Solucionar problemas do Gateway NAT do Azure

Este artigo fornece orientação sobre como configurar corretamente seu gateway NAT e solucionar problemas comuns relacionados à configuração e implantação.

Noções básicas de configuração do gateway NAT

Verifique as seguintes configurações para garantir que o gateway NAT possa ser usado para direcionar o tráfego de saída:

  1. Pelo menos um endereço IP público ou um prefixo IP público está anexado ao gateway NAT. Pelo menos um endereço IP público deve ser associado ao gateway NAT para que ele forneça conectividade de saída.

  2. Pelo menos uma sub-rede está conectada a um gateway NAT. Você pode anexar várias sub-redes a um gateway NAT para saída, mas essas sub-redes devem existir dentro da mesma rede virtual. O gateway NAT não pode ir além de uma única rede virtual.

  3. Nenhuma regra NSG (Network Security Group) ou UDR (User Defined Routes) está bloqueando o gateway NAT de direcionar o tráfego de saída para a Internet.

Como validar a conectividade

O gateway NAT suporta os protocolos IPv4 User Datagram Protocol (UDP) e Transmission Control Protocol (TCP).

Nota

O protocolo ICMP não é suportado pelo NAT Gateway. O ping usando o protocolo ICMP não é suportado e espera-se que falhe.

Para validar a conectividade de ponta a ponta do gateway NAT, siga estas etapas:

  1. Valide se o endereço IP público do gateway NAT está sendo usado.

  2. Conduza testes de conexão TCP e testes de camada de aplicativo específicos de UDP.

  3. Observe os logs de fluxo do NSG para analisar os fluxos de tráfego de saída do gateway NAT.

Consulte a tabela a seguir para obter as ferramentas a serem usadas para validar a conectividade do gateway NAT.

Sistema operativo Teste de conexão TCP genérica Teste da camada de aplicação TCP UDP
Linux nc (teste de conexão genérico) curl (Teste da camada de aplicação TCP) aplicação específica
Windows PsPing PowerShell Invoke-WebRequest aplicação específica

Como analisar a conectividade de saída

Para analisar o tráfego de saída do gateway NAT, use logs de fluxo de rede virtual (VNet). Os logs de fluxo de VNet fornecem informações de conexão para suas máquinas virtuais. As informações de conexão contêm o IP e a porta de origem e o IP e a porta de destino e o estado da conexão. A direção do fluxo de tráfego e o tamanho do tráfego em número de pacotes e bytes enviados também são registrados. O IP de origem e a porta especificados no log de fluxo da rede virtual são para a máquina virtual e não para o gateway NAT.

  • Para saber mais sobre logs de fluxo de rede virtual, consulte Visão geral dos logs de fluxo de rede virtual.

  • Para obter guias sobre como habilitar logs de fluxo de rede virtual, consulte Gerenciar logs de fluxo de rede virtual.

  • É recomendável acessar os dados de log nos espaços de trabalho do Log Analytics, onde você também pode consultar e filtrar os dados para tráfego de saída. Para saber mais sobre como usar o Log Analytics, consulte o tutorial do Log Analytics.

  • Para obter mais detalhes sobre o esquema de log de fluxo de rede virtual, consulte Esquema de análise de tráfego e agregação de dados.

O NAT Gateway está num estado com falhas

Você pode enfrentar uma falha de conectividade de saída se o recurso de gateway NAT estiver em um estado de falha. Para tirar o gateway NAT de um estado de falha, siga estas instruções:

  1. Identifique o recurso que está em um estado de falha. Vá para o Gerenciador de Recursos do Azure e identifique o recurso nesse estado.

  2. Atualize a alternância no canto superior direito para Leitura/Gravação.

  3. Selecione em Editar para o recurso em estado de falha.

  4. Selecione PUT seguido de GET para garantir que o estado de provisionamento foi atualizado para Succeeded.

  5. Em seguida, você pode prosseguir com outras ações, pois o recurso está fora do estado de falha.

Adicionar ou remover gateway NAT

Não é possível excluir o gateway NAT

O gateway NAT deve ser desanexado de todas as sub-redes dentro de uma rede virtual antes que o recurso possa ser removido ou excluído. Consulte Remover gateway NAT de uma sub-rede existente e excluir o recurso para obter orientação passo a passo.

Adicionar ou remover sub-rede

O gateway NAT não pode ser anexado à sub-rede já conectada a outro gateway NAT

Uma sub-rede dentro de uma rede virtual não pode ter mais de um gateway NAT conectado a ela para se conectar de saída à Internet. Um recurso de gateway NAT individual pode ser associado a várias sub-redes dentro da mesma rede virtual. O gateway NAT não pode ir além de uma única rede virtual.

Os recursos básicos não podem existir na mesma sub-rede que o gateway NAT

O gateway NAT não é compatível com recursos básicos, como o Basic Load Balancer ou o Basic Public IP. Os recursos básicos devem ser colocados em uma sub-rede não associada a um gateway NAT. O Basic Load Balancer e o Basic Public IP podem ser atualizados para o padrão para funcionar com o gateway NAT.

O gateway NAT não pode ser anexado a uma sub-rede de gateway

O gateway NAT não pode ser implantado em uma sub-rede de gateway. Uma sub-rede de gateway é usada por um gateway VPN para enviar tráfego criptografado entre uma rede virtual do Azure e o local local. Consulte Visão geral do gateway VPN para saber mais sobre como as sub-redes de gateway são usadas pelo gateway VPN.

Não é possível anexar gateway NAT a uma sub-rede que contém uma interface de rede de máquina virtual em um estado de falha

Ao associar um gateway NAT a uma sub-rede que contém uma interface de rede de máquina virtual (interface de rede) em um estado de falha, você recebe uma mensagem de erro indicando que essa ação não pode ser executada. Você deve primeiro resolver o estado de falha da interface de rede da máquina virtual antes de anexar um gateway NAT à sub-rede.

Para tirar a interface de rede da máquina virtual de um estado de falha, você pode usar um dos dois métodos a seguir.

Usar o PowerShell para tirar a interface de rede da máquina virtual de um estado de falha

  1. Determine o estado de provisionamento de suas interfaces de rede usando o comando Get-AzNetworkInterface PowerShell e definindo o valor de "provisioningState" como "Succeeded".

  2. Execute comandos GET/SET PowerShell na interface de rede. Os comandos do PowerShell atualizam o estado de provisionamento.

  3. Verifique os resultados desta operação verificando novamente o estado de provisionamento das interfaces de rede (siga os comandos da etapa 1).

Use o Gerenciador de Recursos do Azure para tirar a interface de rede da máquina virtual de um estado de falha

  1. Vá para o Azure Resource Explorer (recomendado para usar o navegador Microsoft Edge)

  2. Expanda Subscrições (demora alguns segundos a aparecer).

  3. Expanda sua assinatura que contém a interface de rede da máquina virtual no estado de falha.

  4. Expanda resourceGroups.

  5. Expanda o grupo de recursos correto que contém a interface de rede da máquina virtual no estado de falha.

  6. Expanda fornecedores.

  7. Expanda Microsoft.Network.

  8. Expanda networkInterfaces.

  9. Selecione na interface de rede que está no estado de provisionamento com falha.

  10. Selecione o botão Ler/Escrever na parte superior.

  11. Selecione o botão GET verde.

  12. Selecione o botão EDIT azul.

  13. Selecione o botão PUT verde.

  14. Selecione o botão Só de Leitura na parte superior.

  15. A interface de rede da máquina virtual agora deve estar em um estado de provisionamento bem-sucedido. Pode fechar o navegador.

Adicionar ou remover endereços IP públicos

Não pode exceder 16 endereços IP públicos no gateway NAT

O gateway NAT não pode ser associado a mais de 16 endereços IP públicos. Você pode usar qualquer combinação de endereços IP públicos e prefixos com gateway NAT até um total de 16 endereços IP. Para adicionar ou remover um IP público, consulte Adicionar ou remover um endereço IP público.

Os seguintes tamanhos de prefixo IP podem ser usados com o gateway NAT:

  • /28 (16 endereços)

  • /29 (8 endereços)

  • /30 (4 endereços)

  • /31 (2 endereços)

Coexistência IPv6

O gateway NAT suporta protocolos IPv4 UDP e TCP. O gateway NAT não pode ser associado a um endereço IP público IPv6 ou a um prefixo IP público IPv6. O gateway NAT pode ser implantado em uma sub-rede de pilha dupla, mas usa apenas endereços IP públicos IPv4 para direcionar o tráfego de saída. Implante o gateway NAT em uma sub-rede de pilha dupla quando precisar que os recursos IPv6 existam na mesma sub-rede que os recursos IPv4. Para obter mais informações sobre como fornecer conectividade de saída IPv4 e IPv6 a partir de sua sub-rede de pilha dupla, consulte Conectividade de saída de pilha dupla com gateway NAT e balanceador de carga público.

Não é possível usar IPs públicos básicos com gateway NAT

O gateway NAT é um recurso padrão e não pode ser usado com recursos básicos, incluindo endereços IP públicos básicos. Você pode atualizar seu endereço IP público básico para usar com seu gateway NAT usando as seguintes diretrizes: Atualizar um endereço IP público.

Não é possível usar IPs públicos com preferência de roteamento da Internet junto com o gateway NAT

Quando o gateway NAT é configurado com um endereço IP público, o tráfego é roteado através da rede Microsoft. O gateway NAT não pode ser associado a IPs públicos com a Internet de escolha de preferência de roteamento. O gateway NAT só pode ser associado a IPs públicos com a opção de preferência de roteamento Microsoft Global Network. Consulte os serviços suportados para obter uma lista de todos os serviços do Azure que suportam IPs públicos com a preferência de encaminhamento da Internet.

Não é possível incompatibilidade de zonas de endereços IP públicos e gateway NAT

O gateway NAT é um recurso zonal e pode ser designado para uma zona específica ou para "nenhuma zona". Quando o gateway NAT é colocado em "nenhuma zona", o Azure coloca o gateway NAT em uma zona para você, mas você não tem visibilidade de qual zona o gateway NAT está localizado.

O gateway NAT pode ser usado com endereços IP públicos designados para uma zona específica, sem zona, todas as zonas (com redundância de zona), dependendo de sua própria configuração de zona de disponibilidade.

Designação da zona de disponibilidade do gateway NAT Endereço IP público / designação de prefixo que pode ser usado
Sem zona Zone-redundante, No zone ou Zonal (a designação de zona IP pública pode ser qualquer zona dentro de uma região para trabalhar com um gateway NAT sem zona)
Designado para uma zona específica IPs públicos zonais ou redundantes de zona podem ser usados

Nota

Se você precisar saber a zona em que seu gateway NAT reside, certifique-se de designá-lo para uma zona de disponibilidade específica.

Mais documentação de orientação para a resolução de problemas

Se o problema que você está enfrentando não for abordado neste artigo, consulte os outros artigos de solução de problemas do gateway NAT:

Próximos passos

Se você estiver enfrentando problemas com o gateway NAT não listado ou resolvido por este artigo, envie comentários através do GitHub na parte inferior desta página. Endereçamos o seu feedback o mais rapidamente possível para melhorar a experiência dos nossos clientes.

Para saber mais sobre o gateway NAT, consulte: