Řešení potíží s přístupem, příjmem dat a provozem clusteru Azure Data Exploreru ve virtuální síti

Upozorňující

Do 1. února 2025 se vyřadí injektáž virtuální sítě pro Azure Data Explorer. Další informace o vyřazení najdete v tématu Vyřazení injektáže virtuální sítě pro Azure Data Explorer.

V této části se dozvíte, jak řešit potíže s připojením, provozem a vytvořením clusteru pro cluster nasazený ve vaší virtuální síti.

Problémy s přístupem

Pokud máte problém s přístupem ke clusteru pomocí veřejného koncového bodu (cluster.region.kusto.windows.net) nebo privátního koncového bodu (private-cluster.region.kusto.windows.net) a domníváte se, že souvisí s nastavením virtuální sítě, při řešení tohoto problému postupujte následovně.

Kontrola připojení TCP

Prvním krokem je kontrola připojení TCP pomocí operačního systému Windows nebo Linux.

Windows

1. Stáhněte TCping na počítač, který se připojuje ke clusteru.

2. Pomocí následujícího příkazu odešlete příkaz ping na cíl ze zdrojového počítače:

   C:\> tcping -t yourcluster.kusto.windows.net 443
   ** Pinging continuously.  Press control-c to stop **
   Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms
   

Linux

1. Instalace netcatu na počítači, který se připojuje ke clusteru

   apt-get install netcat
   

2. Pomocí následujícího příkazu odešlete příkaz ping na cíl ze zdrojového počítače:

   $ netcat -z -v yourcluster.kusto.windows.net 443
   Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
   

Pokud test není úspěšný, pokračujte následujícími kroky. Pokud je test úspěšný, příčinou problému není problém s připojením TCP. Další řešení potíží najdete v provozních problémech .

Kontrola pravidel skupiny zabezpečení sítě (NSG)

Zkontrolujte, že skupina zabezpečení sítě připojená k podsíti clusteru má příchozí pravidlo, které povoluje přístup z IP adresy klientského počítače pro port 443.

Zkontrolujte, jestli je směrovací tabulka nakonfigurovaná tak, aby se zabránilo problémům s přístupem.

Pokud je podsíť clusteru nakonfigurovaná tak, aby vynutila tunelování veškerého provozu vázaného na internet zpět do vaší brány firewall (podsíť s směrovací tabulkou obsahující výchozí trasu 0.0.0.0/0), ujistěte se, že IP adresa počítače má trasu s typem dalšího směrování na VirtualNetwork/Internet. Tato trasa se vyžaduje, aby se zabránilo problémům s asymetrickými trasami.

Problémy s příjmem dat

Pokud dochází k problémům s příjmem dat a máte podezření, že souvisí s nastavením virtuální sítě, proveďte následující kroky.

Kontrola stavu příjmu dat

Zkontrolujte, jestli metriky příjmu clusteru označují stav, který je v pořádku.

Kontrola pravidel zabezpečení u prostředků zdroje dat

Pokud metriky značí, že ze zdroje dat nebyly zpracovány žádné události (události zpracovávané metriky pro event/IoT Hubs), ujistěte se, že prostředky zdroje dat (Event Hubs nebo Úložiště) povolují přístup z podsítě clusteru v pravidlech brány firewall nebo koncových bodech služby.

Kontrola pravidel zabezpečení nakonfigurovaných v podsíti clusteru

Ujistěte se, že podsíť clusteru má správně nakonfigurovanou skupinu zabezpečení sítě, trasu definovanou uživatelem a pravidla brány firewall. Kromě toho otestujte připojení k síti pro všechny závislé koncové body.

Problémy s vytvářením a provozem clusteru

Pokud dochází k problémům s vytvářením nebo provozem clusteru a máte podezření, že souvisí s nastavením virtuální sítě, postupujte podle těchto kroků a problém vyřešte.

Zkontrolujte konfiguraci serverů DNS.

Nastavení privátního koncového bodu vyžaduje konfiguraci DNS, podporujeme pouze nastavení zóny Azure Privátní DNS. Vlastní nastavení serveru DNS není podporováno, zkontrolujte, jestli jsou záznamy vytvořené jako součást privátního koncového bodu zaregistrované v zóně Azure Privátní DNS.

Diagnostika virtuální sítě pomocí rozhraní REST API

ARMClient se používá k volání rozhraní REST API pomocí PowerShellu.

1. Přihlášení pomocí ARMClient

   armclient login
   

2. Vyvolání operace diagnostiky

   $subscriptionId = '<subscription id>'
   $clusterName = '<name of cluster>'
   $resourceGroupName = '<resource group name>'
   $apiversion = '2019-11-09'
   
   armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
   

3. Kontrola odpovědi

   HTTP/1.1 202 Accepted
   ...
   Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   ...
   

4. Čekání na dokončení operace

   armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   
   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "[Running/Failed/Completed]",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {...}
   }
   

   Počkejte, až se u vlastnosti stavu zobrazí Dokončeno, pak by se mělo zobrazit pole vlastnosti :

   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "Completed",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {
       "Findings": [...]
     }
   }
   

Pokud vlastnost Findings zobrazuje prázdný výsledek, znamená to, že všechny testy sítě prošly a nejsou přerušena žádná připojení. Pokud se zobrazí následující chyba, závislost odchozích přenosů {dependencyName}:{port} nemusí být splněná (odchozí), cluster se nemůže spojit se závislými koncovými body služby. Pokračujte následujícím postupem.

Kontrola pravidel skupiny zabezpečení sítě

Ujistěte se, že je skupina zabezpečení sítě správně nakonfigurovaná podle pokynů v části Konfigurace pravidel skupiny zabezpečení sítě.

Zkontrolujte, jestli je směrovací tabulka nakonfigurovaná tak, aby se zabránilo problémům s příjmem dat.

Pokud je podsíť clusteru nakonfigurovaná tak, aby vynutila tunelování veškerého provozu vázaného na internet zpět do brány firewall (podsíť s směrovací tabulkou obsahující výchozí trasu 0.0.0.0/0), ujistěte se, že IP adresy pro správu) a IP adresy monitorování stavu mají trasu s typem dalšího segmentu směrování a předponou zdrojové adresy ip-ip/32 a health-monitoring-ip/32. Tato trasa požadovaná k zabránění problémům s asymetrickou trasou.

Zkontrolujte pravidla firewallu.

Pokud vynutíte odchozí provoz podsítě tunelu do brány firewall, ujistěte se, že jsou v konfiguraci brány firewall povolené všechny závislosti (například .blob.core.windows.net), jak je popsáno v zabezpečení odchozího provozu s bránou firewall.

Problémy s pozastavením clusteru

Pokud se cluster nepodaří pozastavit, ověřte, že v předplatném nejsou žádné zámky síťových prostředků.