Solucionar problemas de conectividade de saída com o Gateway da NAT e os serviços do Azure
Este artigo fornece diretrizes de como solucionar problemas de conectividade ao usar o Gateway da NAT com outros serviços do Azure, incluindo:
Serviços de Aplicativo do Azure
Integração de rede virtual regional do Serviço de Aplicativo do Azure desligada
O Gateway da NAT pode ser usado com os Serviços de Aplicativos do Azure para permitir que os aplicativos façam chamadas de saída de uma rede virtual. Para usar essa integração entre os Serviços de Aplicativos do Azure e o Gateway da NAT, a integração de rede virtual regional precisa ser habilitada. Confira Como funciona a integração de rede virtual regional para saber mais.
Para usar o Gateway da NAT com os Serviços de Aplicativos Azure, siga estas etapas:
Verifique se seu aplicativo tem a integração de rede virtual configurada, confira Habilitar a integração de rede virtual.
Verifique se Rotear Tudo está habilitada para sua integração de rede virtual, consulte Configurar o roteamento da integração de rede virtual.
Crie um recurso de Gateway da NAT.
Crie um endereço IP público ou anexe um endereço IP público existente na rede ao Gateway da NAT.
Atribua o Gateway da NAT à mesma sub-rede que está sendo usada para a Integração da rede virtual com seu aplicativo.
Para ver instruções passo a passo de como configurar o Gateway da NAT com a integração da rede virtual, confira Como configurar a integração com o Gateway da NAT.
Algumas observações importantes sobre a integração entre o Gateway da NAT e os Serviços de Aplicativos do Azure:
A Integração da rede virtual não dá acesso privado de entrada ao aplicativo por meio da rede virtual.
O tráfego de integração de rede virtual não aparece nos logs de fluxo do Observador de Rede do Azure ou do Grupo de Segurança de Rede ()NSG devido à natureza de como ele opera.
Os serviços de aplicativo não estão usando o endereço IP público do Gateway da NAT para conectar a saída
O Serviço de Aplicativo ainda pode se conectar à Internet mesmo que a integração de rede virtual não esteja habilitada. Por padrão, os aplicativos hospedados no Serviço de Aplicativo podem ser acessados diretamente pela Internet e podem acessar apenas pontos de extremidade hospedados online. Para saber mais, confira Recursos de Rede dos Serviços de Aplicativos.
Se você observar que o endereço IP usado para conectar a saída não é o endereço IP público do Gateway da NAT, verifique se a integração de rede virtual está habilitada. Verifique se o Gateway da NAT está configurado para a sub-rede usada para integração com seus aplicativos.
Para validar se os aplicativos Web estão usando o IP público do Gateway da NAT, faça ping em uma máquina virtual nos Aplicativos Web e verifique o tráfego por meio de uma captura de rede.
Serviço de Kubernetes do Azure
Como implantar o Gateway da NAT com os clusters do Serviço de Kubernetes do Azure (AKS)
O Gateway da NAT pode ser implantado com clusters do AKS para permitir a conectividade de saída explícita. Há duas maneiras diferentes de implantar o Gateway da NAT com clusters do AKS:
Gateway da NAT gerenciado: o Azure implanta um Gateway da NAT no momento da criação do cluster do AKS. O AKS gerencia o Gateway da NAT.
Gateway da NAT atribuído pelo usuário: você implanta um Gateway da NAT em uma rede virtual existente para o cluster do AKS.
Saiba mais em Gateway da NAT gerenciado.
Conectando-se do cluster do AKS ao servidor de API do AKS pela Internet
Para gerenciar um cluster do AKS, você interage com o respectivo servidor de API. Quando você cria um cluster não privado que é resolvido para o FQDN (nome de domínio totalmente qualificado) do servidor de API, o servidor de API recebe um endereço IP público por padrão. Depois de anexar um Gateway da NAT às sub-redes do seu cluster do AKS, o Gateway da NAT será usado para conectar ao IP público do servidor de API do AKS. Consulte a documentação a seguir para obter informações adicionais e diretrizes de design:
- Acessar um servidor de API do AKS
- Usar o Gerenciamento de API com o AKS
- Definir intervalos de IP autorizados do servidor de API
Não é possível atualizar meus IPs do Gateway da NAT nem o temporizador de tempo limite ocioso de um cluster do AKS
Os endereços IP públicos e o tempo limite ocioso do Gateway da NAT podem ser atualizados com o comando az aks update
SOMENTE para um Gateway da NAT gerenciado.
Se você implantou um Gateway da NAT atribuído pelo usuário em suas sub-redes do AKS, não poderá usar o comando az aks update
para atualizar endereços IP públicos ou o temporizador do tempo limite ocioso. O usuário gerencia um Gateway da NAT atribuído pelo usuário. Você precisa atualizar essas configurações manualmente em seu recurso de Gateway da NAT.
Atualize os endereços IP públicos no Gateway da NAT atribuído pelo usuário com as seguintes etapas:
No grupo de recursos, selecione o recurso Gateway da NAT no portal.
Em Configurações na barra de navegação à esquerda, selecione IP de saída.
Para gerenciar seus endereços IP públicos, selecione a Alteração azul.
Na configuração Gerenciar endereços IP públicos e prefixos que desliza da direita, atualize seus IPs públicos atribuídos no menu suspenso ou selecione Criar um endereço IP público.
Depois de terminar de atualizar as configurações de IP, selecione o botão OK na parte inferior da tela.
Depois que a página de configuração desaparecer, selecione o botão Salvar para salvar suas alterações.
Repita as etapas 3 a 6 para fazer o mesmo nos prefixos IP públicos.
Atualize a configuração do temporizador de tempo limite ocioso no Gateway da NAT atribuído pelo usuário com as seguintes etapas:
No grupo de recursos, selecione o recurso Gateway da NAT no portal.
Em Definições na barra de navegação à esquerda, selecione Configuração.
Na barra de texto Tempo limite ocioso (minutos) do TCP, ajuste o tempo limite ocioso (o temporizador pode ser configurado como 4 a 120 minutos).
Quando tiver terminado, clique no botão Salvar.
Observação
O aumento do tempo limite ocioso do TCP para mais de 4 minutos pode aumentar o risco de esgotamento da porta SNAT.
Firewall do Azure
Esgotamento de SNAT (Conversão de Endereços de Rede de Origem) ao se conectar à saída com o Firewall do Azure
O Firewall do Azure pode fornecer conectividade de saída com a Internet para redes virtuais. O Firewall do Azure fornece cerca de 2.496 portas SNAT por endereço IP público. Embora o Firewall do Azure possa ser associado a até 250 endereços IP públicos para lidar com o tráfego de saída, você poderá exigir menos endereços IP públicos para se conectar à saída. O requisito de saída com menos endereços IP públicos deve-se a requisitos arquitetônicos e a limitações da lista de permissões por pontos de extremidade de destino.
Um método para fornecer maior escalabilidade para o tráfego de saída e também reduzir o risco de esgotamento da porta SNAT é utilizar o Gateway da NAT na mesma sub-rede com o Firewall do Azure. Para obter mais informações sobre como configurar um Gateway da NAT em uma sub-rede do Firewall do Azure, confira Integrar o Gateway da NAT ao Firewall do Azure. Para obter mais informações sobre como o Gateway da NAT funciona com o Firewall do Azure, confira Dimensionar portas SNAT com o Gateway da NAT do Azure.
Observação
Não há suporte para o Gateway da NAT em uma arquitetura vWAN. O Gateway da NAT não pode ser configurado para uma sub-rede do Firewall do Azure em um hub vWAN.
Azure Databricks
Como usar o Gateway da NAT para conectar a saída de um cluster do Databricks
O Gateway da NAT pode ser usado para conectar a saída do cluster do Databricks quando você cria o workspace do Databricks. O Gateway da NAT pode ser implantado no cluster do Databricks de uma destas maneiras:
Quando você habilita a Conectividade de Cluster Segura (sem IP público) na rede virtual padrão que o Azure Databricks cria, o Azure Databricks implanta automaticamente um Gateway da NAT para conectar a saída das sub-redes do seu workspace à Internet. O Azure Databricks cria esse recurso de Gateway da NAT no grupo de recursos gerenciado e você não pode modificar esse grupo de recursos ou outros recursos implantados nele.
Depois de implementar o workspace do Azure Databricks na sua própria rede virtual (através de injeção de rede virtual), você poderá implementar e configurar o Gateway da NAT em ambas as sub-redes do seu workspace para garantir a conectividade de saída através do Gateway da NAT. É possível implementar essa solução usando um modelo do Azure ou no portal.
Próximas etapas
Se você estiver enfrentando problemas com o Gateway da NAT que não puderam ser resolvidos por este artigo, envie comentários por meio do GitHub na parte inferior desta página. Responderemos seus comentários assim que possível para melhorar a experiência de nossos clientes.
Saiba mais sobre métricas de gateways da NAT: