編輯

Share via

Azure NAT 閘道的常見問題

  • 常見問題集

以下是使用 Azure NAT 閘道的常見問題的一些解答。

Azure NAT 閘道基本知識

什麼是 Azure NAT Gateway?

Azure NAT 閘道是 Azure 虛擬網路的完全受控、高度復原的輸出連線解決方案。 若要達到安全且可調整的輸出連線能力,請將NAT閘道連結至虛擬網路內的子網,以及至少一個靜態公用IP位址。

Azure NAT 閘道的定價為何?

請參閱 Azure NAT 閘道定價

Azure NAT 閘道的已知限制為何?

請參閱 Azure NAT 閘道限制

每個訂用帳戶允許多少 NAT 閘道資源?

每個區域每個訂用帳戶允許的 NAT 閘道資源數目會根據供應專案類別類型而有所不同,例如免費試用、隨用隨付、雲端解決方案提供者(CSP)和 Enterprise 合約。 Enterprise 合約 和 CSP 供應項目類型最多可以有 1,000 個 NAT 閘道資源。 贊助和隨用隨付供應項目類型最多可以有100個NAT閘道資源。 所有其他供應項目類型,例如免費試用,最多可以有15個NAT閘道資源。

NAT 閘道是否可以跨訂用帳戶使用?

否,NAT 閘道資源一次不能搭配多個訂用帳戶使用。 如需逐步指引,請參閱 在區域移動后建立和設定NAT閘道。

NAT 閘道是否可以從區域/訂用帳戶/資源群組移至另一個?

否,NAT 閘道無法跨訂用帳戶、區域或資源群組移動。 必須針對其他訂用帳戶、區域或資源群組建立新的 NAT 閘道。

NAT 閘道是否可以用來連線輸入?

NAT 閘道會從虛擬網路提供輸出連線。 直接響應輸出流程的流量也可以通過NAT閘道。 沒有直接從因特網傳入的輸入流量可以通過 NAT 閘道。

如何取得 NAT 閘道資源的記錄?

網路安全組 (NSG) 流量記錄可用來監視來自子網/虛擬網路中資源的流量流量,方法是使用NAT閘道進行輸出。

使用 Azure 資訊安全中心並遵循網路保護建議,以協助保護 Azure 網路資源。 啟用 NSG 流量記錄,並將記錄傳送至 Azure 儲存體 帳戶以進行稽核。 您亦可將流量記錄傳送到 Log Analytics 工作區,並使用流量分析來提供對 Azure 雲端流量模式的見解。 流量分析的優點包括能視覺化網路活動、識別作用點和安全性威脅、了解流量模式並找到錯誤的網路設定。

如何刪除 NAT 閘道資源?

若要刪除 NAT 閘道資源,必須先解除資源和子網路間的關聯。 NAT 閘道資源與所有子網解除關聯之後,就可以刪除它。 如需指引,請參閱 從現有的子網移除 NAT 閘道資源並刪除資源

NAT 閘道是否支援IP片段?

否,NAT 閘道不支援傳輸控制通訊協定 (TCP) 或使用者資料報通訊協定 (UDP) 的 IP 片段。

NAT 閘道計量

SNAT 連線 ion Count 和 NAT 閘道的 SNAT 連線 ion Count 計量有何差異?

SNAT 連線 ion Count 計量會顯示每秒建立的新來源網路位址轉換 (SNAT) 連線數目。 SNAT 連線 ion Count 計量會顯示 NAT 閘道資源上作用中連線的總數。

如何查看 NAT 閘道上的 SNAT 連接埠使用量?

NAT 閘道沒有 SNAT 埠使用計量。 使用 SNAT 連線 ion Count 和 Total SNAT 連線 ion Count 計量,協助您評估 NAT 閘道資源的 SNAT 容量。

如何長期儲存 NAT 閘道計量?

您可以使用計量 REST API 來擷取 NAT 閘道計量。 或者,您也可以從 Azure 入口網站 的 [NAT 閘道計量] 窗格中選取 [共用],然後[下載至 Excel]。

可以使用診斷設定來擷取 NAT 閘道計量嗎?

否,無法使用診斷設定導出NAT閘道計量。 NAT 閘道計量是多維度。 診斷設定不支持導出 多維度計量

與 NAT 閘道的輸出連線

如何在目前使用不同的服務進行輸出的設定中,使用NAT閘道來連線輸出?

NAT 閘道會在附加至公用IP位址或前置詞和子網之後,自動連線到因特網。 NAT 閘道優先於具有輸出規則的 Azure Load Balancer、虛擬機上的實例層級公用 IP 位址,以及輸出連線 Azure 防火牆。

將 NAT 閘道連結至目前用於輸出連線的不同服務的子網後,連線是否中斷?

否,連線不會中斷。 與先前輸出服務的現有連線(Load Balancer、Azure 防火牆、實例層級公用 IP 位址)會繼續運作,直到這些連線關閉為止。 將 NAT 閘道新增至虛擬網路的子網之後,所有新的連線都會使用 NAT 閘道來進行輸出連線。

NAT 閘道公用 IP 是否可以透過網際網路直接連線到私人 IP 位址?

否,NAT 閘道的公用IP位址無法透過因特網直接連線到私人IP。

如果將多個公用IP位址指派給NAT閘道資源,當移除其中一個IP位址時,流量是否會中斷?

拿掉公用IP位址時,與公用IP位址相關聯的任何作用中聯機都會終止。 如果 NAT 閘道資源有多個公用 IP,新的流量會散發在指派的 IP 之間。

當我看到用來連線輸出的IP與NAT閘道公用IP不同時,這是什麼意思?

有幾個可能的原因,原因是您可能會看到不同的IP用來連線輸出,而不是與NAT閘道相關聯的IP。 若要協助進行疑難解答,請參閱 Azure NAT 網關聯機疑難解答指南

流量路由

如果我強制通道 0.0.0.0/0(因特網)流量流向 NVA、Azure VPN 閘道 或 Azure ExpressRoute,NAT 閘道會發生什麼情況?

NAT 閘道會使用子網的系統預設因特網路徑,將流量路由傳送至因特網。 如果建立使用者定義的路由以將 0.0.0.0/0 流量導向至下一個躍點類型網路虛擬設備 (NVA) 或虛擬網路網關,流量就不會通過 NAT 閘道。

子網路由表上必須進行哪些設定,才能與 NAT 網關聯機輸出?

不需要子網路由表上的設定,即可開始與 NAT 網關聯機輸出。 將 NAT 閘道指派給子網時,NAT 閘道會成為所有因特網目的地流量的下一個躍點類型。 一旦 NAT 閘道指派給子網和至少一個公用IP位址,流量就可以開始連線到因特網。

NAT 閘道設定

是否可以在沒有公用IP位址或子網的情況下部署NAT閘道?

是,不需要公用IP位址或前綴和子網,即可部署NAT閘道。 不過,在您附加至少一個公用IP位址或前置詞和子網之前,才能運作。

NAT 閘道公開 IP 位址是靜態的嗎?

是,NAT 閘道上的公用IP位址已修正且不會變更。

有多少公用IP位址可以連結至NAT閘道?

NAT 閘道最多可使用 16 個公用 IP 位址。 NAT 閘道可以使用公用IP位址和總計16個位址的公用IP前置的任何組合。 NAT 閘道可以支援下列前置詞大小:/28(16 個位址)、/29(8 個位址)、/30 (4 個位址)和 /31 (2 個位址)。

如何將自定義IP前綴 (BYOIP) 與 NAT 閘道搭配使用?

您可以使用公用IP前綴和衍生自自定義IP前綴的位址,也稱為攜帶您自己的IP(BYOIP),搭配NAT閘道。 若要深入瞭解,請參閱 自訂 IP 位址前置碼 (BYOIP)

IPv6 公用IP位址可以搭配 NAT 閘道使用嗎?

否,NAT 閘道不支援 IPv6 公用 IP 位址。 不過,您可以使用 NAT 閘道和負載平衡器來提供 IPv4 和 IPv6 輸出連線的雙堆棧組態。 如需詳細資訊,請參閱 使用NAT閘道和公用負載平衡器設定雙堆棧輸出連線。

具有路由喜好設定的公用IP位址是否可以與NAT閘道搭配使用?

否,NAT 閘道不支援路由喜好設定為「因特網」的公用IP位址。若要查看在公用IP上支援路由組態類型「因特網」的 Azure 服務清單,請參閱 支援透過公用因特網路由的服務。

已啟用 DDoS 保護的公用 IP 位址是否可以與 NAT 閘道搭配使用?

否,NAT 閘道不支援已啟用 DDoS 保護的公用 IP 位址。 如需詳細資訊,請參閱 DDoS 限制

是否可以變更現有 NAT 閘道的公用 IP?

否,無法變更現有公用 IP 的位址。 如果您需要變更 NAT 閘道上的公用 IP 位址,請參閱 新增或移除公用 IP 位址 以取得指引。

如果將多個公用IP位址指派給NAT閘道,我的子網資源會使用哪一個公用IP?

您的子網資源可以使用連結至 NAT 閘道的任何公用 IP 位址來進行輸出連線。 每次透過 NAT 閘道建立新的輸出連線時,都會隨機選取輸出公用IP。

我可以將其中一個 NAT 閘道公用 IP 位址指派給特定 VM 或子網,以專門用來連線輸出嗎?

否。 不支援將IP指派給NAT閘道所設定子網中的特定子網或 VM 實例。

NAT 閘道可以連結至多個虛擬網路嗎?

否,NAT 閘道無法連結至多個虛擬網路。

NAT 閘道是否可以連結至多個子網?

是,NAT 閘道可以與虛擬網路中的最多800個子網相關聯。 不需要與虛擬網路內的所有子網路建立關聯。

NAT 閘道可以連結至閘道子網嗎?

否,NAT 閘道無法與 閘道 子網相關聯。

是否可以將多個 NAT 閘道連結至單一子網路?

否,NAT 閘道會根據子網的屬性運作,因此無法將多個NAT閘道附加至單一子網。

NAT 閘道是否在中樞和輪輻網路架構中運作?

來自輪輻虛擬網路的流量可以透過 NVA 或 Azure 防火牆 路由傳送至集中式中樞虛擬網路。 NAT 閘道接著可以為來自集中式中樞網路的所有輪輻虛擬網路提供輸出連線。 若要使用 NVA 在中樞和輪輻架構中設定 NAT 閘道,請參閱 在中樞和輪輻網路中使用 NAT 閘道。 若要在中樞和輪輻設定中使用具有 Azure 防火牆 的 NAT 閘道,請參閱整合 NAT 閘道與 Azure 防火牆

可用性區域

NAT 閘道如何搭配可用性區域運作?

NAT 閘道可以是區域或放置在「無區域」中。如需詳細資訊,請參閱 Azure NAT 閘道和可用性區域。 此外:

  • Azure 會將無區域 NAT 閘道放在區域中。
  • 區域性 NAT 閘道會在建立時由使用者關聯至特定區域。
  • 部署之後,就無法變更 NAT 閘道的分區設定。

區域備援公用 IP 位址是否可以連結至 NAT 閘道?

區域備援公用IP位址和前置詞可以附加至無區域NAT閘道或指派給特定可用性區域的NAT閘道。 如需詳細資訊,請參閱 Azure NAT 閘道和可用性區域

Azure NAT 閘道和基本 SKU 資源

基本 SKU 資源 (基本負載平衡器和基本公用 IP 位址) 是否與 NAT 閘道相容?

否,NAT 閘道與標準 SKU 資源相容。 若要深入瞭解,請參閱 Azure NAT 閘道基本概念。 將您的基本負載平衡器和基本公用IP位址升級為標準,以使用NAT閘道。 如需更多說明:

連線 逾時和定時器

NAT 閘道的閒置逾時為何?

針對 TCP 連線,閒置逾時定時器預設為 4 分鐘,且可設定最多 120 分鐘。 如果您需要維護長連線流程,請使用 TCP keepalives,而不是擴充閑置逾時定時器。 TCP Keepalives 會維護長時間的作用中聯機。

UDP 閑置逾時定時器設定為 4 分鐘,且無法設定。

NAT 閘道的 SNAT 埠重複使用行為為何?

當 TCP/UDP 連線關閉時,埠會置於非經常性存取期間,才能重複使用以連線到相同的目的地端點。 如需詳細資訊,請參閱 SNAT 埠重複使用定時器。 前往不同目的地的 連線 可以立即使用 SNAT 埠。 如需詳細資訊,請參閱 使用 Azure NAT 閘道的 SNAT。

NAT 閘道與其他 Azure 服務整合

我可以搭配使用 NAT 閘道搭配 Azure App 服務 嗎?

是,NAT 閘道可與 Azure App 服務 搭配使用,以允許應用程式從虛擬網路將輸出流量導向因特網。 若要在 NAT 閘道與 Azure App 服務 之間使用此整合,必須啟用區域虛擬網路整合。 如需如何啟用虛擬網路與 NAT 閘道整合的指引,請參閱 Azure NAT 閘道整合

我可以搭配 Azure Kubernetes Service 使用 NAT 閘道嗎?

是。 如需 NAT 閘道與 Azure Kubernetes Service 整合的詳細資訊,請參閱 受控 NAT 閘道

是否可以搭配使用 NAT 閘道搭配 Azure 防火牆?

是,NAT 閘道可以搭配 Azure 防火牆 使用。 當 Azure 防火牆 與 NAT 閘道搭配使用時,它應該位於區域設定中。 NAT 閘道適用於區域備援防火牆,但我們目前不建議部署。 如需 NAT 閘道與 Azure 防火牆 整合的詳細資訊,請參閱使用 NAT 閘道調整 SNAT 埠。

我可以搭配 Azure 虛擬網絡 服務端點或 Azure Private Link 使用 NAT 閘道嗎?

是,將 NAT 閘道新增至具有服務端點的子網不會影響端點。 虛擬網路服務端點會為其代表的目的地 Azure 服務流量,啟用更明確的路由。 服務端點的流量會周遊 Azure 骨幹,而不是網際網路。 當您直接從 Azure 網路連線到 Azure 平臺即服務(PaaS)時,建議您透過服務端點使用 Private Link。

是否可以搭配 Azure Databricks 工作區使用 NAT 閘道?

是。 如果您在工作區中啟用安全的叢集連線,NAT 閘道可以使用下列兩種方式之一與 Azure Databricks 搭配使用:

  • 如果您使用安全的叢集連線與 Azure Databricks 所建立的預設虛擬網路,Azure Databricks 會自動建立 NAT 閘道,以便從工作區的子網輸出流量。 NAT 閘道會在 Azure Databricks 管理的受控資源群組內建立。 您無法修改此資源群組或在其中布建的任何資源。
  • 如果您在使用虛擬網路插入的工作區上啟用安全的叢集連線,您可以在工作區的兩個子網上部署 NAT 閘道,以提供輸出連線。 在此情況下,您可以修改自定義輸出連線需求的組態。 如需詳細資訊,請參閱 保護叢集連線能力。

下一步

如果您的問題未列在這裡,請使用您的問題來傳送此頁面的意見反應。 此資訊會為產品小組建立 GitHub 問題,以確保已回答所有價值客戶的問題。