Share via

NAT 게이트웨이 및 Azure 서비스와의 아웃바운드 연결 문제 해결

  • 아티클

이 문서에서는 다음을 포함한 다른 Azure 서비스와 함께 NAT 게이트웨이를 사용하는 경우 연결 문제를 해결하는 방법에 대한 지침을 제공합니다.

Azure App Services

Azure App Service 지역 가상 네트워크 통합이 해제됨

애플리케이션이 가상 네트워크에서 아웃바운드 호출을 할 수 있도록 NAT Gateway를 Azure App Services와 함께 사용할 수 있습니다. Azure App Services와 NAT Gateway 간에 이 통합을 사용하려면 지역 가상 네트워크 통합을 사용하도록 설정해야 합니다. 자세한 내용은 지역 가상 네트워크 통합이 작동하는 방식을 참조하세요.

NAT Gateway를 Azure App Services와 함께 사용하려면 다음 단계를 수행하세요.

  1. 애플리케이션에 가상 네트워크 통합이 구성되어 있는지 확인합니다. 가상 네트워크 통합 사용을 참조하세요.

  2. 가상 네트워크 통합에 대해 모두 라우팅 이 사용하도록 설정되어 있는지 확인합니다. 가상 네트워크 통합 라우팅 구성을 참조하세요.

  3. NAT Gateway 리소스를 만듭니다.

  4. 새 공용 IP 주소를 만들거나 네트워크의 기존 공용 IP 주소를 NAT Gateway에 연결합니다.

  5. 애플리케이션과 가상 네트워크 통합에 사용되는 동일한 서브넷에 NAT 게이트웨이를 할당합니다.

가상 네트워크 통합을 사용하여 NAT 게이트웨이를 구성하는 방법에 대한 단계별 지침을 보려면 NAT 게이트웨이 통합 구성을 참조 하세요.

NAT 게이트웨이 및 Azure App Services 통합에 대한 중요 참고 사항:

  • 가상 네트워크 통합은 가상 네트워크에서 앱에 대한 인바운드 프라이빗 액세스를 제공하지 않습니다.

  • 가상 네트워크 통합 트래픽은 작동 방식의 특성으로 인해 Azure Network Watcher 또는 NSG(네트워크 보안 그룹) 흐름 로그에 표시되지 않습니다.

App Services가 NAT 게이트웨이 공용 IP 주소를 사용하여 아웃바운드에 연결하지 않음

가상 네트워크 통합이 사용하도록 설정되지 않은 경우에도 App Service는 여전히 아웃바운드 인터넷에 연결할 수 있습니다. 기본적으로 App Service에서 호스트된 앱은 인터넷을 통해 직접 액세스할 수 있으며 인터넷 호스트 엔드포인트만 연결할 수 있습니다. 자세한 내용은 App Services 네트워킹 기능을 참조 하세요.

아웃바운드를 연결하는 데 사용되는 IP 주소가 NAT 게이트웨이 공용 IP 주소 또는 주소가 아닌 경우 가상 네트워크 통합이 사용하도록 설정된 검사. NAT 게이트웨이가 애플리케이션과의 통합에 사용되는 서브넷으로 구성되었는지 확인합니다.

웹 애플리케이션이 NAT 게이트웨이 공용 IP를 사용하고 있는지 확인하려면 Web Apps 가상 머신을 ping하고 네트워크 캡처를 통해 트래픽을 확인합니다.

Azure Kubernetes Service

AKS(Azure Kubernetes Service) 클러스터를 사용하여 NAT 게이트웨이를 배포하는 방법

NAT 게이트웨이는 명시적 아웃바운드 연결을 허용하기 위해 AKS 클러스터와 함께 배포할 수 있습니다. NAT 게이트웨이를 AKS 클러스터와 함께 배포하는 방법에는 두 가지가 있습니다.

  • 관리형 NAT 게이트웨이: Azure는 AKS 클러스터를 만들 때 NAT 게이트웨이를 배포합니다. AKS는 NAT 게이트웨이를 관리합니다.

  • 사용자 할당 NAT 게이트웨이: AKS 클러스터에 대한 기존 가상 네트워크에 NAT 게이트웨이를 배포합니다.

관리형 NAT Gateway에서 자세히 알아봅니다.

AKS 클러스터에 대한 NAT 게이트웨이 IP 또는 유휴 시간 제한 타이머를 업데이트할 수 없음

공용 IP 주소 및 NAT 게이트웨이에 대한 유휴 시간 제한 타이머는 관리형 NAT 게이트웨이에 대한 명령으로 az aks update 만 업데이트할 수 있습니다.

AKS 서브넷에 사용자 할당 NAT 게이트웨이를 배포한 경우 명령을 사용하여 az aks update 공용 IP 주소 또는 유휴 시간 제한 타이머를 업데이트할 수 없습니다. 사용자가 사용자 할당 NAT 게이트웨이를 관리합니다. NAT 게이트웨이 리소스에서 이러한 구성을 수동으로 업데이트해야 합니다.

다음 단계에 따라 사용자 할당 NAT 게이트웨이에서 공용 IP 주소를 업데이트합니다.

  1. 리소스 그룹에서 포털의 NAT Gateway 리소스를 선택합니다.

  2. 왼쪽 탐색 모음의 설정에서 발신 IP를 선택합니다.

  3. 공용 IP 주소를 관리하려면 파란색 변경을 선택합니다.

  4. 오른쪽에서 슬라이드하는 공용 IP 주소 및 접두사 구성 관리의 드롭다운 메뉴에서 할당된 공용 IP를 업데이트하거나 새 공용 IP 주소 만들기를 선택합니다.

  5. IP 구성 업데이트가 완료되면 화면 아래쪽에서 확인 단추를 선택합니다.

  6. 구성 페이지가 사라지면 저장 단추를 선택하여 변경 내용을 저장합니다.

  7. 3-6단계를 반복하여 공용 IP 접두사에 대해 동일한 작업을 수행합니다.

다음 단계에 따라 사용자 할당 NAT 게이트웨이에서 유휴 시간 제한 타이머 구성을 업데이트합니다.

  1. 리소스 그룹에서 포털의 NAT 게이트웨이 리소스를 선택합니다.

  2. 왼쪽 탐색 모음의 설정에서 구성을 선택합니다.

  3. TCP 유휴 시간 초과(분) 텍스트 표시줄에서 유휴 시간 초과 타이머를 조정합니다(타이머는 4~120분으로 구성할 수 있음).

  4. 완료되면 저장 단추를 선택합니다.

참고 항목

TCP 유휴 시간 제한 타이머를 4분을 초과하도록 늘리면 SNAT 포트 소진 위험이 증가할 수 있습니다.

Azure Firewall

Azure Firewall과 아웃바운드를 연결할 때 SNAT(원본 네트워크 주소 변환) 고갈

Azure Firewall은 가상 네트워크에 아웃바운드 인터넷 연결을 제공할 수 있습니다. Azure Firewall은 공용 IP 주소당 SNAT 포트를 2,496개만 제공합니다. 송신 트래픽을 처리하기 위해 Azure Firewall을 최대 250개의 공용 IP 주소와 연결할 수 있지만 아웃바운드 연결을 위해 더 적은 공용 IP 주소가 필요할 수 있습니다. 공용 IP 주소가 적은 송신 요구 사항은 아키텍처 요구 사항 및 대상 엔드포인트의 허용 목록 제한 때문입니다.

아웃바운드 트래픽에 대한 확장성을 높이고 SNAT 포트 소모 위험을 줄이는 한 가지 방법은 Azure Firewall과 동일한 서브넷에서 NAT 게이트웨이를 사용하는 것입니다. Azure Firewall 서브넷에서 NAT 게이트웨이를 설정하는 방법에 대한 자세한 내용은 AZURE Firewall과 NAT 게이트웨이 통합을 참조하세요. NAT 게이트웨이가 Azure Firewall에서 작동하는 방법에 대한 자세한 내용은 Azure NAT Gateway를 사용하여 SNAT 포트 크기 조정을 참조 하세요.

참고 항목

NAT 게이트웨이는 vWAN 아키텍처에서 지원되지 않습니다. NAT 게이트웨이는 vWAN 허브의 Azure Firewall 서브넷에 구성할 수 없습니다.

Azure Databricks

NAT 게이트웨이를 사용하여 Databricks 클러스터에서 아웃바운드를 연결하는 방법

NAT 게이트웨이는 Databricks 작업 영역을 만들 때 Databricks 클러스터에서 아웃바운드를 연결하는 데 사용할 수 있습니다. NAT 게이트웨이는 다음 두 가지 방법 중 하나로 Databricks 클러스터에 배포할 수 있습니다.

  • Azure Databricks가 만드는 기본 가상 네트워크에서 보안 클러스터 커넥트ivity(공용 IP 없음)를 사용하도록 설정하면 Azure Databricks는 자동으로 NAT 게이트웨이를 배포하여 작업 영역의 서브넷에서 인터넷으로 아웃바운드를 연결합니다. Azure Databricks는 관리되는 리소스 그룹 내에 이 NAT 게이트웨이 리소스를 만들고 이 리소스 그룹 또는 배포된 다른 리소스를 수정할 수 없습니다.

  • 가상 네트워크 주입을 통해 자체 가상 네트워크에 Azure Databricks 작업 영역을 배포한 후 NAT 게이트웨이를 통해 아웃바운드 연결을 보장하기 위해 두 작업 영역의 서브넷에 NAT 게이트웨이를 배포하고 구성할 수 있습니다. 이 솔루션은 Azure 템플릿을 사용하거나 포털에서 구현할 수 있습니다.

다음 단계

이 문서에서 해결되지 않은 NAT 게이트웨이에 문제가 발생하는 경우 이 페이지 하단을 통해 GitHub를 통해 피드백을 제출합니다. 고객의 환경을 개선하기 위해 가능한 한 빨리 피드백을 처리합니다.

NAT Gateway에 대해 자세히 알아보려면 다음을 참조하세요.