Freigeben über


Behandeln von Problemen mit Azure NAT Gateway

In diesem Artikel finden Sie Anleitungen dazu, wie Sie NAT Gateway ordnungsgemäß konfigurieren und häufige Konfigurations- und Bereitstellungsprobleme beheben können.

Grundlagen der NAT Gateway-Konfiguration

Überprüfen Sie die folgenden Konfigurationen, um sich zu vergewissern, dass NAT Gateway verwendet werden kann, um ausgehenden Datenverkehr weiterzuleiten:

  1. Mit NAT Gateway ist mindestens eine öffentliche IP-Adresse oder ein Präfix für öffentliche IP-Adressen verknüpft. Der NAT Gateway-Instanz muss mindestens eine öffentliche IP-Adresse zugeordnet sein, um ausgehende Konnektivität bereitstellen zu können.

  2. An eine NAT Gateway-Instanz muss mindestens ein Subnetz angefügt sein. Sie können mehrere Subnetze an eine NAT Gateway-Instanz anfügen, um ausgehenden Datenverkehr zu ermöglichen. Diese Subnetze müssen sich jedoch innerhalb des gleichen virtuellen Netzwerks befinden. NAT Gateway kann nicht über ein einzelnes virtuelles Netzwerk hinausgehen.

  3. Keine NSG-Regeln (Netzwerksicherheitsgruppenregeln) oder benutzerdefinierte Routen (UDR, User Defined Routes) blockieren das NAT-Gateway, indem sie den Datenverkehr zum Internet weiterleiten.

Überprüfen der Konnektivität

DAS NAT-Gateway unterstützt IPv4 User Datagram Protocol (UDP) und TCP-Protokolle (Transmission Control Protocol).

Hinweis

Das ICMP-Protokoll wird vom NAT-Gateway nicht unterstützt. Der Ping mit dem ICMP-Protokoll wird nicht unterstützt, sodass hierfür das Auftreten von Fehlern zu erwarten ist.

Führen Sie die folgenden Schritte aus, um die End-to-End-Konnektivität von NAT Gateway zu überprüfen:

  1. Vergewissern Sie sich, dass die öffentliche IP-Adresse Ihrer NAT Gateway-Instanz verwendet wird.

  2. Führen Sie TCP-Verbindungstests und UDP-spezifische Anwendungsschichttests durch.

  3. Sehen Sie sich NSG-Datenflussprotokolle an, um ausgehende Datenverkehrsflüsse von NAT Gateway zu analysieren.

Die folgende Tabelle enthält Informationen zu den Tools, mit denen Sie die Konnektivität von NAT Gateway überprüfen können.

Betriebssystem Allgemeiner TCP-Verbindungstest TCP-Anwendungsschichttest UDP
Linux nc (allgemeiner Verbindungstest) curl (TCP-Anwendungsschichttest) Anwendungsspezifisch
Windows PsPing PowerShell Invoke-WebRequest Anwendungsspezifisch

Analysieren ausgehender Konnektivität

Verwenden Sie VNet-Datenflussprotokolle, um ausgehenden Datenverkehr von NAT Gateway zu analysieren. VNet-Datenflussprotokolle bieten Verbindungsinformationen für Ihre VMs. Die Verbindungsinformationen umfassen die Quell-IP-Adresse und den Port, die Ziel-IP-Adresse und den Port sowie den Zustand der Verbindung. Die Flussrichtung des Datenverkehrs und der Umfang des Datenverkehrs im Hinblick auf die Anzahl gesendeter Pakete und Bytes werden ebenfalls protokolliert. Die im VNet-Datenflussprotokoll angegebene Quell-IP und der Port sind die des virtuellen Computers und nicht die des NAT-Gateways.

NAT Gateway in einem fehlerhaften Zustand

Möglicherweise treten Fehler bei der ausgehenden Konnektivität auf, wenn sich Ihre NAT Gateway-Ressource in einem fehlerhaften Zustand befindet. Führen Sie die folgenden Anweisungen aus, um Ihre NAT Gateway-Instanz in einen fehlerlosen Zustand zurückzuversetzen:

  1. Identifizieren Sie die Ressource, die sich in einem fehlerhaften Zustand befindet. Wechseln Sie zum Azure-Ressourcen-Explorer, und identifizieren Sie die Ressource in diesem Zustand.

  2. Aktualisieren Sie die Umschaltfläche rechts oben auf „Lesen/Schreiben“.

  3. Klicken Sie für die Ressource im fehlerhaften Zustand auf „Bearbeiten“.

  4. Klicken Sie auf „PUT“ und dann auf „GET“, um sicherzustellen, dass der Bereitstellungszustand auf „Erfolgreich“ aktualisiert wurde.

  5. Sie können dann mit anderen Aktionen fortfahren, da die Ressource nicht mehr fehlerhaft ist.

Hinzufügen oder Entfernen von NAT Gateway

NAT Gateway-Instanz kann nicht gelöscht werden

NAT Gateway muss von allen Subnetzen innerhalb eines virtuellen Netzwerks getrennt werden, damit die Ressource entfernt oder gelöscht werden kann. Ausführliche schrittweise Anleitungen finden Sie unter Entfernen einer NAT Gateway-Instanz aus einem vorhandenen Subnetz und Löschen der Ressource.

Hinzufügen oder Entfernen eines Subnetzes

NAT Gateway kann keinem Subnetz zugeordnet werden, das bereits einer anderen NAT Gateway-Instanz angefügt ist.

Einem Subnetz in einem virtuellen Netzwerk kann nur eine NAT Gateway-Instanz zum Herstellen einer Verbindung mit dem Internet angefügt sein. Eine einzige NAT Gateway-Ressource kann innerhalb desselben virtuellen Netzwerks mehreren Subnetzen angefügt werden. NAT Gateway kann nicht über ein einzelnes virtuelles Netzwerk hinausgehen.

Ressourcen vom Typ „Basic“ dürfen sich nicht in demselben Subnetz befinden wie NAT Gateway

NAT Gateway ist nicht mit Basic-Ressourcen wie Load Balancer im Tarif „Basic“ oder öffentlichen IP-Adressen vom Typ „Basic“ kompatibel. Basic-Ressourcen müssen in einem Subnetz platziert werden, das keiner NAT Gateway-Instanz zugeordnet ist. Für Load Balancer im Tarif „Basic“ und öffentliche IP-Adressen vom Typ „Basic“ kann ein Upgrade auf „Standard“ durchgeführt werden, um die Verwendung mit NAT Gateway zu ermöglichen.

NAT Gateway kann nicht an ein Gatewaysubnetz angefügt werden

NAT Gateway kann nicht in einem Gatewaysubnetz bereitgestellt werden. Ein Gatewaysubnetz wird von einer VPN Gateway-Instanz zum Senden von verschlüsseltem Datenverkehr zwischen einem Azure-VNet und einem lokalen Standort verwendet. Weitere Informationen über die Verwendung von Gatewaysubnetzen durch das VPN-Gateway finden Sie in der Übersicht zu VPN-Gateways.

NAT Gateway kann keinem Subnetz zugeordnet werden, das eine VM-Netzwerkschnittstelle in fehlerhaftem Zustand enthält

Wenn Sie eine NAT Gateway-Instanz einem Subnetz zuordnen, das eine VM-Netzwerkschnittstelle in einem fehlerhaften Zustand enthält, werden Sie in einer Fehlermeldung darauf hingewiesen, dass dieser Vorgang nicht ausgeführt werden kann. Sie müssen zuerst den Fehlerzustand der VM-Netzwerkschnittstelle beheben, bevor Sie die NAT Gateway-Instanz an das Subnetz anfügen können.

Um Ihre VM-Netzwerkschnittstelle in einen fehlerlosen Zustand zu versetzen, können Sie eine der beiden folgenden Methoden verwenden.

Verwenden von PowerShell zum Versetzen Ihrer VM-Netzwerkschnittstelle in einen fehlerlosen Zustand

  1. Ermitteln Sie den Bereitstellungsstatus Ihrer Netzwerkschnittstellen über den PowerShell-Befehl „Get-AzNetworkInterface“, indem Sie den Wert von „provisioningState“ auf „Succeeded“ festlegen.

  2. Führen Sie die PowerShell-Befehle GET/SET für die Netzwerkschnittstelle aus. Die PowerShell-Befehle aktualisieren den Bereitstellungsstatus.

  3. Überprüfen Sie die Ergebnisse dieses Vorgangs, indem Sie den Zustand Ihrer Netzwerkschnittstellen erneut überprüfen (die Anleitung aus Schritt 1 befolgen).

Verwenden des Azure-Ressourcen-Explorers zum Versetzen Ihrer VM-Netzwerkschnittstelle in einen fehlerlosen Zustand

  1. Wechseln Sie zum Azure-Ressourcen-Explorer (Verwendung des Microsoft Edge-Browsers empfohlen).

  2. Erweitern Sie „Abonnements“. (Es dauert ein paar Sekunden, bis die Option angezeigt wird.)

  3. Erweitern Sie das Abonnement, das die VM-Netzwerkschnittstelle im Fehlerzustand enthält.

  4. Erweitern Sie „resourceGroups“.

  5. Erweitern Sie die richtige Ressourcengruppe, das die VM-Netzwerkschnittstelle im Fehlerzustand enthält.

  6. Erweitern Sie Anbieter.

  7. Erweitern Sie „Microsoft.Network“.

  8. Erweitern Sie „networkInterfaces“.

  9. Wählen Sie die Netzwerkschnittstelle aus, die einen fehlerhaften Bereitstellungsstatus aufweist.

  10. Wählen Sie im oberen Bereich die Schaltfläche Lesen/Schreiben aus.

  11. Wählen Sie die grüne Schaltfläche GET aus.

  12. Wählen Sie die blaue Schaltfläche EDIT aus.

  13. Wählen Sie die grüne Schaltfläche PUT aus.

  14. Wählen Sie im oberen Bereich die Schaltfläche Schreibgeschützt aus.

  15. Die VM-Netzwerkschnittstelle sollte sich nun in einem erfolgreichen Bereitstellungszustand befinden. Sie können Ihren Browser schließen.

Hinzufügen oder Entfernen öffentlicher IP-Adressen

Überschreiten von 16 öffentlichen IP-Adressen für NAT Gateway nicht möglich

NAT Gateway kann nicht mehr als 16 öffentlichen IP-Adressen zugewiesen werden. Mit NAT Gateway können Sie eine beliebige Kombination öffentlicher IP-Adressen und Präfixe aus bis zu 16 IP-Adressen verwenden. Informationen zum Hinzufügen oder Entfernen einer öffentlichen IP-Adresse finden Sie unter Hinzufügen oder Entfernen einer öffentlichen IP-Adresse.

Die folgenden IP-Präfixgrößen können mit NAT Gateway verwendet werden:

  • /28 (16 Adressen)

  • /29 (8 Adressen)

  • /30 (4 Adressen)

  • /31 (2 Adressen)

IPv6-Koexistenz

NAT Gateway unterstützt IPv4-UDP- und -TCP-Protokolle. NAT Gateway kann keiner öffentlichen IPv6-Adresse und keinem Präfix für öffentliche IPv6-Adressen zugeordnet werden. NAT Gateway kann zwar in einem Subnetz mit dualem Stapel bereitgestellt werden, verwendet aber weiterhin nur öffentliche IPv4-IP-Adressen für die Weiterleitung von ausgehendem Datenverkehr. Stellen Sie NAT Gateway in einem Subnetz mit dualem Stapel bereit, wenn sich IPv6-Ressourcen im gleichen Subnetz befinden müssen wie IPv4-Ressourcen. Weitere Informationen zum Bereitstellen ausgehender IPv4- und IPv6-Verbindungen aus Ihrem Dual Stack-Subnetz finden Sie unter Konfigurieren der ausgehenden Dual Stack-Konnektivität mit NAT-Gateway und öffentlichem Lastenausgleich.

Öffentliche IP-Adressen vom Typ „Basic“ können mit NAT Gateway nicht verwendet werden

NAT Gateway ist eine Standardressource und kann nicht mit Ressourcen vom Typ „Basic“ verwendet werden. Dies gilt auch für öffentliche IP-Adressen vom Typ „Basic“. Sie können für Ihre öffentliche IP-Adresse vom Typ „Basic“ ein Upgrade durchführen, um sie mit NAT Gateway zu verwenden. Befolgen Sie dazu folgende Anleitung: Upgraden einer öffentlichen IP-Adresse

Öffentliche IPs mit Routingeinstellung „Internet“ können nicht zusammen mit einem NAT Gateway verwendet werden

Wenn das NAT Gateway mit einer öffentlichen IP-Adresse konfiguriert ist, wird der Datenverkehr über das Microsoft-Netzwerk weitergeleitet. Das NAT Gateway kann nicht öffentlichen IPs mit Routingeinstellungsauswahl Internet zugeordnet werden. NAT Gateway kann nur mit öffentlichen IPs mit Routing-Präferenzwahl Microsoft Global Network verbunden werden. Eine Liste aller Azure-Dienste, die öffentliche IPs mit der Routeneinstellung „Internet“ unterstützen, finden Sie unter unterstützten Dienste.

Zonen von öffentlichen IP-Adressen und von NAT Gateway müssen übereinstimmen

NAT Gateway ist eine zonengebundene Ressource und kann entweder auf eine bestimmte Zone oder auf „Keine Zone“ festgelegt werden. Wenn die NAT Gateway-Instanz sich in „keiner Zone“ befindet, platziert Azure die NAT Gateway-Instanz in einer Zone für Sie, aber Sie können nicht feststellen, in welcher Zone sich die NAT Gateway-Instanz befindet.

NAT Gateway kann mit öffentlichen IP-Adressen verwendet werden, die je nach eigener Verfügbarkeitszonenkonfiguration für eine bestimmte Zone, keine Zone oder alle Zonen (zonenredundant) festgelegt sind.

Bezeichnung der NAT Gateway-Verfügbarkeitszone Bezeichnung der verwendbaren öffentlichen IP-Adresse/des Präfixes
Keine Zone „Zonenredundant“, „Keine Zone“ oder „Zonengebunden“ (die Bezeichnung der Zone öffentlicher IP-Adressen kann eine beliebige Zone innerhalb einer Region sein, um mit einer NAT Gateway-Instanz ohne Zone zu arbeiten)
Auf eine bestimmte Zone festgelegt Zonenredundant oder öffentliche Zonen-IPs können verwendet werden

Hinweis

Wenn Sie die Zone kennen müssen, in der sich Ihre NAT Gateway-Instanz befindet, stellen Sie sicher, dass sie auf eine bestimmte Verfügbarkeitszone festgelegt ist.

DDoS-geschützte öffentliche IPs können nicht mit NAT-Gateway verwendet werden

Das NAT-Gateway unterstützt keine öffentlichen IP-Adressen mit aktiviertem DDoS-Schutz. DDoS-geschützte IPs sind im Allgemeinen wichtiger für eingehenden Datenverkehr, da die meisten DDoS-Angriffe darauf ausgelegt sind, die Ressourcen des Ziels zu überlasten, indem sie diese mit einer großen Menge an eingehendem Datenverkehr überfluten. Weitere Informationen zum DDoS-Schutz finden Sie in den folgenden Artikeln.

Weitere Anleitung zur Problembehandlung

Wenn das Problem, das bei Ihnen auftritt, in diesem Artikel nicht behandelt wird, lesen Sie die anderen Artikel zur Fehlerbehebung am NAT Gateway:

Nächste Schritte

Wenn Probleme mit NAT Gateway auftreten, die in diesem Artikel nicht behandelt oder gelöst werden, senden Sie uns Ihr Feedback über GitHub unten auf dieser Seite. Wir gehen so schnell wie möglich auf Ihr Feedback ein, um die Erfahrungen unserer Kunden zu verbessern.

Weitere Informationen zum NAT-Gateway finden Sie unter: