Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сводка
В этой статье содержатся инструкции по правильной настройке шлюза NAT и устранению распространенных проблем с конфигурацией и развертыванием.
Основы настройки Шлюза NAT
Проверьте эти параметры, чтобы включить исходящий трафик через шлюз NAT.
Стандартный шлюз NAT
К Шлюзу NAT подключен по крайней мере один общедоступный IP-адрес или один общедоступный префикс IP-адреса. Чтобы обеспечить исходящие подключения, со Шлюзом NAT нужно связать хотя бы один общедоступный IP-адрес.
К Шлюзу NAT подключена хотя бы одна подсеть. Вы можете подключить к Шлюзу NAT несколько подсетей для исходящих подключений, но они должны существовать в одной и той же виртуальной сети. Шлюз NAT не может охватывать более одной виртуальной сети.
Правила группы безопасности сети (NSG) или определяемые пользователем маршруты (UDR) не блокируют шлюз NAT от перенаправления исходящего трафика в Интернет.
Шлюз NAT StandardV2
К Шлюзу NAT подключен по крайней мере один общедоступный IP-адрес или один общедоступный префикс IP-адреса. Чтобы обеспечить исходящие подключения, со Шлюзом NAT нужно связать хотя бы один общедоступный IP-адрес.
По крайней мере одна подсеть подключена к шлюзу NAT StandardV2. Вы можете подключить к Шлюзу NAT несколько подсетей для исходящих подключений, но они должны существовать в одной и той же виртуальной сети. Шлюз NAT не может охватывать более одной виртуальной сети.
Правила группы безопасности сети (NSG) или определяемые пользователем маршруты (UDR) не блокируют шлюз NAT от перенаправления исходящего трафика в Интернет.
Доступность шлюза NAT StandardV2
Шлюз NAT StandardV2 недоступен в следующих Azure регионах:
- Canada East
- Центральная Чили
- Центральная Индонезия
- Израиль северо-запад
- Западная Малайзия
- Qatar Central
- Южная Швеция
- Центрально-западная часть США
- West India
Проверка подключения шлюза NAT
Шлюз NAT поддерживает протоколы UDP и TCP.
Замечание
Шлюз NAT не поддерживает протокол ICMP. Пинг с использованием протокола ICMP не поддерживается и, как ожидается, завершится неудачно.
Чтобы проверить комплексное подключение Шлюза NAT, сделайте следующее:
Проверьте, используется ли общедоступный IP-адрес Шлюза NAT.
Проведите тесты подключения TCP и тесты на уровне приложений для конкретного UDP.
Просмотрите журналы потоков NSG, чтобы проанализировать потоки исходящего трафика из Шлюза NAT.
Ознакомьтесь со следующей таблицей, чтобы узнать о средствах, которые используются для проверки подключения шлюза NAT.
| Операционная система | Универсальная проверка TCP-подключения. | Тест TCP на уровне приложения | UDP |
|---|---|---|---|
| Линукс |
nc (универсальный тест подключения) |
curl (тест уровня приложений TCP) |
в зависимости от приложения |
| Windows | PsPing | PowerShell Invoke-WebRequest | в зависимости от приложения |
Анализ исходящего подключения с помощью шлюза NAT
Чтобы проанализировать исходящий трафик из шлюза NAT уровня "Стандартный", используйте журналы потоков виртуальной сети. Журналы потоков виртуальной сети предоставляют сведения о подключении для виртуальных машин. Сведения о подключении содержат исходный IP-адрес и порт, конечный IP-адрес и порт, а также состояние подключения. Также регистрируются направление потока трафика и размер трафика в количестве пакетов и отправленных байтов. Исходный IP-адрес и порт, указанный в журнале потоков виртуальной сети, предназначен для виртуальной машины, а не для шлюза NAT.
Дополнительные сведения о журналах потоков виртуальной сети см. в обзоре журналов потоков виртуальной сети.
Инструкции по включению журналов потоков виртуальной сети см. в статье "Управление журналами потоков виртуальной сети".
Доступ к данным журнала в рабочих областях Log Analytics для запроса и фильтрации данных для исходящего трафика. Дополнительные сведения об использовании Log Analytics см. в руководстве Log Analytics.
Дополнительные сведения о схеме журнала потоков виртуальной сети см. в схеме аналитики трафика и агрегации данных.
Шлюз NAT StandardV2 поддерживает журналы потоков шлюза NAT через Azure Monitor. Журналы потоков шлюза NAT обеспечивают видимость трафика, который передается через шлюз NAT. Дополнительные сведения см. в статье "Анализ трафика шлюза NAT с помощью журналов потоков".
Шлюз NAT находится в состоянии сбоя
Вы можете столкнуться с ошибкой исходящего подключения, если ресурс шлюза NAT находится в состоянии сбоя. Чтобы вывести шлюз NAT из состояния сбоя, выполните следующие инструкции:
Определите ресурс, который находится в состоянии сбоя. Перейдите к Azure Resource Explorer и определите ресурс в данном состоянии.
Переведите переключатель в правом верхнем углу в положение "Чтение и запись".
Выберите «Изменить» для ресурса, находящегося в состоянии сбоя.
Выберите PUT, а затем GET, чтобы убедиться, что состояние подготовки было обновлено до "Успешно".
Виртуальная сеть или шлюз NAT в состоянии сбоя с шлюзом NAT StandardV2
Связывание шлюза NAT StandardV2 с пустой подсетью, созданной до апреля 2025 года и не содержащей виртуальных машин, может привести к сбою в виртуальной сети или шлюзе NAT. Чтобы разрешить эту проблему, выполните следующие действия:
- Удалите шлюз NAT StandardV2 из подсети или виртуальной сети.
- Создайте виртуальную машину в подсети.
- Повторно подключить шлюз NAT StandardV2 к подсети или виртуальной сети.
Добавление или удаление шлюза NAT
Не удается удалить шлюз NAT
Шлюз NAT должен быть отключен от всех подсетей в виртуальной сети, прежде чем можно будет удалить ресурс. Пошаговые инструкции см. в статье "Удаление шлюза NAT из существующей подсети" и удаление ресурса .
Добавление или удаление подсети
Шлюз NAT нельзя соединить с подсетью, которая уже подключена к другому шлюзу NAT
Подсеть в виртуальной сети не может быть подключена к нескольким шлюзам NAT для подключения исходящего трафика к Интернету. Отдельный ресурс шлюза NAT можно связать с несколькими подсетями в одной виртуальной сети. Шлюз NAT не может охватывать более одной виртуальной сети.
Базовые ресурсы не могут существовать в той же подсети, что и шлюз NAT
Шлюз NAT несовместим с основными ресурсами, такими как базовый балансировщик нагрузки или IP-адрес общего доступа уровня "Базовый". Ресурсы категории "Базовый" должны быть размещены в подсети, не связанной со Шлюзом NAT. Базовый Load Balancer и базовый общедоступный IP-адрес можно обновить до уровня "Стандартный", чтобы работать с шлюзом NAT.
Чтобы обновить базовый балансировщик нагрузки до стандартного, см. обновление общедоступного балансировщика нагрузки с базового на стандартный.
Чтобы обновить общедоступный IP-адрес категории "Базовый" до категории "Стандартный", см. статью Обновление общедоступного IP-адреса категории "Базовый" до категории "Стандартный".
Чтобы обновить базовый общедоступный IP-адрес с подключенной виртуальной машиной до уровня "Стандартный", см. статью "Обновление общедоступных IP-адресов, подключенных к виртуальной машине" с "Базовый" до "Стандартный".
Шлюз NAT невозможно подключить к подсети шлюза
Шлюз NAT нельзя развернуть в подсетевом сегменте шлюза. Подсеть шлюза используется VPN-шлюзом для отправки зашифрованного трафика между Azure виртуальной сетью и локальным расположением. См. раздел Общие сведения о VPN-шлюзе, чтобы узнать больше о том, как подсети шлюза используются VPN-шлюзом. Чтобы использовать шлюз NAT, подключите его к любой другой подсети в той же виртуальной сети.
Не удается подключить шлюз NAT к подсети, содержащей сетевой интерфейс виртуальной машины в состоянии сбоя.
При связывании шлюза NAT с подсетью, содержащей сетевой интерфейс виртуальной машины (сетевой интерфейс) в состоянии сбоя, вы получите сообщение об ошибке, указывающее, что это действие невозможно выполнить. Прежде чем подключить шлюз NAT к подсети, необходимо сначала устранить состояние сбоя сетевого интерфейса виртуальной машины.
Чтобы получить сетевой интерфейс виртуальной машины из состояния сбоя, можно использовать один из двух следующих методов.
Использование PowerShell для получения сетевого интерфейса виртуальной машины из состояния сбоя
Определите состояние подготовки сетевых интерфейсов с помощью команды Get-AzNetworkInterface PowerShell и примените для параметра provisioningState значение "Успешно".
Выполните команды GET/SET PowerShell в сетевом интерфейсе. Команды PowerShell обновляют состояние подготовки.
Проверьте результаты этой операции, снова проверив состояние подготовки сетевых интерфейсов (выполните команды из шага 1).
Использование обозревателя ресурсов Azure для получения сетевого интерфейса виртуальной машины из состояния сбоя
Перейдите в обозреватель ресурсов Azure (рекомендуется использовать браузер Microsoft Edge)
Разверните список подписок (потребуется несколько секунд, чтобы он отобразился).
Расширьте подписку, содержащую сетевой интерфейс виртуальной машины в состоянии сбоя.
Раскройте resourceGroups (группы ресурсов).
Разверните правильную группу ресурсов, содержащую сетевой интерфейс виртуальной машины в состоянии сбоя.
Развернуть список поставщиков.
Разверните Майкрософт.Network.
Разверните сетевые интерфейсы.
Выберите сетевой интерфейс, который находится в состоянии неисправности при настройке.
Нажмите вверху на кнопку Чтение/запись.
Нажмите на зеленую кнопку Получить.
Нажмите на синюю кнопку Изменить.
Нажмите на зеленую кнопку PUT.
Нажмите вверху на кнопку Только чтение.
Сетевой интерфейс виртуальной машины теперь должен находиться в состоянии успешного развертывания. Вы можете закрыть браузер.
Добавление и удаление общедоступных IP-адресов
Не удается превышать 16 общедоступных IP-адресов в шлюзе NAT уровня "Стандартный"
Шлюз NAT стандартного SKU не может быть связан с более чем 16 общедоступными IP-адресами IPv4. Вы можете использовать любое сочетание общедоступных IP-адресов и префиксов со шлюзом NAT, при этом всего должно быть не более 16 IP-адресов. Чтобы добавить или удалить общедоступный IP-адрес, см . статью о добавлении или удалении общедоступного IP-адреса.
С шлюзом NAT можно использовать следующие размеры префикса IP:
/28 (16 адресов)
/29 (8 адресов)
/30 (4 адреса)
/31 (2 адреса)
Совместимость с IPv6
Стандартный шлюз NAT SKU поддерживает протоколы IPv4 UDP и TCP. Шлюз NAT стандартного SKU не может быть связан с общедоступным IP-адресом IPv6 или префиксом общедоступного IP-адреса IPv6.
Невозможно добавить общедоступные IP-адреса SKU Standard в шлюз NAT SKU StandardV2
Общедоступные IP-адреса SKU Standard не поддерживаются в шлюзе NAT SKU StandardV2. В шлюз NAT StandardV2 можно добавить только общедоступные IP-адреса SKU StandardV2.
Невозможно добавить общедоступные IP-адреса SKU 'StandardV2' в шлюз NAT SKU 'Стандартный'.
Общедоступные IP-адреса SKU StandardV2 не поддерживаются в шлюзе NAT SKU Standard или в других ресурсах Azure. В шлюз NAT уровня "Стандартный" можно добавить только общедоступные IP-адреса SKU уровня "Стандартный".
Не удается использовать основные общедоступные IP-адреса с шлюзом NAT
Шлюз NAT нельзя использовать с основными ресурсами, включая основные общедоступные IP-адреса. Вы можете обновить базовый общедоступный IP-адрес для использования с шлюзом NAT с помощью следующего руководства. Обновление общедоступного IP-адреса.
Не удается использовать настраиваемые префиксы IP-адресов (BYOIP) с шлюзом NAT StandardV2
Пользовательские префиксы IP-адресов (общедоступные IP-адреса BYOIP) не поддерживаются шлюзом NAT StandardV2. Поддерживаются только IP-адреса Azure публичного типа SKU StandardV2.
Пользовательские IP-адреса поддерживаются в стандартном шлюзе NAT.
Не удается использовать общедоступные IP-адреса с предпочтениями маршрутизации интернета вместе со шлюзом NAT
Если шлюз NAT настроен с общедоступным IP-адресом, трафик направляется через сеть Майкрософт. Шлюз NAT не может быть связан с общедоступными IP-адресами с выбором предпочтения маршрутизации в Интернете. Шлюз NAT может быть связан только с общедоступными IP-адресами с выбором предпочтения маршрутизации глобальной сети Майкрософт. См. поддерживаемые службы для получения списка всех служб Azure, поддерживающих общедоступные IP-адреса с предпочтением маршрутизации через Интернет.
Нельзя допускать несоответствие зон общедоступных IP-адресов и стандартного шлюза NAT.
Шлюз NAT уровня "Стандартный" можно назначить определенной зоне (зональный ресурс) или "нет зоны". Если шлюз NAT помещается в состояние 'нет зоны', Azure сама назначит шлюз NAT в зону, но вы не видите, в какой именно зоне находится шлюз NAT.
Шлюз NAT уровня "Стандартный" можно использовать с общедоступными IP-адресами уровня "Стандартный", назначенными для определенной зоны, без зоны, всех зон (избыточных между зонами) в зависимости от собственной конфигурации зоны доступности.
| Назначение зоны доступности шлюза NAT | Общедоступный IP-адрес или обозначение префикса, которые можно использовать |
|---|---|
| Нет зоны | Избыточная между зонами, без зоны или зональные (зональное обозначение общедоступного IP-адреса может соответствовать любой зоне в пределах региона, чтобы оно функционировало со шлюзом NAT без указания зоны) |
| Назначена определенной зоне | Можно использовать избыточные между зонами или зональные общедоступные IP-адреса |
Замечание
Если вам нужно знать зону, в которой находится шлюз NAT, обязательно назначьте ее определенной зоне доступности. Или используйте зонально-избыточный шлюз NAT StandardV2.
Нельзя использовать защищенные DDoS общедоступные IP-адреса с шлюзом NAT.
Шлюз NAT не поддерживает общедоступные IP-адреса с включенной защитой от атак DDoS. Защищенные ip-адреса DDoS более важны для входящего трафика, так как большинство атак DDoS предназначены для перегрузки ресурсов целевого объекта путем наводнения их большим объемом входящего трафика. Дополнительные сведения о защите от атак DDoS см. в следующих статьях.
- Функции Azure для защиты от атак DDoS
- Лучшие практики защиты Azure от DDoS
- Типы атак, которые смягчаются средствами защиты от DDoS Azure
Исходящий доступ по умолчанию
Сетевые адаптеры виртуальных машин по-прежнему имеют исходящие IP-адреса по умолчанию, несмотря на наличие шлюза NAT
Существует параметр уровня сетевого адаптера (defaultOutboundConnectivityEnabled), который отслеживает, выделяется ли исходящий IP-адрес по умолчанию для экземпляра масштабируемого набора виртуальных машин или виртуальной машины.
В некоторых случаях исходящий IP-адрес по умолчанию по-прежнему назначается виртуальным машинам в не частной подсети, даже если настроен явный исходящий метод, например шлюз NAT или UDR, направляющий трафик к NVA/брандмауэру. Исходящие IP-адреса по умолчанию не используются для исходящего трафика, если только эти явные методы не удаляются. Удалите исходящие IP-адреса по умолчанию, сделав подсеть частной и выполнив остановку и освобождение виртуальных машин.
Дополнительные сведения см. в руководстве по устранению неполадок.
Если проблема, с которой вы столкнулись, не рассматривается в этой статье, ознакомьтесь с другими статьями по устранению неполадок шлюза NAT:
Устранение неполадок исходящего подключения с помощью шлюза NAT.
Устранение проблем с исходящей связью через шлюз NAT и другие службы Azure.
Дальнейшие действия
Если у вас возникли проблемы с шлюзом NAT, которые не перечислены или устранены этой статьей, отправьте отзыв через GitHub в нижней части этой страницы. Мы будем обращаться к вашим отзывам как можно скорее, чтобы улучшить взаимодействие с нашими клиентами.
Дополнительные сведения о шлюзе NAT см. в следующих статьях: