Rozwiązywanie problemów z usługą Azure NAT Gateway
Ten artykuł zawiera wskazówki dotyczące prawidłowego konfigurowania bramy translatora adresów sieciowych oraz rozwiązywania typowych problemów związanych z konfiguracją i wdrażaniem.
Podstawy konfiguracji bramy translatora adresów sieciowych
Sprawdź następujące konfiguracje, aby upewnić się, że brama translatora adresów sieciowych może służyć do kierowania ruchu wychodzącego:
Co najmniej jeden publiczny adres IP lub jeden prefiks publicznego adresu IP jest dołączony do bramy translatora adresów sieciowych. Aby zapewnić łączność wychodzącą, co najmniej jeden publiczny adres IP musi być skojarzony z bramą translatora adresów sieciowych.
Co najmniej jedna podsieć jest dołączona do bramy translatora adresów sieciowych. Można dołączyć wiele podsieci do bramy translatora adresów sieciowych na potrzeby wychodzącego ruchu wychodzącego, ale te podsieci muszą istnieć w tej samej sieci wirtualnej. Brama translatora adresów sieciowych nie może przekraczać jednej sieci wirtualnej.
Żadna reguła sieciowej grupy zabezpieczeń (NSG) ani trasy zdefiniowane przez użytkownika (UDR) nie blokują bramy translatora adresów sieciowych od kierowania ruchu wychodzącego do Internetu.
Jak zweryfikować łączność
Brama translatora adresów sieciowych obsługuje protokoły IPv4 User Datagram Protocol (UDP) i Transmission Control Protocol (TCP).
Uwaga
Protokół ICMP nie jest obsługiwany przez bramę translatora adresów sieciowych. Ping przy użyciu protokołu ICMP nie jest obsługiwany i oczekuje się, że nie powiedzie się.
Aby zweryfikować kompleksową łączność bramy translatora adresów sieciowych, wykonaj następujące kroki:
Sprawdź, czy używany jest publiczny adres IP bramy translatora adresów sieciowych.
Przeprowadź testy połączeń TCP i testy warstwy aplikacji specyficzne dla protokołu UDP.
Zapoznaj się z dziennikami przepływów sieciowej grupy zabezpieczeń, aby analizować przepływy ruchu wychodzącego z bramy translatora adresów sieciowych.
Zapoznaj się z poniższą tabelą, aby użyć narzędzi do weryfikowania łączności bramy translatora adresów sieciowych.
System operacyjny | Ogólny test połączenia TCP | Test warstwy aplikacji TCP | UDP |
---|---|---|---|
Linux | nc (ogólny test połączenia) |
curl (Test warstwy aplikacji TCP) |
specyficzne dla aplikacji |
Windows | PsPing | PowerShell Invoke-WebRequest | specyficzne dla aplikacji |
Jak analizować łączność wychodzącą
Aby przeanalizować ruch wychodzący z bramy translatora adresów sieciowych, użyj dzienników przepływu sieci wirtualnej . Dzienniki przepływu sieci wirtualnej zawierają informacje o połączeniu dla maszyn wirtualnych. Informacje o połączeniu zawierają źródłowy adres IP i port oraz docelowy adres IP i port oraz stan połączenia. Kierunek przepływu ruchu i rozmiar ruchu w liczbie pakietów i bajtów wysłanych również jest rejestrowany. Źródłowy adres IP i port określony w dzienniku przepływu sieci wirtualnej dotyczy maszyny wirtualnej, a nie bramy translatora adresów sieciowych.
Aby dowiedzieć się więcej na temat dzienników przepływów sieci wirtualnej, zobacz Omówienie dzienników przepływu sieci wirtualnej.
Aby uzyskać przewodniki dotyczące włączania dzienników przepływu sieci wirtualnej, zobacz Zarządzanie dziennikami przepływów sieci wirtualnej.
Zaleca się dostęp do danych dziennika w obszarach roboczych usługi Log Analytics, w których można również wykonywać zapytania i filtrować dane dla ruchu wychodzącego. Aby dowiedzieć się więcej na temat korzystania z usługi Log Analytics, zobacz Samouczek usługi Log Analytics.
Aby uzyskać więcej informacji na temat schematu dziennika przepływu sieci wirtualnej, zobacz Schemat analizy ruchu i agregacja danych.
Brama translatora adresów sieciowych jest w stanie niepowodzenia
Jeśli zasób bramy translatora adresów sieciowych jest w stanie niepowodzenia, może wystąpić błąd łączności wychodzącej. Aby uzyskać bramę translatora adresów sieciowych w stanie niepowodzenia, wykonaj następujące instrukcje:
Zidentyfikuj zasób, który jest w stanie niepowodzenia. Przejdź do Eksploratora zasobów platformy Azure i zidentyfikuj zasób w tym stanie.
Zaktualizuj przełącznik w prawym górnym rogu na odczyt/zapis.
Wybierz pozycję Edytuj dla zasobu w stanie niepowodzenia.
Wybierz pozycję PUT, a następnie pozycję GET, aby upewnić się, że stan aprowizacji został zaktualizowany do pozycji Powodzenie.
Następnie możesz kontynuować inne akcje, ponieważ zasób jest niedostępny.
Dodawanie lub usuwanie bramy translatora adresów sieciowych
Nie można usunąć bramy translatora adresów sieciowych
Brama translatora adresów sieciowych musi być odłączona od wszystkich podsieci w sieci wirtualnej, aby można było usunąć lub usunąć zasób. Aby uzyskać szczegółowe wskazówki, zobacz Usuwanie bramy translatora adresów sieciowych z istniejącej podsieci i usuwanie zasobu .
Dodawanie lub usuwanie podsieci
Brama translatora adresów sieciowych nie może być dołączona do podsieci już dołączonej do innej bramy translatora adresów sieciowych
Podsieć w sieci wirtualnej nie może mieć dołączonej do niej więcej niż jednej bramy translatora adresów sieciowych na potrzeby nawiązywania połączenia wychodzącego z Internetem. Pojedynczy zasób bramy translatora adresów sieciowych może być skojarzony z wieloma podsieciami w tej samej sieci wirtualnej. Brama translatora adresów sieciowych nie może przekraczać jednej sieci wirtualnej.
Zasoby podstawowe nie mogą istnieć w tej samej podsieci co brama translatora adresów sieciowych
Brama translatora adresów sieciowych nie jest zgodna z podstawowymi zasobami, takimi jak podstawowy moduł równoważenia obciążenia lub podstawowy publiczny adres IP. Zasoby podstawowe muszą być umieszczane w podsieci, która nie jest skojarzona z bramą translatora adresów sieciowych. Podstawowy moduł równoważenia obciążenia i podstawowy publiczny adres IP można uaktualnić do warstwy Standardowa w celu pracy z bramą translatora adresów sieciowych.
Aby uaktualnić podstawowy moduł równoważenia obciążenia do warstwy Standardowa, zobacz uaktualnianie z podstawowego publicznego do standardowego publicznego modułu równoważenia obciążenia.
Aby uaktualnić podstawowy publiczny adres IP do warstwy Standardowa, zobacz uaktualnianie z podstawowego publicznego do standardowego publicznego adresu IP.
Aby uaktualnić podstawowy publiczny adres IP z dołączoną maszyną wirtualną do standardu, zobacz [uaktualnianie podstawowego publicznego adresu IP przy użyciu dołączonej maszyny wirtualnej](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
Bramy translatora adresów sieciowych nie można dołączyć do podsieci bramy
Bramy translatora adresów sieciowych nie można wdrożyć w podsieci bramy. Podsieć bramy jest używana przez bramę sieci VPN do wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure i lokalizacją lokalną. Zobacz Omówienie bramy sieci VPN, aby dowiedzieć się więcej o tym, jak podsieci bramy są używane przez bramę sieci VPN.
Nie można dołączyć bramy translatora adresów sieciowych do podsieci zawierającej interfejs sieciowy maszyny wirtualnej w stanie niepowodzenia
Podczas kojarzenia bramy translatora adresów sieciowych z podsiecią zawierającą interfejs sieciowy maszyny wirtualnej (interfejs sieciowy) w stanie niepowodzenia jest wyświetlany komunikat o błędzie wskazujący, że nie można wykonać tej akcji. Najpierw należy rozpoznać stan niepowodzenia interfejsu sieciowego maszyny wirtualnej, zanim będzie można dołączyć bramę translatora adresów sieciowych do podsieci.
Aby uzyskać interfejs sieciowy maszyny wirtualnej ze stanu awarii, możesz użyć jednej z dwóch następujących metod.
Użyj programu PowerShell, aby uzyskać interfejs sieciowy maszyny wirtualnej ze stanu niepowodzenia
Określ stan aprowizacji interfejsów sieciowych przy użyciu polecenia Get-AzNetworkInterface programu PowerShell i ustawienie wartości "provisioningState" na "Powodzenie".
Wykonaj polecenia GET/SET programu PowerShell w interfejsie sieciowym. Polecenia programu PowerShell aktualizują stan aprowizacji.
Sprawdź wyniki tej operacji, sprawdzając ponownie stan aprowizacji interfejsów sieciowych (wykonaj polecenia z kroku 1).
Użyj eksploratora zasobów platformy Azure, aby uzyskać interfejs sieciowy maszyny wirtualnej ze stanu niepowodzenia
Przejdź do Eksploratora zasobów platformy Azure (zalecane do korzystania z przeglądarki Microsoft Edge)
Rozwiń węzeł Subskrypcje (pojawi się kilka sekund).
Rozwiń subskrypcję zawierającą interfejs sieciowy maszyny wirtualnej w stanie niepowodzenia.
Rozwiń węzeł Grupy zasobów.
Rozwiń poprawną grupę zasobów zawierającą interfejs sieciowy maszyny wirtualnej w stanie niepowodzenia.
Rozwiń pozycję dostawcy.
Rozwiń węzeł Microsoft.Network.
Rozwiń węzeł interfejsów sieciowych.
Wybierz interfejs sieciowy, który znajduje się w stanie aprowizacji, który zakończył się niepowodzeniem.
Wybierz przycisk Odczyt/zapis u góry.
Wybierz zielony przycisk GET.
Wybierz niebieski przycisk EDIT.
Wybierz zielony przycisk PUT.
Wybierz przycisk Tylko do odczytu u góry.
Interfejs sieciowy maszyny wirtualnej powinien być teraz w stanie pomyślnej aprowizacji. Możesz zamknąć przeglądarkę.
Dodawanie lub usuwanie publicznych adresów IP
Nie można przekroczyć 16 publicznych adresów IP w bramie translatora adresów sieciowych
Brama translatora adresów sieciowych nie może być skojarzona z więcej niż 16 publicznymi adresami IP. Można użyć dowolnej kombinacji publicznych adresów IP i prefiksów z bramą translatora adresów sieciowych do łącznej liczby 16 adresów IP. Aby dodać lub usunąć publiczny adres IP, zobacz dodawanie lub usuwanie publicznego adresu IP.
Następujące rozmiary prefiksów adresów IP mogą być używane z bramą translatora adresów sieciowych:
/28 (16 adresów)
/29 (8 adresów)
/30 (4 adresy)
/31 (2 adresy)
Współistnienie IPv6
Brama translatora adresów sieciowych obsługuje protokoły IPv4 UDP i TCP. Bramy translatora adresów sieciowych nie można skojarzyć z publicznym adresem IP IPv6 ani prefiksem publicznego adresu IP IPv6. Brama translatora adresów sieciowych można wdrożyć w podsieci podwójnej stosu, ale używa tylko publicznych adresów IP IPv4 do kierowania ruchu wychodzącego. Wdróż bramę translatora adresów sieciowych w podsieci podwójnej stosu, jeśli potrzebujesz zasobów IPv6, aby istniały w tej samej podsieci co zasoby IPv4. Aby uzyskać więcej informacji na temat zapewniania łączności wychodzącej IPv4 i IPv6 z podsieci podwójnego stosu, zobacz Podwójne połączenie wychodzące stosu z bramą translatora adresów sieciowych i publicznym modułem równoważenia obciążenia.
Nie można używać podstawowych publicznych adresów IP z bramą translatora adresów sieciowych
Brama translatora adresów sieciowych jest zasobem standardowym i nie może być używana z podstawowymi zasobami, w tym podstawowymi publicznymi adresami IP. Możesz uaktualnić podstawowy publiczny adres IP w celu użycia z bramą translatora adresów sieciowych, korzystając z poniższych wskazówek: Uaktualnianie publicznego adresu IP.
Nie można używać publicznych adresów IP z preferencjami routingu internetowego w połączeniu z bramą translatora adresów sieciowych
Po skonfigurowaniu bramy translatora adresów sieciowych przy użyciu publicznego adresu IP ruch jest kierowany za pośrednictwem sieci firmy Microsoft. Brama translatora adresów sieciowych nie może być skojarzona z publicznymi adresami IP z wyborem preferencji routingu w Internecie. Brama translatora adresów sieciowych może być skojarzona tylko z publicznymi adresami IP z wyborem preferencji routingu Microsoft Global Network. Zobacz obsługiwane usługi , aby uzyskać listę wszystkich usług platformy Azure, które obsługują publiczne adresy IP z preferencjami routingu internetowego.
Nie można niezgodnie stref publicznych adresów IP i bramy translatora adresów sieciowych
Brama translatora adresów sieciowych jest zasobem strefowym i może być wyznaczona do określonej strefy lub "bez strefy". Gdy brama translatora adresów sieciowych jest umieszczana w strefie "bez strefy", platforma Azure umieszcza bramę translatora adresów sieciowych w strefie, ale nie masz wglądu w strefę, w której znajduje się brama translatora adresów sieciowych.
Brama translatora adresów sieciowych może być używana z publicznymi adresami IP wyznaczonymi do określonej strefy, bez strefy, wszystkich stref (strefowo nadmiarowych) w zależności od własnej konfiguracji strefy dostępności.
Oznaczenie strefy dostępności bramy translatora adresów sieciowych | Publiczny adres IP/oznaczenie prefiksu, którego można użyć |
---|---|
Brak strefy | Strefowo nadmiarowe, bez strefy lub strefowe (oznaczenie strefy publicznej IP może być dowolną strefą w regionie w celu pracy z bramą NAT bez strefy) |
Wyznaczone do określonej strefy | Można użyć strefowo nadmiarowych lub strefowych publicznych adresów IP |
Uwaga
Jeśli musisz znać strefę, w której znajduje się brama translatora adresów sieciowych, pamiętaj, aby wyznaczyć ją do określonej strefy dostępności.
Nie można używać publicznych adresów IP chronionych przez usługę DDoS z bramą translatora adresów sieciowych
Brama translatora adresów sieciowych nie obsługuje publicznych adresów IP z włączoną ochroną przed atakami DDoS. Adresy IP chronione przed atakami DDoS są zazwyczaj bardziej krytyczne dla ruchu przychodzącego, ponieważ większość ataków DDoS ma na celu przeciążenie zasobów docelowych przez zalanie ich dużą liczbą ruchu przychodzącego. Aby dowiedzieć się więcej na temat ochrony przed atakami DDoS, zapoznaj się z poniższymi artykułami.
- Funkcje usługi Azure DDoS Protection
- Najlepsze rozwiązania dotyczące usługi Azure DDoS Protection
- Typy ataków ochrony przed atakami ddoS platformy Azure ogranicza
Więcej wskazówek dotyczących rozwiązywania problemów
Jeśli problem, którego dotyczy ten artykuł, nie został opisany, zapoznaj się z innymi artykułami rozwiązywania problemów z bramą translatora adresów sieciowych:
Rozwiązywanie problemów z łącznością wychodzącą za pomocą bramy translatora adresów sieciowych.
Rozwiązywanie problemów z łącznością wychodzącą za pomocą bramy translatora adresów sieciowych i innych usług platformy Azure.
Następne kroki
Jeśli występują problemy z bramą translatora adresów sieciowych, które nie zostały wymienione lub rozwiązane w tym artykule, prześlij opinię za pośrednictwem usługi GitHub za pośrednictwem dolnej części tej strony. Jak najszybciej omówimy Twoją opinię, aby ulepszyć środowisko naszych klientów.
Aby dowiedzieć się więcej o bramie translatora adresów sieciowych, zobacz:
Zasób bramy translatora adresów sieciowych platformy Azure.
Zarządzanie bramą translatora adresów sieciowych.
Metryki i alerty dotyczące zasobów bramy translatora adresów sieciowych.