Az Azure NAT Gateway hibaelhárítása

Ez a cikk útmutatást nyújt a NAT-átjáró helyes konfigurálásához, valamint a konfigurációval és üzembe helyezéssel kapcsolatos gyakori problémák elhárításához.

• A NAT-átjáró konfigurációjának alapjai

• NAT-átjáró sikertelen állapotban

• NAT-átjáró hozzáadása vagy eltávolítása

• Alhálózat hozzáadása vagy eltávolítása

• Nyilvános IP-címek hozzáadása vagy eltávolítása

A NAT-átjáró konfigurációjának alapjai

Ellenőrizze a következő konfigurációkat, hogy a NAT-átjáró használható-e a kimenő forgalom irányítására:

1. Legalább egy nyilvános IP-cím vagy egy nyilvános IP-előtag csatlakozik a NAT-átjáróhoz. A kimenő kapcsolat biztosításához legalább egy nyilvános IP-címet hozzá kell társítani a NAT-átjáróhoz.

2. Legalább egy alhálózat egy NAT-átjáróhoz van csatolva. Több alhálózatot is csatolhat egy NAT-átjáróhoz a kimenő forgalomhoz, de ezeknek az alhálózatoknak ugyanazon a virtuális hálózaton belül kell lenniük. A NAT-átjáró nem terjedhet túl egyetlen virtuális hálózaton.

3. A hálózati biztonsági csoport (NSG) szabályai vagy a felhasználó által definiált útvonalak (UDR) nem akadályozzák a NAT-átjárót az internet felé irányuló kimenő forgalom irányításában.

Kapcsolat ellenőrzése

A NAT-átjáró támogatja az IPv4 User Datagram Protocol (UDP) és a Transmission Control Protocol (TCP) protokollokat.

A NAT-átjáró végpontok közötti kapcsolatának ellenőrzéséhez kövesse az alábbi lépéseket:

1. Ellenőrizze, hogy a NAT-átjáró nyilvános IP-címe használatban van-e.

2. TCP-kapcsolati teszteket és UDP-specifikus alkalmazásréteg-teszteket végezhet.

3. Tekintse meg az NSG-folyamatnaplókat a NAT-átjáróból érkező kimenő forgalom elemzéséhez.

A NAT-átjáró kapcsolatának ellenőrzéséhez használható eszközökért tekintse meg az alábbi táblázatot.

Kimenő kapcsolatok elemzése

A NAT-átjáró kimenő forgalmának elemzéséhez használjon virtuális hálózati (VNet-) folyamatnaplókat. A virtuális hálózatok folyamatnaplói kapcsolati információkat biztosítanak a virtuális gépekhez. A kapcsolati információk tartalmazzák a forrás IP-címét és portját, valamint a cél IP-címét és portját, valamint a kapcsolat állapotát. A rendszer naplózza a forgalom irányát és a forgalom méretét az elküldött csomagok és bájtok számában. A virtuális hálózat folyamatnaplójában megadott forrás IP-cím és port nem a NAT-átjáróhoz, hanem a virtuális géphez tartozik.

• A virtuális hálózati folyamatnaplókkal kapcsolatos további információkért tekintse meg a virtuális hálózati folyamatok naplóinak áttekintését.

• A virtuális hálózati folyamatok naplóinak engedélyezéséről a virtuális hálózati folyamatnaplók kezelésével kapcsolatos útmutatókban olvashat.

• Javasoljuk, hogy a Log Analytics-munkaterületeken férhessen hozzá a naplóadatokhoz, ahol lekérdezheti és szűrheti az adatokat a kimenő forgalomra. A Log Analytics használatáról további információt a Log Analytics oktatóanyagában talál.

• A virtuális hálózat folyamatnapló-sémájának további részleteiért lásd a Traffic Analytics sémáját és az adatösszesítést.

A NAT Gateway hibás állapotban van

Kimenő kapcsolati hibát tapasztalhat, ha a NAT-átjáró erőforrása sikertelen állapotban van. Ha le szeretné állítani a NAT-átjárót a sikertelen állapotból, kövesse az alábbi utasításokat:

1. Azonosítsa a sikertelen állapotban lévő erőforrást. Nyissa meg az Azure Resource Explorert , és azonosítsa az ebben az állapotban lévő erőforrást.

2. Frissítse a jobb felső sarokban lévő kapcsolót olvasásra/írásra.

3. Válassza a Szerkesztés lehetőséget a sikertelen állapotú erőforráshoz.

4. A PUT és a GET lehetőséget választva győződjön meg arról, hogy a kiépítési állapot sikeres volt.

5. Ezután más műveleteket is végrehajthat, mivel az erőforrás nem működik megfelelően.

NAT-átjáró hozzáadása vagy eltávolítása

A NAT-átjáró nem törölhető

A NAT-átjárót le kell választani a virtuális hálózaton belüli összes alhálózatról, mielőtt az erőforrás eltávolítható vagy törölhető lenne. Részletes útmutatásért tekintse meg a NAT-átjáró eltávolítása meglévő alhálózatról való eltávolítását és az erőforrás törlését.

Alhálózat hozzáadása vagy eltávolítása

A NAT-átjáró nem csatolható egy másik NAT-átjáróhoz már csatolt alhálózathoz

Egy virtuális hálózaton belüli alhálózathoz nem lehet egynél több NAT-átjáró csatlakoztatva az internethez való csatlakozáshoz. Az egyes NAT-átjáró-erőforrások több alhálózathoz is társíthatók ugyanazon a virtuális hálózaton belül. A NAT-átjáró nem terjedhet túl egyetlen virtuális hálózaton.

Az alapszintű erőforrások nem létezhetnek ugyanabban az alhálózatban, mint a NAT-átjáró

A NAT-átjáró nem kompatibilis az alapszintű erőforrásokkal, például az alapszintű Load Balancerrel vagy az egyszerű nyilvános IP-címmel. Az alapszintű erőforrásokat olyan alhálózatra kell helyezni, amely nincs NAT-átjáróhoz társítva. Az alapszintű Load Balancer és az alapszintű nyilvános IP-cím frissíthető szabványosra a NAT-átjáróval való működéshez.

• Az alapszintű terheléselosztó standardra való frissítéséhez tekintse meg az alapszintű nyilvános terheléselosztóról a standard nyilvános terheléselosztóra való frissítést.

• Az alapszintű nyilvános IP-cím standardra való frissítéséhez tekintse meg az alapszintű nyilvános IP-címről a standard nyilvános IP-címre való frissítést.

• Ha alapszintű nyilvános IP-címet szeretne szabványosra frissíteni egy csatlakoztatott virtuális géppel, olvassa el [egy alapszintű nyilvános IP-cím frissítése csatolt virtuális géppel](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).

A NAT-átjáró nem csatolható átjáróalhálózathoz

A NAT-átjáró nem helyezhető üzembe átjáróalhálózaton. Az átjáróalhálózatot egy VPN-átjáró használja titkosított forgalom azure-beli virtuális hálózat és helyszíni hely közötti küldéséhez. Tekintse meg a VPN Gateway áttekintését , ha többet szeretne megtudni arról, hogyan használják az átjáróalhálózatokat a VPN Gateway.

A NAT-átjáró nem csatolható olyan alhálózathoz, amely nem sikerült állapotban lévő virtuálisgép-hálózati adaptert tartalmaz

Ha nat-átjárót társít egy olyan alhálózathoz, amely nem sikerült állapotban lévő virtuálisgép-hálózati adaptert (hálózati adaptert) tartalmaz, hibaüzenet jelenik meg, amely azt jelzi, hogy ez a művelet nem hajtható végre. Először meg kell oldania a virtuális gép hálózati adapterének sikertelen állapotát, mielőtt NAT-átjárót csatolhat az alhálózathoz.

A virtuális gép hálózati adapterének sikertelen állapotból való kihozásához használja az alábbi két módszer egyikét.

A PowerShell használata a virtuális gép hálózati adapterének sikertelen állapotból való kiolvasásához

1. Határozza meg a hálózati adapterek kiépítési állapotát a Get-AzNetworkInterface PowerShell paranccsal , és állítsa a "provisioningState" értékét "Sikeres" értékre.

2. GET/SET PowerShell-parancsok végrehajtása a hálózati adapteren. A PowerShell-parancsok frissítik a kiépítési állapotot.

3. Ellenőrizze a művelet eredményeit a hálózati adapterek kiépítési állapotának ismételt ellenőrzésével (kövesse az 1. lépés parancsait).

A virtuális gép hálózati adapterének sikertelen állapotból való kiolvasása az Azure Resource Explorer használatával

1. Nyissa meg az Azure Resource Explorert (ajánlott a Microsoft Edge böngésző használata)

2. Bontsa ki az előfizetéseket (néhány másodpercig tart, hogy megjelenjen).

3. Bontsa ki a sikertelen állapotú virtuálisgép-hálózati adaptert tartalmazó előfizetést.

4. Bontsa ki az Erőforráscsoportok elemet.

5. Bontsa ki a megfelelő erőforráscsoportot, amely hibás állapotban tartalmazza a virtuálisgép-hálózati adaptert.

6. Bontsa ki a Szolgáltatók csomópontot.

7. Bontsa ki a Microsoft.Network elemet.

8. Bontsa ki a networkInterfaces (hálózati adatperek) elemet.

9. Válassza ki a sikertelen kiépítési állapotú hálózati adaptert.

10. Válassza az oldal tetején lévő Olvasás/Írás gombot.

11. Válassza a zöld GET gombot.

12. Válassza a kék SZERKESZTÉS gombot.

13. Válassza a zöld PUT gombot.

14. Válassza az oldal tetején az Írásvédett gombot.

15. A virtuális gép hálózati adapterének most már sikeres kiépítési állapotban kell lennie. Bezárhatja a böngészőt.

Nyilvános IP-címek hozzáadása vagy eltávolítása

A NAT-átjáró 16 nyilvános IP-címe nem haladhatja meg a 16-ot

A NAT-átjáró nem társítható 16-nál több nyilvános IP-címhez. A nyilvános IP-címek és előtagok bármilyen kombinációját használhatja a NAT-átjáróval, legfeljebb 16 IP-címig. Nyilvános IP-cím hozzáadásáról vagy eltávolításáról a nyilvános IP-cím hozzáadásáról vagy eltávolításáról olvashat.

A NAT-átjáróval a következő IP-előtagméretek használhatók:

• /28 (16 cím)

• /29 (8 cím)

• /30 (4 cím)

• /31 (2 cím)

IPv6-egyidejűség

A NAT-átjáró támogatja az IPv4 UDP- és TCP-protokollokat. A NAT-átjáró nem társítható IPv6 nyilvános IP-címhez vagy IPv6 nyilvános IP-előtaghoz. A NAT-átjáró kétveremes alhálózaton telepíthető, de csak IPv4 nyilvános IP-címeket használ a kimenő forgalom irányításához. Telepítse a NAT-átjárót egy kettős verem alhálózatán, ha IPv6-erőforrásokra van szüksége, hogy ugyanabban az alhálózatban létezhessenek, mint az IPv4-erőforrások. A kettős verem alhálózatából származó IPv4- és IPv6-kimenő kapcsolat biztosításáról további információt a NAT-átjáróval és a nyilvános terheléselosztóval létesített kettős verem kimenő kapcsolat című témakörben talál.

Alapszintű nyilvános IP-címek nem használhatók NAT-átjáróval

A NAT-átjáró egy standard erőforrás, és nem használható alapszintű erőforrásokkal, beleértve az alapszintű nyilvános IP-címeket is. Az alapszintű nyilvános IP-cím frissítéséhez használja a NAT-átjárót a következő útmutatással: Nyilvános IP-cím frissítése.

A nyilvános IP-címek nem használhatók internetes útválasztási beállítással a NAT-átjáróval együtt

Ha a NAT-átjáró nyilvános IP-címmel van konfigurálva, a forgalom a Microsoft-hálózaton keresztül lesz irányítva. A NAT-átjáró nem társítható nyilvános IP-címekhez az útválasztási beállítás választása internettel. A NAT-átjáró csak olyan nyilvános IP-címekhez társítható, amelyek útválasztási előnyben részesítik a Microsoft Global Networket. Tekintse meg a támogatott szolgáltatásokat az összes olyan Azure-szolgáltatás listájához, amelyek támogatják a nyilvános IP-címeket az internetes útválasztási beállítással.

A nyilvános IP-címek és a NAT-átjáró zónái nem egyeznek meg

A NAT-átjáró egy zonális erőforrás , amely egy adott zónába vagy "nincs zónába" is kijelölhető. Ha a NAT-átjáró "nincs zóna" értékre kerül, az Azure egy zónába helyezi a NAT-átjárót, de nem tudja, hogy melyik zónában található a NAT-átjáró.

A NAT-átjáró egy adott zónához kijelölt nyilvános IP-címekkel használható, zónák nélkül, minden zónával (zónaredundáns) a saját rendelkezésre állási zónájának konfigurációjától függően.

A DDoS által védett nyilvános IP-címek nem használhatók NAT-átjáróval

A NAT-átjáró nem támogatja a nyilvános IP-címeket, ha engedélyezve van a DDoS-védelem. A DDoS által védett IP-címek általában kritikusabbak a bejövő forgalom szempontjából, mivel a DDoS-támadások többsége úgy van kialakítva, hogy nagy mennyiségű bejövő forgalommal elárasztsa a cél erőforrásait. A DDoS-védelemmel kapcsolatos további információkért tekintse át az alábbi cikkeket.

• Az Azure DDoS Protection funkciói
• Az Azure DDoS Protection ajánlott eljárásai
• Az Azure DDoS Protection által elhárított támadások típusai

További hibaelhárítási útmutatók

Ha a tapasztalt problémát nem fedi le ez a cikk, tekintse meg a NAT-átjáróval kapcsolatos egyéb hibaelhárítási cikkeket:

• A NAT Gateway kimenő kapcsolatainak hibaelhárítása.

• A NAT Gateway és más Azure-szolgáltatások kimenő kapcsolatainak hibaelhárítása.

Következő lépések

Ha olyan problémákat tapasztal, amelyek a jelen cikkben nem szereplő NAT-átjáróval kapcsolatban merülnek fel, küldjön visszajelzést a GitHubon keresztül a lap alján. A lehető leghamarabb megválaszoljuk visszajelzését, hogy jobb felhasználói élményt nyújtsunk ügyfeleinknek.

A NAT-átjáróval kapcsolatos további információkért lásd:

• Mi az Az Azure NAT Gateway?.

• Azure NAT Gateway-erőforrás.

• NAT-átjáró kezelése.

• Metrikák és riasztások a NAT-átjáró erőforrásaihoz.