Solución de problemas de conectividad saliente con la puerta de enlace NAT y los servicios de Azure

En este artículo se proporcionan instrucciones sobre cómo solucionar problemas de conectividad al usar la puerta de enlace NAT con otros servicios de Azure, como:

• Azure App Services

• Azure Kubernetes Service

• Azure Firewall

• Azure Databricks

Azure App Services

La integración de la red virtual regional de Azure App Services está desactivada

La puerta de enlace NAT se puede usar con Azure App Service para permitir que las aplicaciones realicen llamadas salientes desde una red virtual. Para usar esta integración entre Azure App Service y la puerta de enlace NAT, se debe habilitar la integración de red virtual regional. Consulte Cómo funciona la integración de red virtual regional para más información.

Para usar la puerta de enlace NAT con Azure App Service, siga estos pasos:

1. Asegúrese de que las aplicaciones tengan configurada la integración de red virtual; consulte Habilitación de la integración de red virtual.

2. Asegúrese de que Route All (Enrutar todo) está habilitado para la integración con red virtual; consulte Configuración del enrutamiento de integración con red virtual.

3. Cree un recurso de puerta de enlace NAT.

4. Cree una nueva dirección IP pública o adjunte una dirección IP pública existente en su red a la puerta de enlace NAT.

5. Asigne la puerta de enlace NAT a la misma subred que se usa para la integración de red virtual con las aplicaciones.

Para ver instrucciones paso a paso sobre cómo configurar la puerta de enlace NAT con integración de red virtual, consulte Configuración de la integración de NAT Gateway.

Notas importantes sobre la puerta de enlace NAT y la integración de Azure App Services:

• La integración con red virtual no proporciona acceso privado de entrada a la aplicación desde la red virtual.

• El tráfico de integración de red virtual no aparece en los registros de flujo de Azure Network Watcher ni del grupo de seguridad de red (NSG) debido a la naturaleza de su funcionamiento.

App Services no usa la dirección IP pública de la puerta de enlace NAT para conectarse de salida

Los servicios de aplicaciones todavía pueden establecer una conexión de salida a Internet incluso si la integración con red virtual no está habilitada. De manera predeterminada, puedes acceder a las aplicaciones que están hospedadas en App Service directamente a través de la Internet, y estas solo pueden acceder a los puntos de conexión hospedados en Internet. Para obtener más información, consulte Características de redes de App Services.

Si observa que la dirección IP que se usa para conectar la salida no es la dirección IP pública o las direcciones de la puerta de enlace NAT, compruebe que se haya habilitado la integración de red virtual. Asegúrese de que la puerta de enlace NAT esté configurada en la subred que se usa para la integración con las aplicaciones.

Para validar que las aplicaciones web usan la dirección IP pública de la puerta de enlace NAT, haz ping a una máquina virtual en la Web Apps y comprueba el tráfico a través de una captura de red.

Azure Kubernetes Service

Implementación de una puerta de enlace NAT con clústeres de Azure Kubernetes Service (AKS)

La puerta de enlace NAT se puede implementar con clústeres de AKS para permitir la conectividad saliente explícita. Hay dos maneras diferentes de implementar los clústeres de NAT gateway con AKS:

• Puerta de enlace NAT administrada: Azure implementa una puerta de enlace NAT en el momento de la creación del clúster de AKS. AKS administra la puerta de enlace NAT.

• Puerta de enlace NAT asignada por el usuario: la puerta de enlace NAT se implementa en una red virtual existente para el clúster de AKS.

Obtén más información en Managed NAT Gateway.

No se pueden actualizar las direcciones IP de la puerta de enlace NAT ni el temporizador de tiempo de espera de inactividad de un clúster de AKS

Las direcciones IP públicas y el temporizador de tiempo de espera de inactividad de la puerta de enlace NAT se pueden actualizar con el comando az aks update SOLO para una puerta de enlace NAT administrada.

Si ha implementado una puerta de enlace NAT asignada por el usuario en las subredes de AKS, no puede usar el comando az aks update para actualizar las direcciones IP públicas ni el temporizador de tiempo de espera de inactividad. El usuario administra una puerta de enlace NAT asignada por el usuario. Debe actualizar estas configuraciones manualmente en el recurso de puerta de enlace NAT.

Actualiza las direcciones IP públicas en la puerta de enlace NAT de User-Assigned con los pasos siguientes:

1. En el grupo de recursos, seleccione el recurso de puerta de enlace NAT en el portal.

2. En Configuración en la barra de navegación de la izquierda, seleccione IP de salida.

3. Para administrar las direcciones IP públicas, seleccione la opción Cambiar en color azul.

4. En la configuración Administrar direcciones IP públicas y prefijos que se deslizan desde la derecha, actualiza las direcciones IP públicas asignadas en el menú desplegable o selecciona Crear una nueva dirección IP pública.

5. Una vez que haya terminado de actualizar las configuraciones de IP, selecciona el botón Aceptar en la parte inferior de la pantalla.

6. Una vez que la página de configuración desaparezca, seleccione el botón Guardar para guardar los cambios.

7. Repita los pasos del 3 al 6 para hacer lo mismo con los prefijos de IP pública.

Actualiza la configuración del temporizador de tiempo de espera de inactividad en la puerta de enlace NAT de User-Assigned con los pasos siguientes:

1. En el grupo de recursos, seleccione el recurso de puerta de enlace NAT en el portal.

2. En Configuración en la barra de navegación izquierda, seleccione Configuración.

3. En la barra de texto tiempo de espera de inactividad TCP (minutos), ajuste el temporizador de tiempo de espera de inactividad (el temporizador se puede configurar de 4 a 120 minutos).

4. Selecciona el botón Guardar cuando hayas terminado.

Nota

Aumentar el tiempo de espera de inactividad de TCP a más de 4 minutos puede aumentar el riesgo de agotamiento de puertos SNAT.

Azure Firewall

Agotamiento de traducción de direcciones de red de origen (SNAT) en la conexión de salida con Azure Firewall

Azure Firewall puede proporcionar conectividad saliente a Internet a redes virtuales. Azure Firewall proporciona solamente 2.496 puertos SNAT por dirección IP pública. Aunque Azure Firewall se puede asociar a hasta 250 direcciones IP públicas para controlar el tráfico de salida, es posible que necesite menos direcciones IP públicas para la conexión de salida. El requisito de salida con menos direcciones IP públicas se debe a los requisitos arquitectónicos y a las limitaciones de la lista de permitidos por los puntos de conexión de destino.

Un método para proporcionar mayor escalabilidad para el tráfico saliente y también reducir el riesgo de agotamiento de puertos SNAT es usar la puerta de enlace NAT en la misma subred con Azure Firewall. Para obtener más información sobre cómo configurar una puerta de enlace NAT en una subred de Azure Firewall, consulte Integración de NAT Gateway con Azure Firewall. Para obtener más información sobre el funcionamiento de NAT Gateway con Azure Firewall, consulte Escalado de puertos SNAT con Azure NAT Gateway.

Nota:

La puerta de enlace NAT no se admite en una arquitectura de vWAN. La puerta de enlace NAT no se puede configurar en una subred de Azure Firewall en un centro de vWAN.

Azure Databricks

Uso de la puerta de enlace NAT para conectarse desde un clúster de Databricks

La puerta de enlace NAT se puede usar para conectarse desde el clúster de Databricks al crear el área de trabajo de Databricks. La puerta de enlace NAT se puede implementar en el clúster de Databricks de una de estas dos maneras:

• Al habilitar la conectividad segura del clúster (sin IP pública) en la red virtual predeterminada que crea Azure Databricks, Azure Databricks implementa automáticamente una puerta de enlace NAT para la conexión de salida desde las subredes del área de trabajo a Internet. Azure Databricks crea este recurso de puerta de enlace NAT dentro del grupo de recursos administrado y no puede modificar este grupo de recursos ni ningún otro recurso implementado en él.

• Después de implementar el área de trabajo de Azure Databricks en su propia red virtual (mediante la inserción de red virtual), puede implementar y configurar la puerta de enlace NAT en ambas subredes del área de trabajo para garantizar la conectividad de salida a través de la puerta de enlace NAT. Puedes implementar esta solución mediante una plantilla de Azure o en el portal.

Pasos siguientes

Si tiene problemas con la puerta de enlace NAT no resueltos por este artículo, envíe los comentarios mediante GitHub desde la parte inferior de esta página. Abordamos sus comentarios lo antes posible para mejorar la experiencia de nuestros clientes.

Para obtener más información sobre NAT Gateway, consulte:

• Azure NAT Gateway

• Diseño de redes virtuales con recursos de puertas de enlace de NAT

• Métricas de Azure Virtual Network NAT