Condividi tramite


Risolvere problemi del gateway NAT di Azure

Questo articolo fornisce indicazioni su come configurare correttamente il gateway NAT e risolvere problemi comuni correlati alla configurazione e alla distribuzione.

Informazioni basilari sulla configurazione del gateway NAT

Controllare le configurazioni seguenti per assicurarsi che il gateway NAT possa essere usato per indirizzare il traffico in uscita:

  1. Almeno un indirizzo IP pubblico o un prefisso di IP pubblico è associato al gateway NAT. Per consentire la connettività in uscita, al gateway NAT deve essere associato almeno un indirizzo IP pubblico.

  2. Almeno una subnet è collegata a un gateway NAT. È possibile collegare più subnet a un gateway NAT per l'uscita, ma queste subnet devono esistere all'interno della stessa rete virtuale. Un gateway NAT non può estendersi oltre una singola rete virtuale.

  3. Nessuna regola del gruppo di sicurezza di rete (NSG) o route definita dall'utente (UDR) impediscono al gateway NAT di indirizzare traffico a Internet.

Come convalidare la connettività

Un gateway NAT supporta protocolli UDP (User Datagram Protocol) e TCP (Transmission Control Protocol) IPv4.

Nota

Il protocollo ICMP non è supportato dal gateway NAT. Il ping che usa il protocollo ICMP non è supportato e si prevede che non vada a buon fine.

Per convalidare la connettività end-to-end del gateway NAT, usare i passaggi seguenti:

  1. Assicurarsi che l'indirizzo IP pubblico del gateway NAT sia usato.

  2. Eseguire test di connessione TCP e test del livello dell'applicazione specifici per UDP.

  3. Esaminare i log dei flussi NSG per analizzare il traffico in uscita dal gateway NAT.

Per gli strumenti da usare per convalidare la connettività del gateway NAT, fare riferimento alla tabella seguente.

Sistema operativo Test di connessione TCP generico Test del livello dell'applicazione TCP UDP
Linux nc (test di connessione generico) curl (test del livello dell'applicazione TCP) specifico dell'applicazione
Finestre PsPing Invoke-WebRequest di PowerShell specifico dell'applicazione

Come analizzare la connettività in uscita

Per analizzare il traffico in uscita dal gateway NAT, usare i log dei flussi della rete virtuale (VNet). I log dei flussi VNet forniscono informazioni sulla connessione per le macchine virtuali. Le informazioni sulla connessione contengono IP e porta di origine e IP e porta di destinazione, e lo stato della connessione. Vengono anche registrate la direzione del flusso del traffico e le dimensioni del traffico nel numero di pacchetti e byte inviati. L'IP e la porta di origine specificati nel log dei flussi VNet sono relativi alla macchina virtuale e non al gateway NAT.

Il gateway NAT si trova in uno stato di errore

È possibile riscontrare un errore di connettività in uscita se la risorsa del gateway NAT si trova in uno stato di errore. Per uscire dallo stato di errore del gateway NAT, seguire queste istruzioni:

  1. Identificare la risorsa in uno stato di errore. Passare ad Azure Resource Explorer e identificare la risorsa in tale stato.

  2. Aggiornare l'interruttore nell'angolo in alto a destra in Lettura/Scrittura.

  3. Selezionare Modifica per la risorsa in stato di errore.

  4. Selezionare PUT seguito da GET per assicurarsi che lo stato di provisioning sia aggiornato a Riuscito.

  5. È quindi possibile procedere con altre azioni, in quanto la risorsa non è più in stato di errore.

Aggiungere o rimuovere un gateway NAT

Non è possibile eliminare un gateway NAT

Un gateway NAT deve essere prima scollegato da tutte le subnet all'interno di una rete virtuale per poterlo rimuovere o eliminare. Per le istruzioni dettagliate, vedere Rimuovere un gateway NAT da una subnet esistente ed eliminare la risorsa.

Aggiungere o rimuovere una subnet

Il gateway NAT non può essere collegato a una subnet già collegata a un altro gateway NAT

Una subnet all'interno di una rete virtuale non può avere più di un gateway NAT collegato ad essa per la connessione in uscita a Internet. Una risorsa gateway NAT individuale può essere collegata a più subnet all'interno della stessa rete virtuale. Un gateway NAT non può estendersi oltre una singola rete virtuale.

Non possono esistere risorse di base nella stessa subnet del gateway NAT

Un gateway NAT non è compatibile con le risorse di base, ad esempio bilanciamento del carico di base o IP pubblico di base. Le risorse di base devono essere collocate in una subnet non associata a un gateway NAT. Il bilanciamento del carico di base o l'IP pubblico di base possono essere aggiornati a standard per l'uso con un gateway NAT.

Un gateway NAT può essere collegato a una subnet del gateway

Il gateway NAT non può essere distribuito in una subnet del gateway. Una subnet del gateway viene usata da un gateway VPN per l'invio di traffico crittografato tra una rete virtuale di Azure e una posizione locale. Per altre informazioni sul modo in cui vengono usate le subnet del gateway, vedere Panoramica del gateway VPN.

Un gateway NAT non può essere collegato a una subnet che contiene un'interfaccia di rete della macchina virtuale in uno stato di errore.

Quando si associa un gateway NAT a una subnet che contiene un'interfaccia di rete della macchina virtuale (interfaccia di rete) in uno stato di errore, viene visualizzato un messaggio di errore indicante che questa azione non può essere eseguita. Per poter collegare un gateway NAT alla subnet, è necessario prima risolvere lo stato di errore dell'interfaccia di rete della macchina virtuale.

Per uscire da uno stato di errore dell'interfaccia di rete della macchina virtuale, è possibile usare uno dei due metodi seguenti.

Usare PowerShell per uscire da uno stato di errore dell'interfaccia di rete della macchina virtuale

  1. Determinare lo stato di provisioning delle interfacce di rete usando il comando PowerShell Get-AzNetworkInterface e impostando il valore di "provisioningState" su "Succeeded".

  2. Eseguire comandi PowerShell GET/SET nell'interfaccia di rete. I comandi PowerShell aggiornano lo stato di provisioning.

  3. Verificare i risultati di questa operazione controllando di nuovo lo stato di provisioning delle interfacce di rete (seguire i comandi del passaggio 1).

Usare Azure Resource Explorer per uscire da uno stato di errore dell'interfaccia di rete della macchina virtuale

  1. Passare ad Azure Resource Explorer (è consigliabile usare il browser Microsoft Edge)

  2. Espandere Sottoscrizioni (la visualizzazione richiede alcuni secondi).

  3. Espandere la sottoscrizione contenente la scheda di interfaccia di rete della macchina virtuale in stato di errore.

  4. Espandere resourceGroups.

  5. Espandere il gruppo di risorse corretto che contiene l'interfaccia di rete della macchina virtuale nello stato di errore.

  6. Espandere i provider.

  7. Espandere Microsoft.Network.

  8. Espandere networkInterfaces.

  9. Selezionare l'interfaccia di rete in stato di provisioning non riuscito.

  10. Selezionare il pulsante Lettura/Scrittura in alto.

  11. Selezionare il pulsante verde GET.

  12. Selezionare il pulsante blu EDIT.

  13. Selezionare il pulsante verde PUT.

  14. Selezionare Il pulsante Sola lettura in alto.

  15. A questo punto, l'interfaccia di rete della macchina virtuale dovrebbe trovarsi in uno stato di provisioning riuscito. È possibile chiudere il browser.

Aggiungere o rimuovere indirizzi IP pubblici

Non è possibile superare 16 indirizzi IP pubblici in un gateway NAT

Un gateway NAT non può essere associato a più di 16 indirizzi IP pubblici. Con un gateway NAT è possibile usare qualunque combinazione di indirizzi e prefissi IP pubblici per un totale di 16 indirizzi. Per aggiungere o rimuovere un IP pubblico, vedere Aggiungere o rimuovere un indirizzo IP pubblico.

Con un gateway NAT è possibile usare le dimensioni dei prefissi IP seguenti:

  • /28 (16 indirizzi)

  • /29 (8 indirizzi)

  • /30 (4 indirizzi)

  • /31 (2 indirizzi)

Coesistenza di IPv6

Un gateway NAT supporta protocolli UDP e TCP IPv4. Un gateway NAT non può essere associato a un indirizzo IP pubblico o a un prefisso di IP pubblico IPv6. Un gateway NAT può essere distribuito in una subnet dual stack, ma usa solo indirizzi IP pubblici IPv4 per indirizzare il traffico in uscita. Distribuire il gateway NAT in una subnet dual stack quando devono esistere risorse IPv6 nella stessa subnet delle risorse IPv4. Per altre informazioni su come fornire connettività in uscita IPv4 e IPv6 dalla subnet dual stack, vedere Connettività in uscita dual stack con gateway NAT e bilanciamento del carico pubblico.

Non è possibile usare indirizzi IP pubblici di base con un gateway NAT

Un gateway NAT è una risorsa standard e non può essere usato con risorse di base, inclusi indirizzi IP pubblici di base. È possibile aggiornare l'indirizzo IP pubblico di base da usare con il gateway NAT utilizzando le indicazioni seguenti: Aggiornare un indirizzo IP pubblico.

Non è possibile usare IP pubblici con preferenza di routing impostata su Internet insieme al gateway NAT

Quando il gateway NAT è configurato con un indirizzo IP pubblico, il traffico viene instradato tramite la rete Microsoft. Il gateway NAT non può essere associato a IP pubblici con della preferenza di routing impostata su Internet. Il gateway NAT può essere associato solo a IP pubblici con preferenza di routing impostata su Rete globale Microsoft. Vedere i servizi supportati per un elenco dei servizi Azure che non supportano gli IP pubblici con la preferenza di routing impostata su Internet.

Non è possibile specificare zone non corrispondenti per gli indirizzi IP pubblici e il gateway NAT

Un gateway NAT è un risorsa di zona e può essere designato su una zona specifica o in "nessuna zona". Quando un gateway NAT viene collocato in "nessuna zona", Azure colloca automaticamente il gateway NAT in una zona, ma non è possibile conoscere la zona in cui si è collocato il gateway NAT.

Un gateway NAT può essere usato con indirizzi IP pubblici designati per una zona specifica, nessuna zona, tutte le zone (con ridondanza della zona) a seconda della configurazione della zona di disponibilità.

Designazione della zona di disponibilità di un gateway NAT Designazione dell'indirizzo/prefisso IP pubblico che può essere usato
Nessuna zona Con ridondanza della zona, Nessuna zona o Di zona (la designazione della zona dell'IP pubblico può essere qualsiasi zona all'interno di un'area per usare un gateway NAT in "nessuna zona")
Designato in una zona specifica È possibile usare IP pubblici con ridondanza della zona o di zona

Nota

Se è necessario conoscere la zona in cui risiede il gateway NAT, assicurarsi di designarla in una zona di disponibilità specifica.

Non è possibile usare indirizzi IP pubblici protetti da DDoS con il gateway NAT

Il gateway NAT non supporta gli indirizzi IP pubblici con la protezione DDoS abilitata. Gli indirizzi IP protetti da DDoS sono in genere più critici per il traffico in ingresso, poiché la maggior parte degli attacchi DDoS è progettata per sovraccaricare le risorse della destinazione inondandole con un volume elevato di traffico in ingresso. Per altre informazioni sulla protezione DDoS, vedere gli articoli seguenti.

Altre informazioni sul materiale sussidiario sulla risoluzione dei problemi

Se il problema riscontrato non è trattato in questo articolo, fare riferimento ad altri articoli sulla risoluzione dei problemi del gateway NAT:

Passaggi successivi

Se si verificano problemi con il gateway NAT non elencati o risolti in questo articolo, inviare un feedback tramite GitHub nella parte inferiore di questa pagina. I commenti e i suggerimenti vengono affrontati il prima possibile per migliorare l'esperienza dei clienti.

Per altre informazioni sul gateway NAT, vedere: