trabajo, se puede usar una puerta de enlace NAT con Azure Databricks de una de estas dos maneras:

  • Si usa conectividad de clúster segura con la red virtual predeterminada que crea Azure Databricks, Azure Databricks crea automáticamente una puerta de enlace NAT para el tráfico saliente desde las subredes del área de trabajo. La puerta de enlace NAT se crea en el grupo de recursos administrado que administra Azure Databricks. No puede modificar este grupo de recursos ni ningún recurso aprovisionado en él.
  • Si habilita la conectividad segura del clúster en el área de trabajo que usa la inserción de red virtual, puede implementar una puerta de enlace NAT en ambas subredes del área de trabajo para proporcionar conectividad saliente. Puede modificar la configuración de los requisitos de conectividad de salida personalizados en este caso. Para obtener más información consulte Proteger la conectividad del clúster.

Pasos siguientes

Si su pregunta no aparece aquí, envíe sus comentarios sobre esta página con su pregunta. Esta información creará un problema de GitHub para el equipo del producto para asegurarse de que se responden todas nuestras preguntas de clientes con valores.