Azure NAT 网关的常见问题解答

下面是一些有关使用 Azure NAT 网关的常见问题的解答。

Azure NAT 网关基本信息

什么是 Azure NAT 网关?

Azure NAT 网关是适用于 Azure 虚拟网络的完全托管且具有较高的复原能力的出站连接解决方案。 如果要实现安全且可缩放的出站连接,可以将 NAT 网关附加到虚拟网络中的子网以及至少一个静态公共 IP 地址。

Azure NAT 网关有哪些已知限制?

NAT 网关是否可以跨订阅使用?

不可以,NAT 网关资源不能一次与多个订阅一起使用。 有关分步指南,请参阅在区域移动后创建和配置 NAT 网关

能否将 NAT 网关从一个区域/订阅/资源组移动到另一个区域/订阅/资源组?

不可以,NAT 网关无法跨订阅、区域或资源组移动。 必须为其他订阅、区域或资源组创建新的 NAT 网关。

NAT 网关能否用于入站连接?

NAT 网关提供来自虚拟网络的出站连接。 对出站流做出的直接响应中的返回流量也可以通过 NAT 网关。 直接来自 Internet 的入站流量都无法通过 NAT 网关。

如何获取 NAT 网关资源的日志?

网络安全组 (NSG) 流日志可通过将 NAT 网关用于出站流量,来监视子网/虚拟网络中的资源的流量流。

使用 Azure 安全中心并遵循网络保护建议来帮助保护 Azure 网络资源。 启用 NSG 流日志,并将日志发送到 Azure 存储帐户以进行审核。 你还可以将流日志发送到 Log Analytics 工作区,然后使用流量分析来提供有关 Azure 云中流量模式的见解。 流量分析的优势包括能够可视化网络活动、识别热点和安全威胁、了解通信流模式,以及查明网络不当配置。

如何删除 NAT 网关资源?

若要删除 NAT 网关资源,必须先解除该资源与子网的关联。 解除 NAT 网关资源与所有子网的关联后,即可删除该资源。 请参阅从现有子网中删除 NAT 网关并删除资源以获取分步指南。

NAT 网关是否支持 IP 片段?

不支持,NAT 网关不支持传输控制协议 (TCP) 或用户数据报协议 (UDP) 的 IP 碎片。

NAT 网关指标

SNAT 网关的 SNAT 连接计数和 SNAT 连接总数指标有何区别?

SNAT 连接计数指标显示每秒建立的新资源网络地址转换 (SNAT) 连接数。 SNAT 连接总数指标显示 NAT 网关资源上的活动连接总数。

如何查看 NAT 网关上的 SNAT 端口使用情况?

NAT 网关没有 SNAT 端口使用情况指标。 使用 SNAT 连接计数和 SNAT 连接总数指标来帮助评估 NAT 网关资源的 SNAT 容量。

如何长期存储 NAT 网关指标?

可以使用指标 REST API 来检索 NAT 网关指标。 或者,可以选择“共享”,然后从 Azure 门户中的 NAT 网关指标窗格下载到 Excel

是否可以使用诊断设置检索 NAT 网关指标?

否,无法使用诊断设置导出 NAT 网关指标。 NAT 网关指标是多维的。 诊断设置不支持导出多维指标。

使用 NAT 网关进行出站连接

在当前使用不同服务进行出站连接的设置中,如何使用 NAT 网关进行出站连接?

NAT 网关附加到公共 IP 地址或前缀和子网后,会自动出站连接到 Internet。 NAT 网关优先于具有出站规则的 Azure 负载均衡器、虚拟机 (VM) 上的实例级公共 IP 地址以及出站连接的 Azure 防火墙。

将 NAT 网关附加到当前使用不同服务进行出站连接的子网后,连接是否会中断?

不会,连接不会中断。 与以前的出站服务(负载均衡器、Azure 防火墙、实例级公共 IP 地址)的现有连接将继续工作,直到这些连接关闭。 将 NAT 网关添加到虚拟网络的子网后,所有新连接都将使用 NAT 网关进行出站连接。

NAT 网关的公共 IP 可以通过 Internet 直接连接到专用 IP 地址吗?

NAT 网关的公共 IP 地址无法通过 Internet 直接连接到专用 IP。

如果将多个公共 IP 地址分配给一个 NAT 网关,删除其中一个 IP 地址时流量流是否会中断?

与公共 IP 地址关联的任何活动连接都将在移除公共 IP 地址时终止。 如果 NAT 网关资源具有多个公共 IP,新的流量将会在分配的 IP 之间进行分布。

当我看到用于连接出站的 IP 与我的 NAT 网关公共 IP 不同时,这意味着什么?

有一些可能的原因会导致你看到用于连接出站的 IP 与 NAT 网关相关联的 IP 不同。 如果需要故障排除方面的帮助,请参阅 Azure NAT 网关连接故障排除指南

流量路由

如果强制将隧道 0.0.0.0/0 (Internet) 流量发送到 NVA、Azure VPN 网关或 Azure ExpressRoute,NAT 网关会发生什么情况?

NAT 网关使用子网的系统默认 Internet 路径将流量路由到 Internet。 如果创建了用户定义的路径以将 0.0.0.0/0 流量定向到下一个跃点类型网络虚拟设备 (NVA) 或虚拟网络网关,则流量不会通过 NAT 网关。

必须对子网路由表进行什么配置才能通过 NAT 网关进行出站连接?

无需对子网路由表进行配置即可开始使用 NAT 网关连接出站。 将 NAT 网关分配给子网时,NAT 网关将成为所有发往 Internet 的流量的下一个跃点类型。 将 NAT 网关分配到子网和至少一个公共 IP 地址后,流量就可以开始以出站方式连接到 Internet。

NAT 网关配置

是否可以在不使用公共 IP 地址或子网的情况下部署 NAT 网关?

可以,可以在不使用公共 IP 地址或前缀和子网的情况下部署 NAT 网关。 但是,只有附加至少一个公共 IP 地址或前缀和子网后,NAT 网关才能运行。

NAT 网关公共 IP 地址是静态的吗?

可以,NAT 网关上的公共 IP 地址是固定的,不会更改。

可以将多少个公共 IP 地址附加到 NAT 网关?

NAT 网关最多可以使用 16 个公共 IP 地址。 NAT 网关可以使用公共 IP 地址和公共 IP 前缀的任意组合,共计 16 个地址。 NAT 网关可支持以下前缀大小:/28(16 个地址)、/29(8 个地址)、/30(4 个地址)以及 /31(2 个地址)。

IPv6 公共 IP 地址是否可以与 NAT 网关配合使用?

不可以,NAT 网关不支持 IPv6 公共 IP 地址。 但是,你可以创建使用 NAT 网关和负载均衡器的双栈配置,以提供 IPv4 和 IPv6 出站连接。 有关详细信息,请参阅使用 NAT 网关和公共负载均衡器配置双栈出站连接

能否更改现有 NAT 网关的公共 IP?

否,无法更改现有公共 IP 的地址。 如果需要更改 NAT 网关上的公共 IP 地址,请参阅添加或删除公共 IP 地址以获取指导。

如果将多个公共 IP 地址分配给一个 NAT 网关,子网资源将使用哪些公共 IP?

子网资源可以使用附加到 NAT 网关的任一公共 IP 地址进行出站连接。 每次通过 NAT 网关建立新的出站连接时,都会随机选择出站公共 IP。

是否可以将某个 NAT 网关公共 IP 地址分配给指定 VM 或子网,专门用于出站连接?

否。 不支持将 IP 分配给配置 NAT 网关的子网中的指定子网或 VM 实例。

能否将一个 NAT 网关附加到多个虚拟网络?

一个 NAT 网关无法连接到多个虚拟网络。

能否将 NAT 网关附加到多个子网?

可以,NAT 网关最多可与虚拟网络中的 800 个子网相关联。 它不需要与虚拟网络中的所有子网相关联。

能否将 NAT 网关连接到网关子网?

否,NAT 网关无法与网关子网关联。

能否将多个 NAT 网关附加到单个子网?

否,NAT 网关基于子网的属性运行,因此无法将多个 NAT 网关附加到单个子网。

NAT 网关是否在中心辐射型网络体系结构中工作?

辐射虚拟网络的流量能够通过 NVA 或 Azure 防火墙路由到集中式中心虚拟网络。 然后,NAT 网关可以从集中式中心网络为所有辐射虚拟网络提供出站连接。 若要使用 NVA 在中心辐射型体系结构中设置 NAT 网关,请参阅在中心辐射型网络中使用 NAT 网关。 若要在中心辐射型设置中将 NAT 网关与 Azure 防火墙配合使用,请参阅将 NAT 网关与 Azure 防火墙集成

可用性区域

NAT 网关如何与可用性区域协同工作?

NAT 网关可以是区域级,也可以放置在“无区域”。有关详细信息,请参阅 Azure NAT 网关和可用性区域。 此外:

  • “非区域”NAT 网关将由 Azure 放置在一个区域中。
  • 创建 NAT 网关时,用户将区域 NAT 网关关联到特定区域。
  • NAT 网关的区域配置在部署后将无法更改。

是否可以将区域冗余的公共 IP 地址附加到 NAT 网关?

可将区域冗余的公共 IP 地址和前缀附加到无区域 NAT 网关或分配给特定可用性区域的 NAT 网关。 有关详细信息,请参阅 Azure NAT 网关和可用性区域

Azure NAT 网关和基本 SKU 资源

基本 SKU 资源(基本负载均衡器和基本公共 IP 地址)与 NAT 网关兼容吗?

否,NAT 网关与标准 SKU 资源兼容。 要了解详细信息,请参阅 Azure NAT 网关基础知识。 将基本负载均衡器和基本公共 IP 地址升级为标准,以便与 NAT 网关配合使用。 有关更多帮助:

连接超时和计时器

NAT 网关的空闲超时是什么?

对于 TCP 连接,空闲超时计时器默认为 4 分钟,最高可配置为 120 分钟。 如果需要保持长时间的连接流,请使用 TCP keepalives,而不是延长空闲超时计时器。 TCP keepalives 使活动连接保持更长的时间。

UDP 空闲超时计时器设置为 4 分钟,不可配置。

什么是 NAT 网关的 SNAT 端口重用行为?

关闭 TCP/UDP 连接后,端口将处于冷却期,直到再次使用此端口连接到同一目标终结点。 有关详细信息,请参阅 SNAT 端口重用计时器。 连接到其他目标的连接可以立即使用 SNAT 端口。 有关详细信息,请参阅 Azure NAT 网关的 SNAT

NAT 网关与其他 Azure 服务集成

能否将 NAT 网关与 Azure 应用服务一起使用?

可以,NAT 网关可与 Azure 应用服务一起使用,以允许应用程序将出站流量导向虚拟机的 Internet。 若要在 NAT 网关与 Azure 应用服务之间使用此集成,请务必启用区域虚拟网络集成。 有关如何将虚拟网络与 NAT 网关集成的指导,请参阅 Azure NAT 网关集成

能否将 NAT 网关与 Azure Kubernetes 服务一起使用?

是的。 有关 NAT 网关与 Azure Kubernetes 服务的集成的详细信息,请参阅托管 NAT 网关

能否将 NAT 网关与 Azure 防火墙一起使用?

可以,NAT 网关可与 Azure 防火墙一起使用。 当与 NAT 网关一起使用时,Azure 防火墙应采用区域性配置。 NAT 网关可以适配区域冗余防火墙,但目前不建议这样部署。 若要详细了解如何将 NAT 网关与 Azure 防火墙集成,请参阅使用 NAT 网关缩放 SNAT 端口

能否将 NAT 网关与 Azure 虚拟网络服务终结点或 Azure 专用链接一起使用?

可以,向拥有服务终结点的子网添加 NAT 网关不会影响该终结点。 虚拟网络服务终结点为它们表示的目标 Azure 服务流量启用更具体的路由。 服务终结点的流量会穿过 Azure 主干,而不是 Internet。 直接从 Azure 网络连接到 Azure 平台即服务 (PaaS) 服务时,建议通过服务终结点实现专用链接。

是否可以将 NAT 网关用于 Azure Databricks 工作区?

是的。 如果在工作区中启用安全群集连接,则 NAT 网关可以通过两种方式之一与 Azure Databricks 配合使用。

  • 如果将安全群集连接与 Azure Databricks 创建的默认虚拟网络结合使用,Azure Databricks 会自动为来自工作区子网的出站流量创建一个 NAT 网关。 NAT 网关是在 Azure Databricks 管理的托管资源组中创建的。 不能修改此资源组,也不能修改其中预配的任何资源。
  • 如果在使用虚拟网络注入的工作区上启用安全群集连接,则可在工作区的两个子网上部署 NAT 网关,以提供出站连接。 在这种情况下,可以修改配置以满足自定义的出站连接要求。 有关详细信息,请参阅安全群集连接