Řešení potíží s odpověďmi back-endového provozu Azure Load Balanceru

Tato stránka obsahuje informace o řešení potíží s dotazy k Azure Load Balanceru.

Virtuální počítače za nástrojem pro vyrovnávání zatížení přijímají nerovnoměrné rozdělení provozu.

Pokud máte podezření, že členové back-endového fondu přijímají provoz, může to být způsobeno následujícími příčinami. Azure Load Balancer distribuuje provoz na základě připojení. Nezapomeňte zkontrolovat distribuci provozu na připojení, a ne na paket. Pomocí karty Distribuce toku na předkonfigurovaném nástroji pro vyrovnávání zatížení Přehledy řídicím panelu ověřte.

Azure Load Balancer nepodporuje vyrovnávání zatížení kruhového dotazování, ale podporuje distribuční režim založený na hodnotě hash.

Příčina 1: Máte nakonfigurovanou trvalost relace

Použití režimu distribuce trvalosti zdroje může způsobit nerovnoměrné rozdělení provozu. Pokud tato distribuce není požadovaná, aktualizujte trvalost relace na Hodnotu None , takže provoz se distribuuje napříč všemi instancemi, které jsou v pořádku v back-endovém fondu. Přečtěte si další informace o režimech distribuce pro Azure Load Balancer.

Příčina 2: Máte nakonfigurovaný proxy server

Klienti, kteří běží za proxy servery, se můžou považovat za jednu jedinečnou klientskou aplikaci z pohledu nástroje pro vyrovnávání zatížení.

Virtuální počítače za nástrojem pro vyrovnávání zatížení nereagují na provoz na konfigurovaném datovém portu

Pokud je virtuální počítač back-endového fondu uvedený jako v pořádku a reaguje na sondy stavu, ale stále se neúčastní vyrovnávání zatížení nebo nereaguje na přenos dat, může to být z některého z následujících důvodů:

• Virtuální počítač back-endového fondu nástroje pro vyrovnávání zatížení na datovém portu nenaslouchá

• Skupina zabezpečení sítě blokuje port na virtuálním počítači back-endového fondu nástroje pro vyrovnávání zatížení.

• Přístup k nástroji pro vyrovnávání zatížení ze stejného virtuálního počítače a síťové karty

• Přístup k front-endu internetového nástroje pro vyrovnávání zatížení z virtuálního počítače back-endového fondu zúčastněného nástroje pro vyrovnávání zatížení

Příčina 1: Virtuální počítač back-endového fondu nástroje pro vyrovnávání zatížení na datovém portu nenaslouchá

Pokud virtuální počítač nereaguje na datový provoz, důvodem může být to, že cílový port není otevřený na zúčastněném virtuálním počítači, nebo virtuální počítač na něm nenaslouchá.

Ověřování a řešení

1. Přihlaste se k back-endovému virtuálnímu počítači.

2. Otevřete příkazový řádek a spuštěním následujícího příkazu ověřte, že na datovém portu naslouchá aplikace:

   netstat -an 
   

3. Pokud není uvedený port se stavem NASLOUCHÁNÍ, nakonfigurujte správný port naslouchacího procesu.

4. Pokud je port označený jako NASLOUCHÁ, zkontrolujte případné problémy v cílové aplikaci na daném portu.

Příčina 2: Skupina zabezpečení sítě blokuje port na virtuálním počítači back-endového fondu nástroje pro vyrovnávání zatížení

Pokud jedna nebo více skupin zabezpečení sítě nakonfigurovaných v podsíti nebo na virtuálním počítači blokuje zdrojovou IP adresu nebo port, virtuální počítač nemůže reagovat.

Pro veřejný nástroj pro vyrovnávání zatížení se IP adresa internetových klientů použije ke komunikaci mezi klienty a back-endovými virtuálními počítači nástroje pro vyrovnávání zatížení. Ujistěte se, že jsou IP adresa klientů povolená ve skupině zabezpečení sítě back-endového virtuálního počítače.

1. Vytvořte seznam skupin zabezpečení sítě nakonfigurovaných na back-endovém virtuálním počítači. Další informace najdete v tématu Správa skupin zabezpečení sítě.

2. V seznamu skupin zabezpečení sítě zkontrolujte, jestli:

   • Příchozí nebo odchozí provoz na datovém portu má interferenci.

   • Pravidlo Odepřít všechny skupiny zabezpečení sítě na síťové kartě virtuálního počítače nebo podsítě s vyšší prioritou, které povoluje sondy a provoz nástroje pro vyrovnávání zatížení (skupiny zabezpečení sítě musí umožňovat IP adresu nástroje pro vyrovnávání zatížení 168.63.129.16, tj. port sondy).

3. Pokud některá z pravidel blokuje provoz, odeberte a překonfigurujte tato pravidla tak, aby umožňovala datový provoz. 

4. Otestujte, jestli se virtuální počítač začal reagovat na sondy stavu.

Příčina 3: Přístup k internímu nástroji pro vyrovnávání zatížení ze stejného virtuálního počítače a síťového rozhraní

Pokud se vaše aplikace hostovaná na back-endovém virtuálním počítači interního nástroje pro vyrovnávání zatížení pokouší získat přístup k jiné aplikaci hostované ve stejném back-endovém virtuálním počítači přes stejné síťové rozhraní, jedná se o nepodporovaný scénář a selže.

Řešení

Tento problém můžete vyřešit některou z následujících metod:

• Konfigurace samostatných virtuálních počítačů back-endových fondů na aplikaci

• Nakonfigurujte aplikaci na virtuálních počítačích se dvěma síťovými adaptéry, aby každá aplikace používala vlastní síťové rozhraní a IP adresu.

Příčina 4: Přístup front-endu interního nástroje pro vyrovnávání zatížení z virtuálního počítače back-endového fondu zúčastněného nástroje pro vyrovnávání zatížení

Pokud je interní nástroj pro vyrovnávání zatížení nakonfigurovaný ve virtuální síti a jeden z back-endových virtuálních počítačů účastníka se pokouší získat přístup k internímu front-endu nástroje pro vyrovnávání zatížení, může dojít k selháním, když je tok namapovaný na původní virtuální počítač. Tento scénář není podporován.

Řešení

Existuje několik způsobů, jak tento scénář odblokovat, včetně použití proxy serveru. Vyhodnotí službu Application Gateway nebo jiné proxy servery třetích stran (například nginx nebo haproxy). Další informace o službě Application Gateway najdete v tématu Přehled služby Application Gateway.

Podrobnosti

Interní nástroje pro vyrovnávání zatížení nepřekládají odchozí odchozí připojení na front-end interního nástroje pro vyrovnávání zatížení, protože oba jsou v privátním adresní prostoru IP adres. Veřejné nástroje pro vyrovnávání zatížení poskytují odchozí připojení z privátních IP adres uvnitř virtuální sítě k veřejným IP adresům. U interních nástrojů pro vyrovnávání zatížení se tento přístup vyhne potenciálnímu vyčerpání portů SNAT v jedinečném interním adresního prostoru IP adres, kde se překlad nevyžaduje.

Vedlejším účinkem je to, že pokud se odchozí tok z virtuálního počítače v back-endovém fondu pokusí vytvořit tok na front-end interního nástroje pro vyrovnávání zatížení ve fondu a mapuje se zpět na sebe, obě nohy toku se neshodují. Protože se neshodují, tok selže. Tok proběhne úspěšně, pokud se tok nemapoval zpět na stejný virtuální počítač v back-endovém fondu, který tok vytvořil na front-end.

Když se tok mapuje zpět na sebe, zdá se, že odchozí tok pochází z virtuálního počítače do front-endu a odpovídající příchozí tok pochází z virtuálního počítače do sebe. Z pohledu hostovaného operačního systému se příchozí a odchozí části stejného toku neshoduje uvnitř virtuálního počítače. Zásobník TCP nerozpozná tyto poloviny stejného toku jako součást stejného toku. Zdroj a cíl se neshoduje. Když se tok mapuje na jakýkoli jiný virtuální počítač v back-endovém fondu, poloviny toku se shodují a virtuální počítač může na tok reagovat.

Příznakem tohoto scénáře je přerušované vypršení časového limitu připojení, když se tok vrátí do stejného back-endu, který tok pochází. Mezi běžná alternativní řešení patří vložení proxy vrstvy za interní nástroj pro vyrovnávání zatížení a použití pravidel stylu Direct Server Return (DSR). Další informace najdete v tématu Více front-endů pro Azure Load Balancer.

Interní nástroj pro vyrovnávání zatížení můžete kombinovat s jakýmkoli proxy serverem třetí strany nebo použít interní službu Application Gateway pro scénáře proxy serveru s protokolem HTTP/HTTPS. K zmírnění tohoto problému můžete použít veřejný nástroj pro vyrovnávání zatížení, ale výsledný scénář je náchylný k vyčerpání SNAT. Vyhněte se tomuto druhému přístupu, pokud ho pečlivě nespravíte.

Další kroky

Pokud předchozí kroky problém nevyřeší, otevřete lístek podpory.