Az Azure NAT Gateway hibaelhárítása
Ez a cikk útmutatást nyújt a NAT-átjáró helyes konfigurálásához, valamint a konfigurációval és üzembe helyezéssel kapcsolatos gyakori problémák elhárításához.
A NAT-átjáró konfigurációjának alapjai
Ellenőrizze a következő konfigurációkat, hogy a NAT-átjáró használható-e a kimenő forgalom irányítására:
Legalább egy nyilvános IP-cím vagy egy nyilvános IP-előtag csatlakozik a NAT-átjáróhoz. A kimenő kapcsolat biztosításához legalább egy nyilvános IP-címet hozzá kell társítani a NAT-átjáróhoz.
Legalább egy alhálózat egy NAT-átjáróhoz van csatolva. Több alhálózatot is csatolhat egy NAT-átjáróhoz a kimenő forgalomhoz, de ezeknek az alhálózatoknak ugyanazon a virtuális hálózaton belül kell lenniük. A NAT-átjáró nem terjedhet túl egyetlen virtuális hálózaton.
A hálózati biztonsági csoport (NSG) szabályai vagy a felhasználó által definiált útvonalak (UDR) nem akadályozzák a NAT-átjárót az internet felé irányuló kimenő forgalom irányításában.
Kapcsolat ellenőrzése
A NAT-átjáró támogatja az IPv4 User Datagram Protocol (UDP) és a Transmission Control Protocol (TCP) protokollokat.
Feljegyzés
Az ICMP protokollt a NAT Gateway nem támogatja. Az ICMP protokollt használó pingelés nem támogatott, és várhatóan sikertelen lesz.
A NAT-átjáró végpontok közötti kapcsolatának ellenőrzéséhez kövesse az alábbi lépéseket:
Ellenőrizze, hogy a NAT-átjáró nyilvános IP-címe használatban van-e.
TCP-kapcsolati teszteket és UDP-specifikus alkalmazásréteg-teszteket végezhet.
Tekintse meg az NSG-folyamatnaplókat a NAT-átjáróból érkező kimenő forgalom elemzéséhez.
A NAT-átjáró kapcsolatának ellenőrzéséhez használható eszközökért tekintse meg az alábbi táblázatot.
Operációs rendszer | Általános TCP-kapcsolat tesztelése | TCP-alkalmazásréteg tesztelése | UDP |
---|---|---|---|
Linux |
nc (általános kapcsolatteszt) |
curl (TCP-alkalmazásréteg-teszt) |
alkalmazásspecifikus |
Windows | PsPing | PowerShell Invoke-WebRequest | alkalmazásspecifikus |
Kimenő kapcsolatok elemzése
A NAT-átjáró kimenő forgalmának elemzéséhez használjon virtuális hálózati (VNet-) folyamatnaplókat. A virtuális hálózatok folyamatnaplói kapcsolati információkat biztosítanak a virtuális gépekhez. A kapcsolati információk tartalmazzák a forrás IP-címét és portját, valamint a cél IP-címét és portját, valamint a kapcsolat állapotát. A rendszer naplózza a forgalom irányát és a forgalom méretét az elküldött csomagok és bájtok számában. A virtuális hálózat folyamatnaplójában megadott forrás IP-cím és port nem a NAT-átjáróhoz, hanem a virtuális géphez tartozik.
A virtuális hálózati folyamatnaplókkal kapcsolatos további információkért tekintse meg a virtuális hálózati folyamatok naplóinak áttekintését.
A virtuális hálózati folyamatok naplóinak engedélyezéséről a virtuális hálózati folyamatnaplók kezelésével kapcsolatos útmutatókban olvashat.
Javasoljuk, hogy a Log Analytics-munkaterületeken férhessen hozzá a naplóadatokhoz, ahol lekérdezheti és szűrheti az adatokat a kimenő forgalomra. A Log Analytics használatáról további információt a Log Analytics oktatóanyagában talál.
A virtuális hálózat folyamatnapló-sémájának további részleteiért lásd a Traffic Analytics sémáját és az adatösszesítést.
A NAT Gateway hibás állapotban van
Kimenő kapcsolati hibát tapasztalhat, ha a NAT-átjáró erőforrása sikertelen állapotban van. Ha le szeretné állítani a NAT-átjárót a sikertelen állapotból, kövesse az alábbi utasításokat:
Azonosítsa a sikertelen állapotban lévő erőforrást. Nyissa meg az Azure Resource Explorert , és azonosítsa az ebben az állapotban lévő erőforrást.
Frissítse a jobb felső sarokban lévő kapcsolót olvasásra/írásra.
Válassza a Szerkesztés lehetőséget a sikertelen állapotú erőforráshoz.
A PUT és a GET lehetőséget választva győződjön meg arról, hogy a kiépítési állapot sikeres volt.
Ezután más műveleteket is végrehajthat, mivel az erőforrás nem működik megfelelően.
NAT-átjáró hozzáadása vagy eltávolítása
A NAT-átjáró nem törölhető
A NAT-átjárót le kell választani a virtuális hálózaton belüli összes alhálózatról, mielőtt az erőforrás eltávolítható vagy törölhető lenne. Részletes útmutatásért tekintse meg a NAT-átjáró eltávolítása meglévő alhálózatról való eltávolítását és az erőforrás törlését.
Alhálózat hozzáadása vagy eltávolítása
A NAT-átjáró nem csatolható egy másik NAT-átjáróhoz már csatolt alhálózathoz
Egy virtuális hálózaton belüli alhálózathoz nem lehet egynél több NAT-átjáró csatlakoztatva az internethez való csatlakozáshoz. Az egyes NAT-átjáró-erőforrások több alhálózathoz is társíthatók ugyanazon a virtuális hálózaton belül. A NAT-átjáró nem terjedhet túl egyetlen virtuális hálózaton.
Az alapszintű erőforrások nem létezhetnek ugyanabban az alhálózatban, mint a NAT-átjáró
A NAT-átjáró nem kompatibilis az alapszintű erőforrásokkal, például az alapszintű Load Balancerrel vagy az egyszerű nyilvános IP-címmel. Az alapszintű erőforrásokat olyan alhálózatra kell helyezni, amely nincs NAT-átjáróhoz társítva. Az alapszintű Load Balancer és az alapszintű nyilvános IP-cím frissíthető szabványosra a NAT-átjáróval való működéshez.
Az alapszintű terheléselosztó standardra való frissítéséhez tekintse meg az alapszintű nyilvános terheléselosztóról a standard nyilvános terheléselosztóra való frissítést.
Az alapszintű nyilvános IP-cím standardra való frissítéséhez tekintse meg az alapszintű nyilvános IP-címről a standard nyilvános IP-címre való frissítést.
Ha alapszintű nyilvános IP-címet szeretne szabványosra frissíteni egy csatlakoztatott virtuális géppel, olvassa el [egy alapszintű nyilvános IP-cím frissítése csatolt virtuális géppel](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
A NAT-átjáró nem csatolható átjáróalhálózathoz
A NAT-átjáró nem helyezhető üzembe átjáróalhálózaton. Az átjáróalhálózatot egy VPN-átjáró használja titkosított forgalom azure-beli virtuális hálózat és helyszíni hely közötti küldéséhez. Tekintse meg a VPN Gateway áttekintését , ha többet szeretne megtudni arról, hogyan használják az átjáróalhálózatokat a VPN Gateway.
A NAT-átjáró nem csatolható olyan alhálózathoz, amely nem sikerült állapotban lévő virtuálisgép-hálózati adaptert tartalmaz
Ha nat-átjárót társít egy olyan alhálózathoz, amely nem sikerült állapotban lévő virtuálisgép-hálózati adaptert (hálózati adaptert) tartalmaz, hibaüzenet jelenik meg, amely azt jelzi, hogy ez a művelet nem hajtható végre. Először meg kell oldania a virtuális gép hálózati adapterének sikertelen állapotát, mielőtt NAT-átjárót csatolhat az alhálózathoz.
A virtuális gép hálózati adapterének sikertelen állapotból való kihozásához használja az alábbi két módszer egyikét.
A PowerShell használata a virtuális gép hálózati adapterének sikertelen állapotból való kiolvasásához
Határozza meg a hálózati adapterek kiépítési állapotát a Get-AzNetworkInterface PowerShell paranccsal , és állítsa a "provisioningState" értékét "Sikeres" értékre.
GET/SET PowerShell-parancsok végrehajtása a hálózati adapteren. A PowerShell-parancsok frissítik a kiépítési állapotot.
Ellenőrizze a művelet eredményeit a hálózati adapterek kiépítési állapotának ismételt ellenőrzésével (kövesse az 1. lépés parancsait).
A virtuális gép hálózati adapterének sikertelen állapotból való kiolvasása az Azure Resource Explorer használatával
Nyissa meg az Azure Resource Explorert (ajánlott a Microsoft Edge böngésző használata)
Bontsa ki az előfizetéseket (néhány másodpercig tart, hogy megjelenjen).
Bontsa ki a sikertelen állapotú virtuálisgép-hálózati adaptert tartalmazó előfizetést.
Bontsa ki az Erőforráscsoportok elemet.
Bontsa ki a megfelelő erőforráscsoportot, amely hibás állapotban tartalmazza a virtuálisgép-hálózati adaptert.
Bontsa ki a Szolgáltatók csomópontot.
Bontsa ki a Microsoft.Network elemet.
Bontsa ki a networkInterfaces (hálózati adatperek) elemet.
Válassza ki a sikertelen kiépítési állapotú hálózati adaptert.
Válassza az oldal tetején lévő Olvasás/Írás gombot.
Válassza a zöld GET gombot.
Válassza a kék SZERKESZTÉS gombot.
Válassza a zöld PUT gombot.
Válassza az oldal tetején az Írásvédett gombot.
A virtuális gép hálózati adapterének most már sikeres kiépítési állapotban kell lennie. Bezárhatja a böngészőt.
Nyilvános IP-címek hozzáadása vagy eltávolítása
A NAT-átjáró 16 nyilvános IP-címe nem haladhatja meg a 16-ot
A NAT-átjáró nem társítható 16-nál több nyilvános IP-címhez. A nyilvános IP-címek és előtagok bármilyen kombinációját használhatja a NAT-átjáróval, legfeljebb 16 IP-címig. Nyilvános IP-cím hozzáadásáról vagy eltávolításáról a nyilvános IP-cím hozzáadásáról vagy eltávolításáról olvashat.
A NAT-átjáróval a következő IP-előtagméretek használhatók:
/28 (16 cím)
/29 (8 cím)
/30 (4 cím)
/31 (2 cím)
IPv6-egyidejűség
A NAT-átjáró támogatja az IPv4 UDP- és TCP-protokollokat. A NAT-átjáró nem társítható IPv6 nyilvános IP-címhez vagy IPv6 nyilvános IP-előtaghoz. A NAT-átjáró kétveremes alhálózaton telepíthető, de csak IPv4 nyilvános IP-címeket használ a kimenő forgalom irányításához. Telepítse a NAT-átjárót egy kettős verem alhálózatán, ha IPv6-erőforrásokra van szüksége, hogy ugyanabban az alhálózatban létezhessenek, mint az IPv4-erőforrások. A kettős verem alhálózatából származó IPv4- és IPv6-kimenő kapcsolat biztosításáról további információt a NAT-átjáróval és a nyilvános terheléselosztóval létesített kettős verem kimenő kapcsolat című témakörben talál.
Alapszintű nyilvános IP-címek nem használhatók NAT-átjáróval
A NAT-átjáró egy standard erőforrás, és nem használható alapszintű erőforrásokkal, beleértve az alapszintű nyilvános IP-címeket is. Az alapszintű nyilvános IP-cím frissítéséhez használja a NAT-átjárót a következő útmutatással: Nyilvános IP-cím frissítése.
A nyilvános IP-címek nem használhatók internetes útválasztási beállítással a NAT-átjáróval együtt
Ha a NAT-átjáró nyilvános IP-címmel van konfigurálva, a forgalom a Microsoft-hálózaton keresztül lesz irányítva. A NAT-átjáró nem társítható nyilvános IP-címekhez az útválasztási beállítás választása internettel. A NAT-átjáró csak olyan nyilvános IP-címekhez társítható, amelyek útválasztási előnyben részesítik a Microsoft Global Networket. Tekintse meg a támogatott szolgáltatásokat az összes olyan Azure-szolgáltatás listájához, amelyek támogatják a nyilvános IP-címeket az internetes útválasztási beállítással.
A nyilvános IP-címek és a NAT-átjáró zónái nem egyeznek meg
A NAT-átjáró egy zonális erőforrás , amely egy adott zónába vagy "nincs zónába" is kijelölhető. Ha a NAT-átjáró "nincs zóna" értékre kerül, az Azure egy zónába helyezi a NAT-átjárót, de nem tudja, hogy melyik zónában található a NAT-átjáró.
A NAT-átjáró egy adott zónához kijelölt nyilvános IP-címekkel használható, zónák nélkül, minden zónával (zónaredundáns) a saját rendelkezésre állási zónájának konfigurációjától függően.
NAT-átjáró rendelkezésre állási zónájának kijelölése | Használható nyilvános IP-cím/ előtag-megjelölés |
---|---|
Nincs zóna | Zónaredundáns, Nincs zóna vagy Zonal (a nyilvános IP-zóna kijelölése bármely zóna lehet egy régión belül, hogy zóna nélküli NAT-átjáróval működjön) |
Meghatározott zónára jelölve | Zónaredundáns vagy zonális nyilvános IP-címek használhatók |
Feljegyzés
Ha ismernie kell azt a zónát, amelyben a NAT-átjáró található, jelölje ki azt egy adott rendelkezésre állási zónába.
A DDoS által védett nyilvános IP-címek nem használhatók NAT-átjáróval
A NAT-átjáró nem támogatja a nyilvános IP-címeket, ha engedélyezve van a DDoS-védelem. A DDoS által védett IP-címek általában kritikusabbak a bejövő forgalom szempontjából, mivel a DDoS-támadások többsége úgy van kialakítva, hogy nagy mennyiségű bejövő forgalommal elárasztsa a cél erőforrásait. A DDoS-védelemmel kapcsolatos további információkért tekintse át az alábbi cikkeket.
- Az Azure DDoS Protection funkciói
- Az Azure DDoS Protection ajánlott eljárásai
- Az Azure DDoS Protection által elhárított támadások típusai
További hibaelhárítási útmutatók
Ha a tapasztalt problémát nem fedi le ez a cikk, tekintse meg a NAT-átjáróval kapcsolatos egyéb hibaelhárítási cikkeket:
A NAT Gateway és más Azure-szolgáltatások kimenő kapcsolatainak hibaelhárítása.
Következő lépések
Ha olyan problémákat tapasztal, amelyek a jelen cikkben nem szereplő NAT-átjáróval kapcsolatban merülnek fel, küldjön visszajelzést a GitHubon keresztül a lap alján. A lehető leghamarabb megválaszoljuk visszajelzését, hogy jobb felhasználói élményt nyújtsunk ügyfeleinknek.
A NAT-átjáróval kapcsolatos további információkért lásd: