Editar

Compartilhar via


Perguntas frequentes sobre o Gateway da NAT do Azure

Aqui estão respostas para perguntas comuns sobre como usar o Gateway da NAT do Azure.

Noções básicas do Gateway da NAT do Azure

O que é o Gateway da NAT do Azure?

O Gateway da NAT do Azure é uma solução de conectividade de saída totalmente gerenciada e altamente resiliente para redes virtuais do Azure. Para obter conectividade de saída segura e escalável, anexe um Gateway da NAT a sub-redes em uma rede virtual e a pelo menos um endereço IP público estático.

Qual é o preço do Gateway da NAT do Azure?

Quais são os limites conhecidos do Gateway da NAT do Azure?

Quantos recursos de Gateway da NAT são permitidos por assinatura?

O número de recursos de Gateway da NAT permitidos por assinatura por região varia de acordo com o tipo de categoria de oferta, como avaliação gratuita, pagamento conforme o uso, CSP (Provedor de Soluções na Nuvem) e Enterprise Agreement. Os tipos de oferta Enterprise Agreement e CSP podem ter até 1.000 recursos de Gateway da NAT. Os tipos de ofertas pagas e pagas conforme o uso podem ter até 100 recursos de gateway NAT. Todos os outros tipos de oferta, como avaliação gratuita, podem ter até 15 recursos de gateway NAT.

Um Gateway da NAT pode ser usado em todas as assinaturas?

Não, um recurso do gateway da NAT não pode ser usado com mais de uma assinatura por vez. Para obter orientação passo a passo, consulte Criar e configurar um Gateway da NAT após uma mudança de região.

Um Gateway da NAT pode ser movido de uma região/assinatura/grupo de recursos para outro?

Não, um Gateway da NAT não pode ser movido entre assinaturas, regiões ou grupos de recursos. Um novo gateway da NAT deve ser criado para a outra assinatura, região ou grupo de recursos.

Um Gateway da NAT pode ser usado para conectar entrada?

Um Gateway da NAT fornece conectividade de saída de uma rede virtual. O tráfego de retorno em resposta direta a um fluxo de saída também pode passar por um Gateway da NAT. Nenhum tráfego de entrada diretamente da Internet pode passar por um Gateway da NAT.

Como posso obter logs para meu recurso de gateway da NAT?

Os logs de fluxo de VNet (rede virtual) são um recurso do Observador de Rede do Azure que registra informações sobre o tráfego IP que flui por uma rede virtual do Azure. Os dados de fluxo dos registos de fluxo da rede virtual são enviados para o Armazenamento do Azure. De lá, você pode acessar os dados e exportá-los para qualquer ferramenta de visualização, solução SIEM (gerenciamento de eventos e informações de segurança) ou IDS (sistema de detecção de intrusões).

Os logs de fluxo de VNet fornecem informações de conexão das máquinas virtuais. As informações de conexão contêm o IP a porta de origem e o IP e porta de destino, além do estado da conexão. A direção do fluxo de tráfego e o tamanho do tráfego em número de pacotes e bytes enviados também são registrados. O IP de origem e a porta especificados no log de fluxo de VNet são para a máquina virtual e não para o Gateway da NAT.

Para obter diretrizes gerais para criar e gerenciar logs de fluxo de rede virtual, confira Gerenciar logs de fluxo de rede virtual.

Como fazer para excluir um recurso de gateway da NAT?

Para excluir um recurso de gateway da NAT, o recurso deve primeiro ser desassociado da sub-rede. Depois que o recurso de Gateway da NAT é desassociado de todas as sub-redes, ele pode ser excluído. Para obter orientação, consulte Remover um recurso de Gateway da NAT de uma sub-rede existente e excluir o recurso.

Um Gateway da NAT oferece suporte à fragmentação de IP?

Não, um Gateway da NAT não oferece suporte à fragmentação de IP para TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol).

Métricas do Gateway da NAT

Qual é a diferença entre as métricas de Contagem de Conexões SNAT e Contagem Total de Conexões SNAT para um Gateway da NAT?

A métrica Contagem de Conexões SNAT mostra o número de novas conexões SNAT (conversão de endereços de rede) feitas por segundo. A métrica Contagem total de conexões SNAT mostra o número total de conexões ativas em um recurso de Gateway da NAT.

Como posso ver o uso da porta SNAT em um Gateway da NAT?

Não há nenhuma métrica de uso de porta SNAT para um Gateway da NAT. Use as métricas Contagem de Conexões SNAT e Contagem Total de Conexões SNAT para ajudá-lo a avaliar a capacidade SNAT do recurso de Gateway da NAT.

Como posso armazenar minhas métricas de Gateway da NAT a longo prazo?

As métricas do gateway da NAT podem ser recuperadas usando a API REST de métricas. Como alternativa, você pode selecionar Compartilhar e Baixar para o Excel no painel Métricas de Gateway da NAT no portal do Azure.

As métricas do Gateway da NAT podem ser recuperadas usando configurações de diagnóstico?

Não, as métricas de Gateway da NAT não podem ser exportadas usando configurações de diagnóstico. As métricas de Gateway da NAT são multidimensionais. As configurações de diagnóstico não oferecem suporte à exportação de métricas multidimensionais.

Conectividade de saída com um Gateway da NAT

Como posso usar um Gateway da NAT para conectar a saída em uma configuração em que estou usando um serviço diferente para saída?

Um Gateway da NAT se conecta automaticamente à Internet depois de ser conectado a um endereço IP público ou prefixo e uma sub-rede. Um Gateway da NAT tem prioridade sobre o Azure Load Balancer com regras de saída, endereços IP públicos em nível de instância em máquinas virtuais (VMs) e Firewall do Azure para conectividade de saída.

As conexões são interrompidas depois de conectar um Gateway da NAT a uma sub-rede em que um serviço diferente é usado atualmente para conectividade de saída?

Não, não há interrupção nas conexões. As conexões existentes com o serviço de saída anterior (Balanceador de Carga, Firewall do Azure, endereços IP públicos em nível de instância) continuam a funcionar até que essas conexões sejam fechadas. Depois que um Gateway da NAT é adicionado à sub-rede da rede virtual, todas as novas conexões usam um Gateway da NAT para fazer conexões de saída.

Um IP público do Gateway da NAT pode se conectar diretamente a um endereço IP privado pela Internet?

Não, um endereço IP público de um Gateway da NAT não pode se conectar diretamente a um IP privado pela Internet.

Se vários endereços IP públicos forem atribuídos a um recurso de Gateway da NAT, o fluxo de tráfego será interrompido quando um dos endereços IP for removido?

Todas as conexões ativas associadas a um endereço IP público terminam quando o endereço IP público é removido. Se o recurso de gateway da NAT tiver vários IPs públicos, o novo tráfego será redistribuído entre os IPs atribuídos.

O que significa quando vejo um IP sendo usado para conectar saída diferente do meu IP público de Gateway da NAT?

Há alguns motivos possíveis pelos quais você pode ver um IP diferente sendo usado para se conectar de saída do que aquele associado ao seu gateway da NAT. Para ajudar na solução de problemas, consulte o guia de solução de problemas de conectividade do Gateway da NAT do Azure.

O Gateway da NAT funciona com o modo FTP ativo?

Não, o Gateway da NAT não é compatível com o modo FTP ativo. Quando o Gateway da NAT estiver configurado, o canal cliente e o canal de dados para o modo FTP ativo usarão IPs diferentes, de modo que o servidor FTP verá a conexão como inválida. Para obter mais informações, consulte o guia de solução de problemas de conectividade do Gateway da NAT sobre falhas de conexão para o modo FTP ativo ou passivo.

O Gateway da NAT funciona com o modo FTP passivo?

O Gateway da NAT pode ser usado com o modo FTP passivo, mas somente quando um endereço IP público é configurado para o gateway da NAT. O modo FTP passivo não funciona com um Gateway da NAT configurado com um prefixo IP público ou vários endereços IP públicos. Quando um Gateway da NAT com vários endereços IP públicos envia dados de tráfego, ele seleciona aleatoriamente um de seus endereços IP públicos para o endereço IP de origem. O modo FTP passivo falha quando os canais de controle e de dados usam endereços IP de origem diferentes. Para obter mais informações, consulte o guia de solução de problemas de conectividade do Gateway da NAT sobre falhas de conexão para o modo FTP ativo ou passivo.

Posso usar o Gateway da NAT para me conectar a um ponto de extremidade público de conta de armazenamento na mesma região?

Não, os IPs públicos do Gateway da NAT não serão usados para se conectar a contas de armazenamento na mesma região. Os serviços implantados na mesma região que a conta de armazenamento do Azure usam endereços IP privados do Azure para comunicação. Você não pode restringir o acesso a serviços específicos do Azure com base nos respectivos intervalos de endereços IP de saída públicos. Para obter mais informações, consulte restrições para regras de rede IP.

Rotas de tráfego

O que acontece com um Gateway da NAT se eu forçar o tráfego do túnel 0.0.0.0/0 (internet) para um NVA, Gateway de VPN do Azure ou Azure ExpressRoute?

Um Gateway da NAT usa o caminho de Internet padrão do sistema de uma sub-rede para rotear o tráfego para a Internet. O tráfego não passará por um Gateway da NAT se uma rota definida pelo usuário for criada para direcionar o tráfego 0.0.0.0/0 para o dispositivo virtual de rede (NVA) do tipo próximo salto ou um gateway de rede virtual.

Que configuração devo fazer na tabela de rotas de sub-rede para conectar a saída com um Gateway da NAT?

Nenhuma configuração na tabela de rotas de sub-rede é necessária para iniciar a conexão de saída com um Gateway da NAT. Quando um Gateway da NAT é atribuído a uma sub-rede, o Gateway da NAT se torna o próximo tipo de salto para todo o tráfego destinado à Internet. O tráfego pode começar a se conectar à Internet assim que o Gateway da NAT for atribuído a uma sub-rede e a pelo menos um endereço IP público.

Configurações do gateway de NAT

Um Gateway da NAT pode ser implantado sem um endereço IP público ou sub-rede?

Sim, um Gateway da NAT pode ser implantado sem um endereço IP público ou prefixo e sub-rede. No entanto, ele não estará operacional até que você anexe pelo menos um endereço IP público ou prefixo e uma sub-rede.

O endereço IP público do gateway é estático?

Sim, os endereços IP públicos no Gateway da NAT são fixos e não mudam.

Quantos endereços IP públicos podem ser anexados a um Gateway da NAT?

Um Gateway da NAT pode usar até 16 endereços IP públicos. Um Gateway da NAT pode usar qualquer combinação de endereços IP públicos e prefixos IP públicos totalizando 16 endereços. Um Gateway da NAT pode suportar os seguintes tamanhos de prefixo: /28 (16 endereços), /29 (8 endereços), /30 (4 endereços) e /31 (2 endereços).

Como posso usar prefixos IP personalizados (BYOIP) com um Gateway da NAT?

Você pode usar prefixos IP públicos e endereços derivados de prefixos IP personalizados, também conhecidos como bring your own IP (BYOIP), com seu Gateway da NAT. Para saber mais, consulte Prefixo de endereço IP personalizado (BYOIP).

Um endereço IP público IPv6 pode ser usado com um Gateway da NAT?

Não, um Gateway da NAT não oferece suporte a endereços IP públicos IPv6. No entanto, você pode ter uma configuração de pilha dupla com um Gateway da NAT e um balanceador de carga para fornecer conectividade de saída IPv4 e IPv6. Para obter mais informações, consulte Configurar conectividade de saída de pilha dupla com um Gateway da NAT e um balanceador de carga público.

Endereços IP públicos com a preferência de roteamento "internet" podem ser usados com um Gateway da NAT?

Não, um Gateway da NAT não oferece suporte a endereços IP públicos com a preferência de roteamento "internet". Para ver uma lista de serviços do Azure que oferecem suporte ao tipo de configuração de roteamento "internet" em IPs públicos, consulte Serviços com suporte para roteamento pela Internet pública.

Endereços IP públicos com proteção contra DDoS habilitada podem ser usados com um Gateway da NAT?

Não, um Gateway da NAT não oferece suporte a endereços IP públicos com proteção contra DDoS habilitada. Os IPs protegidos por DDoS geralmente são mais críticos para o tráfego de entrada, já que a maioria dos ataques de DDoS são projetados para sobrecarregar os recursos do destino inundando-os com um grande volume de tráfego de entrada. Para obter mais informações sobre IPs protegidos por DDoS, consulte Limitações de DDoS.

Os IPs públicos de um gateway da NAT existente podem ser alterados?

Não, o endereço de um IP público existente não pode ser alterado. Se você precisar alterar o endereço IP público no Gateway da NAT, consulte Adicionar ou remover um endereço IP público para obter orientação.

Se vários endereços IP públicos forem atribuídos a um Gateway da NAT, quais IPs públicos meus recursos de sub-rede usam?

Os seus recursos de sub-rede podem usar qualquer um dos endereços IP públicos configurados para seu recurso de gateway da NAT para conectividade de saída. Cada vez que uma nova conexão de saída é feita por meio de um Gateway da NAT, o IP público de saída é selecionado aleatoriamente.

Posso atribuir um dos meus endereços IP públicos do gateway da NAT a uma VM ou sub-rede específica para usar exclusivamente para conectar a saída?

Não. Não há suporte para atribuição de IP a sub-redes ou instâncias de VM específicas em uma sub-rede configurada para Gateway da NAT.

Um Gateway da NAT pode ser conectado a várias redes virtuais?

Não, um Gateway da NAT não pode ser conectado a várias redes virtuais.

Um Gateway da NAT pode ser conectado a várias sub-redes?

Sim, um Gateway da NAT pode ser associado a até 800 sub-redes em uma rede virtual. Não é necessário ser associado a várias sub-redes em uma rede virtual.

Um Gateway da NAT pode ser conectado a uma sub-rede de gateway?

Não, um Gateway da NAT não pode ser associado a uma sub-rede gateway.

Vários gateways da NAT podem ser anexados a uma única sub-rede?

Não, um Gateway da NAT opera com base nas propriedades da sub-rede, portanto, vários gateways NAT não podem ser conectados a uma única sub-rede.

Um Gateway da NAT funciona em uma arquitetura de rede hub-and-spoke?

O tráfego das redes virtuais spoke pode ser roteado para a rede virtual de hub centralizada por meio de um NVA ou Firewall do Azure. Um Gateway da NAT pode fornecer conectividade de saída para todas as redes virtuais spoke da rede de hub centralizada. Para configurar um Gateway da NAT em uma arquitetura hub-and-spoke com NVAs, consulte Usar um Gateway da NAT em uma rede hub-and-spoke. Para usar um Gateway da NAT com o Firewall do Azure em uma configuração hub-and-spoke, consulte Integrar um Gateway da NAT ao Firewall do Azure.

Zonas de disponibilidade

Como um Gateway da NAT funciona com zonas de disponibilidade?

Um Gateway da NAT pode ser zonal ou colocado em "nenhuma zona". Para obter mais informações, consulte Gateway da NAT do Azure e zonas de disponibilidade. Além disso:

  • Um Gateway da NAT sem zona é colocado em uma zona para você pelo Azure.
  • Um gateway da NAT zonal é associado a uma zona específica pelo usuário no momento de sua criação.
  • A configuração zonal de um Gateway da NAT não pode ser alterada após a implantação.

Um endereço IP público com redundância de zona pode ser anexado a um gateway da NAT?

Endereços IP públicos com redundância de zona e prefixos podem ser anexados a um Gateway da NAT sem zona ou a um Gateway da NAT atribuído a uma zona de disponibilidade específica. Para obter mais informações, consulte Gateway da NAT do Azure e zonas de disponibilidade.

Gateway da NAT do Azure e recursos básicos de SKU

Os recursos básicos de SKU (balanceador de carga básico e endereços IP públicos básicos) são compatíveis com um Gateway da NAT?

Não, um Gateway da NAT é compatível com recursos de SKU padrão. Para saber mais, consulte Noções básicas do Gateway da NAT do Azure. Atualize o balanceador de carga básico e o endereço IP público básico para o padrão para trabalhar com um Gateway da NAT. Para obter mais ajuda:

Gateway NAT do Azure e acesso de saída padrão

Há algum tempo de inatividade esperado quando adiciono um gateway NAT à minha sub-rede onde tenho acesso de saída padrão?

Não, não há tempo de inatividade ao adicionar um gateway NAT a uma sub-rede onde o acesso de saída padrão está sendo usado. Depois que o gateway NAT for adicionado à sub-rede, todas as novas conexões começarão a usar o gateway NAT em vez do acesso de saída padrão. Todas as conexões existentes com acesso de saída padrão persistirão até que sejam fechadas.

Tempo limite de conexão e temporizadores

Qual é o tempo limite ocioso para um Gateway da NAT?

Para conexões TCP, o tempo limite ocioso tem o padrão de 4 minutos e é configurável até 120 minutos. Se você precisar manter fluxos de conexão longos, use keepalives TCP em vez de estender o tempo limite ocioso. Os keepalives TCP mantêm conexões ativas por um período mais longo.

O tempo limite ocioso UDP é definido como 4 minutos e não é configurável.

Qual é o comportamento de reutilização de porta SNAT de um Gateway da NAT?

Quando uma conexão TCP/UDP é fechada, a porta é colocada em um período de resfriamento antes de poder ser reutilizada para se conectar ao mesmo ponto de extremidade de destino. Para obter mais informações, consulte Temporizadores de reutilização da porta SNAT. As conexões que vão para um destino diferente podem usar uma porta SNAT imediatamente. Para obter mais informações, consulte SNAT com o Gateway da NAT do Azure.

Integração do gateway da NAT a outros serviços do Azure

Posso usar um Gateway da NAT com o Serviço de Aplicativo do Azure?

Sim, um Gateway da NAT pode ser usado com o Serviço de Aplicativo do Azure para permitir que os aplicativos direcionem o tráfego de saída para a Internet a partir de uma rede virtual. Para usar essa integração entre um Gateway da NAT e o Serviço de Aplicativo do Azure, a integração de rede virtual regional deve ser habilitada. Para obter orientação sobre como habilitar a integração de rede virtual com um Gateway da NAT, consulte Integração do Gateway da NAT do Azure.

Posso usar um Gateway da NAT com o Serviço de Kubernetes do Azure?

Sim. Para obter mais informações sobre a integração do gateway da NAT com o Serviço de Kubernetes do Azure, consulte Gateway da NAT gerenciado.

Quando o gateway da NAT é usado para conectar do meu cluster do AKS ao servidor API do AKS?

Para gerenciar um cluster do AKS, o cluster interage com seu servidor de API. Em clusters não privados, o tráfego de farm de servidores de API é roteado e processado por meio do tipo de saída de clusters. Quando o tipo de saída do cluster é definido como Gateway da NAT, o tráfego do servidor de API é processado como tráfego público por meio do gateway da NAT. Para impedir que o tráfego do servidor de API seja processado como um tráfego público, considere usar um cluster privado ou usar o recurso Integração VNET do servidor de API (em versão prévia).

Posso usar um Gateway da NAT com o Firewall do Azure?

Sim, um Gateway da NAT pode ser usado com o Firewall do Azure. Quando o Firewall do Azure é usado com um Gateway da NAT, ele deve estar em uma configuração zonal. Um Gateway da NAT funciona com um firewall com redundância de zona, mas não recomendamos a implantação no momento. Para obter mais informações sobre a integração do Gateway da NAT com o Firewall do Azure, consulte Dimensionar portas SNAT com um Gateway da NAT.

Sim, a adição de um Gateway da NAT a uma sub-rede com pontos de extremidade de serviço não afeta os pontos de extremidade. Os pontos de extremidade de serviço de rede virtual habilitam uma rota mais específica para o tráfego de destino do serviço do Azure que eles representam. O tráfego para o ponto de extremidade de serviço atravessa o backbone do Azure em vez da Internet. Recomendamos o Link Privado sobre pontos de extremidade de serviço quando você se conecta à plataforma como serviço (PaaS) do Azure diretamente de sua rede do Azure.

Posso usar um Gateway da NAT com meu espaço de trabalho do Azure Databricks?

Sim. Se você habilitar a conectividade de cluster seguro em seu espaço de trabalho, um Gateway da NAT poderá ser usado com o Azure Databricks de duas maneiras:

  • Se você usar a conectividade de cluster segura com a rede virtual padrão que o Azure Databricks cria, o Azure Databricks criará automaticamente um Gateway da NAT para o tráfego de saída das sub-redes do seu espaço de trabalho. O Gateway da NAT é criado dentro do grupo de recursos gerenciados que o Azure Databricks gerencia. Não é possível modificar este grupo de recursos ou todos os recursos provisionados nele.
  • Se você habilitar a conectividade de cluster seguro em seu espaço de trabalho que usa injeção de rede virtual, poderá implantar um Gateway da NAT em ambas as sub-redes do espaço de trabalho para fornecer conectividade de saída. Nesse caso, você pode modificar a configuração para requisitos personalizados de conectividade de saída. Para obter mais informações, confira Conectividade segura do cluster.

Próximas etapas

Se a sua pergunta não estiver listada aqui, envie comentários sobre esta página com a sua pergunta. Essas informações criarão um problema no GitHub para a equipe de produto para garantir que todas as perguntas valiosas dos nossos clientes sejam respondidas.