Domande frequenti sul gateway NAT di Azure

Il gateway NAT di Azure è una soluzione di connettività in uscita completamente gestita e altamente resiliente per le reti virtuali di Azure. Per ottenere connettività in uscita sicura e scalabile, collegare un gateway NAT alle subnet all'interno di una rete virtuale e almeno un indirizzo IP pubblico statico.

Vedere Prezzi del gateway NAT di Azure.

Vedere Limiti del gateway NAT di Azure.

Il numero di risorse del gateway NAT consentite per sottoscrizione per area varia in base al tipo di categoria dell'offerta, ad esempio versione di valutazione gratuita, con pagamento in base al consumo, Cloud Solution Provider (CSP) e Contratto Enterprise. Contratto Enterprise e i tipi di offerta CSP possono avere fino a 1.000 risorse del gateway NAT. I tipi di offerta sponsorizzati e con pagamento in base al consumo possono avere fino a 100 risorse gateway NAT. Tutti gli altri tipi di offerta, ad esempio la versione di valutazione gratuita, possono avere fino a 15 risorse del gateway NAT.

No, non è possibile usare una risorsa gateway NAT con più sottoscrizioni alla volta. Per istruzioni dettagliate, vedere Creare e configurare un gateway NAT dopo lo spostamento di un'area.

No, non è possibile spostare un gateway NAT tra sottoscrizioni, aree o gruppi di risorse. È necessario creare un nuovo gateway NAT per l'altra sottoscrizione, area o gruppo di risorse.

Un gateway NAT fornisce connettività in uscita da una rete virtuale. Il traffico restituito in risposta diretta a un flusso in uscita può anche passare attraverso un gateway NAT. Nessun traffico in ingresso direttamente da Internet può passare attraverso un gateway NAT.

I log dei flussi del gruppo di sicurezza di rete (NSG) possono essere usati per monitorare il flusso del traffico da una risorsa in una subnet o in una rete virtuale usando un gateway NAT per passare in uscita.

Usare Centro sicurezza di Azure e seguire le raccomandazioni sulla protezione di rete per proteggere le risorse di rete di Azure. Abilitare i log dei flussi del gruppo di sicurezza di rete e inviare i log a un account Archiviazione di Azure per il controllo. È anche possibile inviare i log dei flussi a un'area di lavoro Log Analytics e quindi usare Analisi del traffico per fornire informazioni dettagliate sui modelli di traffico nel cloud di Azure. Alcuni vantaggi di Analisi del traffico sono la possibilità di visualizzare l'attività di rete, identificare le aree sensibili e le minacce alla sicurezza, comprendere i modelli di flusso del traffico e individuare errori di configurazione della rete.

Per eliminare una risorsa gateway NAT, la risorsa deve prima essere disassociata dalla subnet. Dopo aver disassociato la risorsa del gateway NAT da tutte le subnet, può essere eliminata. Per indicazioni, vedere Rimuovere una risorsa gateway NAT da una subnet esistente ed eliminare la risorsa.

No, un gateway NAT non supporta la frammentazione IP per TCP (Transmission Control Protocol) o UDP (User Datagram Protocol).

La metrica SNAT Connessione ion Count mostra il numero di nuove connessioni SNAT (Network Address Translation) di origine effettuate al secondo. La metrica Total SNAT Connessione ion Count mostra il numero totale di connessioni attive in una risorsa gateway NAT.

Non esiste alcuna metrica di utilizzo delle porte SNAT per un gateway NAT. Usare le metriche SNAT Connessione ion Count e Total SNAT Connessione ion Count per valutare la capacità SNAT della risorsa gateway NAT.

Le metriche del gateway NAT possono essere recuperate usando l'API REST delle metriche. In alternativa, è possibile selezionare Condividi e quindi Scarica in Excel dal riquadro metriche del gateway NAT nel portale di Azure.

No, le metriche del gateway NAT non possono essere esportate usando le impostazioni di diagnostica. Le metriche del gateway NAT sono multidimensionali. Le impostazioni di diagnostica non supportano l'esportazione delle metriche multidimensionali.

Un gateway NAT si connette automaticamente a Internet in uscita dopo essere stato collegato a un indirizzo IP pubblico o un prefisso e una subnet. Un gateway NAT ha la priorità su Azure Load Balancer con regole in uscita, indirizzi IP pubblici a livello di istanza in macchine virtuali e Firewall di Azure per la connettività in uscita.

No, non ci sono interruzioni nelle connessioni. Le connessioni esistenti con il servizio in uscita precedente (Load Balancer, Firewall di Azure, indirizzi IP pubblici a livello di istanza) continuano a funzionare fino alla chiusura di tali connessioni. Dopo l'aggiunta di un gateway NAT alla subnet della rete virtuale, tutte le nuove connessioni usano un gateway NAT per stabilire connessioni in uscita.

No, un indirizzo IP pubblico di un gateway NAT non può connettersi direttamente a un indirizzo IP privato tramite Internet.

Tutte le connessioni attive associate a un indirizzo IP pubblico terminano quando viene rimosso l'indirizzo IP pubblico. Se la risorsa gateway NAT ha più indirizzi IP pubblici, il nuovo traffico viene distribuito tra gli indirizzi IP assegnati.

Esistono alcuni possibili motivi per cui è possibile visualizzare un indirizzo IP diverso usato per connettersi in uscita rispetto a quello associato al gateway NAT. Per risolvere i problemi, vedere la guida alla risoluzione dei problemi di connettività del gateway NAT di Azure.

Un gateway NAT usa il percorso Internet predefinito del sistema di una subnet per instradare il traffico a Internet. Il traffico non passa attraverso un gateway NAT se viene creata una route definita dall'utente per indirizzare il traffico 0.0.0.0/0 al tipo di hop successivo o a un gateway di rete virtuale.

Non è necessaria alcuna configurazione nella tabella di route della subnet per avviare la connessione in uscita con un gateway NAT. Quando un gateway NAT viene assegnato a una subnet, il gateway NAT diventa il tipo di hop successivo per tutto il traffico destinato a Internet. Il traffico può iniziare a connettersi in uscita a Internet non appena il gateway NAT viene assegnato a una subnet e almeno un indirizzo IP pubblico.

Sì, un gateway NAT può essere distribuito senza un indirizzo IP pubblico o un prefisso e una subnet. Tuttavia, non è operativo finché non si collega almeno un indirizzo IP pubblico o un prefisso e una subnet.

Sì, gli indirizzi IP pubblici nel gateway NAT sono corretti e non cambiano.

Un gateway NAT può usare fino a 16 indirizzi IP pubblici. Un gateway NAT può usare qualsiasi combinazione di indirizzi IP pubblici e prefissi IP pubblici per un totale di 16 indirizzi. Un gateway NAT può supportare le dimensioni di prefisso seguenti: /28 (16 indirizzi), /29 (8 indirizzi), /30 (4 indirizzi) e /31 (2 indirizzi).

È possibile usare prefissi e indirizzi IP pubblici derivati da prefissi IP personalizzati, noti anche come BRING Your Own IP (BYOIP), con il gateway NAT. Per altre informazioni, vedere Prefisso dell'indirizzo IP personalizzato (BYOIP).

No, un gateway NAT non supporta gli indirizzi IP pubblici IPv6. È tuttavia possibile avere una configurazione dual stack con un gateway NAT e un servizio di bilanciamento del carico per fornire connettività in uscita IPv4 e IPv6. Per altre informazioni, vedere Configurare la connettività in uscita dual stack con un gateway NAT e un servizio di bilanciamento del carico pubblico.

No, un gateway NAT non supporta gli indirizzi IP pubblici con la preferenza di routing "Internet". Per visualizzare un elenco dei servizi di Azure che supportano il tipo di configurazione di routing "Internet" negli indirizzi IP pubblici, vedere Servizi supportati per il routing su Internet pubblico.

No, un gateway NAT non supporta gli indirizzi IP pubblici con la protezione DDoS abilitata. Per altre informazioni, vedere Limitazioni DDoS.

No, l'indirizzo di un indirizzo IP pubblico esistente non può essere modificato. Se è necessario modificare l'indirizzo IP pubblico nel gateway NAT, vedere Aggiungere o rimuovere un indirizzo IP pubblico per indicazioni.

Le risorse della subnet possono usare uno qualsiasi degli indirizzi IP pubblici collegati al gateway NAT per la connettività in uscita. Ogni volta che viene stabilita una nuova connessione in uscita tramite un gateway NAT, l'indirizzo IP pubblico in uscita viene selezionato in modo casuale.

No. L'assegnazione IP a subnet o istanze di vm specifiche in una subnet configurata dal gateway NAT non è supportata.

No, non è possibile collegare un gateway NAT a più reti virtuali.

Sì, un gateway NAT può essere associato a un massimo di 800 subnet in una rete virtuale. Non è necessario associare tutte le subnet all'interno di una rete virtuale.

No, non è possibile associare un gateway NAT a una subnet del gateway .

No, un gateway NAT opera in base alle proprietà della subnet, quindi non è possibile collegare più gateway NAT a una singola subnet.

Il traffico dalle reti virtuali spoke può essere instradato alla rete virtuale hub centralizzata tramite un'appliance virtuale di rete o Firewall di Azure. Un gateway NAT può quindi fornire connettività in uscita per tutte le reti virtuali spoke dalla rete hub centralizzata. Per configurare un gateway NAT in un'architettura hub-spoke con appliance virtuali di rete, vedere Usare un gateway NAT in una rete hub-spoke. Per usare un gateway NAT con Firewall di Azure in una configurazione hub-spoke, vedere Integrare un gateway NAT con Firewall di Azure.

Un gateway NAT può essere zonale o inserito in "nessuna zona". Per altre informazioni, vedere Gateway NAT di Azure e zone di disponibilità. In aggiunta:

• Un gateway NAT senza zona viene inserito in una zona per l'utente da Azure.
• Un gateway NAT di zona è associato a una zona specifica dall'utente quando viene creato il gateway NAT.
• La configurazione di zona di un gateway NAT non può essere modificata dopo la distribuzione.

Gli indirizzi IP pubblici e i prefissi con ridondanza della zona possono essere collegati a un gateway NAT senza zona o a un gateway NAT assegnato a una zona di disponibilità specifica. Per altre informazioni, vedere Gateway NAT di Azure e zone di disponibilità.

No, un gateway NAT è compatibile con le risorse SKU standard. Per altre informazioni, vedere Nozioni di base sul gateway NAT di Azure. Aggiornare il servizio di bilanciamento del carico di base e l'indirizzo IP pubblico di base allo standard per l'uso con un gateway NAT. Per altre informazioni:

• Per aggiornare un servizio di bilanciamento del carico basic allo standard, vedere Aggiornare il servizio di bilanciamento del carico pubblico di Azure.
• Per aggiornare un indirizzo IP pubblico di base allo standard, vedere Aggiornare un indirizzo IP pubblico.
• Per aggiornare un indirizzo IP pubblico di base con una macchina virtuale collegata a standard, vedere Aggiornare un indirizzo IP pubblico di base con una macchina virtuale collegata.

Per le connessioni TCP, per impostazione predefinita il timer di timeout di inattività è di 4 minuti ed è configurabile fino a 120 minuti. Se è necessario mantenere flussi di connessione lunghi, usare keep-alives TCP invece di estendere il timer di timeout di inattività. I keep-alives TCP mantengono le connessioni attive per un periodo più lungo.

Il timer di timeout di inattività UDP è impostato su 4 minuti e non è configurabile.

Quando una connessione TCP/UDP viene chiusa, la porta viene inserita in un periodo di raffreddamento prima che possa essere riutilizzata per connettersi allo stesso endpoint di destinazione. Per altre informazioni, vedere Timer di riutilizzo delle porte SNAT. Connessione ions che passano a una destinazione diversa possono usare immediatamente una porta SNAT. Per altre informazioni, vedere SNAT con gateway NAT di Azure.

Sì, è possibile usare un gateway NAT con app Azure Servizio per consentire alle applicazioni di indirizzare il traffico in uscita verso Internet da una rete virtuale. Per usare questa integrazione tra un gateway NAT e un servizio app Azure, è necessario abilitare l'integrazione della rete virtuale a livello di area. Per indicazioni su come abilitare l'integrazione della rete virtuale con un gateway NAT, vedere Integrazione del gateway NAT di Azure.

Sì. Per altre informazioni sull'integrazione del gateway NAT con servizio Azure Kubernetes, vedere Gateway NAT gestito.

Sì, è possibile usare un gateway NAT con Firewall di Azure. Quando Firewall di Azure viene usato con un gateway NAT, deve trovarsi in una configurazione di zona. Un gateway NAT funziona con un firewall con ridondanza della zona, ma al momento non è consigliabile eseguire la distribuzione. Per altre informazioni sull'integrazione del gateway NAT con Firewall di Azure, vedere Ridimensionare le porte SNAT con un gateway NAT.

Sì, l'aggiunta di un gateway NAT a una subnet con endpoint di servizio non influisce sugli endpoint. Rete virtuale gli endpoint di servizio consentono una route più specifica per il traffico del servizio di Azure di destinazione rappresentato. Il traffico per l'endpoint di servizio attraversa il backbone di Azure anziché Internet. È consigliabile collegamento privato sugli endpoint di servizio quando ci si connette alla piattaforma distribuita come servizio (PaaS) di Azure direttamente dalla rete di Azure.

Sì. Se si abilita la connettività sicura del cluster nell'area di lavoro, è possibile usare un gateway NAT con Azure Databricks in uno dei due modi seguenti:

• Se si usa la connettività cluster sicura con la rete virtuale predefinita creata da Azure Databricks, Azure Databricks crea automaticamente un gateway NAT per il traffico in uscita dalle subnet dell'area di lavoro. Il gateway NAT viene creato all'interno del gruppo di risorse gestite gestito gestito da Azure Databricks. Non è possibile modificare questo gruppo di risorse o le risorse di cui è stato effettuato il provisioning.
• Se si abilita la connettività sicura del cluster nell'area di lavoro che usa l'inserimento della rete virtuale, è possibile distribuire un gateway NAT in entrambe le subnet dell'area di lavoro per fornire connettività in uscita. In questo caso è possibile modificare la configurazione per i requisiti di connettività in uscita personalizzati. Per altre informazioni, vedere Proteggere la connettività del cluster.

Passaggi successivi

Se la domanda non è elencata qui, inviare commenti e suggerimenti su questa pagina con la domanda. Queste informazioni creeranno un problema di GitHub per il team del prodotto per assicurarsi che tutte le domande dei clienti di valore siano risposte.