Часто задаваемые вопросы о шлюзе NAT Azure

Шлюз NAT Azure — это полностью управляемое решение для подключения к исходящему трафику для виртуальных сетей Azure. Чтобы обеспечить безопасное и масштабируемое исходящее подключение, подключите шлюз NAT к подсетям в виртуальной сети и по крайней мере к одному статическому общедоступному IP-адресу.

См . цены на шлюз Azure NAT.

См . ограничения шлюза NAT Azure.

Количество ресурсов шлюза NAT, разрешенных для каждой подписки на каждый регион, зависит от типа категории предложения, например бесплатной пробной версии, оплаты по мере использования, поставщик облачных решений (CSP) и Соглашение Enterprise. Соглашение Enterprise и типы предложений CSP могут содержать до 1000 ресурсов шлюза NAT. Спонсируемые и оплачиваемые типы предложений могут содержать до 100 ресурсов шлюза NAT. Все другие типы предложений, такие как бесплатная пробная версия, могут содержать до 15 ресурсов шлюза NAT.

Нет, ресурс шлюза NAT нельзя использовать с несколькими подписками одновременно. Пошаговые инструкции см. в статье "Создание и настройка шлюза NAT после перемещения региона".

Нет, шлюз NAT нельзя перемещать между подписками, регионами или группами ресурсов. Для другой подписки, региона или группы ресурсов необходимо создать новый шлюз NAT.

Шлюз NAT обеспечивает исходящее подключение из виртуальной сети. Возврат трафика в прямом ответе на исходящий поток также может передаваться через шлюз NAT. Входящий трафик непосредственно из Интернета не может передаваться через шлюз NAT.

Для шлюза NAT SKU уровня "Стандартный" используйте журналы потоков виртуальной сети. Журналы потоков виртуальной сети — это функция Azure Наблюдатель за сетями, которая регистрирует сведения о IP-трафике, который проходит через виртуальную сеть. Потоковые данные из журналов потоков виртуальной сети отправляются в служба хранилища Azure. Оттуда вы можете получить доступ к данным и экспортировать их в любое средство визуализации, решение для управления сведениями о безопасности и событиями (SIEM) или систему обнаружения вторжений (IDS).

Журналы потоков виртуальной сети предоставляют сведения о подключении для виртуальных машин. Сведения о подключении содержат исходный IP-адрес и порт, конечный IP-адрес и порт, а также состояние подключения. Также регистрируются направление потока трафика и размер трафика в количестве пакетов и отправленных байтов. Исходный IP-адрес и порт, указанный в журнале потоков виртуальной сети, предназначен для виртуальной машины, а не для шлюза NAT.

Общие рекомендации по созданию журналов потоков виртуальной сети и управлению ими см. в разделе "Управление журналами потоков виртуальной сети".

Для шлюза NAT StandardV2 доступны журналы потоков шлюза NAT и предоставляют сведения об уровне IP-адресов, проходящих через шлюз NAT. Дополнительные сведения см. в статье "Анализ трафика шлюза NAT с помощью журналов потоков".

Чтобы удалить ресурс шлюза NAT, ресурс должен быть удален из подсети. После отключения ресурса шлюза NAT от всех подсетей его можно удалить. Инструкции см. в разделе "Удаление ресурса шлюза NAT" из существующей подсети и удаление ресурса.

Нет, шлюз NAT не поддерживает фрагментацию IP-адресов для протокола управления передачей (TCP) или протокола пользовательской диаграммы данных (UDP).

Шлюз NAT StandardV2 — это новая версия SKU службы шлюза NAT Azure. Шлюз NAT StandardV2 обеспечивает поддержку избыточности между зонами, расширенные ограничения обработки данных, поддержку IPv6, журналы потоков и повышенную масштабируемость по сравнению с исходным шлюзом NAT уровня "Стандартный". Дополнительные сведения см. в разделе SKU шлюза NAT.

Нет, вы не можете обновить существующий шлюз NAT уровня "Стандартный" до шлюза NAT StandardV2. Чтобы выполнить миграцию из шлюза NAT standard на StandardV2, создайте новый ресурс шлюза NAT StandardV2 и свяжите его с подсетью.

Да, для получения дополнительной информации смотрите известные проблемы и ограничения шлюза NAT StandardV2.

Нет, нет различий в ценах. Шлюз NAT Standard и StandardV2 стоят одинаково. Дополнительные сведения см. в разделе о ценах на шлюз Azure NAT .

Нет, общедоступные IP-адреса уровня "Стандартный" нельзя использовать с шлюзом NAT StandardV2. Чтобы использовать шлюз NAT StandardV2, необходимо использовать общедоступные IP-адреса StandardV2. Дополнительные сведения см. в разделе SKU шлюза NAT.

Нет, шлюз NAT StandardV2 может быть подключен только к одной виртуальной сети одновременно.

Те же метрики, доступные для шлюза NAT уровня "Стандартный", также доступны для шлюза NAT StandardV2. Дополнительные сведения см. в метриках шлюза NAT.

Нет, шлюз NAT StandardV2 доступен в большинстве общедоступных регионов. Дополнительные сведения о том, какие регионы еще не поддерживаются для шлюза NAT StandardV2, см. в известных ограничениях.

Метрика счетчика подключений SNAT показывает количество новых подключений преобразования сетевых адресов источника (SNAT), сделанных в секунду. Метрика "Общее число подключений SNAT" показывает общее количество активных подключений к ресурсу шлюза NAT.

Для шлюза NAT нет метрик использования портов SNAT. Используйте метрики счетчика подключений SNAT и общего числа подключений SNAT, чтобы оценить емкость SNAT ресурса шлюза NAT.

Метрики шлюза NAT можно получить с помощью REST API метрик. Кроме того, можно выбрать общий доступ и загрузить в Excel из области метрик шлюза NAT в портал Azure.

Нет, метрики шлюза NAT нельзя экспортировать с помощью параметров диагностики. Метрики шлюза NAT являются многомерными. Параметры диагностики не поддерживают экспорт многомерных метрик.

Шлюз NAT автоматически подключается к Интернету после подключения к общедоступному IP-адресу или префиксу и подсети. Шлюз NAT имеет приоритет над Azure Load Balancer с правилами исходящего трафика, общедоступными IP-адресами уровня экземпляра на виртуальных машинах и Брандмауэр Azure для исходящего подключения.

Нет, нет нарушений в подключениях. Существующие подключения с предыдущей исходящей службой (Load Balancer, Брандмауэр Azure, общедоступные IP-адреса уровня экземпляра) продолжают работать до закрытия этих подключений. После добавления шлюза NAT в подсеть виртуальной сети все новые подключения используют шлюз NAT для выполнения исходящих подключений.

Однако существует известная проблема с шлюзом NAT StandardV2 и существующими подключениями с помощью подсистемы балансировки нагрузки, брандмауэра или общедоступного IP-адреса экземпляра виртуальной машины. Существующие подключения с другими методами исходящего подключения будут нарушены после добавления шлюза NAT StandardV2 в подсеть. Все новые подключения будут использовать шлюз NAT StandardV2. Узнайте больше об известных проблемах.

Нет, общедоступный IP-адрес шлюза NAT не может подключаться непосредственно к частному IP-адресу через Интернет.

Все активные подключения, связанные с общедоступным IP-адресом, завершаются при удалении общедоступного IP-адреса. Если ресурс шлюза NAT содержит несколько общедоступных IP-адресов, новый трафик распределяется между назначенными IP-адресами.

Существует несколько возможных причин, по которым можно увидеть другой IP-адрес, используемый для подключения к исходящему трафику, чем тот, который связан с шлюзом NAT. Сведения об устранении неполадок см. в руководстве по устранению неполадок с подключением шлюза NAT Azure.

Нет, шлюз NAT несовместим с активным режимом FTP. При настройке шлюза NAT клиентский канал и канал данных для активного режима FTP используют разные IP-адреса, поэтому FTP-сервер видит подключение как недопустимое. Дополнительные сведения см. в руководстве по устранению неполадок при подключении шлюза NAT к сбоям подключения для активного или пассивного режима FTP.

Шлюз NAT можно использовать с пассивным режимом FTP, но только если для шлюза NAT настроен один общедоступный IP-адрес. Пассивный режим FTP не работает с шлюзом NAT, настроенным с префиксом общедоступного IP-адреса или несколькими общедоступными IP-адресами. Если шлюз NAT с несколькими общедоступными IP-адресами отправляет исходящий трафик, он случайно выбирает один из его общедоступных IP-адресов для исходного IP-адреса. Пассивный режим FTP завершается ошибкой, если каналы управления и данные используют разные исходные IP-адреса. Дополнительные сведения см. в руководстве по устранению неполадок при подключении шлюза NAT к сбоям подключения для активного или пассивного режима FTP.

Нет, общедоступные IP-адреса шлюза NAT не используются для подключения к учетным записям хранения в одном регионе. Службы, развернутые в том же регионе, что и учетная запись хранения Azure, используют частные IP-адреса Azure для связи. Вы не можете ограничить доступ к определенным службам Azure на основе диапазона общедоступных исходящих IP-адресов. Дополнительные сведения см. в ограничениях для правил IP-сети.

Шлюз NAT использует системный интернет-путь подсети по умолчанию для маршрутизации трафика в Интернет. Трафик не проходит через шлюз NAT, если определяемый пользователем маршрут создается для направления трафика 0.0.0.0/0 к сетевому сетевому устройству типа следующего прыжка (NVA) или шлюзу виртуальной сети.

Для начала подключения исходящего трафика к шлюзу NAT не требуется конфигурация в таблице маршрутов подсети. Когда шлюз NAT назначается подсети, шлюз NAT становится типом следующего прыжка для всего трафика, предназначенного для Интернета. Трафик может начать подключение исходящего трафика к Интернету, как только шлюз NAT назначен подсети и по крайней мере один общедоступный IP-адрес.

Да, шлюз NAT можно развернуть без общедоступного IP-адреса или префикса и подсети. Однако он не работает, пока не вложите по крайней мере один общедоступный IP-адрес или префикс и подсеть.

Да, общедоступные IP-адреса в шлюзе NAT исправлены и не изменяются.

Шлюз NAT может использовать до 16 общедоступных IP-адресов. Шлюз NAT может использовать любое сочетание общедоступных IP-адресов и префиксов общедоступного IP-адреса, в общей сложности 16 адресов. Шлюз NAT поддерживает следующие размеры префикса: /28 (16 адресов), /29 (8 адресов), /30 (4 адреса) и /31 (2 адреса).

Вы можете использовать общедоступные IP-префиксы и адреса, производные от пользовательских IP-префиксов, также известных как bring your own IP (BYOIP), с шлюзом NAT стандартного SKU. Пользовательские IP-адреса не поддерживаются в шлюзе NAT StandardV2. Дополнительные сведения см. в статье о префиксе пользовательского IP-адреса (BYOIP).

Шлюз NAT стандартного номера SKU не поддерживает общедоступные IP-адреса IPv6. Шлюз NAT StandardV2 может быть связан с до 16 общедоступных IP-адресов IPv6 или префиксом размера /124.

Нет, шлюз NAT не поддерживает общедоступные IP-адреса с предпочтениями маршрутизации "Интернет". Список служб Azure, поддерживающих тип конфигурации маршрутизации "Интернет" в общедоступных IP-адресах, см. в статье "Поддерживаемые службы для маршрутизации через общедоступный Интернет".

Нет, шлюз NAT не поддерживает общедоступные IP-адреса с включенной защитой от атак DDoS. Защищенные ip-адреса DDoS обычно более важны для входящего трафика, так как большинство атак DDoS предназначены для перегрузки ресурсов целевого объекта путем наводнения их большим объемом входящего трафика. Дополнительные сведения о защищенных IP-адресах DDoS см. в разделе об ограничениях DDoS.

Да, можно изменить общедоступные IP-адреса, связанные с существующим шлюзом NAT. Если необходимо изменить общедоступный IP-адрес шлюза NAT, ознакомьтесь с инструкциями по добавлению или удалению общедоступного IP-адреса . Общедоступные IP-адреса SKU StandardV2 не работают с шлюзом NAT уровня "Стандартный". Общедоступные IP-адреса SKU StandardV2 работают только с шлюзом NAT StandardV2.

Ресурсы подсети могут использовать любой из общедоступных IP-адресов, подключенных к шлюзу NAT, для исходящего подключения. Каждый раз, когда новое исходящее подключение выполняется через шлюз NAT, исходящий общедоступный IP-адрес выбирается случайным образом.

№ Назначение IP-адресов определенным подсетям или экземплярам виртуальных машин в подсети, настроенной шлюзом NAT, не поддерживается.

Нет, шлюз NAT не может быть подключен к нескольким виртуальным сетям.

Да, шлюз NAT может быть связан с до 800 подсетей в виртуальной сети. Необязательно связывать его со всеми подсетями в виртуальной сети.

Нет, шлюз NAT не может быть связан с подсетью шлюза. Подсети шлюза зарезервированы для ресурсов VPN-шлюза и несовместимы с развертываниями шлюза NAT. Чтобы использовать шлюз NAT, подключите его к любой другой подсети в той же виртуальной сети.

Нет, шлюз NAT работает на основе свойств подсети, поэтому несколько шлюзов NAT не могут быть присоединены к одной подсети.

Трафик из периферийных виртуальных сетей можно направлять в централизованную виртуальную сеть концентратора через NVA или Брандмауэр Azure. Затем шлюз NAT может предоставлять исходящее подключение для всех периферийных виртуальных сетей из централизованной центральной сети. Сведения о настройке шлюза NAT в центральной и периферийной архитектуре с NVAs см. в статье "Использование шлюза NAT в центральной и периферийной сети". Сведения об использовании шлюза NAT с Брандмауэр Azure в центральной и периферийной настройке см. в статье "Интеграция шлюза NAT с Брандмауэр Azure".

Стандартный шлюз NAT может быть зональным или помещен в "без зоны". Шлюз NAT без зоны помещается в зону для вас в Azure. Зональный шлюз NAT всегда связан с определенной зоной, которую пользователь выбрал при создании этого шлюза NAT. Шлюз NAT StandardV2 имеет только зоновую избыточность. Если в регионе выходит из строя одна зона, шлюз NAT StandardV2 продолжает работать и поддерживает исходящее соединение из оставшихся исправных зон. Зональная конфигурация шлюза NAT не может быть изменена после развертывания.

Общедоступные IP-адреса и префиксы зонально-избыточного стандарта SKU могут быть присоединены к беззональному или зональному шлюзу NAT. Общедоступные IP-адреса SKU StandardV2 имеют зональную избыточность и могут использоваться только с шлюзом NAT StandardV2, который также обладает зональной избыточностью. Дополнительные сведения см. в статье "Шлюз NAT Azure" и зоны доступности.

Нет, шлюзы NAT Standard и StandardV2 несовместимы с базовыми SKU ресурсами. Дополнительные сведения см. в статье "Основы шлюза NAT Azure". Обновите базовый балансировщик нагрузки и базовый общедоступный IP-адрес до стандартного, чтобы работать с шлюзом NAT. Дополнительные сведения:

• Чтобы обновить базовую подсистему балансировки нагрузки до уровня "Стандартный", см. раздел "Обновление общедоступной подсистемы балансировки нагрузки Azure".
• Сведения об обновлении общедоступного IP-адреса до ценовой категории "Стандартный" см. в разделе Обновление общедоступного IP-адреса.
• Чтобы обновить базовый общедоступный IP-адрес с подключенной виртуальной машиной до уровня "Стандартный", ознакомьтесь с обновлением базового общедоступного IP-адреса с подключенной виртуальной машиной.

Нет, при добавлении шлюза NAT в подсеть, где используется исходящий доступ по умолчанию, нет простоя. После добавления шлюза NAT в подсеть все новые подключения начинают использовать шлюз NAT вместо исходящего доступа по умолчанию. Все существующие подключения с исходящим доступом по умолчанию сохраняются до закрытия подключений.

Вы можете настроить явный метод исходящего подключения для виртуальных машин, прежде чем включить функцию частной подсети, например шлюз NAT, чтобы обеспечить исходящее подключение к Интернету.

В некоторых случаях исходящий IP-адрес по умолчанию по-прежнему назначается виртуальным машинам в подсети, отличной отprivate, даже если настроен шлюз NAT или UDR, направляющий трафик в NVA/брандмауэр. Это не означает, что исходящие IP-адреса по умолчанию используются для исходящего трафика, если только эти явные методы исходящего подключения не удаляются. Чтобы полностью удалить исходящие IP-адреса по умолчанию, подсеть должна быть закрыта, и виртуальные машины должны быть остановлены и освобождены.

Для TCP-подключений таймер времени ожидания по умолчанию по умолчанию составляет 4 минуты и настраивается до 120 минут. Если вам нужно поддерживать длинные потоки подключения, используйте хранимые протоколы TCP вместо расширения таймера ожидания простоя. Хранимые протоколы TCP поддерживают активные подключения в течение длительного периода.

Таймер времени ожидания простоя UDP имеет значение 4 минуты и не настраивается.

При закрытии подключения TCP/UDP порт помещается в период охлаждения до повторного использования для подключения к той же конечной точке назначения. Дополнительные сведения см. в статье О повторном использовании таймеров портов SNAT. Подключения, которые собираются в другом месте назначения, могут сразу использовать порт SNAT. Дополнительные сведения см. в статье SNAT с шлюзом Azure NAT.

Да, шлюз NAT можно использовать со службой приложение Azure, чтобы разрешить приложениям направлять исходящий трафик в Интернет из виртуальной сети. Чтобы использовать эту интеграцию между шлюзом NAT и службой приложение Azure, необходимо включить интеграцию региональной виртуальной сети. Инструкции по включению интеграции виртуальной сети с шлюзом NAT см. в статье об интеграции шлюза NAT Azure.

Да. Шлюз NAT типа Standard можно использовать в качестве управляемого шлюза NAT или шлюза NAT с пользовательским назначением. Шлюз NAT StandardV2 можно использовать только в качестве назначаемого пользователем шлюза NAT. Дополнительные сведения об интеграции шлюза NAT с Служба Azure Kubernetes см. в разделе "Управляемый шлюз NAT".

Для управления кластером AKS кластер взаимодействует с сервером API. В непубличных кластерах трафик кластера сервера API направляется и обрабатывается через тип исходящего подключения кластера. Если для исходящего типа кластера задан шлюз NAT, трафик сервера API обрабатывается как общедоступный трафик через шлюз NAT. Чтобы предотвратить обработку трафика сервера API в качестве общедоступного трафика, рассмотрите возможность использования частного кластера или использования функции интеграции виртуальных сетей API Server (в предварительной версии).

Да, шлюз NAT можно использовать с Брандмауэр Azure. Рекомендуется использовать шлюз NAT StandardV2 с брандмауэром, избыточным между зонами. Дополнительные сведения об интеграции шлюза NAT с Брандмауэр Azure см. в статье Масштабирование портов SNAT с помощью шлюза NAT.

Да, добавление шлюза NAT в подсеть с конечными точками службы не влияет на конечные точки. Конечные точки службы для виртуальной сети обеспечивают более конкретный маршрут для целевого трафика службы Azure, который они представляют. Трафик для конечной точки службы проходит магистраль Azure вместо Интернета. Мы рекомендуем Приватный канал через конечные точки службы при подключении к платформе Azure как услуга (PaaS) непосредственно из сети Azure.

Да. Если включить безопасное подключение к кластеру в рабочей области, шлюз NAT можно использовать с Azure Databricks одним из двух способов:

• При использовании безопасного подключения к кластеру с виртуальной сетью по умолчанию, которую создает Azure Databricks, Azure Databricks автоматически создает шлюз NAT для исходящего трафика из подсетей рабочей области. Шлюз NAT создается в управляемой группе ресурсов, управляемой Azure Databricks. Вы не можете изменить эту группу ресурсов или какие-либо ресурсы, подготовленные в ней.
• Если включить безопасное подключение к кластеру в рабочей области, использующей внедрение виртуальной сети, можно развернуть шлюз NAT в обеих подсетях рабочей области, чтобы обеспечить исходящее подключение. В этом случае можно изменить конфигурацию для настраиваемых требований к исходящему подключению. Дополнительные сведения см. в разделе "Безопасное подключение к кластеру".

Нет, шлюз NAT нельзя использовать в подсети Управляемого экземпляра SQL.

Следующие шаги

Если ваш вопрос не указан здесь, отправьте отзыв об этой странице с вашим вопросом. Эта информация создаст проблему GitHub для группы продуктов, чтобы убедиться, что все наши важные вопросы клиента отвечают.