Share via

Memecahkan masalah konektivitas keluar gateway NAT dan layanan Azure

  • Artikel

Artikel ini menyediakan panduan tentang cara memecahkan masalah konektivitas saat menggunakan gateway NAT dengan layanan Azure lainnya, termasuk:

Azure App Services

Integrasi jaringan virtual wilayah Azure App Services yang dinonaktifkan

Gateway NAT dapat digunakan dengan layanan aplikasi Azure untuk memungkinkan aplikasi melakukan panggilan keluar dari jaringan virtual. Untuk menggunakan integrasi ini antara layanan aplikasi Azure dan gateway NAT, integrasi jaringan virtual kawasan harus diaktifkan. Lihat cara kerja integrasi jaringan virtual regional untuk mempelajari selengkapnya.

Untuk menggunakan gateway NAT dengan layanan Aplikasi Azure, ikuti langkah-langkah ini:

  1. Pastikan aplikasi Anda memiliki integrasi jaringan virtual yang dikonfigurasi, lihat Mengaktifkan integrasi jaringan virtual.

  2. Pastikan bahwa Rutekan Semua diaktifkan untuk integrasi jaringan virtual Anda, lihat Mengonfigurasi perutean integrasi jaringan virtual.

  3. Membuat sumber daya gateway NAT.

  4. Buat alamat IP publik baru atau lampirkan alamat IP publik yang sudah ada di jaringan Anda ke gateway NAT.

  5. Tetapkan gateway NAT ke subnet yang sama yang digunakan untuk Integrasi jaringan virtual dengan aplikasi Anda.

Untuk melihat instruksi langkah demi langkah tentang cara mengonfigurasi gateway NAT dengan integrasi jaringan virtual, lihat Mengonfigurasi integrasi gateway NAT.

Catatan penting tentang integrasi gateway NAT dan Azure App Services:

  • Integrasi jaringan virtual tidak menyediakan akses privat masuk ke aplikasi Anda dari jaringan virtual.

  • Lalu lintas integrasi jaringan virtual tidak muncul di log alur Azure Network Watcher atau Network Security Group (NSG) karena sifat operasinya.

Layanan aplikasi tidak menggunakan alamat IP publik gateway NAT untuk menyambungkan keluar

Layanan aplikasi masih dapat terhubung keluar ke internet meskipun integrasi jaringan virtual tidak diaktifkan. Secara default, aplikasi yang di-hosting di App Service dapat diakses langsung melalui internet dan hanya dapat menjangkau titik akhir yang di-hosting internet. Untuk mempelajari selengkapnya, lihat Fitur Jaringan App Services.

Jika Anda melihat bahwa alamat IP yang digunakan untuk menyambungkan keluar bukan alamat IP publik gateway NAT atau alamat Anda, periksa apakah integrasi jaringan virtual diaktifkan. Pastikan gateway NAT dikonfigurasi ke subnet yang digunakan untuk integrasi dengan aplikasi Anda.

Untuk memvalidasi apakah aplikasi web menggunakan IP publik gateway NAT, lakukan ping ke VM di Web Apps Anda dan periksa lalu lintas melalui tangkapan jaringan.

Azure Kubernetes Service

Cara menyebarkan gateway NAT dengan kluster Azure Kubernetes Service (AKS)

Gateway NAT dapat disebarkan dengan kluster AKS untuk memungkinkan konektivitas keluar eksplisit. Ada dua cara berbeda untuk menyebarkan gateway NAT dengan kluster AKS:

  • Gateway NAT terkelola: Azure menyebarkan gateway NAT pada saat pembuatan kluster AKS. AKS mengelola gateway NAT.

  • Gateway NAT yang Ditetapkan Pengguna: Anda menyebarkan gateway NAT ke jaringan virtual yang ada untuk kluster AKS.

Pelajari lebih lanjut di NAT Gateway Terkelola.

Tidak dapat memperbarui IP gateway NAT saya atau timer batas waktu diam untuk kluster AKS

Alamat IP publik dan timer batas waktu diam untuk gateway NAT dapat diperbarui dengan az aks update perintah untuk gateway NAT terkelola SAJA.

Jika Anda menyebarkan gateway NAT yang Ditetapkan Pengguna ke subnet AKS Anda, maka Anda tidak dapat menggunakan az aks update perintah untuk memperbarui alamat IP publik atau timer batas waktu diam. Pengguna mengelola gateway NAT yang Ditetapkan Pengguna. Anda perlu memperbarui konfigurasi ini secara manual di sumber daya gateway NAT Anda.

Perbarui alamat IP publik Anda di gateway NAT yang Ditetapkan Pengguna Anda dengan langkah-langkah berikut:

  1. Di grup sumber daya Anda, pilih sumber daya gateway NAT Anda di portal.

  2. Di bawah Pengaturan di bilah navigasi sebelah kiri, pilih IP Keluar.

  3. Untuk mengelola alamat IP Publik Anda, pilih Ubah biru.

  4. Dari Kelola alamat IP publik dan konfigurasi prefiks yang muncul dari kanan, perbarui IP publik Anda yang ditetapkan, dari menu drop-down atau pilih Buat alamat IP publik baru.

  5. Setelah selesai memperbarui konfigurasi IP, pilih tombol OK di bagian bawah layar.

  6. Setelah halaman konfigurasi menghilang, pilih tombol Simpan untuk menyimpan perubahan Anda.

  7. Ulangi langkah 3 - 6 untuk melakukan hal yang sama untuk awalan IP publik.

Perbarui konfigurasi timer batas waktu diam di gateway NAT yang Ditetapkan Pengguna Anda dengan langkah-langkah berikut:

  1. Di grup sumber daya Anda, pilih sumber daya gateway NAT Anda di portal.

  2. Di bawah Pengaturan di bilah navigasi sebelah kiri, pilih Konfigurasi.

  3. Di bilah teks batas waktu diam (menit) TCP, sesuaikan timer batas waktu diam (timer dapat dikonfigurasi 4 – 120 menit).

  4. Pilih tombol Simpan setelah selesai.

Catatan

Meningkatkan timer batas waktu diam TCP menjadi lebih dari 4 menit dapat meningkatkan risiko kelelahan port SNAT.

Azure Firewall

Kelelahan Terjemahan Alamat Jaringan Sumber (SNAT) saat menyambungkan keluar dengan Azure Firewall

Azure Firewall dapat menyediakan konektivitas internet keluar ke jaringan virtual. Azure Firewall menyediakan hanya 2.496 port SNAT per alamat IP publik. Meskipun Azure Firewall dapat dikaitkan dengan hingga 250 alamat IP publik untuk menangani lalu lintas keluar, Anda mungkin memerlukan lebih sedikit alamat IP publik untuk menyambungkan keluar. Persyaratan untuk keluar dengan lebih sedikit alamat IP publik disebabkan oleh persyaratan arsitektur dan batasan daftar yang diizinkan oleh titik akhir tujuan.

Salah satu metode untuk memberikan skalabilitas yang lebih besar untuk lalu lintas keluar dan juga mengurangi risiko kelelahan port SNAT adalah menggunakan gateway NAT di subnet yang sama dengan Azure Firewall. Untuk informasi selengkapnya tentang cara menyiapkan gateway NAT di subnet Azure Firewall, lihat mengintegrasikan gateway NAT dengan Azure Firewall. Untuk informasi selengkapnya tentang cara kerja gateway NAT dengan Azure Firewall, lihat Menskalakan port SNAT dengan Azure NAT Gateway.

Catatan

Gateway NAT tidak didukung dalam arsitektur vWAN. Gateway NAT tidak dapat dikonfigurasi ke subnet Azure Firewall di hub vWAN.

Azure Databricks

Cara menggunakan gateway NAT untuk menyambungkan keluar dari kluster databricks

Gateway NAT dapat digunakan untuk menyambungkan keluar dari kluster databricks saat Anda membuat ruang kerja Databricks. Gateway NAT dapat disebarkan ke kluster databricks Anda dengan salah satu dari dua cara:

  • Saat Anda mengaktifkan Koneksi ivitas Kluster Aman (Tanpa IP Publik) pada jaringan virtual default yang dibuat Azure Databricks, Azure Databricks secara otomatis menyebarkan gateway NAT untuk menyambungkan keluar dari subnet ruang kerja Anda ke internet. Azure Databricks membuat sumber daya gateway NAT ini dalam grup sumber daya terkelola dan Anda tidak dapat mengubah grup sumber daya ini atau sumber daya lain yang disebarkan di dalamnya.

  • Setelah Anda menyebarkan ruang kerja Azure Databricks di jaringan virtual Anda sendiri (melalui injeksi jaringan virtual), Anda dapat menyebarkan dan mengonfigurasi gateway NAT ke kedua subnet ruang kerja Anda untuk memastikan konektivitas keluar melalui gateway NAT. Anda dapat menerapkan solusi ini menggunakan templat Azure atau di portal.

Langkah berikutnya

Jika Anda mengalami masalah dengan gateway NAT yang tidak diselesaikan oleh artikel ini, kirimkan umpan balik melalui GitHub melalui bagian bawah halaman ini. Kami membahas umpan balik Anda sesegera mungkin untuk meningkatkan pengalaman pelanggan kami.

Untuk mempelajari selengkapnya mengenai gateway NAT, lihat: