Compartilhar via


Solucionar problemas do Gateway da NAT do Azure

Este artigo fornece diretrizes de como configurar corretamente o Gateway NAT e solucionar problemas comuns relacionados à configuração e à implantação.

Noções básicas de configuração do Gateway da NAT

Verifique as seguintes configurações para garantir que o Gateway da NAT possa ser usado para direcionar a saída do tráfego:

  1. Pelo menos um endereço IP público ou um prefixo IP público deve estar anexado ao Gateway da NAT. Pelo menos um endereço IP público precisa ser associado ao Gateway da NAT para que ele forneça conectividade de saída.

  2. Pelo menos uma sub-rede deve estar anexada a um Gateway da NAT. Você pode anexar várias sub-redes a um Gateway da NAT para saída, mas essas sub-redes precisam existir na mesma rede virtual. O Gateway da NAT não pode abranger mais de uma só rede virtual.

  3. Nenhuma regra NSG (Grupo de Segurança de Rede) ou UDR (Rotas Definidas pelo Usuário) está bloqueando o Gateway da NAT de direcionar o tráfego de saída para a Internet.

Como validar a conectividade

O gateway da NAT dá suporte a protocolos UDP (Protocolo de Datagrama de Usuário) IPv4 e TCP (Protocolo de Controle de Transmissão).

Observação

O protocolo ICMP não é compatível com o Gateway da NAT. Não há suporte para ping usando o protocolo ICMP e espera-se que ele falhe.

Para validar a conectividade de ponta a ponta do Gateway da NAT, siga estas etapas:

  1. Valide se o endereço IP público do Gateway da NAT está sendo usado.

  2. Faça testes de conexão TCP e testes na camada do aplicativo específicos do UDP.

  3. Procure os logs de fluxo NSG para analisar os fluxos de tráfego de saída do Gateway da NAT.

Consulte a tabela a seguir para ferramentas a serem usadas para validar a conectividade do Gateway da NAT.

Sistema operacional Teste de conexão TCP genérica Teste de camada de aplicativo TCP UDP
Linux nc (teste de conexão genérico) curl (Teste de camada de aplicativo TCP) específico ao aplicativo
Windows PsPing Invoke-WebRequest do PowerShell específico ao aplicativo

Como analisar a conectividade de saída

Para analisar o tráfego de saída do Gateway da NAT, use logs de fluxo de VNet (rede virtual). Os logs de fluxo de VNet fornecem informações de conexão das máquinas virtuais. As informações de conexão contêm o IP a porta de origem e o IP e porta de destino, além do estado da conexão. A direção do fluxo de tráfego e o tamanho do tráfego em número de pacotes e bytes enviados também são registrados. O IP de origem e a porta especificados no log de fluxo de VNet são para a máquina virtual e não para o Gateway da NAT.

Gateway da NAT em um estado de falha

Você poderá enfrentar uma falha de conectividade de saída se o recurso de Gateway da NAT estiver em um estado de falha. Para tirar o Gateway NAT do estado de falha, siga estas instruções:

  1. Identifique o recurso que está em um estado com falha. Acesse o Azure Resource Explorer e identifique o recurso nesse estado.

  2. Atualize a alternância no canto superior direito para Leitura/Gravação.

  3. Clique em Editar no recurso em estado de falha.

  4. Clique em PUT e depois em GET para garantir que o estado de provisionamento seja atualizado para Êxito.

  5. Em seguida, você pode realizar outras ações, pois o recurso não estará no estado de falha.

Adicionar ou remover o Gateway da NAT

Não é possível excluir o Gateway da NAT

O Gateway da NAT precisa ser desanexado de todas as sub-redes em uma rede virtual para que o recurso possa ser removido ou excluído. Confira Remover um Gateway da NAT de uma sub-rede existente e excluir o recurso para obter diretrizes passo a passo.

Adicionar ou remover a sub-rede

O Gateway da NAT não pode ser anexado a uma sub-rede que já esteja anexada a outro Gateway da NAT

Uma sub-rede dentro de uma rede virtual não pode ter mais de um Gateway da NAT anexado a ela para conexão de saída com a Internet. Um recurso Gateway da NAT individual pode ser associado a várias sub-redes na mesma rede virtual. O Gateway da NAT não pode abranger mais de uma só rede virtual.

Recursos básicos não podem existir na mesma sub-rede que o Gateway da NAT

O Gateway da NAT não é compatível com recursos Básicos, como o Load Balancer Básico ou o IP Público Básico. Os recursos básicos precisam ser colocados em uma sub-rede não associada a um Gateway da NAT. O Load Balancer Básico e o IP Público Básico podem ser atualizados para o Standard para trabalhar com o Gateway da NAT.

O Gateway da NAT não pode ser anexado a uma sub-rede de gateway

Um Gateway da NAT não pode ser implantado em uma sub-rede de gateway. Uma sub-rede de gateway é usada por um gateway de VPN para enviar tráfego criptografado entre uma rede virtual do Azure e um ambiente local. Confira Visão geral do Gateway de VPN para saber como as sub-redes de gateway são usadas pelo gateway de VPN.

Não é possível anexar o Gateway da NAT a uma sub-rede que contém um adaptador de rede de máquina virtual em um estado com falha

Ao associar um Gateway da NAT a uma sub-rede que contém um adaptador de rede de máquina virtual (adaptador de rede) em um estado com falha, você recebe uma mensagem de erro indicando que essa ação não pode ser executada. Primeiro, você deve resolver o estado de falha da interface de rede da máquina virtual antes de anexar um Gateway da NAT à sub-rede.

Para tirar a interface de rede da máquina virtual de um estado com falha, você pode usar um dos dois métodos a seguir.

Usar o PowerShell para tirar o adaptador de rede da máquina virtual de um estado com falha

  1. Determine o estado de provisionamento de suas interfaces de rede usando o comando Get-AzNetworkInterface PowerShell e defina o valor do "provisioningState" como "Bem-sucedido".

  2. Execute comandos GET/SET do PowerShell no adaptador de rede. Os comandos do PowerShell atualizam o estado de provisionamento.

  3. Verifique os resultados desta operação verificando o estado de provisionamento de suas interfaces de rede novamente (siga os comandos da etapa 1).

Usar o Azure Resource Explorer para tirar o adaptador de rede da máquina virtual de um estado com falha

  1. Acesse o Azure Resource Explorer (é recomendado usar o navegador Microsoft Edge)

  2. Expanda Assinaturas (leva alguns segundos para que ela apareça).

  3. Expanda sua assinatura que contém a interface de rede da máquina virtual no estado com falha.

  4. Expanda resourceGroups.

  5. Expanda o grupo de recursos correto que contém o adaptador de rede da máquina virtual no estado com falha.

  6. Expanda provedores.

  7. Expanda Microsoft.Network.

  8. Expanda networkInterfaces.

  9. Selecione no adaptador de rede que está no estado de provisionamento com falha.

  10. Selecione o botão Leitura/Gravação na parte superior.

  11. Selecione o botão verde GET.

  12. Selecione o botão azul EDIT.

  13. Selecione o botão verde PUT.

  14. Selecione o botão Somente Leitura na parte superior.

  15. O adaptador de rede da máquina virtual agora deve estar em um estado de provisionamento bem-sucedido. Você pode fechar seu navegador.

Adicionar ou remover os endereços IP públicos

Não é possível exceder 16 endereços IP públicos no Gateway da NAT

Um Gateway da NAT não pode ter mais de 16 endereços IP públicos associados. Você pode usar qualquer combinação de endereços IP públicos e prefixos com o Gateway da NAT até o total de 16 endereços IP. Para adicionar ou remover um IP público, confira adicionar ou remover um endereço IP público.

Os seguintes tamanhos de prefixo IP podem ser usados com o Gateway da NAT:

  • /28 (16 endereços)

  • /29 (8 endereços)

  • /30 (4 endereços)

  • /31 (2 endereços)

Coexistência de IPv6

O Gateway da NAT dá suporte aos protocolos IPv4 UDP e TCP. O Gateway da NAT não pode ser associado a um endereço IP público IPv6 nem a um prefixo IP público IPv6. O Gateway da NAT pode ser implantado em uma sub-rede de pilha dupla, mas usa apenas endereços IP públicos IPv4 para direcionar o tráfego de saída. Implante o Gateway da NAT em uma sub-rede de pilha dupla quando precisar que os recursos IPv6 existam na mesma sub-rede que os recursos IPv4. Para obter mais informações sobre como fornecer conectividade de saída IPv4 e IPv6 de sua sub-rede de pilha dupla, consulte conectividade de saída de pilha dupla com Gateway da NAT e balanceador de carga público.

Não é possível usar IPs públicos básicos com o Gateway da NAT

O Gateway da NAT é um recurso padrão e não pode ser usado com recursos básicos, incluindo endereços IP públicos básicos. Você pode atualizar seu endereço IP público básico para usar com seu Gateway da NAT usando as seguintes diretrizes: Atualizar um endereço IP público.

Não é possível usar IPs públicos com preferência de roteamento da Internet junto com o Gateway da NAT

Quando o Gateway da NAT é configurado com um endereço IP público, o tráfego é roteado por meio da rede da Microsoft. O Gateway da NAT não pode ser associado a IPs públicos com a preferência de roteamento definida como Internet. O Gateway da NAT só pode ser associado com IPs públicos com a preferência de roteamento definida como Rede Global da Microsoft. Confira os serviços compatíveis para obter uma lista de todos os serviços do Azure que dão suporte a IPs públicos com a preferência de roteamento definida como Internet.

Não é possível fazer uma correspondência incorreta entre zonas de endereços IP públicos e o Gateway da NAT

O Gateway da NAT é um recurso zonal e pode ser designado para uma zona específica ou "sem zona". Quando o Gateway da NAT é colocado em "sem zona", o Azure coloca o Gateway da NAT em uma zona para você, mas você não tem visibilidade de qual zona o Gateway da NAT está localizado.

O Gateway da NAT pode ser usado com endereços IP públicos designados a uma zona específica, a nenhuma zona, a todas as zonas (com redundância de zona) dependendo da própria configuração de zona de disponibilidade.

Designação da zona de disponibilidade do Gateway da NAT Designação de endereço IP público/prefixo que pode ser usada
Nenhuma zona Com redundância de zona, nenhuma zona ou zonal (a designação de zona de IP público pode ser qualquer zona dentro de uma região para trabalhar com um Gateway da NAT sem zona)
Designado a uma zona específica IPs públicos zonais ou com redundância de zona podem ser usados

Observação

Se você precisar saber a zona na qual o Gateway da NAT reside, designe-o a uma zona de disponibilidade específica.

Não é possível usar IPs públicos protegidos por DDoS com o gateway NAT

O gateway NAT não dá suporte a endereços IP públicos com a proteção contra DDoS habilitada. Os IPs protegidos por DDoS geralmente são mais críticos para o tráfego de entrada, já que a maioria dos ataques de DDoS são projetados para sobrecarregar os recursos do destino inundando-os com um grande volume de tráfego de entrada. Para saber mais sobre a proteção contra DDoS, examine os artigos a seguir abaixo.

Mais diretrizes de solução de problemas

Se o problema que você está enfrentando não for abordado por este artigo, consulte os outros artigos de solução de problemas do Gateway da NAT:

Próximas etapas

Se você estiver enfrentando problemas com o Gateway da NAT não listado ou resolvido por este artigo, envie comentários por meio do GitHub na parte inferior desta página. Abordaremos seus comentários assim que possível para melhorar a experiência de nossos clientes.

Saiba mais sobre métricas de gateways da NAT: