Behandeln von Problemen mit Azure NAT Gateway
In diesem Artikel finden Sie Anleitungen dazu, wie Sie NAT Gateway ordnungsgemäß konfigurieren und häufige Konfigurations- und Bereitstellungsprobleme beheben können.
Grundlagen der NAT Gateway-Konfiguration
Überprüfen Sie die folgenden Konfigurationen, um sich zu vergewissern, dass NAT Gateway verwendet werden kann, um ausgehenden Datenverkehr weiterzuleiten:
Mit NAT Gateway ist mindestens eine öffentliche IP-Adresse oder ein Präfix für öffentliche IP-Adressen verknüpft. Der NAT Gateway-Instanz muss mindestens eine öffentliche IP-Adresse zugeordnet sein, um ausgehende Konnektivität bereitstellen zu können.
An eine NAT Gateway-Instanz muss mindestens ein Subnetz angefügt sein. Sie können mehrere Subnetze an eine NAT Gateway-Instanz anfügen, um ausgehenden Datenverkehr zu ermöglichen. Diese Subnetze müssen sich jedoch innerhalb des gleichen virtuellen Netzwerks befinden. NAT Gateway kann nicht über ein einzelnes virtuelles Netzwerk hinausgehen.
Keine NSG-Regeln (Netzwerksicherheitsgruppenregeln) oder benutzerdefinierte Routen (UDR, User Defined Routes) blockieren das NAT-Gateway, indem sie den Datenverkehr zum Internet weiterleiten.
Überprüfen der Konnektivität
DAS NAT-Gateway unterstützt IPv4 User Datagram Protocol (UDP) und TCP-Protokolle (Transmission Control Protocol).
Hinweis
Das ICMP-Protokoll wird vom NAT-Gateway nicht unterstützt. Der Ping mit dem ICMP-Protokoll wird nicht unterstützt, sodass hierfür das Auftreten von Fehlern zu erwarten ist.
Führen Sie die folgenden Schritte aus, um die End-to-End-Konnektivität von NAT Gateway zu überprüfen:
Vergewissern Sie sich, dass die öffentliche IP-Adresse Ihrer NAT Gateway-Instanz verwendet wird.
Führen Sie TCP-Verbindungstests und UDP-spezifische Anwendungsschichttests durch.
Sehen Sie sich NSG-Datenflussprotokolle an, um ausgehende Datenverkehrsflüsse von NAT Gateway zu analysieren.
Die folgende Tabelle enthält Informationen zu den Tools, mit denen Sie die Konnektivität von NAT Gateway überprüfen können.
Betriebssystem | Allgemeiner TCP-Verbindungstest | TCP-Anwendungsschichttest | UDP |
---|---|---|---|
Linux | nc (allgemeiner Verbindungstest) |
curl (TCP-Anwendungsschichttest) |
Anwendungsspezifisch |
Windows | PsPing | PowerShell Invoke-WebRequest | Anwendungsspezifisch |
Analysieren ausgehender Konnektivität
Verwenden Sie VNet-Datenflussprotokolle, um ausgehenden Datenverkehr von NAT Gateway zu analysieren. VNet-Datenflussprotokolle bieten Verbindungsinformationen für Ihre VMs. Die Verbindungsinformationen umfassen die Quell-IP-Adresse und den Port, die Ziel-IP-Adresse und den Port sowie den Zustand der Verbindung. Die Flussrichtung des Datenverkehrs und der Umfang des Datenverkehrs im Hinblick auf die Anzahl gesendeter Pakete und Bytes werden ebenfalls protokolliert. Die im VNet-Datenflussprotokoll angegebene Quell-IP und der Port sind die des virtuellen Computers und nicht die des NAT-Gateways.
Weitere Informationen zu VNet-Datenflussprotokollen finden Sie unter VNet-Datenflussprotokolle.
Anleitungen zum Aktivieren von VNet-Datenflussprotokollen finden Sie unter Verwalten von Datenflussprotokollen für virtuelle Netzwerke.
Es wird empfohlen, auf die Protokolldaten in Log Analytics-Arbeitsbereichen zuzugreifen. Dort können Sie auch die Daten für ausgehenden Datenverkehr abfragen und filtern. Weitere Informationen zur Verwendung von Log Analytics finden Sie im Tutorial zu Log Analytics.
Ausführlichere Informationen zum Schema von VNet-Datenflussprotokollen finden Sie unter Schema- und Datenaggregation in Traffic Analytics.
NAT Gateway in einem fehlerhaften Zustand
Möglicherweise treten Fehler bei der ausgehenden Konnektivität auf, wenn sich Ihre NAT Gateway-Ressource in einem fehlerhaften Zustand befindet. Führen Sie die folgenden Anweisungen aus, um Ihre NAT Gateway-Instanz in einen fehlerlosen Zustand zurückzuversetzen:
Identifizieren Sie die Ressource, die sich in einem fehlerhaften Zustand befindet. Wechseln Sie zum Azure-Ressourcen-Explorer, und identifizieren Sie die Ressource in diesem Zustand.
Aktualisieren Sie die Umschaltfläche rechts oben auf „Lesen/Schreiben“.
Klicken Sie für die Ressource im fehlerhaften Zustand auf „Bearbeiten“.
Klicken Sie auf „PUT“ und dann auf „GET“, um sicherzustellen, dass der Bereitstellungszustand auf „Erfolgreich“ aktualisiert wurde.
Sie können dann mit anderen Aktionen fortfahren, da die Ressource nicht mehr fehlerhaft ist.
Hinzufügen oder Entfernen von NAT Gateway
NAT Gateway-Instanz kann nicht gelöscht werden
NAT Gateway muss von allen Subnetzen innerhalb eines virtuellen Netzwerks getrennt werden, damit die Ressource entfernt oder gelöscht werden kann. Ausführliche schrittweise Anleitungen finden Sie unter Entfernen einer NAT Gateway-Instanz aus einem vorhandenen Subnetz und Löschen der Ressource.
Hinzufügen oder Entfernen eines Subnetzes
NAT Gateway kann keinem Subnetz zugeordnet werden, das bereits einer anderen NAT Gateway-Instanz angefügt ist.
Einem Subnetz in einem virtuellen Netzwerk kann nur eine NAT Gateway-Instanz zum Herstellen einer Verbindung mit dem Internet angefügt sein. Eine einzige NAT Gateway-Ressource kann innerhalb desselben virtuellen Netzwerks mehreren Subnetzen angefügt werden. NAT Gateway kann nicht über ein einzelnes virtuelles Netzwerk hinausgehen.
Ressourcen vom Typ „Basic“ dürfen sich nicht in demselben Subnetz befinden wie NAT Gateway
NAT Gateway ist nicht mit Basic-Ressourcen wie Load Balancer im Tarif „Basic“ oder öffentlichen IP-Adressen vom Typ „Basic“ kompatibel. Basic-Ressourcen müssen in einem Subnetz platziert werden, das keiner NAT Gateway-Instanz zugeordnet ist. Für Load Balancer im Tarif „Basic“ und öffentliche IP-Adressen vom Typ „Basic“ kann ein Upgrade auf „Standard“ durchgeführt werden, um die Verwendung mit NAT Gateway zu ermöglichen.
Informationen zum Upgraden einer Load Balancer-Instanz von „Basic“ auf „Standard“ finden Sie unter Upgraden einer öffentlichen Azure Load Balancer-Instanz.
Informationen zum Upgraden einer öffentlichen IP-Adresse von „Basic“ auf „Standard“ finden Sie unter Durchführen eines Upgrades für eine öffentliche IP-Adresse mithilfe des Azure-Portals.
Um eine grundlegende öffentliche IP-Adresse mit einer angeschlossenen virtuellen Maschine auf Standard zu aktualisieren, siehe [Aktualisieren einer grundlegenden öffentlichen IP mit einer angeschlossenen virtuellen Maschine](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
NAT Gateway kann nicht an ein Gatewaysubnetz angefügt werden
NAT Gateway kann nicht in einem Gatewaysubnetz bereitgestellt werden. Ein Gatewaysubnetz wird von einer VPN Gateway-Instanz zum Senden von verschlüsseltem Datenverkehr zwischen einem Azure-VNet und einem lokalen Standort verwendet. Weitere Informationen über die Verwendung von Gatewaysubnetzen durch das VPN-Gateway finden Sie in der Übersicht zu VPN-Gateways.
NAT Gateway kann keinem Subnetz zugeordnet werden, das eine VM-Netzwerkschnittstelle in fehlerhaftem Zustand enthält
Wenn Sie eine NAT Gateway-Instanz einem Subnetz zuordnen, das eine VM-Netzwerkschnittstelle in einem fehlerhaften Zustand enthält, werden Sie in einer Fehlermeldung darauf hingewiesen, dass dieser Vorgang nicht ausgeführt werden kann. Sie müssen zuerst den Fehlerzustand der VM-Netzwerkschnittstelle beheben, bevor Sie die NAT Gateway-Instanz an das Subnetz anfügen können.
Um Ihre VM-Netzwerkschnittstelle in einen fehlerlosen Zustand zu versetzen, können Sie eine der beiden folgenden Methoden verwenden.
Verwenden von PowerShell zum Versetzen Ihrer VM-Netzwerkschnittstelle in einen fehlerlosen Zustand
Ermitteln Sie den Bereitstellungsstatus Ihrer Netzwerkschnittstellen über den PowerShell-Befehl „Get-AzNetworkInterface“, indem Sie den Wert von „provisioningState“ auf „Succeeded“ festlegen.
Führen Sie die PowerShell-Befehle GET/SET für die Netzwerkschnittstelle aus. Die PowerShell-Befehle aktualisieren den Bereitstellungsstatus.
Überprüfen Sie die Ergebnisse dieses Vorgangs, indem Sie den Zustand Ihrer Netzwerkschnittstellen erneut überprüfen (die Anleitung aus Schritt 1 befolgen).
Verwenden des Azure-Ressourcen-Explorers zum Versetzen Ihrer VM-Netzwerkschnittstelle in einen fehlerlosen Zustand
Wechseln Sie zum Azure-Ressourcen-Explorer (Verwendung des Microsoft Edge-Browsers empfohlen).
Erweitern Sie „Abonnements“. (Es dauert ein paar Sekunden, bis die Option angezeigt wird.)
Erweitern Sie das Abonnement, das die VM-Netzwerkschnittstelle im Fehlerzustand enthält.
Erweitern Sie „resourceGroups“.
Erweitern Sie die richtige Ressourcengruppe, das die VM-Netzwerkschnittstelle im Fehlerzustand enthält.
Erweitern Sie Anbieter.
Erweitern Sie „Microsoft.Network“.
Erweitern Sie „networkInterfaces“.
Wählen Sie die Netzwerkschnittstelle aus, die einen fehlerhaften Bereitstellungsstatus aufweist.
Wählen Sie im oberen Bereich die Schaltfläche Lesen/Schreiben aus.
Wählen Sie die grüne Schaltfläche GET aus.
Wählen Sie die blaue Schaltfläche EDIT aus.
Wählen Sie die grüne Schaltfläche PUT aus.
Wählen Sie im oberen Bereich die Schaltfläche Schreibgeschützt aus.
Die VM-Netzwerkschnittstelle sollte sich nun in einem erfolgreichen Bereitstellungszustand befinden. Sie können Ihren Browser schließen.
Hinzufügen oder Entfernen öffentlicher IP-Adressen
Überschreiten von 16 öffentlichen IP-Adressen für NAT Gateway nicht möglich
NAT Gateway kann nicht mehr als 16 öffentlichen IP-Adressen zugewiesen werden. Mit NAT Gateway können Sie eine beliebige Kombination öffentlicher IP-Adressen und Präfixe aus bis zu 16 IP-Adressen verwenden. Informationen zum Hinzufügen oder Entfernen einer öffentlichen IP-Adresse finden Sie unter Hinzufügen oder Entfernen einer öffentlichen IP-Adresse.
Die folgenden IP-Präfixgrößen können mit NAT Gateway verwendet werden:
/28 (16 Adressen)
/29 (8 Adressen)
/30 (4 Adressen)
/31 (2 Adressen)
IPv6-Koexistenz
NAT Gateway unterstützt IPv4-UDP- und -TCP-Protokolle. NAT Gateway kann keiner öffentlichen IPv6-Adresse und keinem Präfix für öffentliche IPv6-Adressen zugeordnet werden. NAT Gateway kann zwar in einem Subnetz mit dualem Stapel bereitgestellt werden, verwendet aber weiterhin nur öffentliche IPv4-IP-Adressen für die Weiterleitung von ausgehendem Datenverkehr. Stellen Sie NAT Gateway in einem Subnetz mit dualem Stapel bereit, wenn sich IPv6-Ressourcen im gleichen Subnetz befinden müssen wie IPv4-Ressourcen. Weitere Informationen zum Bereitstellen ausgehender IPv4- und IPv6-Verbindungen aus Ihrem Dual Stack-Subnetz finden Sie unter Konfigurieren der ausgehenden Dual Stack-Konnektivität mit NAT-Gateway und öffentlichem Lastenausgleich.
Öffentliche IP-Adressen vom Typ „Basic“ können mit NAT Gateway nicht verwendet werden
NAT Gateway ist eine Standardressource und kann nicht mit Ressourcen vom Typ „Basic“ verwendet werden. Dies gilt auch für öffentliche IP-Adressen vom Typ „Basic“. Sie können für Ihre öffentliche IP-Adresse vom Typ „Basic“ ein Upgrade durchführen, um sie mit NAT Gateway zu verwenden. Befolgen Sie dazu folgende Anleitung: Upgraden einer öffentlichen IP-Adresse
Öffentliche IPs mit Routingeinstellung „Internet“ können nicht zusammen mit einem NAT Gateway verwendet werden
Wenn das NAT Gateway mit einer öffentlichen IP-Adresse konfiguriert ist, wird der Datenverkehr über das Microsoft-Netzwerk weitergeleitet. Das NAT Gateway kann nicht öffentlichen IPs mit Routingeinstellungsauswahl Internet zugeordnet werden. NAT Gateway kann nur mit öffentlichen IPs mit Routing-Präferenzwahl Microsoft Global Network verbunden werden. Eine Liste aller Azure-Dienste, die öffentliche IPs mit der Routeneinstellung „Internet“ unterstützen, finden Sie unter unterstützten Dienste.
Zonen von öffentlichen IP-Adressen und von NAT Gateway müssen übereinstimmen
NAT Gateway ist eine zonengebundene Ressource und kann entweder auf eine bestimmte Zone oder auf „Keine Zone“ festgelegt werden. Wenn die NAT Gateway-Instanz sich in „keiner Zone“ befindet, platziert Azure die NAT Gateway-Instanz in einer Zone für Sie, aber Sie können nicht feststellen, in welcher Zone sich die NAT Gateway-Instanz befindet.
NAT Gateway kann mit öffentlichen IP-Adressen verwendet werden, die je nach eigener Verfügbarkeitszonenkonfiguration für eine bestimmte Zone, keine Zone oder alle Zonen (zonenredundant) festgelegt sind.
Bezeichnung der NAT Gateway-Verfügbarkeitszone | Bezeichnung der verwendbaren öffentlichen IP-Adresse/des Präfixes |
---|---|
Keine Zone | „Zonenredundant“, „Keine Zone“ oder „Zonengebunden“ (die Bezeichnung der Zone öffentlicher IP-Adressen kann eine beliebige Zone innerhalb einer Region sein, um mit einer NAT Gateway-Instanz ohne Zone zu arbeiten) |
Auf eine bestimmte Zone festgelegt | Zonenredundant oder öffentliche Zonen-IPs können verwendet werden |
Hinweis
Wenn Sie die Zone kennen müssen, in der sich Ihre NAT Gateway-Instanz befindet, stellen Sie sicher, dass sie auf eine bestimmte Verfügbarkeitszone festgelegt ist.
DDoS-geschützte öffentliche IPs können nicht mit NAT-Gateway verwendet werden
Das NAT-Gateway unterstützt keine öffentlichen IP-Adressen mit aktiviertem DDoS-Schutz. DDoS-geschützte IPs sind im Allgemeinen wichtiger für eingehenden Datenverkehr, da die meisten DDoS-Angriffe darauf ausgelegt sind, die Ressourcen des Ziels zu überlasten, indem sie diese mit einer großen Menge an eingehendem Datenverkehr überfluten. Weitere Informationen zum DDoS-Schutz finden Sie in den folgenden Artikeln.
- Azure DDoS Protection-Features
- Bewährte Methoden in Azure DDoS Protection
- Angriffstypen, die mit Azure DDoS Protection abgewehrt werden
Weitere Anleitung zur Problembehandlung
Wenn das Problem, das bei Ihnen auftritt, in diesem Artikel nicht behandelt wird, lesen Sie die anderen Artikel zur Fehlerbehebung am NAT Gateway:
Behandeln von Problemen mit ausgehender Konnektivität mit NAT Gateway.
Behandeln von Problemen mit ausgehender Konnektivität bei NAT Gateway und anderen Azure-Diensten.
Nächste Schritte
Wenn Probleme mit NAT Gateway auftreten, die in diesem Artikel nicht behandelt oder gelöst werden, senden Sie uns Ihr Feedback über GitHub unten auf dieser Seite. Wir gehen so schnell wie möglich auf Ihr Feedback ein, um die Erfahrungen unserer Kunden zu verbessern.
Weitere Informationen zum NAT-Gateway finden Sie unter: