Domande frequenti sul gateway NAT di Azure

Il gateway NAT di Azure è una soluzione di connettività in uscita completamente gestita e altamente resiliente per le reti virtuali di Azure. Per ottenere connettività in uscita sicura e scalabile, collegare un gateway NAT alle subnet all'interno di una rete virtuale e almeno un indirizzo IP pubblico statico.

Vedere Prezzi del gateway NAT di Azure.

Vedere Limiti del gateway NAT di Azure.

Il numero di risorse del gateway NAT consentite per sottoscrizione per area varia in base al tipo di categoria dell'offerta, ad esempio versione di valutazione gratuita, con pagamento in base al consumo, Cloud Solution Provider (CSP) e Contratto Enterprise. I tipi di offerta Contratto Enterprise e CSP possono avere fino a 1.000 risorse gateway NAT. I tipi di offerta sponsorizzati e con pagamento in base al consumo possono avere fino a 100 risorse gateway NAT. Tutti gli altri tipi di offerta, ad esempio la versione di valutazione gratuita, possono avere fino a 15 risorse del gateway NAT.

No, non è possibile usare una risorsa gateway NAT con più sottoscrizioni alla volta. Per istruzioni dettagliate, vedere Creare e configurare un gateway NAT dopo lo spostamento di un'area.

No, non è possibile spostare un gateway NAT tra sottoscrizioni, aree o gruppi di risorse. È necessario creare un nuovo gateway NAT per l'altra sottoscrizione, area o gruppo di risorse.

Un gateway NAT fornisce connettività in uscita da una rete virtuale. Il traffico restituito in risposta diretta a un flusso in uscita può anche passare attraverso un gateway NAT. Nessun traffico in ingresso direttamente da Internet può passare attraverso un gateway NAT.

I log dei flussi di rete virtuale sono una funzionalità di Azure Network Watcher, che consente di registrare informazioni sul traffico IP che scorre attraverso una rete virtuale. I dati del flusso dai log dei flussi di rete virtuale vengono inviati ad Archiviazione di Azure. Da qui è possibile accedere ai dati ed esportarli in qualsiasi strumento di visualizzazione, nella soluzione SIEM (Security Information and Event Management, informazioni di sicurezza e gestione degli eventi) o nel sistema di rilevamento delle intrusioni (IDS).

I log dei flussi di rete virtuale forniscono informazioni sulla connessione delle macchine virtuali. Le informazioni sulla connessione contengono IP e porta di origine e IP e porta di destinazione, e lo stato della connessione. Vengono anche registrate la direzione del flusso del traffico e le dimensioni del traffico nel numero di pacchetti e byte inviati. L'IP e la porta di origine specificati nel log dei flussi di rete virtuale sono per la macchina virtuale e non per il gateway NAT.

Per linee guida generali per la creazione e la gestione di log dei flussi di rete virtuale, vedere Gestire log dei flussi di rete virtuale.

Per eliminare una risorsa gateway NAT, la risorsa deve prima essere disassociata dalla subnet. Dopo aver disassociato la risorsa del gateway NAT da tutte le subnet, può essere eliminata. Per indicazioni, vedere Rimuovere una risorsa gateway NAT da una subnet esistente ed eliminare la risorsa.

No, un gateway NAT non supporta la frammentazione IP per TCP (Transmission Control Protocol) o UDP (User Datagram Protocol).

La metrica SNAT Connection Count (Conteggio connessioni SNAT) mostra il numero di nuove connessioni SNAT (Network Address Translation) di origine effettuate al secondo. La metrica Totale conteggio connessioni SNAT mostra il numero totale di connessioni attive in una risorsa gateway NAT.

Non esiste alcuna metrica di utilizzo delle porte SNAT per un gateway NAT. Usare le metriche SNAT Connection Count (Conteggio connessioni SNAT) e Total SNAT Connection Count (Conteggio connessioni SNAT totali) per valutare la capacità SNAT della risorsa gateway NAT.

Le metriche del gateway NAT possono essere recuperate usando l'API REST delle metriche. In alternativa, è possibile selezionare Condividi e quindi Scaricare in Excel dal riquadro metriche del gateway NAT nel portale di Azure.

No, le metriche del gateway NAT non possono essere esportate usando le impostazioni di diagnostica. Le metriche del gateway NAT sono multidimensionali. Le impostazioni di diagnostica non supportano l'esportazione delle metriche multidimensionali.

Un gateway NAT si connette automaticamente a Internet in uscita dopo essere stato collegato a un indirizzo IP pubblico o un prefisso e una subnet. Un gateway NAT ha la priorità su Azure Load Balancer con regole in uscita, indirizzi IP pubblici a livello di istanza nelle macchine virtuali e Firewall di Azure per la connettività in uscita.

No, non ci sono interruzioni nelle connessioni. Le connessioni esistenti con il servizio in uscita precedente (Load Balancer, Firewall di Azure, indirizzi IP pubblici a livello di istanza) continuano a funzionare fino alla chiusura di tali connessioni. Dopo l'aggiunta di un gateway NAT alla subnet della rete virtuale, tutte le nuove connessioni usano un gateway NAT per stabilire connessioni in uscita.

No, un indirizzo IP pubblico di un gateway NAT non può connettersi direttamente a un indirizzo IP privato tramite Internet.

Tutte le connessioni attive associate a un indirizzo IP pubblico terminano quando viene rimosso l'indirizzo IP pubblico. Se la risorsa gateway NAT ha più indirizzi IP pubblici, il nuovo traffico viene distribuito tra gli indirizzi IP assegnati.

Esistono alcuni possibili motivi per cui è possibile visualizzare un indirizzo IP diverso usato per connettersi in uscita rispetto a quello associato al gateway NAT. Per risolvere i problemi, vedere la guida alla risoluzione dei problemi di connettività del gateway NAT di Azure.

No, il gateway NAT non è compatibile con la modalità FTP attiva. Quando il gateway NAT è configurato, il canale client e il canale dati per la modalità FTP attiva useranno indirizzi IP diversi, quindi il server FTP visualizzerà la connessione come non valida. Per altre informazioni, vedere la guida alla risoluzione dei problemi di connettività del gateway NAT sugli errori di connessione per la modalità attiva o passiva FTP.

Il gateway NAT può essere usato con modalità FTP passiva, ma solo quando un indirizzo IP pubblico è configurato per il gateway NAT. La modalità passiva FTP non funziona con un gateway NAT configurato con un prefisso IP pubblico o più indirizzi IP pubblici. Quando un gateway NAT con più indirizzi IP pubblici invia il traffico in uscita, seleziona in modo casuale uno dei relativi indirizzi IP pubblici per l'indirizzo IP di origine. La modalità passiva FTP ha esito negativo quando i canali di dati e di controllo usano indirizzi IP di origine diversi. Per altre informazioni, vedere la guida alla risoluzione dei problemi di connettività del gateway NAT sugli errori di connessione per la modalità attiva o passiva FTP.

No, gli INDIRIZZI IP pubblici del gateway NAT non verranno usati per connettersi agli account di archiviazione nella stessa area. I servizi distribuiti nella stessa area di un account di archiviazione di Azure usano indirizzi IP privati di Azure per la comunicazione. Non è possibile limitare l'accesso a servizi di Azure specifici in base all'intervallo di indirizzi IP in uscita pubblico. Per altre informazioni, vedere Restrizioni per le regole di rete IP.

Un gateway NAT usa il percorso Internet predefinito del sistema di una subnet per instradare il traffico a Internet. Il traffico non passa attraverso un gateway NAT se viene creata una route definita dall'utente per indirizzare il traffico 0.0.0.0/0 al tipo di hop successivo o a un gateway di rete virtuale.

Non è necessaria alcuna configurazione nella tabella di route della subnet per avviare la connessione in uscita con un gateway NAT. Quando un gateway NAT viene assegnato a una subnet, il gateway NAT diventa il tipo di hop successivo per tutto il traffico destinato a Internet. Il traffico può iniziare a connettersi in uscita a Internet non appena il gateway NAT viene assegnato a una subnet e almeno un indirizzo IP pubblico.

Sì, un gateway NAT può essere distribuito senza un indirizzo IP pubblico o un prefisso e una subnet. Tuttavia, non è operativo finché non si collega almeno un indirizzo IP pubblico o un prefisso e una subnet.

Sì, gli indirizzi IP pubblici nel gateway NAT sono corretti e non cambiano.

Un gateway NAT può usare fino a 16 indirizzi IP pubblici. Un gateway NAT può usare qualsiasi combinazione di indirizzi IP pubblici e prefissi IP pubblici per un totale di 16 indirizzi. Un gateway NAT può supportare le dimensioni di prefisso seguenti: /28 (16 indirizzi), /29 (8 indirizzi), /30 (4 indirizzi) e /31 (2 indirizzi).

È possibile usare prefissi e indirizzi IP pubblici derivati da prefissi IP personalizzati, noti anche come Bring Your Own IP (BYOIP), con il gateway NAT. Per altre informazioni, vedere Prefisso dell'indirizzo IP personalizzato (BYOIP).

No, un gateway NAT non supporta gli indirizzi IP pubblici IPv6. È tuttavia possibile avere una configurazione dual stack con un gateway NAT e un servizio di bilanciamento del carico per fornire connettività in uscita IPv4 e IPv6. Per ulteriori informazioni, vedere Configurare la connettività in uscita dual stack con un gateway NAT e un bilanciamento del carico pubblico.

No, un gateway NAT non supporta gli indirizzi IP pubblici con la preferenza di routing "Internet". Per visualizzare un elenco dei servizi di Azure che supportano il tipo di configurazione di routing "Internet" negli indirizzi IP pubblici, vedere Servizi supportati per il routing su Internet pubblico.

No, un gateway NAT non supporta gli indirizzi IP pubblici con la protezione DDoS abilitata. Gli indirizzi IP protetti da DDoS sono in genere più critici per il traffico in ingresso, poiché la maggior parte degli attacchi DDoS è progettata per sovraccaricare le risorse della destinazione inondandole con un volume elevato di traffico in ingresso. Per altre informazioni sugli indirizzi IP protetti da DDoS, vedere Limitazioni DDoS.

No, l'indirizzo di un indirizzo IP pubblico esistente non può essere modificato. Se è necessario modificare l'indirizzo IP pubblico nel gateway NAT, vedere Aggiungere o rimuovere un indirizzo IP pubblico per indicazioni.

Le risorse della subnet possono usare uno qualsiasi degli indirizzi IP pubblici collegati al gateway NAT per la connettività in uscita. Ogni volta che viene stabilita una nuova connessione in uscita tramite un gateway NAT, l'indirizzo IP pubblico in uscita viene selezionato in modo casuale.

No. L'assegnazione IP a subnet o istanze di VM specifiche in una subnet configurata dal gateway NAT non è supportata.

No, non è possibile collegare un gateway NAT a più reti virtuali.

Sì, un gateway NAT può essere associato a un massimo di 800 subnet in una rete virtuale. Non è necessario associare tutte le subnet all'interno di una rete virtuale.

No, un gateway NAT non può essere associato a una subnet del gateway.

No, un gateway NAT opera in base alle proprietà della subnet, quindi non è possibile collegare più gateway NAT a una singola subnet.

Il traffico dalle reti virtuali spoke può essere instradato alla rete virtuale hub centralizzata tramite un'appliance virtuale di rete o firewall di Azure. Un gateway NAT può quindi fornire connettività in uscita per tutte le reti virtuali spoke dalla rete hub centralizzata. Per configurare un gateway NAT in un'architettura hub-spoke con appliance virtuali di rete, vedere Usare un gateway NAT in una rete hub-spoke. Per usare un gateway NAT con Firewall di Azure in una configurazione hub-spoke, vedere Integrare un gateway NAT con Firewall di Azure.

Un gateway NAT può essere zonale o inserito in "nessuna zona". Per altre informazioni, vedere Gateway NAT di Azure e zone di disponibilità. In aggiunta:

• Un gateway NAT senza zona viene inserito in una zona per l'utente da Azure.
• Un gateway NAT di zona è associato a una zona specifica dall'utente quando viene creato il gateway NAT.
• La configurazione di zona di un gateway NAT non può essere modificata dopo la distribuzione.

Gli indirizzi IP pubblici e i prefissi con ridondanza della zona possono essere collegati a un gateway NAT senza zona o a un gateway NAT assegnato a una zona di disponibilità specifica. Per altre informazioni, vedere Gateway NAT di Azure e zone di disponibilità.

No, un gateway NAT è compatibile con le risorse SKU standard. Per altre informazioni, vedere Nozioni di base sul gateway NAT di Azure. Aggiornare il servizio di bilanciamento del carico di base e l'indirizzo IP pubblico di base allo standard per l'uso con un gateway NAT. Per altre informazioni:

• Per aggiornare il bilanciamento del carico di base allo standard, vedere Aggiornare il bilanciamento del carico pubblico di Azure.
• Per aggiornare un indirizzo IP pubblico di base allo standard, vedere Aggiornare un indirizzo IP pubblico.
• Per aggiornare un indirizzo IP pubblico di base con una macchina virtuale collegata allo standard, vedere Aggiornare un indirizzo IP pubblico di base con una macchina virtuale collegata.

No, non si verifica alcun tempo di inattività quando si aggiunge il gateway NAT a una subnet in cui viene usato l'accesso in uscita predefinito. Dopo l'aggiunta del gateway NAT alla subnet, tutte le nuove connessioni inizieranno a usare il gateway NAT anziché l'accesso in uscita predefinito. Tutte le connessioni esistenti con accesso in uscita predefinito verranno mantenute fino alla chiusura delle connessioni.

Per le connessioni TCP, per impostazione predefinita il timer di timeout di inattività è di 4 minuti ed è configurabile fino a 120 minuti. Se è necessario mantenere flussi di connessione lunghi, usare keep-alives TCP invece di estendere il timer di timeout di inattività. I keep-alives TCP mantengono le connessioni attive per un periodo più lungo.

Il timer di timeout di inattività UDP è impostato su 4 minuti e non è configurabile.

Quando una connessione TCP/UDP viene chiusa, la porta viene inserita in un periodo di raffreddamento prima che possa essere riutilizzata per connettersi allo stesso endpoint di destinazione. Per altre informazioni, vedere Timer di riutilizzo delle porte SNAT. Le connessioni che passano a una destinazione diversa possono usare immediatamente una porta SNAT. Per altre informazioni, vedere SNAT con gateway NAT di Azure.

Sì, è possibile usare un gateway NAT con il servizio app di Azure per consentire alle applicazioni di indirizzare il traffico in uscita verso Internet da una rete virtuale. Per usare questa integrazione tra un gateway NAT e il servizio app di Azure, è necessario abilitare l'integrazione della rete virtuale a livello di area. Per indicazioni su come abilitare l'integrazione della rete virtuale con un gateway NAT, vedere Integrazione del gateway NAT di Azure.

Sì. Per altre informazioni sull'integrazione del gateway NAT con il servizio Azure Kubernetes, vedere Gateway NAT gestito.

Per gestire un cluster del servizio Azure Kubernetes, il cluster interagisce con il server API. Nei cluster non privati il traffico del cluster del server API viene instradato ed elaborato tramite il tipo in uscita del cluster. Quando il tipo in uscita del cluster è impostato su Gateway NAT, il traffico del server API viene elaborato come traffico pubblico attraverso il gateway NAT. Per evitare che il traffico del server API venga elaborato come traffico pubblico, è consigliabile usare un cluster privato o usare la funzionalità Integrazione rete virtuale del server API (in anteprima).

Sì, è possibile usare un gateway NAT con Firewall di Azure. Quando Firewall di Azure viene usato con un gateway NAT, deve trovarsi in una configurazione di zona. Un gateway NAT funziona con un firewall con ridondanza della zona, ma al momento non è consigliabile eseguire la distribuzione. Per altre informazioni sull'integrazione del gateway NAT con Firewall di Azure, vedere Ridimensionare le porte SNAT con un gateway NAT.

Sì, l'aggiunta di un gateway NAT a una subnet con endpoint di servizio non influisce sugli endpoint. Gli endpoint servizio di rete virtuale consentono una route più specifica per il traffico del servizio di Azure di destinazione che rappresentano. Il traffico per l'endpoint di servizio attraversa il backbone di Azure anziché Internet. È consigliabile usare il collegamento privato sugli endpoint di servizio quando ci si connette alla piattaforma distribuita come servizio (PaaS) di Azure direttamente dalla rete di Azure.

Sì. Se si abilita la connettività sicura del cluster nell'area di lavoro, è possibile usare un gateway NAT con Azure Databricks in uno dei due modi seguenti:

• Se si usa la connettività cluster sicura con la rete virtuale predefinita creata da Azure Databricks, Azure Databricks crea automaticamente un gateway NAT per il traffico in uscita dalle subnet dell'area di lavoro. Il gateway NAT viene creato all'interno del gruppo di risorse gestite gestito da Azure Databricks. Non è possibile modificare questo gruppo di risorse o qualsiasi altra risorsa di cui è stato effettuato il provisioning al suo interno.
• Se si abilita la connettività sicura del cluster nell'area di lavoro che usa l'inserimento della rete virtuale, è possibile distribuire un gateway NAT in entrambe le subnet dell'area di lavoro per fornire connettività in uscita. In questo caso è possibile modificare la configurazione per i requisiti di connettività in uscita personalizzati. Per altre informazioni, vedere Proteggere la connettività del cluster.

Passaggi successivi

Se la domanda non è elencata qui, inviare un feedback su questa pagina con la domanda. Questa informazione creerà un problema di GitHub per il team del prodotto per garantire che tutte le domande degli stimati clienti trovino risposta.