Editar

Partilhar via


Perguntas frequentes sobre o Azure NAT Gateway

Aqui estão algumas respostas para perguntas comuns sobre como usar o Azure NAT Gateway.

Noções básicas do Azure NAT Gateway

O que é o Gateway de NAT do Azure?

O Azure NAT Gateway é uma solução de conectividade de saída totalmente gerenciada e altamente resiliente para redes virtuais do Azure. Para obter conectividade de saída segura e escalável, anexe um gateway NAT a sub-redes dentro de uma rede virtual e a pelo menos um endereço IP público estático.

Qual é o preço do Azure NAT Gateway?

Consulte Preços do Azure NAT Gateway.

Quais são os limites conhecidos do Azure NAT Gateway?

Consulte Limites do Gateway NAT do Azure.

Quantos recursos de gateway NAT são permitidos por assinatura?

O número de recursos de gateway NAT permitidos por assinatura por região varia de acordo com o tipo de categoria de oferta, como avaliação gratuita, pagamento conforme o uso, CSP (Provedor de Soluções na Nuvem) e Enterprise Agreement. Os tipos de oferta Enterprise Agreement e CSP podem ter até 1.000 recursos de gateway NAT. Os tipos de ofertas patrocinadas e pré-pagas podem ter até 100 recursos de gateway NAT. Todos os outros tipos de oferta, como avaliação gratuita, podem ter até 15 recursos de gateway NAT.

Um gateway NAT pode ser usado em todas as assinaturas?

Não, um recurso de gateway NAT não pode ser usado com mais de uma assinatura de cada vez. Para obter orientação passo a passo, consulte Criar e configurar um gateway NAT após uma mudança de região.

Um gateway NAT pode ser movido de uma região/assinatura/grupo de recursos para outro?

Não, um gateway NAT não pode ser movido entre assinaturas, regiões ou grupos de recursos. Um novo gateway NAT deve ser criado para a outra assinatura, região ou grupo de recursos.

Um gateway NAT pode ser usado para conectar a entrada?

Um gateway NAT fornece conectividade de saída de uma rede virtual. O tráfego de retorno em resposta direta a um fluxo de saída também pode passar por um gateway NAT. Nenhum tráfego de entrada diretamente da Internet pode passar por um gateway NAT.

Como posso obter logs para meu recurso de gateway NAT?

Os logs de fluxo de rede virtual (VNet) são um recurso do Azure Network Watcher que registra informações sobre o tráfego IP que flui através de uma rede virtual. Os dados de fluxo dos logs de fluxo de rede virtual são enviados para o Armazenamento do Azure. A partir daí, você pode acessar os dados e exportá-los para qualquer ferramenta de visualização, solução de gerenciamento de eventos e informações de segurança (SIEM) ou sistema de deteção de intrusão (IDS).

Os logs de fluxo de VNet fornecem informações de conexão para suas máquinas virtuais. As informações de conexão contêm o IP e a porta de origem e o IP e a porta de destino e o estado da conexão. A direção do fluxo de tráfego e o tamanho do tráfego em número de pacotes e bytes enviados também são registrados. O IP de origem e a porta especificados no log de fluxo da rede virtual são para a máquina virtual e não para o gateway NAT.

Para obter orientações gerais sobre como criar e gerenciar logs de fluxo de rede virtual, consulte Gerenciar logs de fluxo de rede virtual.

Como faço para excluir um recurso de gateway NAT?

Para excluir um recurso de gateway NAT, o recurso deve primeiro ser desassociado da sub-rede. Depois que o recurso de gateway NAT for desassociado de todas as sub-redes, ele poderá ser excluído. Para obter orientação, consulte Remover um recurso de gateway NAT de uma sub-rede existente e excluir o recurso.

Um gateway NAT suporta fragmentação de IP?

Não, um gateway NAT não suporta fragmentação IP para TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol).

Métricas do gateway NAT

Qual é a diferença entre as métricas de Contagem de Conexão SNAT e Contagem Total de Conexões SNAT para um gateway NAT?

A métrica SNAT Connection Count mostra o número de novas conexões SNAT (conversão de endereços de rede) de origem feitas por segundo. A métrica Total SNAT Connection Count mostra o número total de conexões ativas em um recurso de gateway NAT.

Como posso ver o uso da porta SNAT em um gateway NAT?

Não há nenhuma métrica de uso de porta SNAT para um gateway NAT. Use as métricas Contagem de Conexão SNAT e Contagem Total de Conexões SNAT para ajudá-lo a avaliar a capacidade SNAT do seu recurso de gateway NAT.

Como posso armazenar minhas métricas de gateway NAT a longo prazo?

As métricas do gateway NAT podem ser recuperadas usando a API REST de métricas. Como alternativa, você pode selecionar Compartilhar e, em seguida , Baixar para o Excel no painel de métricas do gateway NAT no portal do Azure.

As métricas do gateway NAT podem ser recuperadas usando configurações de diagnóstico?

Não, as métricas do gateway NAT não podem ser exportadas usando configurações de diagnóstico. As métricas do gateway NAT são multidimensionais. As configurações de diagnóstico não suportam a exportação de métricas multidimensionais.

Conectividade de saída com um gateway NAT

Como posso usar um gateway NAT para conectar a saída em uma configuração em que estou usando um serviço diferente para saída?

Um gateway NAT conecta automaticamente a saída à Internet depois de ser anexado a um endereço IP público ou prefixo e a uma sub-rede. Um gateway NAT tem prioridade sobre o Balanceador de Carga do Azure com regras de saída, endereços IP públicos no nível da instância em máquinas virtuais (VMs) e Firewall do Azure para conectividade de saída.

As conexões são interrompidas depois de anexar um gateway NAT a uma sub-rede onde um serviço diferente é usado atualmente para conectividade de saída?

Não, não há interrupção nas conexões. As conexões existentes com o serviço de saída anterior (Balanceador de Carga, Firewall do Azure, endereços IP públicos no nível da instância) continuam a funcionar até que essas conexões sejam fechadas. Depois que um gateway NAT é adicionado à sub-rede da rede virtual, todas as novas conexões usam um gateway NAT para fazer conexões de saída.

Um IP público de gateway NAT pode se conectar diretamente a um endereço IP privado pela Internet?

Não, um endereço IP público de um gateway NAT não pode se conectar diretamente a um IP privado pela Internet.

Se vários endereços IP públicos forem atribuídos a um recurso de gateway NAT, o fluxo de tráfego será interrompido quando um dos endereços IP for removido?

Todas as conexões ativas associadas a um endereço IP público terminam quando o endereço IP público é removido. Se o recurso de gateway NAT tiver vários IPs públicos, o novo tráfego será distribuído entre os IPs atribuídos.

O que significa quando vejo um IP sendo usado para conectar uma saída diferente do meu IP público do gateway NAT?

Há algumas razões possíveis pelas quais você pode estar vendo um IP diferente sendo usado para conectar a saída do que aquele associado ao seu gateway NAT. Para ajudar a solucionar problemas, consulte o guia de solução de problemas de conectividade do Gateway NAT do Azure.

O NAT Gateway funciona com o modo FTP ativo?

Não, o NAT Gateway não é compatível com o modo FTP ativo. Quando o gateway NAT é configurado, o canal do cliente e o canal de dados para o modo FTP ativo usarão IPs diferentes, de modo que o servidor FTP verá a conexão como inválida. Para obter mais informações, consulte o guia de solução de problemas de conectividade do gateway NAT sobre falhas de conexão para o modo ativo ou passivo de FTP.

O NAT Gateway funciona com o modo FTP passivo?

O gateway NAT pode ser usado com o modo FTP passivo, mas somente quando um endereço IP público é configurado para o gateway NAT. O modo passivo FTP não funciona com um gateway NAT configurado com um prefixo IP público ou vários endereços IP públicos. Quando um gateway NAT com vários endereços IP públicos envia tráfego de saída, ele seleciona aleatoriamente um de seus endereços IP públicos para o endereço IP de origem. O modo passivo FTP falha quando os dados e os canais de controle usam endereços IP de origem diferentes. Para obter mais informações, consulte o guia de solução de problemas de conectividade do gateway NAT sobre falhas de conexão para o modo ativo ou passivo de FTP.

Vias de circulação

O que acontece a um gateway NAT se eu forçar o tráfego do túnel 0.0.0.0/0 (Internet) para um NVA, Azure VPN Gateway ou Azure ExpressRoute?

Um gateway NAT usa o caminho de internet padrão do sistema de uma sub-rede para rotear o tráfego para a Internet. O tráfego não passa por um gateway NAT se uma rota definida pelo usuário for criada para direcionar o tráfego 0.0.0.0/0 para o próximo dispositivo virtual de rede (NVA) do tipo salto ou um gateway de rede virtual.

Que configuração devo fazer na tabela de rotas da sub-rede para conectar a saída com um gateway NAT?

Nenhuma configuração na tabela de rotas de sub-rede é necessária para iniciar a conexão de saída com um gateway NAT. Quando um gateway NAT é atribuído a uma sub-rede, o gateway NAT torna-se o próximo tipo de salto para todo o tráfego destinado à Internet. O tráfego pode começar a se conectar de saída à Internet assim que o gateway NAT é atribuído a uma sub-rede e a pelo menos um endereço IP público.

Configurações de gateway NAT

Um gateway NAT pode ser implantado sem um endereço IP público ou sub-rede?

Sim, um gateway NAT pode ser implantado sem um endereço IP público ou prefixo e sub-rede. No entanto, ele não estará operacional até que você anexe pelo menos um endereço IP público ou prefixo e uma sub-rede.

O endereço IP público do gateway NAT é estático?

Sim, os endereços IP públicos no seu gateway NAT são fixos e não são alterados.

Quantos endereços IP públicos podem ser anexados a um gateway NAT?

Um gateway NAT pode usar até 16 endereços IP públicos. Um gateway NAT pode usar qualquer combinação de endereços IP públicos e prefixos IP públicos totalizando 16 endereços. Um gateway NAT pode suportar os seguintes tamanhos de prefixo: /28 (16 endereços), /29 (8 endereços), /30 (4 endereços) e /31 (2 endereços).

Como posso usar prefixos IP personalizados (BYOIP) com um gateway NAT?

Você pode usar prefixos IP públicos e endereços derivados de prefixos IP personalizados, também conhecidos como bring your own IP (BYOIP), com seu gateway NAT. Para saber mais, consulte Prefixo de endereço IP personalizado (BYOIP).

Um endereço IP público IPv6 pode ser usado com um gateway NAT?

Não, um gateway NAT não suporta endereços IP públicos IPv6. No entanto, você pode ter uma configuração de pilha dupla com um gateway NAT e um balanceador de carga para fornecer conectividade de saída IPv4 e IPv6. Para obter mais informações, consulte Configurar a conectividade de saída de pilha dupla com um gateway NAT e um balanceador de carga público.

Os endereços IP públicos com a preferência de roteamento "internet" podem ser usados com um gateway NAT?

Não, um gateway NAT não suporta endereços IP públicos com a preferência de roteamento "internet". Para ver uma lista de serviços do Azure que dão suporte ao tipo de configuração de roteamento "internet" em IPs públicos, consulte Serviços suportados para roteamento pela Internet pública.

Os endereços IP públicos com proteção contra DDoS ativada podem ser usados com um gateway NAT?

Não, um gateway NAT não suporta endereços IP públicos com a proteção contra DDoS ativada. Os IPs protegidos contra DDoS são geralmente mais críticos para o tráfego de entrada, uma vez que a maioria dos ataques DDoS são projetados para sobrecarregar os recursos do alvo, inundando-os com um grande volume de tráfego de entrada. Para obter mais informações sobre IPs protegidos contra DDoS, consulte Limitações de DDoS.

Os IPs públicos de um gateway NAT existente podem ser alterados?

Não, o endereço de um IP público existente não pode ser alterado. Se você precisar alterar o endereço IP público em seu gateway NAT, consulte Adicionar ou remover um endereço IP público para obter orientação.

Se vários endereços IP públicos forem atribuídos a um gateway NAT, quais IPs públicos meus recursos de sub-rede usam?

Seus recursos de sub-rede podem usar qualquer um dos endereços IP públicos anexados ao gateway NAT para conectividade de saída. Cada vez que uma nova conexão de saída é feita através de um gateway NAT, o IP público de saída é selecionado aleatoriamente.

Posso atribuir um dos meus endereços IP públicos do gateway NAT a uma VM ou sub-rede específica para usar exclusivamente para conexão de saída?

N.º Não há suporte para atribuição de IP a sub-redes ou instâncias de VM específicas em uma sub-rede configurada pelo gateway NAT.

Um gateway NAT pode ser conectado a várias redes virtuais?

Não, um gateway NAT não pode ser conectado a várias redes virtuais.

Um gateway NAT pode ser anexado a várias sub-redes?

Sim, um gateway NAT pode ser associado a até 800 sub-redes em uma rede virtual. Não é necessário estar associado a todas as sub-redes dentro de uma rede virtual.

Um gateway NAT pode ser anexado a uma sub-rede de gateway?

Não, um gateway NAT não pode ser associado a uma sub-rede de gateway .

Vários gateways NAT podem ser conectados a uma única sub-rede?

Não, um gateway NAT opera com base nas propriedades da sub-rede, portanto, vários gateways NAT não podem ser anexados a uma única sub-rede.

Um gateway NAT funciona em uma arquitetura de rede hub-and-spoke?

O tráfego das redes virtuais spoke pode ser roteado para a rede virtual de hub centralizado por meio de um NVA ou Firewall do Azure. Um gateway NAT pode então fornecer conectividade de saída para todas as redes virtuais spoke a partir da rede de hub centralizada. Para configurar um gateway NAT em uma arquitetura hub-and-spoke com NVAs, consulte Usar um gateway NAT em uma rede hub-and-spoke. Para usar um gateway NAT com o Firewall do Azure em uma configuração hub-and-spoke, consulte Integrar um gateway NAT com o Firewall do Azure.

Zonas de disponibilidade

Como funciona um gateway NAT com zonas de disponibilidade?

Um gateway NAT pode ser zonal ou colocado em "nenhuma zona". Para obter mais informações, consulte Gateway NAT do Azure e zonas de disponibilidade. Além disso:

  • Um gateway NAT sem zona é colocado em uma zona para você pelo Azure.
  • Um gateway NAT zonal é associado a uma zona específica pelo usuário quando o gateway NAT é criado.
  • A configuração zonal de um gateway NAT não pode ser alterada após a implantação.

Um endereço IP público com redundância de zona pode ser anexado a um gateway NAT?

Endereços IP públicos com redundância de zona e prefixos podem ser anexados a um gateway NAT sem zona ou a um gateway NAT atribuído a uma zona de disponibilidade específica. Para obter mais informações, consulte Gateway NAT do Azure e zonas de disponibilidade.

Azure NAT Gateway e recursos básicos de SKU

Os recursos básicos de SKU (balanceador de carga básico e endereços IP públicos básicos) são compatíveis com um gateway NAT?

Não, um gateway NAT é compatível com recursos SKU padrão. Para saber mais, consulte Noções básicas do Azure NAT Gateway. Atualize seu balanceador de carga básico e endereço IP público básico para padrão para trabalhar com um gateway NAT. Para mais ajuda:

Tempos limite de conexão e temporizadores

Qual é o tempo limite ocioso para um gateway NAT?

Para conexões TCP, o temporizador de tempo limite ocioso tem como padrão 4 minutos e é configurável até 120 minutos. Se você precisar manter fluxos de conexão longos, use keepalives TCP em vez de estender o temporizador de tempo limite ocioso. TCP keepalives manter conexões ativas por um período mais longo.

O temporizador de tempo limite de inatividade UDP está definido para 4 minutos e não é configurável.

Qual é o comportamento de reutilização da porta SNAT de um gateway NAT?

Quando uma conexão TCP/UDP é fechada, a porta é colocada em um período de resfriamento antes de poder ser reutilizada para se conectar ao mesmo ponto de extremidade de destino. Para obter mais informações, consulte Temporizadores de reutilização de porta SNAT. As conexões que vão para um destino diferente podem usar uma porta SNAT imediatamente. Para obter mais informações, consulte SNAT com Azure NAT Gateway.

Integração do gateway NAT com outros serviços do Azure

Posso usar um gateway NAT com o Serviço de Aplicativo do Azure?

Sim, um gateway NAT pode ser usado com o Serviço de Aplicativo do Azure para permitir que os aplicativos direcionem o tráfego de saída para a Internet a partir de uma rede virtual. Para usar essa integração entre um gateway NAT e o Serviço de Aplicativo do Azure, a integração de rede virtual regional deve ser habilitada. Para obter orientação sobre como habilitar a integração de rede virtual com um gateway NAT, consulte Integração do Gateway NAT do Azure.

Posso usar um gateway NAT com o Serviço Kubernetes do Azure?

Sim. Para obter mais informações sobre a integração do gateway NAT com o Serviço Kubernetes do Azure, consulte Gateway NAT gerenciado.

Quando o gateway NAT é usado para se conectar do meu cluster AKS ao servidor da API do AKS?

Para gerenciar um cluster AKS, o cluster interage com seu servidor de API. Em clusters não privados, o tráfego de cluster do servidor de API é roteado e processado através do tipo de saída do cluster. Quando o tipo de saída do cluster é definido como Gateway NAT, o tráfego do servidor de API é processado como tráfego público através do gateway NAT. Para evitar que o tráfego do servidor de API seja processado como tráfego público, considere usar um cluster privado ou usar o recurso de integração de VNet do Servidor de API (em visualização).

Posso usar um gateway NAT com o Firewall do Azure?

Sim, um gateway NAT pode ser usado com o Firewall do Azure. Quando o Firewall do Azure é usado com um gateway NAT, ele deve estar em uma configuração zonal. Um gateway NAT funciona com um firewall com redundância de zona, mas não recomendamos a implantação no momento. Para obter mais informações sobre a integração do gateway NAT com o Firewall do Azure, consulte Dimensionar portas SNAT com um gateway NAT.

Sim, a adição de um gateway NAT a uma sub-rede com pontos de extremidade de serviço não afeta os pontos de extremidade. Os pontos de extremidade de serviço de Rede Virtual habilitam uma rota mais específica para o tráfego de serviço do Azure de destino que eles representam. O tráfego para o ponto de extremidade do serviço atravessa o backbone do Azure em vez da Internet. Recomendamos Private Link sobre pontos de extremidade de serviço quando você se conecta à plataforma Azure como um serviço (PaaS) diretamente de sua rede do Azure.

Posso usar um gateway NAT com meu espaço de trabalho do Azure Databricks?

Sim. Se você habilitar a conectividade de cluster seguro em seu espaço de trabalho, um gateway NAT poderá ser usado com o Azure Databricks de duas maneiras:

  • Se você usar a conectividade de cluster seguro com a rede virtual padrão que o Azure Databricks cria, o Azure Databricks criará automaticamente um gateway NAT para o tráfego de saída das sub-redes do seu espaço de trabalho. O gateway NAT é criado dentro do grupo de recursos gerenciados que o Azure Databricks gerencia. Não é possível modificar esse grupo de recursos ou quaisquer recursos provisionados nele.
  • Se você habilitar a conectividade de cluster seguro em seu espaço de trabalho que usa injeção de rede virtual, poderá implantar um gateway NAT em ambas as sub-redes do espaço de trabalho para fornecer conectividade de saída. Nesse caso, você pode modificar a configuração para requisitos de conectividade de saída personalizados. Para obter mais informações, consulte Conectividade segura de cluster.

Próximos passos

Se a sua pergunta não estiver listada aqui, envie comentários sobre esta página com a sua pergunta. Essas informações criarão um problema no GitHub para a equipe de produto, a fim de garantir que todas as perguntas valiosas dos nossos clientes sejam respondidas.