Solucionar problemas de conectividade de saída com gateway NAT e serviços do Azure

Este artigo fornece orientação sobre como solucionar problemas de conectividade ao usar o gateway NAT com outros serviços do Azure, incluindo:

Serviços de Aplicações do Azure

Integração de rede virtual regional dos Serviços de Aplicativo do Azure desativada

O gateway NAT pode ser usado com os serviços de aplicativo do Azure para permitir que os aplicativos façam chamadas de saída de uma rede virtual. Para usar essa integração entre os serviços de aplicativo do Azure e o gateway NAT, a integração de rede virtual regional deve ser habilitada. Veja como funciona a integração de rede virtual regional para saber mais.

Para usar o gateway NAT com os serviços de Aplicativo do Azure, siga estas etapas:

  1. Certifique-se de que seus aplicativos tenham a integração de rede virtual configurada, consulte Habilitar integração de rede virtual.

  2. Verifique se o Route All está habilitado para sua integração de rede virtual, consulte Configurar o roteamento de integração de rede virtual.

  3. Crie um recurso de gateway NAT.

  4. Crie um novo endereço IP público ou anexe um endereço IP público existente na sua rede ao gateway NAT.

  5. Atribua o gateway NAT à mesma sub-rede que está sendo usada para integração de rede virtual com seus aplicativos.

Para ver instruções passo a passo sobre como configurar o gateway NAT com integração de rede virtual, consulte Configurando a integração de gateway NAT.

Observações importantes sobre o gateway NAT e a integração dos Serviços de Aplicativo do Azure:

  • A integração de rede virtual não fornece acesso privado de entrada ao seu aplicativo a partir da rede virtual.

  • O tráfego de integração de rede virtual não aparece nos logs de fluxo do Azure Network Watcher ou do NSG (Network Security Group) devido à natureza de como ele opera.

Os serviços de aplicativo não estão usando o endereço IP público do gateway NAT para se conectar de saída

Mesmo que a integração de rede virtual não esteja ativada, o Serviço de Aplicações consegue estabelecer ligação de saída à Internet. Por predefinição, as aplicações alojadas no Serviço de Aplicações são acessíveis diretamente através da Internet e podem alcançar apenas pontos finais alojados na Internet. Para saber mais, consulte Recursos de rede dos Serviços de Aplicativo.

Se você notar que o endereço IP usado para conectar a saída não é o endereço IP público do gateway NAT, verifique se a integração de rede virtual está habilitada. Verifique se o gateway NAT está configurado para a sub-rede usada para integração com seus aplicativos.

Para validar se os aplicativos Web estão usando o IP público do gateway NAT, execute ping em uma máquina virtual em seus aplicativos Web e verifique o tráfego por meio de uma captura de rede.

Azure Kubernetes Service

Como implantar o gateway NAT com clusters do Serviço Kubernetes do Azure (AKS)

O gateway NAT pode ser implantado com clusters AKS para permitir conectividade de saída explícita. Há duas maneiras diferentes de implantar o gateway NAT com clusters AKS:

  • Gateway NAT gerenciado: o Azure implanta um gateway NAT no momento da criação do cluster AKS. O AKS gerencia o gateway NAT.

  • Gateway NAT atribuído pelo usuário: você implanta um gateway NAT em uma rede virtual existente para o cluster AKS.

Saiba mais em Gateway NAT Gerido.

Ligar a partir do cluster AKS ao servidor API AKS através da Internet

Para gerenciar um cluster AKS, você interage com seu servidor de API. Quando você cria um cluster não privado que resolve para o FQDN (nome de domínio totalmente qualificado) do servidor de API, o servidor de API recebe um endereço IP público por padrão. Depois de anexar um Gateway NAT às sub-redes do seu cluster AKS, o Gateway NAT será usado para se conectar ao IP público do servidor da API AKS. Consulte a documentação a seguir para obter informações adicionais e orientações de projeto:

Não é possível atualizar meus IPs de gateway NAT ou temporizador de tempo limite ocioso para um cluster AKS

Os endereços IP públicos e o temporizador de tempo limite ocioso para gateway NAT podem ser atualizados com o az aks update comando para um gateway NAT gerenciado APENAS.

Se você implantou um gateway NAT atribuído pelo usuário em suas sub-redes AKS, não poderá usar o az aks update comando para atualizar endereços IP públicos ou o temporizador de tempo limite ocioso. O usuário gerencia um gateway NAT atribuído pelo usuário. Você precisa atualizar essas configurações manualmente no recurso de gateway NAT.

Atualize seus endereços IP públicos no gateway NAT atribuído pelo usuário com as seguintes etapas:

  1. No grupo de recursos, selecione o recurso de gateway NAT no portal.

  2. Em Definições, na barra de navegação à esquerda, selecione IP de saída.

  3. Para gerenciar seus endereços IP públicos, selecione a opção azul Alterar.

  4. Na configuração Gerenciar endereços IP públicos e prefixos que desliza da direita, atualize os IPs públicos atribuídos no menu suspenso ou selecione Criar um novo endereço IP público.

  5. Quando terminar de atualizar suas configurações de IP, selecione o botão OK na parte inferior da tela.

  6. Depois que a página de configuração desaparecer, selecione o botão Salvar para salvar as alterações.

  7. Repita as etapas 3 a 6 para fazer o mesmo para prefixos IP públicos.

Atualize a configuração do temporizador de tempo limite ocioso no gateway NAT atribuído pelo usuário com as seguintes etapas:

  1. No seu grupo de recursos, selecione o recurso de gateway NAT no portal.

  2. Em Definições, na barra de navegação à esquerda, selecione Configuração.

  3. Na barra de texto Tempo limite de inatividade TCP (minutos), ajuste o temporizador de tempo limite de inatividade (o temporizador pode ser configurado de 4 a 120 minutos).

  4. Quando terminar, selecione o botão Guardar.

Nota

Aumentar o temporizador de tempo limite ocioso TCP para mais de 4 minutos pode aumentar o risco de exaustão da porta SNAT.

Azure Firewall

Exaustão da Conversão de Endereço de Rede de Origem (SNAT) ao conectar a saída com o Firewall do Azure

O Firewall do Azure pode fornecer conectividade de saída com a Internet para redes virtuais. O Firewall do Azure fornece apenas 2.496 portas SNAT por endereço IP público. Embora o Firewall do Azure possa ser associado a até 250 endereços IP públicos para lidar com o tráfego de saída, você pode precisar de menos endereços IP públicos para se conectar de saída. O requisito para sair com menos endereços IP públicos deve-se aos requisitos de arquitetura e às limitações da lista de permissões por pontos de extremidade de destino.

Um método pelo qual fornecer maior escalabilidade para o tráfego de saída e também reduzir o risco de exaustão da porta SNAT é usar o gateway NAT na mesma sub-rede com o Firewall do Azure. Para obter mais informações sobre como configurar um gateway NAT em uma sub-rede do Firewall do Azure, consulte integrar gateway NAT ao Firewall do Azure. Para obter mais informações sobre como o gateway NAT funciona com o Firewall do Azure, consulte Dimensionar portas SNAT com o Gateway NAT do Azure.

Nota

O gateway NAT não é suportado em uma arquitetura vWAN. O gateway NAT não pode ser configurado para uma sub-rede do Firewall do Azure em um hub vWAN.

Azure Databricks

Como usar o gateway NAT para conectar a saída de um cluster databricks

O gateway NAT pode ser usado para conectar a saída do cluster de databricks quando você cria seu espaço de trabalho Databricks. O gateway NAT pode ser implantado em seu cluster de databricks de duas maneiras:

  • Quando você habilita a Conectividade de Cluster Seguro (Sem IP Público) na rede virtual padrão que o Azure Databricks cria, o Azure Databricks implanta automaticamente um gateway NAT para conectar a saída das sub-redes do seu espaço de trabalho à Internet. O Azure Databricks cria esse recurso de gateway NAT dentro do grupo de recursos gerenciado e você não pode modificar esse grupo de recursos ou quaisquer outros recursos implantados nele.

  • Depois de implantar o espaço de trabalho do Azure Databricks em sua própria rede virtual (por meio de injeção de rede virtual), você pode implantar e configurar o gateway NAT em ambas as sub-redes do espaço de trabalho para garantir a conectividade de saída por meio do gateway NAT. Pode implementar esta solução com um modelo do Azure ou no portal.

Próximos passos

Se você estiver enfrentando problemas com o gateway NAT não resolvidos por este artigo, envie comentários através do GitHub na parte inferior desta página. Endereçamos o seu feedback o mais rapidamente possível para melhorar a experiência dos nossos clientes.

Para saber mais sobre o gateway NAT, consulte: