Rozwiązywanie problemów z łącznością wychodzącą za pomocą bramy translatora adresów sieciowych i usług platformy Azure
Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów z łącznością podczas korzystania z bramy translatora adresów sieciowych z innymi usługami platformy Azure, w tym:
Azure App Services
Aplikacja systemu Azure Services regionalna integracja sieci wirtualnej jest wyłączona
Brama translatora adresów sieciowych może być używana z usługami aplikacji platformy Azure, aby umożliwić aplikacjom wykonywanie wywołań wychodzących z sieci wirtualnej. Aby można było korzystać z tej integracji między usługami Azure App Services i bramą translatora adresów sieciowych, należy włączyć regionalną integrację sieci wirtualnej. Zobacz , jak działa integracja regionalnej sieci wirtualnej, aby dowiedzieć się więcej.
Aby użyć bramy translatora adresów sieciowych z usługami aplikacja systemu Azure, wykonaj następujące kroki:
Upewnij się, że aplikacje mają skonfigurowaną integrację z siecią wirtualną, zobacz Włączanie integracji z siecią wirtualną.
Upewnij się, że opcja Route All jest włączona na potrzeby integracji z siecią wirtualną, zobacz Konfigurowanie routingu integracji sieci wirtualnej.
Utwórz zasób bramy translatora adresów sieciowych.
Utwórz nowy publiczny adres IP lub dołącz istniejący publiczny adres IP w sieci do bramy translatora adresów sieciowych.
Przypisz bramę translatora adresów sieciowych do tej samej podsieci używanej do integracji sieci wirtualnej z aplikacjami.
Aby zapoznać się z instrukcjami krok po kroku dotyczącymi konfigurowania bramy translatora adresów sieciowych przy użyciu integracji z siecią wirtualną, zobacz Konfigurowanie integracji bramy translatora adresów sieciowych.
Ważne uwagi dotyczące bramy translatora adresów sieciowych i integracji usług aplikacja systemu Azure Services:
Integracja z siecią wirtualną nie zapewnia przychodzącego dostępu prywatnego do aplikacji z sieci wirtualnej.
Ruch integracji sieci wirtualnej nie jest wyświetlany w dziennikach przepływu usługi Azure Network Watcher ani sieciowej grupy zabezpieczeń ze względu na charakter działania.
Usługa App Services nie używa publicznego adresu IP bramy translatora adresów sieciowych w celu nawiązania połączenia wychodzącego
Usługi App Services nadal mogą nawiązywać połączenia wychodzące z Internetem, nawet jeśli integracja z siecią wirtualną nie jest włączona. Domyślnie aplikacje hostowane w usługach App Services są dostępne bezpośrednio za pośrednictwem Internetu i mogą uzyskiwać dostęp tylko do punktów końcowych hostowanych przez Internet. Aby dowiedzieć się więcej, zobacz Funkcje sieciowe usługi App Services.
Jeśli zauważysz, że adres IP używany do nawiązywania połączenia wychodzącego nie jest publicznym adresem IP lub adresami bramy translatora adresów sieciowych, sprawdź, czy integracja sieci wirtualnej jest włączona. Upewnij się, że brama translatora adresów sieciowych jest skonfigurowana do podsieci używanej do integracji z aplikacjami.
Aby sprawdzić, czy aplikacje internetowe korzystają z publicznego adresu IP bramy translatora adresów sieciowych, wyślij polecenie ping do maszyny wirtualnej w usłudze Web Apps i sprawdź ruch za pośrednictwem przechwytywania sieci.
Azure Kubernetes Service
Jak wdrożyć bramę translatora adresów sieciowych za pomocą klastrów usługi Azure Kubernetes Service (AKS)
Bramę translatora adresów sieciowych można wdrożyć za pomocą klastrów usługi AKS, aby umożliwić jawną łączność wychodzącą. Istnieją dwa różne sposoby wdrażania bramy translatora adresów sieciowych za pomocą klastrów usługi AKS:
Zarządzana brama translatora adresów sieciowych: platforma Azure wdraża bramę translatora adresów sieciowych w momencie tworzenia klastra usługi AKS. Usługa AKS zarządza bramą translatora adresów sieciowych.
Brama translatora adresów sieciowych przypisana przez użytkownika: brama translatora adresów sieciowych jest wdrażana w istniejącej sieci wirtualnej dla klastra usługi AKS.
Dowiedz się więcej na temat zarządzanej bramy translatora adresów sieciowych.
Nawiązywanie połączenia z klastra usługi AKS z serwerem interfejsu API usługi AKS za pośrednictwem Internetu
Aby zarządzać klastrem usługi AKS, klaster współdziała z serwerem interfejsu API. Podczas tworzenia klastra innego niż prywatny rozpoznawany jako w pełni kwalifikowana nazwa domeny serwera interfejsu API (FQDN) serwer interfejsu API jest domyślnie przypisany publiczny adres IP. Ruch klastra serwera interfejsu API jest kierowany i przetwarzany za pośrednictwem typu wychodzącego klastra. Gdy typ klastra wychodzącego jest ustawiony na bramę translatora adresów sieciowych (zarządzana lub przypisana przez użytkownika), ruch serwera interfejsu API jest przetwarzany jako ruch publiczny przez bramę translatora adresów sieciowych. Aby zapobiec przetwarzaniu ruchu serwera interfejsu API jako ruchu publicznego, rozważ użycie klastra prywatnego lub użycie funkcji integracji z siecią wirtualną serwera interfejsu API (w wersji zapoznawczej).
Nie można zaktualizować adresów IP bramy translatora adresów sieciowych ani czasomierza limitu czasu bezczynności dla klastra usługi AKS
Publiczne adresy IP i czasomierz limitu czasu bezczynności bramy translatora adresów sieciowych można zaktualizować za az aks update
pomocą polecenia tylko dla zarządzanej bramy TRANSLATOR adresów sieciowych.
Jeśli brama translatora adresów sieciowych przypisana przez użytkownika została wdrożona w podsieciach usługi AKS, nie można użyć az aks update
polecenia w celu zaktualizowania publicznych adresów IP ani czasomierza limitu czasu bezczynności. Użytkownik zarządza bramą translatora adresów sieciowych przypisanych przez użytkownika. Te konfiguracje należy zaktualizować ręcznie w zasobie bramy translatora adresów sieciowych.
Zaktualizuj publiczne adresy IP w bramie translatora adresów sieciowych przypisanych przez użytkownika, wykonując następujące czynności:
W grupie zasobów wybierz zasób bramy translatora adresów sieciowych w portalu.
W obszarze Ustawienia na pasku nawigacyjnym po lewej stronie wybierz pozycję Wychodzący adres IP.
Aby zarządzać publicznymi adresami IP, wybierz niebieską zmianę.
Z poziomu konfiguracji Zarządzaj publicznymi adresami IP i prefiksami, która jest przesuwana z prawej strony, zaktualizuj przypisane publiczne adresy IP z menu rozwijanego lub wybierz pozycję Utwórz nowy publiczny adres IP.
Po zakończeniu aktualizowania konfiguracji adresów IP wybierz przycisk OK w dolnej części ekranu.
Po zniknięciu strony konfiguracji wybierz przycisk Zapisz, aby zapisać zmiany.
Powtórz kroki od 3 do 6, aby wykonać to samo w przypadku prefiksów publicznych adresów IP.
Zaktualizuj konfigurację czasomierza limitu czasu bezczynności w bramie translatora adresów sieciowych przypisanych przez użytkownika, wykonując następujące kroki:
W grupie zasobów wybierz zasób bramy translatora adresów sieciowych w portalu.
W obszarze Ustawienia na pasku nawigacyjnym po lewej stronie wybierz pozycję Konfiguracja.
Na pasku tekstowym limitu czasu bezczynności protokołu TCP (w minutach) dostosuj czasomierz limitu czasu bezczynności (czasomierz można skonfigurować 4–120 minut).
Po zakończeniu wybierz przycisk Zapisz.
Uwaga
Zwiększenie limitu czasu bezczynności protokołu TCP do dłuższego niż 4 minuty może zwiększyć ryzyko wyczerpania portów SNAT.
Azure Firewall
Wyczerpanie źródłowego tłumaczenia adresów sieciowych (SNAT) podczas nawiązywania połączenia wychodzącego za pomocą usługi Azure Firewall
Usługa Azure Firewall może zapewnić wychodzącą łączność internetową z sieciami wirtualnymi. Usługa Azure Firewall udostępnia tylko 2496 portów SNAT na publiczny adres IP. Chociaż usługa Azure Firewall może być skojarzona z maksymalnie 250 publicznymi adresami IP w celu obsługi ruchu wychodzącego, może być wymagana mniejsza liczba publicznych adresów IP na potrzeby nawiązywania połączenia wychodzącego. Wymaganie dotyczące ruchu wychodzącego z mniejszą liczbą publicznych adresów IP wynika z wymagań dotyczących architektury i ograniczeń dozwolonych według docelowych punktów końcowych.
Jedną z metod zapewniających większą skalowalność ruchu wychodzącego, a także zmniejszenie ryzyka wyczerpania portów SNAT jest użycie bramy translatora adresów sieciowych w tej samej podsieci za pomocą usługi Azure Firewall. Aby uzyskać więcej informacji na temat konfigurowania bramy translatora adresów sieciowych w podsieci usługi Azure Firewall, zobacz Integrowanie bramy translatora adresów sieciowych z usługą Azure Firewall. Aby uzyskać więcej informacji na temat sposobu działania bramy translatora adresów sieciowych z usługą Azure Firewall, zobacz Skalowanie portów SNAT za pomocą usługi Azure NAT Gateway.
Uwaga
Brama translatora adresów sieciowych nie jest obsługiwana w architekturze vWAN. Bramy translatora adresów sieciowych nie można skonfigurować do podsieci usługi Azure Firewall w koncentratonie vWAN.
Azure Databricks
Jak używać bramy translatora adresów sieciowych do nawiązywania połączenia wychodzącego z klastra usługi Databricks
Brama translatora adresów sieciowych może służyć do nawiązywania połączenia wychodzącego z klastra usługi Databricks podczas tworzenia obszaru roboczego usługi Databricks. Bramę translatora adresów sieciowych można wdrożyć w klastrze usługi Databricks na jeden z dwóch sposobów:
Po włączeniu bezpiecznej łączności klastra (bez publicznego adresu IP) w domyślnej sieci wirtualnej tworzonej przez usługę Azure Databricks usługa Azure Databricks automatycznie wdraża bramę translatora adresów sieciowych w celu połączenia wychodzącego z podsieci obszaru roboczego z Internetem. Usługa Azure Databricks tworzy ten zasób bramy translatora adresów sieciowych w grupie zasobów zarządzanych i nie można zmodyfikować tej grupy zasobów ani żadnych innych zasobów wdrożonych w niej.
Po wdrożeniu obszaru roboczego usługi Azure Databricks we własnej sieci wirtualnej (za pośrednictwem iniekcji sieci wirtualnej) można wdrożyć i skonfigurować bramę translatora adresów sieciowych w obu podsieciach obszaru roboczego, aby zapewnić łączność wychodzącą za pośrednictwem bramy translatora adresów sieciowych. To rozwiązanie można zaimplementować przy użyciu szablonu platformy Azure lub w portalu.
Następne kroki
Jeśli występują problemy z bramą translatora adresów sieciowych, które nie są rozwiązane w tym artykule, prześlij opinię za pośrednictwem usługi GitHub za pośrednictwem dolnej części tej strony. Jak najszybciej omówimy Twoją opinię, aby ulepszyć środowisko naszych klientów.
Aby dowiedzieć się więcej o bramie translatora adresów sieciowych, zobacz: