Felsöka Azure NAT Gateway
Den här artikeln innehåller vägledning om hur du konfigurerar DIN NAT-gateway korrekt och felsöker vanliga konfigurations- och distributionsrelaterade problem.
Grundläggande konfiguration av NAT-gateway
Kontrollera följande konfigurationer för att se till att NAT-gatewayen kan användas för att dirigera utgående trafik:
Minst en offentlig IP-adress eller ett offentligt IP-prefix är kopplat till NAT-gatewayen. Minst en offentlig IP-adress måste vara associerad med NAT-gatewayen för att den ska kunna tillhandahålla utgående anslutning.
Minst ett undernät är kopplat till en NAT-gateway. Du kan koppla flera undernät till en NAT-gateway för utgående trafik, men dessa undernät måste finnas i samma virtuella nätverk. NAT-gatewayen kan inte sträcka sig över ett enda virtuellt nätverk.
Inga NSG-regler (Network Security Group) eller användardefinierade vägar (UDR) blockerar NAT-gatewayen från att dirigera utgående trafik till Internet.
Så här verifierar du anslutningen
NAT-gateway har stöd för protokollen IPv4 User Datagram Protocol (UDP) och Transmission Control Protocol (TCP).
Kommentar
ICMP-protokollet stöds inte av NAT Gateway. Ping med ICMP-protokollet stöds inte och förväntas misslyckas.
Följ dessa steg för att verifiera anslutningen från slutpunkt till slutpunkt för NAT-gatewayen:
Kontrollera att din offentliga IP-adress för NAT-gatewayen används.
Utför TCP-anslutningstester och UDP-specifika programskiktstester.
Titta på NSG-flödesloggar för att analysera utgående trafikflöden från NAT-gateway.
I följande tabell finns verktyg som du kan använda för att verifiera NAT-gatewayanslutningen.
| Operativsystem | Allmänt TCP-anslutningstest | TCP-programskiktstest | UDP |
|---|---|---|---|
| Linux | nc (allmänt anslutningstest) |
curl (TCP-programskiktstest) |
programspecifik |
| Windows | PsPing | PowerShell Invoke-WebRequest | programspecifik |
Så här analyserar du utgående anslutning
Om du vill analysera utgående trafik från NAT-gatewayen använder du flödesloggar för virtuella nätverk (VNet). VNet-flödesloggar tillhandahåller anslutningsinformation för dina virtuella datorer. Anslutningsinformationen innehåller källans IP-adress och port samt mål-IP och port samt anslutningens tillstånd. Trafikflödesriktningen och trafikens storlek i antal paket och byte som skickas loggas också. Käll-IP och port som anges i VNet-flödesloggen är för den virtuella datorn och inte NAT-gatewayen.
Mer information om VNet-flödesloggar finns i Översikt över virtuella nätverksflödesloggar.
Guider om hur du aktiverar VNet-flödesloggar finns i Hantera virtuella nätverksflödesloggar.
Vi rekommenderar att du kommer åt loggdata på Log Analytics-arbetsytor där du också kan fråga och filtrera data för utgående trafik. Mer information om hur du använder Log Analytics finns i Självstudie om Log Analytics.
Mer information om VNet-flödesloggschemat finns i Schema för trafikanalys och dataaggregering.
NAT Gateway är i ett feltillstånd
Du kan uppleva utgående anslutningsfel om nat-gatewayresursen är i ett feltillstånd. Följ dessa instruktioner för att få nat-gatewayen ur ett feltillstånd:
Identifiera resursen som är i ett feltillstånd. Gå till Azure Resource Explorer och identifiera resursen i det här tillståndet.
Uppdatera reglaget i det övre högra hörnet till Läs/skriv.
Välj redigera för resursen i feltillstånd.
Välj på PUT följt av GET för att säkerställa att etableringstillståndet har uppdaterats till Lyckades.
Du kan sedan fortsätta med andra åtgärder eftersom resursen inte är i felläge.
Lägga till eller ta bort NAT-gateway
Det går inte att ta bort NAT-gateway
NAT-gatewayen måste kopplas från alla undernät i ett virtuellt nätverk innan resursen kan tas bort eller tas bort. Stegvisa anvisningar finns i Ta bort NAT-gateway från ett befintligt undernät och ta bort resursen .
Lägga till eller ta bort undernät
NAT-gatewayen kan inte kopplas till undernätet som redan är kopplat till en annan NAT-gateway
Ett undernät i ett virtuellt nätverk kan inte ha fler än en NAT-gateway ansluten till det för att ansluta utgående till Internet. En enskild NAT-gatewayresurs kan associeras till flera undernät i samma virtuella nätverk. NAT-gatewayen kan inte sträcka sig över ett enda virtuellt nätverk.
Grundläggande resurser kan inte finnas i samma undernät som NAT-gateway
NAT-gatewayen är inte kompatibel med grundläggande resurser, till exempel Grundläggande lastbalanserare eller grundläggande offentlig IP-adress. Grundläggande resurser måste placeras i ett undernät som inte är associerat med en NAT Gateway. Grundläggande lastbalanserare och grundläggande offentlig IP-adress kan uppgraderas till standard för att fungera med NAT-gateway.
Information om hur du uppgraderar en grundläggande lastbalanserare till standard finns i Uppgradera från grundläggande offentlig till offentlig standardlastbalanserare.
Information om hur du uppgraderar en grundläggande offentlig IP-adress till standard finns i Uppgradera från grundläggande offentlig till offentlig IP-standard.
Information om hur du uppgraderar en grundläggande offentlig IP-adress med en ansluten virtuell dator till standard finns i [uppgradera en grundläggande offentlig IP-adress med en ansluten virtuell dator](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
NAT-gatewayen kan inte kopplas till ett gatewayundernät
NAT-gatewayen kan inte distribueras i ett gateway-undernät. Ett gateway-undernät används av en VPN-gateway för att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats. Mer information om hur gatewayundernät används av VPN-gateway finns i Översikt över VPN-gateway.
Det går inte att ansluta NAT-gatewayen till ett undernät som innehåller ett nätverksgränssnitt för virtuella datorer i ett feltillstånd
När du kopplar en NAT-gateway till ett undernät som innehåller ett virtuellt datornätverksgränssnitt (nätverksgränssnitt) i ett feltillstånd får du ett felmeddelande som anger att den här åtgärden inte kan utföras. Du måste först lösa det misslyckade tillståndet för nätverksgränssnittet för den virtuella datorn innan du kan ansluta en NAT-gateway till undernätet.
Om du vill få nätverksgränssnittet för den virtuella datorn ur ett feltillstånd kan du använda någon av följande två metoder.
Använd PowerShell för att få nätverksgränssnittet för den virtuella datorn ur ett feltillstånd
Fastställa etableringstillståndet för dina nätverksgränssnitt med hjälp av PowerShell-kommandot Get-AzNetworkInterface och ange värdet för "provisioningState" till "Lyckades".
Utför GET/SET PowerShell-kommandon i nätverksgränssnittet. PowerShell-kommandona uppdaterar etableringstillståndet.
Kontrollera resultatet av den här åtgärden genom att kontrollera etableringstillståndet för dina nätverksgränssnitt igen (följ kommandon från steg 1).
Använd Azure Resource Explorer för att få nätverksgränssnittet för den virtuella datorn ur ett feltillstånd
Gå till Azure Resource Explorer (rekommenderas att använda Microsoft Edge-webbläsaren)
Expandera Prenumerationer (det tar några sekunder innan det visas).
Expandera din prenumeration som innehåller nätverksgränssnittet för den virtuella datorn i feltillstånd.
Expandera resourceGroups.
Expandera rätt resursgrupp som innehåller nätverksgränssnittet för den virtuella datorn i feltillstånd.
Expandera providers.
Expandera Microsoft.Network.
Expandera networkInterfaces.
Välj i nätverksgränssnittet som är i tillståndet för misslyckad etablering.
Välj knappen Läs/Skriv längst upp.
Välj den gröna GET-knappen.
Välj den blå EDIT-knappen.
Välj den gröna PUT-knappen.
Välj knappen Skrivskyddat längst upp.
Nätverksgränssnittet för den virtuella datorn bör nu vara i ett lyckat etableringstillstånd. Du kan stänga webbläsaren.
Lägga till eller ta bort offentliga IP-adresser
Det går inte att överskrida 16 offentliga IP-adresser på NAT-gatewayen
NAT-gateway kan inte associeras med fler än 16 offentliga IP-adresser. Du kan använda valfri kombination av offentliga IP-adresser och prefix med NAT-gateway upp till totalt 16 IP-adresser. Information om hur du lägger till eller tar bort en offentlig IP-adress finns i Lägga till eller ta bort en offentlig IP-adress.
Följande IP-prefixstorlekar kan användas med NAT-gateway:
/28 (16 adresser)
/29 (8 adresser)
/30 (4 adresser)
/31 (2 adresser)
IPv6-samexistens
NAT-gateway stöder IPv4 UDP- och TCP-protokoll. NAT-gateway kan inte associeras till en offentlig IPv6-IP-adress eller ett offentligt IP-prefix för IPv6. NAT-gatewayen kan distribueras i ett undernät med dubbla staplar, men använder bara offentliga IP-adresser för IPv4 för att dirigera utgående trafik. Distribuera NAT-gateway i ett undernät med dubbla staplar när du behöver IPv6-resurser i samma undernät som IPv4-resurser. Mer information om hur du tillhandahåller utgående IPv4- och IPv6-anslutningar från ditt undernät med dubbla staplar finns i Utgående anslutning med dubbel stack med NAT-gateway och offentlig lastbalanserare.
Det går inte att använda grundläggande offentliga IP-adresser med NAT-gateway
NAT-gateway är en standardresurs och kan inte användas med grundläggande resurser, inklusive grundläggande offentliga IP-adresser. Du kan uppgradera din grundläggande offentliga IP-adress för att kunna använda med nat-gatewayen med hjälp av följande vägledning: Uppgradera en offentlig IP-adress.
Det går inte att använda offentliga IP-adresser med internetroutningsinställningar tillsammans med NAT-gateway
När NAT-gatewayen konfigureras med en offentlig IP-adress dirigeras trafiken via Microsoft-nätverket. NAT-gateway kan inte associeras med offentliga IP-adresser med val av routningsinställning Internet. NAT-gateway kan endast associeras med offentliga IP-adresser med val av routningsinställningar i Microsoft Global Network. Se tjänster som stöds för en lista över alla Azure-tjänster som stöder offentliga IP-adresser med internetroutningsinställningen.
Det går inte att matcha zonerna för offentliga IP-adresser och NAT-gatewayen
NAT-gateway är en zonindelad resurs och kan antingen utses till en specifik zon eller till "ingen zon". När NAT-gatewayen placeras i "ingen zon" placerar Azure NAT-gatewayen i en zon åt dig, men du har inte insyn i vilken zon NAT-gatewayen finns.
NAT-gateway kan användas med offentliga IP-adresser som är avsedda för en specifik zon, ingen zon, alla zoner (zonredundanta) beroende på dess egen konfiguration av tillgänglighetszoner.
| TILLGÄNGLIGHETszonbeteckning för NAT-gateway | Offentlig IP-adress/prefixbeteckning som kan användas |
|---|---|
| Ingen zon | Zonredundant, Ingen zon eller Zonal (den offentliga IP-zonbeteckningen kan vara valfri zon i en region för att fungera med en NAT-gateway utan zon) |
| Tilldelad till en specifik zon | Zonredundanta eller zonindeliga offentliga IP-adresser kan användas |
Kommentar
Om du behöver känna till zonen som NAT-gatewayen finns i ska du ange den till en specifik tillgänglighetszon.
Det går inte att använda DDoS-skyddade offentliga IP-adresser med NAT-gateway
NAT-gatewayen stöder inte offentliga IP-adresser med DDoS-skydd aktiverat. DDoS-skyddade IP-adresser är vanligtvis mer kritiska för inkommande trafik, eftersom de flesta DDoS-attacker är utformade för att överbelasta målets resurser genom att översvämma dem med en stor mängd inkommande trafik. Mer information om DDoS-skydd finns i följande artiklar nedan.
- Azure DDoS Protection-funktioner
- Metodtips för Azure DDoS Protection
- Typer av attacker i Azure DDoS-skydd minskar
Mer vägledning om felsökning
Om problemet inte omfattas av den här artikeln kan du läsa de andra felsökningsartiklarna för NAT-gateway:
Nästa steg
Om du har problem med ATT NAT-gatewayen inte visas eller löses i den här artikeln skickar du feedback via GitHub längst ned på den här sidan. Vi tar upp din feedback så snart som möjligt för att förbättra våra kunders upplevelse.
Mer information om NAT-gateway finns i: