NAT 게이트웨이 및 Azure 서비스와의 아웃바운드 연결 문제 해결
이 문서에서는 다음을 포함한 다른 Azure 서비스와 함께 NAT 게이트웨이를 사용하는 경우 연결 문제를 해결하는 방법에 대한 지침을 제공합니다.
Azure App Services
Azure App Service 지역 가상 네트워크 통합이 해제됨
애플리케이션이 가상 네트워크에서 아웃바운드 호출을 할 수 있도록 NAT Gateway를 Azure App Services와 함께 사용할 수 있습니다. Azure App Services와 NAT Gateway 간에 이 통합을 사용하려면 지역 가상 네트워크 통합을 사용하도록 설정해야 합니다. 자세한 내용은 지역 가상 네트워크 통합이 작동하는 방식을 참조하세요.
NAT Gateway를 Azure App Services와 함께 사용하려면 다음 단계를 수행하세요.
애플리케이션에 가상 네트워크 통합이 구성되어 있는지 확인합니다. 가상 네트워크 통합 사용을 참조하세요.
가상 네트워크 통합에 대해 모두 라우팅 이 사용하도록 설정되어 있는지 확인합니다. 가상 네트워크 통합 라우팅 구성을 참조하세요.
NAT Gateway 리소스를 만듭니다.
새 공용 IP 주소를 만들거나 네트워크의 기존 공용 IP 주소를 NAT Gateway에 연결합니다.
애플리케이션과의 가상 네트워크 통합에 사용되는 동일한 서브넷에 NAT Gateway를 할당합니다.
가상 네트워크 통합으로 NAT Gateway를 구성하는 방법에 대한 단계별 지침은 NAT Gateway 통합 구성을 참조하세요.
NAT 게이트웨이 및 Azure App Services 통합에 대한 중요 참고 사항:
가상 네트워크 통합은 가상 네트워크에서 앱에 대한 인바운드 프라이빗 액세스를 제공하지 않습니다.
가상 네트워크 통합 트래픽은 작동 방식의 특성으로 인해 Azure Network Watcher 또는 NSG(네트워크 보안 그룹) 흐름 로그에 표시되지 않습니다.
App Services가 NAT 게이트웨이 공용 IP 주소를 사용하여 아웃바운드에 연결하지 않음
가상 네트워크 통합이 사용하도록 설정되지 않은 경우에도 App Service는 여전히 아웃바운드 인터넷에 연결할 수 있습니다. 기본적으로 App Service에서 호스트된 앱은 인터넷을 통해 직접 액세스할 수 있으며 인터넷 호스트 엔드포인트만 연결할 수 있습니다. 자세한 내용은 App Services 네트워킹 기능을 참조하세요.
아웃바운드 연결에 사용된 IP 주소가 NAT Gateway 공용 IP 주소가 아닌 경우 가상 네트워크 통합을 사용하도록 설정되었는지 확인합니다. NAT Gateway가 애플리케이션과의 통합에 사용되는 서브넷에 구성되어 있는지 확인합니다.
웹 애플리케이션이 NAT 게이트웨이 공용 IP를 사용하고 있는지 확인하려면 Web Apps 가상 머신을 ping하고 네트워크 캡처를 통해 트래픽을 확인합니다.
Azure Kubernetes Service
AKS(Azure Kubernetes Service) 클러스터를 사용하여 NAT Gateway를 배포하는 방법
NAT 게이트웨이는 명시적 아웃바운드 연결을 허용하기 위해 AKS 클러스터와 함께 배포할 수 있습니다. NAT 게이트웨이를 AKS 클러스터와 함께 배포하는 방법에는 두 가지가 있습니다.
관리형 NAT Gateway: Azure는 AKS 클러스터를 만들 때 NAT Gateway를 배포합니다. AKS는 NAT Gateway를 관리합니다.
사용자 할당 NAT Gateway: AKS 클러스터용 기존 가상 네트워크에 NAT Gateway를 배포합니다.
관리형 NAT Gateway에서 자세히 알아봅니다.
인터넷을 통해 AKS 클러스터에서 AKS API 서버로 연결
AKS 클러스터를 관리하려면 해당 API 서버와 상호 작용합니다. API 서버의 FQDN(정규화된 도메인 이름)으로 확인되는 프라이빗이 아닌 클러스터를 만들 때 기본적으로 API 서버에는 공용 IP 주소가 할당됩니다. NAT 게이트웨이를 AKS 클러스터의 서브넷에 연결한 후에는 NAT 게이트웨이를 사용하여 AKS API 서버의 공용 IP에 연결합니다. 추가 정보 및 디자인 지침은 다음 설명서를 참조하세요.
AKS 클러스터에 대한 NAT 게이트웨이 IP 또는 유휴 시간 제한 타이머를 업데이트할 수 없음
NAT Gateway의 공용 IP 주소 및 유휴 시간 제한 타이머는 관리형 NAT Gateway에 대해서만 az aks update
명령으로 업데이트할 수 있습니다.
AKS 서브넷에 사용자 할당 NAT Gateway를 배포한 경우 az aks update
명령을 사용하여 공용 IP 주소 또는 유휴 시간 제한 타이머를 업데이트할 수 없습니다. 사용자는 사용자 할당 NAT Gateway를 관리합니다. NAT Gateway 리소스에서 이러한 구성을 수동으로 업데이트해야 합니다.
다음 단계에 따라 사용자 할당 NAT 게이트웨이에서 공용 IP 주소를 업데이트합니다.
리소스 그룹에서 포털의 NAT Gateway 리소스를 선택합니다.
왼쪽 탐색 모음의 설정에서 발신 IP를 선택합니다.
공용 IP 주소를 관리하려면 파란색 변경을 선택합니다.
오른쪽에서 슬라이드하는 공용 IP 주소 및 접두사 구성 관리의 드롭다운 메뉴에서 할당된 공용 IP를 업데이트하거나 새 공용 IP 주소 만들기를 선택합니다.
IP 구성 업데이트가 완료되면 화면 아래쪽에서 확인 단추를 선택합니다.
구성 페이지가 사라지면 저장 단추를 선택하여 변경 내용을 저장합니다.
3-6단계를 반복하여 공용 IP 접두사에 대해 동일한 작업을 수행합니다.
다음 단계에 따라 사용자 할당 NAT 게이트웨이에서 유휴 시간 제한 타이머 구성을 업데이트합니다.
리소스 그룹에서 포털의 NAT Gateway 리소스를 선택합니다.
왼쪽 탐색 모음의 설정에서 구성을 선택합니다.
TCP 유휴 시간 초과(분) 텍스트 표시줄에서 유휴 시간 초과 타이머를 조정합니다(타이머는 4~120분으로 구성할 수 있음).
완료되면 저장 단추를 선택합니다.
참고 항목
TCP 유휴 시간 제한 타이머를 4분을 초과하도록 늘리면 SNAT 포트 소진 위험이 증가할 수 있습니다.
Azure Firewall
Azure Firewall을 사용하여 아웃바운드 연결 시 SNAT(Source Network Address Translation) 소모
Azure Firewall은 가상 네트워크에 대한 아웃바운드 인터넷 연결을 제공할 수 있습니다. Azure Firewall은 공용 IP 주소당 SNAT 포트를 2,496개만 제공합니다. 송신 트래픽을 처리하기 위해 Azure Firewall을 최대 250개의 공용 IP 주소와 연결할 수 있지만 아웃바운드 연결을 위해 적은 수의 공용 IP 주소가 필요할 수 있습니다. 공용 IP 주소가 적은 송신 요구 사항은 대상 엔드포인트의 아키텍처 요구 사항 및 허용 목록 제한 때문일 수 있습니다.
아웃바운드 트래픽에 대한 확장성을 높이고 SNAT 포트 소모 위험을 줄이는 한 가지 방법은 Azure Firewall과 동일한 서브넷에서 NAT 게이트웨이를 사용하는 것입니다. Azure Firewall 서브넷에서 NAT Gateway를 설정하는 방법에 대한 자세한 내용은 NAT Gateway를 Azure Firewall과 통합을 참조하세요. Azure Firewall에서 NAT Gateway가 작동하는 방법에 대한 자세한 내용은 Azure NAT Gateway를 사용하여 SNAT 포트 스케일링을 참조하세요.
참고 항목
NAT 게이트웨이는 vWAN 아키텍처에서 지원되지 않습니다. NAT 게이트웨이는 vWAN 허브의 Azure Firewall 서브넷에 구성할 수 없습니다.
Azure Databricks
NAT 게이트웨이를 사용하여 Databricks 클러스터에서 아웃바운드를 연결하는 방법
NAT 게이트웨이는 Databricks 작업 영역을 만들 때 Databricks 클러스터에서 아웃바운드를 연결하는 데 사용할 수 있습니다. NAT 게이트웨이는 다음 두 가지 방법 중 하나로 Databricks 클러스터에 배포할 수 있습니다.
Azure Databricks가 만드는 기본 가상 네트워크에서 보안 클러스터 연결(공용 IP 없음)을 사용하도록 설정하면 작업 영역의 서브넷에서 인터넷으로 아웃바운드 연결을 위해 NAT Gateway가 자동으로 배포됩니다. Azure Databricks는 관리되는 리소스 그룹 내에 이 NAT Gateway 리소스를 만들고 이 리소스 그룹 또는 배포된 다른 리소스를 수정할 수 없습니다.
자체 가상 네트워크에 Azure Databricks 작업 영역을 배포한 후(가상 네트워크 삽입을 통해) NAT Gateway를 통한 아웃바운드 연결을 보장하기 위해 작업 영역의 서브넷 모두에 NAT Gateway를 배포 및 구성할 수 있습니다. 이 솔루션은 Azure 템플릿을 사용하거나 포털에서 구현할 수 있습니다.
다음 단계
이 문서로도 해결되지 않은 NAT Gateway 문제가 발생하는 경우 이 페이지 하단에서 GitHub를 통해 피드백을 제출하십시오. 고객의 환경을 개선하기 위해 가능한 한 빨리 피드백을 처리하고 있습니다.
NAT Gateway에 대해 자세히 알아보려면 다음을 참조하세요.