Partager via


Résoudre les problèmes de connectivité sortante avec la passerelle NAT et les services Azure

Cet article fournit des conseils sur la résolution des problèmes de connectivité pendant l’utilisation de la passerelle NAT avec d’autres services Azure, notamment :

Azure App Services

Intégration de réseau virtuel régional Azure App Service désactivée

La passerelle NAT peut être utilisée avec les services d’application Azure pour autoriser les applications à effectuer des appels sortants à partir d’un réseau virtuel. Pour pouvoir utiliser cette intégration entre les services d’application Azure et la passerelle NAT, vous devez activer l’intégration du réseau virtuel régional. Pour plus d’informations, consultez Fonctionnement de l’intégration du réseau virtuel régional.

Pour utiliser la passerelle NAT avec les services d’application Azure, procédez comme suit :

  1. Assurez-vous que l’intégration du réseau virtuel est configurée pour vos applications, consultez Activer l’intégration du réseau virtuel.

  2. Vérifiez que l’option Tout acheminer est activée pour l’intégration de votre réseau virtuel, consultez Configurer le routage de l’intégration du réseau virtuel.

  3. Créez une ressource de passerelle NAT.

  4. Créez une adresse IP publique ou rattachez-en une de votre réseau à une passerelle NAT.

  5. Attribuez la passerelle NAT au même sous-réseau que celui utilisé pour l’intégration du réseau virtuel dans vos applications.

Pour des instructions détaillées sur la configuration de la passerelle NAT avec l’intégration du réseau virtuel, consultez Configuration de l’intégration de la passerelle NAT.

Remarques importantes sur l’intégration entre la passerelle NAT et Azure App Service :

  • L’intégration de réseau virtuel ne fournit pas d’accès privé entrant à votre application à partir du réseau virtuel.

  • Le trafic d’intégration de réseau virtuel n’apparaît pas dans les journaux de flux d’Azure Network Watcher ou de groupe de sécurité réseau (NSG) en raison de la nature de son fonctionnement.

App Service n’utilise pas l’adresse IP publique de la passerelle NAT pour la connexion sortante

Les services d’application peuvent toujours se connecter sortant à Internet même si l’intégration du réseau virtuel n’est pas activée. Par défaut, les applications hébergées dans App Service sont accessibles directement à travers Internet et peuvent atteindre uniquement des points de terminaison hébergés sur Internet. Pour en savoir plus, consultez Fonctionnalités du réseau App Services.

Si vous remarquez que l’adresse IP utilisée pour la connexion sortante n’est pas l’adresse ou les adresses IP publiques de votre passerelle NAT, vérifiez que l’intégration de réseau virtuel est activée. Vérifiez que la passerelle NAT est configurée sur le sous-réseau utilisé pour l’intégration à vos applications.

Pour vérifier que les applications web utilisent l’IP publique de la passerelle NAT, effectuez un test ping sur une machine virtuelle de votre service Web Apps et vérifiez le trafic en effectuant une capture réseau.

Azure Kubernetes Service

Comment déployer une passerelle NAT avec des clusters Azure Kubernetes Service (AKS)

La passerelle NAT peut être déployée avec des clusters AKS pour permettre une connectivité sortante explicite. Il existe deux façons de déployer une passerelle NAT avec des clusters AKS :

  • Passerelle NAT managée : Azure déploie une passerelle NAT au moment de la création du cluster AKS. AKS gère la passerelle NAT.

  • Passerelle NAT affectée par l’utilisateur : vous déployez une passerelle NAT sur un réseau virtuel existant pour le cluster AKS.

En savoir plus sur Passerelle NAT managée.

Connexion à partir d’un cluster AKS au serveur d’API AKS via Internet

Pour gérer un cluster AKS, vous interagissez avec son serveur d’API. Lorsque vous créez un cluster non privé qui se résout au nom de domaine complet du serveur d’API (FQDN), le serveur d’API est affecté par défaut à une adresse IP publique. Une fois que vous avez attaché une passerelle NAT aux sous-réseaux de votre cluster AKS, la passerelle NAT est utilisée pour se connecter à l’IP publique du serveur d’API AKS. Consultez la documentation suivante pour obtenir des informations supplémentaires et des conseils de conception :

Impossible de mettre à jour les IP de passerelle NAT ou le minuteur de délai d’inactivité d’un cluster AKS

Les adresses IP publiques et le minuteur de délai d’inactivité pour la passerelle NAT peuvent être mis à jour avec la commande az aks update pour une passerelle NAT gérée UNIQUEMENT.

Si vous avez déployé une passerelle NAT affectée par l’utilisateur à vos sous-réseaux AKS, vous ne pouvez pas utiliser la commande az aks update pour mettre à jour les adresses IP publiques ou le minuteur de délai d’inactivité. L’utilisateur gère une passerelle NAT affectée par l’utilisateur. Vous devez mettre à jour ces configurations manuellement sur votre ressource de passerelle NAT.

Mettez à jour vos adresses IP publiques sur votre passerelle NAT affectée par l’utilisateur en suivant ces étapes :

  1. Dans votre groupe de ressources, sélectionnez votre ressource de passerelle NAT dans le portail.

  2. Sous Paramètres de la barre de navigation de gauche, sélectionnez Adresse IP sortante.

  3. Pour gérer vos adresses IP publiques, sélectionnez le bouton bleu Changer.

  4. Dans la fenêtre Gérer les adresses IP publiques et la configuration des préfixes qui s’affiche à partir de la droite, mettez à jour vos IP publiques attribuées dans le menu déroulant ou sélectionnez Créer une adresse IP publique.

  5. Une fois que vous avez mis à jour vos configurations IP, sélectionnez le bouton OK en bas de l’écran.

  6. Une fois la page de configuration disparue, sélectionnez le bouton Enregistrer pour enregistrer vos changements.

  7. Répétez les étapes 3 à 6 pour faire la même chose pour les préfixes IP publics.

Mettez à jour la configuration de votre minuteur de délai d’inactivité sur votre passerelle NAT affectée par l’utilisateur en suivant ces étapes :

  1. Dans votre groupe de ressources, sélectionnez votre ressource de passerelle NAT dans le portail.

  2. Sous Paramètres de la barre de navigation de gauche, sélectionnez Configuration.

  3. Dans la barre de texte d’inactivité TCP (minutes), ajustez le minuteur de délai d’inactivité (le minuteur peut être configuré avec une valeur entre 4 et 120 minutes).

  4. Quand vous avez terminé, sélectionnez le bouton Enregistrer.

Notes

L’augmentation du délai d’inactivité TCP au-delà de 4 minutes peut augmenter le risque d’épuisement des ports SNAT.

Pare-feu Azure

Épuisement de la traduction d’adresses réseau source (SNAT) lors de la connexion sortante avec le Pare-feu Azure

Le Pare-feu Azure peut fournir une connectivité Internet sortante aux réseaux virtuels. Le Pare-feu Azure fournit environ 2 496 ports SNAT par adresse IP publique. Bien que le Pare-feu Azure puisse être associé à un maximum de 250 IP publiques pour gérer le trafic de sortie, il se peut que vous ayez besoin de moins d’IP publiques pour la connexion sortante. L’exigence de sortie avec moins d’IP publiques est due aux exigences architecturales et aux limitations de liste d’autorisation par les points de terminaison de destination.

Une méthode permettant d’assurer une plus grande scalabilité du trafic sortant et de réduire le risque d’épuisement des ports SNAT consiste à utiliser une passerelle NAT dans le même sous-réseau que le Pare-feu Azure. Pour plus d’informations sur la configuration d’une passerelle NAT dans un sous-réseau de Pare-feu Azure, consultez intégrer la passerelle NAT avec Pare-feu Azure. Pour plus d’informations sur le fonctionnement de la passerelle NAT avec le Pare-feu Azure, consultez Mettre à l’échelle les ports SNAT avec Azure NAT Gateway.

Remarque

La passerelle NAT n’est pas prise en charge dans une architecture vWAN. La passerelle NAT ne peut pas être configurée sur un sous-réseau de Pare-feu Azure dans un hub vWAN.

Azure Databricks

Comment utiliser la passerelle NAT pour la connexion sortante d’un cluster Databricks

La passerelle NAT peut être utilisée pour la connexion sortante de votre cluster Databricks quand vous créez votre espace de travail Databricks. La passerelle NAT peut être déployée sur votre cluster Databricks de deux façons :

  • Lorsque vous activez Connectivité de cluster sécurisée (pas d’IP publique) sur le réseau virtuel par défaut créé par Azure Databricks, Azure Databricks déploie automatiquement une passerelle NAT pour connecter les sous-réseaux sortants de votre espace de travail à Internet. Azure Databricks crée cette ressource de passerelle NAT au sein du groupe de ressources managées et vous ne pouvez pas modifier ce groupe de ressources ni d’autres ressources déployées dans celui-ci.

  • Après avoir déployé l’espace de travail Azure Databricks dans votre propre réseau virtuel (via l’injection de réseau virtuel), vous pouvez déployer et configurer la passerelle NAT sur les deux sous-réseaux de votre espace de travail afin de garantir la connectivité sortante à travers la passerelle NAT. Vous pouvez implémenter cette solution en utilisant un modèle Azure ou dans le portail.

Étapes suivantes

Si vous rencontrez des problèmes avec la passerelle NAT qui ne sont pas résolus par cet article, envoyez vos commentaires via GitHub en bas de cette page. Nous tenons compte de vos commentaires dès que possible afin d’améliorer l’expérience de nos clients.

Pour en savoir plus sur la passerelle NAT, consultez :