Sdílet prostřednictvím


Řešení potíží se službou Azure NAT Gateway

Tento článek obsahuje pokyny, jak správně nakonfigurovat bránu NAT a řešit běžné problémy související s konfigurací a nasazením.

Základy konfigurace služby NAT Gateway

Zkontrolujte následující konfigurace a ujistěte se, že bránu NAT gateway můžete použít k směrování odchozího provozu:

  1. Alespoň jedna veřejná IP adresa nebo jedna předpona veřejné IP adresy je připojená ke službě NAT Gateway. Aby mohla poskytovat odchozí připojení, musí být k bráně NAT přidružena aspoň jedna veřejná IP adresa.

  2. K bráně NAT je připojená aspoň jedna podsíť. K bráně NAT můžete připojit několik podsítí pro odchozí provoz, ale tyto podsítě musí existovat ve stejné virtuální síti. Služba NAT Gateway nemůže přesahovat nad rámec jedné virtuální sítě.

  3. Žádná pravidla skupiny zabezpečení sítě (NSG) ani trasy definované uživatelem neblokují bránu NAT, aby směrovala odchozí provoz na internet.

Ověření připojení

NaT Gateway podporuje protokoly IPv4 User Datagram Protocol (UDP) a TCP (Transmission Control Protocol).

Poznámka:

Služba NAT Gateway nepodporuje protokol ICMP. Příkaz Ping používající protokol ICMP není podporovaný a očekává se, že selže.

Pokud chcete ověřit kompletní připojení služby NAT Gateway, postupujte takto:

  1. Ověřte, že se používá veřejná IP adresa vaší služby NAT Gateway.

  2. Proveďte testy připojení TCP a testy aplikační vrstvy specifické pro PROTOKOL UDP.

  3. Podívejte se na protokoly toků NSG a analyzujte odchozí toky provozu ze služby NAT Gateway.

V následující tabulce najdete nástroje, které se mají použít k ověření připojení ke službě NAT Gateway.

Operační systém Obecný test připojení TCP Test aplikační vrstvy TCP UDP
Linux nc (obecný test připojení) curl (Test aplikační vrstvy TCP) specifické pro aplikaci
Windows PsPing PowerShell Invoke-WebRequest specifické pro aplikaci

Analýza odchozího připojení

K analýze odchozího provozu ze služby NAT Gateway použijte protokoly toku virtuální sítě. Protokoly toku virtuální sítě poskytují informace o připojení pro vaše virtuální počítače. Informace o připojení obsahují zdrojovou IP adresu a port a cílovou IP adresu a port a stav připojení. Zaprotokoluje se také směr toku provozu a velikost provozu v počtu paketů a odesílaných bajtů. Zdrojová IP adresa a port zadaný v protokolu toku virtuální sítě je určená pro virtuální počítač, nikoli pro bránu NAT.

  • Další informace o protokolech toků virtuální sítě najdete v přehledu protokolů toku virtuální sítě.

  • Průvodci povolením protokolů toku virtuální sítě najdete v tématu Správa protokolů toku virtuální sítě.

  • Doporučujeme přistupovat k datům protokolu v pracovních prostorech služby Log Analytics, kde můžete také dotazovat a filtrovat data pro odchozí provoz. Další informace o používání Log Analytics najdete v kurzu k Log Analytics.

  • Další podrobnosti o schématu protokolu toku virtuální sítě najdete v tématu Schéma analýzy provozu a agregace dat.

NAT Gateway ve stavu selhání

Pokud je prostředek služby NAT Gateway ve stavu selhání, můžete zaznamenat selhání odchozího připojení. Pokud chcete bránu NAT dostat ze stavu selhání, postupujte podle těchto pokynů:

  1. Identifikujte prostředek, který je ve stavu selhání. Přejděte do Azure Resource Exploreru a identifikujte prostředek v tomto stavu.

  2. Aktualizujte přepínač v pravém horním rohu na čtení a zápis.

  3. Vyberte možnost Upravit pro prostředek ve stavu selhání.

  4. Vyberte put a get a ujistěte se, že se stav zřizování aktualizoval na Úspěch.

  5. Pak můžete pokračovat s dalšími akcemi, protože prostředek není ve stavu selhání.

Přidání nebo odebrání služby NAT Gateway

Nejde odstranit službu NAT Gateway

Před odebráním nebo odstraněním prostředku je nutné odpojit bránu NAT gateway ze všech podsítí ve virtuální síti. Podrobné pokyny najdete v tématu Odebrání brány NAT z existující podsítě a odstranění prostředku .

Přidání nebo odebrání podsítě

Bránu NAT gateway není možné připojit k podsíti, která je už připojená k jiné bráně NAT.

Podsíť ve virtuální síti nemůže mít připojenou více než jednu bránu NAT pro připojení odchozích přenosů k internetu. Jednotlivé prostředky služby NAT Gateway je možné přidružit k více podsítím ve stejné virtuální síti. Služba NAT Gateway nemůže přesahovat nad rámec jedné virtuální sítě.

Základní prostředky nemůžou existovat ve stejné podsíti jako služba NAT Gateway

NaT Gateway není kompatibilní se základními prostředky, jako je Load Balancer úrovně Basic nebo veřejná IP adresa úrovně Basic. Základní prostředky musí být umístěny do podsítě, která není přidružená ke službě NAT Gateway. Veřejný IP adresa Load Balanceru úrovně Basic a Basic je možné upgradovat na standard, aby fungovaly se službou NAT Gateway.

  • Pokud chcete upgradovat nástroj pro vyrovnávání zatížení úrovně Basic na standard, přečtěte si článek o upgradu z úrovně Basic na veřejný nástroj pro vyrovnávání zatížení úrovně Standard.

  • Pokud chcete upgradovat základní veřejnou IP adresu na standardní, podívejte se na upgrade ze základní veřejné na standardní veřejnou IP adresu.

  • Pokud chcete upgradovat základní veřejnou IP adresu s připojeným virtuálním počítačem na standardní, přečtěte si téma [Upgrade základní veřejné IP adresy s připojeným virtuálním počítačem](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).

Bránu NAT nejde připojit k podsíti brány

Bránu NAT nejde nasadit v podsíti brány. Podsíť brány používá brána VPN k odesílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním. Další informace o tom, jak se podsítě brány používají pomocí brány VPN Gateway, najdete v přehledu brány VPN.

Nejde připojit službu NAT Gateway k podsíti, která obsahuje síťové rozhraní virtuálního počítače ve stavu selhání

Při přidružování brány NAT k podsíti, která obsahuje síťové rozhraní virtuálního počítače (síťové rozhraní) ve stavu selhání, se zobrazí chybová zpráva oznamující, že tuto akci nelze provést. Než budete moct k podsíti připojit bránu NAT Gateway, musíte nejprve vyřešit stav selhání síťového rozhraní virtuálního počítače.

Pokud chcete síťové rozhraní virtuálního počítače dostat ze stavu selhání, můžete použít jednu z následujících dvou metod.

Použití PowerShellu k získání síťového rozhraní virtuálního počítače z stavu selhání

  1. Pomocí příkazu Get-AzNetworkInterface PowerShell určete stav zřizování vašich síťových rozhraní a nastavte hodnotu provisioningState na Úspěch.

  2. V síťovém rozhraní proveďte příkazy GET/SET PowerShellu. Příkazy PowerShellu aktualizují stav zřizování.

  3. Zkontrolujte výsledky této operace opětovným kontrolou stavu zřizování síťových rozhraní (postupujte podle příkazů z kroku 1).

Použití Azure Resource Exploreru k získání síťového rozhraní virtuálního počítače z stavu selhání

  1. Přejděte do Azure Resource Exploreru (doporučujeme použít prohlížeč Microsoft Edge).

  2. Rozbalení předplatných (zobrazení trvá několik sekund).

  3. Rozbalte své předplatné, které obsahuje síťové rozhraní virtuálního počítače ve stavu selhání.

  4. Rozbalte Skupiny prostředků.

  5. Rozbalte správnou skupinu prostředků, která obsahuje síťové rozhraní virtuálního počítače ve stavu selhání.

  6. Rozbalte providers (Poskytovatelé).

  7. Rozbalte Microsoft.Network.

  8. Rozbalte networkInterfaces.

  9. Vyberte síťové rozhraní, které je ve stavu neúspěšného zřizování.

  10. V horní části vyberte tlačítko pro čtení/zápis.

  11. Vyberte zelené tlačítko GET.

  12. Vyberte modré tlačítko EDIT.

  13. Vyberte zelené tlačítko PUT.

  14. Nahoře vyberte tlačítko Jen pro čtení.

  15. Síťové rozhraní virtuálního počítače by teď mělo být ve stavu úspěšného zřizování. Prohlížeč můžete zavřít.

Přidání nebo odebrání veřejných IP adres

Nejde překročit 16 veřejných IP adres ve službě NAT Gateway

Bránu NAT není možné přidružit k více než 16 veřejným IP adresm. Můžete použít libovolnou kombinaci veřejných IP adres a předpon se službou NAT Gateway až do celkového počtu 16 IP adres. Pokud chcete přidat nebo odebrat veřejnou IP adresu, podívejte se na přidání nebo odebrání veřejné IP adresy.

Pro službu NAT Gateway je možné použít následující velikosti předpon IP adres:

  • /28 (16 adres)

  • /29 (8 adres)

  • /30 (4 adresy)

  • /31 (2 adresy)

Koexistence IPv6

NaT Gateway podporuje protokoly IPv4 UDP a TCP. Bránu NAT není možné přidružit k veřejné IP adrese IPv6 nebo předponě veřejné IP adresy IPv6. Bránu NAT je možné nasadit do podsítě se dvěma zásobníky, ale pro směrování odchozího provozu používá jenom veřejné IP adresy IPv4. Pokud potřebujete prostředky IPv6 existovat ve stejné podsíti jako prostředky IPv4, nasaďte bránu NAT Gateway do podsítě se dvěma zásobníky. Další informace o tom, jak poskytovat odchozí připojení IPv4 a IPv6 z podsítě duálního zásobníku, najdete v tématu Odchozí připojení duálního zásobníku s využitím služby NAT Gateway a veřejného nástroje pro vyrovnávání zatížení.

Nejde použít základní veřejné IP adresy se službou NAT Gateway

NAT Gateway je standardní prostředek a nejde ho používat se základními prostředky, včetně základních veřejných IP adres. Základní veřejnou IP adresu můžete upgradovat, abyste ji mohli používat se službou NAT Gateway, a to pomocí následujících doprovodných materiálů: Upgradujte veřejnou IP adresu.

Nejde použít veřejné IP adresy s předvolbou internetového směrování společně se službou NAT Gateway

Pokud je služba NAT Gateway nakonfigurovaná s veřejnou IP adresou, provoz se směruje přes síť Microsoftu. Bránu NAT není možné přidružit k veřejným IP adresám s výběrem předvoleb směrování Internet. Bránu NAT je možné přidružit pouze k veřejným IP adresám s zvolenou volbou směrování Microsoft Global Network. Seznam všech služeb Azure, které podporují veřejné IP adresy s předvolbou internetového směrování, najdete v podporovaných službách .

Nejde neshodovat zóny veřejných IP adres a služby NAT Gateway

NAT Gateway je zónový prostředek a může být označený jako konkrétní zóna nebo bez zóny. Když je služba NAT Gateway umístěná v žádné zóně, Azure bránu NAT umístí do zóny, ale nemáte přehled o tom, ve které zóně se brána NAT nachází.

Bránu NAT je možné použít s veřejnými IP adresami určenými pro konkrétní zónu, bez zóny, všech zón (zónově redundantní) v závislosti na vlastní konfiguraci zóny dostupnosti.

Označení zóny dostupnosti služby NAT Gateway Označení veřejné IP adresy nebo předpony, které lze použít
Bez zóny Zónově redundantní, bez zóny nebo zónové (označení zón veřejné IP adresy může být libovolná zóna v rámci oblasti, aby bylo možné pracovat s bránou NAT bez zóny).
Určeno pro určitou zónu Zónově redundantní nebo zónově redundantní veřejné IP adresy je možné použít.

Poznámka:

Pokud potřebujete znát zónu, ve které se nachází vaše brána NAT, nezapomeňte ji určit pro konkrétní zónu dostupnosti.

Nejde používat veřejné IP adresy chráněné před útoky DDoS se službou NAT Gateway

Služba NAT Gateway nepodporuje veřejné IP adresy s povolenou ochranou před útoky DDoS. Ip adresy chráněné před útoky DDoS jsou obecně důležitější pro příchozí provoz, protože většina útoků DDoS je navržená tak, aby zahltila prostředky cíle zahlcením velkým objemem příchozího provozu. Další informace o ochraně před útoky DDoS najdete v následujících článcích.

Další pokyny při řešení potíží

Pokud váš problém není popsaný v tomto článku, přečtěte si další články o řešení potíží se službou NAT Gateway:

Další kroky

Pokud máte problémy se službou NAT Gateway, které nejsou uvedené nebo vyřešené tímto článkem, odešlete zpětnou vazbu prostřednictvím GitHubu v dolní části této stránky. Vaši zpětnou vazbu řešíme co nejdříve, abychom zlepšili prostředí našich zákazníků.

Další informace o službě NAT Gateway najdete tady: