Résoudre les problèmes concernant NAT Gateway Azure
Cet article fournit des conseils sur la façon de configurer correctement votre passerelle NAT et de résoudre les problèmes courants liés à la configuration et au déploiement.
Informations de base sur la configuration de la passerelle NAT
Vérifiez les configurations suivantes afin d’utiliser la passerelle NAT pour diriger le trafic sortant :
Au moins une adresse IP publique ou un préfixe d’adresse IP publique est rattaché à la passerelle NAT. Pour que celle-ci puisse fournir une connectivité sortante, il est nécessaire qu’au moins une adresse IP publique lui soit associée.
Au moins un sous-réseau est rattaché à une passerelle NAT. Vous pouvez joindre plusieurs sous-réseaux à une passerelle NAT pour bénéficier d’une connectivité sortante. Ils doivent cependant se trouver dans le même réseau virtuel. La passerelle NAT ne peut pas s’étendre au-delà d’un seul réseau virtuel.
Aucune règle NSG (Network Security Group) ou itinéraires définis par l’utilisateur (UDR) n’empêche la passerelle NAT de diriger le trafic sortant vers l’internet.
Comment valider la connectivité
La passerelle NAT prend en charge les protocoles UDP (User Datagram Protocol) IPv4 et TCP (Transmission Control Protocol).
Remarque
Le protocole ICMP n’est pas pris en charge par NAT Gateway. Les tests ping en utilisant le protocole ICMP (Internet Control Message Protocol) ne sont pas pris en charge et vont échouer.
Pour valider la connectivité de bout en bout de la passerelle NAT, procédez comme suit :
Vérifier que l’adresse IP publique de votre passerelle NAT est utilisée.
Effectuez des tests de connexion TCP et de couche d’application UDP.
Examinez les journaux de flux NSG pour analyser les flux de trafic sortants de la passerelle NAT.
Reportez-vous au tableau suivant pour connaître les outils à utiliser pour valider la connectivité de la passerelle NAT.
Système d’exploitation | Test de connexion TCP générique | Test de la couche Application TCP | UDP |
---|---|---|---|
Linux | nc (test de connexion générique) |
curl (Test de la couche Application TCP) |
spécifique à l’application |
Windows | PsPing | Invoke-WebRequest de PowerShell | spécifique à l’application |
Comment analyser la connectivité sortante
Pour analyser le trafic sortant de la passerelle NAT, utilisez les journaux de flux de réseau virtuel (VNet). Les journaux de flux de réseau virtuel fournissent des informations de connexion pour vos machines virtuelles. Les informations de connexion contiennent l’adresse IP et le port source, l’adresse IP et le port de destination, ainsi que l’état de la connexion. La direction du flux de trafic et la taille du trafic en nombre de paquets et d’octets envoyés sont également journalisées. L’IP et le port sources spécifiés dans le journal de flux de réseau virtuel concernent la machine virtuelle et non pas la passerelle NAT.
Pour découvrir plus d’informations sur les journaux de flux de réseau virtuel, consultez Vue d’ensemble des journaux de flux de réseau virtuel.
Pour découvrir des guides sur la façon d’activer des journaux de flux de réseau virtuel, consultez Gérer des journaux de flux de réseau virtuel.
Nous vous recommandons d’accéder aux données du journal sur des espaces de travail Log Analytics où vous pouvez également interroger et filtrer les données pour le trafic sortant. Pour découvrir plus d’informations sur l’utilisation de Log Analytics, consultez le Tutoriel de Log Analytics.
Pour découvrir plus d’informations sur le schéma du journal de flux de réseau virtuel, consultez Schéma et agrégation de données de Traffic Analytics.
Passerelle NAT en état d’échec
Vous pouvez rencontrer un échec de connectivité sortante si votre ressource de passerelle NAT est en état d’échec. Pour extraire votre passerelle NAT d’un état d’échec, suivez ces instructions :
Identifiez la ressource qui est dans un état d’échec. Accédez à Azure Resource Explorer et identifiez la ressource dans cet état.
Mettez à jour le bouton bascule sur le coin supérieur droit sur Lecture/écriture.
Sélectionnez Modifier pour la ressource en état d’échec.
Sélectionnez PUT, puis sur GET pour vous assurer que l’état de provisionnement est maintenant « Réussite ».
Vous pouvez ensuite entreprendre d’autres actions lorsque la ressource n’est plus en état d’échec.
Ajouter ou supprimer une passerelle NAT
Impossible de supprimer la passerelle NAT
La passerelle NAT doit être détachée de tous les sous-réseaux au sein d’un réseau virtuel avant que la ressource puisse être retirée ou supprimée. Pour obtenir des instructions pas à pas, consultez Supprimer une passerelle NAT d’un sous-réseau existant et supprimer la ressource .
Ajouter ou supprimer un sous-réseau
La passerelle NAT ne peut pas être associée à un sous-réseau qui est déjà attaché à une autre passerelle NAT
Un sous-réseau au sein d’un réseau virtuel ne peut pas avoir plusieurs passerelles NAT qui lui sont attachées pour la connexion sortante à Internet. Une ressource de passerelle NAT individuelle peut être associée à plusieurs sous-réseaux au sein du même réseau virtuel. La passerelle NAT ne peut pas s’étendre au-delà d’un seul réseau virtuel.
Les ressources de base ne peuvent pas exister dans le même sous-réseau que la passerelle NAT
La passerelle NAT n’est pas compatible avec les ressources de base, par exemple Équilibreur de charge de base et Adresse IP publique de base. Ces ressources de base doivent être placées sur un sous-réseau qui n’est pas associé à une passerelle NAT. Les ressources Équilibreur de charge de base et Adresse IP publique peuvent être mises à niveau vers la référence Standard pour fonctionner avec une passerelle NAT.
Pour mettre à niveau un équilibreur de charge de base vers la référence standard, consultez Mise à niveau d’un équilibreur de charge public de base vers un équilibreur de charge public standard.
Pour mettre à niveau une adresse IP publique de base vers la référence standard, consultez Mise à niveau d’une adresse IP publique de base vers une adresse IP publique standard.
Pour mettre à niveau une IP publique de base avec une machine virtuelle attachée, consultez [mettre à niveau une IP publique de base avec une machine virtuelle attachée](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
La passerelle NAT ne peut pas être attachée à un sous-réseau de passerelle
La passerelle NAT ne peut pas être déployée dans un sous-réseau de passerelle. Un sous-réseau de passerelle est utilisé par une passerelle VPN pour l’envoi du trafic chiffré entre un réseau virtuel Azure et un emplacement local. Pour plus d’informations sur l’utilisation des sous-réseaux de passerelle par la passerelle VPN, consultez Vue d’ensemble de la passerelle VPN.
Il est impossible d’attacher une passerelle NAT à un sous-réseau qui contient une interface réseau de machine virtuelle en état d’échec
Lorsque vous associez une passerelle NAT à un sous-réseau qui contient une interface réseau de machine virtuelle en état d’échec, vous recevez un message d’erreur indiquant que cette action ne peut pas être effectuée. Vous devez d’abord résoudre l’état d’échec de l’interface réseau de la machine virtuelle avant de pouvoir attacher une passerelle NAT au sous-réseau.
Pour extraire l’interface réseau de votre machine virtuelle d’un état d’échec, vous pouvez utiliser l’une des deux méthodes suivantes.
Utiliser PowerShell pour extraire l’interface réseau de votre machine virtuelle d’un état d’échec
Déterminez l’état d’approvisionnement de vos interfaces réseau à l’aide de la commande PowerShell Get-AzNetworkInterface et définissez la valeur « provisioningState » sur « Succeeded » (Réussite).
Exécutez les commandes PowerShell GET/SET sur l’interface réseau. Les commandes PowerShell mettent à jour l’état d’approvisionnement.
Vérifiez les résultats de cette opération en vérifiant à nouveau l’état de provisionnement de vos interfaces réseau (suivez les commandes de l’étape 1).
Utiliser Azure Resource Explorer pour extraire l’interface réseau de votre machine virtuelle d’un état d’échec
Accédez à Azure Resource Explorer (utilisation du navigateur Microsoft Edge recommandée)
Développez Abonnements (l’affichage de cette option prend quelques secondes).
Développez votre abonnement qui contient l’interface réseau de la machine virtuelle en état d’échec.
Développez resourceGroups.
Développez le groupe de ressources approprié qui contient l’interface réseau de la machine virtuelle en état d’échec.
Développez les fournisseurs.
Sélectionnez Microsoft.Network.
Développez networkInterfaces.
Sélectionnez l’interface réseau qui est dans l’état d’approvisionnement ayant échoué.
Sélectionnez le bouton Lire/Écrire en haut.
Sélectionnez le bouton vert OBTENIR.
Sélectionnez le bouton MODIFIER.
Sélectionnez le bouton PLACER .
Sélectionnez le bouton Lecture seule en haut.
L’interface réseau de la machine virtuelle doit maintenant être dans un état d’approvisionnement réussi. Vous pouvez fermer votre navigateur.
Ajouter ou supprimer des adresses IP publiques
Impossible de dépasser 16 adresses IP publiques sur la passerelle NAT
Une passerelle NAT ne peut pas être associée à plus de 16 adresses IP publiques. Vous pouvez utiliser n’importe quelle combinaison d’adresses IP publiques et de préfixes avec une passerelle NAT jusqu’à un total de 16 adresses IP. Pour ajouter ou supprimer une adresse IP publique, consultez Ajouter ou supprimer une adresse IP publique.
Les tailles de préfixe IP suivantes peuvent être utilisées avec la passerelle NAT :
/28 (16 adresses)
/29 (8 adresses)
/30 (4 adresses)
/31 (2 adresses)
Coexistence IPv6
La passerelle NAT prend en charge les protocoles IPv4 TCP et UDP. La passerelle NAT ne peut pas être associée à une adresse IP publique IPv6 ni à un préfixe d’adresse IP publique IPv6. La passerelle NAT être déployée sur un sous-réseau à double pile, mais utilise quand même seulement des adresses IP publiques IPv4 pour diriger le trafic sortant. Déployez-la sur un sous-réseau à double pile lorsque les ressources IPv6 doivent se trouver dans le même sous-réseau que les ressources IPv4. Pour plus d’informations sur la manière de fournir une connectivité sortante IPv4 et IPv6 à partir de votre sous-réseau à double pile, consultez Connectivité sortante à double pile avec une passerelle NAT et l’équilibreur de charge public.
Impossible d’utiliser des adresses IP publiques de base avec la passerelle NAT
La passerelle NAT est une ressource standard et ne peut pas être utilisée avec des ressources de base, y compris les adresses IP publiques de base. Vous pouvez mettre à niveau votre adresse IP publique de base afin d’utiliser votre passerelle NAT à l’aide des instructions suivantes : Mettre à niveau une adresse IP publique.
Vous ne pouvez pas utiliser des adresses IP publiques avec une préférence de routage Internet avec la passerelle NAT
Quand la passerelle NAT est configurée avec une adresse IP publique, le trafic est routé via le réseau Microsoft. La passerelle NAT ne peut pas être associée à des adresses IP publiques avec Internet comme choix de préférence de routage. La passerelle NAT peut être associée seulement à des adresses IP publiques avec le choix de préférence de routage Réseau mondial Microsoft. Consultez Services pris en charge pour obtenir la liste de tous les services Azure qui prennent en charge les adresses IP publiques avec la préférence de routage Internet.
Impossible de ne pas mettre en correspondance les zones d’adresses IP publiques et de passerelle NAT
La passerelle NAT est une ressource zonale qui peut être associée à une zone spécifique ou à « aucune zone ». Lorsque la passerelle NAT est associée à « aucune zone », Azure la place dans une zone pour vous, mais vous n’avez pas de visibilité sur la zone dans laquelle se trouve la passerelle NAT.
La passerelle NAT peut être utilisée avec des adresses IP publiques assignées à une zone spécifique, à aucune zone, à toutes les zones (redondance interzone) en fonction de sa propre configuration de zone de disponibilité.
Désignation de la zone de disponibilité de la passerelle NAT | Désignation d’adresse IP publique/de préfixe qui peut être utilisée |
---|---|
Aucune zone | Redondance interzone, Aucune zone ou Zonal (la désignation de zone de l’adresse IP publique peut être n’importe quelle zone dans une région afin d’utiliser une passerelle NAT de type aucune zone) |
Désignation d’une zone spécifique | Des IP publiques redondantes interzone ou zonales peuvent être utilisées |
Remarque
Si vous devez connaître la zone dans laquelle réside votre passerelle NAT, veillez à l’associer à une zone de disponibilité spécifique.
Impossible d'utiliser des IP publiques protégées contre les DDoS avec une passerelle NAT
La passerelle NAT ne prend pas en charge les adresses IP publiques avec la protection DDoS activée. Les IP protégées contre les attaques DDoS sont généralement plus critiques pour le trafic entrant, car la plupart des attaques DDoS sont conçues pour submerger les ressources de la cible en les inondant d’un grand volume de trafic entrant. Pour en savoir plus sur la protection DDoS, consultez les articles suivants ci-dessous.
- Fonctionnalités d’Azure DDoS Protection
- Bonnes pratiques pour Azure DDoS Protection
- Types d’attaques atténuées par Azure DDoS Protection
Instructions supplémentaires pour la résolution des problèmes
Si le problème que vous rencontrez n’est pas couvert par cet article, reportez-vous aux autres articles de résolution des problèmes de passerelle NAT :
Résoudre les problèmes de connectivité sortante avec NAT Gateway.
Résoudre les problèmes de connectivité sortante avec la passerelle NAT et d’autres services Azure.
Étapes suivantes
Si vous rencontrez des problèmes avec la passerelle NAT qui ne sont pas listés ou résolus par cet article, envoyez vos commentaires via GitHub en bas de cette page. Nous tenons compte de vos commentaires dès que possible afin d’améliorer l’expérience de nos clients.
Pour en savoir plus sur la passerelle NAT, consultez :